云防火墙通过防护NAT网关所在的VPC，实现对NAT网关流量的防护，并支持对私网IP进行细粒度访问控制，防止内网主机非法外联。

支持防护SNAT和DNAT两种场景。

SNAT组网图

DNAT组网图

约束条件

• 仅“专业版”支持NAT网关流量防护。

• 依赖企业路由器（Enterprise Router, ER）服务引流。

• 云防火墙当前默认支持标准私网网段。

• 如要实现DNAT网关向CFW集群东西向引流并配置DNAT规则，需提工单联系服务运维人员支撑防火墙升级，避免因旧版本不支持DNAT可能引起的流量受损风险。

开启NAT网关流量防护

需完成创建防火墙，具体配置请参见“创建VPC边界防火墙”。

步骤一：将VPC1和VPC-NAT接入企业路由器中

1. 添加VPC连接。

   操作步骤请参见《企业路由器用户指南> 在企业路由器中添加VPC连接》。

   说明

   连接需要添加两条，“连接资源”分别选择VPC1和VPC-NAT。

2. 创建两个路由表。

   1. 在左侧导航栏中，单击左上方的，选择“网络> 企业路由器”，单击“管理路由表”，进入“路由表”页面。

   2. 创建两个路由表，作为关联路由表和传播路由表分别用于连接需防护的VPC和连接防火墙。

      单击“路由表”页签，进入路由表设置页面，单击“创建路由表”，参数详情见下表。

      参数名称	参数说明
      名称	输入路由表的名称。 命名规则如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。
      描述	您可以根据需要在文本框中输入对该路由表的描述信息。
      标签	您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。

3. 设置关联路由表。

   1. 设置关联功能，添加VPC1和VPC-NAT的连接：在路由表设置页面，选择关联路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。

      参数名称	参数说明
      连接类型	选择连接类型“虚拟私有云（VPC）”。
      连接	在连接下拉列表中，选择VPC连接。

      说明

      关联需要增加两条，“连接”分别选择VPC1和VPC-NAT的连接。

   2. 添加静态路由，指向防火墙：单击“路由”页签，单击“创建路由”，参数详情见下表。

      参数名称	参数说明
      目的地址	设置目的地址。 0.0.0.0/0：VPC的所有流量都会经过云防火墙防护 网段：该网段的流量会经过云防火墙防护
      黑洞路由	建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。
      连接类型	选择连接类型“虚拟私有云（VPC）”。
      下一跳	在下拉列表中，选择自动生成的防火墙连接（cfw-er-auto-attach）。
      描述	（可选）路由的描述信息。

4. 设置传播路由表。

   1. 设置传播功能，添加VPC1的传播：在路由表设置页面，选择传播路由表，单击“传播”页签，单击“创建传播”，参数详情见下表。

      参数名称	参数说明
      连接类型	选择连接类型“虚拟私有云（VPC）”。
      连接	在传播下拉列表中，选择VPC1的连接。

   2. 添加静态路由，指向VPC-NAT：单击“路由”页签，单击“创建路由”，参数详情见下表。

      参数名称	参数说明
      目的地址	设置目的地址，设置为：0.0.0.0/0。
      黑洞路由	建议保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。
      连接类型	选择连接类型“虚拟私有云（VPC）”。
      下一跳	在下拉列表中，选择VPC-NAT的连接。

步骤二：配置NAT网关

1. 配置SNAT规则。

   1. 返回至企业路由器界面，在左侧导航栏中，选择“网络> NAT网关”，进入“公网NAT网关”页面。

   2. 单击公网NAT网关的名称，进入“基本信息”页面，切换至“SNAT规则”页签。

   3. 单击“添加SNAT规则”，参数详情如下表所示。

      参数名称	参数说明
      使用场景	SNAT规则使用的场景，选择“虚拟私有云”。
      网段	选择“自定义”子网，使云服务器通过SNAT方式访问公网。 自定义：自定义一个网段或者填写某个VPC的地址。 说明 支持配置0.0.0.0/0的地址段，在多段地址配置时更方便。 可以配置32位主机地址，NAT网关只针对此地址起作用。
      弹性公网IP	用来提供互联网访问的公网IP。 这里只能选择没有被绑定的弹性公网IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性公网IP，或者被绑定到当前公网NAT网关中SNAT规则上的弹性公网IP。 可选择多条EIP添加在SNAT规则中。一条SNAT规则最多添加20个EIP。SNAT规则使用多个EIP时，业务运行时会随机选取其中的一个。
      监控	为SNAT连接数设置告警。 可通过设置告警及时了解SNAT连接数运行状况，从而起到预警作用。
      描述	SNAT规则信息描述。最大支持255个字符。

2. 配置是VPC-NAT的路由表。

   1. 在左侧导航栏中，选择“网络>  虚拟私有云 > 路由表”，进入“路由表”页面。

   2. 在“名称”列，单击NAT网关对应VPC的路由表名称，进入路由表“基本信息”页面。

   3. 单击“添加路由”，参数详情见下表。

      参数	说明
      目的地址类型	选择“IP地址”。
      目的地址	目的地址网段，填写VPC1的IP地址。 说明 不能与已有路由和VPC下子网网段冲突。
      下一跳类型	在下拉列表中，选择类型“企业路由器”。
      下一跳	选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。
      描述	路由的描述信息，非必填项。 说明 描述信息内容不能超过255个字符，且不能包含“<”和“>”。

步骤三：配置VPC1路由表

1. 在“路由表”页面的“名称”列，单击VPC1的路由表名称，进入路由表“基本信息”页面。

2. 单击“添加路由”，参数详情见下表。

   参数	说明
   目的地址类型	选择“IP地址”。
   目的地址	目的地址网段，设置为：0.0.0.0/0。
   下一跳类型	在下拉列表中，选择类型“企业路由器”。
   下一跳	选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。
   描述	路由的描述信息，非必填项。 说明 描述信息内容不能超过255个字符，且不能包含“<”和“>”。

步骤四：开启VPC边界防火墙

1. 在左侧导航栏中，选择“资产管理 > VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。

2. 在“防火墙状态”侧，单击“开启防护”。

3. 单击“确认”，完成开启VPC边界防火墙。

后续操作

• 实现私网IP的细粒度防护：配置NAT防护规则，配置方式请参见“NAT流量防护规则”。

• 实现网络攻击拦截：配置入侵防御功能，请参见“拦截网络攻击”。