云防火墻通過防護NAT網關所在的VPC，實現對NAT網關流量的防護，并支持對私網IP進行細粒度訪問控制，防止內網主機非法外聯。

支持防護SNAT和DNAT兩種場景。

SNAT組網圖

DNAT組網圖

約束條件

• 僅“專業版”支持NAT網關流量防護。

• 依賴企業路由器（Enterprise Router, ER）服務引流。

• 云防火墻當前默認支持標準私網網段。

• 如要實現DNAT網關向CFW集群東西向引流并配置DNAT規則，需提工單聯系服務運維人員支撐防火墻升級，避免因舊版本不支持DNAT可能引起的流量受損風險。

開啟NAT網關流量防護

需完成創建防火墻，具體配置請參見“創建VPC邊界防火墻”。

步驟一：將VPC1和VPC-NAT接入企業路由器中

1. 添加VPC連接。

   操作步驟請參見《企業路由器用戶指南> 在企業路由器中添加VPC連接》。

   說明

   連接需要添加兩條，“連接資源”分別選擇VPC1和VPC-NAT。

2. 創建兩個路由表。

   1. 在左側導航欄中，單擊左上方的，選擇“網絡> 企業路由器”，單擊“管理路由表”，進入“路由表”頁面。

   2. 創建兩個路由表，作為關聯路由表和傳播路由表分別用于連接需防護的VPC和連接防火墻。

      單擊“路由表”頁簽，進入路由表設置頁面，單擊“創建路由表”，參數詳情見下表。

      參數名稱	參數說明
      名稱	輸入路由表的名稱。 命名規則如下： 長度范圍為1~64位。 名稱由中文、英文字母、數字、下劃線（_）、中劃線（-）、點（.）組成。
      描述	您可以根據需要在文本框中輸入對該路由表的描述信息。
      標簽	您可以在創建路由表的時候為路由表綁定標簽，標簽用于標識云資源，可通過標簽實現對云資源的分類和搜索。

3. 設置關聯路由表。

   1. 設置關聯功能，添加VPC1和VPC-NAT的連接：在路由表設置頁面，選擇關聯路由表，單擊“關聯”頁簽，單擊“創建關聯”，參數詳情見下表。

      參數名稱	參數說明
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      連接	在連接下拉列表中，選擇VPC連接。

      說明

      關聯需要增加兩條，“連接”分別選擇VPC1和VPC-NAT的連接。

   2. 添加靜態路由，指向防火墻：單擊“路由”頁簽，單擊“創建路由”，參數詳情見下表。

      參數名稱	參數說明
      目的地址	設置目的地址。 0.0.0.0/0：VPC的所有流量都會經過云防火墻防護 網段：該網段的流量會經過云防火墻防護
      黑洞路由	建議您保持關閉狀態；開啟后如果路由匹配上黑洞路由的目的地址，則該路由的報文會被丟棄。
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      下一跳	在下拉列表中，選擇自動生成的防火墻連接（cfw-er-auto-attach）。
      描述	（可選）路由的描述信息。

4. 設置傳播路由表。

   1. 設置傳播功能，添加VPC1的傳播：在路由表設置頁面，選擇傳播路由表，單擊“傳播”頁簽，單擊“創建傳播”，參數詳情見下表。

      參數名稱	參數說明
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      連接	在傳播下拉列表中，選擇VPC1的連接。

   2. 添加靜態路由，指向VPC-NAT：單擊“路由”頁簽，單擊“創建路由”，參數詳情見下表。

      參數名稱	參數說明
      目的地址	設置目的地址，設置為：0.0.0.0/0。
      黑洞路由	建議保持關閉狀態；開啟后如果路由匹配上黑洞路由的目的地址，則該路由的報文會被丟棄。
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      下一跳	在下拉列表中，選擇VPC-NAT的連接。

步驟二：配置NAT網關

1. 配置SNAT規則。

   1. 返回至企業路由器界面，在左側導航欄中，選擇“網絡> NAT網關”，進入“公網NAT網關”頁面。

   2. 單擊公網NAT網關的名稱，進入“基本信息”頁面，切換至“SNAT規則”頁簽。

   3. 單擊“添加SNAT規則”，參數詳情如下表所示。

      參數名稱	參數說明
      使用場景	SNAT規則使用的場景，選擇“虛擬私有云”。
      網段	選擇“自定義”子網，使云服務器通過SNAT方式訪問公網。 自定義：自定義一個網段或者填寫某個VPC的地址。 說明 支持配置0.0.0.0/0的地址段，在多段地址配置時更方便。 可以配置32位主機地址，NAT網關只針對此地址起作用。
      彈性公網IP	用來提供互聯網訪問的公網IP。 這里只能選擇沒有被綁定的彈性公網IP，或者被綁定在當前公網NAT網關中非“所有端口”類型DNAT規則上的彈性公網IP，或者被綁定到當前公網NAT網關中SNAT規則上的彈性公網IP。 可選擇多條EIP添加在SNAT規則中。一條SNAT規則最多添加20個EIP。SNAT規則使用多個EIP時，業務運行時會隨機選取其中的一個。
      監控	為SNAT連接數設置告警。 可通過設置告警及時了解SNAT連接數運行狀況，從而起到預警作用。
      描述	SNAT規則信息描述。最大支持255個字符。

2. 配置是VPC-NAT的路由表。

   1. 在左側導航欄中，選擇“網絡>  虛擬私有云 > 路由表”，進入“路由表”頁面。

   2. 在“名稱”列，單擊NAT網關對應VPC的路由表名稱，進入路由表“基本信息”頁面。

   3. 單擊“添加路由”，參數詳情見下表。

      參數	說明
      目的地址類型	選擇“IP地址”。
      目的地址	目的地址網段，填寫VPC1的IP地址。 說明 不能與已有路由和VPC下子網網段沖突。
      下一跳類型	在下拉列表中，選擇類型“企業路由器”。
      下一跳	選擇下一跳資源。 下拉列表中將展示您創建的企業路由器名稱。
      描述	路由的描述信息，非必填項。 說明 描述信息內容不能超過255個字符，且不能包含“<”和“>”。

步驟三：配置VPC1路由表

1. 在“路由表”頁面的“名稱”列，單擊VPC1的路由表名稱，進入路由表“基本信息”頁面。

2. 單擊“添加路由”，參數詳情見下表。

   參數	說明
   目的地址類型	選擇“IP地址”。
   目的地址	目的地址網段，設置為：0.0.0.0/0。
   下一跳類型	在下拉列表中，選擇類型“企業路由器”。
   下一跳	選擇下一跳資源。 下拉列表中將展示您創建的企業路由器名稱。
   描述	路由的描述信息，非必填項。 說明 描述信息內容不能超過255個字符，且不能包含“<”和“>”。

步驟四：開啟VPC邊界防火墻

1. 在左側導航欄中，選擇“資產管理 > VPC邊界防火墻管理”，進入“VPC邊界防火墻管理”頁面。

2. 在“防火墻狀態”側，單擊“開啟防護”。

3. 單擊“確認”，完成開啟VPC邊界防火墻。

后續操作

• 實現私網IP的細粒度防護：配置NAT防護規則，配置方式請參見“NAT流量防護規則”。

• 實現網絡攻擊攔截：配置入侵防御功能，請參見“攔截網絡攻擊”。