VPC间防火墙开关

1. 概述

   1. 操作场景

      云防火墙开关提供 VPC 间防火墙开关功能，通过建立防火墙来承载不同 VPC 之间的访问流量，提供访问控制规则和日志审计系统。

      本文将介绍如何在 VPC 间开关页面，创建防火墙、查看带宽使用情况、规格信息以及查看网络拓扑和防火墙开关等操作。

   2. 架构简介

      在系统使用此功能前，您需要先大概了解下 VPC 间防火墙的构成。

      1个 VPC 间防火墙由多个防火墙实例组成，每个防火墙实例负责接入不同的 VPC 并打通与防火墙之间的网络连接。

      

      VPC 间防火墙本质是通过修改 VPC 的路由实现将流量牵引至防火墙。防火墙实例之间是否互通，取决于不同实例之间接入的 VPC 是否存在可达路由通路，防火墙不会打通基础网络。防火墙打通网络的方式可通过修改私有网络的路由表下一跳实现。

2. 新建 VPC 间防火墙

   1. 私有网络模式

      1. 在左侧导航栏中，选择防火墙开关 > VPC 间开关。

      2. 在 VPC 间开关页面，单击防火墙实例，进入到防火墙实例页面，单击创建防火墙。

         

      3. 在新建 VPC 间防火墙弹窗中，输入实例名称，选择私有网络模式，单击下一步。

注意：

• 实例名称：创建防火墙实例时自定义的名称。
• 私有网络模式：选择私有网络 VPC 接入防火墙，通过修改相关私有网络的路由表，来实现路由牵引。

4. 填写防火墙实例名称和地域，配置灾备信息，设置防火墙实例带宽规格和接入网络，单击下一步。若实例数量不满足需求可单击右侧➕创建多个防火墙实例。

     ![](//imgcache.fincloud.tencent.cn/doc_pdf/static//imgs/f_2023-9-22_f_152bd840-58f9-11ee-a300-7d9cc07614c3.png)

注意：

• 地域：接入防护的 VPC 所属的地域。
• 异地灾备：VPC 间防火墙支持异地灾备，通过勾选来开启。
• 可用区：根据需求选择合适的可用区。
• 实例带宽：单实例目前最小1Gbps，最大20Gbps（控制台自行配置最大支持5Gbps，超过请 提交工单 评估），支持 升级扩容。如果不满足最大带宽可创建多个防火墙实例分流。但请注意，每个防火墙实例有其自身吞吐上限，多个防火墙实例请确认单实例在吞吐上限内。
• 实例接入：单击 接入网络，根据需要接入的 VPC 的地域分实例，选择所需 VPC，单击确定
• 1个 VPC 仅可以接入1个实例。
• 防火墙无法进行基础网络的打通，接入网络之前，请确认 VPC 间已经创建对等链接/云联网，如果 VPC 之间没有建立连接，则接入不生效，不会有防火墙开关。
• 每个防火墙实例仅可接入同地域下的 VPC，每个实例最多可接入10个 VPC，支持同地域下创建多个防火墙实例。建议提前按照地域规划需要接入的 VPC，再创建防火墙实例并进行网络接入。

5. 配置创建引流子网方式、防火墙 VPC、路由模式，确认无误后单击创建即可,

说明：

创建引流子网方式：

云防火墙会在您所接入的VPC中新建24网段的子网，用于将流量牵引至防火墙，您可以选择不同的创建子网的方式。引流子网完成防火墙创建后不可修改。

• 自有网段优先：云防火墙会在您所选的 VPC 内自动选择空闲子网网段；当 VPC 内无子网配额时，我们会使用所选 VPC 的扩展网段。
• 扩展网段优先：云防火墙会优先使用空闲的 VPC 保留的扩展网段，该模式下不会占用所选 VPC 子网配额。其中，扩展网段是指私有网络中的辅助网段。
• 自定义：您可以自定义供防火墙使用的子网网段，请注意必须为24网段；自定义网段必须属于当前 VPC 的 CIDR，例如192.168.0.0/24。 防火墙 VPC：

用来打通防火墙实例之间的网络通信，需要在所选 VPC 的所在地域各新建一个防火墙专用 VPC。

• 自动选择：防火墙会自动创建一个与接入 VPC 不冲突的20网段的 VPC。
• 自定义：请输入一个与规划网络不冲突的20段 VPC，例如192.168.1.0/20。 路由模式：

防火墙开关的引流方案，不同的网络互通方式决定了防火墙开关和路由引流的模式不同，建议根据业务网络模式选择。

• 单点互通：适用于 VPC 数量较少，网络结构简单的拓扑；开关模式为 VPC 到 VPC，该模式下每个 VPC 之间的可达通路均会生成一个防火墙开关。
• 多点互通：适用于 VPC 数量较多，网络拓扑简单，如星型网络拓扑等；开关模式为单 VPC，该模式下 VPC 之间的访问会经过两个开关控制。
• 全互通：适用于 VPC 数量较多，网络拓扑复杂，如网状网络拓扑等；开关模式为全部 VPC，该模式下仅会有一个防火墙开关用于控制全部 VPC 路由。
• 自定义路由：您可以参考文档 自定义路由配置指引，在完成创建防火墙后自行配置路由，该模式下不会存在防火墙开关。
• 注意：选择多地域后仅支持自定义路由，具体路由模式是否可用请以控制台为准。

3. 查看 VPC 间防火墙

   1. 查看状态监控

      VPC 间防火墙状态监控支持统计防火墙整体带宽和各个实例的带宽，可以通过多个入口查询。

      1. 在左侧导航栏中，选择防火墙开关 > VPC 间开关。

      2. 在 VPC 间开关页面，支持如下三种方法呼出监控面板：

         单击状态监控右上角的监控按钮，或单击防火墙峰值带宽与单实例峰值带宽面板可快速呼出监控面板。

         

         单击防火墙实例，选择所需防火墙，单击操作 > 带宽监控，可快速呼出监控面板。

         单击防火墙实例，选择所需防火墙实例，单击状态监控，可快速呼出监控面板。

      3. 在监控面板中，可以基于①防火墙名称或②防火墙实例名称对监控维度进行筛选，也可以通过选择③时间范围修改统计维度。可以看到带宽的④监控曲线，也可以查阅防火墙或实例下所属开关的⑤峰值带宽数据。

注意：

不同时间范围的统计的最小统计颗粒度不同，可能会与实际峰值有误差，建议以云监控的数据或具体防护单元的统计数据为准。

4. 在监控面板中， 单击查看监控指标呼出云平台可观测平台的侧边栏，查看防火墙实例的全部监控指标数据，包括并发连接数、内网入包量、内网出包量、内网出带宽、内网入带宽。您也可以前往 云监控 查看详细指标或配置相关告警。

4. 管理 VPC 间防火墙

   VPC 间防火墙创建完成后，您可以管理 VPC 间防火墙或防火墙实例。

   1. 查看概况

      1. 在左侧导航栏中，选择防火墙开关 > VPC 间开关。

      2. 在 VPC 间开关页面，单击防火墙实例，进入到防火墙实例页面，可以查看已经创建好的防火墙和其部署的防火墙实例信息。

         说明：

         实例规格：当前防火墙实例的带宽上限和下发规则数上限。

         

   2. 查看关联开关

      在防火墙实例页面，单击开关数量，跳转至防火墙开关页面，可自动筛选出当前防火墙关联的开关。

      

   3. 配置实例

      1. 在防火墙实例页面，鼠标悬浮至需要配置的 VPC 间防火墙右侧的操作，选择配置实例。

         

      2. 支持调整创建时的初始配置，包含防火墙实例名称、实例的规格以及每个实例接入的网络实例；也可以新增 VPC 间防火墙实例。

      3. 如果有新增接入的 VPC，将会自动根据创建 VPC 间防火墙时的网络配置执行；如果选择了自定义创建引流子网方式，还需要手动填写新增 VPC 的子网 CIDR。

注意：

防火墙网络配置不支持修改。

4. 销毁 VPC 间防火墙

   在防火墙实例页面，鼠标悬浮至需要配置的 VPC 间防火墙右侧的操作，选择销毁防火墙，二次确认后即可。

   注意：

   若您选择了自定义路由请确认已手动恢复路由。

   

5. 管理 VPC 间防火墙实例

   VPC 间防火墙创建完成后，您可以单独对 VPC 间防火墙实例进行管理。

   • 在左侧导航栏中，选择防火墙开关 > VPC 间开关。

   • 在 VPC 间开关页面，单击防火墙实例，进入到防火墙实例页面。

   1. 查看实例详情

      1. 在防火墙实例页面，单击防火墙实例 ID或单击右侧的实例详情。

         

      2. 在防火墙实例页面，在可以查看实例的相关配置详情。

   2. 查看关联开关

      在防火墙实例页面，单击更多 > 查看防火墙开关，可以跳转至防火墙开关页面，并自动筛选出当前防火墙实例关联的开关。

说明：

防火墙实例关联开关取决于开关控制的流量是否会经过这个实例，一个开关可能属于多个实例。

3. 销毁 VPC 间防火墙实例

   销毁任意防火墙实例，需要关闭当前 VPC 间防火墙的全部开关。

   1. 在防火墙实例页面，单击所属 VPC 间防火墙的开关数量。

      

   2. 跳转至防火墙开关页面，单击全部关闭关闭当前防火墙全部开关。

   3. 在防火墙实例页面，单击更多 > 销毁实例，二次确认后即会销毁当前防火墙实例。

说明：

销毁防火墙实例后，当前实例接入的 VPC 将会自动取消接入，已使用配额将归还。

4. 重新选择接入实例

   重新选择接入实例，需要关闭当前 VPC 间防火墙的全部开关。

   在防火墙实例页面，单击所属 VPC 间防火墙的开关数量。

   

   跳转至防火墙开关页面，单击全部关闭关闭当前防火墙全部开关。

   在防火墙开关页面，单击更多 > 重新选择接入实例，进入编辑 VPC 间防火墙页面。

   在弹窗中，选择需要重新接入的 VPC，单击确定。

5. ByPass 模式

   防火墙支持手动切换至 ByPass 模式，ByPass 模式下当前实例下所有流量均不会过防火墙，所有防火墙配置将失效，建议在调试时使用。

   在防火墙实例页面，单击更多 > 开启 ByPass / 关闭 ByPass。

注意：

调试完成请手动关闭 ByPass 模式。

6. 管理防火墙开关

   在 防火墙开关页面，可通过开启或者关闭 VPC 间防火墙的开关，来实现对 VPC 间流量的管控。同时云防火墙会自动同步资产，因此不用担心资产变更后防火墙配置的问题，云防火墙在短时间内会自动同步。

   注意：

   开启/关闭防火墙操作涉及网络和路由切换，将会产生短时间网络抖动和闪断，请合理选择操作时间。

   1. 防火墙开关类型介绍

      防火墙开关有4种类型：单点模式、多点模式、全互通模式、自定义路由。

      • 单点模式：1个防火墙开关对应1对互通 VPC，1对互通 VPC 对应一个对等连接（或云联网）实例。

      • 多点模式：1个防火墙开关对应1个 VPC，所有进出此 VPC 的流量均由此开关管理；一对 VPC 的互访会受两个开关分别独立控制。

      • 全互通模式：1个防火墙开关对应1个防火墙的全部互通路由，开启开关防火墙即会接管全部接入的 VPC 流量。

      • 自定义路由：由开关无实际意义，仅用于展示接入 VPC。

        若变更对等连接（或云联网）实例，防火墙开关会对应同步变更，为了不影响您的业务，我们只会对状态为关闭的开关立即执行变更，请确保您在变更 VPC 间的对等连接（或云联网）的配置时，防火墙开关是关闭的。

   2. 开启开关

      开启开关后，系统会自动修改相关路由表的路由策略，将所有防火墙开关对应的本端和对端网络间的流量牵引至 VPC 间防火墙。

      1. 在VPC 间开关页面，单击防火墙开关，支持单个、批量、全部开启防火墙。

         单个：选择所需防火墙，单击防火墙开关，弹出确认开启弹窗。

         

         批量： 勾选防火墙开关后，单击左上角的批量开启，弹出确认开启弹窗。

         全部：未勾选任何项目时，单击左上角的全部开启，弹出确认开启弹窗。

      2. 在确认开启弹窗中，单击确定，即可开启防护。

注意：

若 VPC 间没有正确配置对等连接路由，防火墙无法开启。

开启后，请勿在“私有网络”控制台中手动变更开关对应的路由，否则将导致防火墙丢失路由而引发网络中断。

3. 关闭开关

   关闭开关后，系统会自动恢复相关路由表的路由策略，所有防火墙对应的本端-对端网络间的流量将恢复原先路径，不会经过 VPC 间防火墙。

   1. 在 VPC 间开关页面，单击防火墙开关，支持单个、批量、全部关闭防火墙。

      单个：选择所需防火墙，单击防火墙开关，弹出确认关闭弹窗。

      批量：勾选防火墙开关后，单击左上角的批量关闭，弹出确认关闭弹窗。

      全部：未勾选任何项目时，单击左上角的全部关闭，弹出确认关闭弹窗。

   2. 在确认关闭弹窗中，单击确定，即可关闭防护。

注意：

关闭后，您可以根据需要切换 VPC 路由，但切勿手动启用防火墙路由，否则将导致网络中断，防火墙开关故障。

4. 查看规则

   1. 在 VPC 间开关页面，单击防火墙开关。

   2. 在防火墙开关页面，选择所需防火墙开关，单击查看规则。

      

   3. 在内网间规则页面，可以对规则进行查看和编辑，操作详情请参见 【访问控制-内网间规则】。

5. 查看日志

   1. 在 VPC 间开关页面，单击防火墙开关。

   2. 在防火墙开关页面，单击更多 > 查看日志，可以选择查看流量访问控制日志或流量日志。

      

7. 使用网络拓扑

   1. 查看网络拓扑

      云防火墙提供了一个可视化视图，帮助您快速梳理 VPC 间资产的访问关系。

      1. 在左侧导航栏中，选择防火墙开关 > VPC 间开关。

      2. 在VPC 间开关页面，单击网络拓扑，查看接入的 VPC 网络实例详情。

      3. 在网络拓扑页面，鼠标悬停在某个 VPC 实例，可以查看该实例的详细信息。

         

      4. 单击某个实例，可查看与其他 VPC 实例的连接情况，以及防火墙开关开启情况。防火墙开关标识如果深蓝色则代表开关开启，如果是灰色则代表开关关闭。

      5. 在网络拓扑页面，单击同步资产，可以及时同步资产信息；将鼠标悬停引擎更新处可以查看版本信息。

      6. 在网络拓扑页面，单击右上角的按钮，可查看操作指引或刷新网络拓扑。

   2. 使用 VPC 视图梳理 VPC 间的访问关系

      云防火墙提供了一个可视化视图，帮助您快速梳理 VPC 之间的访问关系。在 VPC 可视化视图中，每个节点是一个 VPC 实例，VPC 间防火墙是一个中心化的设备，每个开关控制了不同的路由。已开启开关的 VPC 间流量将会被牵引至防火墙进行过滤与防护。

      1. 在左侧导航栏中，选择防火墙开关 > VPC 间开关。

      2. 在VPC 间开关页面，单击网络拓扑，查看接入的 VPC 网络实例详情。

      3. 将鼠标在某个 VPC 节点上悬停，可查看 VPC 的简要信息，同时与之互联的所有 VPC 也会亮起。单击私有网络 ID 的蓝色字体，可进入 VPC 详情页查看该 VPC 的详细信息。

         

      4. 可以单击某个 VPC 节点，页面进入聚焦视图，显示以聚焦 VPC 为中心的拓扑结构。

      5. 彼此互通的 VPC 间通过连线相连接，连线中可以查看或操作防火墙开关，也可以通过单击防火墙的开关按钮，直接进入访问控制规则配置页面。

注意：

• 单点互通模式下每对可互相访问的 VPC 在图上仅会展示1个开关。
• 多点互通模式下每个 VPC 会展示1个开关。
• 全互通模式 VPC 间防火墙仅会有1个开关。

单点互通模式 多点互通模式 全互通模式 8. VPC 间防火墙的异常场景说明

• VPC 间防火墙在开启和关闭开关时，涉及后台自动修改您的路由策略，导致在一个极短的时间内会出现网络闪断，为不影响您的业务，请您合理安排操作 VPC 间防火墙开关的时间。如果需要进行批量或频繁的开关操作，建议在业务流量较小的深夜进行。

• VPC 间防火墙开关建立在 VPC 间的对等连接（之上，若您变更（或删除）了对等连接的配置，则防火墙开关也会自动对应变更（或删除）。为了不影响您的业务，云防火墙只会对状态为关闭的开关立即执行变更（或删除）。

• 若 VPC 间没有正在启用的路由，则防火墙开关无法开启。

• 如需配置对等连接路由，请参见 配置指向对等连接的路由。

• 云防火墙开关开启状态下，在 私有网络控制台 手动变更对应 VPC 路由表属于高危操作，由于云防火墙无法同步路由的变更，可能导致防火墙失效，网络连接中断。

• 云防火墙开关关闭状态下，您可以根据需要切换 VPC 间的其他对等连接路由，但请勿启用备注信息为“防火墙”的路由，否则将导致网络连接中断，防火墙开关故障。