背景描述
在VPC没有绑定网关防火墙的情况下,VPC内云主机访问外网没有限制。通过配置网关防火墙可以限制VPC下的出口流量。
如图所示拓扑,禁止VPC内所有云主机访问外网,放行所有云主机访问外网8.8.8.8的主机。
本实践方案通过配置网关防火墙完成上述需求。
前提条件
路由器绑定了外部网关,以及云主机所在的子网,并且云主机可以访问外网。
操作步骤
创建网关防火墙。
在云平台的顶部导航栏中,依次选择[产品与服务]-[访问控制]-[网关防火墙],进入“网关防火墙”页面。
单击
创建网关防火墙,弹出“创建网关防火墙”对话框。配置参数后,单击
创建,完成操作。
| 参数 | 说明 |
|---|---|
| 名称 | 网关防火墙的名称。 |
| 描述 | 网关防火墙的描述。 |
配置网关防火墙出方向规则。
单击
出方向规则-添加规则,出现规则编辑框。配置如下规则,单击
确认,完成操作。
说明:网关防火墙规则是带状态的,所以只需要配置一个方向的允许策略,回复报文也会被允许通过。
方向 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 出方向 ipv4 允许 全部 0.0.0.0/0 全部 8.8.8.8/32 全部 关联路由器。
点击已经创建的网关防火墙,进入该网关防火墙的详情页面,单击
关联路由器-关联,弹出“关联路由器”对话框。选择上述路由器,点击
关联。
说明:关联路由器后,网关防火墙默认拒绝所有出入路由器网关的流量,直至添加放通规则。
结果验证
进入VPC内任意一台云主机,ping访问114.114.114.114失败,能正常访问8.8.8.8。
