该场景下 VM 为云防火墙防护主机,处于自管网络中。CFW instance 为云防火墙实例主机,该主机加入基础网络并与防护主机所在自管网络相连,CFW instance基础网络的网卡绑定到EIP从而与外网通信,外网的流量通过 EIP 引流至云防火墙并防护网络攻击,云防火墙将安全的云上资产和数据信息转发到防护主机。

图

前提条件

  • 已完成云防火墙实例部署并能点击控制台进入云防火墙实例控制台。

  • 已获取云防火墙防护主机 VM 的 IP 地址,基础网络 IP 地址和 CFW instance 的网络地址。

  • 云防火墙防护主机 VM 和 CFW instance 均已绑定到默认安全组,且安全组允许各主机端口通过。

操作步骤

配置云防火墙防护主机 VM

  1. 将云防火墙防护主机绑定到基础网络中。

  2. 登录云防火墙防护主机VM。

  3. 执行以下命令配置云防火墙防护主机VM的IP地址。

    ip addr add dev eth0 <防护主机 IP 地址>
    ip link set dev eth0 up
    说明

    VM 中的IP可能是从VPC DHCP获取到的,过期之后会重复获取IP并修改步骤3中的默认路由,所以此处需要重复配置VM 的IP地址。

    例如:

    ip addr del dev eth0 192.168.0.11/24
    ip link set dev eth0 up
  4. 执行以下命令配置VM的默认路由使其指向CFW instance。

    ip route add default via <云防火墙主机IP 地址>

    例如:

    ip route add default via 192.168.0.1

    配置云防火墙主机

  5. 进入安全资源池页面。

  6. 在左侧导航栏选择云防火墙

    进入云防火墙页面。

  7. 在目标云防火墙实例操作一栏点击加入网络,绑定云防火墙防护主机绑定的基础网络,点击提交

  8. 进入云防火墙主机的基础网络的网卡并绑定EIP。

  9. 等待1分钟,在目标云防火墙实例操作一栏点击关闭云服务器

  10. 等待2分钟,在目标云防火墙实例操作一栏点击开启云服务器

  11. 等待3分钟,在目标云防火墙实例操作一栏点击控制台,进入云防火墙实例控制台首页。

  12. 选择网络配置 > 接口配置 > 物理接口,查看云防火墙主机的后端网卡MAC地址。

    物理接口
  13. 点击操作一栏的编辑图标配置VPC地址,点击提交

    提交

    配置源 NAT 转换策略

  14. 选择策略配置 > NAT 转换策略 > 源NAT,点击新建。配置源NAT转换策略,填写参数并点击提交

    提交
    配置项 说明

    启用

    勾选复选框在创建完成后立即启用该条策略。

    地址类型

    支持IPv4和IPv6。

    源地址

    选择NAT规则匹配的源地址。
    此处转化的是出外网地址所以此处选择private

    目的地址

    选择NAT规则匹配的目的地址。
    允许NAT转换访问的外网IP地址,建议选择any

    服务

    选择NAT规则匹配的服务。

    出接口

    选择NAT规则匹配的出接口。
    EIP绑定的网卡,这里绑定在基础网络网卡的 ge0 口,如果绑定虚机在VPC中的网卡应该是 ge1 口。

    转换类型

    选择NAT转换类型,可以为出接口的IP地址、地址池中地址或不转换。

    日志

    勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上,无法本地存储及查看。

  15. 选择策略配置 > NAT 转换策略 > 目的NAT,点击新建,填写目的NAT规则参数,配置目的NAT转换策略,点击提交

    此处需要将从ge0接口接收到的目的地址为10.12.12.34,目的端口为any的报文转换成目的IP为192.168.0.11,目的端口为22的报文,然后进行转发。

    提交
    配置项 说明

    启用

    勾选复选框在创建完成后立即启用该条策略。

    地址类型

    支持IPv4和IPv6。

    源地址

    选择NAT规则匹配的源地址。
    此处允许所有的主机访问后端主机,选择any

    目的地址

    选择NAT规则匹配的目的地址。
    此处选择local

    服务

    选择NAT规则匹配的服务。
    被访问的端口。

    接口

    选择NAT规则匹配的入接口。
    此处为EIP配置的网卡的接口ge0。

    转换类型

    选择NAT转换类型,可以为地址映射、端口映射或不转换。

    • 地址映射:转换为指定的IP地址。

    • 端口映射:转换为指定的IP地址+端口。

    • 不转换:NAT白名单,指定的IP地址不做转换。

    转换后IP

    选择转换后IP。
    此处选择防护主机IP。

    转换后端口

    输入转换后端口号。

    日志

    勾选复选框在执行NAT转换时生成NAT日志。NAT日志只能外发到日志服务器上,无法本地存储及查看。

    发布服务器

    勾选复选框启用NAT回流功能,允许内网用户通过外网IP地址访问内网服务器。开启此功能后目的NAT匹配不关心报文的入接口,同时会在报文的出接口做源NAT转换,转换地址为出接口IP地址。

    云防火墙服务验证

  16. 在云防火墙实例控制台选择策略配置 > 控制策略,点击新建

    控制策略
  17. 勾选启用行为选择允许,其他参数选择默认,点击提交

    控制策略
  18. 登录云防火墙防护主机,执行以下命令。

    ping 8.8.8.8
    说明

    若步骤17中行为选择拒绝,则此处流量不通。