如果您的網路執行個體(VPC、VBR、CCN)通過雲企業網的基礎版轉寄路由器串連,可以通過VPC邊界防火牆防護網路執行個體之間的流量,提高業務資產的安全性。本文介紹如何配置基礎版轉寄路由器的VPC邊界防火牆。
功能介紹
防護原理
開啟VPC邊界防火牆後,Cloud Firewall會基於DPI流量分析、IPS入侵防禦規則、威脅情報、虛擬補丁、存取控制策略等,對VPC互訪的流量進行過濾,判斷流量是否滿足允許存取條件,有效攔截非法的訪問流量,保障私網資產之間的流量安全。
基礎版轉寄路由器VPC邊界防火牆的防護情境樣本如下圖所示:
關於防護範圍,請參見什麼是Cloud Firewall。
對業務的影響
建立VPC邊界防火牆時,您無需更改當前的網路拓撲,可以一鍵建立VPC邊界防火牆並設定自動引流模式,實現對業務資產的保護,對業務無影響。建立時間長度約5分鐘。建議您在業務低峰期開啟VPC邊界防火牆。
開啟和關閉VPC邊界防火牆,預計約需要5~30分鐘(取決於路由條目數),過程中會出現長串連秒級閃斷,短串連無影響。
建議在開啟VPC邊界防火牆之前檢查您的應用程式是否支援TCP自動重傳機制,並密切關注應用串連狀態,以避免由於未配置重傳機制而導致的串連中斷。
使用限制
限制項 | 說明 | 處理建議 |
VPC的限制 | 開啟VPC邊界防火牆時,需要新增一個命名為Cloud_Firewall_VPC的VPC執行個體,請確保您帳號下有足夠的可建立的VPC數。關於VPC的數量限制,請參見限制與配額。 例如,同一地區內支援建立的VPC的數量預設為10個,由於開啟VPC邊界防火牆後會自動建立一個VPC,此時您最多可以再建立9個VPC。 | 如果配額已滿,您需要修改VPC配額的上限。具體操作,請參見管理VPC配額。 |
確保基礎版轉寄路由器在每個地區支援添加的網路執行個體(包含VPC、VBR和CCN)數量不能超過配額。基礎版轉寄路由器支援添加的VPC中,包含開啟VPC邊界防火牆時自動新增的VPC(即新增一個執行個體名稱為Cloud_Firewall_VPC的VPC)。關於基礎版轉寄路由器支援建立的網路執行個體數量,請參見使用限制。 例如,每個基礎版轉寄路由器支援串連的網路執行個體預設為10個,由於開啟VPC邊界防火牆後會自動建立一個VPC,此時您最多可以建立9個VPC。 | 建議您使用企業版轉寄路由器TR(Transit Router)。更多問題,請提交工單,聯絡產品技術專家進行諮詢。 | |
同一地區內,一個雲企業網防護的VPC數量最多為31個。 | 無 | |
路由限制 | 雲企業網中不能存在策略行為設定為拒絕類型的路由策略(雲企業網預設產生的一個優先順序為5000的拒絕動作的路由策略除外),否則將會導致業務中斷。 | 建議您刪除相關路由策略,請提交工單,聯絡產品技術專家進行諮詢。 |
開啟VPC邊界防火牆後,Cloud Firewall會自動為VPC添加自訂路由條目。單個VPC路由表最多支援建立的200條自訂路由條目,如果VPC路由表中的自訂路由條目達到上限,您將無法開啟VPC邊界防火牆。 | 增加VPC的配額。 您需要修改當前帳號下VPC路由表的自訂路由配額,具體操作,請參見管理配額。 | |
確保雲企業網的路由條目不超過配額。雲企業網的路由條目數量中,包含開啟VPC邊界防火牆時自動新增的路由條目。關於雲企業網中支援發布的路由條目數量,請參見使用限制。 | 建議您將發布的路由條目數控制在100條內。如有需要,請提交工單,聯絡產品技術專家進行諮詢。 | |
如果VPC中存在自訂路由表且綁定了交換器,不支援開通VPC邊界防火牆。 | 您可以刪除相關的自訂路由表或交換器解除綁定自訂路由表。 | |
流量類型限制 |
| 無 |
其他限制 | 如果您的VPC邊界防火牆是在2021年05月01日之前開通,並且VPC邊界防火牆存在公網私用(即將10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16之外的公網網段作為私網網段)或者32位IP網段(即XX.XX.XX.XX/32)雙向引流,您的業務可能會存在一些影響:
說明 2021年05月01日及之後開通VPC邊界防火牆的使用者無此限制。 | 建議按標準規劃您的網路,避免雲企業網中出現公網私用以及32位網段引流的情況。 如果您業務存在特殊需求,請提交工單,聯絡產品技術專家進行諮詢。 |
在開啟或關閉VPC邊界防火牆過程中,部分雲端服務(例如SLB、RDS)會出現已建立串連的長串連失效問題。 |
|
建立並開啟VPC邊界防火牆
前提條件
已開通企業版、旗艦版或隨用隨付版Cloud Firewall。具體操作,請參見購買Cloud Firewall服務。
說明只有Cloud Firewall企業版、旗艦版和隨用隨付版支援配置企業版轉寄路由器的VPC邊界防火牆,進階版不支援。
已授權Cloud Firewall訪問雲資源。具體操作,請參見授權Cloud Firewall訪問雲資源。
已購買了雲企業網執行個體,且已使用雲企業網完成了VPC之間的網路互連。具體操作,請參見使用雲企業網實現同地區VPC互連(基礎版)、使用雲企業網實現跨地區跨帳號VPC互連(基礎版)。
說明在雲企業網中存在跨帳號開通的VPC時,如果跨帳號開通的VPC未獲得Cloud Firewall的授權,您將無法建立VPC邊界防火牆。建議您使用對應帳號登入Cloud Firewall完成授權後,再開啟VPC邊界防火牆。具體操作,請參見授權Cloud Firewall訪問雲資源。
確保您網路資源所在的地區都是VPC邊界防火牆支援的地區。具體資訊,請參見支援的地區。
操作步驟
建立VPC邊界防火牆後,變更所建立的Cloud FirewallVPC中的交換器及路由表,可能會導致流量中斷。
如果雲企業網中存在單個VBR時,建立VPC邊界防火牆或者進行網路割接時可能會造成流量中斷。
VPC開牆啟動過程中不支援回退和暫停,如果出現異常系統會自動回退。
登入Cloud Firewall控制台,在左側導覽列,單擊防火牆開關。
在防火牆開關頁面,單擊VPC邊界防火牆。
在VPC邊界防火牆頁簽,單擊雲企業網(基礎版)。
定位到需要建立VPC邊界防火牆的雲企業網的網路執行個體,單擊操作列下的創建。
如果在資產列表中沒有需要開啟保護的資產,您可以單擊同步資產,同步當前阿里雲帳號及其成員帳號的資產資訊。
在创建防火墙面板,根據設定精靈,完成VPC邊界防火牆配置。
基礎版轉寄路由器支援診斷是否滿足一鍵開啟VPC邊界防火牆的條件。您可以在檢測完成後,在开启诊断設定精靈查看診斷結果。如果您已瞭解VPC邊界防火牆的建立細則,可以直接跳過一鍵開啟診斷功能,直接建立。
以下表格介紹了雲企業網連通模式下,VPC邊界防火牆的配置。
配置項
說明
基本信息
名稱:定義VPC邊界防火牆的名稱。該名稱用於識別VPC邊界防火牆執行個體,建議您根據業務的實際情況輸入具有意義的名稱,並保證名稱的唯一性。
防火墙VPC的配置
為自動建立的Cloud FirewallVPC和交換器分配網段,用於自動建立防火牆安全VPC(Cloud_Firewall_VPC)進行流量引流處理。從分配的VPC網段中劃分1個子網網段,該子網網段用於Cloud FirewallVPC的交換器。子網網段的掩碼需小於等於29位,且不與網路規劃的網段衝突。
重要請基於業務配置,VPC邊界防火牆建立完成後無法更改,如需更改需刪除後重新建立。
防火墙所使用VPC:預設值為10.0.0.0/8,您可以自訂防火牆VPC的網段。支援設定的網段包含:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16及其子網。
交换机网段:預設值為10.219.219.216/29。如果預設值與您的業務網路規劃衝突,您可以自訂該網段。
配置可用性區域:
說明若主備可用性區域均選擇默认(自动分配)選項,則為雙活模式,適用於業務流量延時不敏感情境,配置方便。
若指定主、備可用性區域,則為主備模式,適合業務流量延時敏感情境,可降低流量延時。
您可以參考VPC邊界防火牆遷移可用性區域最佳實務瞭解雙活和主備模式的詳細資料和遷移步驟。
主可用區:設定交換器主可用性區域。Cloud Firewall支援預設分配交換器可用性區域。
重要如果您的業務延時敏感,建議將主可用性區域指定為業務流量發生的地區,並將下一項業務VPC所需交換器的可用性區域也指定為相同的地區,以便進一步降低延時。
備可用區:設定交換器備可用性區域。VPC防火牆預設優先通過主可用性區域(AZ)轉寄流量,以實現高效傳輸。當主可用性區域不可用時,系統自動切換至備可用性區域進行流量轉寄,確保容災情境下的商務持續性。
请分配业务VPC所需要的交换机
需要配置引流保護的業務VPC交換器,用於Cloud Firewall引流所需要的彈性網卡使用。Cloud Firewall會自動分配,如果您的業務延時敏感,可以自訂業務VPC可用性區域,以降低網路延時。
重要基於業務配置,建立完成後無法更改,如需更改需刪除後重新建立。
可用區:選擇業務VPC交換器的可用性區域。為降低延時,建議設定和防火牆VPC的交換器主可用性區域相同。
交換機實例:選擇業務VPC的交換器執行個體。
引流配置
開啟或關閉引流開關,查看防護的網段。
入侵防禦
選擇入侵防禦模組(IPS)的工作模式、入侵防禦策略。
IPS防禦模式
观察模式:開啟觀察模式後,對惡意流量進行監控並警示。
拦截模式:開啟攔截模式後,對惡意流量進行攔截,阻斷入侵活動。
IPS防禦能力
基礎規則:開啟基礎規則後,為您的資產提供基礎的防護能力,包括爆破攔截、命令執行漏洞攔截、以及對被感染後串連C&C(命令控制)的行為進行管控。
虛擬補丁:開啟虛擬補丁後,即時防禦熱門的高危應用漏洞。
說明此設定將應用於同一雲企業網下的所有網路執行個體。
單擊开始创建,建立VPC邊界防火牆。
在雲企業網(基礎版)頁簽,開啟已建立的VPC邊界防火牆開關。
只有開啟VPC邊界防火牆,Cloud Firewall才能夠防護您的網路資源。當VPC邊界防火牆的防火牆狀態變更為已開啟,則表示成功開啟VPC邊界防火牆。
說明開啟VPC邊界防火牆後,如果增加或者刪除VPC路由表資訊,Cloud Firewall需要15~30分鐘的時間完成路由學習。建議您等待Cloud Firewall路由學習完成後觀察路由表生效情況,如有問題,請提交工單,聯絡產品技術專家進行諮詢。
VPC邊界防火牆建立完成後,Cloud Firewall會在Virtual Private Cloud中自動為您建立以下資源:
VPC資源:名稱為
Cloud_Firewall_VPC。重要請勿將其他業務資源加入到Cloud_Firewall_VPC,否則會導致刪除VPC邊界防火牆時,您添加的其他業務資源無法刪除。請勿手動修改和刪除此VPC內的網路資源。
交換器資源:名稱為
Cloud_Firewall_VSWITCH。自訂路由表條目:備忘資訊為
Created by cloud firewall. Do not modify or delete it.。
開啟VPC邊界防火牆後,會自動為Cloud_Firewall_VPC和業務VPC添加名稱為Cloud_Firewall_Security_Group的安全性群組,並且為該安全性群組自動設定了允許存取策略(即授權策略),用於允許存取到VPC邊界防火牆的流量。
重要Cloud_Firewall_Security_Group的安全性群組和允許存取策略不可以刪除,否則會導致業務流量中斷。
如果需要大量操作或頻繁開關VPC邊界防火牆,為不影響您的業務,建議在業務流量較小的低峰期進行。
後續操作
開啟VPC邊界防火牆後,您可以設定VPC邊界防火牆策略,控制VPC之間的訪問活動。具體操作,請參見VPC邊界防火牆存取原則。
開啟VPC邊界防火牆後,您可以通過VPC互訪功能,查看VPC之間的相互訪問流量。具體操作,請參見VPC互訪。
開啟VPC邊界防火牆後,您可以通過VPC防護功能,查看Cloud Firewall攔截的VPC之間的例外狀況事件資訊。具體操作,請參見VPC防護。
更多操作
編輯VPC邊界防火牆
如果您需要修改VPC邊界防火牆的配置,可以在VPC边界防火墙的雲企業網(基礎版)頁簽,定位到目標VPC邊界防火牆的雲企業網的網路執行個體,單擊右側操作列的編輯進行修改。
關閉VPC邊界防火牆
關閉VPC邊界防火牆時,在關閉過程中可能會導致流量閃斷。
在防火牆開關頁面,單擊VPC边界防火墙。
在VPC边界防火墙的雲企業網(基礎版)頁簽,定位到目標VPC邊界防火牆的雲企業網的網路執行個體,關閉防火牆開關。
關閉VPC邊界防火牆開關後,請耐心等待。當VPC邊界防火牆的防火牆狀態變更為未開啟,則表示成功關閉VPC邊界防火牆。
刪除VPC邊界防火牆
如果您業務已不需要該VPC邊界防火牆,可以在VPC边界防火墙的雲企業網(基礎版)頁簽,定位到目標VPC邊界防火牆的雲企業網的網路執行個體,單擊右側操作列的刪除。
修改IPS配置
如果您需要修改IPS防禦模式、IPS防禦能力,或者需要對某些目的IP或者源IP直接允許存取(即IPS白名單)、修改IPS規則等,可以在已建立的Cloud Firewall執行個體的操作列,單擊配置IPS,在IPS配置頁面的VPC邊界頁簽進行配置。具體資訊,請參見IPS配置。