Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S

Паттерн размещения NGFW в регионе Advanced для защиты клиентского трафика N-S.

Преимущества паттерна

Риски

Стандартизация подключения в облако клиентских устройств безопасности.

Отсутствуют

Общая схема

../../_images/schm__templates_ngfw-client-traffic-n-s.svg

Реализация

Выделение служебного VPC (Virtual Private Cloud)` для разворачивания NGFW:

  1. Настроить VPC peering между DMZ VPC и клиентскими VPC.

  2. Заказчику подписать на стороне клиента статический маршрут по умолчанию в сторону VPC Peering, где расположен NGFW.

  3. В DMZ VPC прописать статический маршрут по умолчанию в сторону внутреннего сетевого адаптера NGFW.

  4. На NGFW настроить статические маршруты в сторону клиентских сетей через шлюз внутреннего интерфейса.

  5. На NGFW для внешнего интерфейса подключить EIP.

Описание потока трафика

  1. Клиент посылает траффик к www.ru.

  2. Vrouter по настроенной таблице маршрутизации отправляет трафик в сторону VPC Peering до Vrouter сервисного VPC.

  3. Vrouter сервисного VPC направляет полученный трафик в сторону IN-интерфейса NGFW.

  4. NGFW направляет траффик в сторону Gateway, по умолчанию расположенному за OUT-интерфейсом.

  5. Vrouter делает NAT-адреса OUT-интерфейса NGFW в назначенный EIP и отправляет трафик в интернет к www.ru.

../../_images/schm__templates_ngfw-traffic-flow.svg
Масштабная конференция
GoCloud 2024:
облачные грани будущего