You need to enable JavaScript to run this app.
导航
VPC与VPN之间流量访问控制(手动引流配置)
最近更新时间:2024.09.29 15:54:11首次发布时间:2023.11.24 20:34:43

本文介绍通过云防火墙自动引流配置,帮助您完成VPC与VPN之间的流量访问控制(手动引流配置)。

注意

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

场景介绍
  • 完成VPC-01、VPN-02之间流量引流至云防火墙。

  • 配置访问控制策略:仅允许VPN-02中10.2.0.0/26网段可以访问云上VPC,不允许其他网段访问。

    资源类型

    所属地域

    VPC/专线网段

    子网网段

    VPC-01

    华南1(广州)

    10.1.0.0/16

    sunnet-01:10.1.0.0/24

    VPN-02

    第三方云

    10.2.0.0/16

    10.2.0.0/24

    tr中转路由器

    华南1

    N/A

    N/A

前提条件
  • 已完成所需VPC及子网的创建,详细步骤请参见创建私有网络
  • 已完成各VPC中云服务器实例的创建,详细步骤请参见购买云服务器实例
  • 已完成中转路由器实例创建和网络实例连接创建,详细步骤请参见创建中转路由器实例
  • 已购买云防火墙企业版以上售卖规格。

使用限制
  • 当中转路由器的路由表中存在100.64.0.0/10内的静态路由时,不支持配置引流配置。
  • 不支持路由冲突的网络实例(VPC、专线、VPN)引流配置,包括网络实例之间路由冲突、网络实例与防火墙VPC路由冲突,配置自动引流场景后网络会中断,建议根据业务合理配置防火墙VPC网段。

步骤一:创建VPC边界防火墙
  1. 登录云防火墙控制台。在左侧导航栏,单击防火墙开关

  2. 防火墙开关页面,点击VPC边界防火墙

  3. 定位到目标VPC边界防火墙的云企业网实例下的转发路由器,单击操作列的创建云防火墙

  4. 选择手动引流模式,并单击提交并下一步,您可以结合自身业务情况手动在TR中转路由器上创建VPC边界防火墙并配置路由,将流量牵引至VPC边界防火墙。

  5. 创建VPC边界防火墙,配置参数如下。云防火墙在新建过程中,预计需要等待10分钟。

    配置项

    配置说明

    配置参数

    防火墙名称

    定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例,建议您根据业务的实际情况输入具有意义的名称。

    专线与VPC边界防护

    防火墙VPC网段

    为自动创建的云防火墙的VPC分配网段,并且从分配的VPC网段中划分3个子网网段。。云防火墙的3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。

    192.168.0.0/24

    VPC子网1网段

    192.168.0.16/28

    VPC子网2网段

    192.168.0.32/28

    VPC子网3网段

    192.168.0.48/28

  6. 引流场景创建后。TR网络实例连接中会增加云防火墙的VPC,连接名称为CFW_ststem_请勿编辑

步骤二:手动路由配置

您可以结合自身业务情况手动在TR中转路由器上创建VPC边界防火墙并配置路由,将流量牵引至VPC边界防火墙。以下示例为VPC-01和VPN-02引流的示例仅供参考。

路由表

关联转发

路由条目说明

系统路由

  1. 新增VPC-01实例的自学习路由。
  2. 手动添加目的为10.2.0.0/16 下一跳为VPN-02的静态路由。

说明:在系统路由表中添加VPC与VPN的路由是为了在防火墙bypass时做兜底防护。

路由表1

关联转发VPC-01

  1. 新增目的为10.2.0.0/16 下一跳为CFW_ststem_请勿编辑的静态路由。

说明:为了将VPC-01到VPN的流量指向云防火墙进行防护。

路由表2

关联转发VPN-02

  1. 新增目的为10.1.0.0/16 下一跳为CFW_ststem_请勿编辑的静态路由。

说明:为了将VPN到VPC-01的流量指向云防火墙进行防护。

防火墙路由表

CFW_ststem_请勿编辑。

  1. 新增目的为10.1.0.0/16 下一跳为VPC-01的静态路由。
  2. 新增目的为10.2.0.0/16 下一跳为VPN-02的静态路由。

说明:为了经过云防火墙防护和清洗的流量转发到业务目的网络实例。

警告

  • 当VPC云防火墙上引流场景关闭、删除,VPC云防火墙升级、故障、删除,以及VPC防火墙实例到期退订时云防火墙会开启Bypass机制,会将包含下一跳为CFW_ststem_请勿编辑的路由表关联转发实例切换到系统路由中,以保障业务不会闪断。所以需要用户要在系统路由中配置兜底路由,避免业务受影响。
  • 在VPC云防火墙Bypass后,需要您及时手动将系统路由中的VPN-02和VPC-01网络实例分别切换到路由表1和路由表2中,以保障业务及时得到防护。

步骤三:访问控制策略配置

在对VPC之间的流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于VPC边界访问控制策略的配置示例,策略配置参数如下。
示例:仅允许VPN-0210.2.0.0/26网段可以访问云上VPC,不允许其他网段访问。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制>VPC边界。VPC边界页面,选择所属VPC防火墙,单击添加策略
  3. 云防火墙在没有策略的情况下默认是放通。所以需要配置2条访问控制策略,一条放行VPN-0210.2.0.0/26网段的流量可以访问云上VPC高优先级放行策略,一条阻断所有VPN-02流量访问该主机的低优先级阻断策略。
  4. 添加放行策略

配置项

配置说明

配置参数

规则优先级

选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。

  • 最高优先级:指访问控制策略生效的优先级最高,最先生效。
  • 最低优先级:指访问控制策略生效的优先级最低,最后生效。

最高优先级

访问源类型

您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入10.2.0.0/26

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。

IP

访问源

10.2.0.0/26

访问目的类型

您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择IP类型,并输入0.0.0.0/0

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。
  • 选择域名类型,需要输入目的域名地址
    • 输入域名支持输入单域名example.com、泛域名*.example.com、多级域名example1.example2.com

    说明

    • 请勿输入http(s)等协议内容。
    • 域名访问空策略原理是根据HTTP协议数据中Host信息,以及HTTPS协议数据包Client Hello中的Server Name信息中获取域名数据进行匹配控制。若您的业务流量数据包中不含这两个字段,则域名策略无法生效。

IP

访问目的

0.0.0.0/0

协议类型

传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY。

ANY

动作

设置匹配成功的流量在该条策略的放行情况。

  • 放行:放行该流量,在访问控制日志中记录放行日志,流量会话中记录流量日志。
  • 阻断:拦截该流量,会在访问控制日志中记录阻断日志。
  • 观察:放行该流量。会在访问控制日志中记录观察日志。

放行

描述

输入当前策略内容和使用场景。便于您识别并应用地址簿

10.4.0.0/26访问云上VPC

策略开关

设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。

开启

  1. 添加阻断策略:配置一条低优先级所有专线-04流量访问该主机的阻断策略。阻断访问控制策略配置参数如下:

    配置项

    配置参数

    规则优先级

    最低优先级

    访问源类型

    IP

    访问源

    0.0.0.0/0

    访问目的类型

    IP

    访问目的

    0.0.0.0/0

    协议类型

    ANY

    目的端口类型

    端口

    目的端口

    0/65535

    动作

    阻断

    描述

    阻断专线-04流量全部端口访问

    策略开关

    开启