tocdepth

2

Виртуальный NGFW для сегмента DMZ

Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с базовой сетевой защитой хостов виртуальной инфраструктуры заказчика на платформе Облако VMware имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Простота развертывания решения.

  • Контроль трафика e-w, n-s.

  • Для выхода в интернет и публикации сервисов Заказчику требуется выделение отдельной подсети.

  • Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Общая схема

../../_images/schm__templates_security-tools_cloud-vmware_virtual-ngfw-dmz.svg

Описание паттерна

Предварительные требования:

  • Наличие у заказчика виртуального ЦОД на платформе Облако VMware.

Реализация

  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

  4. На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.

  5. На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.

  6. Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.

  7. Настраивается SNAT.

  8. Настраивается DNAT.

Запустили Evolution free tier
для Dev & Test
Получить