tocdepth

2

Виртуальный NGFW для сегмента DMZ

Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с базовой сетевой защитой хостов виртуальной инфраструктуры заказчика на платформе Облако VMware имеет следующие преимущества и риски:

Преимущества паттерна	Риски
Простота развертывания решения. Контроль трафика e-w, n-s.	Для выхода в интернет и публикации сервисов Заказчику требуется выделение отдельной подсети. Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Общая схема

Описание паттерна

Предварительные требования:

• Наличие у заказчика виртуального ЦОД на платформе Облако VMware.

Реализация

1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

3. Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

4. На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.

5. На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.

6. Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.

7. Настраивается SNAT.

8. Настраивается DNAT.

См.также

• Развертывание UserGate на платформе Облако VMware

• Сценарии использования UserGate

Была ли статья полезной?

Да Нет

Предыдущая статья

Виртуальный NGFW в качестве ядра сети в тенанте заказчика в отдельном кластере ESXi

Следующая статья

Виртуальный NGFW для сегмента DMZ в ЦОД партнера с задействованием средств СКЗИ

Запустили Evolution free tier
для Dev & Test

Получить