数字经济的安全基石

首页 > 安恒动态 > 资讯中心 > 正文

最佳实践 | 云防火墙如何玩转公有云引流

阅读量:



云防火墙在公有云


公有云上提供的安全组具备网络访问控制能力,很大程度上可以取代传统防火墙。但业务系统对网络入侵防御的需求,并没有因为云环境而降低。故下一代云防火墙(以下简称:云防火墙)存在云上有其必要性。


由于云防火墙是属于流量型安全产品,其最大痛点在它部署完成后,如何将云主机的流量引入到云防火墙上进行安全防护,此为一大技术难题。安恒云结合多年云上最佳安全实践经验,将分别介绍第三方安全厂商的云防火墙如何在阿里云、腾讯云、华为云、百度云、青云、AWS云和Azure云完成引流。(备注:排名不分先后)同时也会介绍如何利用云原生的能力满足云防火墙的高性能、高可用需求。


各家公有云如何引流


本章将分别介绍安全厂商的云防火墙如何在阿里云、腾讯云、华为云、青云、百度云、AWS云和Azure云上如何完成引流。


阿里云引流篇

云防火墙在阿里云如何引流

阿里云租户云防火墙引流架构图


在政策合规、安全管理和运营方面的安全问题尤为普遍。具体分析如下:

阿里云引流操作关键图片



腾讯云引流篇

云防火墙在腾讯云如何引流

腾讯云租户云防火墙引流架构图

腾讯云引流操作关键图片



华为云引流篇

云防火墙在华为云如何引流

华为云租户云防火墙引流架构图

华为云引流操作关键图片



百度云引流篇

云防火墙在百度云如何引流

百度云租户云防火墙引流架构图

百度云引流操作关键图片



青云引流篇

云防火墙在青云如何引流

青云租户云防火墙引流架构图

青云引流操作关键截图

在青云上做云防火墙的引流相对其他云会复杂一些,下面附详细截图,对引流每个步骤作出说明。



AWS云引流篇

AWS引流相对其他云更灵活,无需将业务主机的EIP移除掉,即不用改变租户原来的网络架构。

云防火墙在AWS如何引流

AWS租户云防火墙引流架构图

AWS云引流操作关键截图

最后关键一步,要禁用【网卡的源/目标检查】。



Azure云引流篇

云防火墙在Azure如何引流

Azure云租户云防火墙引流架构图


Azure云引流操作关键截图

最后关键一步,将IP转发功能开启。



高可用&高性能实践篇

当租户有云防火墙高性能和高可用需求时,如何满足?传统防火墙通过HA口来做心跳,从而实现高可用,但很多公有云网只支持一张网卡,故不能像传统防火墙那样通过HA口来实现高可用。所以,我们考虑通过ELSB+多台云防火墙+云防火墙策略管理中心来解决这一问题。

ELB(公网)对多台云防火墙做负载均衡,同时开启健康检查和会话保持;

多台云防火墙上给ELB(私网)做端口映射,转发流量到ELB(私网);

ELB(私网)给真正的业务做负载均衡;

多台云防火墙通过云防火墙的策略管理中心来实现策略配置一致性。

租户云防火墙高可用和高性能引流架构图

通过以上配置既可以解决高可用问题,同时因多台云防火墙可同时工作又解决了高性能问题。缺点是它只能解决从外到内防护的问题。


云防火墙引流总结篇

一张表格总结几朵云引流的特点,如下所示:

当有高可用&高性能需求时,在所有云平台上均可考虑第3章方案实现由外到内的安全防护。

关闭