vpc边界防火墙配置-凯发k8国际娱乐官网入口
应用场景
vpc边界防火墙能够检测和统计vpc间的通信流量数据,帮助您发现异常流量。
约束条件
- 仅“专业版”支持vpc边界防火墙。
- 依赖企业路由器(enterprise router, er)服务引流。
- 若您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级nat保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况,请您进行私网网段扩容,否则云防火墙可能无法正常转发您vpc间的流量。
适用版本
新版vpc边界防火墙
判断方法:
配置原理
您需要按以下步骤操作:
- 创建防火墙(以命名vpc-cfw-er为例)并关联子网,请参见创建防火墙。
- 如您新创建了企业路由器,请参见配置企业路由器(新创建企业路由器),分解操作如下:
- 配置所有vpc(包括防火墙vpc和需要互联的vpc)的路由转向企业路由器,请参见3 将路由转向企业路由器。
- 创建所有vpc(包括防火墙vpc和需要互联的vpc)的连接,请参见5 添加连接。
- 创建两个路由表(以er-rt1和er-rt2为例),请参见6 创建两个路由表。
- 配置关联路由表er-rt1将流量从vpc传输到云防火墙,请参见7 配置路由表er-rt1。
配置传播路由表er-rt2将流量从云防火墙传输到vpc,请参见8 配置路由表er-rt2。
- 开启防护前,需验证流量只通过企业路由器时正常通信,请参见配置验证方法。
- 如您企业路由器已产生流量,请参见配置企业路由器(已有企业路由器),分解操作如下:
- 创建防火墙vpc(vpc-cfw-er)的连接,请参见4. 添加防火墙连接。
- 从默认路由表(er-rt1)中删除自动生成的防火墙vpc(vpc-cfw-er)的关联和传播功能,请参见删除关联和传播。
- 创建一个新的路由表(er-rt2),并配置关联和传播功能,请参见6. 创建路由表er-rt2和7 配置路由表er-rt2。
- 配置默认路由表(er-rt1)的静态路由及删除表中所有的传播,请参见8. 配置默认路由表er-rt1。
- (可选)设置传播路由表为er-rt2后,添加新vpc只需添加连接,无需其他配置,设置传播路由表请参见9 更改传播路由表。
创建防火墙
- 。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择图4所示。
,进入云防火墙的概览页面,如图4 概览
- 在左侧导航栏中,选择“vpc边界防火墙管理”页面。 ,进入
- 单击“创建防火墙”,选择企业路由器并配置合适的网段。
- 企业路由器用于引流,选择时需满足以下限制:
- 没有与其他防火墙实例关联。
- 需归属本账号,非共享企业路由器。
- 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。
- 网段配置后默认创建inspectionvpc将流量转发至云防火墙,并自动分配云墙关联子网,将云防火墙流量转发到企业路由器,选择时需注意以下限制:
- 创建防火墙后不支持修改网段。
- 该网段不可与需要开启防护的私网网段重合,否则会因路由冲突,导致该网段无法防护。
- 10.6.0.0/16-10.7.0.0/16网段为防火墙保留网段,不可使用。
- 企业路由器用于引流,选择时需满足以下限制:
- 单击“确认”,需等待3-5分钟,完成防火墙创建。
配置企业路由器(新创建企业路由器)
- 。
- 单击管理控制台左上角的,选择区域。
- 配置vpc(vpc1、vpc2、vpc-cfw-er)的路由表转向企业路由器。
在左侧导航栏中,选择“路由表”页面,在“名称”列,单击对应vpc的路由表名称。
,进入单击“添加路由”,参数详情见表 添加路由参数说明。
表1 添加路由参数说明 参数
说明
取值样例
目的地址
目的地址网段。
须知:不能与已有路由和vpc下子网网段冲突。
xx.xx.xx.0/16
下一跳类型
在下拉列表中,选择类型“企业路由器”。
企业路由器
下一跳
选择下一跳资源。
下拉列表中将展示您创建的企业路由器名称。
cfw-er
描述
路由的描述信息,非必填项。
说明:描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-
- 选择“企业路由器”页面。 ,进入
在企业路由器中添加vpc连接,操作步骤请参见。
- 至少需要添加三条vpc连接(cfw及两个防护的vpc);每增加一个防护的vpc,都需要增加一条连接。
例如:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对vpc1连接命名为vpc-1;对vpc2连接命名为vpc-2,需防护vpc3时,增加连接命名为vpc-3。
- 如需防护其他帐号(如帐号b)下的vpc,请将当前帐号a的企业路由器共享至帐号b,共享步骤请参见,共享成功后在帐号b中添加连接,后续配置仍在帐号a中进行。
- 后文示例:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对vpc1连接命名为vpc-1;对vpc2连接命名为vpc-2。
- 至少需要添加三条vpc连接(cfw及两个防护的vpc);每增加一个防护的vpc,都需要增加一条连接。
- 创建两个路由表er-rt1和er-rt2分别用于连接需防护的vpc和连接防火墙。
单击企业路由器名称,进入“基本信息”页面,“路由表”页签,进入路由表设置页面,单击“创建路由表”。
如图 创建路由表,参数详情见表 创建路由表参数说明。
图5 创建路由表
表2 创建路由表参数说明 参数名称
参数说明
取值样例
名称
输入路由表的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
er-rt1/er-rt2
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见。
“标签键”:test
“标签值”:01
- 配置关联路由表er-rt1:设置关联和路由功能。
- 在路由表设置页面,选择用于连接需防护vpc的路由表(er-rt1),单击“关联”页签,单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明。图6 创建关联
表3 创建vpc1关联参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(vpc)”。
虚拟私有云(vpc)
连接
在连接下拉列表中,选择需防护的vpc连接。
vpc-1
表4 创建vpc2关联参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(vpc)”。
虚拟私有云(vpc)
连接
在连接下拉列表中,选择需防护的vpc连接。
vpc-2
- 创建同一路由表(er-rt1)的路由功能。单击“路由”页签,单击“创建路由”,根据实际数量创建路由功能。
如图 创建路由,参数详情见表 创建路由参数说明。
图7 创建路由
表5 创建路由参数说明 参数名称
参数说明
目的地址
设置目的地址,设置为:0.0.0.0/0。
黑洞路由
建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。
连接类型
选择连接类型“云防火墙(cfw)”。
下一跳
在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。
- 在路由表设置页面,选择用于连接需防护vpc的路由表(er-rt1),单击“关联”页签,单击“创建关联”。
- 配置传播路由表er-rt2:设置关联和传播功能。
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-rt2),单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明 。
图8 创建关联
表6 创建关联参数说明 参数名称
参数说明
连接类型
选择连接类型“云防火墙(cfw)”。
连接
在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。
- 创建同一路由表(er-rt2)的传播功能。单击“传播”页签,单击“创建传播”.。
如图 创建传播,参数详情见表 创建传播参数说明。
图9 创建传播
表7 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(vpc)”。
虚拟私有云(vpc)
传播
在传播下拉列表中,选择需防护的vpc连接。
vpc-1
表8 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(vpc)”。
虚拟私有云(vpc)
传播
在传播下拉列表中,选择需防护的vpc连接。
vpc-2
- 传播至少需要添加两条,每增加一个防护的vpc,都需增加一条传播。
例如:选择vpc1的连接vpc-1以及vpc2的连接vpc-2,需防护vpc3时,增加一条传播,选择连接vpc-3。
- 创建传播后,会自动将连接的路由信息学习到er路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
- 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
- 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。
- 传播至少需要添加两条,每增加一个防护的vpc,都需增加一条传播。
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表(er-rt2),单击“创建关联”。
配置验证方法
前提条件
- 已完成全部配置步骤。
- 两个vpc中各有一台ecs。
验证方式
vpc中的ecs互相ping,确定流量未经过防火墙时是否正常通信。
故障定位
- 企业路由器的两个路由表配置是否正确。正确配置方式请参见配置企业路由器操作步骤7和配置企业路由器操作步骤8。
- 检查vpc1和vpc2的默认路由表是否将路由转向企业路由器。配置方式请参见配置企业路由器操作步骤3。
配置企业路由器(已有企业路由器)
适用场景
用户当前已有企业路由器(例如vpc-cfw-er),产生流量并开启默认路由表(er-rt1)关联和传播功能,不适用标准方案时可执行此方案。
操作步骤
- 。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,选择“企业路由器”页面。 ,进入
- 添加防火墙连接。
单击企业路由器右上方“管理连接”,进入“连接”页面。单击“添加连接”,弹出“添加连接”对话框,填写参数如表 添加连接参数说明所示,添加后自动生成防火墙vpc的关联和传播功能。
表9 添加连接参数说明 参数名称
参数说明
取值样例
名称
输入连接的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
cfw-er-auto
连接类型
- 连接类型:虚拟私有云(vpc)。
- 虚拟私有云:下拉列表中选择创建的防火墙。
- 子网:选择云防火墙关联的子网。
- 连接类型:虚拟私有云(vpc)
- 虚拟私有云:vpc-cfw-er
- 子网:cfw-er-1(xx.xx.1.0/24)
配置连接侧路由
- 开启:在虚拟私有云的所有路由表中自动添加指向企业路由器的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。
- 关闭:如果虚拟私有云路由表中的路由与这三个网段冲突,则会添加失败。此时建议您不要开启该选项,并在企业路由器创建完成后,手动。
开启
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见。
“标签键”:test
“标签值”:01
- 从默认路由表er-rt1中删除防火墙vpc(vpc-cfw-er)的关联和传播。
选择“操作”列,单击“删除”,在删除确认框中,单击“是”。
,在防火墙vpc行的选择“操作”列,单击“删除”,在删除确认框中,单击“是”。
,在防火墙vpc行的 - 创建路由表er-rt2。
单击页面左上角“创建路由表”。
如图 创建路由表,参数详情见表 创建路由表参数说明。
图10 创建路由表
表10 创建路由表参数说明 参数名称
参数说明
取值样例
名称
输入路由表的名称。要求如下:
- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
er-rt2
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见。
“标签键”:test
“标签值”:01
- 配置路由表er-rt2:设置关联和传播功能。
- 选择路由表er-rt2,单击“关联”页签,单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明 。
图11 创建关联
表11 创建关联参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“云防火墙(cfw)”。
虚拟私有云(vpc)
关联
在连接下拉列表中,选择防火墙vpc的连接。
cfw-er-auto
- 创建同一路由表(er-rt2)的传播功能。单击“传播”页签,单击“创建传播”.。
如图 创建传播,参数详情见表 创建传播参数说明。
图12 创建传播
表12 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(vpc)”。
虚拟私有云(vpc)
传播
在传播下拉列表中,选择需防护的vpc连接。
vpc-1
表13 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(vpc)”。
虚拟私有云(vpc)
传播
在传播下拉列表中,选择需防护的vpc连接。
vpc-2
- 传播至少需要添加两条,每增加一个防护的vpc,都需增加一条传播。
例如:选择vpc1的连接vpc-1以及vpc2的连接vpc-2,需防护vpc3时,增加一条传播,选择连接vpc-3。
- 创建传播后,会自动将连接的路由信息学习到er路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
- 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
- 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。
- 传播至少需要添加两条,每增加一个防护的vpc,都需增加一条传播。
- 选择路由表er-rt2,单击“关联”页签,单击“创建关联”。
- 配置默认路由表er-rt1:
- 添加静态路由。选择路由表er-rt1,单击“创建路由”,填写信息如下:
- 目的地址:0.0.0.0/0。
- 连接类型:虚拟私有云(vpc)。
- 下一跳:选择防火墙vpc的连接(cfw-er-auto)。
图13 添加静态路由
页签,单击 - 删除路由表er-rt1中的传播。
单击“操作”列中,单击“删除”,在删除确认框中,单击“是”。
页签,在需删除路由表er-rt1中所有传播。
- 添加静态路由。选择路由表er-rt1,单击“创建路由”,填写信息如下:
- 可选操作。建议您将当前企业路由器的传播路由表改为新创建的路由表(er-rt2),后续添加新vpc时,仅需添加连接,无需进行其他操作。
返回或进入“更多 > 修改配置”,选择传播路由表为er-rt2。如图14所示。,单击图14 修改配置
如需防护其他帐号(如帐号b)下的vpc,请将当前帐号a的企业路由器共享至帐号b,共享步骤请参见,共享成功后在帐号b中添加连接即可完成配置。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨