Виртуальный NGFW в качестве ядра сети в тенанте Заказчика

Паттерн виртуального NGFW в качестве ядра сети в тенанте заказчика на платформе Облако VMware имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Простота разворачивания решения.

  • Контроль трафика e-w, n-s.

  • Для выхода в интернет Заказчику необходимо оплатить дополнительные белые адреса.

  • Ограничения VMware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Общая схема

../../_images/schm__templates_ent_security-tools_virtual-ngfw.svg

Описание паттерна

Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Реализация

Single node:
  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

  4. На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.

  5. На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.

  6. Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.

Cluster:
  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы интерфейсы создаются как isolated и подключатся к NGFW.

  4. На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.

  5. На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.

  6. На аплаинсах выделяется отдельный интерфейс для сборки кластера.

  7. Интерфейсы заказчика настраиваются как isolated и подключатся к аплаинсу.

Масштабная конференция
GoCloud 2024:
облачные грани будущего