检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
下一跳 在下拉列表中,选择VPC-NAT的连接。 父主题: 通过配置CFW防护规则实现SNAT流量防护
在“防护规则”页签中,选择“NAT规则”页签,单击“添加”,在弹出的“添加防护规则”中,填写新的防护信息,填写规则请参见表2。 表2 添加防护规则-SNAT场景 参数名称 参数说明 规则类型 选择NAT规则:防护NAT网关的流量,支持配置私网IP。
通过配置CFW防护规则实现SNAT流量防护 SNAT防护概述 资源和成本规划 将VPC1和VPC-NAT接入企业路由器中 配置NAT网关 配置VPC1路由表 配置NAT防护规则
图2 通过VPC防护NAT网关 NAT网关流量防护介绍视频 组网图 SNAT和DNAT的防护组网图如下: SNAT组网图 DNAT组网图 SNAT防护提供主动外联场景的细粒度访问控制,适用于NAT网关所在VPC与业务VPC隔离,并通过多个VPC/子网使用公网IP对外发起访问的场景。
None 服务介绍 产品介绍 02:41 了解什么是云防火墙服务 特性讲解 互联网边界流量防护场景介绍 02:53 了解云防火墙的互联网边界流量防护场景 VPC边界流量防护场景介绍 08:54 了解云防火墙的VPC边界流量防护场景 NAT网关流量防护场景介绍 03:59 了解云防火墙的
步骤一:配置SNAT规则 在左侧导航栏中,选择“网络 > NAT网关”,进入“公网NAT网关”页面。 单击公网NAT网关的名称,进入“基本信息”页面,切换至“SNAT规则”页签。 单击“添加SNAT规则”,参数详情如表 添加SNAT规则所示。
为什么使用NAT64转换的IP地址被阻断了? 防火墙无法防护NAT64转换前的真实源IP,如果您开启了弹性公网IP的IPv6转换功能,NAT64会将源IP转换成198.19.0.0/16的网段进行ACL访问控制。
父主题: 通过配置CFW防护规则实现SNAT流量防护
SNAT防护配置 假如您的私网IP为“10.1.1.2”,通过NAT网关访问的外部域名为“www.example.com”,您可以参照以下参数配置NAT防护,其余参数可根据您的部署进行填写: 图1 添加NAT防护规则 后续操作 查看防护效果: 策略的命中情况,整体防护概况请参见通过策略助手查看防护信息
的IP黑名单,就指定名字为ip-blacklist-nat.txt。
NAT网关分为以下两种场景: 防护NAT网关绑定的EIP,仅审计EIP的流量。 防护SNAT和DNAT流量(依赖VPC边界防火墙),支持溯源到私网IP。 父主题: 产品咨询
表1 入门指引 场景 操作指引 购买云防火墙 购买包年/包月云防火墙 购买按需计费云防火墙 使用云防火墙 开启CFW防护 互联网边界流量防护 VPC边界流量防护 NAT网关流量防护 配置访问控制策略(ACL) 访问控制策略概述 互联网边界访问控制策略 VPC边界访问控制策略 NAT
获取导入的IP黑名单列表信息 功能介绍 获取防火墙实例中已经导入的IP黑名单信息,标准版防火墙只会显示一条EIP的记录,专业版防火墙可能显示EIP、NAT或EIP和NAT的记录,根据导入的情况确定。 调用方法 请参见如何调用API。
父主题: 通过配置CFW防护规则实现SNAT流量防护
SNAT或VPC间访问不通:关闭VPC边界防火墙的防护,请参见关闭VPC边界防火墙。 观察业务情况。 如果业务恢复,说明是CFW拦截了业务流量,请参见原因二:防护策略阻断流量和原因三:入侵防御阻断流量排查故障。
SNAT防护组网图 请求流量和响应流量为同一个路径。 配置建议 建议为NAT网关创建独立VPC不用于云服务器等实例网络配置,避免影响后续的访问控制。
资源和成本规划 本节介绍SNAT防护中的资源和成本规划。 表1 资源说明 资源 资源说明 数量 成本说明 NAT网关(NAT Gateway) 被防护的资源。 1 具体的计费方式及标准请参考NAT网关计费说明。
标准版的墙只会存在生效范围为EIP的IP黑名单,专业版的墙会存在生效范围为EIP和NAT的IP黑名单。 调用方法 请参见如何调用API。
支持,CFW支持防护当前区域、当前账号下所有的云资源(EIP、VPC、NAT网关)。 开通企业管理功能,并在购买CFW时选择了企业项目,CFW的账单会归属到该项目下,不影响资源防护。 企业通过企业项目管理业务时如何规划云防火墙的方案示例请参见使用CFW防护企业资源。
修改私网网段地址 如果您存在私用公网(即使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16以及运营商级NAT保留网段100.64.0.0/10以外的公网网段作为私网地址段)的情况,请您修改私网网段或提交工单进行私网网段扩容,否则云防火墙可能无法正常转发
