防火墙应用在saas环境部署
防火墙mpls现状:
总部和各分支机构采取mplsvpn互联,同时总部和各分支机构需要调剂已有防火墙,对访问互联网的数据做病毒过滤和ips过滤。
部份分支机构有独立的互联网出口,需要对访问互联网出口的数据进行病毒过滤和ips过滤。
部份分支机构没有独立的互联网出口,需要将所有数据通过mplsvpn转发至总部,通过总部的出口访问互联网。
防火墙mpls方案:
总部采取路由模式部署防火墙,一条线路连接互联网,在该连接互联网线路的接口上启用nat;另外一条线路连接mplsvpn的ce端路由器。
分支1有一台ce路由器,该路由器同时提供internet接入和mplsvpn的接入,在内部部署防火墙,使得通过mplsvpn访问总部资源,同时利用防火墙的av,ips等utm特性对访问internet的流量进行病毒过滤和ips过滤。
分支2没有自己的独立的internet出口,isp的ce端路由器只提供mplsvpn的接入,所以分支2不但需要通过mplsvpn访问总部内网资源,同时需要采取mplsvpn将访问互联网的流量转发到总部,通过总部的internet出口访问互联网。同时需要使用防火墙的utm功能对访问internet数据进行病毒过滤和ips过滤。
部署方案描写
对总部的网络,由因而三层结构,所以可以很容易地部署防火墙和mplsvpn.由出口防火墙进行分流,对访问internet的数据进行nat,对访问各个分支机构的流量转发至mplsvpn的ce端路由器,通过防火墙的utm功能实现trust区域到untrust等指定区域之间的病毒过滤和ips过滤。
对分支一和分支二的网络环境,和根据分支机构已用的防火墙功能的分析,需要采取非常规方式部署防火墙。
