基于ZStack云平臺部署FortiGate
前言
隨著云計算技術的不斷完善和發展,云計算已經得到了廣泛的認可和接受,許多組織已經或即將進行云計算系統建設。同時,以信息服務為中心的模式深入人心, 大量的應用正如雨后春筍般出現, 組織也開始將傳統的應用向云中遷移。
云計算技術給傳統的 IT 基礎設施、應用、數據以及IT 運營管理都帶來了革命性改變,同時也給安全措施改進和升級、安全應用設計和實現、安全運維和管理等帶來了問題和挑戰,也推進了安全服務內容、實現機制和交付方式的創新和發展。
云計算模式通過將數據統一存儲在云計算服務器中,在傳統 IT 技術的基礎上,增加了一個虛擬化層,并且具有了資源池化、按需分配,彈性調配,高可靠等特點,但是這樣也導致虛擬網絡中無法更好的進行防護,比如同網段的流量可能內部進行交互,無法進行流量監控;同租戶的不同網絡的流量可能不經過物理防火墻,無法進行審計。
在云計算環境中,為了適應虛擬化環境,以及對虛擬機之間的流量、跨安全域邊界的流量進行監測和訪問控制的需要,安全設備在保持架構和功能的基礎上,在產品形態和部署方式上發生了一定的變化。
在產品形態方面,主要體現是由硬件到軟件。在部署方式方面,主要通過合理設計虛擬化網絡邏輯結構,將虛擬化安全設備部署在合理的邏輯位置,同時保證隨著虛擬主機的動態遷移,能夠做到安全防護措施和策略的跟隨。
在ZStack云平臺上,我們可以非常快速的以虛擬機的形式部署安全設備,本文以FortiGate為例。
1 部署FortiGate
1.1 架構介紹
安全防護在網絡環境中必不可少,傳統的安全防護手段是在網絡出口部署物理防火墻、IPS、防毒墻等一系列物理安全設備,在云網絡中也有虛擬防火墻,但是云平臺的虛擬防火墻功能偏少,只能支持4層包過濾,缺少病毒防護等功能。能否將專業安全廠家的設備和云平臺結合使用呢?答案是使用安全廠家的虛擬設備。Fortinet公司的各類產品都提供虛擬機形式部署,本文介紹防火墻FortiGate的部署方式。
FortiGate使用一臺云主機來部署,云主機有兩個網卡,分別連接公有網絡和私有網絡,通過公有網絡連接物理網絡設備,私有網絡連接業務虛擬機,作為業務虛擬機的網關。
FortiGate上啟動ospf,將虛擬機的網段宣告給物理交換機鄰居,從而通告給全網,使得全網可以訪問業務虛擬機。訪問業務虛擬機的流量先經過FortiGate進行安全審計,然后發送給業務虛擬機。
1.2 云平臺環境準備
ZStack云平臺部署步驟詳情參考官方文檔:https://www.zstack.io/help/product_manuals/user_guide/3.html#c3
創建云主機
選擇“云資源池”à點擊“云主機”à點擊“創建云主機按鈕”打開云主機創建頁面;
創建云主機的步驟:
1)選擇添加方式,創建單臺虛擬機
2)設置云主機名稱為FortiGate
3)選擇計算規格
4)選擇FortiGate鏡像模板
5)選擇三層網絡;配置網絡的時候需要注意,私有網絡需要預留一個IP給FortiGate使用,因為云平臺虛擬機無法直接配置網關IP,比如網關為10.20.0.1,預留10.20.0.254給FortiGate,創建FortiGate虛擬機時直接指定10.20.0.254,后續再登錄FortiGate虛擬機將IP修改為10.20.0.1
6)確認配置無誤后點擊“確定”開始創建。
2 配置FortiGate
2.1 基礎配置
打開FortiGate虛擬機控制臺,默認用戶名admin,默認密碼為空,登錄FortiGate CLI終端
配置端口IP
config system interface
edit port1
set mode dhcp
set allowaccess ping https ssh snmp http
next
edit port2
set ip 10.20.0.1 255.255.255.0
set allowaccess ping https ssh snmp http
next
end
2.2 登錄web管理端
在瀏覽器中輸入port1的ip,172.32.1.240,進入登錄頁面
輸入默認用戶名admin,密碼為空,點擊登錄
2.3 配置端口策略
在左邊導航欄選擇策略&對象->IPv4策略
點擊“新建”按鈕,配置從外部到內部的流量策略,完成后點擊確認
再次點擊“新建”按鈕,配置從內部到外部的流量策略,完成后點擊確認
2.4 配置動態路由協議
在左邊導航欄選擇網絡->OSPF
配置相應的area和network發布
在物理交換機側也做相應的配置,和FortiGate建立OSPF鄰居并交互路由信息
2.5 連通性測試
使用私有網絡創建一臺虛擬機,網關設置為FortiGate的port2 ip
在外部使用其他機器來ping這臺虛擬機可以ping通
2.6 修改策略
將入口策略修改為只有TCP包可以通過
在測試ping,發現已經無法ping通
3 總結
基于ZStack云平臺可以快速部署FortiGate,來進行云主機安全防護。FortiGate的配置和物理環境沒有任何差別,并且部署更加快捷。對于云主機來說,通過部署FortiGate,獲得的不僅僅包括提供防火墻的防護,更具備IPS、防病毒、WEB防護等完善的防護功能;使用FortiGate防護更加全面牢固,可以使得業務系統更加安全可靠。
