互联网边界防火墙开关
Download
聚焦模式
字号
云防火墙提供互联网边界开关功能,在互联网边界开关页面,可自动探测到您所持有的公网 IP 以及关联的云上资产,并为您配置对应的防火墙开关。云防火墙开关支持一键开启防护,您无需进行任何的网络接入部署与路由策略配置,且无需安装任何镜像文件,云防火墙可以为您提供即开即用的产品体验。
接入模式说明
工作原理 | 串行防火墙 |
部署路径 | 串行防火墙是直接部署在网络数据流的路径上,所有经过的数据包都需要经过防火墙的检查和处理。 |
处理数据 | 由于串行防火墙需要处理所有经过的数据包,因此对性能和处理能力有较高要求。 如果防火墙性能不足,可能会成为网络瓶颈,影响网络速度和稳定性。因此串行防火墙需要每个地域新建一个防火墙实例并分配对应带宽。 |
安全防护 | 串行防火墙可以对数据包进行深度检查和处理,提供较高的安全保障。它可以阻止恶意数据包进入网络,保护内部资源免受攻击。 |
支持资产类型
互联网边界防火墙支持如下资产类型:
串行防火墙准备工作
在使用串行防火墙前,请先进行以下准备工作:
为串行防火墙分配带宽
由于串行防火墙具有地域集群属性,且存在防护性能上限,故需要用户为需要使用串行防火墙的地域分配带宽。
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关。
2. 在防火墙开关页面,单击右上角的防火墙设置。
3. 为需要使用的串行防火墙地域分配带宽。建议根据业务峰值合理预估,带宽超量后超过带宽的流量将不再防护,该过程不会影响网络,具体可参考 带宽相关。
说明:
南北向带宽:当前版本为串行防火墙分配带宽将消耗南北向带宽。
通用实例:当前版本每新增1个串行防火墙地域将消耗1个通用实例配额。
串行防火墙地域:当前版本支持的地域以串行防火墙设置展示地域为准,更多地域正在逐渐灰度中,敬请期待。
确认资产符合防护范围
由于网络架构限制,当前版本串行防火墙仅支持防护最新网络架构的弹性公网 IP,具体以控制台显示为准,如有疑问可与弹性公网 IP 团队联系确认。暂不支持防护公网 CLB 类型,如需防护建议切换为 EIP + 内网 CLB 的形式可支持防护。
串行防火墙开关操作
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界。
2. 在互联网边界页面,找到需要防护的资产,请确认接入模式显示为串行。
3. 单击防火墙开关列的
4. 开启串行防火墙过程预计耗时 1 分钟,对网络无影响。
说明:
串行模式需要使用 私有连接 打通 VPC 到防火墙的网络。
同一个 VPC 内的 EIP 首次启用串行防火墙时,需要创建新的私有连接的 终端节点和引流内网 IP,您在串行防火墙规格(分配的带宽)内的私有连接无需额外付费,超量可能会产生一定费用,详情请参见 私有连接收费标准。后续相同 VPC 内串行防火墙开关无需再次创建私有连接。
防火墙状态监控
您可以通过控制台中的两个主要面板,全面监控防火墙的防护状态与资源使用情况。
资产防护概况
在资产防护概况面板,您可以快速掌握整体防护态势并进行资源管理。该面板主要展示两类关键信息:一是防护状态,包括当前未防护与已防护的公网IP数量,以及旁路模式和串行模式下已分配的带宽总量;二是资源额度,即剩余的通用实例可用额度和公网IP防护额度。
单击一键开启防护,可为所有支持的公网IP批量启用防火墙;
单击调整带宽,可对已分配的串行防火墙带宽进行修改,具体操作请参考 为串行防火墙分配带宽;
若资源不足,单击扩容即可跳转至购买页面进行配额扩充。
带宽用量明细
带宽用量明细面板为您提供基于时间和维度的精细化流量监控与分析。
在带宽用量明细面板,可查看在选定时间段内,所有地域的串行防火墙的峰值带宽与分配带宽情况。
单击查看监控,可实时查看并监控基于公网 IP 的带宽情况,并进行扩容或关闭部分开关等操作。
说明:
峰值带宽指上行和下行的最大值,即如果购买100M带宽,那么云防火墙能够同时处理上行100M和下行100M。
新资产自动开启
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关页面,单击防火墙设置。
2. 单击功能配置 > 新资产自动开启开关,可在防护公网 IP 配额允许的情况下,对于新增的公网 IP 资产,将自动开启互联网边界开关。您可以在下方选择是否自动创建私有连接。
互联网边界防火墙超量 Bypass 权重设置
当流量超过互联网边界防火墙带宽后,将会触发bypass策略。我们会自动为您关闭部分防火墙开关使得流量下降至带宽规格内,当流量恢复后会自动打开开关。
权重范围:0 - 100(默认为1),值越大优先级越高。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重解析(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重解析(权重相同则按峰值带宽降序开启),自动开启防火墙开关。
操作步骤
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关页面,单击防火墙设置。
2. 在防火墙设置 > 功能配置页面,编辑指定防火墙开关权重。
3. 单击编辑权重,可以选择防火墙开关,批量编辑开关权重,单击确定保存。
同步资产
后台定时轮询用户资产信息的间隔为5分钟,因此当用户资产规模在此间隔内发生变化,但尚未被后台同步时,可在列表上方,单击同步资产,及时调用后台接口重新读取并同步用户的资产信息与数据。
当新增的资产没有出现在防火墙开关列表时,您可以在列表上方,单击同步资产尝试同步。
查看规则、告警或日志
除了在资产列表开启防火墙开关,可以执行一些其他操作,主要包括查看资产关联的规则、告警和日志。
查看规则:在资产列表中,单击操作列的查看规则,将跳转到资产所关联的规则页面。
查看告警:在资产列表中,单击操作列的更多 > 查看告警,选择具体的事件类型,将跳转到告警中心相应的事件页面。
查看日志:在资产列表中,单击操作列的更多 > 查看日志,选择具体的日志类型,将跳转到相应的日志页面。
互联网边界防火墙带宽超量处置
互联网边界防火墙的带宽超负荷不会导致客户业务流量丢包或影响流量速率,但将无法提供防护功能。
自2024年09月25日起,业务带宽超过互联网边界防火墙带宽100%时,将采取以下措施:
关闭部分互联网边界防火墙开关,将一部分流量 Bypass 转发,只防护带宽规格的流量。
串行和旁路模式处置方法一致,关闭部分开关限制流量。
支持配置防火墙开关权重,设置自动关闭防火墙开关的优先级。
相关信息
如需对内网资产进行流量管控与安全防护,或基于 SNAT、DNAT 进行的网络流量转发,可参见 NAT 边界防火墙开关 进行操作。
如需自动探测 VPC 信息与互通关系,并在每一对互通的 VPC 间,建立云防火墙开关,可参见 VPC 间防火墙开关 进行操作。
如遇到互联网边界防火墙相关问题,可参见 基本介绍 文档。
文档反馈