凯发k8国际娱乐官网入口-k8凯发> 云防火墙 cfw> 最佳实践> vpc边界防火墙配置
更新时间:2023-12-22 gmt 08:00

vpc边界防火墙配置-凯发k8国际娱乐官网入口

应用场景

vpc边界防火墙能够检测和统计vpc间的通信流量数据,帮助您发现异常流量。

约束条件

  • “专业版”支持vpc边界防火墙。
  • 依赖企业路由器(enterprise router, er)服务引流。
  • 若您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级nat保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您进行私网网段扩容,否则云防火墙可能无法正常转发您vpc间的流量。

适用版本

新版vpc边界防火墙

判断方法:

通过创建vpc边界防火墙的界面区分,界面如图 vpc边界防火墙(新版)所示为新版vpc边界防火墙,界面如图 创建vpc间防火墙(旧版)所示为旧版vpc边界防火墙。
图1 vpc边界防火墙(新版)
图2 创建vpc边界防火墙(旧版)

配置原理

您需要按以下步骤操作:

  1. 创建防火墙(以命名vpc-cfw-er为例)并关联子网,请参见创建防火墙
  2. 如您新创建了企业路由器,请参见配置企业路由器(新创建企业路由器),分解操作如下:
    1. 配置所有vpc(包括防火墙vpc和需要互联的vpc)的路由转向企业路由器,请参见3 将路由转向企业路由器。
    2. 创建所有vpc(包括防火墙vpc和需要互联的vpc)的连接,请参见5 添加连接
    3. 创建两个路由表(以er-rt1和er-rt2为例),请参见6 创建两个路由表
    4. 配置关联路由表er-rt1将流量从vpc传输到云防火墙,请参见7 配置路由表er-rt1

      配置传播路由表er-rt2将流量从云防火墙传输到vpc,请参见8 配置路由表er-rt2

    5. 开启防护前,需验证流量只通过企业路由器时正常通信,请参见配置验证方法
  3. 如您企业路由器已产生流量,请参见配置企业路由器(已有企业路由器),分解操作如下:
    1. 创建防火墙vpc(vpc-cfw-er)的连接,请参见4. 添加防火墙连接
    2. 从默认路由表(er-rt1)中删除自动生成的防火墙vpc(vpc-cfw-er)的关联和传播功能,请参见删除关联和传播
    3. 创建一个新的路由表(er-rt2),并配置关联和传播功能,请参见6. 创建路由表er-rt27 配置路由表er-rt2
    4. 配置默认路由表(er-rt1)的静态路由及删除表中所有的传播,请参见8. 配置默认路由表er-rt1
    5. (可选)设置传播路由表为er-rt2后,添加新vpc只需添加连接,无需其他配置,设置传播路由表请参见9 更改传播路由表
图3 流量走势图

创建防火墙

  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面,如图4所示。
    图4 概览
  4. 在左侧导航栏中,选择资产管理 > vpc边界防火墙管理,进入“vpc边界防火墙管理”页面。
  5. 单击“创建防火墙”,选择企业路由器并配置合适的网段。
    • 企业路由器用于引流,选择时需满足以下限制:
      • 没有与其他防火墙实例关联。
      • 需归属本账号,非共享企业路由器。
      • 需关闭“默认路由表关联”“默认路由表传播”“自动接收共享连接”功能。
    • 网段配置后默认创建inspectionvpc将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制:
      • 创建防火墙后不支持修改网段。
      • 该网段不可与需要开启防护的私网网段重合,否则会因路由冲突,导致该网段无法防护。
      • 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
  6. 单击“确认”,需等待3-5分钟,完成防火墙创建。

配置企业路由器(新创建企业路由器)

  2. 单击管理控制台左上角的,选择区域。
  3. 配置vpc(vpc1、vpc2、vpc-cfw-er)的路由表转向企业路由器。

    在左侧导航栏中,选择网络 > 虚拟私有云 > 路由表,进入“路由表”页面,在“名称”列,单击对应vpc的路由表名称。

    单击“添加路由”,参数详情见表 添加路由参数说明

    表1 添加路由参数说明

    参数

    说明

    取值样例

    目的地址

    目的地址网段。

    须知:

    不能与已有路由和vpc下子网网段冲突。

    xx.xx.xx.0/16

    下一跳类型

    在下拉列表中,选择类型“企业路由器”

    企业路由器

    下一跳

    选择下一跳资源。

    下拉列表中将展示您创建的企业路由器名称。

    cfw-er

    描述

    路由的描述信息,非必填项。

    说明:

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -
  4. 选择网络 > 企业路由器,进入“企业路由器”页面。

    在企业路由器中添加vpc连接,操作步骤请参见。

    • 至少需要添加三条vpc连接(cfw及两个防护的vpc);每增加一个防护的vpc,都需要增加一条连接。

      例如:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对vpc1连接命名为vpc-1;对vpc2连接命名为vpc-2,需防护vpc3时,增加连接命名为vpc-3。

    • 如需防护其他帐号(如帐号b)下的vpc,请将当前帐号a的企业路由器共享至帐号b,共享步骤请参见,共享成功后在帐号b中添加连接,后续配置仍在帐号a中进行。
    • 后文示例:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对vpc1连接命名为vpc-1;对vpc2连接命名为vpc-2。
  5. 创建两个路由表er-rt1和er-rt2分别用于连接需防护的vpc和连接防火墙。

    单击企业路由器名称,进入“基本信息”页面,“路由表”页签,进入路由表设置页面,单击“创建路由表”

    图 创建路由表,参数详情见表 创建路由表参数说明

    图5 创建路由表
    表2 创建路由表参数说明

    参数名称

    参数说明

    取值样例

    名称

    输入路由表的名称。要求如下:

    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

    er-rt1/er-rt2

    描述

    您可以根据需要在文本框中输入对该路由表的描述信息。

    -

    标签

    您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

    关于标签更详细的说明,请参见。

    “标签键”:test

    “标签值”:01
  6. 配置关联路由表er-rt1:设置关联和路由功能。
    1. 在路由表设置页面,选择用于连接需防护vpc的路由表(er-rt1),单击“关联”页签,单击“创建关联”
      图 创建关联,参数详情见表 创建关联参数说明
      图6 创建关联
      表3 创建vpc1关联参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(vpc)”

      虚拟私有云(vpc)

      连接

      在连接下拉列表中,选择需防护的vpc连接。

      vpc-1
      表4 创建vpc2关联参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(vpc)”

      虚拟私有云(vpc)

      连接

      在连接下拉列表中,选择需防护的vpc连接。

      vpc-2
    2. 创建同一路由表(er-rt1)的路由功能。单击“路由”页签,单击“创建路由”,根据实际数量创建路由功能。

      图 创建路由,参数详情见表 创建路由参数说明

      图7 创建路由
      表5 创建路由参数说明

      参数名称

      参数说明

      目的地址

      设置目的地址,设置为:0.0.0.0/0。

      黑洞路由

      建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。

      连接类型

      选择连接类型“云防火墙(cfw)”

      下一跳

      下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。
  7. 配置传播路由表er-rt2:设置关联和传播功能。
    1. 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-rt2),单击“创建关联”

      图 创建关联,参数详情见表 创建关联参数说明

      图8 创建关联
      表6 创建关联参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型“云防火墙(cfw)”

      连接

      下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。
    2. 创建同一路由表(er-rt2)的传播功能。单击“传播”页签,单击“创建传播”.。

      图 创建传播,参数详情见表 创建传播参数说明

      图9 创建传播
      表7 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(vpc)”

      虚拟私有云(vpc)

      传播

      在传播下拉列表中,选择需防护的vpc连接。

      vpc-1
      表8 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(vpc)”

      虚拟私有云(vpc)

      传播

      在传播下拉列表中,选择需防护的vpc连接。

      vpc-2
      • 传播至少需要添加两条,每增加一个防护的vpc,都需增加一条传播。

        例如:选择vpc1的连接vpc-1以及vpc2的连接vpc-2,需防护vpc3时,增加一条传播,选择连接vpc-3。

      • 创建传播后,会自动将连接的路由信息学习到er路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
      • 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
      • 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。

配置验证方法

前提条件

  • 已完成全部配置步骤。
  • 两个vpc中各有一台ecs。

验证方式

vpc中的ecs互相ping,确定流量未经过防火墙时是否正常通信。

故障定位

  1. 企业路由器的两个路由表配置是否正确。正确配置方式请参见配置企业路由器操作步骤7配置企业路由器操作步骤8
  2. 检查vpc1和vpc2的默认路由表是否将路由转向企业路由器。配置方式请参见配置企业路由器操作步骤3

配置企业路由器(已有企业路由器)

适用场景

用户当前已有企业路由器(例如vpc-cfw-er),产生流量并开启默认路由表(er-rt1)关联和传播功能,不适用标准方案时可执行此方案。

操作步骤

  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,选择网络 > 企业路由器,进入“企业路由器”页面。
  4. 添加防火墙连接。

    单击企业路由器右上方“管理连接”,进入“连接”页面。单击“添加连接”,弹出“添加连接”对话框,填写参数如表 添加连接参数说明所示,添加后自动生成防火墙vpc的关联和传播功能。

    表9 添加连接参数说明

    参数名称

    参数说明

    取值样例

    名称

    输入连接的名称。要求如下:

    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

    cfw-er-auto

    连接类型
    • 连接类型:虚拟私有云(vpc)。
    • 虚拟私有云:下拉列表中选择创建的防火墙。
    • 子网:选择云防火墙关联的子网。
    • 连接类型:虚拟私有云(vpc)
    • 虚拟私有云:vpc-cfw-er
    • 子网:cfw-er-1(xx.xx.1.0/24)

    配置连接侧路由
    • 开启:在虚拟私有云的所有路由表中自动添加指向企业路由器的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。
    • 关闭:如果虚拟私有云路由表中的路由与这三个网段冲突,则会添加失败。此时建议您不要开启该选项,并在企业路由器创建完成后,手动。

    开启

    描述

    您可以根据需要在文本框中输入对该路由表的描述信息。

    -

    标签

    您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

    关于标签更详细的说明,请参见。

    “标签键”:test

    “标签值”:01
  5. 从默认路由表er-rt1中删除防火墙vpc(vpc-cfw-er)的关联和传播。

    选择路由表 > 关联 ,在防火墙vpc行的“操作”列,单击“删除”,在删除确认框中,单击“是”

    选择传播 ,在防火墙vpc行的“操作”列,单击“删除”,在删除确认框中,单击“是”

  6. 创建路由表er-rt2。

    单击页面左上角“创建路由表”

    图 创建路由表,参数详情见表 创建路由表参数说明

    图10 创建路由表
    表10 创建路由表参数说明

    参数名称

    参数说明

    取值样例

    名称

    输入路由表的名称。要求如下:

    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

    er-rt2

    描述

    您可以根据需要在文本框中输入对该路由表的描述信息。

    -

    标签

    您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

    关于标签更详细的说明,请参见。

    “标签键”:test

    “标签值”:01
  7. 配置路由表er-rt2:设置关联和传播功能。
    1. 选择路由表er-rt2,单击“关联”页签,单击“创建关联”

      图 创建关联,参数详情见表 创建关联参数说明

      图11 创建关联
      表11 创建关联参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“云防火墙(cfw)”

      虚拟私有云(vpc)

      关联

      在连接下拉列表中,选择防火墙vpc的连接。

      cfw-er-auto
    2. 创建同一路由表(er-rt2)的传播功能。单击“传播”页签,单击“创建传播”.。

      图 创建传播,参数详情见表 创建传播参数说明

      图12 创建传播
      表12 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(vpc)”

      虚拟私有云(vpc)

      传播

      在传播下拉列表中,选择需防护的vpc连接。

      vpc-1
      表13 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(vpc)”

      虚拟私有云(vpc)

      传播

      在传播下拉列表中,选择需防护的vpc连接。

      vpc-2
      • 传播至少需要添加两条,每增加一个防护的vpc,都需增加一条传播。

        例如:选择vpc1的连接vpc-1以及vpc2的连接vpc-2,需防护vpc3时,增加一条传播,选择连接vpc-3。

      • 创建传播后,会自动将连接的路由信息学习到er路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
      • 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
      • 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。
  8. 配置默认路由表er-rt1:
    1. 添加静态路由。选择路由表er-rt1,单击路由页签,单击“创建路由”,填写信息如下:
      • 目的地址:0.0.0.0/0。
      • 连接类型:虚拟私有云(vpc)
      • 下一跳:选择防火墙vpc的连接(cfw-er-auto)。
        图13 添加静态路由
    2. 删除路由表er-rt1中的传播。

      单击传播页签,在“操作”列中,单击“删除”,在删除确认框中,单击“是”

      需删除路由表er-rt1中所有传播。

  9. 可选操作。建议您将当前企业路由器的传播路由表改为新创建的路由表(er-rt2),后续添加新vpc时,仅需添加连接,无需进行其他操作。
    返回或进入企业路由器,单击“更多 > 修改配置”,选择传播路由表为er-rt2。如图14所示。
    图14 修改配置

    如需防护其他帐号(如帐号b)下的vpc,请将当前帐号a的企业路由器共享至帐号b,共享步骤请参见,共享成功后在帐号b中添加连接即可完成配置。

分享:
网站地图