- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 操作指南
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Other APIs
- DescribeBlockByIpTimesList
- DescribeBlockIgnoreList
- ModifyStorageSetting
- ModifyNatSequenceRules
- DescribeGuideScanInfo
- ModifyBlockTop
- DescribeUnHandleEventTabList
- DescribeTLogIpList
- DescribeTLogInfo
- DescribeBlockStaticList
- SetNatFwEip
- ModifyResourceGroup
- ModifyNatFwSwitch
- ModifyNatFwReSelect
- ModifyAssetScan
- DescribeSourceAsset
- DescribeNatFwInstanceWithRegion
- DeleteResourceGroup
- CreateNatFwInstance
- DescribeResourceGroupNew
- CreateNatFwInstanceWithDomain
- DescribeIPStatusList
- Access Control APIs
- AddNatAcRule
- DescribeNatAcRule
- ModifyNatAcRule
- ModifyEnterpriseSecurityDispatchStatus
- ModifyTableStatus
- ModifySequenceRules
- ModifyAllRuleStatus
- ModifyAcRule
- DescribeTableStatus
- DescribeRuleOverview
- DescribeAcLists
- CreateAcRules
- SetNatFwDnatRule
- ExpandCfwVertical
- DescribeNatFwVpcDnsLst
- DescribeNatFwInstancesInfo
- DescribeNatFwInstance
- DescribeNatFwInfoCount
- AddAcRule
- Enterprise Security Group APIs
- Firewall Status APIs
- Intrusion Defense APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CFW 政策
NAT 边界防火墙开关支持基于内网资产进行流量管控与安全防护,同时支持基于 SNAT、DNAT 进行的网络流量转发。
操作指南
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > NAT边界开关,进入 NAT 边界开关页面。
说明:
当某个 NAT 边界防火墙开关开启后,对应子网的互联网流量将经过防火墙,届时访问控制规则、入侵防御功能将对其生效,流量日志也会生成。
2. 在 “NAT 边界开关”页面,可进行创建实例、同步资产、查看并监控基于 NAT 边界的带宽情况等操作。
创建实例
1. 在 NAT 边界开关页面 下,单击创建实例。
2. 在“新建 NAT 边界防火墙”弹窗中,可为当前账号创建一个新的 NAT 边界防火墙实例,填写相关字段,单击下一步。
说明:
创建“NAT 边界防火墙”实例,涉及大量后台配置工作,这个步骤可能需要持续若干分钟。
字段说明:
地域:选择创建地域,支持国内所有地域,创建实例后不可更改。
说明:
用户可在拥有 VPC 的所有国内地域(支持中国香港地域)中进行地域选择,同地域下可创建多个防火墙实例,但总带宽不能超过限定规格。
可选区:根据需求选择合适的可用区。
实例名称:输入实例名称。
带宽规格:根据需求选择带宽规格,最小20Mbps,如需更多带宽请 升级扩容。
说明:
互联网带宽保持一致,如果分了多个 NAT 防火墙,那么多个 NAT 防火墙的带宽之和,要小于等于互联网边界的带宽。
模式:分为新增模式和接入模式。
新增模式:若当前地域没有 NAT 网关,新增模式可以通过 NAT 边界防火墙内置的 NAT 功能,实现指定实例通过防火墙访问互联网。
接入模式:若当前地域已有 NAT 网关,或者希望公网对外的出口 IP 保持不变,接入模式可以将 NAT 边界防火墙平滑接入到 NAT 网关与 CVM 实例之间。
弹性 IP:若选择新建弹性 IP,系统会自动为用户申请一个弹性 IP,用户也可从所有闲置的弹性 IP 中选择一个进行绑定。
创建实例:创建域名后,您可以使用当前地域下的所有远程运维服务和数据库防护功能。
3. 选择需要接入的 VPC 或 NAT,单击创建,即可创建成功。
网络拓扑
云防火墙提供了一个可视化视图,帮助您快速梳理 NAT 边界的访问关系。在 NAT 边界可视化视图中,私有网络展现了 VPC 实例。
1. 在 NAT 边界开关页面 下,单击网络拓扑,可查看 NAT 边界的访问关系。
2. 单击某个 VPC 节点,可查看对应子网列表,可以只针对当前子网开启或关闭防火墙开关。
防火墙开关
开启防护:
在实例列表上方,单击全部开启,所有未开启的 NAT 边界防火墙开关将被打开,所有路由表将会自动添加下一跳类型为 NAT 边界防火墙的路由策略,所有子网的互联网流量将会经过 NAT 边界防火墙。
说明:
开启开关后,请勿在 私有网络控制台 中手动变更开关对应的路由,否则将导致防火墙丢失路由而引发网络中断。
若用户选择开启同一路由表关联的所有子网,系统会自动在该路由表中增加一条下一跳指向 NAT 边界防火墙的路由策略,并关闭原访问公网的路由策略,因此该路由表关联的所有子网的互联网流量,将会经过 NAT 边界防火墙。
一个防火墙开关对应一个子网,用来控制流量是否经过 NAT 边界防火墙,关联了同一个路由表的子网将会同时开启或关闭,创建 NAT 边界防火墙后,系统会自动开启防火墙开关,以保证网络不中断。
说明:
开启开关后,系统会自动修改子网关联路由表的路由策略,以及子网对应的端口转发规则,该子网的流量牵引至 NAT 边界防火墙。
关闭防护
方式1:在实例列表上方,单击关闭防护,所有已开启的 NAT 边界防火墙开关将被关闭,NAT 边界防火墙会自动关闭下一跳类型为 NAT 边界防火墙的所有路由表的路由策略,所有子网将断开与互联网的连接,用户需要在 私有网络控制台 手动启动新的路由策略。
说明:
若用户选择关闭同一路由表关联的所有子网,系统会自动关闭该路由表中下一跳指向 NAT 边界防火墙的路由策略,该路由表关联的所有子网将会断开与互联网的连接。
方式2:单独关闭防火墙开关。
如想单独关闭防火墙开关,可以在防火墙开关操作栏,单击某个子网的“防火墙开关”按钮,其它关联了同一个路由表的子网也将会同时关闭。
说明:
关闭开关后,系统会自动恢复子网关联路由表的路由策略,以及子网子网对应的端口转发规则,该子网的流量将恢复原先路径,不会经过 NAT 边界防火墙。
实例配置
端口转发
在右侧边栏中可以查看用户基于 NAT 边界防火墙实例所添加的 DNAT 端口转发规则,以及与实例关联的弹性 IP。
说明:
接入模式中,NAT 边界防火墙会自动同步现有NAT网关的端口转发规则,从而保证流量通行,后续对于该规则的操作,请在 云防火墙控制台 中进行。
开启防火墙开关的子网 SNAT、DNAT 流量都会经过防火墙,关闭开关的子网 SNAT、DNAT 流量都走原先路径。
请勿前往私有网络控制台操作端口转发规则,否则可能造成网络中断。
1. 在实例配置页面的端口转发页签下,单击新建规则。
2. 在“新建端口转发规则”弹框中,用户可为当前 NAT 边界防火墙实例添加一条外部 IP 为用户所绑定的弹性 IP 的 DNAT 规则。
说明:
在外部 IP 端口下拉框内,提供的选项为当前 NAT 边界防火墙实例所绑定的弹性 IP。
输入内部 IP 地址时,用户需填写本地域 VPC 网段内可用的 IP。
出口绑定
在新增模式下,当规则列表为空时,所有 VPC 的子网将随机选择 NAT 网关访问互联网。
注意:
接入模式暂不支持出口绑定。
1.1 在实例配置页面的出口绑定页签下,单击新建规则。
2. 在“新建出口绑定规则”弹框中,提供防火墙实例 ID 信息,用户可为当前 NAT 边界防火墙添加 SNAT 规则。
说明:
协议可选子网和私有网络,VPC 或子网的选项选择接入 NAT 边界防火墙,且当前没有绑定出口 NAT 规则的 VPC 或子网。
接入 VPC 与公网 IP
在实例配置页面的接入 VPC 与公网 IP 页签下,可以增加接入的 VPC 或者重新选择 VPC。
增加接入的 VPC
单击增加接入 VPC,选择需要增加接入的VPC,单击确定。
重新选择 VPC
单击重新选择 VPC > 确定,即可重新选择 VPC。
说明:
必须关闭当前防火墙实例下的所有子网开关和 DNS 流量开关。
接入 DNS 流量
单击
说明:
接入 VPC 中若存在未开启防火墙开关的子网,可能导致该子网 DNS 解析产生明显延迟,建议开启全部防火墙开关后再启用此开关。
关闭开关后,系统会恢复所接入 VPC 的 DNS 解析地址,DNS 流量将恢复原先路径,不再经过 NAT 边界防火墙。
应用场景:NAT 防火墙支持将用户的 DNS 解析地址改为 NAT 防火墙的 IP,从而将用户的 DNS 流量牵引至防火墙,防火墙继续请求真实 DNS 解析服务器,并返回 DNS 响应给指定的服务器,不区分 NAT 防火墙的模式。
1.1 在 NAT 边界规则 页面,单击出向规则。
1.2 在出向规则页签中,单击添加规则。
1.3 在添加规则页面,填写相关字段,并选择 DNS 协议。
关联弹性 IP
1.1 在实例配置页面右侧的“关联弹性 IP”模块,单击**+绑定弹性IP**。
1.2 在单选下拉框内,用户可为当前 NAT 边界防火墙实例绑定一个系统新建的弹性 IP,或在当前地域拥有的所有闲置弹性 IP 里选择一个进行绑定。
说明:
关联弹性 IP 功能目前只支持新增模式,暂未支持接入模式。
解除绑定某个弹性 IP 时,页面上与其相应的 DNAT 规则也会消失。
升级扩容
1. 在 NAT 边界开关 页面下,单击升级扩容,跳转到配置变更页面,在此页面可以升级带宽、版本、日志存储量等参数。
说明:
这里升级扩容如果只扩容带宽,这个带宽指的是互联网边界带宽,也可以理解为云防火墙的总带宽。
2. 如果要对单个 NAT 边界防火墙实例带宽扩容,可按如下步骤操作:
说明:
调整的范围与互联网带宽保持一致,如果分了多个 NAT 防火墙,那么多个 NAT 防火墙的带宽之和,要小于等于互联网边界的带宽。
如果目标带宽超过当前购买的带宽规格,可以单击 升级扩容,来调整互联网边界带宽。
如果是小范围调整带宽,后台修改,无需切换网络。在较大范围调整带宽时,需要重新配置网络,否则会造成业务闪断。
1. 在 NAT 边界开关 > 防火墙实例页面,找到需要调整带宽的实例,单击实例 ID 或者右侧的实例配置。
2. 在防火墙实例页面,单击右上角的升级扩容。
3. 分配好带宽后,单击确定,等待后台调整完成。
监控情况
1. 在状态监控面板右上角,单击统计按钮,进入防火墙状态监控页面。
2. 在防火墙状态监控页面,可实时查看并监控基于 NAT 边界的带宽情况,可避免因 NAT 边界防火墙带宽超出规格而带来网络丢包和波动,从而及时作出扩容或关闭部分开关等调整。
同步资产
对 VPC 及 NAT 进行其他操作
增加接入 VPC/NAT
新增模式:
1.1 在 NAT 边界开关 > 防火墙实例页面,单击更多,在下拉框中,单击增加接入 VPC。
1.2 在增加需要接入的 VPC 弹框中,选择需要的 VPC,单击确定,即可配置完成。
说明:
支持私有网络 ID/名称、IPv4 CIDR 关键字搜索。
复选框:默认已点选用户当前 VPC,已选择的 VPC 无法取消。
单击增加需要接入的 VPC后,即触发当前地域下 NAT 边界防火墙开关锁,直至重新选择完毕,单击确定后解锁。在开关锁期间,若有当前地域其他用户有开启开关请求,会提示有其他用户正在重新接入 VPC,开关被锁定,请稍后重试。
接入模式:
1.1 在 NAT 边界开关 > 防火墙实例页面,单击更多,在下拉框中,单击增加接入 NAT。
1.2 在需要增加接入的 NAT 弹框中,选择需要接入的 NAT,单击确定,即可完成配置。
说明:
支持关键字模糊搜索:支持 NAT 实例 ID/名称、关联弹性 IP、私有网络 ID/名称搜索。
复选框:默认已点选用户当前NAT防火墙实例已经接入的 NAT 网关并无法取消。
重新选择接入 VPC/NAT
新增模式:
1.1 在 NAT 边界开关 > 防火墙实例页面,单击更多按钮,在下拉框中,单击重新选择接入 VPC。
注意:
请先检查开关是否全部关闭,重新选择接入 VPC 需要关闭全部开关(不包含关闭中的开关)。
1.2 在选择需要接入的 VPC 中,可查看用户当前地域的 VPC,选择需要接入的 VPC,单击确定,即可配置完成。
说明:
支持关键字模糊搜索:支持私有网络 ID/名称、IPv4 CIDR 关键字搜索。
复选框:默认已点选用户当前VPC,已选择的VPC无法取消。
接入模式
1.1 在 NAT 边界开关 > 防火墙实例页面,单击更多,在下拉框中,单击重新选择接入 NAT。
注意:
请先检查开关是否全部关闭,重新选择接入 NAT 需要关闭全部开关(不包含关闭中的开关)。
1.2 在选择需要接入的 NAT 中,显示用户当前地域的NAT实例,选择需要接入的 NAT。
说明:
单击选择需要接入的 NAT后,即触发当前地域下 NAT 边界防火墙开关锁,直至重新选择完毕,单击确定后解锁。在开关锁期间,若有当前地域其他用户有开启开关请求,会提示有其他用户正在重新接入 NAT,开关被锁定,请稍后重试。
销毁实例
1. 在 NAT 边界开关 > 防火墙实例页面,单击更多,在下拉框中,单击销毁实例。
注意:
销毁实例前必须关闭全部防火墙开关。
用户由于业务变更,需要自主销毁实例,可自行在页面操作。
销毁实例后会删除这个实例的所有配置,会保留日志,销毁完毕,会归还配额,自动恢复为原先的路由和端口转发,更新地域展示情况,只展示剩余地域。若无剩余地域,则页面回到创建实例初始页。
2. 在弹出的确认框中,单击确定,即可删除这个实例的所有配置。
相关信息
如需对所持有的公网 IP 以及关联的云上资产,配置对应的防火墙开关。
如需自动探测 VPC 信息与互通关系,并在每一对互通的 VPC 间,建立云防火墙开关,可参见 VPC 间防火墙开关 进行操作。
已绑定外网 IP 的主机,如需直接通过外网 IP 访问,请参见 调整 NAT 网关和 EIP 的优先级 文档。
如遇到 NAT 边界防火墙相关问题,可参见 NAT 边界防火墙 文档。
是
否
本页内容是否解决了您的问题?