业务入云需要经过防火墙进行安全防护，为满足此业务模型，故针对各场景撰写配置指导。

主要涉及场景为：

• VPC虚机通过FW与互联网业务互访，
• 业务VPC虚机通过FW与公共VPC业务互访
• 业务VPC虚机通过FW与专线侧业务互访
• 业务VPC通过防火墙访问LB业务

业务模型如下图：

区分各场景说明配置方法：

1.1.1    VPC与互联网业务互访

虚机访问公网，需要配置默认子网路由为FW LAN口地址：

子网路由配置：

弹性IP绑定FW WAN口私网地址：

FW 配置nat：

外网访问虚机：

总结：

      此场景下VPC 虚机流量通过FW WAN口绑定的EIP与公网互通，虚机访问外网时，流量经过FW的源NAT进行地址转换后发给NAT网关转发到互联网；互联网访问虚机通过访问FW WAN口绑定的EIP，流量经过NAT网关、FW地址转换后转发给虚机。

1.1.2    VPC对等连接互访

场景1：仅VPC2存在FW，VPC1、VPC2经过对等连接互访，流量经过VPC2 FW访问VPC2

VPC1路由配置：

子网路由：

无

对等连接路由：

    VPC2路由配置：

子网路由：

对等连接路由：

VPC2 FW配置：

总结：

此场景下VPC1 虚机流量通过对等连接路由转发到VPC2 FW的WAN口，经过NAT转换后通过LAN转发给VPC2 虚机。

场景2：VPC1、VCP2均存在FW，流量分别经过两VPC的FW

VPC1路由配置：

子网路由：

VPC1 FW配置：

VPC2路由配置：

子网路由：

对等连接路由：

VPC2 FW配置：

总结：

此场景下VPC1 虚机流量通过子网路由转发到VPC1 FW LAN口，经过源地址转换及对等连接路由转发到VPC2 FW的WAN口，经过FW NAT转换后通过LAN转发给VPC2 虚机。

1.1.3   公网通过FW访问LB

VPC1路由配置：

子网路由：

LB相关配置：

VPC1 FW配置：

总结：

此场景下公网访问VPC1 FW WAN地址绑定的EIP，流量经过NAT网关进行目的地址转换后，转发给VPC1 FW WAN口，VPC1 FW对报文进行双向NAT转换后从LAN口转发到VPC1 LB ，LB分发给后端RS。

1.1.4  专线通过FW访问VPC虚机

VPC路由配置：

 子网路由：

专线配置：

FW 配置：

 

总结：

此场景下专线访问VPC1虚机，流量经过 FW 对报文进行NAT转换后从LAN口转发到VPC1 虚机，虚机访问专线的业务，通过FW进行NAT转换后，发给专线侧客户地址。