云服务器ECS（Elastic Compute Service）拥有了公网IP（例如固定公网IP或者EIP），可以直接访问公网，不受VPC路由表控制。为了降低ECS直接访问公网可能带来的安全管控风险，您可以使用IPv4网关及子网路由能力，对VPC中访问公网的行为进行约束，根据需求使得子网具备访问公网的能力或者不具备访问公网的能力。如上图场景所示，具体配置流程如下：

在VPC中创建IPv4网关。具体操作，请参见创建IPv4网关并关联VPC。

在交换机1中创建公网NAT网关，并为交换机1创建自定义路由表（子网路由表-1），该路由表的默认路由条目（0.0.0.0/0）指向IPv4网关。

为交换机2和交换机3创建自定义路由表（子网路由表-2），该路由表的默认路由条目（0.0.0.0/0）指向公网NAT网关。

激活IPv4网关，使IPv4网关生效。

激活IPv4网关后，VPC路由表中未配置指向IPv4网关的路由条目，则与该路由表关联的子网不具备访问公网能力，被称为私网子网；VPC路由表中配置指向IPv4网关的路由条目，与该路由表关联子网具备访问公网的能力，被称为公网子网。

IPv4网关结合子网路由能力，可以将访问公网的流量引流至虚拟防火墙（例如云防火墙）做安全防护。如上图场景所示，以绑定EIP的ECS实例与公网之间的流量经过防火墙为例，说明路由配置步骤。

在指定VPC中创建IPv4网关。

为虚拟防火墙规划独立的交换机并独立绑定一张自定义路由表，该路由表的默认路由条目（0.0.0.0/0）指向IPv4网关，使得虚拟防火墙所在交换机具备访问公网的能力。

为应用服务规划独立的交换机并独立绑定一张自定义路由表，该路由表的默认路由条目（0.0.0.0/0）指向虚拟防火墙的弹性网卡。

在VPC中新建一张自定义路由表并绑定IPv4网关，用来对公网入方向的流量进行路由控制，此路由表被称为网关路由表。将网关路由表中指向应用服务所在交换机网段的路由条目的下一跳修改为虚拟防火墙的弹性网卡。