云防火墙：配置企业版转发路由器的VPC边界防火墙

功能介绍

防护原理

开启VPC边界防火墙后，云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等，对VPC互访的流量进行过滤，判断流量是否满足放行条件，有效拦截非法的访问流量，保障私网资产之间的流量安全。

企业版转发路由器VPC边界防火墙的防护场景示例如下图所示：

关于防护范围，请参见什么是云防火墙。

对业务的影响

创建VPC边界防火墙时，您无需更改当前的网络拓扑，可以一键创建VPC边界防火墙并设置引流模式（自动引流或者手动引流），实现对业务资产的保护，对业务无影响。创建时长约5分钟。建议您在业务低峰期开启VPC边界防火墙。

自动引流模式下，开启和关闭VPC边界防火墙，预计约需要5~30分钟（取决于路由条目数），对业务无影响。

手动引流模式下，开启和关闭VPC边界防火墙，业务影响时间不定，取决于切流方式。

使用限制

• 开启VPC边界防火墙时，需要新增一个命名为Cloud_Firewall_VPC的VPC实例，请确保您账号下有足够的可创建的VPC数。关于VPC的数量限制，请参见限制与配额。

• 自动引流模式不支持以下场景：

  • 企业版转发路由器的路由表内存在除100.64.0.0/10内的静态路由

  • VPC实例、VBR实例、TR实例同时存在多个引流场景

  • 将基础版转发路由器添加到引流模式

  • 有路由冲突的转发路由器

  • VPC的前缀列表功能

• VPC边界防火墙不支持防护VPN网关（如IPsec-VPN、SSL VPN）直接连接到VPC内的场景；但支持防护IPsec-VPN绑定到转发路由器的场景，更多内容，请参见IPsec-VPN应用场景（绑定转发路由器）。

• VPC边界防火墙不支持防护IPv6流量。

创建VPC边界防火墙并设置引流模式

前提条件

• 已开通企业版、旗舰版云防火墙。具体操作，请参见购买云防火墙服务。

  只有云防火墙企业版和旗舰版支持配置企业版转发路由器的VPC边界防火墙。

• 已授权云防火墙访问云资源。具体操作，请参见授权云防火墙访问云资源。

• 已购买了云企业网实例，且已使用企业版转发路由器完成了VPC之间网络互联或者云上和云下网络互通。具体操作，请参见使用云企业网实现同地域云上云下网络互通（企业版）、使用云企业网实现跨地域跨账号VPC互通（企业版）。

  说明

  在云企业网中存在跨账号开通的VPC时，如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版，您将无法创建VPC边界防火墙。建议您使用对应账号登录云防火墙完成授权后或者升级到云防火墙旗舰版，再开启VPC边界防火墙。具体操作，请参见授权云防火墙访问云资源、升级和降配。

• 确保您网络资源所在的地域都是VPC边界防火墙支持的地域，否则会导致无法开启VPC边界防火墙。具体信息，请参见支持的地域。

操作步骤

1. 登录云防火墙控制台，在左侧导航栏，单击防火墙开关。

2. 在防火墙开关页面，单击VPC边界防火墙。

3. 在VPC边界防火墙页签，单击云企业网（企业版）。

4. 定位到目标VPC边界防火墙的云企业网实例下的转发路由器，单击操作列的创建。

   如果在资产列表中没有需要开启保护的资产，您可以单击同步资产，同步当前阿里云账号及其成员账号的资产信息。

   自动引流模式（推荐）

   自动引流模式下，您可以结合自身业务情况创建网络实例级别引流场景，VPC边界防火墙会根据引流场景自动在企业版转发路由器上配置路由，并自动创建VPC边界防火墙弹性网卡完成流量牵引。

   1. 在创建VPC防火墙面板，按照下表介绍配置VPC边界防火墙。然后单击一键开启检查，检查完成后，单击下一步。

      配置项	说明
      防火墙基本信息	防火墙名称：定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您根据业务的实际情况输入具有意义的名称，并保证名称的唯一性。
      防火墙VPC的配置	为自动创建的云防火墙的VPC分配网段，并且从分配的VPC网段中划分3个子网网段。云防火墙VPC的交换机3个子网网段的掩码需小于等于28位，且不与网络规划的网段冲突。 如果您的业务对网络延时要求较高，建议配置云防火墙交换机的主备可用区和业务VPC交换机的主备可用区相同，以便降低延时。配置的第一个可用区是主可用区，第二个可用区是备可用区。如果不配置，云防火墙会自动为您分配可用区。
      入侵防御	选择入侵防御模块（IPS）的工作模式、入侵防御策略。 IPS防御模式 观察模式：开启观察模式后，对恶意流量进行监控并告警。 拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力 基础规则：开启基础规则后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为进行管控。 虚拟补丁：开启虚拟补丁后，实时防御热门的高危应用漏洞。 说明 此设置将应用于同一云企业网下的所有网络实例。

   2. 待创建完成后，单击下一步。按照下表介绍配置引流场景。

      您也可以暂时不配置引流场景，根据业务需要稍后配置。在云企业网（企业版）页签，定位到目标云企业网实例下的转发路由器，单击防火墙状态列下的立即配置，在引流场景页签，单击立即创建引流场景，然后单击创建引流场景进行配置。

      配置项	说明
      基础信息	模板名称：设置引流模板的名称。
      场景类型	选择使用VPC边界防火墙管控和防护的场景类型。 点到点：两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。 点到多点：一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境；支持子引流实例选择ALL，一键实现到主引流实例的所有流量经过云防火墙管控（等同于基础版转发路由器VPC边界防火墙的引流场景）。 重要 若转发路由器路由表存在自定义的拒绝路由策略，则不支持点到多点的引流场景，建议改成多点间互联的引流场景。 多点间互联：多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。 说明 网元即通过企业版转发路由器连接的网络实例，包含专有网络VPC实例、边界路由器VBR实例、转发路由器TR实例。
      引流对象	配置引流实例类型及引流实例ID。

      重要

      自动模式引流下，防护VPC的数量按照引流场景配置的网元（VPC、TR、VBR、VPN）个数计量。

   3. 单击确定。

      创建引流过程时间较长，预计在30分钟内完成引流配置。完成后，即可实现对转发路由器连接的网络实例之间的流量防护。

   VPC边界防火墙创建完成后会自动置为开启状态，云防火墙会在专有网络VPC中自动为您创建以下资源：

   • VPC资源：名称为Cloud_Firewall_VPC。

     重要

     请勿将其他业务资源加入到Cloud_Firewall_VPC，否则会导致删除VPC边界防火墙时，您添加的其他业务资源无法删除。请勿手动修改和删除此VPC内的网络资源。

   • 交换机资源：名称为Cloud_Firewall_VSWITCH。

   • 自定义路由表条目：备注信息为Created by cloud firewall. Do not modify or delete it.。

   手动引流模式

   手动引流模式下，您需要结合自身业务手动在企业版转发路由器上创建VPC边界防火墙弹性网卡并配置路由，将流量牵引至VPC边界防火墙弹性网卡。

   重要

   手动引流模式下，您还需要选择该云企业网实例连接的VPC网络和使用的交换机。选择了手动模式，需要在云防火墙实例到期前及时续费，否则会导致云防火墙服务不可用时该VPC边界防火墙引流失败，从而引起对应网络中断。

   1. 在创建VPC防火墙面板，配置VPC边界防火墙。

      配置项	说明
      防火墙基本信息	防火墙名称：定义VPC边界防火墙的名称。该名称用于识别VPC边界防火墙实例，建议您根据业务的实际情况输入具有意义的名称，并保证名称的唯一性。 专有网络：为防火墙配置专有网络。 交换机：为防火墙配置交换机。
      入侵防御	选择入侵防御模块（IPS）的工作模式、入侵防御策略。 IPS防御模式 观察模式：开启观察模式后，对恶意流量进行监控并告警。 拦截模式：开启拦截模式后，对恶意流量进行拦截，阻断入侵活动。 IPS防御能力 基础规则：开启基础规则后，为您的资产提供基础的防护能力，包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C（命令控制）的行为管控。 虚拟补丁：开启虚拟补丁后，实时防御热门的高危应用漏洞。 说明 此设置将应用于同一云企业网下的所有网络实例。

   2. 单击开始创建。

   说明

   开启VPC边界防火墙后，如果增加或者删除VPC路由表信息，云防火墙需要15~30分钟的时间完成路由学习。建议您等待云防火墙路由学习完成后观察路由表生效情况，或加入钉群（群号：33081734），联系产品技术专家进行咨询。

   开启VPC边界防火墙后，会自动添加名称为Cloud_Firewall_Security_Group的安全组，并且为该安全组自动配置了放行策略（即授权策略），用于放行到VPC边界防火墙的流量。

   重要

   Cloud_Firewall_Security_Group的安全组和放行策略不可以删除，否则会导致流量中断。

   警告

   • 创建VPC边界防火墙后，变更所创建的云防火墙VPC中的交换机及路由表，可能会导致流量中断。

   • 关闭或删除企业版转发路由器手动引流模式VPC边界防火墙，可能会导致流量中断。

   如果需要批量操作或频繁开关VPC边界防火墙，为不影响您的业务，建议在业务流量较小的低峰期进行。

更多操作

更改自动引流模式的配置

如果您需要修改自动引流模式的配置，或者业务已不需要该自动引流模式，可以定位目标云企业网实例下的转发路由器，单击右侧操作列详情，在VPC边界防火墙详情面板的引流场景页签执行如下操作。

关闭引流场景

1. 单击已开启的引流场景开关。

2. 在关闭引流场景对话框，您可以通过路由撤销或者路由回滚两种方式关闭引流场景。

   • 路由撤销（推荐）：该方式可以撤销在创建引流场景时添加的引流路由，并保留防火墙创建的引流路由表。关闭引流时间与路由条目有关，请您耐心等待。

   • 路由回滚：该方式可以使网元关联回创建引流场景前配置的路由表，并删除防火墙创建的引流路由表。选择路由回滚后，创建引流场景前配置各网元关联路由表的信息会自动显示，请确保之前关联的路由表可用。

3. 单击确定。

   重要

   关闭操作无法撤销，请您操作前仔细确认。关闭完成后及时查看业务的流量情况。

删除引流场景

将鼠标悬浮在目标引流场景卡片上，单击删除，删除该引流场景。在删除自动引流场景前，您需要先关闭引流场景。

修改引流场景

将鼠标悬浮在目标引流场景卡片上，单击编辑，修改该引流场景。

查看路由明细

将鼠标悬浮在目标引流场景卡片上，单击路由明细，查看该VPC防火墙的引流路由明细。

编辑或删除VPC边界防火墙

如果您需要修改VPC边界防火墙的配置，或者业务已不需要该VPC边界防火墙，可以在VPC边界防火墙的云企业网（企业版）页签，定位到目标云企业网实例下的转发路由器，单击右侧操作列的编辑或删除。

修改IPS配置

如果您需要修改IPS防御模式、IPS防御能力，或者需要对某些目的IP或者源IP直接放行（即IPS白名单）、修改IPS规则等，可以在已创建的云防火墙实例的操作列，单击配置IPS，在IPS配置页面的VPC边界页签进行配置。具体信息，请参见IPS配置。

相关文档

• VPC边界防火墙概述

• 开启VPC边界防火墙是否会影响ECS安全组规则？

• 创建VPC边界防火墙时，提示存在未授权的网络实例？