Виртуальный NGFW для сегмента DMZ в ЦОД партнера с задействованием средств СКЗИ
Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с дополнительным каналом до on-premises ЦОДа с задействованием средств СКЗИ реализуется в случае необходимости:
контроля трафика от партнера, подключенного к виртуальной инфраструктуре Заказчика с использованием услуги Direct Connect;
защиты трафика шифрованием методами соответствующими требованиям действующих ГОСТ;
IPS/IDS проверки трафика.
Данный паттерн имеет следующие преимущества и риски:
Преимущества паттерна |
Риски |
|---|---|
|
|
Общая схема
Описание паттерна
Предварительные требования:
Наличие у заказчика виртуального ЦОД на платформе Облако VMware.
Реализация
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
В тенанте заказчика разворачивается виртуальная машина NGFW.
Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.
Выделяется интерфейс для подключения к услуге Direct Connect.
Выполняется подключение СКЗИ по типовой схеме.
Настраивается логического соединения (Bridging) для сервисных интерфейсов Т1 on-premises ЦОД и платформы Облако VMware.
На NGFW заказчик настраивает маршрутизацию между on-premises ЦОД и платформы Облако VMware.
На NGFW заказчик настраивает 0.0.0.0 в сторону Edge/T1.
На Edge/T1 заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.
Интерфейсы заказчика настраиваются как isolated и подключатся к аплаинсу.
Настраивается SNAT.
Настраивается DNAT.
- Общая схема
- Описание паттерна
- Реализация