Виртуальный NGFW для сегмента DMZ в ЦОД партнера без задействования средств СКЗИ

Паттерн виртуального NGFW в качестве межсетевого экрана для сегмента DMZ с дополнительным каналом до on-premises ЦОДа без задействования средств СКЗИ реализуется в случае необходимости:

  • контроля трафика от партнера, подключенного к виртуальной инфраструктуре Заказчика с использованием услуги Direct Connect;

  • IPS/IDS проверки трафика.

Данный паттерн имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Простота развертывания решения.

  • Контроль трафика e-w, n-s для сегмента DMZ.

  • Для выхода в интернет и публикации сервисов Заказчику требуется выделение отдельной подсети.

  • Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Общая схема

../../_images/schm__templates_ent_security-tools_virtual-ngfw-dmz-without-cipf.svg

Описание паттерна

Предварительные требования:

  • Наличие у Заказчика Виртуальный ЦОД на базе VMware в облаке Enterprise.

Реализация

  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключаются к NGFW.

  4. Выделяется интерфейс для подключения к услуге Direct Connect.

  5. Настраивается логическое соединение (Bridging) для сервисных интерфейсов Т1 on-premises ЦОДа и облачной инфраструктуры Enterprise.

  6. На NGFW заказчик настраивает маршрутизацию между on-premises ЦОДом и облачной инфраструктуры Enterprise.

  7. На NGFW заказчик настраивает 0.0.0.0 в сторону T1.

  8. На T1 заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  9. Интерфейсы заказчика настраиваются как isolated и подключаются к аплаинсу.

  10. Настраивается SNAT.

  11. Настраивается DNAT.

См.также