如果您的網路執行個體(VPC、VBR、CCN、VPN)通過雲企業網的企業版轉寄路由器串連,可以通過VPC邊界防火牆防護網路執行個體之間的流量,提高業務資產的安全性。本文介紹如何建立和管理企業版轉寄路由器的VPC邊界防火牆。
功能介紹
防護原理
開啟VPC邊界防火牆後,Cloud Firewall會基於DPI流量分析、IPS入侵防禦規則、威脅情報、虛擬補丁、存取控制策略等,對VPC互訪的流量進行過濾,判斷流量是否滿足允許存取條件,有效攔截非法的訪問流量,保障私網資產之間的流量安全。
企業版轉寄路由器VPC邊界防火牆的防護情境樣本如下圖所示:
關於防護範圍,請參見什麼是Cloud Firewall。
對業務的影響
建立VPC邊界防火牆時,您無需更改當前的網路拓撲,可以一鍵建立VPC邊界防火牆並設定引流模式(自動引流或者手動引流),實現對業務資產的保護,對業務無影響。建立時間長度約5分鐘。建議您在業務低峰期開啟VPC邊界防火牆。
自動引流模式下,開啟和關閉VPC邊界防火牆,預計約需要5~30分鐘(取決於路由條目數),對業務無影響。
手動引流模式下,開啟和關閉VPC邊界防火牆,業務影響時間不定,取決於切流方式。
使用限制
開啟VPC邊界防火牆時,需要新增一個命名為Cloud_Firewall_VPC的VPC執行個體,請確保您帳號下有足夠的可建立的VPC數。關於VPC的數量限制,請參見限制與配額。
自動引流模式不支援以下情境:
企業版轉寄路由器的路由表記憶體在靜態路由(100.64.0.0/10網段及其子網段的靜態路由除外)
VPC執行個體、VBR執行個體、TR執行個體同時存在多個引流情境
將基礎版轉寄路由器添加到引流模式
有路由衝突的轉寄路由器
VPC的首碼列表功能
VPC邊界防火牆不支援防護VPN網關(如IPsec-VPN、SSL VPN)直接連接到VPC內的情境;但支援防護IPsec-VPN綁定到轉寄路由器的情境,更多內容,請參見IPsec-VPN應用情境(綁定轉寄路由器)。
VPC邊界防火牆不支援防護IPv6流量。
建立VPC邊界防火牆並設定引流模式
前提條件
已開通企業版、旗艦版Cloud Firewall。具體操作,請參見購買Cloud Firewall服務。
只有Cloud Firewall企業版和旗艦版支援配置企業版轉寄路由器的VPC邊界防火牆。
已授權Cloud Firewall訪問雲資源。具體操作,請參見授權Cloud Firewall訪問雲資源。
已購買了雲企業網執行個體,且已使用企業版轉寄路由器完成了VPC之間網路互聯或者雲上和雲下網路互連。具體操作,請參見雲上雲下網路互連、跨帳號VPC互連。
說明在雲企業網中存在跨帳號開通的VPC時,如果跨帳號開通的VPC未獲得Cloud Firewall的授權,您將無法建立VPC邊界防火牆。建議您使用對應帳號登入Cloud Firewall完成授權後,再開啟VPC邊界防火牆。具體操作,請參見授權Cloud Firewall訪問雲資源。
確保您網路資源所在的地區都是VPC邊界防火牆支援的地區,否則會導致無法開啟VPC邊界防火牆。具體資訊,請參見支援的地區。
操作步驟
VPC開牆啟動過程中不支援回退和暫停,如果出現異常系統會自動回退。
登入Cloud Firewall控制台,在左側導覽列,單擊防火牆開關。。
在防火牆開關頁面,單擊VPC邊界防火牆。
在VPC邊界防火牆頁簽,單擊雲企業網(企業版)。
定位到目標VPC邊界防火牆的雲企業網執行個體下的轉寄路由器,單擊操作列的建立。
如果在資產列表中沒有需要開啟保護的資產,您可以單擊同步資產,同步當前阿里雲帳號及其成員帳號的資產資訊。
重要自動引流模式下:如果您的防火牆版本為隨用隨付版或開通了彈性後付費功能的訂用帳戶版,由VPC防火牆處理後發回企業版轉寄路由器的網路TR流量費,資費由Cloud Firewall承擔,無需使用者承擔,同時也不會佔用使用者的VPC規格。
手動引流模式下:流量由VPC防火牆處理後發回企業版轉寄路由器會產生網路TR流量費,請悉知。
自动引流模式(推薦)
自動引流模式下,您可以結合自身業務情況建立網路執行個體層級引流情境,VPC邊界防火牆會根據引流情境自動在企業版轉寄路由器上配置路由,並自動建立VPC邊界防火牆彈性網卡完成流量牽引。
在创建VPC防火墙面板,按照下表介紹配置VPC邊界防火牆。然後單擊一鍵開啟檢查,檢查完成後,單擊下一步。
配置項
說明
防火墙基本信息
防火墙名称:定義VPC邊界防火牆的名稱。該名稱用於識別VPC邊界防火牆執行個體,建議您根據業務的實際情況輸入具有意義的名稱,並保證名稱的唯一性。
防火墙VPC的配置
為Cloud Firewall分配VPC網段,為保持Cloud Firewall正常工作,請分配一個至少27位的且不與網路規劃衝突的網段。
說明如果您的業務延時敏感,您可以自訂防火牆交換器可用性區域和業務VPC交換器可用性區域相同,以便降低延時。如果不配置,Cloud Firewall會自動為您分配可用性區域。
入侵防禦
選擇入侵防禦模組(IPS)的工作模式、入侵防禦策略。
IPS防禦模式
觀察模式:開啟觀察模式後,對惡意流量進行監控並警示。
攔截模式:開啟攔截模式後,對惡意流量進行攔截,阻斷入侵活動。
IPS防禦能力
基礎規則:開啟基礎規則後,為您的資產提供基礎的防護能力,包括爆破攔截、命令執行漏洞攔截、以及對被感染後串連C&C(命令控制)的行為進行管控。
虛擬補丁:開啟虛擬補丁後,即時防禦熱門的高危應用漏洞。
說明此設定將應用於同一雲企業網下的所有網路執行個體。
待建立完成後,單擊下一步。按照下表介紹配置引流情境。
您也可以暫時不配置引流情境,根據業務需要稍後配置。在雲企業網(企業版)頁簽,定位到目標雲企業網執行個體下的轉寄路由器,單擊防火牆狀態列下的立即配置,在引流情境頁簽,單擊立即建立引流情境,然後單擊建立引流情境進行配置。
配置項
說明
基礎資訊
模板名稱:設定引流模板的名稱。
情境類型
選擇使用VPC邊界防火牆管控和防護的情境類型。
點到點:兩個網元之間流量經過Cloud Firewall管控。適用於簡單的網路拓撲環境。
點到多點:一個網元與多個網元之間的流量經過Cloud Firewall管控。適用於星形網路拓撲環境;支援子引流執行個體選擇ALL,一鍵實現到主引流執行個體的所有流量經過Cloud Firewall管控(等同於基礎版轉寄路由器VPC邊界防火牆的引流情境)。
重要若轉寄路由器路由表存在自訂的拒絕路由策略,則不支援點到多點的引流情境,建議改成多點間互聯的引流情境。
多點間互聯:多個網元之間的流量經過Cloud Firewall管控。適用於Full Mesh網狀網路拓撲環境。
說明網元即通過企業版轉寄路由器串連的網路執行個體,包含Virtual Private Cloud執行個體、邊界路由器VBR執行個體、轉寄路由器TR執行個體。
引流對象
配置引流執行個體類型及引流執行個體ID。
重要自動模式引流下,防護VPC的數量按照引流情境配置的網元(VPC、TR、VBR、VPN)個數計量。
單擊確定。
建立引流過程時間較長,預計在30分鐘內完成引流配置。完成後,即可實現對轉寄路由器串連的網路執行個體之間的流量防護。
VPC邊界防火牆建立完成後會自動置為開啟狀態,Cloud Firewall會在Virtual Private Cloud中自動為您建立以下資源:
VPC資源:名稱為
Cloud_Firewall_VPC。重要請勿將其他業務資源加入到Cloud_Firewall_VPC,否則會導致刪除VPC邊界防火牆時,您添加的其他業務資源無法刪除。請勿手動修改和刪除此VPC內的網路資源。
交換器資源:名稱為
Cloud_Firewall_VSWITCH。自訂路由表條目:備忘資訊為
Created by cloud firewall. Do not modify or delete it.。
手動引流模式
手動引流模式下,您需要結合自身業務手動在企業版轉寄路由器上建立VPC邊界防火牆彈性網卡並配置路由,將流量牽引至VPC邊界防火牆彈性網卡。
重要手動引流模式下,您還需要選擇該雲企業網執行個體串連的VPC網路和使用的交換器。選擇了手動模式,需要在Cloud Firewall執行個體到期前及時續約,否則會導致Cloud Firewall服務不可用時該VPC邊界防火牆引流失敗,從而引起對應網路中斷。
在创建VPC防火墙面板,配置VPC邊界防火牆。
配置項
說明
防火墙基本信息
防火墙名称:定義VPC邊界防火牆的名稱。該名稱用於識別VPC邊界防火牆執行個體,建議您根據業務的實際情況輸入具有意義的名稱,並保證名稱的唯一性。
專用網路:為防火牆配置專用網路。
交換器:為防火牆配置交換器。
入侵防禦
選擇入侵防禦模組(IPS)的工作模式、入侵防禦策略。
IPS防禦模式
觀察模式:開啟觀察模式後,對惡意流量進行監控並警示。
攔截模式:開啟攔截模式後,對惡意流量進行攔截,阻斷入侵活動。
IPS防禦能力
基礎規則:開啟基礎規則後,為您的資產提供基礎的防護能力,包括爆破攔截、命令執行漏洞攔截、以及對被感染後串連C&C(命令控制)的行為管控。
虛擬補丁:開啟虛擬補丁後,即時防禦熱門的高危應用漏洞。
說明此設定將應用於同一雲企業網下的所有網路執行個體。
單擊开始创建。
說明開啟VPC邊界防火牆後,如果增加或者刪除VPC路由表資訊,Cloud Firewall需要15~30分鐘的時間完成路由學習。建議您等待Cloud Firewall路由學習完成後觀察路由表生效情況,或加入釘群(群號:33081734),聯絡產品技術專家進行諮詢。
開啟VPC邊界防火牆後,會自動添加名稱為Cloud_Firewall_Security_Group的安全性群組,並且為該安全性群組自動設定了允許存取策略(即授權策略),用於允許存取到VPC邊界防火牆的流量。
重要Cloud_Firewall_Security_Group的安全性群組和允許存取策略不可以刪除,否則會導致流量中斷。
警告建立VPC邊界防火牆後,變更所建立的Cloud FirewallVPC中的交換器及路由表,可能會導致流量中斷。
關閉或刪除企業版轉寄路由器手動引流模式VPC邊界防火牆,可能會導致流量中斷。
如果需要大量操作或頻繁開關VPC邊界防火牆,為不影響您的業務,建議在業務流量較小的低峰期進行。
後續操作
開啟VPC邊界防火牆後,您可以設定VPC邊界防火牆策略,控制VPC之間的訪問活動。具體操作,請參見VPC邊界防火牆存取原則。
開啟VPC邊界防火牆後,您可以通過VPC互訪功能,查看VPC之間的相互訪問流量。具體操作,請參見VPC互訪。
開啟VPC邊界防火牆後,您可以通過VPC防護功能,查看Cloud Firewall攔截到的VPC之間的例外狀況事件資訊。具體操作,請參見查看VPC攔截事件。
更多操作
更改自動引流模式的配置
如果您需要修改自動引流模式的配置,或者業務已不需要該自動引流模式,可以定位目標雲企業網執行個體下的轉寄路由器,單擊右側操作列詳情,在VPC邊界防火牆詳情面板的引流情境頁簽執行如下操作。
關閉引流情境
單擊已開啟的引流情境開關。
在關閉引流情境對話方塊,您可以通過路由復原或路由撤銷兩種方式關閉引流情境。
路由復原:適合關閉Cloud Firewall時,未修改過雲企業網轉寄路由器(CEN/TR)路由,需快速恢複到Cloud Firewall引流前路由情境。該復原將直接刪除Cloud Firewall引流路由表,業務恢複至原路由表。此過程預計耗時1分鐘左右。
路由撤銷:適合關閉Cloud Firewall時,修改過雲企業網轉寄路由器(CEN/TR)路由,需撤銷Cloud Firewall建立的路由情境。操作僅刪除Cloud Firewall路由條目,不刪除Cloud Firewall建立的路由表。此過程耗時與路由條目有關,路由條目越多耗時越長。
單擊確定。
重要關閉操作無法撤銷,請您操作前仔細確認。關閉完成後及時查看業務的流量情況。
刪除引流情境
將滑鼠懸浮在目標引流情境卡片上,單擊刪除,刪除該引流情境。在刪除自動引流情境前,您需要先關閉引流情境。
修改引流情境
將滑鼠懸浮在目標引流情境卡片上,單擊編輯,修改該引流情境。
查看路由明細
將滑鼠懸浮在目標引流情境卡片上,單擊路由明细,查看該VPC防火牆的引流路由明細。
編輯或刪除VPC邊界防火牆
如果您需要修改VPC邊界防火牆的配置,或者業務已不需要該VPC邊界防火牆,可以在VPC邊界防火牆的雲企業網(企業版)頁簽,定位到目標雲企業網執行個體下的轉寄路由器,單擊右側操作列的編輯或删除。
手動模式:如果確定要刪除防火牆執行個體,請提前手動刪除指向VPC邊界防火牆的路由,再刪除邊界VPC防火牆,避免業務受影響。
自動模式:如果防火牆狀態為已開啟狀態,需要先刪除當前所有引流情境,再刪除VPC邊界防火牆。
修改IPS配置
如果您需要修改IPS防禦模式、IPS防禦能力,或者需要對某些目的IP或者源IP直接允許存取(即IPS白名單)、修改IPS規則等,可以在已建立的Cloud Firewall執行個體的操作列,單擊配置IPS,在IPS配置頁面的VPC邊界頁簽進行配置。具體資訊,請參見IPS配置。