- Архитектурный центр
- Архитектурные шаблоны
- Безопасность
- Безопасность в облаке Advanced
- Виртуальный NGFW как межсетевой экран с задействованием средств СКЗИ (ФПСУ-IP)
- Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S
- Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S и инспекции трафика, приходящего через DC-линки
- Рекомендации по безопасному использованию объектного хранилища OBS Advanced
- Обучающие курсы и сертификация
- Термины и сокращения
- Обратиться в поддержку
Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S
Паттерн размещения NGFW в регионе Advanced для защиты клиентского трафика N-S.
Преимущества паттерна |
Риски |
---|---|
Стандартизация подключения в облако клиентских устройств безопасности. |
Отсутствуют |
Общая схема
Реализация
Выделение служебного VPC (Virtual Private Cloud)` для разворачивания NGFW:
Настроить VPC peering между DMZ VPC и клиентскими VPC.
Заказчику подписать на стороне клиента статический маршрут по умолчанию в сторону VPC Peering, где расположен NGFW.
В DMZ VPC прописать статический маршрут по умолчанию в сторону внутреннего сетевого адаптера NGFW.
На NGFW настроить статические маршруты в сторону клиентских сетей через шлюз внутреннего интерфейса.
На NGFW для внешнего интерфейса подключить EIP.
Описание потока трафика
Клиент посылает траффик к www.ru.
Vrouter по настроенной таблице маршрутизации отправляет трафик в сторону VPC Peering до Vrouter сервисного VPC.
Vrouter сервисного VPC направляет полученный трафик в сторону IN-интерфейса NGFW.
NGFW направляет траффик в сторону Gateway, по умолчанию расположенному за OUT-интерфейсом.
Vrouter делает NAT-адреса OUT-интерфейса NGFW в назначенный EIP и отправляет трафик в интернет к www.ru.
- Общая схема
- Описание потока трафика