Виртуальный NGFW для сегмента DMZ в ЦОД партнера с задействованием средств СКЗИ
Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с дополнительным каналом до on-premise ЦОД с задействованием средств СКЗИ реализуется в случае необходимости:
контроля трафика от партнера подключенного виртуальной инфраструктуре Заказчика с использованием услуги Direct Connect
защиты трафика шифрованием методами соответствующими требованиям действующих ГОСТ
IPS/IDS проверки трафика.
Данный паттерн имеет следующие преимущества и риски:
Преимущества паттерна |
Риски |
---|---|
|
|
Общая схема
Описание паттерна
Предварительные требования:
Наличие у Заказчика «Виртуальный ЦОД» в облаке Enterprise.
Реализация
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
В тенанте Заказчика разворачивается виртаульная машина NGFW.
Внешний интерфейс аплаинса подключается к T1 для маршрутизации в Интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.
Выделяется интерфейс для подключения к услуге Direct Connect.
Выполняется подключение СКЗИ по типовой схеме.
Настраивается логического соединения (Bridging) для сервисных интерфейсов Т1 on-premise ЦОД и облачной инфраструктуры Enterprise.
На NGFW Заказчик настраивает маршрутизацию между on-premise ЦОД и облачной инфраструктуры Enterprise.
На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.
На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.
Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.
Настраивается SNAT.
Настраивается DNAT.