步骤1:创建自定义路由模式实例
步骤2:配置引流路由
当前操作目的是将用户需要防护的业务 VPC 通过防火墙网关引流至防火墙实例。
1. 前往 新建 VPC 间防火墙 时选择的云联网实例的控制台,查看高级模式关联的云联网实例详情。
2. 确认防火墙引流 VPC 和相关路由表已经创建,若未创建请等待实例创建完成或 提交工单 联系我们。
3. 查看默认路由表页面,确定需要接入的业务 VPC 及防火墙引流 VPC。
说明:
本文以北京业务 VPC:VPC-A;重庆业务 VPC:VPC-B;北京地域防火墙引流 VPC:VPC-BJFW 举例来演示如何接入。
4. 前往私有网络 > 路由表 页面,选择需要接入的防火墙引流 VPC,可以看到包含“防火墙 VPC 专用路由表_请勿删改”和“default”在内的路由表。选择“default”路由表编辑路由策略。
5. 单击新增路由策略,将业务 VPC 下一跳引流至防火墙。
目的端输入业务 VPC 的 CIDR,下一跳类型选择高可用虚拟 IP,下一跳选择防火墙网关 ID,备注可以自由填写。
说明:
若有提示“指定 CIDR 形成 ECMP”时,需要先在默认路由表中停用相关业务路由。
6. 将新增路由发布到云联网,详情请参见 管理路由策略。发布后可以在对应云联网中的默认路由表看到指定路由策略。
说明:
因新路由策略与原路由策略冲突,原路由条目会失效,可以忽略。
步骤3:建立业务 VPC 互访路由表
当前操作目的是为了将防火墙网络和用户的业务网络打通,实现网络互访。
1. 在 云联网页面,分别为每个引流至防火墙的业务 VPC 建立路由表。
2. 调整路由接收策略。在各个 VPC 的专属路由表中的路由接收策略中单击添加网络实例,将路由表自身所属 VPC 实例和互通 VPC 实例添加至路由表中。
注意:
添加网络实例务必分为两个步骤,先添加自身 VPC 实例和不经过防火墙防护的 VPC 实例;再添加防火墙引流专用 VPC 实例。
例如:假设 VPC-C 是不需要接入防火墙实例的业务 VPC,则在 VPC-A 的路由表中应先添加 VPC-A,VPC-C 两个实例,添加成功后,重复上述操作再添加 VPC-BJFW 一个实例。
3. 检查各个 VPC 的专属路由表中路由条目是否符合预期。
4. 绑定网络实例。各个 VPC 的专属路由表的绑定实例单击绑定网络实例,将各个 VPC 专属路由表绑定至其对应的 VPC 实例,操作完成后网络会引流至防火墙。
注意:
请务必确认路由无误后再绑定路由表,绑定后会立即生效。
步骤4:验证防火墙是否正常工作
1. 参考 日志审计 查看是否有流量日志。
2. 参考 日志审计 查看入侵防御是否正常。
注意:
自定义路由模式下的入侵防御模式跟随主模式,无法单独调节。
3. 配置内网间规则,检查是否正常命中。