产品功能
NAT 边界防火墙开关支持基于内网资产进行流量管控与安全防护,同时支持基于 SNAT、DNAT 进行的网络流量转发。
NAT云防火墙使用场景
| 工作模式 | 前置条件 | 应用场景 |
| 新增模式 | 租户下有可访问公网的EIP | 若当前地域没有NAT网关,新增模式可以通过NAT边界防火墙内置的NAT功能,实现指定实例通过防火墙访问互联网 |
| 接入模式 | 租户下的VPC本身可以通过NAT网关出网 | 若当前地域已有NAT网关,或者希望公网对外的出口IP保持不变,接入模式可以将NAT边界防火墙平滑接入到NAT网关与CVM实例之间 |
NAT墙引流原理
例如租户的vpc1,vpc2 接入云防火墙,首先要实现流量牵引,这里采用了跨租户的弹性网卡来实现引流,主要实现如下:
- NAT防火墙引擎为保留账号的overlay子机。
- 接入NAT防火墙的每个vpc,会从该VPC下分配一个防火墙子网,并创建一个跨租户的弹性网卡到FW,该网卡为vpc的引流网卡,并从引流子网下分配高可用虚拟ip,满足高可用特性。
- 切换下一跳路由到引流网卡的高可用虚拟ip,流量将牵引到防火墙。
- 从其中一个vpc中分配跨租户的出网口,如左图ENIWan网口,所有VPC流量将通过ENIWan口访问外网,ENIWan需要分配独立的高可用虚拟ip保证高可用特性,高可用虚拟ip绑定EIP实现公网访问。
说明:
接入VPC的流量通过VPC子网路由,根据子网越大优先级越高选路引流到NATFW后,内部进行NAT转发访问外网,新增模式是ENIwan口跟弹性公网EIP绑定,接入模式ENIwan口跟NAT网关绑定。