tocdepth

2

Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S и инспекции трафика, приходящего через DC-линки

Паттерн размещения NGFW в регионе Advanced для защиты клиентского трафика N-S и инспекции трафика, приходящего через DC-линки.

Преимущества паттерна

Риски

Стандартизация подключения в облако клиентских устройств безопасности.

Отсутствуют

Общая схема

../../_images/schm__templates_security-tools_adv_ngfw-client-traffic-n-s-traffic-inspectation.svg

Реализация

Выделение служебного VPC для разворачивания NGFW:

  1. Настроить VPC peering между DMZ VPC и клиентскими VPC.

  2. Заказчику подписать на стороне клиента статический маршрут по умолчанию в сторону VPC Peering, где расположен NGFW.

  3. В DMZ VPC прописать статический маршрут по умолчанию в сторону внутреннего сетевого адаптера NGFW.

  4. На NGFW настроить статические маршруты в сторону клиентских сетей через шлюз внутреннего интерфейса.

  5. На NGFW для внешнего интерфейса подключить EIP.

  6. Настройка DC-линка, где указан в качестве подключения DMZ интерфейс на NGFW.

  7. На NGFW добавить маршруты в таблицу маршрутизации, до сетей за DMZ интерфейсом.

Описание потока трафика

  1. Клиент посылает трафик на Client App SRV.

  2. Vrouter по настроенной таблице маршрутизации отправляет трафик в сторону VPC Peering до Vrouter сервисного VPC.

  3. Vrouter сервисного VPC направляет полученный трафик в сторону IN-интерфейса NGFW.

  4. NGFW направляет траффик в сторону DMZ-интерфейса, подключенному к Direct Connect-интерфейсу.

  5. Vrouter маршрутизирует трафик в сторону Direct Connect.

../../_images/schm__templates_security-tools_adv_ngfw-traffic-flow-2.0.svg
Запустили Evolution free tier
для Dev & Test
Получить