VPC邊界防火墻能夠檢測和統計VPC間的通信流量數據，幫助您發現異常流量。開啟VPC邊界防火墻之前，您需要先創建VPC邊界防火墻并關聯企業路由器。

前提條件

當前賬號下需存在可用的企業路由器。

• 關于企業路由器的收費，請參見《企業路由器用戶指南> 計費說明》。

• 創建企業路由器請參見《企業路由器用戶指南> 創建企業路由器》。

創建說明

創建防火墻時為了引流需選擇企業路由器和配置IPV4網段。

• 企業路由器用于引流，選擇時需滿足以下限制：

  • 沒有與其它防火墻實例關聯。

  • 需歸屬本賬號，非共享企業路由器。

  • 需關閉“默認路由表關聯”、“默認路由表傳播”和“自動接收共享連接”功能。

• 網段用于將流量轉發至云防火墻，選擇時需注意以下限制：

  • 該網段不可與需要開啟防護的私網網段重合，否則會導致路由沖突。

  • 10.6.0.0/16-10.7.0.0/16網段為防火墻保留網段，不可使用。

創建VPC邊界防火墻

1. 登錄管理控制臺。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航欄中，選擇“資產管理> VPC邊界防火墻管理”，進入“VPC邊界防火墻管理”頁面。

5. 單擊“創建防火墻”，選擇企業路由器并配置合適的網段。

   • 企業路由器用于引流，選擇時需滿足以下限制：

     • 沒有與其它防火墻實例關聯。

     • 需歸屬本賬號，非共享企業路由器。

     • 需關閉“默認路由表關聯”、“默認路由表傳播”和“自動接收共享連接”功能。

   • 網段配置后默認創建InspectionVPC將流量轉發至云防火墻，并自動分配云墻關聯子網，將云防火墻流量轉發到企業路由器，選擇時需注意以下限制：

     • 創建防火墻后不支持修改網段。

     • 該網段需滿足以下條件：

       • 僅支持私網地址段（即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范圍中），否則可能在SNAT等訪問公網的場景下產生路由沖突，

       • 10.6.0.0/16-10.7.0.0/16網段為防火墻保留網段，不可使用。

       • 不可與需要開啟防護的私網網段重合，否則會因路由沖突，導致該網段無法防護。

   • 如果您參數界面如下圖所示，則您目前云防火墻版本為舊版，VPC邊界防火墻配置請參見“企業路由器模式”。

     

6. 單擊“確認”，需等待3-5分鐘，完成防火墻創建。

   創建過程中您只能瀏覽“概覽”頁，防火墻的“狀態”會變為“升級中”。

相關操作

關閉防火墻：防火墻創建后不支持刪除和退訂，您可以關閉防火墻的防護請參見“關閉VPC邊界防火墻”。