本节介绍如何部署AF实现单VPC与跨VPC云服务器ECS防护。
当前华为云拥有VPC1(192)和VPC2(172),子网中分别有一台Linux服务器(网站服务器/数据库服务器),且拥有一个EIP对外提供网站服务
网站服务器1:192.168.0.20/24(EIP:1.92.121.37)
内网服务器2:172.16.0.10/24
部署AF云防火墙防护VPC1以及VPC2的两台服务器,实现发布业务以及代理上网防护,且不改变业务访问方式(依旧使用EIP:1.92.121.37访问网站)
将AF安装部署在VPC1中(本次选择与网站服务器192.168.0.20同一个子网网段)
将网站服务器EIP解绑,绑定AF(登录AF并完成授权)
PS:本次示例环境为节省成本未单独购买EIP,直接使用网站服务器EIP,真实客户环境可先为AF防火墙购买临时EIP,将AF完成业务配置后再切换将服务器EIP绑定给AF(以减少业务中断时间)
使用EIP登录云防火墙AF,登录前请检查安全组是否放通443控制台端口
AF:192.168.0.7(EIP:1.92.121.37)
①、配置防火墙代理上网-SNAT
【策略】-【地址转换】-【IPV4地址转换】-新增[源地址转换]
注意:源地址不要选择全部,请选择具体的私网网段/私网地址
②、配置业务发布网站-DNAT
【策略】-【地址转换】-【IPV4地址转换】-新增[目的地址转换]
③、配置应用控制策略-ACL
【策略】-【访问控制】-【应用控制策略】-新增放通ACL
①、配置引流路由
华为云控制台-【虚拟私有云VPC】-【路由表】
点击VPC1-192的默认路由表(AF所在VPC)添加路由 0.0.0.0/0 -->服务器实例-AF
作用:将VPC1-192的所有子网中的服务器ECS上网流量引流至AF(注意:该路由只作用没有EIP的服务器)
②、配置对等连接
华为云控制台-【虚拟私有云VPC】-【对等连接】
创建对等连接-将VPC1-192与VPC2-172网络打通
③、配置对等连接路由
点击VPC2-172的默认路由表 添加路由 0.0.0.0/0 -->对等连接-192-172
点击VPC1-192的默认路由表(AF所在VPC)添加路由 172.16.0.0/16 -->对等连接-192-172
作用:
将VPC2-172内的服务器上网流量引流至AF所在VPC(通过AF代理上网)
将VPC1-VPC2回包路由打通
④、关闭AF-网卡源目检查开关
①、业务网站服务器:192.168.0.20访问
本次使用业务网站ssh端口测试,使用EIP:1.92.121.37的22端口访问业务网站
②、数据库服务器:172.16.0.10访问
本次使用业务网站ssh端口测试,使用EIP:1.92.121.37的2222端口访问
①、VPC2-172内服务器上网流量解析
②、VPC1-192内服务器上网流量解析
数据包分析:
ECS上网访问百度流量:
转换成AF接口地址192.168.0.7(绑定EIP)发出
③、业务访问流量解析
数据包分析:
访问EIP 22端口
访问EIP 2222端口
建议使用Chrome浏览器访问!
