功能介紹

防護(hù)組網(wǎng)圖

關(guān)于防護(hù)范圍，請參見什么是云防火墻。

對業(yè)務(wù)的影響

創(chuàng)建VPC邊界防火墻時(shí)，您無需更改當(dāng)前的網(wǎng)絡(luò)拓?fù)洌梢詣?chuàng)建VPC邊界防火墻，實(shí)現(xiàn)對業(yè)務(wù)資產(chǎn)的保護(hù)。創(chuàng)建時(shí)長約5分鐘。對業(yè)務(wù)無影響。建議您在業(yè)務(wù)低峰期開啟VPC邊界防火墻。

開啟和關(guān)閉VPC邊界防火墻，預(yù)計(jì)約需要5~30分鐘（取決于路由條目數(shù)），過程中會出現(xiàn)長連接秒級閃斷，短連接無影響。

創(chuàng)建并開啟VPC邊界防火墻

操作步驟

1. 登錄云防火墻控制臺，在左側(cè)導(dǎo)航欄，單擊防火墻開關(guān)。

2. 在VPC邊界防火墻頁簽，單擊高速通道。

3. 在高速通道頁簽，單擊同步資產(chǎn)，系統(tǒng)為您同步當(dāng)前賬號及其成員賬號的資產(chǎn)信息。

   整個(gè)過程預(yù)計(jì)需要1~2分鐘。

4. 定位到需要?jiǎng)?chuàng)建VPC邊界防火墻的高速通道實(shí)例，在操作列單擊創(chuàng)建。

   如果高速通道實(shí)例過多，您可以在列表上方使用地域、VPC實(shí)例過濾列表。

5. 在創(chuàng)建VPC邊界防火墻對話框，完成VPC邊界防火墻配置。配置描述如下。

   配置項(xiàng)	說明
   實(shí)例名	定義VPC邊界防火墻的名稱。該名稱用于識別VPC邊界防火墻實(shí)例，建議您使用具有業(yè)務(wù)意義的名稱，并保證名稱的唯一性。
   對等互通方式	確認(rèn)互通方式。對等互通方式指VPC之間或VPC與本地?cái)?shù)據(jù)中心之間的通信方式，此處固定為高速通道，無需您手動(dòng)設(shè)置。
   VPC	確認(rèn)VPC地域和VPC實(shí)例，選擇要防護(hù)的路由表，并填寫目標(biāo)網(wǎng)段。 路由表 創(chuàng)建VPC時(shí)，系統(tǒng)會為您自動(dòng)創(chuàng)建一張默認(rèn)的路由表，用于為專有網(wǎng)絡(luò)添加系統(tǒng)路由來管理專有網(wǎng)絡(luò)的流量。VPC支持按需創(chuàng)建多個(gè)路由表。詳細(xì)內(nèi)容，請參見路由表概述。 在云防火墻控制臺創(chuàng)建VPC邊界防火墻時(shí)，云防火墻自動(dòng)讀取您的VPC路由表信息。高速通道支持多個(gè)路由表，因此您在高速通道下創(chuàng)建VPC邊界防火墻時(shí)可看到多個(gè)路由表，并可以選擇需要防護(hù)的VPC路由表。 目標(biāo)網(wǎng)段 在路由表下拉列表中選中某個(gè)路由時(shí)，目標(biāo)網(wǎng)段會自動(dòng)展示該路由表的默認(rèn)目標(biāo)網(wǎng)段。如果您需要防護(hù)其他網(wǎng)段，可手動(dòng)修改目標(biāo)網(wǎng)段。支持添加多個(gè)網(wǎng)段，多個(gè)網(wǎng)段間用英文逗號隔開。
   對端VPC	確認(rèn)對端VPC地域和VPC實(shí)例，選擇要防護(hù)的路由表，并填寫目標(biāo)網(wǎng)段。
   入侵防御	選擇要開啟的入侵防御策略，可選項(xiàng)： IPS防御模式 觀察模式：開啟觀察模式后，對惡意流量進(jìn)行監(jiān)控并告警。 攔截模式：開啟攔截模式后，對惡意流量進(jìn)行攔截，阻斷入侵活動(dòng)。 IPS防御能力 基礎(chǔ)規(guī)則：開啟基礎(chǔ)規(guī)則后，為您的資產(chǎn)提供基礎(chǔ)的防護(hù)能力，包括爆破攔截、命令執(zhí)行漏洞攔截、以及對被感染后連接C&C（命令控制）的行為進(jìn)行管控。 虛擬補(bǔ)丁：開啟虛擬補(bǔ)丁后，實(shí)時(shí)防御熱門的高危應(yīng)用漏洞。
   開啟VPC防火墻開關(guān)	開啟開關(guān)，則在創(chuàng)建VPC邊界防火墻后，自動(dòng)開啟VPC邊界防火墻開關(guān)。

6. 單擊提交并確認(rèn)。

   說明

   開啟VPC邊界防火墻后，如果增加或者刪除VPC路由表信息，云防火墻需要15~30分鐘的時(shí)間完成路由學(xué)習(xí)。建議您等待云防火墻路由學(xué)習(xí)完成后觀察路由表生效情況，或加入釘群（群號：33081734），聯(lián)系產(chǎn)品技術(shù)專家進(jìn)行咨詢。

   VPC邊界防火墻創(chuàng)建完成后，云防火墻會在專有網(wǎng)絡(luò)VPC中自動(dòng)為您創(chuàng)建以下資源：

   • VPC資源：名稱為Cloud_Firewall_VPC。

     重要

     請勿將其他業(yè)務(wù)資源加入到Cloud_Firewall_VPC，否則會導(dǎo)致刪除VPC邊界防火墻時(shí)，您添加的其他業(yè)務(wù)資源無法刪除。請勿手動(dòng)修改和刪除此VPC內(nèi)的網(wǎng)絡(luò)資源。

   • 交換機(jī)資源：名稱為Cloud_Firewall_VSWITCH。

   • 自定義路由表?xiàng)l目：備注信息為Created by cloud firewall. Do not modify or delete it.。

   開啟VPC邊界防火墻后，云服務(wù)器ECS（Elastic Compute Service）會自動(dòng)添加名稱為Cloud_Firewall_Security_Group的安全組，并且為該安全組自動(dòng)配置了放行策略（即授權(quán)策略），用于放行VPC邊界防火墻到ECS的入方向流量。

   重要

   Cloud_Firewall_Security_Group的安全組和放行策略不可以刪除，否則會導(dǎo)致VPC邊界防火墻到ECS的入方向流量無法受到VPC邊界防火墻的防護(hù)。

   如果需要批量操作或頻繁開關(guān)VPC邊界防火墻，為不影響您的業(yè)務(wù)，建議在業(yè)務(wù)流量較小的低峰期進(jìn)行。

7. 在高速通道頁簽，開啟已創(chuàng)建的VPC邊界防火墻開關(guān)。

   只有開啟VPC邊界防火墻，云防火墻才能夠防護(hù)您的網(wǎng)絡(luò)資源。當(dāng)VPC邊界防火墻的防火墻狀態(tài)變更為已開啟，則表示成功開啟VPC邊界防火墻。

更多操作

關(guān)閉VPC邊界防火墻

如果您需要關(guān)閉VPC邊界防火墻，可以在在高速通道頁簽，定位到目標(biāo)VPC邊界防火墻實(shí)例，關(guān)閉防火墻開關(guān)。

當(dāng)VPC邊界防火墻的防火墻狀態(tài)變更為未開啟，則表示成功關(guān)閉VPC邊界防火墻。

刪除VPC邊界防火墻

如果您業(yè)務(wù)已不需要已創(chuàng)建的VPC邊界防火墻，可以在高速通道頁簽，定位到目標(biāo)VPC邊界防火墻實(shí)例，單擊右側(cè)操作列的刪除。

編輯VPC邊界防火墻

如果您需要修改VPC邊界防火墻的配置，可以在高速通道頁簽，定位到目標(biāo)VPC邊界防火墻實(shí)例，單擊右側(cè)操作列的編輯。

修改IPS配置

如果您需要修改IPS防御模式、IPS防御能力，或者需要對某些目的IP或者源IP直接放行（即IPS白名單）、修改IPS規(guī)則等，可以在已創(chuàng)建的云防火墻實(shí)例的操作列，單擊配置IPS，在IPS配置頁面的VPC邊界頁簽進(jìn)行配置。具體信息，請參見IPS配置。