【Free Style】使用Next-Generation防火墻ECS鏡像對專線、VPN等訪問VPC的流量進(jìn)行安全策略的控制

背景說明：

進(jìn)出VPC的流量分為

1 Internet訪問（EIP、ELB訪問和NAT訪問流量）

2 云專線接入訪問流量

3 IPSec VPN接入訪問流量

4 VPC對等連接流量

而針對這些流量的安全防護(hù)，當(dāng)前華為公有云僅提供安全組策略和網(wǎng)絡(luò)ACL兩類策略控制，也即僅能滿足3、4層網(wǎng)絡(luò)的訪問控制，無法做到DPI、IPS、AntiVirus、URL過濾等內(nèi)容層的安全防護(hù)。而且這些內(nèi)容層的安全防護(hù)，專業(yè)的NEXT-GENERATION FIREWALL防火墻廠商更加專業(yè)，下面要講的，就是利用鏡像市場上的專業(yè)NEXT-GENERATION FIREWALL防火墻來實現(xiàn)VPC的流量4～7層的全棧防護(hù)。

BTW：這本來應(yīng)該是鏡像市場上的鏡像提供商來提供指導(dǎo)文檔的，但不知道什么原因，這些廠商在華為公有云上基本什么指導(dǎo)配置文檔都沒有，沒辦法，碰到客戶真正想用了，只能就我自己來寫一個了。另外為了避嫌，接下來我并沒有用具體哪個NEXT-GENERATION FIREWALL防火墻，而是用了通用的Linux來講解如何進(jìn)行搭網(wǎng)驗證，我想只要搭網(wǎng)都OK了，具體到了各家NEXT-GENERATION FIREWALL防火墻如何配置，就請各位執(zhí)行解決吧，相信不是什么難事了。

為了簡化，這里僅介紹如何專線接入情況下的安全防護(hù)，一般一個租戶可能有多個VPC，這就要求一條專線接入進(jìn)來到多個VPC。大致拓?fù)淙缦聢D所示：

為了能夠多個VPC公用一個專線接入并使用鏡像做安全防護(hù)，這里需要額外新建一個中轉(zhuǎn)VPC（也即Transit VPC）來部署NEXT-GENERATION FIREWALL防火墻。如下圖所示：

具體的配置步驟如下：

1. 創(chuàng)建Transit VPC和external/internal的Subnet

2. 創(chuàng)建業(yè)務(wù)VPC和相應(yīng)的subnet

3. 創(chuàng)建transit VPC和業(yè)務(wù)VPC的對等連接

4. 創(chuàng)建用于模擬NEXT-GENERATION FIREWALL防火墻的Ubuntu VM

這里要創(chuàng)建兩個VNIC網(wǎng)卡，分別對應(yīng)到External和Internal Subnet上，并開啟Linux的路由功能，配置iptables來實現(xiàn)NAT轉(zhuǎn)換，如下圖所示：

5. 開通模擬專線用的VPC，并與transit vpc建立對等連接，配好路由等

6. 創(chuàng)建用于業(yè)務(wù)VPC內(nèi)的Web Server VM

7. 創(chuàng)建用于模擬專線內(nèi)的業(yè)務(wù)發(fā)起訪問方VM

至此，使用Linux模擬NEXT-GENERATION FIREWALL防火墻來實現(xiàn)搭網(wǎng)并驗證流量經(jīng)過Linux接受其流量策略控制，后面只需要將Linux替代成一個真正的NEXT-GENERATION FIREWALL防火墻鏡像，在NEXT-GENERATION FIREWALL防火墻上配置安全策略即可，比如華為的USG6000V防火墻的配置界面類似（此處不展開，請執(zhí)行了解USG6000V的產(chǎn)品配置手冊, http://support.huawei.com/hedex/hdx.do?docid=EDOC1000111168&lang=zh）

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。