文档中心

6 实例开通指南

6.1 服务规格

目前，CNFW支持2种防火墙类型（互联网边界防火墙、VPC边界防火墙），每种防火墙类型支持2种服务规格（企业版、旗舰版）。

具体套餐规格说明如下（表中价格为参考价格，实际费用请以购买页显示为准）。

表6-1互联网边界防火墙规格

表6-2VPC边界防火墙规格

6.2 开通前准备工作

6.2.1 互联网边界防火墙

1.创建租户、部门和资源集

在开通 CNFW 实例前，请确保运营管理员在运营中心的“组织”菜单下已创建好租户、部门/子部门、资源集。

在创建租户、部门/子部门、资源集时，应使用简单直白、具有明确意义的名称，便于用户快速获取配置信息。

具体操作参见《运营中心用户指南》，本文不做赘述。

2.开通弹性公网 IP

如果您想要防护弹性公网 EIP，请确保已开通弹性公网 IP。

CNFW 提供互联网边界防火墙开关功能，支持对弹性公网 IP进行防护。如果不开通弹性公网IP，则 CNFW无法在互联网边界防火墙开关页面自动探测到您所持有的公网 IP 以及关联的云上资产，也无法配置对应的防火墙开关。

开通弹性公网 IP具体操作参见运营中心的《弹性公网 IP用户指南》，本文不做赘述。

3.开通专有网络 VPC

CNFW 提供互联网边界防火墙开关功能，目前暂时支持对直通型子网进行防护。您需要事先开通VPC，并配置好业务网段，在开通 CNFW 实例时需设置业务子网部署位置、管理子网部署位置。

如果您想要防护弹性公网 EIP，在开通VPC时，参数配置根据实际情况填写；如果您想要防护直通型子网，在开通VPC时，子网类型选择“直通型”，其他参数配置根据实际情况填写。

开通专有网络 VPC具体操作参见运营中心的《专有网络 VPC用户指南》，本文不做赘述。

4.开通云服务器 ECS并绑定 EIP

如果您想要防护ESC的EIP，请确保已开通云服务器 ECS并绑定 EIP。

CNFW 提供的互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，部署在互联网和用户主机之间，所以你需要开通ECS 实例；对于开启了互联网边界防火墙的公网IP资产，流量经过边界防火墙检测和过滤后，最终到达ECS实例。

开通云服务器 ECS 并绑定 EIP具体操作参见运营中心的《云服务器 ECS 用户指南》，本文不做赘述。

5.开通负载均衡 SLB并绑定 EIP

如果您想要防护SLB的EIP，请确保已开通负载均衡 SLB并绑定 EIP。

CNFW 支持对 SLB EIP提供的互联网边界防火墙防护功能，所以你需要开通 SLB 并绑定 EIP。

开通负载均衡 SLB并绑定 EIP具体操作参见运营中心的《负载均衡 SLB 用户指南》，本文不做赘述。

6.2.2 VPC边界防火墙

1.创建租户、部门和资源集

在开通 CNFW 实例前，请确保运营管理员在运营中心的“组织”菜单下已创建好租户、部门/子部门、资源集。

在创建租户、部门/子部门、资源集时，应使用简单直白、具有明确意义的名称，便于用户快速获取配置信息。

具体操作参见《运营中心用户指南》，本文不做赘述。

2.开通专有网络 VPC

开通VPC边界防火墙时，需要选择VPC边界防火墙所属的VPC来确定部署位置，所以您需要事先开通VPC，并配置好业务网段。

开通专有网络 VPC具体操作参见运营中心的《专有网络 VPC用户指南》，本文不做赘述。

3.开通边界网关 BGW

在开通VPC边界防火墙时，需选择BGW实例，所以您需要事先开通BGW实例。

6.3 开通 CNFW

简介

首次使用CNFW时，您必须开通CNFW实例，才可正常使用服务的功能。

前提条件

完成开通前准备工作。

限制与指导

如果运维中心没有导入相关的授权文件，产品有180天的试用期。

不同实例规格下允许开通的实例个数不能超过授权文件允许的授权数。如：在运维中心导入的企业版授权数为2个，您最多只允许开通2个企业版的CNFW实例。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“实例列表”，进入“实例列表”页面。

(2)单击右上角的“开通”，进入CNFW实例开通页面。

(3)根据下表说明配置参数。

表6-3互联网边界防火墙-开通配置参数

表6-4VPC边界防火墙-开通配置参数

(4)确认要购买的 CNFW 的配置信息无误后，单击“下一步”，进入确认配置页面。

(5)确认配置信息无误后，单击“下一步”。

系统自动返回至“实例列表”页面，新建的实例显示为“开通中”，等待片刻后，实例状态显示为“运行中”表示创建成功。

操作结果

CNFW 实例开通成功后，您可在“实例列表”页面查看到新开通的 CNFW 实例信息，包括实例名称 / ID、服务版本、计费模式、实例状态等。

后续操作

CNFW实例开通成功后，请配置防火墙开关，参见配置互联网边界防火墙开关、配置VPC边界防火墙开关。

6.4 续订 CNFW

简介

若 CNFW实例即将到期，您可通过续订延长 CNFW的使用期限。

限制与指导

仅包年包月模式下支持续订操作。

仅未到期的资源支持续订；资源到期后自动退订，无法续订。

对于未过期的资源，续订操作成功后会在当前周期结束后生效。

前提条件

已开通 CNFW 实例。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“实例列表”，进入“实例列表”页面。

(2)单击实例操作列的“续订”进入产品续订页面。

(3)确认产品实例信息，选择续订时长后，单击“确定续订”即可。

6.5 扩容 CNFW

简介

若当前版本的性能或互联网/直通型子网带宽、可防护的弹性公网 IP 数量、VPC流量处理带宽等无法满足您的业务需求，可通过扩容将 CNFW 升级到旗舰版型，或增加互联网/直通型子网带宽、可防护的弹性公网 IP 数量、VPC流量处理带宽。

限制与指导

不支持降配操作（如，从旗舰版降为企业版）。

扩容过程中，请勿对安全产品进行配置修改。

扩容不影响安全产品现有配置。

不同实例规格下允许使用的实例个数不能超过授权文件允许的授权数。如：在运维中心导入的企业版授权数为2个，在扩容后最多只允许有2个企业版的CNFW实例。

前提条件

已开通 CNFW 实例。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“实例列表”，进入“实例列表”页面。

(2)找到要扩容的 CNFW 实例，单击操作列的“扩容”，进入 CNFW 扩容页面。

(3)根据需要，选择扩容后的 CNFW 版本、互联网/直通型子网带宽、可防护的弹性公网 IP 数量，单击“下一步”。

(4)确认配置信息无误后，单击“下一步”。

扩容成功后，系统自动返回至“实例列表”页面，实例显示为“运行中”。

6.6 退订CNFW

简介

当您不再使用 CNFW 时，可直接退订 CNFW 资源。

限制与指导

仅包年包月模式支持退订操作。

退订 CNFW 后，将不会对该 CNFW 收取费用。

退订成功后，授权会归还，即用户可继续开通或扩容实例。

已开启防护配置的实例，需要先解除防护才可退订（即在“防火墙开关”页面关闭防火墙开关）。

前提条件

已开通 CNFW 实例。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“实例列表”，进入“实例列表”页面。

(2)找到要退订的 CNFW 实例，单击操作列的“退订”，进入产品退订页面。

确认要退订的实例、退款金额等信息，单击“确定退订”，即可完成退订。

6.7 删除 CNFW

简介

当您不再使用 CNFW时，可直接删除 CNFW实例。

限制与指导

仅按需模式或开通失败的实例支持删除操作。

删除 CNFW 后，资源会被删除并无法找回数据，请谨慎操作。

删除成功后，授权会归还，即用户可继续开通或扩容实例。

已开启防护配置的实例，需要先解除防护才可删除（即在“防火墙开关”页面关闭防火墙开关）。

前提条件

已开通 CNFW 实例。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“实例列表”，进入“实例列表”页面。

(2)选择要释放的 CNFW 实例，单击操作列的“删除”，弹出释放确认框。

(3)单击“确定”，删除成功。