本最佳實踐基于天翼云云防火墻C100 典型部署方案，旨在通過標準化的規劃、部署、管控及運維流程，確保云防火墻高效落地，實現對互聯網入訪、內網出訪、VPC 間互訪、VPC 與云專線互訪的全流量安全防護，同時規避網絡架構沖突、流量繞開防護等風險，保障業務穩定運行。

前期規劃

前期規劃重點明確VPC架構與子網劃分，避免后續部署沖突。

VPC 規劃

規劃原則：按功能隔離，減少干擾。

某場景下，網絡部門根據業務屬性與防護需求，劃分獨立VPC，各VPC功能如下，避免跨功能混用：

子網規劃

子網是流量隔離與防護的最小單元，按“功能專屬”原則規劃了如下子網：

架構部署：標準化落地組件

部署遵循“先基礎網絡、后防護組件、再業務資源”的順序，確保各組件聯動生效，避免流量繞開防火墻。

搭建基礎網絡（VPC + 子網）

1. 登錄天翼云控制臺，按VPC規劃創建 vpc-1（業務）、vpc-2（業務）、vpc-cfw（防火墻）、vpc-sec（安全產品），如何創建VPC請參考：創建虛擬私有云VPC。

2. 在各VPC內創建對應子網，嚴格按子網規劃配置子網網段。

3. 配置VPC路由表：為業務 VPC（vpc-1/vpc-2）添加 “默認路由指向 vpc-cfw 的 GWLBE”（確保流量強制經過防火墻），為 vpc-cfw 添加 “指向各業務 VPC、云專線網關的路由”。

部署核心防護與轉發組件

1. 云防火墻（C100）部署：在vpc-cfw中關聯GWLBE子網1/2，綁定IPv4 網關，確保GWLBE 能接收來自各引流子網的流量。

2. NAT網關部署：在NAT網關子網中創建NAT網關，關聯需出訪的業務子網（如vpc-1的Web業務子網），配置 NAT轉發規則，創建NAT網關請參考：NAT網關操作指導。

3. ELB 部署：

   • 公網ELB：部署在“公共子網”，后端節點關聯 vpc-1/vpc-2 的“業務子網”ECS，開啟健康檢查（如TCP端口80探測）；

   • 私網ELB：部署在“業務子網”，僅用于VPC內部業務訪問，無需關聯公網，如何創建ELB可參考：負載均衡器操作指導。

4. 云專線網關部署：在業務VPC（如 vpc-2）中創建云專線網關，對接線下數據中心，配置路由指向vpc-cfw 的GWLBE（確保VPC與線下互訪流量經過防火墻），如何創建云專線參考：云專線網關操作指導。

5. 綁定EIP的ECS/HAVIP 部署：僅在“公共子網”中創建此類資源（如運維管理節點），配置安全組僅開放管理員IP的訪問權限（如僅允許192.168.0.0/24網段訪問22端口）。

驗證組件聯動性

部署后通過“小流量測試” 驗證組件是否正常聯動，避免防護失效：

• 互聯網入訪測試：從公網訪問公網ELB 的 EIP，檢查云防火墻日志是否捕獲該流量（上圖中紅色 / 藍色路徑）；

• 內網出訪測試：從vpc-1 業務子網的 ECS 訪問互聯網（如ping），檢查 NAT 網關日志與云防火墻日志是否均有記錄（上圖中紫色路徑）；

• VPC 互訪測試：從 vpc-1 的 ECS 訪問 vpc-2 的 ECS，檢查云防火墻日志是否捕獲該流量（上圖中黃色路徑）；

• 云專線互訪測試：從線下數據中心訪問vpc-2 的業務 ECS，檢查云防火墻日志是否捕獲該流量（上圖中綠色路徑）。

流量管控：全路徑防護與優化

基于典型部署方案的4類核心流量路徑，通過云防火墻策略實現 “精準管控、日志可追溯”。

互聯網入訪流量

紅色/藍色路徑：IPv4網關→GWLBE→云防火墻→公共子網（ELB/ECS/HAVIP/裸金屬)。

策略配置原則：“最小權限”，僅開放業務必要端口；

• 允許策略：僅開放80（HTTP）、443（HTTPS）等業務端口，源地址限制為業務覆蓋的用戶網段（如僅允許華東地區 IP 訪問）；

• 拒絕策略：默認拒絕所有其他端口（如22、3389等管理端口，禁止公網直接訪問）。

日志審計：開啟云防火墻入訪日志記錄，定期審計異常流量（如來自境外IP的高頻訪問嘗試）。

內網出訪流量

紫色路徑：業務ECS→GWLBE→云防火墻→NAT 網關→互聯網。

策略配置原則：“按需放行，禁止無關出訪”；

• 允許策略：僅開放業務必要的出訪地址/ 端口（如允許 ECS 訪問 OSS 的域名、訪問第三方 API 的固定IP）；

• 拒絕策略：禁止訪問高危IP 網段（如已知惡意 IP 庫）、禁止 P2P 下載、視頻網站等非業務流量。

帶寬管控：通過NAT 網關配置帶寬上限（如 100Mbps），避免單業務占用過多帶寬影響其他服務。

VPC 間互訪流量

黃色路徑：vpc-1/vpc-2→云企業路由器→GWLBE→云防火墻→云企業路由器→目標 VPC。

策略配置原則：“按業務關聯度放行”；

• 允許策略：僅開放跨VPC 業務依賴的端口；

• 拒絕策略：禁止無業務關聯的VPC 互訪。

VPC 與云專線互訪流量

綠色路徑：業務 VPC→云企業路由器→GWLBE→云防火墻→云企業路由器→云專線網關→線下網絡。

策略配置原則：“雙向管控，匹配線下安全策略”；

• 入訪（線下→VPC）：僅允許線下辦公網段訪問 VPC 的業務端口（如線下財務網段訪問 VPC 的 ERP系統端口）；

• 出訪（VPC→線下）：僅允許VPC的業務子網訪問線下數據庫、文件服務器的必要端口。

加密傳輸：若傳輸敏感數據（如用戶信息），可在云專線基礎上開啟IPsec VPN加密，避免數據泄露。