基于ZStack云平臺怎樣部署FortiGate

176次閱讀

共計 5149 個字符，預計需要花費 13 分鐘才能閱讀完成。

基于 ZStack 云平臺怎樣部署 FortiGate，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

前言

隨著云計算技術的不斷完善和發展，云計算已經得到了廣泛的認可和接受，許多組織已經或即將進行云計算系統建設。同時，以信息服務為中心的模式深入人心，大量的應用正如雨后春筍般出現，組織也開始將傳統的應用向云中遷移。

云計算技術給傳統的 IT 基礎設施、應用、數據以及 IT 運營管理都帶來了革命性改變，同時也給安全措施改進和升級、安全應用設計和實現、安全運維和管理等帶來了問題和挑戰，也推進了安全服務內容、實現機制和交付方式的創新和發展。

云計算模式通過將數據統一存儲在云計算服務器中，在傳統 IT 技術的基礎上，增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調配，高可靠等特點，但是這樣也導致虛擬網絡中無法更好的進行防護，比如同網段的流量可能內部進行交互，無法進行流量監控；同租戶的不同網絡的流量可能不經過物理防火墻，無法進行審計。

在云計算環境中，為了適應虛擬化環境，以及對虛擬機之間的流量、跨安全域邊界的流量進行監測和訪問控制的需要，安全設備在保持架構和功能的基礎上，在產品形態和部署方式上發生了一定的變化。

在產品形態方面，主要體現是由硬件到軟件。在部署方式方面，主要通過合理設計虛擬化網絡邏輯結構，將虛擬化安全設備部署在合理的邏輯位置，同時保證隨著虛擬主機的動態遷移，能夠做到安全防護措施和策略的跟隨。

在 ZStack 云平臺上，我們可以非常快速的以虛擬機的形式部署安全設備，本文以 FortiGate 為例。

1 ZStack 簡介

ZStack 是下一代開源的云計算 IaaS（基礎架構即服務）軟件。它主要面向未來的智能數據中心，通過靈活完善的 APIs 來管理包括計算、存儲和網絡在內的數據中心資源。用戶可以利用 ZStack 快速構建自己的智能云數據中心，也可以在穩定的 ZStack 之上搭建靈活的云應用場景。

ZStack 功能架構

ZStack 產品優勢：

ZStack 是基于專有云平臺 4S（Simple 簡單，Strong 健壯，Scalable 彈性，Smart 智能）標準設計的下一代云平臺 IaaS 軟件。

1）簡單（Simple）

簡單安裝部署，單機即可 POC，30 分鐘完成安裝，全 UI 操作界面

2）健壯（Strong）

穩定且高效的系統架構設計，支撐高并發的 API 請求，支持 HA 的嚴格要求

3）彈性（Scalable）

物理機規模可達上萬臺，虛擬機支持橫向縱向擴展

4）智能（Smart）

自動化運維管理，5 分鐘一鍵升級，實時全局監控

2 FortiGate 簡介

FortiGate 是 Fortinet 公司的 UTM 解決方案，可以有效地防御網絡層和內容層的攻擊。FortiGate 解決方案能夠發現和消除多層的攻擊，比如病毒、蠕蟲、入侵、以及 Web 惡意內容等等實時的應用，而不會導致網絡性能下降。它所涉及到的全面的安全體系是涵蓋防病毒、反垃圾郵件、防火墻、VPN、入侵檢測和防御、和流量優化。

FortiGate 產品優勢：

隨著網絡環境、使用模式和威脅的不斷變化，現在的企業正面臨著各種挑戰。而 FortiGate 下一代防火墻模塊可以幫助企業解決這些挑戰，它提供了豐富的功能，經過驗證的安全性，并且簡單易用。管理員還能夠獲得關于網絡和威脅狀況的至關重要的實時可視性，使他們能夠迅速采取有效的行動。

面向未來的安全網關

FortiGate 可擴展架構讓企業能夠輕松地激活安全模塊，而不需要復雜的授權和硬件模塊。

經過行業驗證的安全性

與其它競爭產品相比，FortiGate 擁有更多的行業證書，這能夠保證該產品的功能質量，并為客戶提供一流的保護。

簡單易用

直觀的單窗格管理能夠確保一致的政策創建和執行，幫助管理員最大限度地減小部署和配置挑戰。

全面的可視性

FortiGate 提供更好的流量可視性，并提供對用戶、設備、應用程序和敏感數據的更一致、更細粒度的控制。

廣泛的網絡支持

FortiGate 支持多種網絡設計要求，并可與其他網絡設備互操作。

基于身份執行政策

FortiGate 同時支持本地和遠程身份驗證服務（例如 LDAP、Radius 和 TACACS+）來識別用戶，以及部署相應的訪問政策和安全配置文件。

高級入侵防護

Fortinet 下一代 IPS 技術可以在應用程序層保護網絡，幫助抵御可規避安全技術的高級攻擊。

3 部署 FortiGate

3.1 架構介紹

安全防護在網絡環境中必不可少，傳統的安全防護手段是在網絡出口部署物理防火墻、IPS、防毒墻等一系列物理安全設備，在云網絡中也有虛擬防火墻，但是云平臺的虛擬防火墻功能偏少，只能支持 4 層包過濾，缺少入侵檢測、入侵防護、病毒防護等功能。能否將專業安全廠家的設備和云平臺結合使用呢？答案是使用安全廠家的虛擬設備。Fortinet 公司的各類產品都提供虛擬機形式部署，本文介紹防火墻 FortiGate 的部署方式。

FortiGate 使用一臺云主機來部署，云主機有兩個網卡，分別連接公有網絡和私有網絡，通過公有網絡連接物理網絡設備，私有網絡連接業務虛擬機，作為業務虛擬機的網關。

FortiGate 上啟動 ospf，將虛擬機的網段宣告給物理交換機鄰居，從而通告給全網，使得全網可以訪問業務虛擬機。訪問業務虛擬機的流量先經過 FortiGate 進行安全審計，然后發送給業務虛擬機。

3.2 云平臺環境準備

ZStack 云平臺部署步驟詳情參考官方文檔：https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

創建云主機

選擇“云資源池”à點擊“云主機”à點擊“創建云主機按鈕”打開云主機創建頁面；

創建云主機的步驟：

1）選擇添加方式，創建單臺虛擬機

2）設置云主機名稱為 FortiGate

3）選擇計算規格

4）選擇 FortiGate 鏡像模板

5）選擇三層網絡；配置網絡的時候需要注意，私有網絡需要預留一個 IP 給 FortiGate 使用，因為云平臺虛擬機無法直接配置網關 IP，比如網關為 10.20.0.1，預留 10.20.0.254 給 FortiGate，創建 FortiGate 虛擬機時直接指定 10.20.0.254，后續再登錄 FortiGate 虛擬機將 IP 修改為 10.20.0.1

6）確認配置無誤后點擊“確定”開始創建。

4 配置 FortiGate

4.1 基礎配置

打開 FortiGate 虛擬機控制臺，默認用戶名 admin，默認密碼為空，登錄 FortiGate CLI 終端

配置端口 IP

config system interface

edit port1

set mode dhcp

set allowaccess ping https ssh snmp http

set ip 10.20.0.1 255.255.255.0

set allowaccess ping https ssh snmp http

4.2 登錄 web 管理端

在瀏覽器中輸入 port1 的 ip，172.32.1.240，進入登錄頁面

輸入默認用戶名 admin，密碼為空，點擊登錄

4.3 配置端口策略

在左邊導航欄選擇策略對象 - IPv4 策略

點擊“新建”按鈕，配置從外部到內部的流量策略，完成后點擊確認

再次點擊“新建”按鈕，配置從內部到外部的流量策略，完成后點擊確認

4.4 配置動態路由協議

在左邊導航欄選擇網絡 - OSPF

配置相應的 area 和 network 發布

在物理交換機側也做相應的配置，和 FortiGate 建立 OSPF 鄰居并交互路由信息

4.5 連通性測試

使用私有網絡創建一臺虛擬機，網關設置為 FortiGate 的 port2 ip

在外部使用其他機器來 ping 這臺虛擬機可以 ping 通

4.6 修改策略

將入口策略修改為只有 TCP 包可以通過

在測試 ping，發現已經無法 ping 通

5 FortiGate 其他功能簡介

5.1 單一頁面全部策略配置

FortiGate 支持將策略相關的所有配置都放在一個配置頁面中，方便用戶進行配置，減少不斷跳轉頁面的復雜性，且配置順序也非常符合邏輯

首先是連通性配置，因此要配置流入和流出接口，下面自然就是要配置策略的啟用時間以及涉及的服務和需要執行動作。比如：9-18 點，FTP 服務，允許。

在解決了連通性問題后，下一步自然就是安全防護，比如入侵防護、防病毒、web 防護等。FortiGate 的配置非常簡單，只需要在需要啟用的功能處點擊按鈕，然后選擇相應的配置文件即可，比如我想啟用應用控制和 IPS，只需要將灰色的 OFF 點亮為紅色的 ON，即可在后面的下拉列表框中選取對應的安全配置文件，如果沒有，也可以在此頁面中直接新建。之后就是額外的功能了，比如限速和帶寬保證以及日志記錄等等。至此，一條完整的策略就配置完成了。

5.2 策略統計命中

隨著網絡設備使用時間的增長，在各種網絡設備中充斥著大量的策略規則，網管員面臨的很大的一個挑戰就是維護這些策略和規則，使得業務持續受保護。但是很多時候隨著規則的變化，管理員會在防火墻上來回增加和修改策略，久而久之會出現很多無用的策略，既影響防火墻性能，又不利于管理員管理。

對于下一代防火墻來說，要能夠實時追蹤這些策略的使用情況，才能給予管理員指導意見，幫助刪減無用和冗余策略。在 FortiGate 的圖形化管理界面中，可以清晰地展示每條策略的命中使用情況，方便管理員來判斷規則是否還需要使用，是否可以刪除。

5.3 應用層安全

傳統的狀態檢測防火墻通過檢查數據包頭，狀態檢測防火墻分析和監視網絡層（L3）和協議層（L4），通過 IP 五元組定義的防火墻策略來允許、拒絕或轉發網絡流量。但是隨著網絡和應用的發展，它的功能弱點越來越明顯，已無法保證網絡的安全性。傳統狀態檢測防火墻的弱點主要表現在以下幾方面：

只了解 IP 和端口，但不能識別應用。例如 TCP 80 端口既可能是 HTTP 協議，也可能是 QQ 等 IM 或者迅雷等 P2P 下載工具，現在的技術手段可以將任何應用封裝在 TCP 80 端口中傳輸，防火墻完全無法判斷；

只檢查數據包頭部，但不能掃描數據包的載荷（payload），從而不能判斷網絡訪問究竟是安全的，還是存在安全威脅的（如網絡入侵、病毒、不良內容、垃圾郵件、數據泄漏……）。

FortiGate 除具備傳統防火墻功能外，還可對網絡層至應用層的各種安全威脅和濫用進行檢測和過濾，這類產品目前被稱之為 NGFW（下一代防火墻）或 UTM（統一威脅管理）。

FortiGate 的更多高級功能如下：

5.4 應用層網關

對于 H.323、SIP、RTSP、MMS、MGCP 等多媒體協議，FTP、Oracle 等特殊應用，需要根據會話進程隨機開放數據端口。FortiGate 支持超過二十種網絡應用的 ALG，可以識別這些協議并在會話控制過程中動態開放和關閉端口，在 NAT 模式下還需要對數據包的 payload 進行修改，最大程度地保證應用的可用性。

5.5 VPN – IPSec SSL

隨著網絡威脅種類不斷增多，保護企業網絡，企業與合作伙伴，公司與移動員工的通訊安全如今已變得比往常更重要了。數據遭到破壞，信息泄露，網絡和系統受感染每年會花費企業和政府大筆資金。

Fortinet VPN 技術允許企業運用 IPSec 和 SSL VPN 協議在多種網絡和主機之間建立安全通訊和數據隱私。一旦流量被解密，多重威脅監測 - 包括防病毒，入侵防御，應用控制，郵件過濾和網頁過濾可以為所有通過 VPN 隧道的內容所用。

IPSec VPN 隧道通常在 OSI 網絡模式的第三層或更低層運行。要啟用遠程訪問，FortiGate 在遠程節點和內部網絡之間建立了加密網絡連接。SSL VPN 配置更易于安裝和配置，因為它們在 OSI 模式，獨立底層網絡架構中進行最高水平的通訊。由于 SSL 協議已經內置到大多數網頁瀏覽器為 HTTPS, 無需額外的端點配置。

Fortinet 在 FortiGate 平臺的 IPSec 和 SSL VPN 技術與其他的安全功能緊密結合，如防火墻，防病毒，網頁過濾和入侵防御，相對單獨的 VPN 安全設備能提供更多綜合的保護。

6 總結

基于 ZStack 云平臺可以快速部署 FortiGate，來進行云主機安全防護。FortiGate 的配置和物理環境沒有任何差別，并且部署更加快捷。對于云主機來說，通過部署 FortiGate，獲得的不僅僅包括提供防火墻的防護，更具備 IPS、防病毒、WEB 防護等完善的防護功能；相比較云平臺僅提供 4 層包過濾的防護，使用 FortiGate 防護更加全面牢固，可以使得業務系統更加安全可靠。

關于基于 ZStack 云平臺怎樣部署 FortiGate 問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注丸趣 TV 行業資訊頻道了解更多相關知識。

正文完