You need to enable JavaScript to run this app.
导航
云防火墙
  • 文档首页
    • /云防火墙/最佳实践/NAT边界防火墙策略配置/私网IP入向流量访问控制
私网IP入向流量访问控制
最近更新时间:2024.09.05 20:46:36首次发布时间:2024.09.05 20:25:43
我的收藏

本文介绍云防火墙引流配置,帮助您完成私网IP入站流量场景下的访问控制。

注意

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

示例场景

NAT网关下的2台ECS(主机)私网IP为192.168.1.1:22192.168.2.1:22,需要设置只允许外部IP 10.0.0.1访问。
云防火墙在没有配置策略时默认放行所有流量,因此该场景下需要配置 2 条访问策略。一条为高级优先放行策略,放行10.0.0.1访问两个资产22端口的入向流量;另一条为低优先级阻断策略,阻断所有访问该主机全部端口的入向流量。

使用限制
  • NAT网关所在VPC子网不能含有其他任何业务资源。
  • NAT网关所在VPC子网路由表,不能含有其他任务业务子网。
  • NAT网关所在子网路由表不能为系统路由表,需为自定义路由表。

创建NAT防火墙
  1. 登录云防火墙控制台,在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,点击NAT边界防火墙
  3. 在下方表格中选择需要防护的NAT网关点击新建云防火墙
  4. 状态检查,检查当前NAT防火墙创建条件,需满足以下三个条件。
    • NAT网关所在VPC子网不能含有其他任何业务资源。
    • NAT网关所在VPC子网路由表,不能含有其他任务业务子网。
    • NAT网关所在子网路由表不能为系统路由表,需为自定义路由表。
  5. 参考下表,配置相关参数。

参数

说明

取值样例

防火墙名称

根据业务实际情况自定义NAT防火墙名称,用于识别NAT防火墙实例。

开发NAT防火墙

防护带宽规格

您需要根据实际业务流量大小为该NAT防火墙分配防护带宽。当业务流量带宽超过防护带宽时,云防火墙会发送短信、邮件、站内信告警通知。

500Mbps

防火墙子网配置

为NAT防火墙配置子网网段,子网网段的网络位建议在16-28。

192.168.4.0/24

引流配置

路由规划

进行配置前,您需要提前规划组网图中各网络资源的路由数据信息。

  1. 业务子网及路由表、NAT网关子网及路由表、NAT防火墙子网及路由表如下表所示。

子网类型

子网网段

绑定路由表

业务子网

192.168.1.0/24

业务子网路由表(系统路由表)

业务子网

192.168.2.0/24

NAT防火墙子网

192.168.4.0/24

防火墙子网路由表

NAT网关子网

192.168.3.0/24

NAT网关子网路由表

  1. 路由表规划如下图所示。
    • NAT防火墙子网路由表192.168.1.0/24192.168.2.0/24指向业务子网,云防火墙过滤后出向流量引流至业务子网。0.0.0.0/0路由用于出站流量引流,入站流量无影响,详情参见私网IP出向流量访问控制
    • NAT网关子网路由表将192.168.1.0/24192.168.1.0/24引流至Firewall引流节点,将入向流量引流至云防火墙进行过滤审计。

说明

同样目的为192.168.1.0/24192.168.1.0/24的路由,指向云防火墙路由比系统默认的优先级更高。

图片

引流操作

您需要按照上述路由表规划完成引流配置。

  1. 完成NAT防火墙到业务子网的引流配置。云防火墙创建完成后,会默认创建以下资源,并自动完成NAT防火墙到业务子网之间引流配置。

资源类型

资源参数

资源说明

子网

子网网段:192.168.4.0/24

用于部署NAT防火墙引流节点。

辅助网卡

名称为:eni-for-ep-******
描述为:Created by PrivateLink

辅助网卡使用火山引擎PrivateLink服务,将出向流量引流至云防火墙进行过滤、审计。

路由表

名称为:NAT_Firewall_RT-nfw-******

该路由表将NAT防火墙过滤后的流量,转发至业务子网。默认会配置192.168.1.0/24192.168.2.0/24指向业务子网的路由。

路由表

名称为:NAT_Firewall——Bypass_RT-nfw-******

该路由表将用于入向流量防护Bypass时使用。

  1. 完成NTA网关到NAT防火墙的引流配置。新增两条路由:

目的网段

下一跳类型

下一跳

说明

192.168.1.0/24

网关负载均衡中断节点

NAT_Firewall_Endpoint-nfw(eni-for-ep-******)

192.168.1.0/24指向云防火墙创建的辅助网卡引流节点

192.168.2.0/24

网关负载均衡中断节点

NAT_Firewall_Endpoint-nfw(eni-for-ep-******)

192.168.2.0/24指向云防火墙创建的辅助网卡引流节点

创建策略

在配置私网IP出向流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于NAT边界访问控制策略的配置示例,策略配置参数如下。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制>NAT边界
  3. NAT边界页面,选择所属NAT防火墙,选择入站规则,单击添加策略

添加策略

配置项

配置说明

放行策略

阻断策略

规则优先级

选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。

  • 最高优先级:指访问控制策略生效的优先级最高,最先生效。
  • 最低优先级:指访问控制策略生效的优先级最低,最后生效。

最高优先级

最低优先级

访问源类型

您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择IP类型,并输入10.0.0.1

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。

IP

IP

访问源

10.0.0.1

0.0.0.0/0

访问目的类型

您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择地址簿类型。并选择添加IP地址不,添加192.168.1.1 192.168.2.1

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。
  • 选择域名类型,需要输入目的域名地址。支持输入域名支持输入单域名example.com、泛域名*.example.com、多级域名example1.example2.com

说明

  • 请勿输入http(s)等协议内容。
  • 域名访问空策略原理是根据HTTP协议数据中Host信息,以及HTTPS协议数据包Client Hello中的Server Name信息中获取域名数据进行匹配控制。若您的业务流量数据包中不含这两个字段,则域名策略无法生效。

地址簿

IP

访问目的

0.0.0.0/0

协议类型

传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY。

ANY

ANY

目的端口类型

设置目的端口类型和目的端口。本次选择端口,需要对22端口进行配置。

  • 选择端口类型时,需要输入端口或端口段,例如22、80/88、0/65535。
  • 地址簿:选择地址簿类型时,您需要提前创建端口地址簿。

端口

端口

目的端口

22

0/65535

动作

设置匹配成功的流量在该条策略的放行情况。

  • 放行:放行该流量,在访问控制日志中记录放行日志,流量会话中记录流量日志。
  • 阻断:拦截该流量,会在访问控制日志中记录阻断日志。
  • 观察:放行该流量。会在访问控制日志中记录观察日志。

放行

阻断

描述

输入当前策略内容和使用场景。便于您识别并应用策略。

22端口开放

阻断其他访问策略

策略开关

设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。

开启

开启

删除NAT防火墙

注意

在删除NAT防火墙之前,需要您在VPC内先完成切流配置,将业务流量从防火墙切走,再进行关闭操作。

当需要删除NAT防火墙时,在NAT网关子网路由表中删除192.168.1.0/24192.168.1.0/24指向Firewall 的路由即可。

防火墙异常说明

当云防火墙实例异常时,云防火墙会开启Bypass模式,云防火墙自动会将业务流量从防火墙切至NAT网关。
防火墙切流操作说明:Bypass时云防火墙会将NAT网关从NAT_Firewall_RT-nfw-******迁移至NAT_Firewall-Bypass_RT-nfw-******,以确保业务正常。NAT_Firewall-Bypass_RT-nfw-******路由表路由如下图所示: