Виртуальный NGFW для сегмента DMZ в ЦОД партнера с задействованием средств СКЗИ

Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с дополнительным каналом до on-premise ЦОД с задействованием средств СКЗИ реализуется в случае необходимости:

  • контроля трафика от партнера подключенного виртуальной инфраструктуре Заказчика с использованием услуги Direct Connect

  • защиты трафика шифрованием методами соответствующими требованиям действующих ГОСТ

  • IPS/IDS проверки трафика.

Данный паттерн имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Простота развертывания решения

  • Контроль трафика e-w, n-s для сегмента DMZ

  • Для выхода в сеть Интернет и публикации сервисов Заказчику требуется выделение отдельной подсети

  • Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс

Общая схема

../../_images/schm__templates_ent_security-tools_virtual-ngfw-dmz-cipf.svg

Описание паттерна

Предварительные требования:

Наличие у Заказчика «Виртуальный ЦОД» в облаке Enterprise.

Реализация

  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртаульная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в Интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

  4. Выделяется интерфейс для подключения к услуге Direct Connect.

  5. Выполняется подключение СКЗИ по типовой схеме.

  6. Настраивается логического соединения (Bridging) для сервисных интерфейсов Т1 on-premise ЦОД и облачной инфраструктуры Enterprise.

  7. На NGFW Заказчик настраивает маршрутизацию между on-premise ЦОД и облачной инфраструктуры Enterprise.

  8. На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.

  9. На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  10. Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.

  11. Настраивается SNAT.

  12. Настраивается DNAT.