功能介紹

防護原理

開啟VPC邊界防火墻后，云防火墻會基于DPI流量分析、IPS入侵防御規(guī)則、威脅情報、虛擬補丁、訪問控制策略等，對VPC互訪的流量進行過濾，判斷流量是否滿足放行條件，有效攔截非法的訪問流量，保障私網(wǎng)資產(chǎn)之間的流量安全。

企業(yè)版轉發(fā)路由器VPC邊界防火墻的防護場景示例如下圖所示：

關于防護范圍，請參見什么是云防火墻。

對業(yè)務的影響

創(chuàng)建VPC邊界防火墻時，您無需更改當前的網(wǎng)絡拓撲，可以一鍵創(chuàng)建VPC邊界防火墻并設置引流模式（自動引流或者手動引流），實現(xiàn)對業(yè)務資產(chǎn)的保護，對業(yè)務無影響。創(chuàng)建時長約5分鐘。建議您在業(yè)務低峰期開啟VPC邊界防火墻。

自動引流模式下，開啟和關閉VPC邊界防火墻，預計約需要5~30分鐘（取決于路由條目數(shù)），對業(yè)務無影響。

手動引流模式下，開啟和關閉VPC邊界防火墻，業(yè)務影響時間不定，取決于切流方式。

使用限制

• 開啟VPC邊界防火墻時，需要新增一個命名為Cloud_Firewall_VPC的VPC實例，請確保您賬號下有足夠的可創(chuàng)建的VPC數(shù)。關于VPC的數(shù)量限制，請參見限制與配額。

• 自動引流模式不支持以下場景：

  • 企業(yè)版轉發(fā)路由器的路由表內存在靜態(tài)路由（100.64.0.0/10網(wǎng)段及其子網(wǎng)段的靜態(tài)路由除外）

  • VPC實例、VBR實例、TR實例同時存在多個引流場景

  • 將基礎版轉發(fā)路由器添加到引流模式

  • 有路由沖突的轉發(fā)路由器

  • VPC的前綴列表功能

• VPC邊界防火墻不支持防護VPN網(wǎng)關（如IPsec-VPN、SSL VPN）直接連接到VPC內的場景；但支持防護IPsec-VPN綁定到轉發(fā)路由器的場景，更多內容，請參見IPsec-VPN應用場景（綁定轉發(fā)路由器）。

• VPC邊界防火墻不支持防護IPv6流量。

創(chuàng)建VPC邊界防火墻并設置引流模式

前提條件

• 已開通企業(yè)版、旗艦版云防火墻。具體操作，請參見購買云防火墻服務。

  只有云防火墻企業(yè)版和旗艦版支持配置企業(yè)版轉發(fā)路由器的VPC邊界防火墻。

• 已授權云防火墻訪問云資源。具體操作，請參見授權云防火墻訪問云資源。

• 已購買了云企業(yè)網(wǎng)實例，且已使用企業(yè)版轉發(fā)路由器完成了VPC之間網(wǎng)絡互聯(lián)或者云上和云下網(wǎng)絡互通。具體操作，請參見使用云企業(yè)網(wǎng)實現(xiàn)同地域云上云下網(wǎng)絡互通（企業(yè)版）、使用云企業(yè)網(wǎng)實現(xiàn)跨地域跨賬號VPC互通（企業(yè)版）。

  說明

  在云企業(yè)網(wǎng)中存在跨賬號開通的VPC時，如果跨賬號開通的VPC未獲得云防火墻的授權或您的云防火墻版本不是旗艦版，您將無法創(chuàng)建VPC邊界防火墻。建議您使用對應賬號登錄云防火墻完成授權后或者升級到云防火墻旗艦版，再開啟VPC邊界防火墻。具體操作，請參見授權云防火墻訪問云資源、升級和降配。

• 確保您網(wǎng)絡資源所在的地域都是VPC邊界防火墻支持的地域，否則會導致無法開啟VPC邊界防火墻。具體信息，請參見支持的地域。

操作步驟

1. 登錄云防火墻控制臺，在左側導航欄，單擊防火墻開關。。

2. 在防火墻開關頁面，單擊VPC邊界防火墻。

3. 在VPC邊界防火墻頁簽，單擊云企業(yè)網(wǎng)（企業(yè)版）。

4. 定位到目標VPC邊界防火墻的云企業(yè)網(wǎng)實例下的轉發(fā)路由器，單擊操作列的創(chuàng)建。

   如果在資產(chǎn)列表中沒有需要開啟保護的資產(chǎn)，您可以單擊同步資產(chǎn)，同步當前阿里云賬號及其成員賬號的資產(chǎn)信息。

   自動引流模式（推薦）

   自動引流模式下，您可以結合自身業(yè)務情況創(chuàng)建網(wǎng)絡實例級別引流場景，VPC邊界防火墻會根據(jù)引流場景自動在企業(yè)版轉發(fā)路由器上配置路由，并自動創(chuàng)建VPC邊界防火墻彈性網(wǎng)卡完成流量牽引。

   1. 在創(chuàng)建VPC防火墻面板，按照下表介紹配置VPC邊界防火墻。然后單擊一鍵開啟檢查，檢查完成后，單擊下一步。

      配置項	說明
      防火墻基本信息	防火墻名稱：定義VPC邊界防火墻的名稱。該名稱用于識別VPC邊界防火墻實例，建議您根據(jù)業(yè)務的實際情況輸入具有意義的名稱，并保證名稱的唯一性。
      防火墻VPC的配置	為云防火墻分配VPC網(wǎng)段，為保持云防火墻正常工作，請分配一個至少27位的且不與網(wǎng)絡規(guī)劃沖突的網(wǎng)段。 說明 如果您的業(yè)務延時敏感，您可以自定義防火墻交換機可用區(qū)和業(yè)務VPC交換機可用區(qū)相同，以便降低延時。如果不配置，云防火墻會自動為您分配可用區(qū)。
      入侵防御	選擇入侵防御模塊（IPS）的工作模式、入侵防御策略。 IPS防御模式 觀察模式：開啟觀察模式后，對惡意流量進行監(jiān)控并告警。 攔截模式：開啟攔截模式后，對惡意流量進行攔截，阻斷入侵活動。 IPS防御能力 基礎規(guī)則：開啟基礎規(guī)則后，為您的資產(chǎn)提供基礎的防護能力，包括爆破攔截、命令執(zhí)行漏洞攔截、以及對被感染后連接C&C（命令控制）的行為進行管控。 虛擬補丁：開啟虛擬補丁后，實時防御熱門的高危應用漏洞。 說明 此設置將應用于同一云企業(yè)網(wǎng)下的所有網(wǎng)絡實例。

   2. 待創(chuàng)建完成后，單擊下一步。按照下表介紹配置引流場景。

      您也可以暫時不配置引流場景，根據(jù)業(yè)務需要稍后配置。在云企業(yè)網(wǎng)（企業(yè)版）頁簽，定位到目標云企業(yè)網(wǎng)實例下的轉發(fā)路由器，單擊防火墻狀態(tài)列下的立即配置，在引流場景頁簽，單擊立即創(chuàng)建引流場景，然后單擊創(chuàng)建引流場景進行配置。

      配置項	說明
      基礎信息	模板名稱：設置引流模板的名稱。
      場景類型	選擇使用VPC邊界防火墻管控和防護的場景類型。 點到點：兩個網(wǎng)元之間流量經(jīng)過云防火墻管控。適用于簡單的網(wǎng)絡拓撲環(huán)境。 點到多點：一個網(wǎng)元與多個網(wǎng)元之間的流量經(jīng)過云防火墻管控。適用于星形網(wǎng)絡拓撲環(huán)境；支持子引流實例選擇ALL，一鍵實現(xiàn)到主引流實例的所有流量經(jīng)過云防火墻管控（等同于基礎版轉發(fā)路由器VPC邊界防火墻的引流場景）。 重要 若轉發(fā)路由器路由表存在自定義的拒絕路由策略，則不支持點到多點的引流場景，建議改成多點間互聯(lián)的引流場景。 多點間互聯(lián)：多個網(wǎng)元之間的流量經(jīng)過云防火墻管控。適用于Full Mesh網(wǎng)狀網(wǎng)絡拓撲環(huán)境。 說明 網(wǎng)元即通過企業(yè)版轉發(fā)路由器連接的網(wǎng)絡實例，包含專有網(wǎng)絡VPC實例、邊界路由器VBR實例、轉發(fā)路由器TR實例。
      引流對象	配置引流實例類型及引流實例ID。

      重要

      自動模式引流下，防護VPC的數(shù)量按照引流場景配置的網(wǎng)元（VPC、TR、VBR、VPN）個數(shù)計量。

   3. 單擊確定。

      創(chuàng)建引流過程時間較長，預計在30分鐘內完成引流配置。完成后，即可實現(xiàn)對轉發(fā)路由器連接的網(wǎng)絡實例之間的流量防護。

   VPC邊界防火墻創(chuàng)建完成后會自動置為開啟狀態(tài)，云防火墻會在專有網(wǎng)絡VPC中自動為您創(chuàng)建以下資源：

   • VPC資源：名稱為Cloud_Firewall_VPC。

     重要

     請勿將其他業(yè)務資源加入到Cloud_Firewall_VPC，否則會導致刪除VPC邊界防火墻時，您添加的其他業(yè)務資源無法刪除。請勿手動修改和刪除此VPC內的網(wǎng)絡資源。

   • 交換機資源：名稱為Cloud_Firewall_VSWITCH。

   • 自定義路由表條目：備注信息為Created by cloud firewall. Do not modify or delete it.。

   手動引流模式

   手動引流模式下，您需要結合自身業(yè)務手動在企業(yè)版轉發(fā)路由器上創(chuàng)建VPC邊界防火墻彈性網(wǎng)卡并配置路由，將流量牽引至VPC邊界防火墻彈性網(wǎng)卡。

   重要

   手動引流模式下，您還需要選擇該云企業(yè)網(wǎng)實例連接的VPC網(wǎng)絡和使用的交換機。選擇了手動模式，需要在云防火墻實例到期前及時續(xù)費，否則會導致云防火墻服務不可用時該VPC邊界防火墻引流失敗，從而引起對應網(wǎng)絡中斷。

   1. 在創(chuàng)建VPC防火墻面板，配置VPC邊界防火墻。

      配置項	說明
      防火墻基本信息	防火墻名稱：定義VPC邊界防火墻的名稱。該名稱用于識別VPC邊界防火墻實例，建議您根據(jù)業(yè)務的實際情況輸入具有意義的名稱，并保證名稱的唯一性。 專有網(wǎng)絡：為防火墻配置專有網(wǎng)絡。 交換機：為防火墻配置交換機。
      入侵防御	選擇入侵防御模塊（IPS）的工作模式、入侵防御策略。 IPS防御模式 觀察模式：開啟觀察模式后，對惡意流量進行監(jiān)控并告警。 攔截模式：開啟攔截模式后，對惡意流量進行攔截，阻斷入侵活動。 IPS防御能力 基礎規(guī)則：開啟基礎規(guī)則后，為您的資產(chǎn)提供基礎的防護能力，包括爆破攔截、命令執(zhí)行漏洞攔截、以及對被感染后連接C&C（命令控制）的行為管控。 虛擬補丁：開啟虛擬補丁后，實時防御熱門的高危應用漏洞。 說明 此設置將應用于同一云企業(yè)網(wǎng)下的所有網(wǎng)絡實例。

   2. 單擊開始創(chuàng)建。

   說明

   開啟VPC邊界防火墻后，如果增加或者刪除VPC路由表信息，云防火墻需要15~30分鐘的時間完成路由學習。建議您等待云防火墻路由學習完成后觀察路由表生效情況，或加入釘群（群號：33081734），聯(lián)系產(chǎn)品技術專家進行咨詢。

   開啟VPC邊界防火墻后，會自動添加名稱為Cloud_Firewall_Security_Group的安全組，并且為該安全組自動配置了放行策略（即授權策略），用于放行到VPC邊界防火墻的流量。

   重要

   Cloud_Firewall_Security_Group的安全組和放行策略不可以刪除，否則會導致流量中斷。

   警告

   • 創(chuàng)建VPC邊界防火墻后，變更所創(chuàng)建的云防火墻VPC中的交換機及路由表，可能會導致流量中斷。

   • 關閉或刪除企業(yè)版轉發(fā)路由器手動引流模式VPC邊界防火墻，可能會導致流量中斷。

   如果需要批量操作或頻繁開關VPC邊界防火墻，為不影響您的業(yè)務，建議在業(yè)務流量較小的低峰期進行。

更多操作

更改自動引流模式的配置

如果您需要修改自動引流模式的配置，或者業(yè)務已不需要該自動引流模式，可以定位目標云企業(yè)網(wǎng)實例下的轉發(fā)路由器，單擊右側操作列詳情，在VPC邊界防火墻詳情面板的引流場景頁簽執(zhí)行如下操作。

關閉引流場景

1. 單擊已開啟的引流場景開關。

2. 在關閉引流場景對話框，您可以通過路由撤銷或者路由回滾兩種方式關閉引流場景。

   • 路由撤銷（推薦）：該方式可以撤銷在創(chuàng)建引流場景時添加的引流路由，并保留防火墻創(chuàng)建的引流路由表。關閉引流時間與路由條目有關，請您耐心等待。

   • 路由回滾：該方式可以使網(wǎng)元關聯(lián)回創(chuàng)建引流場景前配置的路由表，并刪除防火墻創(chuàng)建的引流路由表。選擇路由回滾后，創(chuàng)建引流場景前配置各網(wǎng)元關聯(lián)路由表的信息會自動顯示，請確保之前關聯(lián)的路由表可用。

3. 單擊確定。

   重要

   關閉操作無法撤銷，請您操作前仔細確認。關閉完成后及時查看業(yè)務的流量情況。

刪除引流場景

將鼠標懸浮在目標引流場景卡片上，單擊刪除，刪除該引流場景。在刪除自動引流場景前，您需要先關閉引流場景。

修改引流場景

將鼠標懸浮在目標引流場景卡片上，單擊編輯，修改該引流場景。

查看路由明細

將鼠標懸浮在目標引流場景卡片上，單擊路由明細，查看該VPC防火墻的引流路由明細。

編輯或刪除VPC邊界防火墻

如果您需要修改VPC邊界防火墻的配置，或者業(yè)務已不需要該VPC邊界防火墻，可以在VPC邊界防火墻的云企業(yè)網(wǎng)（企業(yè)版）頁簽，定位到目標云企業(yè)網(wǎng)實例下的轉發(fā)路由器，單擊右側操作列的編輯或刪除。

修改IPS配置

如果您需要修改IPS防御模式、IPS防御能力，或者需要對某些目的IP或者源IP直接放行（即IPS白名單）、修改IPS規(guī)則等，可以在已創(chuàng)建的云防火墻實例的操作列，單擊配置IPS，在IPS配置頁面的VPC邊界頁簽進行配置。具體信息，請參見IPS配置。

相關文檔

• VPC邊界防火墻概述

• 開啟VPC邊界防火墻是否會影響ECS安全組規(guī)則？

• 創(chuàng)建VPC邊界防火墻時，提示存在未授權的網(wǎng)絡實例？