- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
云防火墙提供互联网边界开关功能,在互联网边界开关页面,可自动探测到您所持有的公网 IP 以及关联的云上资产,并为您配置对应的防火墙开关。云防火墙开关支持一键开启防护,您无需进行任何的网络接入部署与路由策略配置,且无需安装任何镜像文件,云防火墙可以为您提供即开即用的产品体验。
流量模式说明
工作原理 | 串行防火墙 |
部署路径 | 串行防火墙是直接部署在网络数据流的路径上,所有经过的数据包都需要经过防火墙的检查和处理。 |
处理数据 | 由于串行防火墙需要处理所有经过的数据包,因此对性能和处理能力有较高要求。 如果防火墙性能不足,可能会成为网络瓶颈,影响网络速度和稳定性。因此串行防火墙需要每个地域新建一个防火墙实例并分配对应带宽。 |
安全防护 | 串行防火墙可以对数据包进行深度检查和处理,提供较高的安全保障。它可以阻止恶意数据包进入网络,保护内部资源免受攻击。 |
串行防火墙准备工作
在使用串行防火墙前,请先进行以下准备工作:
为串行防火墙分配带宽
由于串行防火墙具有地域集群属性,且存在防护性能上限,故需要用户为需要使用串行防火墙的地域分配带宽。
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在防火墙开关页面,单击防火墙设置。
3. 为需要使用的串行防火墙地域分配带宽。建议根据业务峰值合理预估,带宽超量后可能会触发服务降级,导致自动关闭部分防火墙开关。
说明:
通用带宽:当前版本为串行防火墙分配带宽将消耗通用带宽,通用带宽与 NAT 边界防火墙共享。
通用实例:当前版本每新增1个串行防火墙地域将消耗1个通用实例配额,通用实例配额与 NAT 边界防火墙共享。
串行防火墙地域:当前版本支持的地域以上述串行防火墙设置展示地域为准,更多地域正在逐渐灰度中,敬请期待。
确认资产符合防护范围
由于网络架构限制,当前版本串行防火墙仅支持防护最新网络架构的弹性公网 IP,具体以控制台显示为准,如有疑问可与弹性公网 IP 团队联系确认。暂不支持防护公网 CLB 类型,如需防护建议切换为 EIP + 内网 CLB 的形式可支持防护。
串行防火墙开关操作
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在互联网边界开关页面,找到需要防护的资产。
3. 单击防火墙开关列的
4. 开启串行防火墙过程预计耗时 1 分钟,对网络无影响。
说明:
串行模式需要使用 私有连接 打通 VPC 到防火墙的网络。
防火墙状态监控
用户可以实时查看并监控基于公网 IP 的带宽情况,从而及时作出扩容或关闭部分开关等调整。
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在互联网边界开关页面的状态监控面板右上角,单击
3. 在状态监控页面,可实时查看并监控基于公网 IP 的带宽情况,并进行扩容或关闭部分开关等操作。
说明:
峰值带宽指上行和下行的最大值,即如果购买100M带宽,那么云防火墙能够同时处理上行100M和下行100M。
新资产自动开启
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在互联网边界开关页面,单击防火墙设置。
3. 单击新资产自动开启开关,可在防护公网 IP 配额允许的情况下,对于新增的公网 IP 资产,将自动开启互联网边界开关。您可以在下方选择是否选择默认开启串行流量模式和是否自动创建私有连接。
互联网边界防火墙超量 Bypass 配置
您可以通过自定义开关权重,流量超过互联网边界防火墙规格后,我们会按照您定义的开关权重等级依次 bypass 直至当前地域带宽降至规格内;
相同权重会自动按照峰值带宽降序依次关闭。初始权重默认为1,最大为100,最小为0,权重越大优先级越高。
操作步骤
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 互联网边界开关。
2. 在防火墙开关页面,单击防火墙设置。
3. 在防火墙设置页面,编辑指定防火墙开关权重。
4. 单击编辑权重,可以选择防火墙开关,批量编辑开关权重,单击确定保存。
同步资产
后台定时轮询用户资产信息的间隔为5分钟,因此当用户资产规模在此间隔内发生变化,但尚未被后台同步时,可在列表上方,单击同步资产,及时调用后台接口重新读取并同步用户的资产信息与数据。
当新增的资产没有出现在防火墙开关列表时,您可以在列表上方,单击同步资产进行同步资产尝试。
查看规则、告警或日志
除了在资产列表开启防火墙开关,可以执行一些其它操作,主要包括查看资产关联的规则、告警和日志。
查看规则:在资产列表中,单击操作列的查看规则,将跳转到资产所关联的规则页面。
查看告警:在资产列表中,单击操作列的更多 > 查看告警,选择具体的事件类型,将跳转到告警中心相应的事件页面。
查看日志:在资产列表中,单击操作列的更多 > 查看日志,选择具体的日志类型,将跳转到相应的日志页面。
互联网边界防火墙带宽超量处置
互联网边界防火墙的带宽超负荷不会导致客户业务流量丢包或影响流量速率,但将无法提供防护功能。
自2024年09月25日起,业务带宽超过互联网边界防火墙带宽100%时,将采取以下措施:
关闭部分互联网边界防火墙开关,将一部分流量 Bypass 转发,只防护带宽规格的流量。
串行和旁路模式处置方法一致,关闭部分开关限制流量。
支持配置防火墙开关权重,设置自动关闭防火墙开关的优先级。
相关信息
如需对内网资产进行流量管控与安全防护,或基于 SNAT、DNAT 进行的网络流量转发,可参见 NAT 边界防火墙开关 进行操作。
如需自动探测 VPC 信息与互通关系,并在每一对互通的 VPC 间,建立云防火墙开关,可参见 VPC 间防火墙开关 进行操作。
是
否
本页内容是否解决了您的问题?