本文介绍云防火墙VPC边界防火墙的基本概念和应用场景。
什么是VPC边界防火墙
VPC边界防火墙帮助您检测和管控专有网络VPC(Virtual Private Cloud)之间、VPC和本地数据中心之间的流量。如果VPC同属于一个云企业网,或者已通过高速通道连接,您可以创建VPC边界防火墙,实现控制VPC之间、VPC与本地数据之间的访问流量。
同时,VPC边界防火墙支持跨账号管理。例如,使用账号A创建了云企业网和VPC_1,使用账号B创建了VPC_2,VPC_1和VPC_2通过账号A的云企业网实现网络互通,此时您可以使用账号A购买云防火墙企业版或者旗舰版,用于防护VPC_1和VPC_2的流量。
防护原理
关于VPC边界防火墙的防护原理图,请参见:
防护范围
目前云防火墙为您提供三种类型的VPC边界防火墙。您可以根据您的组网架构选择合适的VPC边界防火墙。
VPC边界防火墙类型 | 应用场景 | 操作指导 |
企业版转发路由器的VPC边界防火墙 | 支持防护:
不支持防护:多个CCN互访的流量 | |
基础版转发路由器的VPC边界防火墙 | 支持防护:
不支持防护:
| |
高速通道VPC边界防火墙 | 支持防护:
不支持防护:
说明 如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访的流量,建议您改为云企业网组网。相关信息,请提交工单。 |
防护规格
VPC边界防火墙的防护规格分为可防护的公网IP数量和公网流量处理能力。
防护规格 | 说明 | 云防火墙包年包月版(企业版、旗舰版) | 云防火墙按量版 |
VPC防火墙实例数 | 可创建的VPC边界防火墙数量。 | 取决于您创建的VPC边界防火墙数量和购买的VPC流量处理能力。如果配额不足,您可以升级规格。具体操作,请参见配置企业版转发路由器的VPC边界防火墙。 不同云防火墙版本拥有配额不同。具体内容,请参见包年包月。 | 根据实际开启防护的实例数和处理的总流量计费,不存在配额限制。详细计费内容,请参见按量付费。 |
VPC流量处理能力 | 可防护的VPC间的总流量峰值。 |
查看资产的防护情况及防护规格占用数
您可以在VPC边界防火墙页面查看当前账号下被防护的资产情况。
登录云防火墙控制台。在左侧导航栏,单击防火墙开关。
在VPC边界防火墙页签,您可以查看当前账号下VPC防火墙未创建数、已创建数和可用授权数;网元总数、未保护数和已保护数。
当版本默认的可用授权数(可防护VPC边界防火墙实例数)占用满时,您可以单击升级授权数,根据实际需求进行授权数扩展。关于各版本支持的可防护VPC边界防火墙实例数,请参见包年包月。
单击VPC防火墙区域的
图标,查看云企业网(企业版)、云企业网(基础版)和高速通道VPC防火墙实例未创建数、已创建数。单击网元保护数区域的
图标,查看网元VPC、VBR、TR、VPN的总数以及未保护和已保护数。
其中,数据统计逻辑如下:
云企业网(企业版)
网元未保护数:表示未接入VPC边界防火墙保护的网元数,包含VPC、VBR、TR、VPN(不含手动模式下的网元数)。
网元已保护数:表示已接入VPC边界防火墙保护的网元数,包含VPC、VBR、TR、VPN(不含手动模式下的网元数)。
可用授权数:已开启VPC边界防火墙实例数,以单个CEN-TR计算。
云企业网(基础版)
网元未保护数:未接入VPC边界防火墙保护的VPC数。
网元已保护数:已接入VPC边界防火墙保护的VPC数。
可用授权数:已开启VPC边界防火墙实例数,以单个VPC计算。
高速通道
网元未保护数:未接入VPC边界防火墙保护的VPC数。
网元已保护数:已接入VPC边界防火墙的VPC数。
可用授权数:已开启VPC边界防火墙实例数,以每对VPC(即VPC实例和对端VPC实例)计算。