Виртуальный NGFW в качестве ядра сети в тенанте Заказчика

Паттерн виртуального NGFW в качестве ядра сети в тенанте Заказчика в облаке Enterprise имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Простота разворачивания решения

  • Контроль трафика e-w, n-s

  • Для выхода в сеть Интернет Заказчику необходимо оплатить дополнительные белые адреса

  • Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс

Общая схема

../../_images/schm__templates_ent_security-tools_virtual-ngfw.svg

Описание паттерна

Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Реализация

Single node:
  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в Интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

  4. На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.

  5. На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  6. Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.

Cluster:
  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в Интернет, остальные интерфейсы интерфейсы создаются как isolated и подключатся к NGFW.

  4. На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.

  5. На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  6. На аплаинсах выделяется отдельный интерфейс для сборки кластера.

  7. Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.