配置 VPC 网络中云防火墙服务
该场景下 VM 为云防火墙防护主机,处于 VPC 网络中。CFW instance 为云防火墙实例主机,该主机加入基础网络和防护主机所在 VPC 网络,CFW instance 基础网络的网卡绑定到 EIP 从而与外网通信,外网的流量通过 EIP 引流至云防火墙并防护网络攻击,云防火墙将安全的云上资产和数据信息转发到防护主机。
前提条件
-
已完成云防火墙实例部署并能点击控制台进入云防火墙实例控制台。
-
已获取云防火墙防护主机 VM 连接 VPC 的 IP 地址,云防火墙实例主机(CEW instance)的网络地址。
-
云防火墙防护主机 VM 已绑定公网 IP(EIP)并获取IP地址
-
云防火墙防护主机 VM 和 CFW instance 均已绑定到默认安全组,且安全组允许各主机端口通过。
操作步骤
配置云防火墙防护主机 VM
-
登录云防火墙防护主机 VM。
-
执行以下命令配置云防火墙防护主机 VM 的 IP 地址。
ip addr del dev eth0 <防护主机 IP 地址> ip addr add dev eth0 <防护主机 IP 地址>
说明 VM 中的 IP 可能是从 VPC DHCP 获取到的,过期之后会重复获取IP并修改步骤3中的默认路由,所以此处需要重复配置 VM 的 IP 地址。
例如:
ip addr del dev eth0 172.17.0.7/24 ip addr add dev eth0 172.17.0.7/24
-
执行以下命令配置 VM 的路由使其指向 CFW instance。
ip route del default ip route add default via <云防火墙主机 IP 地址>
例如:
ip route del default ip route add default via 172.17.0.5
配置云防火墙主机
-
进入安全资源池页面。
-
在左侧导航栏选择云防火墙。
进入云防火墙页面。
-
在目标云防火墙实例操作一栏点击加入网络,绑定VPC网络,点击提交。
-
等待1分钟,在目标云防火墙实例操作一栏点击关闭云服务器。
-
等待2分钟,在目标云防火墙实例操作一栏点击开启云服务器。
-
等待3分钟,在目标云防火墙实例操作一栏点击控制台,进入云防火墙实例控制台首页。
-
选择网络配置 > 接口配置 > 物理接口,查看云防火墙主机的后端网卡MAC地址。
-
点击操作一栏的编辑图标,配置VPC地址,点击提交。
根据MAC地址来确定哪张网卡处于基础网络中,哪张网卡处于VPC网络中,处在VPC网络中的网卡DHCP接口主地址IP地址一列为空,此处需要在防火墙的网络配置 > 接口配置中手动配置静态地址的接口主地址。
-
启用:勾选启用,配置完成后立即生效。
-
IP类型:选择 IPv4。
-
地址模式:选择静态地址。
-
接口主地址:输入VPC网络。
-
管理方式:选择Ping。
配置源NAT转化策略
-
-
选择策略配置 > NAT 转换策略 > 源 NAT,点击新建。配置源 NAT 转换策略,填写参数并点击提交。
配置项 说明 启用
勾选复选框在创建完成后立即启用该条策略。
地址类型
支持 IPv4 和 IPv6。
源地址
选择 NAT 规则匹配的源地址。
此处转化的是出外网地址所以此处选择private
。目的地址
选择 NAT 规则匹配的目的地址。
允许 NAT 转换访问的外网IP地址,建议选择any
。服务
选择 NATn规则匹配的服务。
出接口
选择 NAT 规则匹配的出接口。
EIP绑定的网卡,这里绑定在基础网络网卡的 ge0 口,如果绑定虚机在 VPC 中的网卡应该是 ge1 口。转换类型
选择 NAT 转换类型,可以为出接口的 IP 地址、地址池中地址或不转换。
日志
勾选复选框在执行NAT转换时生成 NAT 日志。NAT日志只能外发到日志服务器上,无法本地存储及查看。
配置目的NAT转换策略
-
选择策略配置 > NAT 转换策略 > 目的NAT,点击新建,填写目的 NAT 规则参数,配置目的 NAT 转换策略,点击提交。
此处需要将从 ge0 接口接收到的目的地址为 10.12.12.44,目的端口为 4000 的报文转换成目的 IP 为 172.17.0.7,目的端口为 3000 的报文,然后进行转发。
配置项 说明 启用
勾选复选框在创建完成后立即启用该条策略。
地址类型
支持 IPv4 和 IPv6。
源地址
选择NAT规则匹配的源地址。
此处允许所有的主机访问后端主机,选择any
。目的地址
选择NAT规则匹配的目的地址。
此处为被访问的接口IP,即 EIP 配置的网卡 IP 地址 10.12.12.44。服务
选择NAT规则匹配的服务。
此处选择被访问的端口。接口
选择NAT规则匹配的入接口。
此处为EIP配置的网卡的接口 ge0。转换类型
选择NAT转换类型,可以为地址映射、端口映射或不转换。
-
地址映射:转换为指定的 IP 地址。
-
端口映射:转换为指定的 IP 地址+端口。
-
不转换:NAT白名单,指定的 IP 地址不做转换。 此处选择端口映射。
转换后IP
选择后端主机 IP
此处选择目的端口为 4000 的报文转换成目的 IP 为 172.17.0.7。转换后端口
输入端口号。
此处输入目的端口号 3000。日志
勾选复选框在执行 NAT 转换时生成 NAT 日志。NAT 日志只能外发到日志服务器上,无法本地存储及查看。
发布服务器
勾选复选框启用NAT回流功能,允许内网用户通过外网IP地址访问内网服务器。开启此功能后目的NAT匹配不关心报文的入接口,同时会在报文的出接口做源NAT转换,转换地址为出接口IP地址。
云防火墙服务验证
此处我们需要创建一个外部虚拟机进行网络验证,此处以IP地址为192.168.9.10和端口号为8000的外部虚拟机为例。
-
-
在云防火墙实例控制台选择策略配置 > 控制策略,点击新建。
-
勾选启用,行为选择允许,其他参数选择默认,点击提交。
内访外
配置源NAT转换策略后进行内放外网络验证。
-
登录外部虚拟机,并执行以下命令。
nc -l <外部主机端口号>
例如:
nc -l 8000
-
登录云防火墙防护主机VM,执行以下命令。
nc <外部主机IP地址> <外部主机端口号>
例如:
nc 192.168.9.10 8000
说明 若步骤15中行为选择拒绝,则此处流量不通。
-
在云防火墙防护主机nc命令中输入字符,可在外部虚拟机nc命令中显示输入的字符信息。
外访内
配置目的NAT转换策略后进行外访内网络验证。
-
登录云防火墙防护主机,执行以下命令。
nc -l <外部主机端口号>
例如:
nc -l 3000
-
登录外部虚拟机,执行以下命令。
nc <外部主机IP地址> <外部主机端口号>
例如:
nc 192.168.9.10 4000
说明 若步骤15中行为选择拒绝,则此处流量不通。
-
在外部虚拟机nc命令中输入字符,可在云防火墙防护nc命令中显示输入的字符信息。