更新时间:2024-09-20
简介
本节介绍如何部署AF单/多网卡路由模式实现VPC内多个云服务器多个公网IP集中绑定至云防火墙防护场景
环境介绍
当前华为云拥有VPC1(172),子网中有两台业务服务器,均拥有一个EIP(公网IP)对外提供服务
业务服务器1: 172.19.1.130/24(EIP:114.116.246.128)
业务服务器2: 172.19.1.131/24(EIP:1.92.153.22)
实现效果
路由模式部署AF云防火墙(单网卡/多网卡)防护VPC内两台业务服务器,实现发布业务以及代理上网防护,且不改变业务原访问方式
(业务服务器1依旧使用EIP:114.116.246.128访问并使用该上网)
(业务服务器2依旧使用EIP:1.92.153.22访问并使用该IP上网)
操作步骤-单网卡
①、将AF安装部署在VPC中与业务服务器同网段子网(172.19.1.0/24)
本次演示未单独为云防火墙分配公网IP,将直接使用业务服务器公网IP进行登录初始化配置
②、关闭云防火墙ECS网卡源目检查功能
③、放通安全组
放通云防火墙ECS安全组控制台端口(443默认)、业务服务器对外端口(22、80等[提前收集业务对外端口])
注意:
可将云防火墙安全组与业务服务器安全组加入同一个安全组可无需重复放通业务端口
如使用CSC云安全中心授权防火墙还需放通7443端口----云安全中心csc授权
二、平台配置-虚拟IP
①、进入云防火墙网卡所在子网配置界面,申请虚拟IP,并将虚拟IP绑定至云防火墙
PS:虚拟IP也是子网内私网IP,由于此环境AF未单独分配公网IP,AF云防火墙的网卡172.19.1.132未绑定公网IP,故而只申请一个虚拟IP
实际情况请根据公网IP数量申请虚拟IP个数(每个虚拟IP对应一个公网IP)
实现效果:
业务服务器1公网IP绑定至云防火墙接口IP--172.19.1.132--映射业务服务器172.19.1.130
业务服务器2公网IP绑定至云防火墙虚拟IP--172.19.1.126--映射业务服务器172.19.1.131
三、平台配置-切换公网IP
注意:解绑服务器公网IP将影响业务访问,实际交付环境请沟通时间
①、将业务服务器1的公网IP解绑,绑定至云防火墙网卡IP-172.19.1.132
③、将业务服务器2公网IP解绑,绑定至虚拟IP
四、登录配置AF
①、使用公网IP登录AF云防火墙控制台,http://114.116.246.128,默认账号admin/admin
AF:eth0:172.19.1.132(EIP:114.116.246.128)
AF:eth1:172.19.1.126(EIP:1.92.153.22)
手动添加默认路由指向华为云子网网关(0.0.0.0/0--172.19.1.1)天将AF接口修改为静态IP,并将虚拟IP配置到AF云防火墙接口
注意:添加路由原因为:vAF默认eth0为DHCP获取路由,改为静态后路由丢失会导致无法登录控制台,需要提前添加
PS:平台子网网关为子网第一个可用IP,可以前往子网页面查看
修改接口配置:
②、配置防火墙代理上网-SNAT
【策略】-【地址转换】-【IPV4地址转换】-新增[源地址转换]
③、配置业务发布-DNAT
【策略】-【地址转换】-【IPV4地址转换】-新增[目的地址转换]
业务配置完成
④配置应用控制策略放通-ACL
【策略】-【访问控制】-【应用控制策略】-新增[应用控制策略]
五、平台配置-引流
华为云控制台-【虚拟私有云VPC】-【路由表】
点击VPC【云防火墙/业务系统所在VPC】默认路由表,添加路由0.0.0.0/0-->云服务器实例(AF云防火墙)
作用:将VPC内业务服务器1/2上网流量引流至AF
六、业务验证
①、业务服务器1访问
依旧使用原服务器1公网IP:114.116.246.128访问(使用SSH模拟业务访问)
业务服务器1依旧使用原公网IP上网
②、业务服务器2访问
依旧使用原服务器2公网IP:1.92.153.22访问(使用远程桌面端口模拟业务访问)
依旧使用原公网IP上网
七、流量走向分析
①、服务器业务访问流量走向
数据包分析:
服务器1:
服务器2:
②、服务器上网流量走向解析
数据包分析:
服务器1上网:
服务器2上网:
操作步骤-多网卡
多网卡场景不再演示,结合02多网卡部署场景--多网卡部署,将虚拟IP申请绑定至AF 云防火墙 WAN口子网