You need to enable JavaScript to run this app.
导航
云防火墙
  • 文档首页
    • /云防火墙/最佳实践/NAT边界防火墙策略配置/私网IP出向流量访问控制
私网IP出向流量访问控制
最近更新时间:2024.09.05 20:46:36首次发布时间:2024.09.05 20:25:43
我的收藏

本文介绍云防火墙引流配置,帮助您完成私网IP出站流量场景下的访问控制。

注意

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

示例场景

NAT网关下的2台ECS(主机)私网IP为192.168.1.1192.168.2.1,需要设置只允许主机访问console.volcengine.com域名。
云防火墙在没有配置策略时默认放行所有流量,因此该场景下需要配置 2 条访问策略。一条为高级优先放行策略,放行对外访问console.volcengine.com域名的流量;另一条为低优先级阻断策略,阻断该主机对外访问的全部流量。

使用限制
  • NAT网关所在VPC子网不能含有其他任何业务资源。
  • NAT网关所在VPC子网路由表,不能含有其他任务业务子网。
  • NAT网关所在子网路由表不能为系统路由表,需为自定义路由表。

创建NAT防火墙
  1. 登录云防火墙控制台,在左侧导航栏,单击防火墙开关
  2. 防火墙开关页面,点击NAT边界防火墙
  3. 在下方表格中选择需要防护的NAT网关点击新建云防火墙
  4. 云防火墙会开启状态检查,检查当前NAT防火墙创建条件,需满足以下三个条件。
    • NAT网关所在VPC子网不能含有其他任何业务资源。
    • NAT网关所在VPC子网路由表,不能含有其他任务业务子网。
    • NAT网关所在子网路由表不能为系统路由表,需为自定义路由表。
  5. 参考下表,配置相关参数。

参数

说明

取值样例

防火墙名称

根据业务实际情况自定义NAT防火墙名称,用于识别NAT防火墙实例。

开发NAT防火墙

防护带宽规格

您需要根据实际业务流量大小为该NAT防火墙分配防护带宽。当业务流量带宽超过防护带宽时,云防火墙会发送短信、邮件、站内信告警通知。

500Mbps

防火墙子网配置

为NAT防火墙配置子网网段,子网网段的网络位建议在16-28。

192.168.4.0/24

引流配置

路由规划

进行配置前,您需要提前规划组网图中各网络资源的路由数据信息。

  1. 业务子网及路由表、NAT网关子网及路由表、NAT防火墙子网及路由表,如下表所示。

子网类型

子网网段

绑定路由表

业务子网

192.168.1.0/24

业务子网路由表(系统路由表)

业务子网

192.168.2.0/24

NAT防火墙子网

192.168.4.0/24

防火墙子网路由表

NAT网关子网

192.168.3.0/24

NAT网关子网路由表

  1. 路由表规划如下图所示。
    1. 业务子网路由表0.0.0.0/0指向Firewall引流节点,将出向流量引流至云防火墙进行过滤审计。
    2. NAT防火墙子网路由表0.0.0.0/0指向NAT网关,云防火墙过滤后出向流量引流至NAT网关。系统默认路由用于入站流量引流,出站引流无影响,详情参见私网IP入向流量访问控制

图片

引流操作

您需要按照上述路由表规划完成引流配置。

  1. 完成NAT防火墙到NAT网关的引流配置。云防火墙创建完成后,会默认创建以下资源,并自动完成NAT防火墙到NAT网关之间引流配置。

资源类型

资源参数

资源说明

子网

子网网段:192.168.4.0/24

用于部署NAT防火墙引流节点。

辅助网卡

名称为:eni-for-ep-******
描述为:Created by PrivateLink

辅助网卡使用火山引擎PrivateLink服务,将出向流量引流至云防火墙进行过滤、审计。

路由表

名称为:NAT_Firewall_RT-nfw-******

该路由表将NAT防火墙过滤后的流量,转发至NAT网关。云防火墙默认会配置一条0.0.0.0/0指向NAT网关的路由。

路由表

名称为:NAT_Firewall-Bypass_RT-nfw-******

该路由表将用于入向流量防护Bypass时使用,出向流量无影响。详情参见私网IP入向流量访问控制

  1. 完成您手动完成业务子网到NAT防火墙的引流配置。
    1. 到业务子网路由表中,先删除0.0.0.0/0指向NAT网关的路由。

注意

删除0.0.0.0/0指向NAT网关路由时,会影响业务中断,建议在业务低峰期进行操作。

  1. 新增一条路由。
    • 目标网段:0.0.0.0/0;
    • 下一跳类型:网关负载均衡中断节点;
    • 下一跳:NAT_Firewall_Endpoint-nfw(eni-for-ep-******),将0.0.0.0/0指向云防火墙创建的辅助网卡引流节点即可。

创建策略

在配置私网IP出向流量进行管控时,您需要先拒绝可疑流量或恶意流量,或者先放行可信流量,再拒绝其他地址的访问。关于NAT边界访问控制策略的配置示例,策略配置参数如下。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择访问控制>NAT边界
  3. NAT边界页面,选择所属NAT防火墙,选择出站规则,单击添加策略

添加放行策略

配置项

配置说明

配置参数

规则优先级

选择该策略的优先级,这里选择最高优先级,配置完成后,也可以在访问控制策略列表中,单击移动对策略优先级自定义调整。

  • 最高优先级:指访问控制策略生效的优先级最高,最先生效。
  • 最低优先级:指访问控制策略生效的优先级最低,最后生效。

最高优先级

访问源类型

您需要选择访问源类型,并根据访问源类型输入访问源地址。这里选择地址簿类型。并选择添加IP地址不,添加192.168.1.1 192.168.2.1

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。

地址簿

访问源

访问目的类型

您需要选择访问目的类型,并根据访问目的类型输入访问目的地址。这里选择域名类型,并输入console.volcengine.com

  • 选择IP类型时,需要输入IP地址或IP地址段。如180.184.1.1180.184.0.0/160.0.0.0/0表示为全部。
  • 选择地址簿类型时,您需要提前创建IP地址簿。
  • 选择域名类型,需要输入目的域名地址
    • 输入域名支持输入单域名example.com、泛域名*.example.com、多级域名example1.example2.com

    说明

    • 请勿输入http(s)等协议内容。
    • 域名访问空策略原理是根据HTTP协议数据中Host信息,以及HTTPS协议数据包Client Hello中的Server Name信息中获取域名数据进行匹配控制。若您的业务流量数据包中不含这两个字段,则域名策略无法生效。

域名

访问目的

console.volcengine.com

协议类型

传输层协议类型,支持设置为:TCPUDPICMPANY。不确定具体协议时可选择ANY。

TCP

动作

设置匹配成功的流量在该条策略的放行情况。

  • 放行:放行该流量,在访问控制日志中记录放行日志,流量会话中记录流量日志。
  • 阻断:拦截该流量,会在访问控制日志中记录阻断日志。
  • 观察:放行该流量。会在访问控制日志中记录观察日志。

放行

描述

输入当前策略内容和使用场景。便于您识别并应用策略。

访问域名console.volcengine.com

策略开关

设置策略开关。如果您创建策略时未启用策略,可以在策略列表中开启策略。

开启

添加阻断策略

配置一条低优先级全阻断策略。阻断访问控制策略配置参数如下:

配置项

配置参数

规则优先级

最低优先级

访问源类型

IP

访问源

0.0.0.0/0

访问目的类型

IP

访问目的

0.0.0.0/0

协议类型

ANY

目的端口类型

端口

目的端口

0/65535

动作

阻断

描述

阻断其他访问策略

策略开关

开启

删除NAT防火墙

注意

在删除NAT防火墙之前,需要您在VPC内先完成切流配置,将业务流量从防火墙切走,再进行关闭操作。由于切换路由期间,路由不通会对业务有影响,建议在业务低峰期期间进行操作。

  1. 先删除业务子网中0.0.0.0/0指向NAT防火墙引流节点的路由。
  2. 删除后,再添加一条0.0.0.0/0指向NAT网关的路由,完成流量迁移。
  3. 在云防火墙控制台,删除NAT防火墙实例即可。

NAT防火墙异常说明

当云防火墙实例异常时,云防火墙会开启Bypass模式,将业务流量从防火墙切至NAT网关。

  1. NAT防火墙会先删除业务子网中0.0.0.0/0指向NAT防火墙引流节点的路由。
  2. 删除后,NTA防火墙会再添加一条0.0.0.0/0指向NAT网关的路由,完成流量迁移。

注意

需保证0.0.0.0/0路由没有被其他业务路由占用,避免NAT防火墙Bypass时无法新建路由,导致业务中断。