AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
最佳實踐 | 云防火墻如何玩轉公有云引流
云防火墻在公有云
公有云上提供的安全組具備網絡訪問控制能力,很大程度上可以取代傳統防火墻。但業務系統對網絡入侵防御的需求,并沒有因為云環境而降低。故下一代云防火墻(以下簡稱:云防火墻)存在云上有其必要性。
由于云防火墻是屬于流量型安全產品,其最大痛點在它部署完成后,如何將云主機的流量引入到云防火墻上進行安全防護,此為一大技術難題。安恒云結合多年云上最佳安全實踐經驗,將分別介紹第三方安全廠商的云防火墻如何在阿里云、騰訊云、華為云、百度云、青云、AWS云和Azure云完成引流。(備注:排名不分先后)同時也會介紹如何利用云原生的能力滿足云防火墻的高性能、高可用需求。
各家公有云如何引流
本章將分別介紹安全廠商的云防火墻如何在阿里云、騰訊云、華為云、青云、百度云、AWS云和Azure云上如何完成引流。
阿里云引流篇
云防火墻在阿里云如何引流
阿里云租戶云防火墻引流架構圖
在政策合規、安全管理和運營方面的安全問題尤為普遍。具體分析如下:
阿里云引流操作關鍵圖片
騰訊云引流篇
云防火墻在騰訊云如何引流
騰訊云租戶云防火墻引流架構圖
騰訊云引流操作關鍵圖片
華為云引流篇
云防火墻在華為云如何引流
華為云租戶云防火墻引流架構圖
華為云引流操作關鍵圖片
百度云引流篇
云防火墻在百度云如何引流
百度云租戶云防火墻引流架構圖
百度云引流操作關鍵圖片
青云引流篇
云防火墻在青云如何引流
青云租戶云防火墻引流架構圖
青云引流操作關鍵截圖
在青云上做云防火墻的引流相對其他云會復雜一些,下面附詳細截圖,對引流每個步驟作出說明。
AWS云引流篇
AWS引流相對其他云更靈活,無需將業務主機的EIP移除掉,即不用改變租戶原來的網絡架構。
云防火墻在AWS如何引流
AWS租戶云防火墻引流架構圖
AWS云引流操作關鍵截圖
最后關鍵一步,要禁用【網卡的源/目標檢查】。
Azure云引流篇
云防火墻在Azure如何引流
Azure云租戶云防火墻引流架構圖
Azure云引流操作關鍵截圖
最后關鍵一步,將IP轉發功能開啟。
高可用&高性能實踐篇
當租戶有云防火墻高性能和高可用需求時,如何滿足?傳統防火墻通過HA口來做心跳,從而實現高可用,但很多公有云網只支持一張網卡,故不能像傳統防火墻那樣通過HA口來實現高可用。所以,我們考慮通過ELSB+多臺云防火墻+云防火墻策略管理中心來解決這一問題。
ELB(公網)對多臺云防火墻做負載均衡,同時開啟健康檢查和會話保持;
多臺云防火墻上給ELB(私網)做端口映射,轉發流量到ELB(私網);
ELB(私網)給真正的業務做負載均衡;
多臺云防火墻通過云防火墻的策略管理中心來實現策略配置一致性。
租戶云防火墻高可用和高性能引流架構圖
通過以上配置既可以解決高可用問題,同時因多臺云防火墻可同時工作又解決了高性能問題。缺點是它只能解決從外到內防護的問題。
云防火墻引流總結篇
一張表格總結幾朵云引流的特點,如下所示:
當有高可用&高性能需求時,在所有云平臺上均可考慮第3章方案實現由外到內的安全防護。
