如果您的組網中VPC執行個體通過VPC對等串連或者Express Connect的方式串連,可以通過VPC邊界防火牆防護組網中VPC執行個體之間的流量,提高業務資產的安全性。本文介紹如何配置Express ConnectVPC邊界防火牆。
功能介紹
防護組網圖
關於防護範圍,請參見什麼是Cloud Firewall。
對業務的影響
建立VPC邊界防火牆時,您無需更改當前的網路拓撲,可以建立VPC邊界防火牆,實現對業務資產的保護。建立時間長度約5分鐘。對業務無影響。建議您在業務低峰期開啟VPC邊界防火牆。
開啟和關閉VPC邊界防火牆,預計約需要5~30分鐘(取決於路由條目數),過程中會出現長串連秒級閃斷,短串連無影響。
建議在開啟VPC邊界防火牆之前檢查您的應用程式是否支援TCP自動重傳機制,並密切關注應用串連狀態,以避免由於未配置重傳機制而導致的串連中斷。
使用限制
限制項 | 說明 | 處理建議 |
流量類型限制 |
| 無 |
路由限制 | 在Express Connect中不支援防護子網路遮罩為32位的路由。如果路由的子網路遮罩為32位,開啟VPC邊界防火牆後,會導致對此網段的網路訪問中斷。 | 建議您先將網段掩碼長度修改為小於等於30後,再開啟VPC邊界防火牆。如有疑問,請提交工單,聯絡產品技術專家進行諮詢。 |
建立並開啟VPC邊界防火牆
前提條件
已開通企業版、旗艦版或隨用隨付版Cloud Firewall。具體操作,請參見購買Cloud Firewall服務。
說明只有Cloud Firewall企業版、旗艦版和隨用隨付版支援配置企業版轉寄路由器的VPC邊界防火牆,進階版不支援。
已授權Cloud Firewall訪問雲資源。具體操作,請參見授權Cloud Firewall訪問雲資源。
已購買Express Connect執行個體,並且已使用Express Connect或者VPC對等串連完成了VPC之間的網路互聯。具體操作,請參見使用VPC對等串連實現VPC私網互連。
確保您網路資源所在的地區都是VPC邊界防火牆支援的地區。具體資訊,請參見支援的地區。
建立VPC邊界防火牆後,變更所建立的Cloud FirewallVPC中的交換器及路由表,可能會導致流量中斷。
VPC開牆啟動過程中不支援回退和暫停,如果出現異常系統會自動回退。
操作步驟
登入Cloud Firewall控制台,在左側導覽列,單擊防火牆開關。
在VPC邊界防火牆頁簽,單擊Express Connect。
在Express Connect頁簽,單擊同步資產,系統為您同步當前帳號及其成員帳號的資產資訊。
整個過程預計需要1~2分鐘。
定位到需要建立VPC邊界防火牆的Express Connect執行個體,在操作列單擊創建。
如果Express Connect執行個體過多,您可以在列表上方使用地區、VPC執行個體過濾列表。
在建立VPC邊界防火牆對話方塊,完成VPC邊界防火牆配置。配置描述如下。
配置項
說明
实例名称
定義VPC邊界防火牆的名稱。該名稱用於識別VPC邊界防火牆執行個體,建議您使用具有業務意義的名稱,並保證名稱的唯一性。
對等互連方式
確認互連方式。對等互連方式指VPC之間或VPC與本機資料中心之間的通訊方式,此處固定為Express Connect,無需您手動設定。
VPC
確認VPC地區和VPC執行個體,選擇要防護的路由表,並填寫目標網段。
路由表
建立VPC時,系統會為您自動建立一張預設的路由表,用於為專用網路添加系統路由來管理專用網路的流量。VPC支援按需建立多個路由表。詳細內容,請參見路由表概述。
在Cloud Firewall控制台建立VPC邊界防火牆時,Cloud Firewall自動讀取您的VPC路由表資訊。Express Connect支援多個路由表,因此您在Express Connect下建立VPC邊界防火牆時可看到多個路由表,並可以選擇需要防護的VPC路由表。
目標網段
在路由表下拉式清單中選中某個路由時,目標網段會自動展示該路由表的預設目標網段。如果您需要防護其他網段,可手動修改目標網段。支援添加多個網段,多個網段間用英文逗號隔開。
重要開啟VPC邊界防火牆後,若需要增加防護網段,需進行手動調整。
對端VPC
確認對端VPC地區和VPC執行個體,選擇要防護的路由表,並填寫目標網段。
重要開啟VPC邊界防火牆後,若需要增加防護網段,需進行手動調整。
入侵防禦
選擇要開啟的入侵防禦策略,可選項:
IPS防禦模式
觀察模式:開啟觀察模式後,對惡意流量進行監控並警示。
攔截模式:開啟攔截模式後,對惡意流量進行攔截,阻斷入侵活動。支援三種攔截模式:
拦截模式-宽松
拦截模式-中等
拦截模式-严格
IPS防禦能力
基礎規則:開啟基礎規則後,為您的資產提供基礎的防護能力,包括爆破攔截、命令執行漏洞攔截、以及對被感染後串連C&C(命令控制)的行為進行管控。
虛擬補丁:開啟虛擬補丁後,即時防禦熱門的高危應用漏洞。
開啟VPC防火牆開關
開啟開關,則在建立VPC邊界防火牆後,自動開啟VPC邊界防火牆開關。
單擊提交並確認。
說明開啟VPC邊界防火牆後,如果增加或者刪除VPC路由表資訊,Cloud Firewall需要15~30分鐘的時間完成路由學習。建議您等待Cloud Firewall路由學習完成後觀察路由表生效情況,如有疑問,請提交工單,聯絡產品技術專家進行諮詢。
VPC邊界防火牆建立完成後,Cloud Firewall會在Virtual Private Cloud中自動為您建立以下資源:
自訂路由表條目:備忘資訊為
Created by cloud firewall. Do not modify or delete it.。開啟VPC邊界防火牆後,會自動添加名稱為Cloud_Firewall_Security_Group的安全性群組,並且為該安全性群組自動設定了允許存取策略(即授權策略),用於允許存取到VPC邊界防火牆的流量。
重要Cloud_Firewall_Security_Group的安全性群組和允許存取策略不可以刪除,否則會導致流量無法流入VPC邊界防火牆。
如果需要大量操作或頻繁開關VPC邊界防火牆,為不影響您的業務,建議在業務流量較小的低峰期進行。
在Express Connect頁簽,開啟已建立的VPC邊界防火牆開關。
只有開啟VPC邊界防火牆,Cloud Firewall才能夠防護您的網路資源。當VPC邊界防火牆的防火牆狀態變更為已開啟,則表示成功開啟VPC邊界防火牆。
更多操作
關閉VPC邊界防火牆
關閉VPC邊界防火牆時,在關閉過程中可能會導致流量閃斷。
如果您需要關閉VPC邊界防火牆,可以在Express Connect頁簽,定位到目標VPC邊界防火牆執行個體,關閉防火牆開關。
當VPC邊界防火牆的防火牆狀態變更為未開啟,則表示成功關閉VPC邊界防火牆。
刪除VPC邊界防火牆
刪除VPC邊界防火牆時,在刪除過程中可能會導致流量閃斷。
如果您業務已不需要已建立的VPC邊界防火牆,可以在Express Connect頁簽,定位到目標VPC邊界防火牆執行個體,單擊右側操作列的刪除。
編輯VPC邊界防火牆
如果您需要修改VPC邊界防火牆的配置,可以在Express Connect頁簽,定位到目標VPC邊界防火牆執行個體,單擊右側操作列的編輯。
修改IPS配置
如果您需要修改IPS防禦模式、IPS防禦能力,或者需要對某些目的IP或者源IP直接允許存取(即IPS白名單)、修改IPS規則等,可以在已建立的Cloud Firewall執行個體的操作列,單擊配置IPS,在IPS配置頁面的VPC邊界頁簽進行配置。具體資訊,請參見IPS配置。
相關文檔
開啟VPC邊界防火牆後,您可以設定VPC邊界防火牆存取原則,控制VPC之間的訪問活動。
開啟VPC邊界防火牆後,您可以通過VPC互訪功能,查看VPC之間的相互訪問流量。
開啟VPC邊界防火牆後,您可以通過VPC防護功能,查看Cloud Firewall攔截到的VPC之間的例外狀況事件資訊。