NAT 边界防火墙开关(主备模式)
Download
聚焦模式
字号
NAT 边界防火墙开关(主备模式)支持基于内网资产进行流量管控与安全防护,同时支持基于 SNAT、DNAT 进行的网络流量转发。
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > NAT 边界(主备)。
说明:
当某个 NAT 边界防火墙开关开启后,对应子网的互联网流量将经过防火墙,届时访问控制规则、入侵防御功能将对其生效,流量日志也会生成。
2. 在 NAT 边界(主备)页面,可进行创建实例、同步资产、查看并监控基于 NAT 边界的带宽情况等操作。
创建实例
1. 在 NAT 边界(主备)> 防火墙实例页面 下,单击创建实例。
2. 在新建 NAT 边界防火墙弹窗中,可为当前账号创建一个新的 NAT 边界防火墙实例,填写相关字段,单击下一步。
说明:
创建“NAT 边界防火墙”实例,涉及大量后台配置工作,这个步骤可能需要持续若干分钟。
字段说明:
地域:选择地域,支持中国大陆、中国香港、中国台北与部分海外地域,创建实例后不可更改。
说明:
用户可在拥有 VPC 的中国大陆、中国香港、中国台北与部分海外地域中进行地域选择,同地域下可创建多个防火墙实例,但总带宽不能超过限定规格。
可用区(主):根据需求选择合适的可用区。
可用区(备):根据需求选择合适的备用可用区。
实例名称:输入实例名称。
说明:
互联网带宽保持一致,如果分了多个 NAT 防火墙,那么多个 NAT 防火墙的带宽之和,要小于等于互联网边界的带宽。
模式:分为新增模式和接入模式。
新增模式:若当前地域没有 NAT 网关,新增模式可以通过 NAT 边界防火墙内置的 NAT 功能,实现指定实例通过防火墙访问互联网。
接入模式:若当前地域已有 NAT 网关,或者希望公网对外的出口 IP 保持不变,接入模式可以将 NAT 边界防火墙平滑接入到 NAT 网关与 CVM 实例之间。
弹性 IP:新增模式下云防火墙支持选择闲置未使用的弹性公网 IP 进行绑定,同时支持快速创建弹性公网 IP;若选择新建弹性 IP,系统会自动通过 CAM 为用户申请一个弹性 IP。
说明:
请注意弹性公网 IP 的带宽需要大于等于防火墙的防护带宽,否则将出现防护带宽过剩的情况。弹性公网 IP 的费用由 EIP 产品收取,防火墙不收取任何 EIP 带宽费用。
3. 选择需要接入的 VPC 或 NAT 后,进行防火墙网络配置,选择新建引流子网方式。建立引流子网的方式包括以下三种:
说明:
引流子网:云防火墙会在您所接入的 VPC 中新建24网段的子网,用于将流量牵引至防火墙,您可以选择不同的创建子网的方式。
600M 以下 NAT 防火墙实例:新增模式最多支持8个 VPC,接入模式最多支持4个 NAT 网关。
600M 以上 NAT 防火墙实例: 新增模式最多支持10个 VPC,接入模式 最多支持5个 NAT 网关。
自有网段优先:云防火墙会在所选的 VPC 内自动选择空闲子网网段;当 VPC 内无子网配额时,会使用所选 VPC 的扩展网段。
扩展网段优先:云防火墙会优先使用空闲的 VPC 保留的扩展网段,该模式下不会占用所选 VPC 子网配额。
说明:
自定义:用户可以自定义供防火墙使用的子网网段,请注意必须为24网段;自定义网段必须属于当前 VPC 的 CIDR。输入示例:192.168.0.0/24。
4. 配置完成后,单击创建,即可成功创建 NAT 边界防火墙。
网络拓扑
云防火墙提供了一个可视化视图,帮助您快速梳理 NAT 边界的访问关系。在 NAT 边界可视化视图中,私有网络展现了 VPC 实例。
1. 在 NAT 边界(主备)> 网络拓扑 页面下,可查看 NAT 边界的访问关系。
2. 单击某个 VPC 节点,可查看对应子网列表,可以只针对当前子网开启或关闭防火墙开关。
防火墙开关
开启防护
在实例列表上方,单击全部开启,所有未开启的 NAT 边界防火墙开关将被打开,所有路由表将会自动添加下一跳类型为 NAT 边界防火墙的路由策略,所有子网的互联网流量将会经过 NAT 边界防火墙。
注意:
开启开关后,请勿在 私有网络控制台 中手动变更开关对应的路由,否则将导致防火墙丢失路由而引发网络中断。
若用户选择开启同一路由表关联的所有子网,系统会自动在该路由表中增加一条下一跳指向 NAT 边界防火墙的路由策略,并关闭原访问公网的路由策略,因此该路由表关联的所有子网的互联网流量,将会经过 NAT 边界防火墙。
如果防火墙实例为接入模式,请确保对应 NAT 网关 SNAT 规则图示处开关为关闭状态,否则防火墙引流策略将不会生效。
一个防火墙开关对应一个子网,用来控制流量是否经过 NAT 边界防火墙,关联了同一个路由表的子网将会同时开启或关闭,创建 NAT 边界防火墙后,防火墙不会立即引流,需要您前往防火墙开关页面手动开启。
说明:
开启开关后,系统会自动修改子网关联路由表的路由策略,以及子网对应的端口转发规则,该子网的流量牵引至 NAT 边界防火墙。
关闭防护
方式1:在实例列表上方,单击关闭防护,所有已开启的 NAT 边界防火墙开关将被关闭,NAT 边界防火墙会自动关闭下一跳类型为 NAT 边界防火墙的所有路由表的路由策略,所有子网将断开与互联网的连接,用户需要在 私有网络控制台 手动启动新的路由策略。
说明:
若用户选择关闭同一路由表关联的所有子网,系统会自动关闭该路由表中下一跳指向 NAT 边界防火墙的路由策略,该路由表关联的所有子网将会断开与互联网的连接。
方式2:单独关闭防火墙开关。
如想单独关闭防火墙开关,可以在防火墙开关操作栏,单击某个子网的“防火墙开关”按钮,其他关联了同一个路由表的子网也将会同时关闭。
说明:
关闭开关后,系统会自动恢复子网关联路由表的路由策略,以及子网对应的端口转发规则,该子网的流量将恢复原先路径,不会经过 NAT 边界防火墙。
网络配置
1. 在 NAT 边界(主备) > 防火墙实例页面,选择所需实例,单击更多 > 网络配置。
2. 单击配置解析 DNS,可以配置用于域名解析类型的访问控制规则的自定义 DNS 解析服务器地址。
3. 在配置解析 DNS 窗口中,填写相关参数,单击确定保存。
说明:
默认情况下,将使用腾讯云默认的 DNS 服务器地址,分别为183.60.82.98和183.60.83.19。如果您需要指定 DNS 服务器进行解析,请在下方填写。
实例配置
端口转发
在右侧边栏中可以查看用户基于 NAT 边界防火墙实例所添加的 DNAT 端口转发规则,以及与实例关联的弹性 IP。
说明:
接入模式中,首次开启开关后,NAT 边界防火墙会自动同步现有 NAT 网关的端口转发规则,从而保证流量通行,后续对于该规则的操作,请在 云防火墙控制台 中进行。
开启防火墙开关的子网 SNAT、DNAT 流量都会经过防火墙,关闭开关的子网 SNAT、DNAT 流量都走原先路径。
请勿前往私有网络控制台操作端口转发规则,否则可能造成网络中断。
1.1 在实例配置页面的端口转发页签下,单击新建规则。
1.2 在“新建端口转发规则”弹框中,用户可为当前 NAT 边界防火墙实例添加一条外部 IP 为用户所绑定的弹性 IP 的 DNAT 规则。
说明:
在外部 IP 端口下拉框内,提供的选项为当前 NAT 边界防火墙实例所绑定的弹性 IP。
输入内部 IP 地址时,用户需填写本地域 VPC 网段内可用的 IP。
出口绑定
在新增模式下,当规则列表为空时,所有 VPC 的子网将随机选择 NAT 网关访问互联网。
注意:
接入模式暂不支持出口绑定。
1.1 在实例配置页面的出口绑定页签下,单击新建规则。
1.2 在新建出口绑定规则弹框中,提供防火墙实例 ID 信息,用户可为当前 NAT 边界防火墙添加 SNAT 规则,单击确定。
说明:
实例类型可选私有网络、子网和云服务器。仅支持选择已接入 NAT 边界防火墙,且当前没有绑定出口 NAT 规则的实例。
独占 IP 选项可将所选的外部 IP 地址作为独占规则的子网/私有网络的出口 IP,而不能被独占规则外其他子网/私有网络使用。
接入 DNS 流量
由于腾讯云底层架构,PrivateDNS(183.60.83.19,183.60.82.98)流量不会经过防火墙,所以无法受 NAT 边界防火墙防护。除 PrivateDNS 外的其他 DNS 流量可以经过防火墙。
b. 在出向规则页签中,单击添加规则。
注意:
当访问目的类型为域名 > FQDN 匹配或地址模板 > 域名地址模板时,才能选择 DNS 协议。
关联弹性 IP
1.1 在实例配置页面的接入 VPC 与公网 IP 页签下,单击+绑定弹性 IP。
1.2 在单选下拉框内,用户可为当前 NAT 边界防火墙实例绑定一个系统新建的弹性 IP,或在当前地域拥有的所有闲置弹性 IP 里选择一个进行绑定。
说明:
关联弹性 IP 功能目前只支持新增模式。
解除绑定某个弹性 IP 时,页面上与其相应的 DNAT 规则也会消失。
绑定备用弹性 IP 同理。
带宽限速
在实例配置页面的带宽限速页签下,可以对当前防火墙实例下的 IP/CIDR 地址进行带宽限速。
说明:
NAT 网关限速机制在流量统计结束后触发,因统计与限速生效存在时间窗口,可能导致 NAT 网关上流量监控数据存在差异。
新增限速
a. 单击新增规则,弹出添加限速规则弹窗。
b. 输入需要限速的 IP/CIDR 地址,选择限速模式,以及限制的带宽速率,入向速率与出向速率中至少填入一个限制速率,不填写的默认无限制。单击确定,完成带宽限速设置。
注意:
仅支持填写内网 IP。
编辑限速
a. 在已设置成功的限速规则中,单击操作栏中的编辑,进行规则编辑操作。
b. 重新输入需要限速的 IP/CIDR 地址,以及限制的带宽速率,入向速率与出向速率中至少填入一个限制速率,不填写的默认无限制。单击确定,完成带宽限速设置。
删除限速:在已设置成功的限速规则中,单击操作栏中的删除,即可删除带宽限速规则限制。
规格调整
1. 在 NAT 边界(主备) 页面下,单击右上角升级扩容,跳转到配置变更页面,在此页面可以升级带宽、版本、日志存储量等参数。
说明:
这里升级扩容如果只扩容带宽,这个带宽指的是互联网边界带宽,也可以理解为云防火墙的总带宽。
2. 如果要对单个 NAT 边界防火墙实例带宽扩容,可按如下步骤操作:
说明:
调整的范围与互联网带宽保持一致,如果分了多个 NAT 防火墙,那么多个 NAT 防火墙的带宽之和,要小于等于互联网边界的带宽。
如果目标带宽超过当前购买的带宽规格,可以单击 升级扩容,来调整互联网边界带宽。
如果是小范围调整带宽,无需切换网络。在较大范围调整带宽时(涉及到升级实例规格档位,详情请参见 实例规格),后台需要重新配置网络,可能会有3-5s 的网络闪断。
2.1 在 NAT 边界(主备) > 防火墙实例页面,找到需要调整带宽的实例,单击实例 ID 或者右侧的实例配置。
2.2 在防火墙实例页面,单击右上角的规格调整。
2.3 分配好带宽后,单击确定,等待后台调整完成。
实例规格
NAT 防火墙实例规格档位表。
说明:
NAT 实例规格与 NAT 规则列表配额互相独立,不涉及计费逻辑,无法额外单独扩容,仅能通过提升实例规格实现。您每在控制台配置一条 ACL,我们会自动按照下发公式帮您转换为特定规则,并自动识别访问源和访问目的,下发到指定 NAT 防火墙实例上。
下发公式:下发规则数 = 源地址个数 × 目的地址个数 × 端口个数 × 协议个数。
NAT 实例规格决定了每个 NAT 防火墙能承载的最大 ACL 规则数量,当 ACL 下发数量过多时可能会导致引擎出现不稳定的情况。
为了避免给您的业务造成影响,我们建议您根据每个实例的规格和下发规则数合理优化规则,减少冗余规则的占比,提升引擎稳定性。
规格档位 | 最低带宽/Mbps | 最高带宽/Mbps | 并发连接数/个 | 规则数配额/条 |
1 | 20 | 299 | 130,000 | 5,000 |
2 | 300 | 1,300 | 130,000 | 20,000 |
3 | 1,301 | 4,095 | 150,000 | 40,000 |
4 | 4,096 | 6,143 | 300,000 | 60,000 |
5 | 6,144 | 10,239 | 500,000 | 120,000 |
6 | 10,240 | 102,400 | 1,000,000 | 200,000 |
监控情况
1. 在状态监控面板右上角,单击
2. 在防火墙状态监控页面,可实时查看并监控基于 NAT 边界的带宽情况,可避免因 NAT 边界防火墙带宽超出规格而带来网络丢包和波动,从而及时作出扩容或关闭部分开关等调整。
说明:
监控中展示的带宽数据采用包方向统计口径,即分别统计入向和出向方向的数据包流量。包方向以单个数据包的传输方向为统计维度,与会话方向不同:会话方向以完整的网络会话(请求+响应)为统计维度,将整个会话的流量归属到发起方向。因此,同一会话的请求流量和响应流量会分别计入入向和出向带宽。
3. 在防火墙状态监控页面,支持以 IP 视角与子网视角查看带宽状态监控。
IP 视角:IP 地址的资产信息、所属 VPC、入向/出向带宽的峰值与均值情况、限速状态、限制速率操作。
子网视角:子网名称、IPv4 CIDR 地址、入向/出向峰值带宽、开关状态、查看开关操作。
4. 单击查看全部监控指标,可以查看该实例下更多监控指标数据,包括入/出包量数据等;您也可以前往 腾讯云可观测平台 查看更多数据内容。
5. 可设置监控数据的时间间隔、同比/环比、刷新时间等配置信息。
引擎升级
同步资产
同步路由
对 VPC 及 NAT 进行其他操作
增加接入 VPC/NAT
新增模式
1.1 在 NAT 边界(主备) > 防火墙实例页面,单击更多 > 接入配置,在下拉框中,单击增加接入 VPC。
1.2 在增加需要接入的 VPC 弹框中,选择需要的 VPC,单击确定,即可配置完成。
说明:
支持私有网络 ID/名称、IPv4 CIDR 关键字搜索。
复选框:默认已点选用户当前 VPC,已选择的 VPC 无法取消。
单击增加需要接入的 VPC 后,即触发当前地域下 NAT 边界防火墙开关锁,直至重新选择完毕,单击确定后解锁。在开关锁期间,若有当前地域其他用户有开启开关请求,会提示有其他用户正在重新接入 VPC,开关被锁定,请稍后重试。
接入模式
1.1 在 NAT 边界(主备)> 防火墙实例页面,单击更多 > 接入配置,在下拉框中,单击增加接入 NAT。
1.2 在需要增加接入的 NAT 弹框中,选择需要接入的 NAT,单击确定,即可完成配置。
说明:
支持关键字模糊搜索:支持 NAT 实例 ID/名称、关联弹性 IP、私有网络 ID/名称搜索。
复选框:默认已点选用户当前 NAT 防火墙实例已经接入的 NAT 网关并无法取消。
重新选择接入 VPC/NAT
新增模式
1.1 在 NAT 边界(主备)> 防火墙实例页面,单击更多 > 接入配置,在下拉框中,单击重新选择接入 VPC。
注意:
必须关闭当前防火墙实例下的所有子网开关和 DNS 流量开关。
1.2 在选择需要接入的 VPC 中,可查看用户当前地域的 VPC,选择需要接入的 VPC,单击确定,即可配置完成。
说明:
支持关键字模糊搜索:支持私有网络 ID/名称、IPv4 CIDR 关键字搜索。
复选框:默认已点选用户当前 VPC,已选择的 VPC 无法取消。
接入模式
1.1 在 NAT 边界(主备)> 防火墙实例页面,单击更多 > 接入配置在下拉框中,单击重新选择接入 NAT。
注意:
请先检查开关是否全部关闭,重新选择接入 NAT 需要关闭全部开关(不包含关闭中的开关)。
1.2 在选择需要接入的 NAT 中,显示用户当前地域的 NAT 实例,选择需要接入的 NAT。
说明:
单击选择需要接入的 NAT 后,即触发当前地域下 NAT 边界防火墙开关锁,直至重新选择完毕,单击确定后解锁。在开关锁期间,若有当前地域其他用户有开启开关请求,会提示有其他用户正在重新接入 NAT,开关被锁定,请稍后重试。
销毁实例
1. 在 NAT 边界(主备)> 防火墙实例页面,单击更多,在下拉框中,单击销毁实例。
注意:
销毁实例前必须关闭全部防火墙开关。
用户由于业务变更,需要自主销毁实例,可自行在页面操作。
销毁实例后会删除这个实例的所有配置,会保留日志,销毁完毕,会归还配额,自动恢复为原先的路由和端口转发,更新地域展示情况,只展示剩余地域。若无剩余地域,则页面回到创建实例初始页。
2. 在弹出的确认框中,单击确定,即可删除这个实例的所有配置。
调试工具
开启 ByPass:ByPass 模式下当前实例下所有流量均不会过防火墙,所有防火墙配置将失效。建议在调试时使用,开启后预计1分钟内生效。调试完成后请手动关闭 ByPass 模式,如需更多帮助请 提交工单。
注意:
开启 ByPass 模式可能会出现以下影响:
1. 切换路由过程会有几秒闪断。
2. 存量长连接会受影响,需要自动重试新建连接。
重启实例:我们会优先重启防火墙备机,重启完成会进行主备切换再重启防火墙主机,主机重启完成后会再次进行主备切换。整个过程预计持续10分钟左右,网络可能会出现轻微抖动,您无法进行操作或修改防火墙配置,建议在业务低峰期操作。
切换主备:防火墙采用互为主备的方案,即工作的实例为主实例;您可以选择是否切换至备用防火墙实例。切换过程预计耗时2-10s 左右,网络可能会出现轻微抖动。
拨测设置:设置公网拨测地址。
a. 防火墙会采用定时拨测的方式来探测 NAT 边界防火墙绑定 EIP 的存活情况,因此需要您指定可达的公网 IP 地址用于拨测。
b. 您最多可以同时添加 5 个 IP 地址。当存在设置的出口绑定地址不可达后,防火墙会启用高可用机制切换至备用 EIP。
开启透明模式:透明模式下当前防火墙实例对网络流量仅做转发,相关访问控制功能或入侵防御功能不会生效。建议在调试时使用,开启后预计1分钟内生效。调试完成后请手动关闭透明模式,如需更多帮助请 提交工单。
迁移可用区:您可以选择将当前主机或备机进行可用区迁移。迁移过程预计持续2-5分钟左右,可能会进行主备切换等操作,网络会发生抖动,建议在业务低峰期操作。
相关信息
如需对所持有的公网 IP 以及关联的云上资产,配置对应的防火墙开关,可参见 互联网边界防火墙开关 进行操作。
如需自动探测 VPC 信息与互通关系,并在每一对互通的 VPC 间,建立云防火墙开关,可参见 VPC 边界防火墙开关 进行操作。
已绑定外网 IP 的主机,如需直接通过外网 IP 访问,请参见 调整 NAT 网关和 EIP 的优先级 文档。
如遇到 NAT 边界防火墙相关问题,可参见 NAT 边界防火墙 文档。
文档反馈