导航
NAT边界防火墙介绍
最近更新时间:2025.03.10 19:09:00首次发布时间:2025.03.10 19:09:00
什么是 NAT 边界防火墙?
NAT 边界防火墙策略配置,支持对 NAT 网关私网 IP 访问公网的流量进行访问控制,有效拦截内部网络到公网的未授权访问。NAT防火墙架构图如下。
NAT 边界防火墙引流原理
本文介绍如何将NAT网关流量引流至云防火墙,以下图场景为例,介绍云防火墙引流工作原理。
某企业部署了开发VPC(192.168.1.0/24,192.168.2.0/24),日常开发环境中有外部软件调用需求。现在需要将NAT网关 流量引流至云防火墙。
创建NAT防火墙
- 登录云防火墙控制台,在左侧导航栏,单击防火墙开关。
- 在防火墙开关页面,点击 NAT 边界防火墙。
- 在下方表格中选择需要防护的NAT网关点击【新建云防火墙】,创建防火墙时会对NAT网关创建条件进行检查,需满足以下条件才可以创建云防火墙。
说明
- NAT网关所在VPC子网不能含有其他任何业务资源。
- NAT网关所在VPC子网路由表,不能含有其他任务业务子网。
- NAT网关所在子网路由表不能为系统路由表,需为自定义路由表。
检通过后,单击下一步进行防火墙创建配置。
参数
说明
取值样例
防火墙名称
根据业务实际情况自定义 NTA 防火墙名称,用于识别 NAT 防火墙实例。
开发防火墙
防护带宽规格
您需要根据实际业务流量大小为该 NAT 防火墙分配防护带宽。当业务流量带宽超过防护带宽时,云防火墙会发送短信、邮件、站内信告警通知。
200Mbps
防火墙子网网段
为NAT防火墙配置子网网段,子网网段的掩码建议29位。
192.168.10.0/29
所属项目
选择NAT防火墙所属的项目。
- 若进入创建页面前,在顶部导航栏选择账号全部资源,则您可以下拉选择已有项目。
- 若进入创建页面前,在顶部导航栏选择目标项目,则仅支持选择目标项目。
default(默认项目)
标签
按需防火墙添加一个或多个用户标签。
标签由标签键(Key)和标签值(Value)两部分组成,对公网NAT网关进行标记和分类。单击添加标签可添加多个标签,最多可同时添加20个标签。标签键:cfw-key
标签值:cfw-test
NAT防火墙引流配置
云防火墙引流架构图如下图所示,业务子网访问NAT网关整个过程如下。
- 业务子网将请求流量转发至云防火墙进行检查:业务子网 -> TR 中转路由器 -> NTA 边界防火墙。
- 云防火墙将检查后流量转发至NAT网关:NAT 边界防火墙 -> TR 转路由器 -> NAT网关。
- NAT网关将响应流量转发至云防火墙进行检查:NAT 网关 -> TR 中转路由器 -> NAT 边界防火墙。
- 云防火墙将检查后流量转发至业务子网:NAT 边界防火墙 -> TR 转路由器 -> 业务子网。
VPC各个子网路由表如下所示。