excel表格如何拉长
669
2022-05-30
背景说明:
进出VPC的流量分为
1 Internet访问(EIP、ELB访问和NAT访问流量)
2 云专线接入访问流量
3 IPSec VPN接入访问流量
4 VPC对等连接流量
而针对这些流量的安全防护,当前华为公有云仅提供安全组策略和网络ACL两类策略控制,也即仅能满足3、4层网络的访问控制,无法做到DPI、IPS、AntiVirus、URL过滤等内容层的安全防护。而且这些内容层的安全防护,专业的NEXT-GENERATION FIREWALL防火墙厂商更加专业,下面要讲的,就是利用镜像市场上的专业NEXT-GENERATION FIREWALL防火墙来实现VPC的流量4~7层的全栈防护。
BTW:这本来应该是镜像市场上的镜像提供商来提供指导文档的,但不知道什么原因,这些厂商在华为公有云上基本什么指导配置文档都没有,没办法,碰到客户真正想用了,只能就我自己来写一个了。另外为了避嫌,接下来我并没有用具体哪个NEXT-GENERATION FIREWALL防火墙,而是用了通用的Linux来讲解如何进行搭网验证,我想只要搭网都OK了,具体到了各家NEXT-GENERATION FIREWALL防火墙如何配置,就请各位执行解决吧,相信不是什么难事了。
为了简化,这里仅介绍如何专线接入情况下的安全防护,一般一个租户可能有多个VPC,这就要求一条专线接入进来到多个VPC。大致拓扑如下图所示:
为了能够多个VPC公用一个专线接入并使用镜像做安全防护,这里需要额外新建一个中转VPC(也即Transit VPC)来部署NEXT-GENERATION FIREWALL防火墙。如下图所示:
具体的配置步骤如下:
1. 创建Transit VPC和external/internal的Subnet
2. 创建业务VPC和相应的subnet
3. 创建transit VPC和业务VPC的对等连接
4. 创建用于模拟NEXT-GENERATION FIREWALL防火墙的Ubuntu VM
这里要创建两个VNIC网卡,分别对应到External和Internal Subnet上,并开启Linux的路由功能,配置iptables来实现NAT转换,如下图所示:
5. 开通模拟专线用的VPC,并与transit vpc建立对等连接,配好路由等
6. 创建用于业务VPC内的Web Server VM
7. 创建用于模拟专线内的业务发起访问方VM
至此,使用Linux模拟NEXT-GENERATION FIREWALL防火墙来实现搭网并验证流量经过Linux接受其流量策略控制,后面只需要将Linux替代成一个真正的NEXT-GENERATION FIREWALL防火墙镜像,在NEXT-GENERATION FIREWALL防火墙上配置安全策略即可,比如华为的USG6000V防火墙的配置界面类似(此处不展开,请执行了解USG6000V的产品配置手册, http://support.huawei.com/hedex/hdx.do?docid=EDOC1000111168&lang=zh)
通用安全
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。