本文介绍通过云防火墙自动引流配置,帮助您完成VPC与专线之间的流量访问控制。
注意
本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
完成VPC1、专线之间流量引流至云防火墙。
配置访问控制策略:VPC-01
10.1.0.0/26网段可以访问专线-02。配置访问控制策略其余访问全部阻断。
资源类型
所属地域
VPC/专线网段
子网网段
vpc-01
华南1(广州)
10.1.0.0/16
sunnet-01:10.1.0.0/24
专线-02
N/A
sunnet-01:192.168.161.0/24
VPN-03(如有VPN实例需要配置步骤三)
10.3.0.0/16
N/A
tr中转路由器
华南1
N/A
N/A
- 已完成所需VPC及子网的创建,详细步骤请参见创建私有网络。
- 已完成各VPC中云服务器实例的创建,详细步骤请参见购买云服务器实例。
- 已完成中转路由器实例创建和网络实例连接创建,详细步骤请参见创建中转路由器实例。
- 已购买云防火墙企业版以上售卖规格。
- 当中转路由器的路由表中存在
100.64.0.0/10内的静态路由时,不支持配置引流配置。 - 不支持路由冲突的VPC网络实例引流配置,包括VPC网络实例之间路由冲突、VPC网络实例与防火墙VPC路由冲突,否则配置自动引流场景后网络会中断,建议请根据业务合理规划防火墙VPC网段和VPC网络实例网段。
- VPC网络实例的子网网段的掩码需小于等于31位。
- 登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
- 在防火墙开关页面,点击VPC边界防火墙。
- 定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建云防火墙。
- 选择自动引流模式,并单击提交并下一步,自动引流模式VPC边界防火墙会根据引流场景自动在中转路由器上配置路由。
- 创建VPC边界防火墙,配置参数如下。云防火墙在新建过程中,预计需要等待10分钟。
配置项 | 配置说明 | 配置参数 |
|---|---|---|
防火墙名称 | 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称。 | 专线与VPC边界防护 |
防火墙VPC网段 | 为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。。云防火墙的3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。 | 192.168.0.0/24 |
VPC子网1网段 | 192.168.0.16/28 | |
VPC子网2网段 | 192.168.0.32/28 | |
VPC子网3网段 | 192.168.0.48/28 |
- VPC防火墙创建完成后,单击提交下一步。
- 按照下表介绍配置引流场景。
- 您也可以暂时不配置引流场景,根据业务需要稍后配置,在VPC边界防火墙页签,定位到目标中转路由器实例,单击操作列下的详情,单击新建引流场景进行配置。
配置项 | 配置说明 | 配置参数 |
|---|---|---|
引流场景名称 | 定义引流场景的名称。该名称用于标记引流场景类型,建议您根据业务的实际情况输入具有意义的名称。 | 专线与VPC引流 |
引流场景选择 | 根据网络实例(VPC、专线、VPN)防护需求,选择引流场景类型。示例类型若仅需要防护专线到云上3个VPC之间流量,则可以选择点到多点。若既需要防护专线到云上3个VPC之间流量,也需要防护3个VPC之间的流量,则可以选择多点互联。
| 多点互联 |
实例选择 | 配置需要引流的网络实例(多点互联) | VPC-01 |
- 引流场景创建后,云防火墙会自动在TR中转路由器上为您创建引流路由表信息,即可实现对转发路由器连接的网络实例之间的流量防护。
- TR网络实例连接中会增加云防火墙的VPC,连接名称为CFW_ststem_请勿编辑。
- 云防火墙会创建3个名称为CFW_ststem_请勿编辑的路由表,关联转发分别关联VPC-01、专线-02和云防火墙。以VPC-01流量走向专线-02为例说明路由原理。
路由表 | 关联转发 | 路由条目说明 |
|---|---|---|
路由表1 | VPC-01 | 以关联转发VPC-1的路由表1为例说明:
|
防火墙路由表 | CFW_system_请勿编辑(云防火墙VPC) | 关联转发云防火墙VPC的路由表说明:
|
警告
- 请勿修改系统路由表:在创建引流场景后,云防火墙会自动为您在系统路由表中创建兜底路由。当VPC云防火墙上引流场景关闭、删除,VPC云防火墙升级、故障、删除,以及VPC防火墙实例到期退订时云防火墙会开启Bypass机制,会将VPC-01、专线-02关联转发网络实例从防火墙路由中切换到系统路由表中,通过兜底路由保证业务稳定性。请勿编辑系统路由表,避免造成业务闪断风险。
- 请勿编辑云防火墙创建的路由表:为不影响您的业务,请勿编辑云防火墙创建的名为CFW_system_请勿编辑的路由表,避免造成路由转发失败的风险。
- VPN网络实例路由配置:如果TR中原本连接了VPN实例,在新建引流场景或者将已关闭的引流场景重新开启时,需要您手动配置VPN静态路由策略,以保证VPN网络的联通性,策略配置请见步骤三:手动配置VPN网络实例路由(如TR网络实例没有连接VPN可跳过此步骤)
若您TR中转路由器中还连接VPN网络实例,在完成步骤一和步骤二后,此时VPN-03实例与VPC-01、专线-02网络实例网络是不通的,需要手动配置VPC路由。
需要分别在关联转发VPC-01、专线-02两个路由表中添加指向VPN的网络实例,以VPC-01路由为例说明。
路由表 | 关联转发 | 路由条目说明 |
|---|---|---|
路由表1 | VPC-01 |
|
在对VPC之间的流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于VPC边界访问控制策略的配置示例,策略配置参数如下。
- 登录云防火墙控制台。
- 在左侧导航栏,选择访问控制>VPC边界。在VPC边界页面,选择所属VPC防火墙,单击添加策略。
- 云防火墙在没有策略的情况下默认是放通。所以需要配置2条访问控制策略,一条放行VPC-01 10.1.0.0/26网段的流量可以访问专线-02优先级放行策略,一条阻断所有流量互相方向的低优先级阻断策略。
- 添加放行策略。
配置项 | 配置说明 | 配置参数 |
|---|---|---|
规则优先级 | 选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。
| 最高优先级 |
访问源类型 | 您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入
| IP |
访问源 | 10.1.0.0/26 | |
访问目的类型 | 您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择IP类型,并输入
| IP |
访问目的 | 192.168.161.0/24 | |
协议类型 | 传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。 | ANY |
动作 | 设置匹配成功的流量在该条策略的放行情况。
| 放行 |
描述 | 输入当前策略内容和使用场景。便于您识别并应用地址簿 | VPC1访问专线-02 |
策略开关 | 设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。 | 开启 |
- **添加阻断策略:**配置一条低优先级流量阻断策略。阻断访问控制策略配置参数如下:
配置项 | 配置参数 |
|---|---|
规则优先级 | 最低优先级 |
访问源类型 | IP |
访问源 | 0.0.0.0/0 |
访问目的类型 | IP |
访问目的 | 0.0.0.0/0 |
协议类型 | ANY |
目的端口类型 | 端口 |
目的端口 | 0/65535 |
动作 | 阻断 |
描述 | 阻断其他访问策略 |
策略开关 | 开启 |