什么是 VPC 边界防火墙？

VPC 边界防火墙支持专有网络 VPC 和 VPC 之间、VPC 和本地数据中心（VPN 或专线）、VPC 和第三方云（VPN 或专线网关）之间流量的访问控制，做好业务隔离，有效拦截内部网络之间的未授权访问。

VPC 边界防火墙引流原理

云防火墙通过 TR 中转路由器自定义路由的方式进行流量牵引，以下图场景为例，介绍云防火墙引流工作原理。

某企业部署了开发 VPC（192.168.1.0/24，192.168.2.0/24）和测试 VPC（172.16.1.0/24，172.16.2.0/24），这些 VPC 均已通过 TR 中转路由器进行双向连接。现在需要将 VPC 之间流量引流至云防火墙。

防火墙引流配置

1. 登录云防火墙控制台，在左侧导航栏，单击防火墙开关。

2. 在防火墙开关页面，点击 VPC 边界防火墙。

3. 在下方表格中选择需要防护的中转路由器点击【新建云防火墙】，并在引流模式中选择【自动引流】。

4. 进行防火墙创建配置。

   参数	说明	取值样例
   防火墙名称	根据业务实际情况自定义 VPC 防火墙名称，用于识别 VPC 防火墙实例。	开发-测试-业务防火墙
   防护带宽规格	您需要根据实际业务流量大小为该 VPC 防火墙分配防护带宽。当业务流量带宽超过防护带宽时，云防火墙会发送短信、邮件、站内信告警通知。	200Mbps
   防火墙 VPC 网段	为 VPC 防火墙配置所在 VPC 网段和子网网段，防火墙子网用于部署防火墙实例，流量越大部署的实例越多，占用 IP 越多。 云防火墙 VPC3 个子网网段的掩码建议小于等于 28 位，且不与网络规划的网段冲突。云防火墙子网用于流量牵引和备份容灾。	192.168.10.0/24
   VPC 子网 1 网段		192.168.10.16/28
   VPC 子网 2 网段		192.168.0.32/28
   VPC 子网 3 网段		192.168.0.48/28
   所属项目	选择VPC防火墙所属的项目。 若进入创建页面前，在顶部导航栏选择账号全部资源，则您可以下拉选择已有项目。 若进入创建页面前，在顶部导航栏选择目标项目，则仅支持选择目标项目。	default(默认项目)
   标签	按需防火墙添加一个或多个用户标签。 标签由标签键（Key）和标签值（Value）两部分组成，对公网NAT网关进行标记和分类。单击添加标签可添加多个标签，最多可同时添加20个标签。	标签键：cfw-key 标签值：cfw-test

5. 进行引流场景配置。

   引流场景名称	定义引流场景的名称。该名称用于标记引流场景类型，建议您根据业务的实际情况输入具有意义的名称。	业务 VPC 引流
   引流场景选择	根据网络实例（VPC、专线、VPN）防护需求，选择引流场景类型。 点到点：两个网络实例之间流量经过云防火墙管控。适用于简单的网络拓扑环境。 点到多点：一个网络实例与多个网络实例之间的流量经过云防火墙管控。适用于星形网络拓扑环境；左侧网络实例可以与右侧多实例之间流量通过云防火墙，右侧多实例之间流量不经过云防火墙。 多点互联：多个网络实例之间的流量经过云防火墙管控。适用于 FullMesh 网状网络拓扑环境。	点到点
   实例选择	配置需要引流的网络实例	开发 VPC 测试 VPC

防火墙引流路由介绍

云防火墙引流架构图如下图所示，开发 VPC 访问测试 VPC 整个过程如下。

1. 开发 VPC 请求流量转发至云防火墙进行检查：开发 VPC -> TR 中转路由器 -> VPC 边界防火墙。
2. 云防火墙将检查后流量转发至测试 VPC：VPC 边界防火墙 -> TR 转路由器 -> 测试 VPC。
3. 测试 VPC 将响应流量转发至云防火墙进行检查：测试 VPC -> TR 中转路由器 -> VPC 边界防火墙。
4. 云防火墙将检查后流量转发至开发 VPC：VPC 边界防火墙 -> TR 转路由器 -> 开发 VPC。
   

中转路由器路由表如下所示。

最佳实践：

• VPC与VPC之间流量访问控制（自动引流配置）
• VPC与专线之间流量访问控制（自动引流配置）
• VPC与VPN之间流量访问控制（手动引流配置）
• VPN与专线之间流量访问控制（手动引流配置）