华为公有云安全产品测试方案

华为公有云安全产品测试1PaloAltoNGFW产品1.1测试说明该方案为华为FusionSphere公有云测试方案，主要验证PA-NGFW使用私有镜像在华为公有云集成的兼容性，包括云平台稳定性集成、基础网络架构集成、ELB内网集成、API集成、安全防护集成、性能指标等。1.2组网拓扑1.3方案说明该方案主要是测试PA在华为公有云复杂的网络情况下集成兼容性：PA外网接口为Internet入口和出口；PA和服务器分别部署在AZ1和AZ2区域，高可用的同时提高服务器整体性能；内部ELB针对流量做冗余负载和服务器的健康监测；内部服务器可以通过PA过滤到Internet；PA开启漏洞、恶意软件、病毒、野火、URL过滤等安全保护策略；设置管理子网、数据子网和服务器子网规范网络架构。1.4功能验证WEB服务是否可以从公网访问；内网ELB是否可以均衡负载；防火墙的安全防护策略是否生效；WEB服务可以从内网访问出去；可以通过管理平台管理PA设备。1.5安装部署步骤：1.5.1配置VPC1.5.2配置子网网段1.5.3创建管理子网管理服务器这里是使用Win2008R2：捆绑管理接口和安全组1.5.4创建PANGFW镜像创建前需要把私有镜像的虚拟机上传到桶列表（大容量上传需要下载华为的OBC软件上传）1.5.5创建PA-VM虚拟机实例（由于是测试环境，只初始化一台PA）选择申请服务器创建完毕后检查系统是否正运行可以通过WIN2008管理服务器管理PA-VM如果分配捆绑了公网地址，也可以通过公网访问：PA-VM申请license和安装license（注意安装新的license会重启设备）配置上下行业务接口检查地址已经获取：安全策略暂时全部放通1.5.6创建WEB服务器，我这里只创建一台实例1.5.7配置IELB内网的负载均衡服务添加监听器为服务监听端口：添加需要负载均衡的服务器（这里使用的是3389这个服务测试）：1.5.8配置EELB外网负载均衡服务1.5.9配置EIP捆绑到PA外网出口接口先申请弹性EIP然后绑定选择服务器和网卡1.5.10防火墙配置路由和策略配置默认路由从业务接口1出去配置安全策略，暂时不做任何拦截：配置发布远程服务3389应用DNAT策略：配置访问目的地址指定IELB的VIP服务地址在云端捆绑EIP映射到接口地址和放通3389服务：测试在公网是否连接成功：查看PA的通信记录：