租户端 安全 云防火墙(CFW) 操作指南

VPC间防火墙开关

最近更新时间: 2025-02-18 16:02:00

  1. 概述

    1. 操作场景

      云防火墙开关提供 VPC 间防火墙开关功能,通过建立防火墙来承载不同 VPC 之间的访问流量,提供访问控制规则和日志审计系统。

      本文将介绍如何在 VPC 间开关页面,创建防火墙、查看带宽使用情况、规格信息以及查看网络拓扑和防火墙开关等操作。

    2. 架构简介

      在系统使用此功能前,您需要先大概了解下 VPC 间防火墙的构成。

      1个 VPC 间防火墙由多个防火墙实例组成,每个防火墙实例负责接入不同的 VPC 并打通与防火墙之间的网络连接。

  • 复制
    复制成功
  VPC 间防火墙本质是通过修改 VPC 的路由实现将流量牵引至防火墙。防火墙实例之间是否互通,取决于不同实例之间接入的 VPC 是否存在可达路由通路,防火墙不会打通基础网络。防火墙打通网络的方式可通过修改私有网络的路由表下一跳实现。
  1. 新建 VPC 间防火墙
    1. 私有网络模式
      1. 在左侧导航栏中,选择防火墙开关 > VPC 间开关。
      2. 在 VPC 间开关页面,单击防火墙实例,进入到防火墙实例页面,单击创建防火墙。

  • 复制
    复制成功
3. 在新建 VPC 间防火墙弹窗中,输入实例名称,选择私有网络模式,单击下一步。

注意:

  • 实例名称:创建防火墙实例时自定义的名称。
  • 私有网络模式:选择私有网络 VPC 接入防火墙,通过修改相关私有网络的路由表,来实现路由牵引。
  • 复制
    复制成功
4. 填写防火墙实例名称和地域,配置灾备信息,设置防火墙实例带宽规格和接入网络,单击下一步。若实例数量不满足需求可单击右侧➕创建多个防火墙实例。

注意:

  • 地域:接入防护的 VPC 所属的地域。
  • 异地灾备:VPC 间防火墙支持异地灾备,通过勾选来开启。
  • 可用区:根据需求选择合适的可用区。
  • 实例带宽:单实例目前最小1Gbps,最大20Gbps(控制台自行配置最大支持5Gbps,超过请 提交工单 评估),支持 升级扩容。如果不满足最大带宽可创建多个防火墙实例分流。但请注意,每个防火墙实例有其自身吞吐上限,多个防火墙实例请确认单实例在吞吐上限内。
  • 实例接入:单击 接入网络,根据需要接入的 VPC 的地域分实例,选择所需 VPC,单击确定
  • 1个 VPC 仅可以接入1个实例。
  • 防火墙无法进行基础网络的打通,接入网络之前,请确认 VPC 间已经创建对等链接/云联网,如果 VPC 之间没有建立连接,则接入不生效,不会有防火墙开关。
  • 每个防火墙实例仅可接入同地域下的 VPC,每个实例最多可接入10个 VPC,支持同地域下创建多个防火墙实例。建议提前按照地域规划需要接入的 VPC,再创建防火墙实例并进行网络接入。

  • 复制
    复制成功
5. 配置创建引流子网方式、防火墙 VPC、路由模式,确认无误后单击创建即可,

说明:

创建引流子网方式:

云防火墙会在您所接入的VPC中新建24网段的子网,用于将流量牵引至防火墙,您可以选择不同的创建子网的方式。引流子网完成防火墙创建后不可修改。

  • 自有网段优先:云防火墙会在您所选的 VPC 内自动选择空闲子网网段;当 VPC 内无子网配额时,我们会使用所选 VPC 的扩展网段。
  • 扩展网段优先:云防火墙会优先使用空闲的 VPC 保留的扩展网段,该模式下不会占用所选 VPC 子网配额。其中,扩展网段是指私有网络中的辅助网段。
  • 自定义:您可以自定义供防火墙使用的子网网段,请注意必须为24网段;自定义网段必须属于当前 VPC 的 CIDR,例如192.168.0.0/24。

防火墙 VPC:

用来打通防火墙实例之间的网络通信,需要在所选 VPC 的所在地域各新建一个防火墙专用 VPC。

  • 自动选择:防火墙会自动创建一个与接入 VPC 不冲突的20网段的 VPC。
  • 自定义:请输入一个与规划网络不冲突的20段 VPC,例如192.168.1.0/20。

路由模式:

防火墙开关的引流方案,不同的网络互通方式决定了防火墙开关和路由引流的模式不同,建议根据业务网络模式选择。

  • 单点互通:适用于 VPC 数量较少,网络结构简单的拓扑;开关模式为 VPC 到 VPC,该模式下每个 VPC 之间的可达通路均会生成一个防火墙开关。
  • 多点互通:适用于 VPC 数量较多,网络拓扑简单,如星型网络拓扑等;开关模式为单 VPC,该模式下 VPC 之间的访问会经过两个开关控制。
  • 全互通:适用于 VPC 数量较多,网络拓扑复杂,如网状网络拓扑等;开关模式为全部 VPC,该模式下仅会有一个防火墙开关用于控制全部 VPC 路由。
  • 自定义路由:您可以参考文档 自定义路由配置指引,在完成创建防火墙后自行配置路由,该模式下不会存在防火墙开关。
  • 注意:选择多地域后仅支持自定义路由,具体路由模式是否可用请以控制台为准。

  1. 查看 VPC 间防火墙

    1. 查看状态监控

      VPC 间防火墙状态监控支持统计防火墙整体带宽和各个实例的带宽,可以通过多个入口查询。

      1. 在左侧导航栏中,选择防火墙开关 > VPC 间开关。
      2. 在 VPC 间开关页面,支持如下三种方法呼出监控面板:

      单击状态监控右上角的监控按钮,或单击防火墙峰值带宽与单实例峰值带宽面板可快速呼出监控面板。

  • 复制
    复制成功
  单击防火墙实例,选择所需防火墙,单击操作 > 带宽监控,可快速呼出监控面板。

  单击防火墙实例,选择所需防火墙实例,单击状态监控,可快速呼出监控面板。

3. 在监控面板中,可以基于①防火墙名称或②防火墙实例名称对监控维度进行筛选,也可以通过选择③时间范围修改统计维度。可以看到带宽的④监控曲线,也可以查阅防火墙或实例下所属开关的⑤峰值带宽数据。

注意:

不同时间范围的统计的最小统计颗粒度不同,可能会与实际峰值有误差,建议以云监控的数据或具体防护单元的统计数据为准。

  • 复制
    复制成功
4. 在监控面板中, 单击查看监控指标呼出云平台可观测平台的侧边栏,查看防火墙实例的全部监控指标数据,包括并发连接数、内网入包量、内网出包量、内网出带宽、内网入带宽。您也可以前往 云监控 查看详细指标或配置相关告警。

  1. 管理 VPC 间防火墙

    VPC 间防火墙创建完成后,您可以管理 VPC 间防火墙或防火墙实例。

    1. 查看概况
      1. 在左侧导航栏中,选择防火墙开关 > VPC 间开关。
      2. 在 VPC 间开关页面,单击防火墙实例,进入到防火墙实例页面,可以查看已经创建好的防火墙和其部署的防火墙实例信息。

说明:

实例规格:当前防火墙实例的带宽上限和下发规则数上限。

  1. 查看关联开关

    在防火墙实例页面,单击开关数量,跳转至防火墙开关页面,可自动筛选出当前防火墙关联的开关。

  1. 配置实例
    1. 在防火墙实例页面,鼠标悬浮至需要配置的 VPC 间防火墙右侧的操作,选择配置实例。

  • 复制
    复制成功
2. 支持调整创建时的初始配置,包含防火墙实例名称、实例的规格以及每个实例接入的网络实例;也可以新增 VPC 间防火墙实例。
3. 如果有新增接入的 VPC,将会自动根据创建 VPC 间防火墙时的网络配置执行;如果选择了自定义创建引流子网方式,还需要手动填写新增 VPC 的子网 CIDR。

注意:

防火墙网络配置不支持修改。

  1. 销毁 VPC 间防火墙

    在防火墙实例页面,鼠标悬浮至需要配置的 VPC 间防火墙右侧的操作,选择销毁防火墙,二次确认后即可。

注意:

若您选择了自定义路由请确认已手动恢复路由。

  1. 管理 VPC 间防火墙实例

    VPC 间防火墙创建完成后,您可以单独对 VPC 间防火墙实例进行管理。

    • 在左侧导航栏中,选择防火墙开关 > VPC 间开关。
    • 在 VPC 间开关页面,单击防火墙实例,进入到防火墙实例页面。
      1. 查看实例详情
    1. 在防火墙实例页面,单击防火墙实例 ID或单击右侧的实例详情。

  • 复制
    复制成功
2. 在防火墙实例页面,在可以查看实例的相关配置详情。

  1. 查看关联开关

    在防火墙实例页面,单击更多 > 查看防火墙开关,可以跳转至防火墙开关页面,并自动筛选出当前防火墙实例关联的开关。

说明:

防火墙实例关联开关取决于开关控制的流量是否会经过这个实例,一个开关可能属于多个实例。

  1. 销毁 VPC 间防火墙实例

    销毁任意防火墙实例,需要关闭当前 VPC 间防火墙的全部开关。

    1. 在防火墙实例页面,单击所属 VPC 间防火墙的开关数量。

  • 复制
    复制成功
2. 跳转至防火墙开关页面,单击全部关闭关闭当前防火墙全部开关。
3. 在防火墙实例页面,单击更多 > 销毁实例,二次确认后即会销毁当前防火墙实例。

说明:

销毁防火墙实例后,当前实例接入的 VPC 将会自动取消接入,已使用配额将归还。

  1. 重新选择接入实例

    重新选择接入实例,需要关闭当前 VPC 间防火墙的全部开关。

    在防火墙实例页面,单击所属 VPC 间防火墙的开关数量。

  • 复制
    复制成功
  跳转至防火墙开关页面,单击全部关闭关闭当前防火墙全部开关。

  在防火墙开关页面,单击更多 > 重新选择接入实例,进入编辑 VPC 间防火墙页面。

  在弹窗中,选择需要重新接入的 VPC,单击确定。

  1. ByPass 模式

    防火墙支持手动切换至 ByPass 模式,ByPass 模式下当前实例下所有流量均不会过防火墙,所有防火墙配置将失效,建议在调试时使用。

    在防火墙实例页面,单击更多 > 开启 ByPass / 关闭 ByPass。

注意:

调试完成请手动关闭 ByPass 模式。

  1. 管理防火墙开关

    在 防火墙开关页面,可通过开启或者关闭 VPC 间防火墙的开关,来实现对 VPC 间流量的管控。同时云防火墙会自动同步资产,因此不用担心资产变更后防火墙配置的问题,云防火墙在短时间内会自动同步。

注意:

开启/关闭防火墙操作涉及网络和路由切换,将会产生短时间网络抖动和闪断,请合理选择操作时间。

  1. 防火墙开关类型介绍

    防火墙开关有4种类型:单点模式、多点模式、全互通模式、自定义路由。

    • 单点模式:1个防火墙开关对应1对互通 VPC,1对互通 VPC 对应一个对等连接(或云联网)实例。

    • 多点模式:1个防火墙开关对应1个 VPC,所有进出此 VPC 的流量均由此开关管理;一对 VPC 的互访会受两个开关分别独立控制。

    • 全互通模式:1个防火墙开关对应1个防火墙的全部互通路由,开启开关防火墙即会接管全部接入的 VPC 流量。

    • 自定义路由:由开关无实际意义,仅用于展示接入 VPC。

      若变更对等连接(或云联网)实例,防火墙开关会对应同步变更,为了不影响您的业务,我们只会对状态为关闭的开关立即执行变更,请确保您在变更 VPC 间的对等连接(或云联网)的配置时,防火墙开关是关闭的。

  2. 开启开关

    开启开关后,系统会自动修改相关路由表的路由策略,将所有防火墙开关对应的本端和对端网络间的流量牵引至 VPC 间防火墙。

    1. 在VPC 间开关页面,单击防火墙开关,支持单个、批量、全部开启防火墙。

      单个:选择所需防火墙,单击防火墙开关,弹出确认开启弹窗。

  • 复制
    复制成功
  批量: 勾选防火墙开关后,单击左上角的批量开启,弹出确认开启弹窗。

  全部:未勾选任何项目时,单击左上角的全部开启,弹出确认开启弹窗。

2. 在确认开启弹窗中,单击确定,即可开启防护。

注意:

若 VPC 间没有正确配置对等连接路由,防火墙无法开启。

开启后,请勿在“私有网络”控制台中手动变更开关对应的路由,否则将导致防火墙丢失路由而引发网络中断。

  1. 关闭开关

    关闭开关后,系统会自动恢复相关路由表的路由策略,所有防火墙对应的本端-对端网络间的流量将恢复原先路径,不会经过 VPC 间防火墙。

    1. 在 VPC 间开关页面,单击防火墙开关,支持单个、批量、全部关闭防火墙。

      单个:选择所需防火墙,单击防火墙开关,弹出确认关闭弹窗。

      批量:勾选防火墙开关后,单击左上角的批量关闭,弹出确认关闭弹窗。

      全部:未勾选任何项目时,单击左上角的全部关闭,弹出确认关闭弹窗。

    2. 在确认关闭弹窗中,单击确定,即可关闭防护。

注意:

关闭后,您可以根据需要切换 VPC 路由,但切勿手动启用防火墙路由,否则将导致网络中断,防火墙开关故障。

  1. 查看规则
    1. 在 VPC 间开关页面,单击防火墙开关。
    2. 在防火墙开关页面,选择所需防火墙开关,单击查看规则。

  • 复制
    复制成功
3. 在内网间规则页面,可以对规则进行查看和编辑,操作详情请参见 【访问控制-内网间规则】。
  1. 查看日志
    1. 在 VPC 间开关页面,单击防火墙开关。
    2. 在防火墙开关页面,单击更多 > 查看日志,可以选择查看流量访问控制日志或流量日志。

  1. 使用网络拓扑

    1. 查看网络拓扑

      云防火墙提供了一个可视化视图,帮助您快速梳理 VPC 间资产的访问关系。

      1. 在左侧导航栏中,选择防火墙开关 > VPC 间开关。
      2. 在VPC 间开关页面,单击网络拓扑,查看接入的 VPC 网络实例详情。
      3. 在网络拓扑页面,鼠标悬停在某个 VPC 实例,可以查看该实例的详细信息。

  • 复制
    复制成功
4. 单击某个实例,可查看与其他 VPC 实例的连接情况,以及防火墙开关开启情况。防火墙开关标识如果深蓝色则代表开关开启,如果是灰色则代表开关关闭。
5. 在网络拓扑页面,单击同步资产,可以及时同步资产信息;将鼠标悬停引擎更新处可以查看版本信息。
6. 在网络拓扑页面,单击右上角的按钮,可查看操作指引或刷新网络拓扑。

  1. 使用 VPC 视图梳理 VPC 间的访问关系

    云防火墙提供了一个可视化视图,帮助您快速梳理 VPC 之间的访问关系。在 VPC 可视化视图中,每个节点是一个 VPC 实例,VPC 间防火墙是一个中心化的设备,每个开关控制了不同的路由。已开启开关的 VPC 间流量将会被牵引至防火墙进行过滤与防护。

    1. 在左侧导航栏中,选择防火墙开关 > VPC 间开关。
    2. 在VPC 间开关页面,单击网络拓扑,查看接入的 VPC 网络实例详情。
    3. 将鼠标在某个 VPC 节点上悬停,可查看 VPC 的简要信息,同时与之互联的所有 VPC 也会亮起。单击私有网络 ID 的蓝色字体,可进入 VPC 详情页查看该 VPC 的详细信息。

  • 复制
    复制成功
4. 可以单击某个 VPC 节点,页面进入聚焦视图,显示以聚焦 VPC 为中心的拓扑结构。
5. 彼此互通的 VPC 间通过连线相连接,连线中可以查看或操作防火墙开关,也可以通过单击防火墙的开关按钮,直接进入访问控制规则配置页面。

注意:

  • 单点互通模式下每对可互相访问的 VPC 在图上仅会展示1个开关。
  • 多点互通模式下每个 VPC 会展示1个开关。
  • 全互通模式 VPC 间防火墙仅会有1个开关。
  • 复制
    复制成功
  单点互通模式

  • 复制
    复制成功
  多点互通模式

  • 复制
    复制成功
  全互通模式

  1. VPC 间防火墙的异常场景说明
    • VPC 间防火墙在开启和关闭开关时,涉及后台自动修改您的路由策略,导致在一个极短的时间内会出现网络闪断,为不影响您的业务,请您合理安排操作 VPC 间防火墙开关的时间。如果需要进行批量或频繁的开关操作,建议在业务流量较小的深夜进行。
    • VPC 间防火墙开关建立在 VPC 间的对等连接(之上,若您变更(或删除)了对等连接的配置,则防火墙开关也会自动对应变更(或删除)。为了不影响您的业务,云防火墙只会对状态为关闭的开关立即执行变更(或删除)。
    • 若 VPC 间没有正在启用的路由,则防火墙开关无法开启。
    • 如需配置对等连接路由,请参见 配置指向对等连接的路由。
    • 云防火墙开关开启状态下,在 私有网络控制台 手动变更对应 VPC 路由表属于高危操作,由于云防火墙无法同步路由的变更,可能导致防火墙失效,网络连接中断。
    • 云防火墙开关关闭状态下,您可以根据需要切换 VPC 间的其他对等连接路由,但请勿启用备注信息为“防火墙”的路由,否则将导致网络连接中断,防火墙开关故障。