VPC边界防火墙配置--云防火墙-火山引擎

文档中心

立即注册

导航

VPC边界防火墙配置

最近更新时间：2025.03.04 21:38:16首次发布时间：2025.03.04 21:38:16

本文介绍如何开启或关闭VPC边界防火墙。

前提条件

已开通云防火墙企业版、旗舰版。
已购买TR中转路由器，并且使用中转路由器完成了VPC之间或VPC与VPN、VPC与专线之间的网络互通。具体操作，请参见实现指定VPC之间的互通与隔离、实现不同VPC与IDC之间的独立互通。

使用限制

当中转路由器的路由表中存在100.64.0.0/10内的静态路由时，不支持引流配置。
不支持路由冲突的VPC网络实例引流配置，包括VPC网络实例之间路由冲突、VPC网络实例与防火墙VPC路由冲突，否则配置自动引流场景后网络会中断，建议请根据业务合理规划防火墙VPC网段和VPC网络实例网段。

对业务的影响

注意

关闭VPC防火墙注意事项。
- 关闭云防火墙时，云防火墙会将VPC实例关联转发到系统路由表中，需要系统路由表中存在业务间访问的兜底路由。
- 当引流实例存在专线网关时，关闭云防火墙会存在几秒钟网络延迟以及可能会造成业务中断，建议您在业务低峰期进行开启和操作。

中转路由器防护概览

登录云防火墙控制台，在左侧导航栏，单击防火墙开关。
在防火墙开关页面，点击VPC边界防火墙。
查看当前中转路由器防护概览。一个TR中转路由器实例对应一个NAT边界防火墙。

参数	说明
未防护	展示未创建VPC防火墙的TR中转路由器实例数量。
已防护/实例授权规格	已防护：已经创建VPC防火墙数量。实例授权规格：您当前购买的VPC防火墙实例规格。
已防护带宽规格/带宽授权规格	已防护带宽规格：VPC防火墙已经配置的防护带宽规格总和。带宽授权规格：您当前购买的带宽授权规格。

创建VPC边界防火墙

登录云防火墙控制台，在左侧导航栏，单击防火墙开关。
在防火墙开关页面，点击VPC边界防火墙。
在下方表格中选择需要防护的中转路由器点击【新建云防火墙】。
参考下表，配置相关参数。

选择引流模式

参数	说明
自动引流（推荐）	自动引流模式：您只需要选择需要引流的VPC、专线实例即可，云防火墙自动联动TR中转路由器帮助您完成引流。并且云防火墙因故障时，云防火墙会自动bypass和重启恢复。
手动引流	手动引流模式：您需要结合自身业务手动在TR中转路由器上配置引流策略，将业务流量引流至云防火墙。当防火墙故障时，云防火墙会自动将指向云防火墙的转发实例，切回至系统路由表，保障业务不受损，云防火墙重启后无法自动恢复路由，需手动重新配置引流。

单击“提交下一步”按钮，完成操作。

新建VPC边界防火墙

引流模式选择完后，需进行防火墙创建配置。

参数	说明	取值样例
防火墙名称	根据业务实际情况自定义VPC防火墙名称，用于识别VPC防火墙实例。	IDC-火山防火墙
防护带宽规格	您需要根据实际业务流量大小为该VPC防火墙分配防护带宽。当业务流量带宽超过防护带宽时，云防火墙会发送短信、邮件、站内信告警通知。	500Mbps
防火墙VPC网段	为VPC防火墙配置所在VPC网段和子网网段。云防火墙VPC3个子网网段的掩码需小于等于28位。且不与网络规划的网段冲突。云防火墙子网用于流量牵引和备份容灾。	192.168.0.0/24
VPC子网1网段		192.168.0.16/28
VPC子网2网段		192.168.0.32/28
VPC子网3网段		192.168.0.48/28

单击“提交下一步”按钮，进行引流配置。若选择“手动引流配置”，则需要您在TR中转路由器上进行路由配置手动引流。

云防火墙引流配置（自动引流）

在云防火墙创建完成后，需进行引流配置。

配置项	配置说明	配置参数
引流场景名称	定义引流场景的名称。该名称用于标记引流场景类型，建议您根据业务的实际情况输入具有意义的名称。	IDC与业务VPC引流
引流场景选择	根据网络实例（VPC、专线、VPN）防护需求，选择引流场景类型。点到点：两个网络实例之间流量经过云防火墙管控。适用于简单的网络拓扑环境。点到多点：一个网络实例与多个网络实例之间的流量经过云防火墙管控。适用于星形网络拓扑环境；左侧网络实例可以与右侧多实例互通，右侧多实例之间网络不互通。多点互联：多个网络实例之间的流量经过云防火墙管控。适用于FullMesh网状网络拓扑环境。	多点互联
实例选择	配置需要引流的网络实例（多点互联）	开发VPC IDC

配置项

配置说明

配置参数

引流场景名称

定义引流场景的名称。该名称用于标记引流场景类型，建议您根据业务的实际情况输入具有意义的名称。

IDC与业务VPC引流

引流场景选择

根据网络实例（VPC、专线、VPN）防护需求，选择引流场景类型。

点到点：两个网络实例之间流量经过云防火墙管控。适用于简单的网络拓扑环境。
点到多点：一个网络实例与多个网络实例之间的流量经过云防火墙管控。适用于星形网络拓扑环境；左侧网络实例可以与右侧多实例互通，右侧多实例之间网络不互通。
多点互联：多个网络实例之间的流量经过云防火墙管控。适用于FullMesh网状网络拓扑环境。

多点互联

实例选择

配置需要引流的网络实例（多点互联）

开发VPC
IDC

单击“提交下一步”按钮，完成引流配置。
完成引流配置后，云防火墙会在TR中转路由器中创建以下资源。
1. TR新增一个“CFW_system_请勿编辑”的网络实例链接，该实例为VPC防火墙实例。
2. 路由表中新增若干个“CFW_system_请勿编辑”的路由表，关联转发分别关联引流实例和VPC防火墙，用于引流至VPC防火墙。

注意

请勿编辑TR中VPC防火墙实例以及相关路由表，否则会导致流量中断。

编辑或删除VPC防火墙

编辑或删除引流场景

登录云防火墙控制台，在左侧导航栏，单击防火墙开关。
在防火墙开关页面，点击VPC边界防火墙。
在下方表格中选择需要防护的中转路由器点击【详情】。
编辑引流场景。
- 选择对应的引流场景，点击引流场景卡片右上角【编辑】按钮。
- 编辑引流场景：对引流实例进行新增、删除、修改等操作。
删除引流场景。
- 选择对应的引流场景，点击引流场景卡片右上角【关闭】按钮。
- 在引流场景关闭后，点击引流场景卡片右上角【删除】按钮，完成删除操作。

编辑或删除VPC边界防火墙

登录云防火墙控制台，在左侧导航栏，单击防火墙开关。
在防火墙开关页面，点击VPC边界防火墙。
在下方表格中选择需要防护的中转路由器点击【详情】。
编辑云防火墙。
- 您可以修改VPC边界防火墙的“防火墙名称”、“防护带宽规格”。
删除云防火墙。
- 将所有引流场景全部关闭并完成删除操作。
- 再回到防火墙开关页面，选择对应的VPC防火墙点击【删除】，完成删除操作。

最佳实践