Free Style使用Next-Generation防火墙ECS镜像对专线、VPN等访问VPC的流量进行安全策略的控制

网友投稿 669 2022-05-30

背景说明:

进出VPC的流量分为

1 Internet访问(EIP、ELB访问和NAT访问流量)

2 云专线接入访问流量

3 IPSec VPN接入访问流量

4 VPC对等连接流量

而针对这些流量的安全防护,当前华为公有云仅提供安全组策略和网络ACL两类策略控制,也即仅能满足3、4层网络的访问控制,无法做到DPI、IPS、AntiVirus、URL过滤等内容层的安全防护。而且这些内容层的安全防护,专业的NEXT-GENERATION FIREWALL防火墙厂商更加专业,下面要讲的,就是利用镜像市场上的专业NEXT-GENERATION FIREWALL防火墙来实现VPC的流量4~7层的全栈防护。

BTW:这本来应该是镜像市场上的镜像提供商来提供指导文档的,但不知道什么原因,这些厂商在华为公有云上基本什么指导配置文档都没有,没办法,碰到客户真正想用了,只能就我自己来写一个了。另外为了避嫌,接下来我并没有用具体哪个NEXT-GENERATION FIREWALL防火墙,而是用了通用的Linux来讲解如何进行搭网验证,我想只要搭网都OK了,具体到了各家NEXT-GENERATION FIREWALL防火墙如何配置,就请各位执行解决吧,相信不是什么难事了。

为了简化,这里仅介绍如何专线接入情况下的安全防护,一般一个租户可能有多个VPC,这就要求一条专线接入进来到多个VPC。大致拓扑如下图所示:

为了能够多个VPC公用一个专线接入并使用镜像做安全防护,这里需要额外新建一个中转VPC(也即Transit VPC)来部署NEXT-GENERATION FIREWALL防火墙。如下图所示:

具体的配置步骤如下:

1. 创建Transit VPC和external/internal的Subnet

2. 创建业务VPC和相应的subnet

3. 创建transit VPC和业务VPC的对等连接

4. 创建用于模拟NEXT-GENERATION FIREWALL防火墙的Ubuntu VM

【Free Style】使用Next-Generation防火墙ECS镜像对专线、VPN等访问VPC的流量进行安全策略的控制

这里要创建两个VNIC网卡,分别对应到External和Internal Subnet上,并开启Linux的路由功能,配置iptables来实现NAT转换,如下图所示:

5. 开通模拟专线用的VPC,并与transit vpc建立对等连接,配好路由等

6. 创建用于业务VPC内的Web Server VM

7. 创建用于模拟专线内的业务发起访问方VM

至此,使用Linux模拟NEXT-GENERATION FIREWALL防火墙来实现搭网并验证流量经过Linux接受其流量策略控制,后面只需要将Linux替代成一个真正的NEXT-GENERATION FIREWALL防火墙镜像,在NEXT-GENERATION FIREWALL防火墙上配置安全策略即可,比如华为的USG6000V防火墙的配置界面类似(此处不展开,请执行了解USG6000V的产品配置手册, http://support.huawei.com/hedex/hdx.do?docid=EDOC1000111168&lang=zh)

通用安全

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:《Word/Excel/PPT 2019完全自学教程 : 视频讲解版 》 —2.7 项目符号与编号的使用
下一篇:GaussDB(DWS)日常巡检FAQ
相关文章