本文介绍通过云防火墙自动引流配置,帮助您完成VPC与VPN之间的流量访问控制(手动引流配置)。
注意
本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
完成VPC-01、VPN-02之间流量引流至云防火墙。
配置访问控制策略:仅允许VPN-02中10.2.0.0/26
网段可以访问云上VPC,不允许其他网段访问。
资源类型 | 所属地域 | VPC/专线网段 | 子网网段 |
---|---|---|---|
VPC-01 | 华南1(广州) | 10.1.0.0/16 | sunnet-01:10.1.0.0/24 |
VPN-02 | 第三方云 | 10.2.0.0/16 | 10.2.0.0/24 |
tr中转路由器 | 华南1 | N/A | N/A |
100.64.0.0/10
内的静态路由时,不支持配置引流配置。登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
在防火墙开关页面,点击VPC边界防火墙。
定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建云防火墙。
选择手动引流模式,并单击提交并下一步,您可以结合自身业务情况手动在TR中转路由器上创建VPC边界防火墙并配置路由,将流量牵引至VPC边界防火墙。
创建VPC边界防火墙,配置参数如下。云防火墙在新建过程中,预计需要等待10分钟。
配置项 | 配置说明 | 配置参数 |
---|---|---|
防火墙名称 | 定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称。 | 专线与VPC边界防护 |
防火墙VPC网段 | 为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。。云防火墙的3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。 | 192.168.0.0/24 |
VPC子网1网段 | 192.168.0.16/28 | |
VPC子网2网段 | 192.168.0.32/28 | |
VPC子网3网段 | 192.168.0.48/28 |
引流场景创建后。TR网络实例连接中会增加云防火墙的VPC,连接名称为CFW_ststem_请勿编辑。
您可以结合自身业务情况手动在TR中转路由器上创建VPC边界防火墙并配置路由,将流量牵引至VPC边界防火墙。以下示例为VPC-01和VPN-02引流的示例仅供参考。
路由表 | 关联转发 | 路由条目说明 |
---|---|---|
系统路由 | 无 |
说明:在系统路由表中添加VPC与VPN的路由是为了在防火墙bypass时做兜底防护。 |
路由表1 | 关联转发VPC-01 |
说明:为了将VPC-01到VPN的流量指向云防火墙进行防护。 |
路由表2 | 关联转发VPN-02 |
说明:为了将VPN到VPC-01的流量指向云防火墙进行防护。 |
防火墙路由表 | CFW_ststem_请勿编辑。 |
说明:为了经过云防火墙防护和清洗的流量转发到业务目的网络实例。 |
警告
在对VPC之间的流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于VPC边界访问控制策略的配置示例,策略配置参数如下。
示例:仅允许VPN-02中10.2.0.0/26
网段可以访问云上VPC,不允许其他网段访问。
10.2.0.0/26
网段的流量可以访问云上VPC高优先级放行策略,一条阻断所有VPN-02流量访问该主机的低优先级阻断策略。配置项 | 配置说明 | 配置参数 |
---|---|---|
规则优先级 | 选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。
| 最高优先级 |
访问源类型 | 您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入
| IP |
访问源 | 10.2.0.0/26 | |
访问目的类型 | 您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择IP类型,并输入
| IP |
访问目的 | 0.0.0.0/0 | |
协议类型 | 传输层协议类型,支持设置为:TCP、UDP、ICMP、ANY。不确定具体协议时可选择ANY。 | ANY |
动作 | 设置匹配成功的流量在该条策略的放行情况。
| 放行 |
描述 | 输入当前策略内容和使用场景。便于您识别并应用地址簿 | 10.4.0.0/26访问云上VPC |
策略开关 | 设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。 | 开启 |
添加阻断策略:配置一条低优先级所有专线-04流量访问该主机的阻断策略。阻断访问控制策略配置参数如下:
配置项 | 配置参数 |
---|---|
规则优先级 | 最低优先级 |
访问源类型 | IP |
访问源 | 0.0.0.0/0 |
访问目的类型 | IP |
访问目的 | 0.0.0.0/0 |
协议类型 | ANY |
目的端口类型 | 端口 |
目的端口 | 0/65535 |
动作 | 阻断 |
描述 | 阻断专线-04流量全部端口访问 |
策略开关 | 开启 |