前提條件

流量互通，確定流量未經過防火墻時正常通信。流量驗證請參見《企業路由器用戶指南> 驗證網絡互通情況》。

通過配置企業路由器將流量引至云防火墻

1. 創建VPC邊界防火墻，具體操作請參見“創建VPC邊界防火墻”。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航欄中，選擇“資產管理> VPC邊界防火墻管理”，進入“VPC邊界防火墻管理”頁面。

5. 添加VPC連接。

   單擊“防火墻狀態”側的“編輯防護VPC”，進入企業路由器頁面，在企業路由器中添加連接，支持添加的連接類型請參見《企業路由器用戶指南》中“連接概述”章節。

   下文以防護兩個VPC為例（至少需要添加兩條VPC連接，用于連接兩個VPC和ER之間）。操作步驟請參見《企業路由器用戶指南 > 企業路由器中添加VPC連接》。

   說明

   • 防火墻創建后自動生成一條防火墻連接（名稱：cfw-er-auto-attach，連接類型：云防火墻（CFW）），防護VPC的連接需手動添加；每增加一個防護的VPC，都需要增加一條連接。

     例如：對VPC1連接命名為vpc-1；對VPC2連接命名為vpc-2，需防護VPC3時，增加連接命名為vpc-3。

   • 如需防護其它賬號（如賬號B）下的VPC，請將當前賬號A的企業路由器共享至賬號B，共享步驟請參見《企業路由器用戶指南 > 創建共享》，共享成功后在賬號B中添加連接，后續配置仍在賬號A中進行。

6. 創建兩個路由表，作為關聯路由表和傳播路由表分別用于連接需防護的VPC和連接防火墻。

   單擊“路由表”頁簽，進入路由表設置頁面，單擊“創建路由表”，參數詳情見下表。

   參數名稱	參數說明
   名稱	輸入路由表的名稱。 命名規則如下： 長度范圍為1~64位。 名稱由中文、英文字母、數字、下劃線（_）、中劃線（-）、點（.）組成。
   描述	您可以根據需要在文本框中輸入對該路由表的描述信息。
   標簽	您可以在創建路由表的時候為路由表綁定標簽，標簽用于標識云資源，可通過標簽實現對云資源的分類和搜索。

7. 配置關聯路由表。

   1. 設置關聯功能：在路由表設置頁面，選擇關聯路由表，單擊“關聯”頁簽，單擊“創建關聯”，參數詳情見下表。

      參數名稱	參數說明
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      連接	在連接下拉列表中，選擇需防護的VPC連接。

      說明

      關聯至少需要添加兩條，每增加一個防護的VPC，都需增加一條關聯。

      例如：選擇VPC1的連接vpc-1以及VPC2的連接vpc-2，需防護VPC3時，增加一條關聯，選擇連接vpc-3。

   2. 設置路由功能：單擊“路由”頁簽，單擊“創建路由”，根據實際數量創建路由功能，參數詳情見下表。

      參數名稱	參數說明
      目的地址	設置目的地址。 0.0.0.0/0：VPC的所有流量都會經過云防火墻防護 網段：該網段的流量會經過云防火墻防護
      黑洞路由	建議您保持關閉狀態；開啟后如果路由匹配上黑洞路由的目的地址，則該路由的報文會被丟棄。
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      下一跳	在下拉列表中，選擇自動生成的防火墻連接（cfw-er-auto-attach）。
      描述	（可選）路由的描述信息。

8. 配置傳播路由表。

   1. 設置關聯功能：在路由表設置頁面，選擇傳播路由表，單擊“關聯”頁簽，單擊“創建關聯”，參數詳情見下表。

      參數名稱	參數說明
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      連接	在下拉列表中，選擇自動生成的防火墻連接（cfw-er-auto-attach）。

   2. 設置傳播功能：單擊“傳播”頁簽，單擊“創建傳播”，參數詳情見下表。

      參數名稱	參數說明
      連接類型	選擇連接類型“虛擬私有云（VPC）”。
      連接	在傳播下拉列表中，選擇需防護的VPC連接。

      說明

      • 傳播至少需要添加兩條，每增加一個防護的VPC，都需增加一條傳播。

        例如：選擇VPC1的連接vpc-1以及VPC2的連接vpc-2，需防護VPC3時，增加一條傳播，選擇連接vpc-3。

      • 創建傳播后，會自動將連接的路由信息學習到ER路由表中，生成“傳播路由”。同一個路由表中，不同傳播路由的目的地址可能相同，連接配置不支持修改和刪除。

      • 您也可以手動在路由表中配置連接的靜態路由，同一個路由表中，靜態路由的目的地址不允許重復，連接配置支持修改和刪除。

      • 如果路由表中存在多條路由目的地址相同，則優先級：靜態路由> 傳播路由。

9. 修改VPC的路由表。

   1. 在左側導航欄中，選擇“網絡> 虛擬私有云 > 路由表”，進入“路由表”頁面。

   2. 在“名稱/ID”列，單擊對應VPC的路由表名稱，進入路由表“基本信息”頁面。

   3. 單擊“添加路由”，參數詳情見下表。

      參數	說明
      目的地址類型	選擇“IP地址”。
      目的地址	流量到達的網段。 例如兩個VPC間防護時，VPC1中添加的路由“目的地址”填寫VPC2的網段。 說明 不能與已有路由和VPC下子網網段沖突。
      下一跳類型	在下拉列表中，選擇類型“企業路由器”。
      下一跳	選擇下一跳資源。 下拉列表中將展示您創建的企業路由器名稱。
      描述	（可選）路由的描述信息。 說明 描述信息內容不能超過255個字符，且不能包含“<”和“>”。

      說明

      至少需要為兩個VPC添加路由，每增加一個防護的VPC，都需為該VPC增加一條路由。

修改已有企業路由器將流量引至云防火墻

1. 已創建VPC邊界防火墻，具體操作請參見3.4.2.1 創建VPC邊界防火墻。

2. 登錄管理控制臺。

3. 在左側導航欄中，單擊左上方的，選擇“網絡> 企業路由器”，進入“企業路由器”頁面。

4. 從默認路由表er-RT1中刪除防火墻VPC(vpc-cfw-er)的關聯和傳播。

   選擇“路由表> 關聯”，在防火墻VPC行的“操作”列，單擊“刪除”，在刪除確認框中，單擊“是”。

   選擇“傳播”，在防火墻VPC行的“操作”列，單擊“刪除”，在刪除確認框中，單擊“是”。

5. 創建路由表er-RT2。

   單擊頁面左上角“創建路由表”。參數詳情見下表。

   參數名稱	參數說明	取值樣例
   名稱	輸入路由表的名稱。要求如下： 長度范圍為1~64位。 名稱由中文、英文字母、數字、下劃線（_）、中劃線（-）、點（.）組成。	er-RT2
   標簽	您可以在創建路由表的時候為路由表綁定標簽，標簽用于標識云資源，可通過標簽實現對云資源的分類和搜索。	“標簽鍵”：test “標簽值”：01
   描述	您可以根據需要在文本框中輸入對該路由表的描述信息。	-

6. 配置路由表er-RT2：設置關聯和傳播功能。

   1. 選擇路由表er-RT2，單擊“關聯”頁簽，單擊“創建關聯”。參數詳情見下表。

      參數名稱	參數說明	取值樣例
      連接類型	選擇連接類型“云防火墻（CFW）”。	云防火墻（CFW）
      關聯	在連接下拉列表中，選擇防火墻VPC的連接。	cfw-er-auto

   2. 創建同一路由表(er-RT2)的傳播功能。單擊“傳播”頁簽，單擊“創建傳播”。參數詳情見下表。

      創建傳播參數說明1：

      參數名稱	參數說明	取值樣例
      連接類型	選擇連接類型“虛擬私有云（VPC）”。	虛擬私有云（VPC）
      連接	在傳播下拉列表中，選擇需防護的VPC連接。	vpc-1

      創建傳播參數說明2：

      參數名稱	參數說明	取值樣例
      連接類型	選擇連接類型“虛擬私有云（VPC）”。	虛擬私有云（VPC）
      連接	在傳播下拉列表中，選擇需防護的VPC連接。	vpc-2

      說明

      • 傳播至少需要添加兩條，每增加一個防護的VPC，都需增加一條傳播。

        例如：選擇VPC1的連接vpc-1以及VPC2的連接vpc-2，需防護VPC3時，增加一條傳播，選擇連接vpc-3。

      • 創建傳播后，會自動將連接的路由信息學習到ER路由表中，生成“傳播路由”。同一個路由表中，不同傳播路由的目的地址可能相同，連接配置不支持修改和刪除。

      • 您也可以手動在路由表中配置連接的靜態路由，同一個路由表中，靜態路由的目的地址不允許重復，連接配置支持修改和刪除。

      • 如果路由表中存在多條路由目的地址相同，則優先級：靜態路由> 傳播路由。

7. 配置默認路由表er-RT1：

   1. 添加靜態路由。選擇路由表er-RT1，單擊“路由”頁簽，單擊“創建路由”，填寫信息如下：

      • 目的地址：0.0.0.0/0

      • 連接類型：“云防火墻（CFW）”

      • 下一跳：選擇防火墻VPC的連接（cfw-er-auto）

   2. 刪除路由表er-RT1中的傳播。

      單擊“傳播”頁簽，在“操作”列中，單擊“刪除”，在刪除確認框中，單擊“是”。

      說明

      需刪除路由表er-RT1中所有傳播。

8. （可選）建議您將當前企業路由器的傳播路由表改為新創建的路由表（er-RT2），后續添加新VPC時，僅需添加連接，無需進行其它操作。

   返回或進入“企業路由器”，單擊“更多> 修改配置”，選擇傳播路由表為er-RT2。

   說明

   如需防護其它賬號（如賬號B）下的VPC，請將當前賬號A的企業路由器共享至賬號B，共享步驟請參見《企業路由器用戶指南 > 創建共享》，共享成功后在賬號B中添加連接即可完成配置。

后續操作

配置后開啟VPC邊界防護，請參見“開啟/關閉VPC邊界防火墻并確認流量經過云防火墻”。