Cloud Firewall：NAT邊界防火牆

您可以通過視頻指導，快速瞭解如何為NAT Gateway開啟防護。

功能介紹

防護原理

NAT邊界防火牆支援一鍵開啟和資產同步、NAT邊界的存取控制策略配置、流量分析、日誌審計等功能。

開啟NAT邊界防火牆後，NAT邊界防火牆會檢測所有經過VPC內私網資源（包括同一VPC內的資源和跨VPC的資源）流向該NAT Gateway的出方向流量。NAT邊界防火牆會根據您配置的存取控制策略、Cloud Firewall內建的威脅情報庫等策略，匹配流量的訪問源、目的地址、連接埠、協議、應用、網域名稱等元素，判斷當前流量是否滿足允許存取標準，從而限制私網資源到互連網的未授權訪問。

NAT邊界防火牆的防護情境樣本如下圖所示：

對業務的影響

開啟和關閉NAT邊界防火牆過程中，Cloud Firewall會進行NAT路由切換，會出現1~2秒的長串連閃斷，短串連無影響。建議您在業務低峰期進行開啟和操作。

• 建立NAT邊界防火牆對業務無影響。但如果在建立時選擇了開啟NAT邊界防火牆，在開啟過程中會出現1~2秒的長串連閃斷，短串連無影響。

  說明

  NAT邊界防火牆的建立時間長度與NAT Gateway綁定的EIP數量相關，每增加一個EIP，建立時間長度約增加2~5分鐘。此過程對業務無影響。

• 關閉後刪除NAT邊界防火牆對業務無影響。

使用限制

• 開啟NAT邊界防火牆後，請勿變更NAT邊界防火牆所在交換器的路由或者下一跳為NAT邊界防火牆的路由，否則可能會導致業務流量中斷。

• Cloud Firewall執行個體到期後如果未及時續約，NAT邊界防火牆將被自動釋放，同時流量路由會切換至原始的內網訪問公網的路由，切換過程可能會造成業務短暫中斷。

  建議您開啟自動續約或者提前續約，以確保Cloud Firewall服務可用，具體操作，請參見續約說明。

• 如果您的NAT邊界防火牆在2023年09月01日之前建立，NAT邊界防火牆對串連到相同二元組（目的IP、目的連接埠）的所有網路連接的防護頻寬上限為20 Mbps。如果串連到相同二元組的網路連接頻寬超過20 Mbps，可能會出現網路抖動。如果您需要提升NAT邊界防火牆的防護頻寬上限，建議您刪除並重新建立NAT邊界防火牆。

  2023年09月01日及之後建立的NAT邊界防火牆不存在20 Mbps的防護頻寬節流設定。

• NAT邊界防火牆不支援防護IPv6流量。

使用流程

您可以參考以下NAT邊界防火牆的使用流程圖，協助您更好地使用NAT邊界防火牆。

前提條件

• 已開通Cloud Firewall服務，並且購買了足夠數量的NAT邊界防火牆授權數。具體操作，請參見購買Cloud Firewall服務。

• 已建立公網NAT Gateway，具體操作，請參見建立和管理公網NAT Gateway執行個體。

  重要

  目前，NAT邊界防火牆僅支援防護公網NAT Gateway。

  NAT Gateway滿足以下條件：

  • NAT Gateway所在的地區支援開通NAT邊界防火牆。NAT邊界防火牆支援的地區，請參見支援的地區。

  • NAT Gateway已至少綁定1個EIP，並且NAT Gateway綁定的EIP不超過10個。相關內容，請參見建立和管理公網NAT Gateway執行個體。

  • NAT Gateway已配置了SNAT條目，並且不存在DNAT條目。相關內容，請參見建立和管理SNAT條目。

    如果NAT Gateway存在DNAT條目，您需要先刪除DNAT條目，才可以開啟NAT邊界防火牆。具體操作，請參見建立和管理DNAT條目。

  • NAT Gateway所在的VPC已配置了0.0.0.0指向該NAT Gateway的路由條目。相關內容，請參見建立和管理路由表。

  • NAT Gateway所在的VPC能夠分配至少28位的子網段（支援VPC附加網段）。

建立並開啟NAT邊界防火牆

您可以參考以下內容建立NAT邊界防火牆，一個NAT Gateway執行個體對應一個NAT邊界防火牆。

注意事項

• 建立的NAT Gateway需要1~5分鐘同步到NAT邊界防火牆。

• 建立的NAT Gateway中的EIP和SNAT條目1~2分鐘同步到NAT邊界防火牆。同步完成前，EIP和SNAT條目不會生效。

  您也可以在防火牆開關 > 互聯網邊界防火牆頁面，單擊同步資產，手動同步NAT Gateway的EIP數量和SNAT條目。

• 建立的指向NAT Gateway的路由需要30分鐘同步到NAT邊界防火牆。

  您也可以在防火牆開關 > NAT邊界防火牆頁面，單擊同步資產，手動同步指向NAT Gateway的路由。

• 建立NAT邊界防火牆時，Cloud Firewall會進行以下操作：

  • 在NAT防火牆交換器的路由表中添加一條指向NAT Gateway的0.0.0.0/0路由。

  • 修改系統路由表中的0.0.0.0/0路由條目，將其下一跳將指向Cloud FirewallENI。

  說明

  由於建立NAT防火牆會在VPC中建立自訂路由表，若您所選建立NAT防火牆的VPC中存在使用Flannel網路外掛程式的ACK叢集，請您在NAT防火牆建立完成後，配置Cloud Controller Manager的多路由表功能，在多路由表列表中添加VPC系統路由表，否則可能會影響叢集節點擴容。具體操作，請參見使用VPC的多路由表功能。

  若您已使用Cloud Controller Manager的多路由表功能，請忽略該提醒。

操作步驟

1. 登入Cloud Firewall控制台。在左側導覽列，單擊防火牆開關。。

2. 單擊NAT边界防火墙頁簽，在目標NAT Gateway的操作列單擊。

3. 在建立NAT防火牆面板，單擊一鍵開啟檢查。檢查完成後，所有診斷均已通過檢查，單擊下一步。

   如果您確保NAT Gateway滿足建立NAT防火牆的所有條件，可以單擊跳過直接建立。

4. 在建立NAT邊界防火牆面板，配置NAT邊界防火牆資訊。

   配置項		說明
   基本資料	名称	自訂NAT邊界防火牆的名稱。
   防火牆引流配置	選擇路由表	選擇原下一跳為NAT Gateway的路由表，建立NAT防火牆會自動將下一跳改為Cloud Firewall的路由表，實現私網資產訪問流量的下一跳指向NAT邊界防火牆。
   	引流交換器及交換器網段	支援建立交換器或者選擇已有的交換器。 建立交換器網段配置規則： 需配置至少28位不與網路規劃衝突的交換器網段，分配給NAT防火牆進行流量引流處理。 交換器網段必須是VPC網段的子網（支援VPC附加網段），且不與當前業務網段衝突。分配後，Cloud Firewall會自動綁定自訂引流路由表。 選擇已有交換器的注意事項： NAT邊界防火牆需有一個交換器，且交換器滿足以下需求。具體操作，請參見建立和管理專用網路。 交換器、NAT Gateway、NAT邊界防火牆屬於同一個VPC。 交換器與NAT Gateway處於同一個可用性區域。 交換器的網段至少為28位，並且確保剩餘可用IP數大於NAT Gateway的EIP數。 交換器未接入任何其他雲資源。 建立一個新的路由表，並將路由表綁定到上述交換器。具體操作，請參見建立和管理路由表。 （可選）按需在新的路由表添加除0.0.0.0/0網段外的自訂路由條目。具體操作，請參見使用自訂路由表進行網路流量管理。 例如，您的業務中存在跨VPC通訊，此時您需要手動將VPC的回程路由添加到路由表。 說明 如果交換器列表中沒有目標交換器，或者目標交換器置灰無法選擇，請排查交換器是否綁定了其他雲資源、交換器是否已綁定自訂路由表。確認交換器配置正確後，可以在NAT边界防火墙頁簽右上方單擊同步資產。
   引擎模式	引擎模式	存取控制策略的匹配模式。 宽松模式（預設）：該模式下，針對應用和網域名稱的存取控制策略在遇到未識別應用或網域名稱的流量時，將會允許存取流量，以優先保證業務。 严格模式：該模式下，針對應用和網域名稱的存取控制策略在遇到未識別應用或網域名稱的流量時，將會轉交流量給後續策略繼續匹配。如果有拒絕策略命中未識別流量，未識別流量將被攔截。

5. 勾選以上注意事項我已閱讀確，單擊確認開牆。

6. NAT邊界防火牆建立完成後，您需要手動將啟用狀態置為開啟狀態。

   開啟後，流量的路由會切到Cloud Firewall，Cloud Firewall才能防護訪問流量。

後續操作

建立NAT防火牆後，您可以為NAT防火牆設定存取控制策略、查看私網訪問日誌等，以便您更好地管控私網資產和互連網之間的流量訪問。

關閉和刪除NAT邊界防火牆

• 關閉NAT邊界防火牆

  進入防火牆開關 > NAT边界防火墙頁面，在NAT邊界防火牆的开关列，關閉NAT邊界防火牆。

• 刪除NAT邊界防火牆

  进入防火牆開關 > NAT边界防火墙页面，在NAT邊界防火牆的操作列，單擊表徵圖後選擇刪除，刪除NAT邊界防火牆。

相關文檔

• 如果您需要管控私網資產到網站網域名稱的訪問流量，請參見只允許私網主機訪問指定網域名稱的策略配置教程。

• 您可以通過NAT邊界防火牆的流量日誌，查看資產的流量訪問情況。具體操作，請參見日誌審計。

• 更多關於互連網邊界防火牆的問題：

  • 開啟防火牆開關對業務有什麼影響？

  • NAT邊界防火牆為什麼需要建立路由表和下發0.0.0.0/0靜態路由？

  • 同時開啟互連網邊界、NAT邊界和DNS邊界防火牆，出方向的流量如何匹配？