阿里云CEN+云防火墙，轻松实现东西南北流量集中检测

产品介绍

云企业网CEN（Cloud Enterprise Network）是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR（Transit Router）将不同账号VPC加载到CEN中实现云上网络互联。

阿里云云防火墙是一款云平台SaaS（Software as a Service）化的防火墙，可针对您云上网络资产的互联网边界（南北向）、VPC边界（东西向）及主机边界实现三位一体的统一安全隔离管控，是您业务上云的第一道网络防线。

本文介绍通过阿里云CEN以及云防火墙来构建一个安全VPC，实现集中式的流量检测功能，包括南北流量检测、东西流量检测。

先搞懂两个基础概念：

简单说就是 “内外交互” 的流量，比如用户从互联网访问你的云服务器，或者你的服务器调用外部API，这种跨 “边界” 的通信都算。

指的是云环境内部的 “横向通信”，比如A VPC里的服务器访问B VPC的数据库，属于内部资源之间的交互。

架构设计介绍

本文架构为跨账号多VPC组网架构：

阿里云CEN+TR+Cloud Firewall。

南北向网络设计

对外业务流量入站顺序如下：

例如客户业务账号1对外发布域名为：https://oa.example.com

1.客户端访问https://oa.example.com，域名解析CNAME到WAF上；

2.WAF将清洗对应流量，若无威胁则转发到云防火墙；

3.云防火墙通过互联网入站规则以及自身IPS 检测流量若无威胁则将根据流量转发到对应业务ALB当中；

4.ALB将对应流量转发对应对ECS中。

若ECS服务器需要使用公网调用第三方API，那么业务出站流量顺序如下：

若ECS需要访问

https://map.example.com/api/

1.流量会根据VPC路由表中0.0.0.0/0默认路由将流量转发到CEN的TRL-1中；

2.通过CEN中Egress路由表中0.0.0.0/0默认路由将流量转发到云防火墙当中；

3.在Cloud-Firewall-PRD-VPC中，TR-SWitch交换机使用路由表中的默认路由将流量发送到cloud firewall vfw-ENI（云防火墙实例网卡）；

4.云防火墙根据配置的VPC边界防火墙策略决定是否允许该流量，若允许则根据自身路由表转发报文至TRL-3；

5.由于Cloud-Firewall-PRD-VPC与FW Route Table路由表关联，因此CEN根据FW Route Table，将报文转发到DMZ-VPC；

6.在DMZ-VPC中TR-SWitch交换机使用路由表中的默认路由将流量发送到NAT中；

7.NAT根据SNAT规则将业务映射到对应的EIP；

8.NAT的EIP需要根据互联网边界防火墙出向规则是否放行出站。

东西向网络设计

1.根据VPC-1路由表，通过默认路由（0.0.0.0/0）将报文转发到TRL-1。

2.由于VPC-1与Egress Route Table出口路由表关联，CEN使用出口路由表中的10.0.2.0/24路由将报文发送到 Cloud-Firewall-PRD-VPC。

3.在Cloud-Firewall-PRD-VPC中，TR-SWitch交换机使用路由表中的默认路由将流量发送到cloud firewall vfw-ENI（云防火墙实例网卡）。

4.云防火墙根据配置的 VPC 边界防火墙策略决定是否允许该流量，若允许则根据自身路由表转发报文至 TRL-3。

5.由于Cloud-Firewall-PRD-VPC与FW Route Table 路由表关联，因此CEN根据FW Route Table，将目的地址为10.0.2.2的报文转发到 VPC-2。最后，流量到达VPC-2，数据包的目的地在VPC CIDR 范围内，本地路由会将流量转到IP 10.0.2.2的应用程序实例。

6.根据VPC-2路由表，通过默认路由（0.0.0.0/0）将报文转发到TRL-2。

7.由于VPC-2与Egress Route Table出口路由表关联，CEN使用出口路由表中的10.0.1.0/24路由将报文发送到Cloud-Firewall-PRD-VPC。

8.在Cloud-Firewall-PRD-VPC 中，TR-SWitch 交换机使用路由表中的默认路由将流量发送到 cloud firewall vfw-ENI（云防火墙实例网卡）。

9.云防火墙根据配置的 VPC 边界防火墙策略决定是否允许该流量，若允许则根据自身路由表转发报文至 TRL-3。

10.由于Cloud-Firewall-PRD-VPC与FW Route Table 路由表关联，因此CEN根据FW Route Table，将目的地址为10.0.1.1的报文转发到 VPC-1。最后，流量到达VPC-1，数据包的目的地在VPC CIDR范围内，本地路由会将流量转到 IP 10.0.1.1的应用程序实例。

对企业来说，最大的好处是实现了 “流量全可见、管控全闭环”：

🌟不管是外部进来的、内部出去的，还是VPC 之间流转的，所有流量都要经过云防火墙的检测，符合规则才能通行；

🌟结合CEN的统一网络架构，不用在每个 VPC单独部署安全设备，既简化了架构，又能集中配置策略，运维效率高很多；

🌟特别适合多账号、多VPC的复杂环境，比如集团型企业，既能保证资源互联的灵活性，又能守住安全边界，满足等保之类的合规要求。

实际落地时，建议先梳理清楚业务的流量路径，再结合自身安全需求配置防火墙规则，比如哪些外部IP可以访问核心服务、哪些VPC之间需要隔离等。这套方案的扩展性也不错，后续加新的VPC或业务，只需在CEN和防火墙里做相应配置，不用大改架构。

飞络云服务

全栈护航,智启上云新境

作为阿里云创始合作伙伴，飞络深耕云服务领域，凭借持有ACE、ACP及PSA认证的专业云服务团队，围绕计算、架构与安全维度，以网络模块为Landing Zone核心，从前期调研到全生命周期架构规划，通过7大关键维度，为客户定制高效且安全的上云策略，构建新一代云运营管理体系。

7*24云MSP服务：全时守护云生态

飞络提供新一代的云运营管理：云MSP服务和云安全服务。

🌟提供7*24云MSP服务

• 云故障处理

• 云资源优化

• 云账单管理

• 云监控服务

🌟提供7*24安全运营服务

• 定期漏扫服务

• 定期渗透服务

• 钓鱼邮件服务

• 安全信息分享

• 安全月报服务

从云运营全流程管理到安全防护纵深构建，飞络以阿里云生态为依托，用专业认证团队、定制化服务方案，为企业上云之路筑牢基石、加速赋能，助力客户实现云价值最大化！