全部產品
Search
文件中心

Cloud Firewall:VPC邊界防火牆概述

更新時間:Jul 06, 2024

本文介紹Cloud FirewallVPC邊界防火牆的基本概念和應用情境。

什麼是VPC邊界防火牆

VPC邊界防火牆協助您檢測和管控Virtual Private Cloud(Virtual Private Cloud)之間、VPC和本機資料中心之間的流量。如果VPC同屬於一個雲企業網,或者已通過Express Connect串連,您可以建立VPC邊界防火牆,實現控制VPC之間、VPC與本機資料之間的訪問流量。

同時,VPC邊界防火牆支援跨帳號管理。例如,使用帳號A建立了雲企業網和VPC_1,使用帳號B建立了VPC_2,VPC_1和VPC_2通過帳號A的雲企業網實現網路互連,此時您可以使用帳號A購買Cloud Firewall企業版或者旗艦版,用於防護VPC_1和VPC_2的流量。

防護原理

關於VPC邊界防火牆的防護原理圖,請參見:

防護範圍

目前Cloud Firewall為您提供三種類型的VPC邊界防火牆。您可以根據您的組網架構選擇合適的VPC邊界防火牆。

VPC邊界防火牆類型

應用情境

操作指導

企業版轉寄路由器的VPC邊界防火牆

支援防護:

  • 同地區多個Virtual Private Cloud(Virtual Private Cloud)互訪的流量

  • 通過企業版轉寄路由器TR(Transit Router)實現跨地區多個VPC互訪的流量

  • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本機資料中心IDC互訪的流量)

  • VPC和雲串連網CCN(Cloud Connect Network)互訪的流量

  • 多個VBR互訪的流量

  • CCN和VBR互訪的流量

  • VPC和公網VPN互訪的流量

不支援防護:多個CCN互訪的流量

配置企業版轉寄路由器的VPC邊界防火牆

基礎版轉寄路由器的VPC邊界防火牆

支援防護:

  • 同地區多個Virtual Private Cloud(Virtual Private Cloud)互訪的流量

  • 通過基礎版轉寄路由器TR(Transit Router)實現跨地區多個VPC互訪的流量

  • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量(即VPC和本機資料中心IDC互訪的流量)

  • VPC和雲串連網CCN(Cloud Connect Network)互訪的流量

不支援防護:

  • 多個VBR互訪的流量

  • CCN和VBR互訪的流量

  • 多個CCN互訪的流量

配置基礎版轉寄路由器的VPC邊界防火牆

Express ConnectVPC邊界防火牆

支援防護:

  • Express Connect串連Virtual Private Cloud(Virtual Private Cloud)模式下,同帳號同地區多個VPC互訪的流量

  • VPC對等串連模式下,同地區(包含同帳號和跨帳號)多個VPC互訪的流量

不支援防護:

  • Express Connect串連Virtual Private Cloud(Virtual Private Cloud)模式下,跨帳號跨地區多個VPC互訪的流量

  • VPC和邊界路由器VBR(Virtual Border Router)互訪的流量

說明

如果需要防護VPC跨地區、跨帳號或VPC與VBR間的互訪的流量,建議您改為雲企業網組網。相關資訊,請提交工單

配置Express ConnectVPC邊界防火牆

防護規格

VPC邊界防火牆的防護規格分為可防護的公網IP數量和公網流量處理能力。

防護規格

說明

Cloud Firewall訂用帳戶版(企業版、旗艦版)

Cloud Firewall按量版

VPC防火牆執行個體數

可建立的VPC邊界防火牆數量。

取決於您建立的VPC邊界防火牆數量和購買的VPC流量處理能力。如果配額不足,您可以升級規格。具體操作,請參見配置企業版轉寄路由器的VPC邊界防火牆

不同Cloud Firewall版本擁有配額不同。具體內容,請參見訂用帳戶

根據實際開啟防護的執行個體數和處理的總流量計費,不存在配額限制。詳細計費內容,請參見隨用隨付

VPC流量處理能力

可防護的VPC間的總流量峰值。

查看資產的防護情況及防護規格佔用數

您可以在VPC邊界防火牆頁面查看當前帳號下被防護的資產情況。

  1. 登入Cloud Firewall控制台。在左側導覽列,單擊防火牆開關

  2. VPC邊界防火牆頁簽,您可以查看當前帳號下VPC防火牆未建立數、已建立數和可用授權數;網元總數、未保護數和已保護數。

    當版本預設的可用授權數(可防護VPC邊界防火牆執行個體數)佔用滿時,您可以單擊升級授權數根據實際需求進行授權數擴充。關於各版本支援的可防護VPC邊界防火牆執行個體數,請參見訂用帳戶

    image.png

  3. 單擊VPC防火牆地區的查看表徵圖,查看雲企業網(企業版)、雲企業網(基礎版)和Express ConnectVPC防火牆執行個體未建立數、已建立數。

  4. 單擊網元保護數地區的查看表徵圖,查看網元VPC、VBR、TR、VPN的總數以及未保護和已保護數。

其中,資料統計邏輯如下:

  • 雲企業網(企業版)

    • 網元未保護數:表示未接入VPC邊界防火牆保護的網元數,包含VPC、VBR、TR、VPN(不含手動模式下的網元數)。

    • 網元已保護數:表示已接入VPC邊界防火牆保護的網元數,包含VPC、VBR、TR、VPN(不含手動模式下的網元數)。

    • 可用授權數:已開啟VPC邊界防火牆執行個體數,以單個CEN-TR計算。

  • 雲企業網(基礎版)

    • 網元未保護數:未接入VPC邊界防火牆保護的VPC數。

    • 網元已保護數:已接入VPC邊界防火牆保護的VPC數。

    • 可用授權數:已開啟VPC邊界防火牆執行個體數,以單個VPC計算。

  • Express Connect

    • 網元未保護數:未接入VPC邊界防火牆保護的VPC數。

    • 網元已保護數:已接入VPC邊界防火牆的VPC數。

    • 可用授權數:已開啟VPC邊界防火牆執行個體數,以每對VPC(即VPC執行個體和對端VPC執行個體)計算。