1、云防火墙在公有云
公有云上提供的安全组具备网络访问控制能力,很大程度上可以取代传统防火墙。但业务系统对网络入侵防御的需求,并没有因为云环境而降低。故下一代云防火墙(以下简称:云防火墙)有其存在云上的必要性。
由于云防火墙是属于流量型安全产品,其最大的痛点在它部署完成后,如何将云主机的流量引入到云防火墙上进行安全防护是一大技术难题。安恒云结合多年在云上最佳安全实践经验,将分别介绍第三方安全厂商的云防火墙如何在阿里云、腾讯云、华为云、百度云、青云、AWS云和Azure云完成引流。(备注:排名不分先后)同时也会介绍如何利用云原生的能力满足云防火墙的高性能和高可用的需求。
2、各家公有云如何引流
本章将分别介绍安全厂商的云防火墙如何在阿里云、腾讯云、华为云、青云、百度云、AWS云和Azure云上如何完成引流。
2.1阿里云引流篇
2.1.1云防火墙在阿里云如何引流
阿里云租户云防火墙引流架构图
2.1.2阿里云引流操作关键截图
2.2腾讯云引流篇
2.2.1云防火墙在腾讯云如何引流
腾讯云租户云防火墙引流架构图
2.2.2腾讯云引流操作关键截图
2.3华为云引流篇
2.3.1云防火墙在华为云如何引流
华为云租户云防火墙引流架构图
2.3.2华为云引流操作关键截图
2.4百度云引流篇
2.4.1云防火墙在百度云如何引流
百度云租户云防火墙引流架构图
2.4.2百度云引流操作关键截图
2.5青云引流篇
2.5.1云防火墙在青云如何引流
青云租户云防火墙引流架构图
2.5.2青云引流操作关键截图
在青云上做云防火墙的引流相对其他云会复杂一些,故下面贴上了详细的截图,说明了引流的每一个步骤。
2.6 AWS云引流篇
AWS引流相对其他的云更加灵活一些,它无需将业务主机的EIP移除掉,即不用改变租户原来的网络架构。
2.6.1 云防火墙在AWS如何引流
AWS租户云防火墙引流架构图
2.6.2 AWS云引流操作关键截图
最后关键一步,要禁用【网卡的源/目标检查】
2.7 Azure云引流篇
2.7.1 云防火墙在Azure如何引流
Azure云租户云防火墙引流架构图
2.7.2 Azure云引流操作关键截图
最后关键一步,将IP转发功能开启
3、高可用&高性能实践篇
当租户有云防火墙高性能和高可用的需求时,我们如何来满足呢。我们知道传统防火墙都是通过HA口来做心跳来实现高可用的,但是很多的公有云网网都是只支持一张网卡,故不行像传统防火墙那样通过HA口来实现高可用。
故我们考虑可以通过ELSB+多台云防火墙+云防火墙策略管理中心来解决这一问题。
- ELB(公网)对多台云防火墙做负载均衡,同时开启健康检查和会话保持;
- 多台云防火墙上给ELB(私网)做端口映射,转发流量到ELB(私网);
- ELB(私网)给真正的业务做负载均衡;
- 多台云防火墙通过云防火墙的策略管理中心来实现策略配置一致性。
租户云防火墙高可用和高性能引流架构图
通过以上的配置就即可以解决高可用的问题,同时因为多台云防火墙可以同时工作就解决了高性能的问题。但是这里的缺点是它只能解决外到内防护的问题。
4、云防火墙引流总结篇
最后通过一张表格总结几朵云引流的特点,如下所示:
当有高可用&高性能的需求时,在所有的云平台上都可以考虑第3章方案可以实现外到内的安全防护。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
