#信服智创#【广东创讯案例】以腾讯云作为范例浅谈公有云AF防火墙实施思路

前言：客户在公有云部署了多台业务系统，需求通过防火墙进行安全防护，实现通过防火墙映射访问业务系统，并通过防火墙代理上网，达到上下行流量经过防火墙安全防护之目的。

一、明确需求背景：
客户为什么要做这个项目？重点是需要切换哪几台ECS ？例如：公有云部署了多台业务系统，实现通过防火墙DNAT映射访问业务系统，并通过防火墙SNAT代理上网，达到上下行流量经过防火墙安全防护的效果。所有的ecs都需要将流量切换到防火墙后进行防护。
详细如图：

二、方案编写思路

三、项目坑点总结

1、客户如果原有是包年包月的普通公网ip，需要先转成按量计费，再转成弹性ip，最后改回包年包月计费弹性Eip的时候存在大量的费用差额，一定要提前和客户沟通好这部分费用问题。（目前已知腾讯云从普通ip转为弹性Eip时有费用问题）差额=新建包年包月计费弹性ip开销-原有普通公网ip转为按量计费的退款

2、腾讯云配置默认路由的时候，需要新建一个VPC路由表，并且不能关联防火墙的WAN口。因为关联WAN口之后腾讯云会将wan口出来的流量又转发给防火墙。但是在华为云和阿里云上，如果内网IP绑定了公网ip，会有更高优先级的VPC路由将流量直接转发至互联网，不存在三层环路问题。

3、在进行变更前预配置的时候，建议配置和DNAT相同的BNAT策略，这样可以在没有改变公有云VPC路由的情况下，进行业务验证。

4、建议vAF在创建的时候，新建2-3个网段用作lan口和wan口，不要与原有的业务子网复用。

ECS虚拟机实例及CLB负载均衡调研表格

腾讯云vAF、CLB调研.zip (9.95 KB, 下载次数: 0, 售价: 10 S豆)

3 小时前 上传

点击文件名下载附件
阅读权限: 20
售价: 10 S豆  [记录]  [购买]

公有云防火墙高可用部署参考

阿里云防火墙部署场景04----高可用HA.zip (4.96 MB, 下载次数: 0)

2 小时前 上传

点击文件名下载附件