Виртуальный NGFW в качестве ядра сети в тенанте Заказчика

Паттерн виртуального NGFW в качестве ядра сети в тенанте заказчика в облаке Enterprise имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Простота разворачивания решения.

  • Контроль трафика e-w, n-s.

  • Для выхода в интернет Заказчику необходимо оплатить дополнительные белые адреса.

  • Ограничения VMware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Общая схема

../../_images/schm__templates_ent_security-tools_virtual-ngfw.svg

Описание паттерна

Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.

Реализация

Single node:

  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

  4. На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.

  5. На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  6. Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.

Cluster:

  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. В тенанте Заказчика разворачивается виртуальная машина NGFW.

  3. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в интернет, остальные интерфейсы интерфейсы создаются как isolated и подключатся к NGFW.

  4. На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.

  5. На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  6. На аплаинсах выделяется отдельный интерфейс для сборки кластера.

  7. Интерфейсы заказчика настраиваются как isolated и подключатся к аплаинсу.

См.также