【Free Style】使用Next-Generation防火墙ECS镜像对专线、VPN等访问VPC的流量进行安全策略的控制

背景说明：

进出VPC的流量分为

1 Internet访问（EIP、ELB访问和NAT访问流量）

2 云专线接入访问流量

3 IPSec VPN接入访问流量

4 VPC对等连接流量

而针对这些流量的安全防护，当前华为公有云仅提供安全组策略和网络ACL两类策略控制，也即仅能满足3、4层网络的访问控制，无法做到DPI、IPS、AntiVirus、URL过滤等内容层的安全防护。而且这些内容层的安全防护，专业的NEXT-GENERATION FIREWALL防火墙厂商更加专业，下面要讲的，就是利用镜像市场上的专业NEXT-GENERATION FIREWALL防火墙来实现VPC的流量4～7层的全栈防护。

BTW：这本来应该是镜像市场上的镜像提供商来提供指导文档的，但不知道什么原因，这些厂商在华为公有云上基本什么指导配置文档都没有，没办法，碰到客户真正想用了，只能就我自己来写一个了。另外为了避嫌，接下来我并没有用具体哪个NEXT-GENERATION FIREWALL防火墙，而是用了通用的Linux来讲解如何进行搭网验证，我想只要搭网都OK了，具体到了各家NEXT-GENERATION FIREWALL防火墙如何配置，就请各位执行解决吧，相信不是什么难事了。

为了简化，这里仅介绍如何专线接入情况下的安全防护，一般一个租户可能有多个VPC，这就要求一条专线接入进来到多个VPC。大致拓扑如下图所示：

为了能够多个VPC公用一个专线接入并使用镜像做安全防护，这里需要额外新建一个中转VPC（也即Transit VPC）来部署NEXT-GENERATION FIREWALL防火墙。如下图所示：

具体的配置步骤如下：

1. 创建Transit VPC和external/internal的Subnet

2. 创建业务VPC和相应的subnet

3. 创建transit VPC和业务VPC的对等连接

4. 创建用于模拟NEXT-GENERATION FIREWALL防火墙的Ubuntu VM

这里要创建两个VNIC网卡，分别对应到External和Internal Subnet上，并开启Linux的路由功能，配置iptables来实现NAT转换，如下图所示：

5. 开通模拟专线用的VPC，并与transit vpc建立对等连接，配好路由等

6. 创建用于业务VPC内的Web Server VM

7. 创建用于模拟专线内的业务发起访问方VM

至此，使用Linux模拟NEXT-GENERATION FIREWALL防火墙来实现搭网并验证流量经过Linux接受其流量策略控制，后面只需要将Linux替代成一个真正的NEXT-GENERATION FIREWALL防火墙镜像，在NEXT-GENERATION FIREWALL防火墙上配置安全策略即可，比如华为的USG6000V防火墙的配置界面类似（此处不展开，请执行了解USG6000V的产品配置手册, http://support.huawei.com/hedex/hdx.do?docid=EDOC1000111168&lang=zh）