配置基础网络中云防火墙服务

该场景下 VM 为云防火墙防护主机，处于自管网络中。CFW instance 为云防火墙实例主机，该主机加入基础网络并与防护主机所在自管网络相连，CFW instance基础网络的网卡绑定到EIP从而与外网通信，外网的流量通过 EIP 引流至云防火墙并防护网络攻击，云防火墙将安全的云上资产和数据信息转发到防护主机。

前提条件

已完成云防火墙实例部署并能点击控制台进入云防火墙实例控制台。
已获取云防火墙防护主机 VM 的 IP 地址，基础网络 IP 地址和 CFW instance 的网络地址。
云防火墙防护主机 VM 和 CFW instance 均已绑定到默认安全组，且安全组允许各主机端口通过。

操作步骤

配置云防火墙防护主机 VM

将云防火墙防护主机绑定到基础网络中。
登录云防火墙防护主机VM。
执行以下命令配置云防火墙防护主机VM的IP地址。
```
ip addr add dev eth0 <防护主机 IP 地址>
ip link set dev eth0 up
```
说明

VM 中的IP可能是从VPC DHCP获取到的，过期之后会重复获取IP并修改步骤3中的默认路由，所以此处需要重复配置VM 的IP地址。

例如：
```
ip addr del dev eth0 192.168.0.11/24
ip link set dev eth0 up
```
执行以下命令配置VM的默认路由使其指向CFW instance。
```
ip route add default via <云防火墙主机IP 地址>
```
例如：
```
ip route add default via 192.168.0.1
```
配置云防火墙主机
进入安全资源池页面。
在左侧导航栏选择云防火墙。

进入云防火墙页面。
在目标云防火墙实例操作一栏点击加入网络，绑定云防火墙防护主机绑定的基础网络，点击提交。
进入云防火墙主机的基础网络的网卡并绑定EIP。
等待1分钟，在目标云防火墙实例操作一栏点击关闭云服务器。
等待2分钟，在目标云防火墙实例操作一栏点击开启云服务器。
等待3分钟，在目标云防火墙实例操作一栏点击控制台，进入云防火墙实例控制台首页。
选择网络配置 > 接口配置 > 物理接口，查看云防火墙主机的后端网卡MAC地址。
点击操作一栏的编辑图标配置VPC地址，点击提交。

配置源 NAT 转换策略

说明
VM 中的IP可能是从VPC DHCP获取到的，过期之后会重复获取IP并修改步骤3中的默认路由，所以此处需要重复配置VM 的IP地址。

选择策略配置 > NAT 转换策略 > 源NAT，点击新建。配置源NAT转换策略，填写参数并点击提交。

配置项说明

配置项	说明
启用	勾选复选框在创建完成后立即启用该条策略。
地址类型	支持IPv4和IPv6。
源地址	选择NAT规则匹配的源地址。此处转化的是出外网地址所以此处选择`private`。
目的地址	选择NAT规则匹配的目的地址。允许NAT转换访问的外网IP地址，建议选择`any`。
服务	选择NAT规则匹配的服务。
出接口	选择NAT规则匹配的出接口。 EIP绑定的网卡，这里绑定在基础网络网卡的 ge0 口，如果绑定虚机在VPC中的网卡应该是 ge1 口。
转换类型	选择NAT转换类型，可以为出接口的IP地址、地址池中地址或不转换。
日志	勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上，无法本地存储及查看。

启用

勾选复选框在创建完成后立即启用该条策略。

地址类型

支持IPv4和IPv6。

源地址

选择NAT规则匹配的源地址。
此处转化的是出外网地址所以此处选择private。

目的地址

选择NAT规则匹配的目的地址。
允许NAT转换访问的外网IP地址，建议选择any。

服务

选择NAT规则匹配的服务。

出接口

选择NAT规则匹配的出接口。
EIP绑定的网卡，这里绑定在基础网络网卡的 ge0 口，如果绑定虚机在VPC中的网卡应该是 ge1 口。

转换类型

选择NAT转换类型，可以为出接口的IP地址、地址池中地址或不转换。

日志

勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上，无法本地存储及查看。

选择策略配置 > NAT 转换策略 > 目的NAT，点击新建，填写目的NAT规则参数，配置目的NAT转换策略，点击提交。

此处需要将从ge0接口接收到的目的地址为10.12.12.34，目的端口为any的报文转换成目的IP为192.168.0.11，目的端口为22的报文，然后进行转发。

配置项说明

配置项	说明
启用	勾选复选框在创建完成后立即启用该条策略。
地址类型	支持IPv4和IPv6。
源地址	选择NAT规则匹配的源地址。此处允许所有的主机访问后端主机，选择`any`。
目的地址	选择NAT规则匹配的目的地址。此处选择`local`。
服务	选择NAT规则匹配的服务。被访问的端口。
接口	选择NAT规则匹配的入接口。此处为EIP配置的网卡的接口ge0。
转换类型	选择NAT转换类型，可以为地址映射、端口映射或不转换。地址映射：转换为指定的IP地址。端口映射：转换为指定的IP地址+端口。不转换：NAT白名单，指定的IP地址不做转换。
转换后IP	选择转换后IP。此处选择防护主机IP。
转换后端口	输入转换后端口号。
日志	勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上，无法本地存储及查看。
发布服务器	勾选复选框启用NAT回流功能，允许内网用户通过外网IP地址访问内网服务器。开启此功能后目的NAT匹配不关心报文的入接口，同时会在报文的出接口做源NAT转换，转换地址为出接口IP地址。

启用

勾选复选框在创建完成后立即启用该条策略。

地址类型

支持IPv4和IPv6。

源地址

选择NAT规则匹配的源地址。
此处允许所有的主机访问后端主机，选择any。

目的地址

选择NAT规则匹配的目的地址。
此处选择local。

服务

选择NAT规则匹配的服务。
被访问的端口。

接口

选择NAT规则匹配的入接口。
此处为EIP配置的网卡的接口ge0。

转换类型

选择NAT转换类型，可以为地址映射、端口映射或不转换。

地址映射：转换为指定的IP地址。
端口映射：转换为指定的IP地址+端口。
不转换：NAT白名单，指定的IP地址不做转换。

转换后IP

选择转换后IP。
此处选择防护主机IP。

转换后端口

输入转换后端口号。

日志

勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上，无法本地存储及查看。

发布服务器

勾选复选框启用NAT回流功能，允许内网用户通过外网IP地址访问内网服务器。开启此功能后目的NAT匹配不关心报文的入接口，同时会在报文的出接口做源NAT转换，转换地址为出接口IP地址。

云防火墙服务验证

在云防火墙实例控制台选择策略配置 > 控制策略，点击新建。
勾选启用，行为选择允许，其他参数选择默认，点击提交。
登录云防火墙防护主机，执行以下命令。
```
ping 8.8.8.8
```
说明

若步骤17中行为选择拒绝，则此处流量不通。