1.前提条件

根据防护的场景，在正常使用CNFW前的准备工作有所不同。具体说明可参见开通前准备工作。

2.操作流程

(1)开通互联网边界防火墙实例。参见开通 CNFW。

(2)配置互联网边界防火墙并开启防护。

CNFW 提供互联网边界防火墙开关功能，支持对弹性公网 IP、直通型子网进行防护。对于未开启互联网边界防火墙的公网IP资产，流量不会经过互联网边界防火墙，直接到达ECS实例；对于开启了互联网边界防火墙的公网IP资产，流量经过边界防火墙检测和过滤后，最终到达ECS实例。

开启弹性公网 EIP防火墙开关，参见设置弹性公网 IP 防火墙。

开启直通型子网防火墙开关，参见创建直通型子网防火墙。

(3)配置互联网边界防火墙访问策略。

如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略和入侵检测策略，CNFW 仅对流量进行检测和告警，无法实行拦截。您还需要对出站、入站流量配置合适的访问控制策略，具体参见新建互联网边界访问策略。

(4)配置入侵检测策略。

如果仅开启互联网边界防火墙开关、未配置云防火墙的访问控制策略和入侵检测策略，CNFW 仅对流量进行检测和告警，无法实行拦截。所以您需要开启入侵检测与防御功能，配置防护模式，如果不使用内置的规则，您还可自定义威胁情报-白名单规则，具体参见配置入侵检测策略。

(5)查看告警中心、处理告警。

对于命中防护规则的流量，CNFW 根据规则策略执行放行、阻断、观察等操作，并产生相应的告警事件，您可以在告警中心页面查看告警记录、告警详情并处理告警事件。

(6)查看日志分析。

“日志分析”一般在事后分析的场景中使用。

CNFW 支持对访问控制日志记录、弹性公网 IP 流量日志记录等进行统计分析，您可以在日志分析页面查看相应的原始日志记录、日志发展趋势、原始日志详情、聚合统计分析，还可以导出日志记录。

(7)查看威胁概览。

“威胁概览”功能通常在安全敏感场景做实时监控的时候配合告警中心使用，可查看基于当前账号、防火墙的整体防护能力、统计分析信息，如资产保护状态、威胁状态、流量趋势、Top 10 风险资产与威胁等，帮助您了解网络资产的安全状况以及云资产的互联网边界流量趋势分析趋势分析。

具体说明可参见威胁概览。

1.使用限制

由于当前BGW路由表只支持目的IP，在使用VPC边界防火墙防护功能时，请注意以下事项：

在开启VPC边界防火墙开关后，请为每个防护VPC、虚拟接口单独创建相应的路由表。

创建BGW实例时，系统自动创建一个默认路由表。如果希望对多个VPC进行防护，请勿将所有防护的VPC、虚拟接口都配到默认路由表下，而应该为每个VPC、虚拟接口单独创建一个路由表。

例如：ECS 1实例在VPC 1中，ECS 2实例在VPC 2中，VPC边界防火墙实例部署在VPC 3。此时，您需要在BGW实例对应的BGW路由表中创建3个路由表，分别为VPC 1、VPC 2、VPC 3添加一条路由，而不是将VPC 1、VPC 2、VPC 3都添加到默认路由表中。

有访问诉求的VPC或专线内的两个子网，要么同时开启VPC边界防火墙防护，要么都不开启；只对其中一个子网开启防护，会造成来去路由不一致，影响另一子网业务。

例如：VPC A中有2个子网（子网1、子网2）、VPC B中有2个子网（子网3、子网4），如果在VCP边界防火墙开关中只配置一条防护网段，配置如下：

源VPC：VPC A的子网1

对端VPC/虚拟端口：VPC B 的子网3

在开启防护后，子网1到子网3的来去流量都被防火墙防护；但同时子网2到子网3的流量也被防火墙防护了，子网3到子网2的流量没有被防护，就会造成去路由不一致，子网2业务被影响。所以，应该对子网1、子网2都开启防火墙防护。

2.前提条件

(1)创建租户、部门和资源集。

(2)开通专有网络 VPC。

(3)开通边界网关 BGW。

3.操作流程

(1)开通VPC边界防火墙实例。参见开通 CNFW。

(2)配置VPC边界防火墙并开启防护。配置操作参见配置VPC边界防火墙开关。

VPC边界防火墙支持对VPC与VPC间、VPC和专线间的流量进行检测、拦截，支持用户配置指定源/目的的VPC+子网级别的防护。

(3)配置VPC边界防火墙访问策略。

开启VPC边界防火墙网关后，流量防护还需配置VPC边界防护规则，请参见新建VPC边界访问策略。

(4)配置入侵检测策略。

如果仅开启VPC边界防火墙开关、未配置云防火墙的访问控制策略和入侵检测策略，CNFW 仅对流量进行检测和告警，无法实行拦截。所以您需要开启入侵检测与防御功能，配置防护模式，如果不使用内置的规则，您还可自定义威胁情报-白名单规则，具体参见配置入侵检测策略。

(5)查看告警中心、处理告警。

对于命中防护规则的流量，CNFW 根据规则策略执行放行、阻断、观察等操作，并产生相应的告警事件，您可以在告警中心页面查看告警记录、告警详情并处理告警事件。

(6)查看日志分析

“日志分析”一般在事后分析的场景中使用。

CNFW 支持对访问控制日志记录、VPC流量间日志记录等进行统计分析，您可以在日志分析页面查看相应的原始日志记录、日志发展趋势、原始日志详情、聚合统计分析，还可以导出日志记录。

(7)查看威胁概览

“威胁概览”功能通常在安全敏感场景做实时监控的时候配合告警中心使用，可查看基于当前账号、防火墙实例的整体防护能力、统计分析信息，如资产保护状态、威胁状态、流量趋势、Top 10 风险资产与威胁等，帮助您了解网络资产的安全状况以及云资产的互联网边界流量趋势分析趋势分析。

具体说明可参见威胁概览。