VPC 网络中配置云防火墙服务
场景描述
如上图所示:
-
VM 为防护云服务器,且处于 VPC 网络中。
-
CFW instance 为云防火墙实例,已同时加入基础网络与 VM 所在 VPC 网络。
-
CFW instance 基础网络的网卡已绑定 EIP。
外网的流量通过 EIP 引流至云防火墙并防护网络攻击,云防火墙将安全的云上资产和数据信息转发到防护云服务器 VM。整个实现过程,参考下文。
前提条件
-
已完成云防火墙实例部署并能点击控制台进入云防火墙实例控制台。
-
已获取云防火墙防护主机 VM 连接 VPC 的 IP 地址,云防火墙实例主机 CFW instance 的网络地址。
-
云防火墙防护主机 VM 已绑定公网 EIP 并获取 IP 地址。
-
云防火墙防护主机 VM 和 CFW instance 均已绑定至默认安全组,且安全组允许各主机端口通过。
操作步骤
步骤一:配置防护云服务器 VM
-
登录云防火墙防护主机 VM。具体操作可参考访问云服务器。
-
在云服务器内部,执行以下命令行,配置 VM 的 IP 地址。其中
<vm_ip>为防护云服务器的 IP 地址,需根据实际情况进行修改。ip addr del dev eth0 <vm_ip> ip addr add dev eth0 <vm_ip>说明 VM 中的 IP 可能是从 VPC DHCP 获取到的,过期之后会重复获取 IP 并修改步骤 3 中的默认路由,所以此处需要重复配置 VM 的 IP 地址。
根据场景描述中的内容,VM 的 IP 地址为
172.17.0.7,则命令行示例如下。ip addr del dev eth0 172.17.0.7/24 ip addr add dev eth0 172.17.0.7/24 -
执行以下命令行配置 VM 的路由使其指向 CFW instance。其中
<cfw_ip>为云防火墙实例的 IP 地址,需根据实际情况进行修改。ip route del default ip route add default via <cfw_ip>根据场景描述中的内容,云防火墙实例的基础网络 IP 地址为
172.17.0.5,则命令行示例如下。ip route del default ip route add default via 172.17.0.5
步骤二:配置云防火墙实例
-
通过 Web 浏览器登录企业云平台的 Console。
-
在顶部菜单栏中选择产品与服务 > 安全服务 > 安全资源池 > 云防火墙,进入云防火墙管理页面。
-
点击目标云防火墙实例所在行末尾的加入网络,弹出 VPC 网络绑定对话框,用户根据需求,选择目标 VPC 网络后,点击提交。
-
在云防火墙管理页面,查看目标云防火墙的实例状态。当实例状态更新为
已激活时,点击实例所在行末尾的更多操作图标
,从弹出的快捷菜单中,选择关闭云服务器。 -
弹出确认对话框,点击确认,关闭云服务器。
-
在云防火墙管理页面,查看目标云防火墙的云服务器状态,当状态更新为
离线时,点击实例所在行末尾的更多操作图标,从弹出的快捷菜单中,选择启动云服务器。 -
弹出确认对话框,点击确认,开启云服务器。
-
在云防火墙管理页面,查看目标云防火墙的云服务器状态,当状态更新为
运行中时,点击实例所在行末尾的控制台,进入云防火墙实例控制台首页。
-
选择网络配置 > 接口配置 > 物理接口,查看云防火墙主机的后端网卡 MAC 地址,确定 VPC 网络所使用的网卡。
根据 MAC 地址来确定基础网络与 VPC 网络分别使用的网卡。该情形下,处在 VPC 网络所使用的网卡的 DHCP 接口的主地址 IP 一列为空。
-
点击 VPC 网络对应的网卡操作一栏的编辑图标,配置 VPC 地址。如下图所示,此处需要在防火墙的网络配置 > 接口配置中手动配置静态地址的接口主地址。
参数 填写说明 启用
勾选,配置完成后立即生效。
IP 类型
选择
IPv4。地址模式
选择
静态地址。接口主地址
输入 VPC 网络 IP 地址,根据场景描述中的内容,此处填写
172.17.0.5/24。管理方式
选择
Ping。 -
参数填写无误后,点击提交,完成配置。
步骤三:配置源 NAT 转化策略
-
延续前文步骤,在云防火墙实例控制台首页,选择策略配置 > NAT 转换策略 > 源 NAT。
-
点击新建,配置源 NAT 转换策略。
-
根据以下参数说明,填写参数后,点击提交。
参数 填写说明 启用
勾选复选框在创建完成后立即启用该条策略。
地址类型
支持 IPv4 和 IPv6。
源地址
选择 NAT 规则匹配的源地址。根据场景描述中的内容,此处转化的是出外网地址,因此选择
private。目的地址
选择 NAT 规则匹配的目的地址。允许 NAT 转换访问的外网 IP 地址,建议选择
any。服务
选择 NAT 规则匹配的服务。
出接口
选择 NAT 规则匹配的出接口。这里填写 EIP 绑定的网卡。根据场景描述中的内容,绑定 EIP 网络的网卡为基础网络网卡的
ge0口,所以此处填写ge0。转换类型
选择 NAT 转换类型,可以为出接口的 IP 地址、地址池中地址或不转换。
日志
勾选复选框,则在执行 NAT 转换时生成 NAT 日志。NAT 日志只能外发到日志服务器上,无法本地存储及查看。
步骤四:配置目的 NAT 转换策略
-
延续前文步骤,在云防火墙实例控制台首页,选择策略配置 > NAT 转换策略 > 目的 NAT。
-
点击新建,配置目的 NAT 转换策略。
-
根据以下参数说明,填写参数后,点击提交。
此处需要将从
ge0接口接收到的目的地址为10.12.12.44,目的端口为4000的报文转换成目的 IP 为172.17.0.7,目的端口为3000的报文,然后进行转发。参数 填写说明 启用
勾选复选框在创建完成后立即启用该条策略。
地址类型
支持 IPv4 和 IPv6。
源地址
选择 NAT 规则匹配的源地址。此处允许所有的主机访问后端主机,选择
any。目的地址
选择 NAT 规则匹配的目的地址。此处为被访问的接口 IP,即 EIP 配置的网卡 IP 地址
10.12.12.44。服务
选择 NAT 规则匹配的服务。此处选择被访问的端口。
接口
选择 NAT 规则匹配的入接口。此处为 EIP 配置的网卡接口
ge0。转换类型
选择 NAT 转换类型,可以为地址映射、端口映射或不转换。此处选择
端口映射。-
地址映射表示转换为指定的 IP 地址。 -
端口映射表示转换为指定的 IP 地址+端口。 -
不转换表示 NAT 白名单,指定的 IP 地址不做转换。
转换后 IP
选择后端主机 IP。此处选择目的端口为
4000的报文转换成目的 IP 为172.17.0.7。转换后端口
输入端口号。此处输入目的端口号
3000。日志
勾选复选框在执行 NAT 转换时生成 NAT 日志。NAT 日志只能外发到日志服务器上,无法本地存储及查看。
发布服务器
勾选复选框启用 NAT 回流功能,允许内网用户通过外网 IP 地址访问内网服务器。开启此功能后目的 NAT 匹配不关心报文的入接口,同时会在报文的出接口做源 NAT 转换,转换地址为出接口 IP 地址。
-
步骤五:云防火墙服务验证
此处我们需要创建一个外部云服务器进行网络验证,此处以 IP 地址为 192.168.9.10,端口号为 8000 的外部云服务器为例。
-
在云防火墙实例控制台选择策略配置 > 控制策略,点击新建。
-
勾选启用,行为选择
允许,其他参数选择默认,点击提交。
-
内访外,配置源 NAT 转换策略后,参考以下步骤进行内访外网络验证。
-
登录外部云服务器,并执行以下命令行。其中
8000为外部云服务器端口号,需根据实际情况进行修改。nc -l 8000 -
登录云防火墙防护云服务器 VM,执行以下命令行。其中
8000为外部云服务器端口号,192.168.9.10为外部云服务器 IP 地址,均需根据实际情况进行修改。nc 192.168.9.10 8000 -
在云防火墙防护云服务器 VM 中,
nc命令中输入字符,可在外部虚拟机nc命令中显示相应的字符信息。若步骤 2 中行为选择拒绝,则此处流量不通。
-
-
外访内,配置目的 NAT 转换策略后,参考以下步骤进行外访内网络验证。
-
登录云防火墙防护云服务器 VM,执行以下命令行。
nc -l 3000 -
登录外部云服务器,执行以下命令。
nc 192.168.9.10 4000 -
在外部虚拟机
nc命令中输入字符,在云防火墙防护云服务器 VM 中的nc命令中,可显示相应的字符信息。若步骤 2 中行为选择拒绝,则此处流量不通。
-