tencent cloud

云防火墙

动态与公告
产品动态
引擎更新动态
产品公告
新手指引
产品简介
产品概述
产品优势
应用场景
相关概念
支持地域
云防火墙高可用说明
购买指南
计费概述
购买方式
计费模式
续费说明
欠费说明
退费说明
操作指南
防火墙开关
资产中心
告警中心
流量中心
访问控制
入侵防御
全流量检测与响应
网络蜜罐
日志审计
日志分析
日志投递
日志字段
通知及设置相关
常用工具
实践教程
云防火墙与其他产品的联合防护
DNS 防火墙最佳实践
云防火墙防挖矿实践教程
VPC 间防火墙实践教程
故障处理
云防火墙误报误拦截应急预案
API 文档
History
Introduction
API Category
Making API Requests
Intrusion Defense APIs
Access Control APIs
Other APIs
Enterprise Security Group APIs
Firewall Status APIs
Data Types
Error Codes
常见问题
基本介绍
带宽相关
防火墙相关
功能相关
日志相关
账号相关
计费相关
其他
服务等级协议
CFW 政策
隐私协议
数据处理和安全协议
文档云防火墙操作指南防火墙开关互联网边界防火墙开关

互联网边界防火墙开关

PDF
聚焦模式
字号
最后更新时间: 2025-12-19 16:03:04
云防火墙提供互联网边界开关功能,在互联网边界开关页面,可自动探测到您所持有的公网 IP 以及关联的云上资产,并为您配置对应的防火墙开关。云防火墙开关支持一键开启防护,您无需进行任何的网络接入部署与路由策略配置,且无需安装任何镜像文件,云防火墙可以为您提供即开即用的产品体验。

接入模式说明

工作原理
串行防火墙
部署路径
串行防火墙是直接部署在网络数据流的路径上,所有经过的数据包都需要经过防火墙的检查和处理。
处理数据
由于串行防火墙需要处理所有经过的数据包,因此对性能和处理能力有较高要求。
如果防火墙性能不足,可能会成为网络瓶颈,影响网络速度和稳定性。因此串行防火墙需要每个地域新建一个防火墙实例并分配对应带宽。
安全防护
串行防火墙可以对数据包进行深度检查和处理,提供较高的安全保障。它可以阻止恶意数据包进入网络,保护内部资源免受攻击。

支持资产类型

互联网边界防火墙支持如下资产类型:
产品名称
互联网边界防火墙(串行模式)
支持
不支持
常规 BGP IP
EIP 绑定实例后支持,详情以控制台是否可开启防火墙开关为准。如有疑问可 提交工单 联系我们。
精品 BGP IP
加速 IP
静态单线 IP
高防 EIP
互联网通道(专线)
支持
负载均衡 CLB
如需支持可 提交工单 联系我们进行评估。
域名化负载均衡 CLB
IPv6负载均衡
不支持
传统型负载均衡
不支持
不支持
不支持
堡垒机
不支持

串行防火墙准备工作

在使用串行防火墙前,请先进行以下准备工作:

为串行防火墙分配带宽

由于串行防火墙具有地域集群属性,且存在防护性能上限,故需要用户为需要使用串行防火墙的地域分配带宽。
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关。
2. 在防火墙开关页面,单击右上角的防火墙设置

3. 为需要使用的串行防火墙地域分配带宽。建议根据业务峰值合理预估,带宽超量后超过带宽的流量将不再防护,该过程不会影响网络,具体可参考 带宽相关

说明:
通用带宽:当前版本为串行防火墙分配带宽将消耗通用带宽,通用带宽与 NAT 边界防火墙共享。
通用实例:当前版本每新增1个串行防火墙地域将消耗1个通用实例配额,通用实例配额与 NAT 边界防火墙共享。
串行防火墙地域:当前版本支持的地域以串行防火墙设置展示地域为准,更多地域正在逐渐灰度中,敬请期待。

确认资产符合防护范围

由于网络架构限制,当前版本串行防火墙仅支持防护最新网络架构的弹性公网 IP,具体以控制台显示为准,如有疑问可与弹性公网 IP 团队联系确认。暂不支持防护公网 CLB 类型,如需防护建议切换为 EIP + 内网 CLB 的形式可支持防护。

串行防火墙开关操作

1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 防护对象 > 互联网边界
2. 在互联网边界页面,找到需要防护的资产,请确认接入模式显示为串行。

3. 单击防火墙开关列的

,即可对该资产进行边界防护。
4. 开启串行防火墙过程预计耗时 1 分钟,对网络无影响。
说明:
串行模式需要使用 私有连接 打通 VPC 到防火墙的网络。
同一个 VPC 内的 EIP 首次启用串行防火墙时,需要创建新的私有连接的 终端节点与引流内网 IP,您在串行防火墙规格(分配的带宽)内的私有连接无需额外付费,超量可能会产生一定费用,详情请参见 私有连接收费标准。后续相同 VPC 内串行防火墙开关无需再次创建私有连接。


防火墙状态监控

用户可以实时查看并监控基于公网 IP 的带宽情况,从而及时作出扩容或关闭部分开关等调整。
1. 在状态监控面板右上角,单击

图标。

2. 在状态监控页面,可实时查看并监控基于公网 IP 的带宽情况,并进行扩容或关闭部分开关等操作。
说明:
峰值带宽指上行和下行的最大值,即如果购买100M带宽,那么云防火墙能够同时处理上行100M和下行100M。


新资产自动开启

1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关页面,单击防火墙设置

2. 单击功能配置 > 新资产自动开启开关,可在防护公网 IP 配额允许的情况下,对于新增的公网 IP 资产,将自动开启互联网边界开关。您可以在下方选择是否选择默认开启串行接入模式和是否自动创建私有连接。


互联网边界防火墙超量 Bypass 权重设置

当流量超过互联网边界防火墙带宽后,将会触发bypass策略。我们会自动为您关闭部分防火墙开关使得流量下降至带宽规格内,当流量恢复后会自动打开开关。
权重范围:0 - 100(默认为1),值越大优先级越高。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重解析(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重解析(权重相同则按峰值带宽降序开启),自动开启防火墙开关。


操作步骤

1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关页面,单击防火墙设置。

2. 防火墙设置 > 功能配置页面,编辑指定防火墙开关权重。

3. 单击编辑权重,可以选择防火墙开关,批量编辑开关权重,单击确定保存。


同步资产

后台定时轮询用户资产信息的间隔为5分钟,因此当用户资产规模在此间隔内发生变化,但尚未被后台同步时,可在列表上方,单击同步资产,及时调用后台接口重新读取并同步用户的资产信息与数据。
当新增的资产没有出现在防火墙开关列表时,您可以在列表上方,单击同步资产进行同步资产尝试。


查看规则、告警或日志

除了在资产列表开启防火墙开关,可以执行一些其它操作,主要包括查看资产关联的规则、告警和日志。
查看规则:在资产列表中,单击操作列的查看规则,将跳转到资产所关联的规则页面。

查看告警:在资产列表中,单击操作列的更多 > 查看告警,选择具体的事件类型,将跳转到告警中心相应的事件页面。

查看日志:在资产列表中,单击操作列的更多 > 查看日志,选择具体的日志类型,将跳转到相应的日志页面。


互联网边界防火墙带宽超量处置

互联网边界防火墙的带宽超负荷不会导致客户业务流量丢包或影响流量速率,但将无法提供防护功能。
自2024年09月25日起,业务带宽超过互联网边界防火墙带宽100%时,将采取以下措施:
关闭部分互联网边界防火墙开关,将一部分流量 Bypass 转发,只防护带宽规格的流量。
串行和旁路模式处置方法一致,关闭部分开关限制流量。
支持配置防火墙开关权重,设置自动关闭防火墙开关的优先级。
更多详情请参见 带宽相关

相关信息

如需对内网资产进行流量管控与安全防护,或基于 SNAT、DNAT 进行的网络流量转发,可参见 NAT 边界防火墙开关 进行操作。
如需自动探测 VPC 信息与互通关系,并在每一对互通的 VPC 间,建立云防火墙开关,可参见 VPC 间防火墙开关 进行操作。
如遇到互联网边界防火墙相关问题,可参见 基本介绍 文档。
上一篇: 退费说明下一篇: NAT 边界防火墙开关

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈