1、雲防火牆在公有云

       公有云上提供的安全組具備網路訪問控制能力，很大程度上可以取代傳統防火牆。但業務系統對網路入侵防禦的需求，並沒有因為雲環境而降低。故下一代雲防火牆（以下簡稱：雲防火牆）有其存在雲上的必要性。

由於雲防火牆是屬於流量型安全產品，其最大的痛點在它部署完成後，如何將雲主機的流量引入到雲防火牆上進行安全防護是一大技術難題。安恆雲結合多年在雲上最佳安全實踐經驗，將分別介紹第三方安全廠商的雲防火牆如何在阿里雲、騰訊雲、華為雲、百度雲、青雲、AWS雲和Azure雲完成引流。（備註：排名不分先後）同時也會介紹如何利用雲原生的能力滿足雲防火牆的高效能和高可用的需求。

2、各家公有云如何引流

本章將分別介紹安全廠商的雲防火牆如何在阿里雲、騰訊雲、華為雲、青雲、百度雲、AWS雲和Azure雲上如何完成引流。

2.1阿里雲引流篇

2.1.1雲防火牆在阿里雲如何引流

阿里雲租戶雲防火牆引流架構圖

2.1.2阿里雲引流操作關鍵截圖

2.2騰訊雲引流篇

2.2.1雲防火牆在騰訊雲如何引流

騰訊雲租戶雲防火牆引流架構圖

2.2.2騰訊雲引流操作關鍵截圖

2.3華為雲引流篇

2.3.1雲防火牆在華為雲如何引流

華為雲租戶雲防火牆引流架構圖

 

2.3.2華為雲引流操作關鍵截圖

 

2.4百度雲引流篇

2.4.1雲防火牆在百度雲如何引流

百度雲租戶雲防火牆引流架構圖

 

2.4.2百度雲引流操作關鍵截圖

2.5青雲引流篇

2.5.1雲防火牆在青雲如何引流

青雲租戶雲防火牆引流架構圖

 

2.5.2青雲引流操作關鍵截圖

在青雲上做雲防火牆的引流相對其他雲會複雜一些，故下面貼上了詳細的截圖，說明了引流的每一個步驟。

2.6 AWS雲引流篇

AWS引流相對其他的雲更加靈活一些，它無需將業務主機的EIP移除掉，即不用改變租戶原來的網路架構。

2.6.1 雲防火牆在AWS如何引流

AWS租戶雲防火牆引流架構圖

 

 

2.6.2 AWS雲引流操作關鍵截圖

最後關鍵一步，要禁用【網路卡的源/目標檢查】

2.7 Azure雲引流篇

2.7.1 雲防火牆在Azure如何引流

 

 

Azure雲租戶雲防火牆引流架構圖

 

2.7.2 Azure雲引流操作關鍵截圖

最後關鍵一步，將IP轉發功能開啟

3、高可用&高效能實踐篇

當租戶有云防火牆高效能和高可用的需求時，我們如何來滿足呢。我們知道傳統防火牆都是透過HA口來做心跳來實現高可用的，但是很多的公有云網網都是隻支援一張網路卡，故不行像傳統防火牆那樣透過HA口來實現高可用。

故我們考慮可以透過ELSB+多臺雲防火牆+雲防火牆策略管理中心來解決這一問題。

• ELB（公網）對多臺雲防火牆做負載均衡，同時開啟健康檢查和會話保持；
• 多臺雲防火牆上給ELB（私網）做埠對映，轉發流量到ELB（私網）；
• ELB（私網）給真正的業務做負載均衡；
• 多臺雲防火牆透過雲防火牆的策略管理中心來實現策略配置一致性。

租戶雲防火牆高可用和高效能引流架構圖

 

透過以上的配置就即可以解決高可用的問題，同時因為多臺雲防火牆可以同時工作就解決了高效能的問題。但是這裡的缺點是它只能解決外到內防護的問題。

4、雲防火牆引流總結篇

最後透過一張表格總結幾朵雲引流的特點，如下所示：

當有高可用&高效能的需求時，在所有的雲平臺上都可以考慮第3章方案可以實現外到內的安全防護。