基于ZStack云平臺部署FortiGate

作者：邵悠鋒 2019-03-07 16:26:42

云計算

虛擬化 隨著云計算技術(shù)的不斷完善和發(fā)展，云計算已經(jīng)得到了廣泛的認可和接受，許多組織已經(jīng)或即將進行云計算系統(tǒng)建設(shè)。同時，以信息服務(wù)為中心的模式深入人心， 大量的應用正如雨后春筍般出現(xiàn)， 組織也開始將傳統(tǒng)的應用向云中遷移。

創(chuàng)新互聯(lián)主營林口網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都App定制開發(fā),林口h5重慶小程序開發(fā)搭建,林口網(wǎng)站營銷推廣歡迎林口等地區(qū)企業(yè)咨詢

 前言

隨著云計算技術(shù)的不斷完善和發(fā)展，云計算已經(jīng)得到了廣泛的認可和接受，許多組織已經(jīng)或即將進行云計算系統(tǒng)建設(shè)。同時，以信息服務(wù)為中心的模式深入人心， 大量的應用正如雨后春筍般出現(xiàn)， 組織也開始將傳統(tǒng)的應用向云中遷移。

云計算技術(shù)給傳統(tǒng)的 IT 基礎(chǔ)設(shè)施、應用、數(shù)據(jù)以及IT 運營管理都帶來了革命性改變，同時也給安全措施改進和升級、安全應用設(shè)計和實現(xiàn)、安全運維和管理等帶來了問題和挑戰(zhàn)，也推進了安全服務(wù)內(nèi)容、實現(xiàn)機制和交付方式的創(chuàng)新和發(fā)展。

云計算模式通過將數(shù)據(jù)統(tǒng)一存儲在云計算服務(wù)器中，在傳統(tǒng) IT 技術(shù)的基礎(chǔ)上，增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點，但是這樣也導致虛擬網(wǎng)絡(luò)中無法更好的進行防護，比如同網(wǎng)段的流量可能內(nèi)部進行交互，無法進行流量監(jiān)控;同租戶的不同網(wǎng)絡(luò)的流量可能不經(jīng)過物理防火墻，無法進行審計。

在云計算環(huán)境中，為了適應虛擬化環(huán)境，以及對虛擬機之間的流量、跨安全域邊界的流量進行監(jiān)測和訪問控制的需要，安全設(shè)備在保持架構(gòu)和功能的基礎(chǔ)上，在產(chǎn)品形態(tài)和部署方式上發(fā)生了一定的變化。

在產(chǎn)品形態(tài)方面，主要體現(xiàn)是由硬件到軟件。在部署方式方面，主要通過合理設(shè)計虛擬化網(wǎng)絡(luò)邏輯結(jié)構(gòu)，將虛擬化安全設(shè)備部署在合理的邏輯位置，同時保證隨著虛擬主機的動態(tài)遷移，能夠做到安全防護措施和策略的跟隨。

在ZStack云平臺上，我們可以非常快速的以虛擬機的形式部署安全設(shè)備，本文以FortiGate為例。

1 部署FortiGate

1.1 架構(gòu)介紹

安全防護在網(wǎng)絡(luò)環(huán)境中必不可少，傳統(tǒng)的安全防護手段是在網(wǎng)絡(luò)出口部署物理防火墻、IPS、防毒墻等一系列物理安全設(shè)備，在云網(wǎng)絡(luò)中也有虛擬防火墻，但是云平臺的虛擬防火墻功能偏少，只能支持4層包過濾，缺少病毒防護等功能。能否將專業(yè)安全廠家的設(shè)備和云平臺結(jié)合使用呢?答案是使用安全廠家的虛擬設(shè)備。Fortinet公司的各類產(chǎn)品都提供虛擬機形式部署，本文介紹防火墻FortiGate的部署方式。

FortiGate使用一臺云主機來部署，云主機有兩個網(wǎng)卡，分別連接公有網(wǎng)絡(luò)和私有網(wǎng)絡(luò)，通過公有網(wǎng)絡(luò)連接物理網(wǎng)絡(luò)設(shè)備，私有網(wǎng)絡(luò)連接業(yè)務(wù)虛擬機，作為業(yè)務(wù)虛擬機的網(wǎng)關(guān)。

FortiGate上啟動ospf，將虛擬機的網(wǎng)段宣告給物理交換機鄰居，從而通告給全網(wǎng)，使得全網(wǎng)可以訪問業(yè)務(wù)虛擬機。訪問業(yè)務(wù)虛擬機的流量先經(jīng)過FortiGate進行安全審計，然后發(fā)送給業(yè)務(wù)虛擬機。

1.2 云平臺環(huán)境準備

ZStack云平臺部署步驟詳情參考官方文檔：https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

創(chuàng)建云主機

選擇“云資源池”à點擊“云主機”à點擊“創(chuàng)建云主機按鈕”打開云主機創(chuàng)建頁面;

創(chuàng)建云主機的步驟：

1)選擇添加方式，創(chuàng)建單臺虛擬機

2)設(shè)置云主機名稱為FortiGate

3)選擇計算規(guī)格

4)選擇FortiGate鏡像模板

5)選擇三層網(wǎng)絡(luò);配置網(wǎng)絡(luò)的時候需要注意，私有網(wǎng)絡(luò)需要預留一個IP給FortiGate使用，因為云平臺虛擬機無法直接配置網(wǎng)關(guān)IP，比如網(wǎng)關(guān)為10.20.0.1，預留10.20.0.254給FortiGate，創(chuàng)建FortiGate虛擬機時直接指定10.20.0.254，后續(xù)再登錄FortiGate虛擬機將IP修改為10.20.0.1

6)確認配置無誤后點擊“確定”開始創(chuàng)建。

2 配置FortiGate

2.1 基礎(chǔ)配置

打開FortiGate虛擬機控制臺，默認用戶名admin，默認密碼為空，登錄FortiGate CLI終端

配置端口IP

config system interface

edit port1

set mode dhcp

set allowaccess ping https ssh snmp http

next

edit port2

set ip 10.20.0.1 255.255.255.0

set allowaccess ping https ssh snmp http

next

end

2.2 登錄web管理端

在瀏覽器中輸入port1的ip，172.32.1.240，進入登錄頁面

輸入默認用戶名admin，密碼為空，點擊登錄

2.3 配置端口策略

在左邊導航欄選擇策略&對象->IPv4策略

點擊“新建”按鈕，配置從外部到內(nèi)部的流量策略，完成后點擊確認

再次點擊“新建”按鈕，配置從內(nèi)部到外部的流量策略，完成后點擊確認

2.4 配置動態(tài)路由協(xié)議

在左邊導航欄選擇網(wǎng)絡(luò)->OSPF

配置相應的area和network發(fā)布

在物理交換機側(cè)也做相應的配置，和FortiGate建立OSPF鄰居并交互路由信息

2.5 連通性測試

使用私有網(wǎng)絡(luò)創(chuàng)建一臺虛擬機，網(wǎng)關(guān)設(shè)置為FortiGate的port2 ip

在外部使用其他機器來ping這臺虛擬機可以ping通

2.6 修改策略

將入口策略修改為只有TCP包可以通過

在測試ping，發(fā)現(xiàn)已經(jīng)無法ping通

3 總結(jié)

基于ZStack云平臺可以快速部署FortiGate，來進行云主機安全防護。FortiGate的配置和物理環(huán)境沒有任何差別，并且部署更加快捷。對于云主機來說，通過部署FortiGate，獲得的不僅僅包括提供防火墻的防護，更具備IPS、防病毒、WEB防護等完善的防護功能;使用FortiGate防護更加全面牢固，可以使得業(yè)務(wù)系統(tǒng)更加安全可靠。

名稱欄目：基于ZStack云平臺部署FortiGate
本文來源：http://www.dlmjj.cn/article/cosghgs.html