如果您的組網中VPC執行個體通過VPC對等串連或者Express Connect的方式串連,可以通過VPC邊界防火牆防護組網中VPC執行個體之間的流量,提高業務資產的安全性。本文介紹如何配置Express ConnectVPC邊界防火牆。
功能介紹
防護組網圖
關於防護範圍,請參見什麼是Cloud Firewall。
對業務的影響
建立VPC邊界防火牆時,您無需更改當前的網路拓撲,可以建立VPC邊界防火牆,實現對業務資產的保護。建立時間長度約5分鐘。對業務無影響。建議您在業務低峰期開啟VPC邊界防火牆。
開啟和關閉VPC邊界防火牆,預計約需要5~30分鐘(取決於路由條目數),過程中會出現長串連秒級閃斷,短串連無影響。
建議在開啟VPC邊界防火牆之前檢查您的應用程式是否支援TCP自動重傳機制,並密切關注應用串連狀態,以避免由於未配置重傳機制而導致的串連中斷。
使用限制
限制項 | 說明 | 處理建議 |
VPC的限制 | 開啟VPC邊界防火牆時,需要新增一個命名為Cloud_Firewall_VPC的VPC執行個體,請確保您帳號下有足夠的可建立的VPC數。關於VPC的數量限制,請參見限制與配額。 例如,同一地區內支援建立的VPC的數量預設為10個,由於開啟VPC邊界防火牆後會自動建立一個VPC,此時您最多可以再建立9個VPC。 | 如果配額已滿,您需要修改VPC配額的上限。 具體操作,請參見管理VPC配額。 |
流量類型限制 | VPC邊界防火牆不支援防護IPv6流量。 | 無 |
路由限制 | 在Express Connect中不支援防護子網路遮罩為32位的路由。如果路由的子網路遮罩為32位,開啟VPC邊界防火牆後,會導致對此網段的網路訪問中斷。 | 建議您先將網段掩碼長度修改為小於等於30後,再開啟VPC邊界防火牆,或者加入釘群(群號:33081734),聯絡產品技術專家進行諮詢。 |
建立並開啟VPC邊界防火牆
前提條件
已開通企業版、旗艦版Cloud Firewall。具體操作,請參見購買Cloud Firewall服務。
只有Cloud Firewall企業版和旗艦版支援配置Express ConnectVPC邊界防火牆。
已授權Cloud Firewall訪問雲資源。具體操作,請參見授權Cloud Firewall訪問雲資源。
已購買Express Connect執行個體,並且已使用Express Connect或者VPC對等串連完成了VPC之間的網路互聯。具體操作,請參見建立和管理VPC對等串連。
確保您網路資源所在的地區都是VPC邊界防火牆支援的地區。具體資訊,請參見支援的地區。
建立VPC邊界防火牆後,變更所建立的Cloud FirewallVPC中的交換器及路由表,可能會導致流量中斷。
操作步驟
登入Cloud Firewall控制台,在左側導覽列,單擊防火牆開關。
在VPC邊界防火牆頁簽,單擊Express Connect。
在Express Connect頁簽,單擊同步資產,系統為您同步當前帳號及其成員帳號的資產資訊。
整個過程預計需要1~2分鐘。
定位到需要建立VPC邊界防火牆的Express Connect執行個體,在操作列單擊。
如果Express Connect執行個體過多,您可以在列表上方使用地區、VPC執行個體過濾列表。
在建立VPC邊界防火牆對話方塊,完成VPC邊界防火牆配置。配置描述如下。
配置項
說明
執行個體名
定義VPC邊界防火牆的名稱。該名稱用於識別VPC邊界防火牆執行個體,建議您使用具有業務意義的名稱,並保證名稱的唯一性。
對等互連方式
確認互連方式。對等互連方式指VPC之間或VPC與本機資料中心之間的通訊方式,此處固定為Express Connect,無需您手動設定。
VPC
確認VPC地區和VPC執行個體,選擇要防護的路由表,並填寫目標網段。
路由表
建立VPC時,系統會為您自動建立一張預設的路由表,用於為專用網路添加系統路由來管理專用網路的流量。VPC支援按需建立多個路由表。詳細內容,請參見路由表概述。
在Cloud Firewall控制台建立VPC邊界防火牆時,Cloud Firewall自動讀取您的VPC路由表資訊。Express Connect支援多個路由表,因此您在Express Connect下建立VPC邊界防火牆時可看到多個路由表,並可以選擇需要防護的VPC路由表。
目標網段
在路由表下拉式清單中選中某個路由時,目標網段會自動展示該路由表的預設目標網段。如果您需要防護其他網段,可手動修改目標網段。支援添加多個網段,多個網段間用英文逗號隔開。
對端VPC
確認對端VPC地區和VPC執行個體,選擇要防護的路由表,並填寫目標網段。
入侵防禦
選擇要開啟的入侵防禦策略,可選項:
IPS防禦模式
觀察模式:開啟觀察模式後,對惡意流量進行監控並警示。
攔截模式:開啟攔截模式後,對惡意流量進行攔截,阻斷入侵活動。
IPS防禦能力
基礎規則:開啟基礎規則後,為您的資產提供基礎的防護能力,包括爆破攔截、命令執行漏洞攔截、以及對被感染後串連C&C(命令控制)的行為進行管控。
虛擬補丁:開啟虛擬補丁後,即時防禦熱門的高危應用漏洞。
開啟VPC防火牆開關
開啟開關,則在建立VPC邊界防火牆後,自動開啟VPC邊界防火牆開關。
單擊提交並確認。
說明開啟VPC邊界防火牆後,如果增加或者刪除VPC路由表資訊,Cloud Firewall需要15~30分鐘的時間完成路由學習。建議您等待Cloud Firewall路由學習完成後觀察路由表生效情況,或加入釘群(群號:33081734),聯絡產品技術專家進行諮詢。
VPC邊界防火牆建立完成後,Cloud Firewall會在Virtual Private Cloud中自動為您建立以下資源:
VPC資源:名稱為
Cloud_Firewall_VPC。重要請勿將其他業務資源加入到Cloud_Firewall_VPC,否則會導致刪除VPC邊界防火牆時,您添加的其他業務資源無法刪除。請勿手動修改和刪除此VPC內的網路資源。
交換器資源:名稱為
Cloud_Firewall_VSWITCH。自訂路由表條目:備忘資訊為
Created by cloud firewall. Do not modify or delete it.。
開啟VPC邊界防火牆後,Elastic Compute Service(Elastic Compute Service)會自動添加名稱為Cloud_Firewall_Security_Group的安全性群組,並且為該安全性群組自動設定了允許存取策略(即授權策略),用於允許存取VPC邊界防火牆到ECS的入方向流量。
重要Cloud_Firewall_Security_Group的安全性群組和允許存取策略不可以刪除,否則會導致VPC邊界防火牆到ECS的入方向流量無法受到VPC邊界防火牆的防護。
如果需要大量操作或頻繁開關VPC邊界防火牆,為不影響您的業務,建議在業務流量較小的低峰期進行。
在Express Connect頁簽,開啟已建立的VPC邊界防火牆開關。
只有開啟VPC邊界防火牆,Cloud Firewall才能夠防護您的網路資源。當VPC邊界防火牆的防火牆狀態變更為已開啟,則表示成功開啟VPC邊界防火牆。
後續操作
開啟VPC邊界防火牆後,您可以設定VPC邊界防火牆策略,控制VPC之間的訪問活動。具體操作,請參見VPC邊界防火牆存取原則。
開啟VPC邊界防火牆後,您可以通過VPC互訪功能,查看VPC之間的相互訪問流量。具體操作,請參見VPC互訪。
開啟VPC邊界防火牆後,您可以通過VPC防護功能,查看Cloud Firewall攔截的VPC之間的例外狀況事件資訊。具體操作,請參見VPC防護。
更多操作
關閉VPC邊界防火牆
關閉VPC邊界防火牆時,在關閉過程中可能會導致流量閃斷。
如果您需要關閉VPC邊界防火牆,可以在在Express Connect頁簽,定位到目標VPC邊界防火牆執行個體,關閉防火牆開關。
當VPC邊界防火牆的防火牆狀態變更為未開啟,則表示成功關閉VPC邊界防火牆。
刪除VPC邊界防火牆
刪除VPC邊界防火牆時,在刪除過程中可能會導致流量閃斷。
如果您業務已不需要已建立的VPC邊界防火牆,可以在Express Connect頁簽,定位到目標VPC邊界防火牆執行個體,單擊右側操作列的刪除。
編輯VPC邊界防火牆
如果您需要修改VPC邊界防火牆的配置,可以在Express Connect頁簽,定位到目標VPC邊界防火牆執行個體,單擊右側操作列的編輯。
配置防護白名單
如果您需要直接允許存取某些目的IP或者源IP,可以在已建立的Cloud Firewall執行個體的操作列,單擊防護白名單進行配置。支援輸入指定的IP或者引用已配置的地址簿。
相關文檔
開啟VPC邊界防火牆後,您可以設定VPC邊界防火牆策略,控制VPC之間的訪問活動。具體操作,請參見VPC邊界防火牆存取原則。
開啟VPC邊界防火牆後,您可以通過VPC互訪功能,查看VPC之間的相互訪問流量。具體操作,請參見VPC互訪。
開啟VPC邊界防火牆後,您可以通過VPC防護功能,查看Cloud Firewall攔截到的VPC之間的例外狀況事件資訊。具體操作,請參見查看VPC攔截事件。