手动接入多路由表配置指引
下载
聚焦模式
字号
功能概述
NAT 边界防火墙(集群模式)是云防火墙提供的南北向流量防护能力,通过云联网(CCN)对多个业务 VPC 经 NAT 网关访问互联网的流量进行统一检测和访问控制,帮助用户集中防御来自互联网的攻击,并管控云上资产的非法外联行为。
在手动接入模式下,云防火墙仅自动创建引流所需的基础资源(如引流 VPC、网关负载均衡器终端节点等),路由配置需要在云联网控制台手动完成,将业务流量引导至云防火墙进行检测。若未完成路由配置,即使防火墙开关已开启,流量也不会经过防火墙,防护能力无法生效。
说明:
本文仅适用于 NAT 边界防火墙(集群模式)的手动接入-多路由表场景。
前提条件
NAT 网关所在 VPC、需要接入防护的业务 VPC 或专线网关,已关联至同一个云联网实例。
云防火墙已成功创建 NAT 防火墙引流专用 VPC 和网关负载均衡器终端节点。
已确认需要经过云防火墙防护的业务网段,例如业务 VPC CIDR 或专线侧网段。
建议在业务低峰期或变更窗口内进行路由切换操作。
配置路由引流至云防火墙
步骤一:确认 NAT 防火墙引流专用 VPC 已创建
1. 登录 私有网络控制台,在左侧导航栏中,单击云联网。
2. 在云联网实例列表中,单击目标云联网实例的 ID/名称。
3. 在关联实例页签中,检查是否存在名称为 Dedicated NAT firewall drain VPC, Do not delete or modify(NAT 防火墙引流专用 VPC,请勿删除或修改)的 VPC 实例,且其状态为已连接。若存在,表示防火墙引流 VPC 已成功创建。
说明:
步骤二:配置路由策略
本步骤包含两部分:
配置引流路由:将业务流量从引流 VPC 引导至防火墙网关集群。
配置回程路由:将经防火墙检测后的回程流量转发回业务 VPC,确保出入双向流量都经过防火墙。
2.1 配置引流路由
引流 VPC 创建成功后,系统会在该 VPC 下自动生成一张名为
default 的路由表。您需要在该路由表中禁用原有下一跳为云联网的 0.0.0.0/0 默认路由,并新增一条下一跳为网关负载均衡器终端节点的 0.0.0.0/0 默认路由,将进入引流 VPC 的流量转发至云防火墙网关集群。
1. 前往私有网络 > 路由表 > 路由表 页面,在顶部选择引流 VPC 所在地域,并切换至引流 VPC。
2. 在路由表列表中选择 default 路由表,单击基本信息进入详情页。
3. 找到原有的下一跳指向云联网的 
0.0.0.0/0 路由,单击说明:
禁用该条目是为了避免它与新增的路由冲突。保留原路由会导致流量直接经云联网转发,绕过防火墙检测。
4. 单击新增路由策略,按如下参数配置后单击创建,将全部出站流量的下一跳指向防火墙:
目的端:输入
0.0.0.0/0下一跳类型:选择网关负载均衡器终端节点
下一跳:选择 NAT 防火墙网关对应的网关负载均衡器终端节点,由系统在开启防火墙开关时自动创建
5. 返回路由表基本信息页面,勾选刚才新增的路由策略,单击发布到云联网。
说明:
配置回程路由
本操作用于配置 NAT 网关所属 VPC 的路由表 system-auto-for-nat-ccn,使从 NAT 网关返回的回程流量能够通过云联网转发到防火墙 ,从而保证出入双向流量都经过防火墙。
1. 前往私有网络 > 路由表 > 路由表 页面,在顶部选择 NAT 网关所属 VPC 所在地域,并切换至 NAT 网关所属 VPC。
2. 在路由表列表中选择 system-auto-for-nat-ccn 路由表,单击基本信息进入详情页。
3. 单击新增路由策略,按如下参数配置后单击创建,将回程流量转发至目的业务 VPC:
目的端:输入业务 VPC 的 CIDR。
下一跳类型:选择云联网(自定义路由)。
下一跳:选择当前使用的云联网实例 ID。
注意:
若新添加的路由与已有路由存在网段重叠或包含关系,请同步禁用被包含的明细路由。由于云联网遵循最长前缀匹配原则,掩码更长的明细路由会优先生效,新添加的汇总路由将仅对未被明细路由覆盖的地址生效,无法对整个目标网段统一生效。
步骤三:创建云联网路由表并绑定网络实例
本步骤通过在云联网中新建路由表并配置路由接收策略,打通防火墙引流 VPC 与业务 VPC 之间的通信路径,同时避免两类流量互相干扰。
3.1 创建路由表
1. 前往私有网络 > 云联网 页面,在云联网实例列表中,单击目标云联网实例的 ID/名称,进入实例详情页。
2. 切换至路由表页签,单击新建路由表。
3. 为 NAT 网关 VPC 创建一张路由表(建议命名为"NAT 网关 VPC 专用路由表"),单击确定。
4. 为需要接入 NAT 防火墙的网络实例(VPC 或专线网关)创建一张或多张路由表(建议命名为"业务 VPC 引流到 NAT 防火墙路由表"),单击确定。
3.2 添加路由接收策略
路由接收策略用于控制每张路由表从哪些网络实例接收路由。需要分别为上述两张路由表各添加两条策略。
两张路由表分工如下:
NAT 网关 VPC 专用路由表:接收业务 VPC 和防火墙引流 VPC 的路由,使 NAT 网关能够将回程流量正确送回业务侧。
业务 VPC 引流到 NAT 防火墙路由表:接收 NAT 防火墙引流专用 VPC 的路由,使业务流量可以被引导进入防火墙进行检测。
3.2.1 为 NAT 网关 VPC 专用路由表添加策略:
1. 选择 NAT 网关 VPC 专用路由表,切换至路由接收策略页签,单击添加策略。
2. 匹配条件选择实例 ID,添加当前云联网中不参与本次 NAT 防火墙防护的网络实例。即在当前云联网关联实例中,排除 NAT 网关所在 VPC、NAT 防火墙引流专用 VPC,以及本次需要通过该 NAT 网关出公网并接入云防火墙防护的业务 VPC 或专线网关后,剩余的其他 VPC 实例。
3. 传播行为选择允许,单击确定。
4. 再次单击添加策略。匹配条件选择实例 ID,添加 NAT 防火墙引流专用 VPC 实例。
5. 传播行为选择允许,单击确定。
3.2.2 为业务 VPC 引流到 NAT 防火墙路由表添加策略:
1. 选择业务 VPC 引流到 NAT 防火墙路由表,切换至路由接收策略页签,单击添加策略。
2. 匹配条件选择实例 ID,添加 NAT 防火墙引流专用 VPC 实例。
3. 传播行为选择允许,单击确定。
4. 再次单击添加策略。匹配条件选择实例 ID,添加除 NAT 防火墙引流专用 VPC 之外所有业务 VPC 实例。
5. 传播行为选择允许,单击确定。
3.3 绑定网络实例
注意:
绑定网络实例前,流量按原有路由表运行;绑定后,网络流量将立即被引流至防火墙,中间没有二次确认环节。绑定前请务必确认前面的路由配置无误,否则可能导致业务中断。
绑定的过程中,可能出现部分流量先经过防火墙的中间状态,属于预期现象。请连续完成全部绑定步骤后再进行业务验证。
1. 选择业务 VPC 引流到 NAT 防火墙路由表,切换至绑定实例页签,单击绑定网络实例。
2. 勾选需要接入 NAT 防火墙的网络实例,单击对应的选项
3. 核对路由信息无误后,单击完成。
4. 选择 NAT 网关 VPC 专用路由表,切换至绑定实例页签,单击绑定网络实例。
5. 勾选 NAT 网关所属 VPC 的网络实例,单击对应的选项 
6. 核对路由信息无误后,单击完成。
步骤四:验证防火墙接入是否成功
2. 参考 日志审计 查看入侵防御是否正常。
3. 配置 NAT 边界规则,检查是否正常命中。
配置路由取消引流至云防火墙
1. 登录 私有网络控制台,在左侧导航栏中,单击云联网。
2. 前往需要关闭 NAT 边界防火墙的云联网实例的控制台,查看多路由表模式防护对象关联的云联网实例详情。
3. 除了防火墙专用 VPC 之外,将所有网络实例绑定到接入云防火墙之前使用的路由表中。
3.1 选择接入云防火墙之前使用的路由表,一般为 _default_rtb 表,选择绑定实例 > 绑定网络实例。
3.2 选择除防火墙专用之外的所有实例。
3.3 进行路由确认,单击完成。
4. 检查网络正常后,在云防火墙控制台关闭当前 NAT 网关对应的防火墙开关。
注意:
请务必确认实例取消接入云防火墙后,再关闭对应 NAT 边界防火墙开关,否则将会造成网络中断。
文档反馈