本文介绍如何开启、关闭和编辑VPC边界防火墙。
注意
本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
前提条件
- 已开通云防火墙企业版、旗舰版。
- 已购买TR中转路由器,并且使用中转路由器完成了VPC之间或VPC与VPN、VPC与专线之间的网络互通。具体操作,请参见实现指定VPC之间的互通与隔离、实现不同VPC与IDC之间的独立互通。
使用限制
- 当中转路由器的路由表中存在
100.64.0.0/10内的静态路由时,不支持引流配置。 - 不支持路由冲突的VPC网络实例引流配置,包括VPC网络实例之间路由冲突、VPC网络实例与防火墙VPC路由冲突,否则配置自动引流场景后网络会中断,建议请根据业务合理规划防火墙VPC网段和VPC网络实例网段。
- 自动引流模式不支持IPsec-VPN实例。
- VPC防火墙暂不支持IPv6场景。
注意事项
说明
- 自动引流模式下,开启和关闭 VPC 边界防火墙,对业务无影响。
- 手动引流模式下,开启和关闭VPC边界防火墙,需要用户配置正确路由表以及兜底路由表。
- 当引流实例存在专线网关时,关闭云防火墙会存在几秒钟网络延迟以及可能会造成业务中断,建议您在业务低峰期进行开启和操作。
中转路由器防护概览
登录云防火墙控制台,在左侧导航栏,单击防火墙开关。
在防火墙开关页面,点击VPC边界防火墙。
查看当前中转路由器防护概览,一个TR中转路由器实例对应一个VPC边界防火墙。
参数
说明
未防护
展示未创建VPC防火墙的TR中转路由器实例数量。
已防护/实例授权规格
已防护:已经创建VPC防火墙数量。
实例授权规格:您当前购买的VPC防火墙实例规格。已防护带宽规格/带宽授权规格
已防护带宽规格:VPC防火墙已经配置的防护带宽规格总和。
带宽授权规格:您当前购买的VPC防火墙带宽授权规格。
创建VPC边界防火墙
- 在VPC防火墙表格中选择需要防护的中转路由器点击【新建云防火墙】。
- 参考下表,配置相关参数,并单击“提交下一步”按钮,完成操作。
选择引流模式
参数 | 说明 |
|---|---|
自动引流(推荐) |
|
手动引流 |
|
新建VPC边界防火墙
引流模式选择完后,需进行防火墙创建配置。
参数
说明
取值样例
防火墙名称
根据业务实际情况自定义VPC防火墙名称,用于识别VPC防火墙实例。
IDC-火山防火墙
防护带宽规格
您需要根据实际业务流量大小为该VPC防火墙分配防护带宽。当业务流量带宽超过防护带宽时,云防火墙会发送短信、邮件、站内信告警通知。
500Mbps
防火墙VPC网段
- 为 VPC 防火墙配置所在 VPC 网段和子网网段,防火墙子网用于部署防火墙实例,流量越大部署的实例越多,占用 IP 越多。
- 云防火墙 VPC3 个子网网段的掩码建议小于等于 28 位,且不与网络规划的网段冲突。云防火墙子网用于流量牵引和备份容灾。
192.168.0.0/24
VPC子网1网段
192.168.0.16/28
VPC子网2网段
192.168.0.32/28
VPC子网3网段
192.168.0.48/28
所属项目
选择VPC防火墙所属的项目,更多项目详情,请参见项目概述。
- 若进入创建页面前,在顶部导航栏选择账号全部资源,则您可以下拉选择已有项目。
- 若进入创建页面前,在顶部导航栏选择目标项目,则仅支持选择目标项目。
default(默认项目)
标签
按需防火墙添加一个或多个用户标签。更多标签详情,请参见标签概述。
标签由标签键(Key)和标签值(Value)两部分组成,对公网NAT网关进行标记和分类。单击添加标签可添加多个标签,最多可同时添加20个标签。标签键:cfw-key
标签值:cfw-test单击“提交下一步”按钮,进行引流配置。若选择“手动引流配置”,则需要您在TR中转路由器上进行路由配置手动引流。
云防火墙引流配置(自动引流)
在云防火墙创建完成后,需进行引流配置。
配置项
配置说明
配置参数
引流场景名称
定义引流场景的名称。该名称用于标记引流场景类型,建议您根据业务的实际情况输入具有意义的名称。
IDC与业务VPC引流
引流场景选择
根据网络实例(VPC、专线、VPN)防护需求,选择引流场景类型。
- 点到点:两个网络实例之间流量经过云防火墙管控。适用于简单的网络拓扑环境。
- 点到多点:一个网络实例与多个网络实例之间的流量经过云防火墙管控。适用于星形网络拓扑环境;左侧网络实例可以与右侧多实例之间流量通过云防火墙,右侧多实例之间流量不经过云防火墙。
- 多点互联:多个网络实例之间的流量经过云防火墙管控。适用于FullMesh网状网络拓扑环境。
多点互联
实例选择
配置需要引流的网络实例(多点互联)
业务VPC
IDC单击“提交下一步”按钮,完成引流配置,创建引流过程时间较长,预计在10分钟左右(路由条目数越多时间越长)。完成后,即可实现对中转路由器连接的网络实例之间的流量防护。
完成引流配置后,云防火墙会在TR中转路由器中创建以下资源。
- TR中转路由器新增一个“CFW_system_请勿编辑”的网络实例连接,该实例为VPC防火墙实例。
- 路由表中新增若干个“CFW_system_请勿编辑”的路由表,关联转发分别关联网络实例和VPC防火墙,用于防火墙和网络实例之间流量牵引。
注意
- 请勿编辑TR中VPC防火墙网络实例连接以及相关路由表,可能会导致流量中断。
- 当云防火墙开关关闭或服务到期时,系统会自动将 VPC 实例的流量转发至系统路由表。为确保业务正常运行,请您务必在系统路由表中配置相应的兜底路由
编辑或删除VPC防火墙
编辑或删除引流场景
- 在VPC防火墙表格中选择需要防护的中转路由器点击【详情】。
- 编辑和删除引流场景。
- 编辑:选择对应的引流场景,点击引流场景卡片右上角【编辑】按钮,对引流实例进行删除、修改等操作。
- 删除:选择对应的引流场景,点击引流场景卡片右上角【关闭】按钮。在引流场景关闭后,点击引流场景卡片右上角【删除】按钮,完成删除操作。
编辑或删除VPC边界防火墙
- 在下方表格中选择对应的VPC边界防火墙点击【详情】。
- 编辑和删除云防火墙。
- 编辑:您可以修改VPC边界防火墙的“防火墙名称”、“防护带宽规格”、“标签”。
- 删除:删除云防火墙后,业务流量将不受云防火墙的访问控制,请谨慎删除。
注意
为避免业务中断,删除VPC云防火墙实例前,需要注意一下事项:
- 手动模式下,需要提前删除指向 VPC 边界防火墙的路由,再删除防火墙实例。
- 自动模式下,如果防火墙为开启状态,需要先删除所有引流场景,再删除防火墙实例。