Виртуальный NGFW для сегмента DMZ в ЦОД партнера без задействования средств СКЗИ
Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с дополнительным каналом до on-premises ЦОДа без задействования средств СКЗИ реализуется в случае необходимости:
контроля трафика от партнера, подключенного к виртуальной инфраструктуре Заказчика с использованием услуги Direct Connect;
IPS/IDS проверки трафика.
Данный паттерн имеет следующие преимущества и риски:
Преимущества паттерна | Риски |
|---|---|
|
|
Общая схема
Описание паттерна
Предварительные требования:
Наличие у заказчика виртуального ЦОД на платформе Облако VMware.
Реализация
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
В тенанте Заказчика разворачивается виртуальная машина NGFW.
Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключаются к NGFW.
Выделяется интерфейс для подключения к услуге Direct Connect.
Настраивается логическое соединение (Bridging) для сервисных интерфейсов Т1 on-premises ЦОДа и платформы Облако VMware.
На NGFW заказчик настраивает маршрутизацию между on-premises ЦОДом и платформы Облако VMware.
На NGFW заказчик настраивает 0.0.0.0 в сторону Edge/T1.
На Edge/T1 заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.
Интерфейсы заказчика настраиваются как isolated и подключаются к аплаинсу.
Настраивается SNAT.
Настраивается DNAT.
- Общая схема
- Описание паттерна
- Реализация