云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
媒体报道
最佳实践 | 云防火墙如何玩转公有云引流
云防火墙在公有云
公有云上提供的安全组具备网络访问控制能力,很大程度上可以取代传统防火墙。但业务系统对网络入侵防御的需求,并没有因为云环境而降低。故下一代云防火墙(以下简称:云防火墙)存在云上有其必要性。
由于云防火墙是属于流量型安全产品,其最大痛点在它部署完成后,如何将云主机的流量引入到云防火墙上进行安全防护,此为一大技术难题。安恒云结合多年云上最佳安全实践经验,将分别介绍第三方安全厂商的云防火墙如何在阿里云、腾讯云、华为云、百度云、青云、AWS云和Azure云完成引流。(备注:排名不分先后)同时也会介绍如何利用云原生的能力满足云防火墙的高性能、高可用需求。
各家公有云如何引流
本章将分别介绍安全厂商的云防火墙如何在阿里云、腾讯云、华为云、青云、百度云、AWS云和Azure云上如何完成引流。
阿里云引流篇
云防火墙在阿里云如何引流
阿里云租户云防火墙引流架构图
在政策合规、安全管理和运营方面的安全问题尤为普遍。具体分析如下:
阿里云引流操作关键图片
腾讯云引流篇
云防火墙在腾讯云如何引流
腾讯云租户云防火墙引流架构图
腾讯云引流操作关键图片
华为云引流篇
云防火墙在华为云如何引流
华为云租户云防火墙引流架构图
华为云引流操作关键图片
百度云引流篇
云防火墙在百度云如何引流
百度云租户云防火墙引流架构图
百度云引流操作关键图片
青云引流篇
云防火墙在青云如何引流
青云租户云防火墙引流架构图
青云引流操作关键截图
在青云上做云防火墙的引流相对其他云会复杂一些,下面附详细截图,对引流每个步骤作出说明。
AWS云引流篇
AWS引流相对其他云更灵活,无需将业务主机的EIP移除掉,即不用改变租户原来的网络架构。
云防火墙在AWS如何引流
AWS租户云防火墙引流架构图
AWS云引流操作关键截图
最后关键一步,要禁用【网卡的源/目标检查】。
Azure云引流篇
云防火墙在Azure如何引流
Azure云租户云防火墙引流架构图
Azure云引流操作关键截图
最后关键一步,将IP转发功能开启。
高可用&高性能实践篇
当租户有云防火墙高性能和高可用需求时,如何满足?传统防火墙通过HA口来做心跳,从而实现高可用,但很多公有云网只支持一张网卡,故不能像传统防火墙那样通过HA口来实现高可用。所以,我们考虑通过ELSB+多台云防火墙+云防火墙策略管理中心来解决这一问题。
ELB(公网)对多台云防火墙做负载均衡,同时开启健康检查和会话保持;
多台云防火墙上给ELB(私网)做端口映射,转发流量到ELB(私网);
ELB(私网)给真正的业务做负载均衡;
多台云防火墙通过云防火墙的策略管理中心来实现策略配置一致性。
租户云防火墙高可用和高性能引流架构图
通过以上配置既可以解决高可用问题,同时因多台云防火墙可同时工作又解决了高性能问题。缺点是它只能解决从外到内防护的问题。
云防火墙引流总结篇
一张表格总结几朵云引流的特点,如下所示:
当有高可用&高性能需求时,在所有云平台上均可考虑第3章方案实现由外到内的安全防护。
