您可以通過視頻指導，快速了解如何為NAT網關開啟防護。

功能介紹

防護原理

NAT邊界防火墻支持一鍵開啟和資產同步、NAT邊界的訪問控制策略配置、流量分析、日志審計等功能。

開啟NAT邊界防火墻后，NAT邊界防火墻會檢測所有經過VPC內私網資源（包括同一VPC內的資源和跨VPC的資源）流向該NAT網關的出方向流量。NAT邊界防火墻會根據您配置的訪問控制策略、云防火墻內置的威脅情報庫等策略，匹配流量的訪問源、目的地址、端口、協議、應用、域名等元素，判斷當前流量是否滿足放行標準，從而限制私網資源到互聯網的未授權訪問。

NAT邊界防火墻的防護場景示例如下圖所示：

對業務的影響

開啟和關閉NAT邊界防火墻過程中，云防火墻會進行NAT路由切換，會出現1~2秒的長連接閃斷，短連接無影響。建議您在業務低峰期進行開啟和操作。

• 創建NAT邊界防火墻對業務無影響。但如果在創建時選擇了開啟NAT邊界防火墻，在開啟過程中會出現1~2秒的長連接閃斷，短連接無影響。

  說明

  NAT邊界防火墻的創建時長與NAT網關綁定的EIP數量相關，每增加一個EIP，創建時長約增加2~5分鐘。此過程對業務無影響。

• 關閉后刪除NAT邊界防火墻對業務無影響。

使用限制

• 開啟NAT邊界防火墻后，請勿變更NAT邊界防火墻所在交換機的路由或者下一跳為NAT邊界防火墻的路由，否則可能會導致業務流量中斷。

• 云防火墻實例到期后如果未及時續費，NAT邊界防火墻將被自動釋放，同時流量路由會切換至原始的內網訪問公網的路由，切換過程可能會造成業務短暫中斷。

  建議您開啟自動續費或者提前續費，以確保云防火墻服務可用，具體操作，請參見續費說明。

• 如果您的NAT邊界防火墻在2023年09月01日之前創建，NAT邊界防火墻對連接到相同二元組（目的IP、目的端口）的所有網絡連接的防護帶寬上限為20 Mbps。如果連接到相同二元組的網絡連接帶寬超過20 Mbps，可能會出現網絡抖動。如果您需要提升NAT邊界防火墻的防護帶寬上限，建議您刪除并重新創建NAT邊界防火墻。

  2023年09月01日及之后創建的NAT邊界防火墻不存在20 Mbps的防護帶寬限制。

• NAT邊界防火墻不支持防護IPv6流量。

使用流程

您可以參考以下NAT邊界防火墻的使用流程圖，幫助您更好地使用NAT邊界防火墻。

前提條件

• 已開通云防火墻服務，并且購買了足夠數量的NAT邊界防火墻授權數。具體操作，請參見購買云防火墻服務。

• 已創建公網NAT網關，具體操作，請參見創建和管理專有網絡。

  重要

  目前，NAT邊界防火墻僅支持防護公網NAT網關。

  NAT網關滿足以下條件：

  • NAT網關所在的地域支持開通NAT邊界防火墻。NAT邊界防火墻支持的地域，請參見支持的地域。

  • NAT網關已至少綁定1個EIP，并且NAT網關綁定的EIP不超過10個。相關內容，請參見創建和管理公網NAT網關實例。

  • NAT網關已配置了SNAT條目，并且不存在DNAT條目。相關內容，請參見創建和管理SNAT條目。

    如果NAT網關存在DNAT條目，您需要先刪除DNAT條目，才可以開啟NAT邊界防火墻。具體操作，請參見創建和管理DNAT條目。

  • NAT網關所在的VPC已配置了0.0.0.0指向該NAT網關的路由條目。相關內容，請參見創建和管理路由表。

  • NAT網關所在的VPC能夠分配至少28位的子網段。

創建并開啟NAT邊界防火墻

您可以參考以下內容創建NAT邊界防火墻，一個NAT網關實例對應一個NAT邊界防火墻。

注意事項

• 新建的NAT網關需要1~5分鐘同步到NAT邊界防火墻。

• 新建的NAT網關中的EIP和SNAT條目1~2分鐘同步到NAT邊界防火墻。同步完成前，EIP和SNAT條目不會生效。

  您也可以在防火墻開關 > 互聯網邊界防火墻頁面，單擊同步資產，手動同步NAT網關的EIP數量和SNAT條目。

• 新建的指向NAT網關的路由需要30分鐘同步到NAT邊界防火墻。

  您也可以在防火墻開關 > NAT邊界防火墻頁面，單擊同步資產，手動同步指向NAT網關的路由。

• 創建NAT邊界防火墻時，云防火墻會進行以下操作：

  • 在NAT防火墻交換機的路由表中添加一條指向NAT網關的0.0.0.0/0路由。

  • 修改系統路由表中的0.0.0.0/0路由條目，將其下一跳將指向云防火墻ENI。

  說明

  由于創建NAT防火墻會在VPC中創建自定義路由表，若您所選創建NAT防火墻的VPC中存在使用Flannel網絡插件的ACK集群，請您在NAT防火墻創建完成后，配置Cloud Controller Manager的多路由表功能，在多路由表列表中添加VPC系統路由表，否則可能會影響集群節點擴容。具體操作，請參見使用VPC的多路由表功能。

  若您已使用Cloud Controller Manager的多路由表功能，請忽略該提醒。

操作步驟

1. 登錄云防火墻控制臺。在左側導航欄，單擊防火墻開關。

2. 單擊NAT邊界防火墻頁簽，在目標NAT網關的操作列單擊。

3. 在創建NAT防火墻面板，單擊一鍵開啟檢查。檢查完成后，所有診斷均已通過檢查，單擊下一步。

   如果您確保NAT網關滿足創建NAT防火墻的所有條件，可以單擊跳過直接創建。

4. 在創建NAT邊界防火墻面板，配置NAT邊界防火墻信息。

   配置項		說明
   基本信息	名稱	自定義NAT邊界防火墻的名稱。
   防火墻引流配置	選擇路由表	選擇原下一跳為NAT網關的路由表，創建NAT防火墻會自動將下一跳改為云防火墻的路由表，實現私網資產訪問流量的下一跳指向NAT邊界防火墻。
   	引流交換機及交換機網段	支持新建交換機或者選擇已有的交換機。 新建交換機網段配置規則： 需配置至少28位不與網絡規劃沖突的交換機網段，分配給NAT防火墻進行流量引流處理。 交換機網段必須是VPC網段的子網，且不與當前業務網段沖突。分配后，云防火墻會自動綁定自定義引流路由表。 選擇已有交換機的注意事項： NAT邊界防火墻需有一個交換機，且交換機滿足以下需求。具體操作，請參見創建和管理專有網絡。 交換機、NAT網關、NAT邊界防火墻屬于同一個VPC。 交換機與NAT網關處于同一個可用區。 交換機的網段至少為28位，并且確保剩余可用IP數大于NAT網關的EIP數。 交換機未接入任何其他云資源。 創建一個新的路由表，并將路由表綁定到上述交換機。具體操作，請參見創建和管理路由表。 （可選）按需在新的路由表添加除0.0.0.0/0網段外的自定義路由條目。具體操作，請參見子網路由。 例如，您的業務中存在跨VPC通信，此時您需要手動將VPC的回程路由添加到路由表。 說明 如果交換機列表中沒有目標交換機，或者目標交換機置灰無法選擇，請排查交換機是否綁定了其他云資源、交換機是否已綁定自定義路由表。確認交換機配置正確后，可以在NAT邊界防火墻頁簽右上角單擊同步資產。
   引擎模式	引擎模式	訪問控制策略的匹配模式。 寬松模式（默認）：該模式下，針對應用和域名的訪問控制策略在遇到未識別應用或域名的流量時，將會放行流量，以優先保證業務。 嚴格模式：該模式下，針對應用和域名的訪問控制策略在遇到未識別應用或域名的流量時，將會轉交流量給后續策略繼續匹配。如果有拒絕策略命中未識別流量，未識別流量將被攔截。

5. 勾選以上注意事項我已閱讀確，單擊確認開墻。

6. NAT邊界防火墻創建完成后，您需要手動將啟用狀態置為開啟狀態。

   開啟后，流量的路由會切到云防火墻，云防火墻才能防護訪問流量。

后續操作

創建NAT防火墻后，您可以為NAT防火墻設置訪問控制策略、查看私網訪問日志等，以便您更好地管控私網資產和互聯網之間的流量訪問。

關閉和刪除NAT邊界防火墻

• 關閉NAT邊界防火墻

  進入防火墻開關 > NAT邊界防火墻頁面，在NAT邊界防火墻的開關列，關閉NAT邊界防火墻。

• 刪除NAT邊界防火墻

  進入防火墻開關 > NAT邊界防火墻頁面，在NAT邊界防火墻的操作列，單擊圖標后選擇刪除，刪除NAT邊界防火墻。

相關文檔

• 如果您需要管控私網資產到網站域名的訪問流量，請參見只允許私網主機訪問指定域名的策略配置教程。

• 您可以通過NAT邊界防火墻的流量日志，查看資產的流量訪問情況。具體操作，請參見日志審計。

• 更多關于互聯網邊界防火墻的問題：

  • 開啟防火墻開關對業務有什么影響？

  • NAT邊界防火墻為什么需要創建路由表和下發0.0.0.0/0靜態路由？

  • 同時開啟互聯網邊界、NAT邊界和DNS邊界防火墻，出方向的流量如何匹配？