VPC边界防火墙帮助您检测和管控两个VPC间的通信流量。如果您的VPC已通过高速通道连接,或者同属于一个云企业网,则您可以在高速通道或云企业网下创建VPC边界防火墙。创建并开启VPC边界防火墙后,您才可以使用云防火墙分析和控制VPC间的访问流量。
前提条件
已购买了云企业网或高速通道实例,并且已使用云企业网或高速通道完成了两个VPC之间的网络互连。详细操作请参见同账号VPC互连。
背景信息
VPC边界防火墙适用于以下场景:
- 通过云企业网连通两个VPC。相关操作,请参见为云企业网创建VPC边界防火墙。
- 通过高速通道连接两个VPC。相关内容,请参见为高速通道创建VPC边界防火墙。
- 使用VBR连接VPC和本地数据中心(IDC)。相关内容,请参见防护VPC和本地数据中心(IDC)间的流量。
版本支持说明
云防火墙企业版、旗舰版支持VPC边界防火墙,高级版不支持。高级版云防火墙控制台不展示VPC边界防火墙页面。
为云企业网创建VPC边界防火墙
云防火墙支持云企业网连通模式下跨账号VPC防护。跨账号是指当前云账号下云企业网中存在另一个账号开通的专有网络VPC,这两个分属于不同云账号的VPC通过云企业网连通。云企业网下存在跨账号开通的VPC时,需要先授权云防火墙访问这两个账号下的云资产。未完成授权的情况下,您将无法为该云企业网创建VPC边界防火墙,云防火墙控制台的 页面会提示存在未授权的网络实例,不允许创建。

您需要执行以下步骤完成授权操作:
- 使用未授权的账号登录云防火墙控制台。
- 在云防火墙欢迎页面完成新手引导。
- 在云资产访问授权页面单击同意授权。
说明 云企业网连通VPC模式下,有以下注意事项:
- VPC边界防火墙支持VPC跨地域、跨账号。跨账号VPC防护允许除当前操作账号外,其他的账号下VPC未开通云防火墙付费版(即高级版、企业版或旗舰版)。
- 同一个云企业网同地域可开启VPC边界防火墙的VPC数量最大规格是10个,如需增加规格,请提交工单。
- VPC边界防火墙支持防护VPC和VPC互访、VPC和VBR互访(即VPC-IDC)、VPC和CCN互访流量,不支持防护VBR和VBR互访、CCN和CCN互访、CCN和VBR互访流量。
如果您的VPC是通过云企业网连接,请参考以下步骤创建VPC边界防火墙。
说明 创建、开启、关闭或删除VPC边界防火墙时,会自动修改您的VPC路由表中的自定义路由,导致在一个极短的时间内会出现网络中断。如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。
说明 开启VPC边界防火墙后会自动添加名称为Cloud_Firewall_Security_Group的安全组和放行策略,用于放行到VPC边界防火墙的流量,请不要删除和修改此安全组和策略。
为高速通道创建VPC边界防火墙
高速通道连接VPC模式下,有以下注意事项:
- VPC边界防火墙支持防护同地域的VPC和VPC互访流量,不支持防护VPC跨地域、跨账号的互访流量。
- VPC边界防火墙支持防护VPC和VBR互访流量。
如果您的VPC是通过高速通道连接,请参考以下步骤创建VPC边界防火墙。
防护VPC和本地数据中心(IDC)间的流量
VPC边界防火墙支持对VPC和VBR之间的流量(即VPC到本地数据中心之间的流量)进行防护。使用云企业网VBR连接VPC和本地数据中心的情况下,该云企业网的VPC边界防火墙开启后,会自动对该VPC和VBR之间的流量开启防护,无需为云企业网VBR单独创建和开启VPC防火墙。
后续步骤
- 在VPC边界防火墙页面编辑或者删除已创建的VPC边界防护墙实例。
- 在VPC边界防火墙页面开启或关闭VPC边界防火墙。更多信息,请参见开启或关闭VPC边界防火墙。
- 在VPC边界防火墙。 页面设置VPC边界防火墙策略,控制VPC间的访问活动。更多信息,请参见
如果VPC边界防火墙已开启,您可以在VPC访问活动。
页面查看VPC间访问流量的数据统计和分析结果。更多信息,请参见