导航
NAT边界防火墙
最近更新时间:2025.03.04 21:41:01首次发布时间:2025.03.04 21:12:14
什么是NTA边界防火墙?
NAT防火墙对 VPC 内资源(ECS、ENI 等) 与 NAT网关之间出入站流量统一管控,实现私网 IP 出入互联网的流量安全防护。
NAT边界防火墙的防护场景示例如下图所示:
前提条件
- 已开通云防火墙服务,并且购买了足够数量的NAT边界防火墙授权数。
- 已创建公网NAT网关,具体操作,请参见创建公网NAT网关。
注意事项
说明
- NAT网关所在VPC子网不能含有其他任何业务资源。
- NAT网关所在VPC子网路由表,不能含有其他任务业务子网。
- NAT网关所在子网路由表不能为系统路由表,需为自定义路由表。
NAT网关实例概览
- 登录云防火墙控制台,在左侧导航栏,单击防火墙开关。
- 在防火墙开关页面,点击 NAT 边界防火墙。
- 查看当前NAT网关防护概览。一个NAT网关实例对应一个NAT边界防火墙。
参数 | 说明 |
|---|---|
未防护 | 展示未创建NAT防火墙的NAT网关实例数量。 |
已防护/实例授权规格 | 已防护:已经创建NAT边界防火墙数量。 |
已防护带宽规格/带宽授权规格 | 已防护带宽规格:NAT边界防火墙已经配置的防护带宽规格总和。 |
创建NAT边界防火墙
- 登录云防火墙控制台,在左侧导航栏,单击防火墙开关。
- 在防火墙开关页面,点击边界防火墙。
- 在下方表格中选择需要防护的NAT网关点击【新建云防火墙】。
- 状态检查,检查当前NAT防火墙创建条件,需满足以下三个条件。
- NAT网关所在VPC子网不能含有其他任何业务资源。
- NAT网关所在VPC子网路由表,不能含有其他任务业务子网。
- NAT网关所在子网路由表不能为系统路由表,需为自定义路由表。
- 参考下表,配置相关参数。
参数 | 说明 | 取值样例 |
|---|---|---|
防火墙名称 | 根据业务实际情况自定义NAT防火墙名称,用于识别NAT防火墙实例。 | 开发NAT防火墙 |
防护带宽规格 | 您需要根据实际业务流量大小为该NAT防火墙分配防护带宽。当业务流量带宽超过防护带宽时,云防火墙会发送短信、邮件、站内信告警通知。 | 500Mbps |
防火墙子网配置 | 为NAT防火墙配置子网网段,子网网段的掩码建议29位。 | 192.168.0.0/29 |
引流配置
NAT防火墙需要您手动配置引流,详情参见NAT边界防火墙概述。
删除NAT边界防火墙
注意
在删除NAT防火墙之前,需要您在VPC内先完成切流配置,将业务流量从防火墙切走,再进行关闭操作。
- 登录云防火墙控制台,在左侧导航栏,单击防火墙开关。
- 在防火墙开关页面,点击NAT边界防火墙。
- 在下方表格中选择需要防护的中转路由器点击【删除】,完成删除操作。
最佳实践