Виртуальный NGFW для сегмента DMZ в ЦОД партнера без задействования средств СКЗИ
Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с дополнительным каналом до on-premises ЦОДа без задействования средств СКЗИ реализуется в случае необходимости:
-
контроля трафика от партнера, подключенного к виртуальной инфраструктуре Заказчика с использованием услуги Direct Connect;
-
IPS/IDS проверки трафика.
Данный паттерн имеет следующие преимущества и риски:
Преимущества паттерна | Риски |
---|---|
|
|
Общая схема
Описание паттерна
Предварительные требования:
-
Наличие у заказчика виртуального ЦОД на платформе Облако VMware.
Реализация
-
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
-
В тенанте Заказчика разворачивается виртуальная машина NGFW.
-
Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключаются к NGFW.
-
Выделяется интерфейс для подключения к услуге Direct Connect.
-
Настраивается логическое соединение (Bridging) для сервисных интерфейсов Т1 on-premises ЦОДа и платформы Облако VMware.
-
На NGFW заказчик настраивает маршрутизацию между on-premises ЦОДом и платформы Облако VMware.
-
На NGFW заказчик настраивает 0.0.0.0 в сторону Edge/T1.
-
На Edge/T1 заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.
-
Интерфейсы заказчика настраиваются как isolated и подключаются к аплаинсу.
-
Настраивается SNAT.
-
Настраивается DNAT.
- Общая схема
- Описание паттерна
- Реализация