Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S
Паттерн размещения NGFW в регионе Advanced для защиты клиентского трафика N-S.
Преимущества паттерна | Риски |
---|---|
Стандартизация подключения в облако клиентских устройств безопасности. | Отсутствуют |
Общая схема
Реализация
Выделение служебного VPC (Virtual Private Cloud)` для разворачивания NGFW:
-
Настроить VPC peering между DMZ VPC и клиентскими VPC.
-
Заказчику подписать на стороне клиента статический маршрут по умолчанию в сторону VPC Peering, где расположен NGFW.
-
В DMZ VPC прописать статический маршрут по умолчанию в сторону внутреннего сетевого адаптера NGFW.
-
На NGFW настроить статические маршруты в сторону клиентских сетей через шлюз внутреннего интерфейса.
-
На NGFW для внешнего интерфейса подключить EIP.
Описание потока трафика
-
Клиент посылает траффик к www.ru.
-
Vrouter по настроенной таблице маршрутизации отправляет трафик в сторону VPC Peering до Vrouter сервисного VPC.
-
Vrouter сервисного VPC направляет полученный трафик в сторону IN-интерфейса NGFW.
-
NGFW направляет траффик в сторону Gateway, по умолчанию расположенному за OUT-интерфейсом.
-
Vrouter делает NAT-адреса OUT-интерфейса NGFW в назначенный EIP и отправляет трафик в интернет к www.ru.
- Общая схема
- Описание потока трафика