配置基础网络中云防火墙服务
该场景下 VM 为云防火墙防护主机,处于自管网络中。CFW instance 为云防火墙实例主机,该主机加入基础网络并与防护主机所在自管网络相连,CFW instance基础网络的网卡绑定到EIP从而与外网通信,外网的流量通过 EIP 引流至云防火墙并防护网络攻击,云防火墙将安全的云上资产和数据信息转发到防护主机。
前提条件
-
已完成云防火墙实例部署并能点击控制台进入云防火墙实例控制台。
-
已获取云防火墙防护主机 VM 的 IP 地址,基础网络 IP 地址和 CFW instance 的网络地址。
-
云防火墙防护主机 VM 和 CFW instance 均已绑定到默认安全组,且安全组允许各主机端口通过。
操作步骤
配置云防火墙防护主机 VM
-
将云防火墙防护主机绑定到基础网络中。
-
登录云防火墙防护主机VM。
-
执行以下命令配置云防火墙防护主机VM的IP地址。
ip addr add dev eth0 <防护主机 IP 地址> ip link set dev eth0 up
说明 VM 中的IP可能是从VPC DHCP获取到的,过期之后会重复获取IP并修改步骤3中的默认路由,所以此处需要重复配置VM 的IP地址。
例如:
ip addr del dev eth0 192.168.0.11/24 ip link set dev eth0 up
-
执行以下命令配置VM的默认路由使其指向CFW instance。
ip route add default via <云防火墙主机IP 地址>
例如:
ip route add default via 192.168.0.1
配置云防火墙主机
-
进入安全资源池页面。
-
在左侧导航栏选择云防火墙。
进入云防火墙页面。
-
在目标云防火墙实例操作一栏点击加入网络,绑定云防火墙防护主机绑定的基础网络,点击提交。
-
进入云防火墙主机的基础网络的网卡并绑定EIP。
-
等待1分钟,在目标云防火墙实例操作一栏点击关闭云服务器。
-
等待2分钟,在目标云防火墙实例操作一栏点击开启云服务器。
-
等待3分钟,在目标云防火墙实例操作一栏点击控制台,进入云防火墙实例控制台首页。
-
选择网络配置 > 接口配置 > 物理接口,查看云防火墙主机的后端网卡MAC地址。
-
点击操作一栏的编辑图标配置VPC地址,点击提交。
配置源 NAT 转换策略
-
选择策略配置 > NAT 转换策略 > 源NAT,点击新建。配置源NAT转换策略,填写参数并点击提交。
配置项 说明 启用
勾选复选框在创建完成后立即启用该条策略。
地址类型
支持IPv4和IPv6。
源地址
选择NAT规则匹配的源地址。
此处转化的是出外网地址所以此处选择private
。目的地址
选择NAT规则匹配的目的地址。
允许NAT转换访问的外网IP地址,建议选择any
。服务
选择NAT规则匹配的服务。
出接口
选择NAT规则匹配的出接口。
EIP绑定的网卡,这里绑定在基础网络网卡的 ge0 口,如果绑定虚机在VPC中的网卡应该是 ge1 口。转换类型
选择NAT转换类型,可以为出接口的IP地址、地址池中地址或不转换。
日志
勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上,无法本地存储及查看。
-
选择策略配置 > NAT 转换策略 > 目的NAT,点击新建,填写目的NAT规则参数,配置目的NAT转换策略,点击提交。
此处需要将从ge0接口接收到的目的地址为10.12.12.34,目的端口为any的报文转换成目的IP为192.168.0.11,目的端口为22的报文,然后进行转发。
配置项 说明 启用
勾选复选框在创建完成后立即启用该条策略。
地址类型
支持IPv4和IPv6。
源地址
选择NAT规则匹配的源地址。
此处允许所有的主机访问后端主机,选择any
。目的地址
选择NAT规则匹配的目的地址。
此处选择local
。服务
选择NAT规则匹配的服务。
被访问的端口。接口
选择NAT规则匹配的入接口。
此处为EIP配置的网卡的接口ge0。转换类型
选择NAT转换类型,可以为地址映射、端口映射或不转换。
-
地址映射:转换为指定的IP地址。
-
端口映射:转换为指定的IP地址+端口。
-
不转换:NAT白名单,指定的IP地址不做转换。
转换后IP
选择转换后IP。
此处选择防护主机IP。转换后端口
输入转换后端口号。
日志
勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上,无法本地存储及查看。
发布服务器
勾选复选框启用NAT回流功能,允许内网用户通过外网IP地址访问内网服务器。开启此功能后目的NAT匹配不关心报文的入接口,同时会在报文的出接口做源NAT转换,转换地址为出接口IP地址。
云防火墙服务验证
-
-
在云防火墙实例控制台选择策略配置 > 控制策略,点击新建。
-
勾选启用,行为选择允许,其他参数选择默认,点击提交。
-
登录云防火墙防护主机,执行以下命令。
ping 8.8.8.8
说明 若步骤17中行为选择拒绝,则此处流量不通。