本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
VPC內資源(例如ECS、ECI等)通過NAT網關直接訪問互聯網時,可能存在未經授權的訪問、數據泄露、惡意流量攻擊等安全風險。為了降低這些風險,您可以開啟NAT邊界防火墻,利用云防火墻來攔截未授權的流量訪問。本文介紹如何配置NAT邊界防火墻。
您可以通過視頻指導,快速了解如何為NAT網關開啟防護。
功能介紹
防護原理
NAT邊界防火墻支持一鍵開啟和資產同步、NAT邊界的訪問控制策略配置、流量分析、日志審計等功能。
開啟NAT邊界防火墻后,NAT邊界防火墻會檢測所有經過VPC內私網資源(包括同一VPC內的資源和跨VPC的資源)流向該NAT網關的出方向流量。NAT邊界防火墻會根據您配置的訪問控制策略、云防火墻內置的威脅情報庫等策略,匹配流量的訪問源、目的地址、端口、協議、應用、域名等元素,判斷當前流量是否滿足放行標準,從而限制私網資源到互聯網的未授權訪問。
NAT邊界防火墻的防護場景示例如下圖所示:
對業務的影響
開啟和關閉NAT邊界防火墻過程中,云防火墻會進行NAT路由切換,會出現1~2秒的長連接閃斷,短連接無影響。建議您在業務低峰期進行開啟和操作。
創建NAT邊界防火墻對業務無影響。但如果在創建時選擇了開啟NAT邊界防火墻,在開啟過程中會出現1~2秒的長連接閃斷,短連接無影響。
說明NAT邊界防火墻的創建時長與NAT網關綁定的EIP數量相關,每增加一個EIP,創建時長約增加2~5分鐘。此過程對業務無影響。
關閉后刪除NAT邊界防火墻對業務無影響。
使用限制
開啟NAT邊界防火墻后,請勿變更NAT邊界防火墻所在交換機的路由或者下一跳為NAT邊界防火墻的路由,否則可能會導致業務流量中斷。
云防火墻實例到期后如果未及時續費,NAT邊界防火墻將被自動釋放,同時流量路由會切換至原始的內網訪問公網的路由,切換過程可能會造成業務短暫中斷。
建議您開啟自動續費或者提前續費,以確保云防火墻服務可用,具體操作,請參見續費說明。
如果您的NAT邊界防火墻在2023年09月01日之前創建,NAT邊界防火墻對連接到相同二元組(目的IP、目的端口)的所有網絡連接的防護帶寬上限為20 Mbps。如果連接到相同二元組的網絡連接帶寬超過20 Mbps,可能會出現網絡抖動。如果您需要提升NAT邊界防火墻的防護帶寬上限,建議您刪除并重新創建NAT邊界防火墻。
2023年09月01日及之后創建的NAT邊界防火墻不存在20 Mbps的防護帶寬限制。
NAT邊界防火墻不支持防護IPv6流量。
使用流程
您可以參考以下NAT邊界防火墻的使用流程圖,幫助您更好地使用NAT邊界防火墻。
云防火墻默認提供了創建NAT邊界防火墻的授權規格,如果默認的授權規格不滿足需求,您需要購買NAT邊界防火墻授權規格。更多信息,請參見購買云防火墻服務。
前提條件
已開通云防火墻服務,并且購買了足夠數量的NAT邊界防火墻授權數。具體操作,請參見購買云防火墻服務。
已創建公網NAT網關,具體操作,請參見創建和管理公網NAT網關實例。
重要目前,NAT邊界防火墻僅支持防護公網NAT網關。
NAT網關滿足以下條件:
NAT網關所在的地域支持開通NAT邊界防火墻。NAT邊界防火墻支持的地域,請參見支持的地域。
NAT網關已至少綁定1個EIP,并且NAT網關綁定的EIP不超過10個。相關內容,請參見創建和管理公網NAT網關實例。
NAT網關已配置了SNAT條目,并且不存在DNAT條目。相關內容,請參見創建和管理SNAT條目。
如果NAT網關存在DNAT條目,您需要先刪除DNAT條目,才可以開啟NAT邊界防火墻。具體操作,請參見創建和管理DNAT條目。
NAT網關所在的VPC已配置了0.0.0.0指向該NAT網關的路由條目。相關內容,請參見創建和管理路由表。
NAT網關所在的VPC能夠分配至少28位的子網段(支持VPC附加網段)。
創建并開啟NAT邊界防火墻
您可以參考以下內容創建NAT邊界防火墻,一個NAT網關實例對應一個NAT邊界防火墻。
注意事項
新建的NAT網關需要1~5分鐘同步到NAT邊界防火墻。
新建的NAT網關中的EIP和SNAT條目1~2分鐘同步到NAT邊界防火墻。同步完成前,EIP和SNAT條目不會生效。
您也可以在
頁面,單擊同步資產,手動同步NAT網關的EIP數量和SNAT條目。新建的指向NAT網關的路由需要30分鐘同步到NAT邊界防火墻。
您也可以在
頁面,單擊同步資產,手動同步指向NAT網關的路由。創建NAT邊界防火墻時,云防火墻會進行以下操作:
在NAT防火墻交換機的路由表中添加一條指向NAT網關的0.0.0.0/0路由。
修改系統路由表中的0.0.0.0/0路由條目,將其下一跳將指向云防火墻ENI。
說明由于創建NAT防火墻會在VPC中創建自定義路由表,若您所選創建NAT防火墻的VPC中存在使用Flannel網絡插件的ACK集群,請您在NAT防火墻創建完成后,配置Cloud Controller Manager的多路由表功能,在多路由表列表中添加VPC系統路由表,否則可能會影響集群節點擴容。具體操作,請參見使用VPC的多路由表功能。
若您已使用Cloud Controller Manager的多路由表功能,請忽略該提醒。
操作步驟
登錄云防火墻控制臺。在左側導航欄,單擊防火墻開關。。
單擊NAT邊界防火墻頁簽,在目標NAT網關的操作列單擊。
在創建NAT防火墻面板,單擊一鍵開啟檢查。檢查完成后,所有診斷均已通過檢查,單擊下一步。
如果您確保NAT網關滿足創建NAT防火墻的所有條件,可以單擊跳過直接創建。
在創建NAT邊界防火墻面板,配置NAT邊界防火墻信息。
配置項
說明
基本信息
名稱
自定義NAT邊界防火墻的名稱。
防火墻引流配置
選擇路由表
選擇原下一跳為NAT網關的路由表,創建NAT防火墻會自動將下一跳改為云防火墻的路由表,實現私網資產訪問流量的下一跳指向NAT邊界防火墻。
引流交換機及交換機網段
支持新建交換機或者選擇已有的交換機。
新建交換機網段配置規則:
需配置至少28位不與網絡規劃沖突的交換機網段,分配給NAT防火墻進行流量引流處理。
交換機網段必須是VPC網段的子網(支持VPC附加網段),且不與當前業務網段沖突。分配后,云防火墻會自動綁定自定義引流路由表。
選擇已有交換機的注意事項:
NAT邊界防火墻需有一個交換機,且交換機滿足以下需求。具體操作,請參見創建和管理專有網絡。
交換機、NAT網關、NAT邊界防火墻屬于同一個VPC。
交換機與NAT網關處于同一個可用區。
交換機的網段至少為28位,并且確保剩余可用IP數大于NAT網關的EIP數。
交換機未接入任何其他云資源。
創建一個新的路由表,并將路由表綁定到上述交換機。具體操作,請參見創建和管理路由表。
(可選)按需在新的路由表添加除0.0.0.0/0網段外的自定義路由條目。具體操作,請參見使用自定義路由表進行網絡流量管理。
例如,您的業務中存在跨VPC通信,此時您需要手動將VPC的回程路由添加到路由表。
說明如果交換機列表中沒有目標交換機,或者目標交換機置灰無法選擇,請排查交換機是否綁定了其他云資源、交換機是否已綁定自定義路由表。確認交換機配置正確后,可以在NAT邊界防火墻頁簽右上角單擊同步資產。
引擎模式
引擎模式
訪問控制策略的匹配模式。
寬松模式(默認):該模式下,針對應用和域名的訪問控制策略在遇到未識別應用或域名的流量時,將會放行流量,以優先保證業務。
嚴格模式:該模式下,針對應用和域名的訪問控制策略在遇到未識別應用或域名的流量時,將會轉交流量給后續策略繼續匹配。如果有拒絕策略命中未識別流量,未識別流量將被攔截。
勾選以上注意事項我已閱讀確,單擊確認開墻。
NAT邊界防火墻創建完成后,您需要手動將啟用狀態置為開啟狀態。
開啟后,流量的路由會切到云防火墻,云防火墻才能防護訪問流量。
后續操作
創建NAT防火墻后,您可以為NAT防火墻設置訪問控制策略、查看私網訪問日志等,以便您更好地管控私網資產和互聯網之間的流量訪問。
配置訪問控制策略
如果您未配置任何訪問控制策略,云防火墻默認放行流量。您可以創建NAT邊界訪問控制策略,精細化管控私網資產訪問公網的流量。
進入
頁面,在目標NAT邊界防火墻的操作列,單擊圖標后選擇訪問控制。您可以在跳轉后的頁面創建NAT邊界訪問控制策略,具體操作,請參見配置NAT邊界訪問控制策略。
查詢審計日志
進入
頁面,在目標NAT邊界防火墻的操作列,單擊圖標后選擇日志審計。您可以在跳轉后的頁面查詢私網訪問互聯網的流量日志。更多信息,請參見日志審計。
查看流量分析
進入
頁面,在目標NAT邊界防火墻的操作列,單擊圖標后選擇流量分析。您可以在跳轉后的頁面查看NAT網關主動訪問互聯網的情況。更多信息,請參見主動外聯。
查看NAT私網流量統計
在左側導航欄,單擊總覽,然后在總覽頁面右上角單擊已購規格用量,查看NAT私網流量的處理能力、近期流量峰值、NAT邊界防火墻授權數使用情況。
查看NAT邊界防火墻的交換機列表
進入
頁面,在NAT邊界防火墻列表右上角,單擊防火墻交換機列表。關閉和刪除NAT邊界防火墻
關閉NAT邊界防火墻時,云防火墻會做NAT路由切換,會出現1~2秒長連接閃斷,建議您在業務低峰期關閉。關閉后刪除NAT邊界防火墻不會影響業務。
如果未關閉時直接刪除NAT邊界防火墻,云防火墻會同時進行關閉和刪除操作,該過程會出現1~2秒長連接閃斷。
關閉NAT邊界防火墻
進入
頁面,在NAT邊界防火墻的開關列,關閉NAT邊界防火墻。刪除NAT邊界防火墻
進入
頁面,在NAT邊界防火墻的操作列,單擊圖標后選擇刪除,刪除NAT邊界防火墻。
相關文檔
如果您需要管控私網資產到網站域名的訪問流量,請參見只允許私網主機訪問指定域名的策略配置教程。
您可以通過NAT邊界防火墻的流量日志,查看資產的流量訪問情況。具體操作,請參見日志審計。
更多關于互聯網邊界防火墻的問題: