概述
Download
聚焦模式
字号
功能概述
NAT 边界防火墙(集群模式)是云防火墙针对"集中出口"网络架构新增的防护能力。当用户在一个 VPC 中部署 NAT 网关作为公网出口,其他业务 VPC 通过云联网(CCN)路由至该 NAT 网关出公网时,集群模式可以对这些跨 VPC 的南北向流量进行统一的安全检测和访问控制,帮助用户防御来自互联网的攻击和恶意访问,同时限制云上资产的非法外联行为。
说明:
操作场景
本文介绍如何开启和配置 NAT 边界防火墙(集群模式)。如果您的云上网络架构符合以下场景,建议使用本功能:
集中出口架构:一个 VPC 部署 NAT 网关作为公网出口,其他业务 VPC 通过云联网路由至该 NAT 网关出公网。
跨 VPC 南北向流量防护:需要对多个业务 VPC 经 NAT 网关的出入向流量进行统一的安全检测和访问控制。
前提条件
已购买云防火墙实例(所有版本均可用)。
已创建云联网实例,并将需要防护的业务 VPC 和 NAT 网关所在 VPC 关联至该云联网。
自动接入模式需向云联网 提交工单 申请使用。
防火墙开关
步骤一:开启 NAT 边界防火墙(集群模式)
1. 登录 云防火墙控制台,在左侧导航栏中,单击防火墙开关。
2. 在防火墙开关页面,选择 NAT 边界(集群) 页签。
3. 在 NAT 网关列表中,找到需要开启防护的实例,单击防火墙开关列的开关按钮。
注意:
4. 在弹出的配置抽屉中,选择接入模式,根据所选模式完成后续配置。
步骤二:配置引流
自动接入模式
选择自动接入模式后,需配置引流策略和引流网络:
1. 在引流策略配置区域,通过下拉框选择需要防护的业务 VPC。
说明:
VPC 列表自动拉取当前云联网关联的所有 VPC(包括跨账号 VPC),NAT 网关所在 VPC 不在列表中(同 VPC 防护由列表中独立的同 VPC 行管理)。
2. 在右侧输入框中输入对应的 CIDR(如
10.0.0.0/16),单击下一步。如需添加多条引流策略,单击新增一条按钮逐条添加。每条引流策略为一个 VPC + CIDR 的组合。
CIDR 需符合标准格式,如
10.0.0.0/16、0.0.0.0/0。说明:
开启防护后,若云联网新增关联 VPC 或已选 VPC 新增 CIDR 网段,新 VPC/网段不会自动纳入防护。如有新增,请通过编辑功能重新确认引流策略。
若存在同地域 VPC 间流量引流策略,您需向云联网 提交工单 申请开通 VPC 实例同城引流功能。
3. 按地域配置引流私有网络的创建方式:
自动选择:系统自动探测空闲的 /26 网段(即包含 64 个 IP 地址的子网段)创建引流私有网络。
自定义:指定 /26 网段的 CIDR,系统根据指定 CIDR 创建引流私有网络。
4. 单击立即接入,等待接入完成。
手动接入模式
选择手动接入模式后,配置抽屉采用分步流程:
1. 手动接入方式选择多路由表。
2. 按地域配置引流私有网络的创建方式:
自动选择:系统自动探测空闲的 /26 网段创建引流私有网络。
自定义:指定 /26 网段的 CIDR,系统根据指定 CIDR 创建引流私有网络。
3. 勾选确认项:已知悉开启防火墙开关后需手动配置流量接入云防火墙。
4. 单击创建,等待引流私有网络创建完成(预计 30 秒)。
5. 手动接入模式下,开启防火墙开关后流量不会自动接入防护,需前往云联网控制台配置路由引流至云防火墙后方可生效。具体步骤请查看 手动接入路由配置指引。
步骤三:确认防护状态
1. 开启成功后,云联网防护行的防火墙开关列将显示为已开启状态。
2. 对于自动接入模式,单击行首展开按钮可查看引流策略详情(引流 VPC、地域、引流 CIDR)。
3. 防火墙开始对该 NAT 网关关联的云联网下的跨 VPC 南北向流量进行安全检测和访问控制。
编辑引流配置
接入模式 | 编辑内容 | 说明 |
自动接入 | 引流策略配置 + 引流网络配置 | 可新增/删除引流 VPC、修改 CIDR、调整引流网络 |
手动接入-多路由表 | 引流网络配置 | 可调整引流私有网络的创建方式和配置 |
说明:
防护开启后接入模式不可编辑。如需更换接入模式,需先关闭防火墙开关后重新开启。
Bypass 状态下允许编辑,修改保存后配置即更新,新配置将在关闭 Bypass 后对流量生效。
Bypass 功能
Bypass 功能允许用户在保留引流资源的情况下,临时让流量不经过防火墙,用于故障排查或临时放行场景。
1. 在 NAT 边界(集群)页面,找到需要开启 Bypass 功能的防护实例。
2. 在操作列中,选择更多 > 开启 Bypass。
3. 在弹出的确认弹窗中,确认开启。
开启后,防火墙开关列的开关后将展示
Bypass 标签,表示当前处于 Bypass 状态。Bypass 状态下不产生流量费用,但通用实例仍占用。
注意:
开启 Bypass 后,该 NAT 网关的流量将不再经过防火墙检测,不受访问控制规则和入侵防御策略约束。建议仅在故障排查时临时开启。
关闭防护
注意:
1. 单击防火墙开关列的开关按钮关闭防护。
2. 系统弹出二次确认弹窗,展示将被清除的引流资源列表(引流私有网络、私有连接终端节点、地域)。
注意:
关闭防火墙开关后,当前实例用于接入防护的相关引流资源将被清除,已使用的通用实例配额将归还。
3. 确认无误后,单击确定完成关闭。
概览指标
左侧概览指标:
指标 | 说明 |
未防护实例数 | NAT 防火墙列表中未开启防火墙开关的实例数 |
已防护实例数 | NAT 防火墙列表中已开启防火墙开关的实例数 |
通用实例可用额度 | 当前已用 / 总配额 |
近 7 天 NAT 边界峰值带宽 | 近 7 天内 NAT 边界(集群)实际峰值带宽 / 已分配带宽 |
右侧总流量峰值带宽趋势图:
展示峰值带宽曲线和分配带宽水平线,支持切换 24 小时 / 7 天 / 30 天时间范围查看。右上角提供查看监控链接,可跳转至状态监控页面。
在状态监控中,防火墙类型下拉选择 NAT 边界防火墙(集群),可查看集群模式的运行状态。
监控项 | 说明 |
实例选择 | 选择云联网实例(下拉展示云联网 ID/名称) |
时间范围 | 选择查看的时间范围 |
入向峰值带宽 | 所选云联网实例粒度的入向峰值带宽及趋势图 |
出向峰值带宽 | 所选云联网实例粒度的出向峰值带宽及趋势图 |
占规格比例 | 当前带宽占已分配 NAT 边界(集群)带宽的百分比 |
调整规格
集群模式下,所有已开启防火墙开关的 NAT 网关实例共享 NAT 边界防火墙(集群)带宽,可通过如下步骤调整带宽:
b. 在 NAT 边界带宽配置 > NAT 边界带宽配置(集群模式)中,单击编辑。
c. 拖动带宽滑块或直接输入带宽值,单击保存。
说明:
在 NAT 边界(集群) 页面,单击扩容,跳转到 升级扩容页面,在此页面可以扩容带宽、日志存储量等参数。
主备模式与集群模式对比
对比维度 | 主备模式 | 集群模式 |
防护范围 | 同 VPC 内南北向流量 | 跨 VPC(云联网架构)南北向流量 |
部署架构 | 主备单活 | 集群多活,支持弹性水平扩容 |
高可用性 | 单活架构,主机故障时备机自动接管 | 多活架构,多节点负载均衡,单点故障不影响整体服务 |
扩容能力 | 仅支持垂直扩容(升级单机规格) | 同时支持垂直扩容和水平扩容(增加引擎节点数) |
接入方式 | 手动维护实例 | 自动接入 / 手动接入-多路由表 |
引擎升级 | 手动升级,升级过程可能存在短暂网络抖动 | 自动升级,业务无感 |
同 VPC 防护 | 支持 | 不支持,可与主备模式并行使用 |
文档反馈