本最佳实践基于天翼云云防火墙C100 典型部署方案,旨在通过标准化的规划、部署、管控及运维流程,确保云防火墙高效落地,实现对互联网入访、内网出访、VPC 间互访、VPC 与云专线互访的全流量安全防护,同时规避网络架构冲突、流量绕开防护等风险,保障业务稳定运行。
前期规划
前期规划重点明确VPC架构与子网划分,避免后续部署冲突。
VPC 规划
规划原则:按功能隔离,减少干扰。
某场景下,网络部门根据业务属性与防护需求,划分独立VPC,各VPC功能如下,避免跨功能混用:
| VPC 名称 | 核心功能 | 关联组件 |
|---|---|---|
| vpc-1/vpc-2 | 业务承载 | 业务子网、私网ELB、后端 ECS(无EIP,通过 NAT出访) |
| vpc-cfw | 仅用于云间高速流量的引流,不是防火墙所在VPC | GWLBE子网、IPv4网关(仅部署防火墙相关引流与转发组件,不承载业务) |
| (可选)vpc-nat | NAT网关专属 | NAT网关子网(若需进一步隔离NAT功能,可单独创建,小型场景可复用vpc-1/vpc-2) |
| (可选)vpc-sec | 安全产品专属 | 云等保专区、WAF等安全组件(安全产品独立VPC更易管控) |
子网规划
子网是流量隔离与防护的最小单元,按“功能专属”原则规划了如下子网:
| 子网类型 | 核心用途 | 规格要求 | 部署VPC | 关键限制与实践要点 |
|---|---|---|---|---|
| 业务子网 | 部署无EIP的后端 ECS(如 Web 服务器、数据库服务器)、私网 ELB 后端节点 | 按需配置(如24位,满足业务扩容) | vpc-1/vpc-2 |
|
| 公共子网 | 部署公网ELB、绑定EIP的 ECS/HAVIP/裸金属服务器 | 按需配置(如26位,根据公网暴露资源数量调整) | vpc-1/vpc-2 |
|
| NAT网关子网 | 专属部署NAT 网关 | 固定28位(子网掩码255.255.255.240,仅需16个IP,满足 NAT网关部署需求) | vpc-1/vpc-2(或vpc-nat) |
|
| GWLBE引流子网 | 2个专属子网,分别用于:
| 每个子网固定28位 | vpc-cfw |
|
| 安全产品子网 | 部署云等保专区、漏洞扫描等安全组件 | 按需配置(如28位,安全产品节点数量少) | vpc-sec |
|
架构部署:标准化落地组件
部署遵循“先基础网络、后防护组件、再业务资源”的顺序,确保各组件联动生效,避免流量绕开防火墙。
搭建基础网络(VPC + 子网)
登录天翼云控制台,按VPC规划创建 vpc-1(业务)、vpc-2(业务)、vpc-cfw(防火墙)、vpc-sec(安全产品),如何创建VPC请参考:创建虚拟私有云VPC。
在各VPC内创建对应子网,严格按子网规划配置子网网段。
配置VPC路由表:为业务 VPC(vpc-1/vpc-2)添加 “默认路由指向 vpc-cfw 的 GWLBE”(确保流量强制经过防火墙),为 vpc-cfw 添加 “指向各业务 VPC、云专线网关的路由”。
部署核心防护与转发组件
云防火墙(C100)部署:在vpc-cfw中关联GWLBE子网1/2,绑定IPv4 网关,确保GWLBE 能接收来自各引流子网的流量。
NAT网关部署:在NAT网关子网中创建NAT网关,关联需出访的业务子网(如vpc-1的Web业务子网),配置 NAT转发规则,创建NAT网关请参考:NAT网关操作指导。
ELB 部署:
公网ELB:部署在“公共子网”,后端节点关联 vpc-1/vpc-2 的“业务子网”ECS,开启健康检查(如TCP端口80探测);
私网ELB:部署在“业务子网”,仅用于VPC内部业务访问,无需关联公网,如何创建ELB可参考:负载均衡器操作指导。
云专线网关部署:在业务VPC(如 vpc-2)中创建云专线网关,对接线下数据中心,配置路由指向vpc-cfw 的GWLBE(确保VPC与线下互访流量经过防火墙),如何创建云专线参考:云专线网关操作指导。
绑定EIP的ECS/HAVIP 部署:仅在“公共子网”中创建此类资源(如运维管理节点),配置安全组仅开放管理员IP的访问权限(如仅允许192.168.0.0/24网段访问22端口)。
验证组件联动性
部署后通过“小流量测试” 验证组件是否正常联动,避免防护失效:
互联网入访测试:从公网访问公网ELB 的 EIP,检查云防火墙日志是否捕获该流量(上图中红色 / 蓝色路径);
内网出访测试:从vpc-1 业务子网的 ECS 访问互联网(如ping),检查 NAT 网关日志与云防火墙日志是否均有记录(上图中紫色路径);
VPC 互访测试:从 vpc-1 的 ECS 访问 vpc-2 的 ECS,检查云防火墙日志是否捕获该流量(上图中黄色路径);
云专线互访测试:从线下数据中心访问vpc-2 的业务 ECS,检查云防火墙日志是否捕获该流量(上图中绿色路径)。
流量管控:全路径防护与优化
基于典型部署方案的4类核心流量路径,通过云防火墙策略实现 “精准管控、日志可追溯”。
互联网入访流量
红色/蓝色路径:IPv4网关→GWLBE→云防火墙→公共子网(ELB/ECS/HAVIP/裸金属)。
策略配置原则:“最小权限”,仅开放业务必要端口;
允许策略:仅开放80(HTTP)、443(HTTPS)等业务端口,源地址限制为业务覆盖的用户网段(如仅允许华东地区 IP 访问);
拒绝策略:默认拒绝所有其他端口(如22、3389等管理端口,禁止公网直接访问)。
日志审计:开启云防火墙入访日志记录,定期审计异常流量(如来自境外IP的高频访问尝试)。
内网出访流量
紫色路径:业务ECS→GWLBE→云防火墙→NAT 网关→互联网。
策略配置原则:“按需放行,禁止无关出访”;
允许策略:仅开放业务必要的出访地址/ 端口(如允许 ECS 访问 OSS 的域名、访问第三方 API 的固定IP);
拒绝策略:禁止访问高危IP 网段(如已知恶意 IP 库)、禁止 P2P 下载、视频网站等非业务流量。
带宽管控:通过NAT 网关配置带宽上限(如 100Mbps),避免单业务占用过多带宽影响其他服务。
VPC 间互访流量
黄色路径:vpc-1/vpc-2→云企业路由器→GWLBE→云防火墙→云企业路由器→目标 VPC。
策略配置原则:“按业务关联度放行”;
允许策略:仅开放跨VPC 业务依赖的端口;
拒绝策略:禁止无业务关联的VPC 互访。
VPC 与云专线互访流量
绿色路径:业务 VPC→云企业路由器→GWLBE→云防火墙→云企业路由器→云专线网关→线下网络。
策略配置原则:“双向管控,匹配线下安全策略”;
入访(线下→VPC):仅允许线下办公网段访问 VPC 的业务端口(如线下财务网段访问 VPC 的 ERP系统端口);
出访(VPC→线下):仅允许VPC的业务子网访问线下数据库、文件服务器的必要端口。
加密传输:若传输敏感数据(如用户信息),可在云专线基础上开启IPsec VPN加密,避免数据泄露。
