场景描述

cfw11

如上图所示:

  • VM 为防护云服务器,且处于自管网络中。

  • CFW instance 为云防火墙实例,已同时加入基础网络与 VM 所在自管网络相连。

  • CFW instance 基础网络的网卡已绑定 EIP。

外网的流量通过 EIP 引流至云防火墙并防护网络攻击,云防火墙将安全的云上资产和数据信息转发至防护云服务器 VM。整个实现过程,参考下文。

前提条件

  • 已完成云防火墙实例部署并能点击控制台进入云防火墙实例控制台。

  • 已获取云防火墙防护主机 VM 的 IP 地址,基础网络 IP 地址和 CFW instance 的网络地址。

  • 云防火墙防护主机 VM 和 CFW instance 均已绑定至默认安全组,且安全组允许各主机端口通过。

操作步骤

步骤一:配置防护云服务器 VM

  1. 将防护云服务器 VM 绑定到基础网络中。具体操作可参考云服务器加入基础网络

  2. 登录云防火墙防护云服务器 VM。具体操作可参考访问云服务器

  3. 在云服务器 VM 内部,执行以下命令行配置防护云服务器 VM 的 IP 地址。其中 <vm_ip> 为防护云服务器的 IP 地址,需根据实际情况进行修改。

    ip addr add dev eth0 <vm_ip>
ip link set dev eth0 up
    说明

    VM 中的 IP 可能是从 VPC DHCP 获取到的,过期之后会重复获取 IP 并修改步骤 3 中的默认路由,所以此处需要重复配置 VM 的 IP 地址。

    根据场景描述中的内容,VM 的 IP 地址为 192.168.0.11,则命令行示例如下。

    ip addr del dev eth0 192.168.0.11/24
ip link set dev eth0 up

  4. 执行以下命令配置 VM 的默认路由使其指向 CFW instance。其中 <cfw_ip> 为云防火墙实例的 IP 地址,需根据实际情况进行修改。

    ip route add default via <cfw_ip>

    根据场景描述中的内容,云防火墙实例的基础网络 IP 地址为 192.168.0.1,则命令行示例如下。

    ip route add default via 192.168.0.1

步骤二:配置云防火墙实例

  1. 通过 Web 浏览器登录企业云平台的 Console。

  2. 在顶部菜单栏中选择产品与服务 > 安全服务 > 安全资源池 > 云防火墙,进入云防火墙管理页面。

    cloud_firewall_main

  3. 点击目标云防火墙实例所在行末尾的加入网络,弹出网络绑定对话框,选择绑定防护云服务器 VM 所在的基础网络后,点击提交

  4. 在云防火墙管理页面,查看目标云防火墙的实例状态。当实例状态更新为 已激活 时,点击实例所在行末尾的更多操作图标more operation,从弹出的快捷菜单中,选择关闭云服务器

  5. 弹出确认对话框,点击确认,关闭云服务器。

  6. 在云防火墙管理页面,查看目标云防火墙的云服务器状态,当状态更新为 离线 时,点击实例所在行末尾的更多操作图标more operation,从弹出的快捷菜单中,选择启动云服务器

  7. 弹出确认对话框,点击确认,开启云服务器。

  8. 在云防火墙管理页面,查看目标云防火墙的云服务器状态,当状态更新为 运行中 时,点击实例所在行末尾的控制台,进入云防火墙实例控制台首页。

    物理接口

  9. 选择网络配置 > 接口配置 > 物理接口,查看云防火墙实例的后端网卡 MAC 地址。

  10. 点击操作一栏的编辑图标配置 VPC 地址,点击提交

    提交

步骤三:配置源 NAT 转换策略

  1. 延续前文步骤,在云防火墙实例控制台首页,选择策略配置 > NAT 转换策略 > 源 NAT

  2. 点击新建,配置源 NAT 转换策略。

    提交

  3. 根据以下参数说明,填写参数后,点击提交

    参数 填写说明

    启用

    勾选复选框在创建完成后立即启用该条策略。

    地址类型

    支持 IPv4 和 IPv6。

    源地址

    选择 NAT 规则匹配的源地址。此处转化的是出外网地址所以此处选择 private

    目的地址

    选择 NAT 规则匹配的目的地址。允许 NAT 转换访问的外网 IP 地址,建议选择 any

    服务

    选择 NAT 规则匹配的服务。

    出接口

    选择 NAT 规则匹配的出接口。填写 EIP 绑定的网卡,这里填写 ge0

    转换类型

    选择 NAT 转换类型,可以为出接口的 IP 地址、地址池中地址或不转换。

    日志

    勾选复选框在执行 NAT 转换时生成 NAT 日志。NAT 日志只能外发到日志服务器上,无法本地存储及查看。

步骤四:配置目的 NAT 转换策略

  1. 延续前文步骤,在云防火墙实例控制台首页,选择策略配置 > NAT 转换策略 > 目的 NAT

  2. 点击新建,填写目的 NAT 规则参数,配置目的 NAT 转换策略,点击提交

    提交

  3. 根据以下参数说明,填写参数后,点击提交

    此处需要将从 ge0 接口接收到的目的地址为 10.12.12.34,目的端口为 any 的报文转换成目的 IP 为 192.168.0.11,目的端口为 22 的报文,然后进行转发。

    参数 填写说明

    启用

    勾选复选框在创建完成后立即启用该条策略。

    地址类型

    支持 IPv4 和 IPv6。

    源地址

    选择 NAT 规则匹配的源地址。此处允许所有的主机访问后端主机,选择 any

    目的地址

    选择 NAT 规则匹配的目的地址。此处选择 local

    服务

    选择 NAT 规则匹配的服务。被访问的端口。

    接口

    选择 NAT 规则匹配的入接口。此处为 EIP 配置的网卡的接口 ge0

    转换类型

    选择 NAT 转换类型。

    • 地址映射 表示转换为指定的 IP 地址。

    • 端口映射 表示转换为指定的 IP 地址 + 端口。

    • 不转换 表示 NAT 白名单,指定的 IP 地址不做转换。

    转换后 IP

    选择转换后 IP。此处填写防护云服务器 VM 的 IP 地址。

    转换后端口

    输入转换后端口号。

    日志

    勾选复选框在执行 NAT 转换时生成 NAT 日志。NAT 日志只能外发到日志服务器上,无法本地存储及查看。

    发布服务器

    勾选复选框启用 NAT 回流功能,允许内网用户通过外网 IP 地址访问内网服务器。开启此功能后目的 NAT 匹配不关心报文的入接口,同时会在报文的出接口做源 NAT 转换,转换地址为出接口 IP 地址。

步骤五:云防火墙服务验证

  1. 在云防火墙实例控制台选择策略配置 > 控制策略,点击新建

    控制策略

  2. 勾选启用行为选择 允许,其他参数选择默认,点击提交

    控制策略

  3. 登录云防火墙防护云服务器 VM,执行以下命令。

    ping 8.8.8.8

  4. 网络连通。若步骤 2 中行为选择 拒绝,则此处流量不通。