Размещение NGFW в регионе Advanced для защиты клиентского трафика N-S и инспекции трафика, приходящего через DC-линки

Паттерн размещения NGFW в регионе Advanced для защиты клиентского трафика N-S и инспекции трафика, приходящего через DC-линки.

Преимущества паттерна	Риски
Стандартизация подключения в облако клиентских устройств безопасности.	Отсутствуют

Общая схема

Реализация

Выделение служебного VPC для разворачивания NGFW:

1. Настроить VPC peering между DMZ VPC и клиентскими VPC.

2. Заказчику подписать на стороне клиента статический маршрут по умолчанию в сторону VPC Peering, где расположен NGFW.

3. В DMZ VPC прописать статический маршрут по умолчанию в сторону внутреннего сетевого адаптера NGFW.

4. На NGFW настроить статические маршруты в сторону клиентских сетей через шлюз внутреннего интерфейса.

5. На NGFW для внешнего интерфейса подключить EIP.

6. Настройка DC-линка, где указан в качестве подключения DMZ интерфейс на NGFW.

7. На NGFW добавить маршруты в таблицу маршрутизации, до сетей за DMZ интерфейсом.

Описание потока трафика

1. Клиент посылает трафик на Client App SRV.

2. Vrouter по настроенной таблице маршрутизации отправляет трафик в сторону VPC Peering до Vrouter сервисного VPC.

3. Vrouter сервисного VPC направляет полученный трафик в сторону IN-интерфейса NGFW.

4. NGFW направляет траффик в сторону DMZ-интерфейса, подключенному к Direct Connect-интерфейсу.

5. Vrouter маршрутизирует трафик в сторону Direct Connect.

См.также

• Развертывание UserGate в Advanced

Запустили Evolution free tier
для Dev & Test

Получить

Была ли статья полезной?

Да Нет

НазадРазмещение NGFW в регионе Advanced для защиты клиентского трафика N-S

ДалееРекомендации по безопасному использованию объектного хранилища OBS Advanced