開發十年，就只剩下這套架構體系了！ >>>   

 

作者：邵悠峰

前言

隨著雲端計算技術的不斷完善和發展，雲端計算已經得到了廣泛的認可和接受，許多組織已經或即將進行雲計算系統建設。同時，以資訊服務為中心的模式深入人心， 大量的應用正如雨後春筍般出現， 組織也開始將傳統的應用向雲中遷移。

雲端計算技術給傳統的 IT 基礎設施、應用、資料以及IT 運營管理都帶來了革命性改變，同時也給安全措施改進和升級、安全應用設計和實現、安全運維和管理等帶來了問題和挑戰，也推進了安全服務內容、實現機制和交付方式的創新和發展。

雲端計算模式通過將資料統一儲存在雲端計算伺服器中，在傳統 IT 技術的基礎上，增加了一個虛擬化層，並且具有了資源池化、按需分配，彈性調配，高可靠等特點，但是這樣也導致虛擬網路中無法更好的進行防護，比如同網段的流量可能內部進行互動，無法進行流量監控；同租戶的不同網路的流量可能不經過物理防火牆，無法進行審計。

在雲端計算環境中，為了適應虛擬化環境，以及對虛擬機器之間的流量、跨安全域邊界的流量進行監測和訪問控制的需要，安全裝置在保持架構和功能的基礎上，在產品形態和部署方式上發生了一定的變化。

在產品形態方面，主要體現是由硬體到軟體。在部署方式方面，主要通過合理設計虛擬化網路邏輯結構，將虛擬化安全裝置部署在合理的邏輯位置，同時保證隨著虛擬主機的動態遷移，能夠做到安全防護措施和策略的跟隨。

在ZStack雲平臺上，我們可以非常快速的以虛擬機器的形式部署安全裝置，本文以FortiGate為例。

 

1 ZStack簡介

ZStack是下一代開源的雲端計算IaaS（基礎架構即服務）軟體。它主要面向未來的智慧資料中心，通過靈活完善的APIs來管理包括計算、儲存和網路在內的資料中心資源。使用者可以利用ZStack快速構建自己的智慧雲資料中心，也可以在穩定的ZStack之上搭建靈活的雲應用場景。

 

ZStack功能架構

 

ZStack產品優勢：

ZStack是基於專有云平臺4S（Simple簡單，Strong健壯，Scalable彈性，Smart智慧）標準設計的下一代雲平臺IaaS軟體。

1）簡單（Simple）

簡單安裝部署，單機即可POC，30分鐘完成安裝，全UI操作介面

2）健壯（Strong）

穩定且高效的系統架構設計，支撐高併發的API請求，支援HA的嚴格要求

3）彈性（Scalable）

物理機規模可達上萬臺，虛擬機器支援橫向縱向擴充套件

4）智慧（Smart）

自動化運維管理，5分鐘一鍵升級，實時全域性監控

 

2 FortiGate簡介

FortiGate是Fortinet公司的UTM解決方案，可以有效地防禦網絡層和內容層的攻擊。FortiGate解決方案能夠發現和消除多層的攻擊，比如病毒、蠕蟲、入侵、以及Web惡意內容等等實時的應用，而不會導致網路效能下降。它所涉及到的全面的安全體系是涵蓋防病毒、反垃圾郵件、防火牆、VPN、入侵檢測和防禦、和流量優化。

 

FortiGate產品優勢：

隨著網路環境、使用模式和威脅的不斷變化，現在的企業正面臨著各種挑戰。而FortiGate下一代防火牆模組可以幫助企業解決這些挑戰，它提供了豐富的功能，經過驗證的安全性，並且簡單易用。管理員還能夠獲得關於網路和威脅狀況的至關重要的實時可視性，使他們能夠迅速採取有效的行動。

 

面向未來的安全閘道器

FortiGate可擴充套件架構讓企業能夠輕鬆地啟用安全模組，而不需要複雜的授權和硬體模組。

 

經過行業驗證的安全性

與其它競爭產品相比， FortiGate擁有更多的行業證書，這能夠保證該產品的功能質量，併為客戶提供一流的保護。

 

簡單易用

直觀的單窗格管理能夠確保一致的政策建立和執行，幫助管理員最大限度地減小部署和配置挑戰。

 

全面的可視性

FortiGate提供更好的流量可視性，並提供對使用者、裝置、應用程式和敏感資料的更一致、更細粒度的控制。

 

廣泛的網路支援

FortiGate支援多種網路設計要求，並可與其他網路裝置互操作。

 

基於身份執行政策

FortiGate同時支援本地和遠端身份驗證服務（例如LDAP、Radius和TACACS+）來識別使用者，以及部署相應的訪問政策和安全配置檔案。

 

高階入侵防護

Fortinet下一代IPS技術可以在應用程式層保護網路，幫助抵禦可規避安全技術的高階攻擊。

 

3 部署FortiGate

3.1 架構介紹

安全防護在網路環境中必不可少，傳統的安全防護手段是在網路出口部署物理防火牆、IPS、防毒牆等一系列物理安全裝置，在雲網絡中也有虛擬防火牆，但是雲平臺的虛擬防火牆功能偏少，只能支援4層包過濾，缺少入侵檢測、入侵防護、病毒防護等功能。能否將專業安全廠家的裝置和雲平臺結合使用呢？答案是使用安全廠家的虛擬裝置。Fortinet公司的各類產品都提供虛擬機器形式部署，本文介紹防火牆FortiGate的部署方式。

FortiGate使用一臺雲主機來部署，雲主機有兩個網絡卡，分別連線公有網路和私有網路，通過公有網路連線物理網路裝置，私有網路連線業務虛擬機器，作為業務虛擬機器的閘道器。

FortiGate上啟動ospf，將虛擬機器的網段宣告給物理交換機鄰居，從而通告給全網，使得全網可以訪問業務虛擬機器。訪問業務虛擬機器的流量先經過FortiGate進行安全審計，然後傳送給業務虛擬機器。

 

3.2 雲平臺環境準備

ZStack雲平臺部署步驟詳情參考官方文件：https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

 

建立雲主機

 

選擇“雲資源池”à點選“雲主機”à點選“建立雲主機按鈕”開啟雲主機建立頁面；

 

建立雲主機的步驟：

1）選擇新增方式，建立單臺虛擬機器

2）設定雲主機名稱為FortiGate

3）選擇計算規格

4）選擇FortiGate映象模板

5）選擇三層網路；配置網路的時候需要注意，私有網路需要預留一個IP給FortiGate使用，因為雲平臺虛擬機器無法直接配置閘道器IP，比如閘道器為10.20.0.1，預留10.20.0.254給FortiGate，建立FortiGate虛擬機器時直接指定10.20.0.254，後續再登入FortiGate虛擬機器將IP修改為10.20.0.1

6）確認配置無誤後點擊“確定”開始建立。

 

4 配置FortiGate

4.1 基礎配置

開啟FortiGate虛擬機器控制檯，預設使用者名稱admin，預設密碼為空，登入FortiGate CLI終端

配置埠IP

config system interface

edit port1

set mode dhcp

set allowaccess ping https ssh snmp http

next

edit port2

set ip 10.20.0.1 255.255.255.0

set allowaccess ping https ssh snmp http

next

end

 

4.2 登入web管理端

在瀏覽器中輸入port1的ip，172.32.1.240，進入登入頁面

輸入預設使用者名稱admin，密碼為空，點選登入

 

4.3 配置埠策略

在左邊導航欄選擇策略&物件->IPv4策略

點選“新建”按鈕，配置從外部到內部的流量策略，完成後點選確認

再次點選“新建”按鈕，配置從內部到外部的流量策略，完成後點選確認

 

4.4 配置動態路由協議

在左邊導航欄選擇網路->OSPF

配置相應的area和network釋出

在物理交換機側也做相應的配置，和FortiGate建立OSPF鄰居並互動路由資訊

 

4.5 連通性測試

使用私有網路建立一臺虛擬機器，閘道器設定為FortiGate的port2 ip

在外部使用其他機器來ping這臺虛擬機器可以ping通

 

4.6 修改策略

將入口策略修改為只有TCP包可以通過

在測試ping，發現已經無法ping通

 

5 FortiGate其他功能簡介

5.1 單一頁面全部策略配置

FortiGate支援將策略相關的所有配置都放在一個配置頁面中，方便使用者進行配置，減少不斷跳轉頁面的複雜性，且配置順序也非常符合邏輯

首先是連通性配置，因此要配置流入和流出介面，下面自然就是要配置策略的啟用時間以及涉及的服務和需要執行動作。比如：9-18點，FTP服務，允許。

在解決了連通性問題後，下一步自然就是安全防護，比如入侵防護、防病毒、web防護等。FortiGate的配置非常簡單，只需要在需要啟用的功能處點選按鈕，然後選擇相應的配置檔案即可，比如我想啟用應用控制和IPS，只需要將灰色的OFF點亮為紅色的ON，即可在後面的下拉列表框中選取對應的安全配置檔案，如果沒有，也可以在此頁面中直接新建。之後就是額外的功能了，比如限速和頻寬保證以及日誌記錄等等。至此，一條完整的策略就配置完成了。

 

5.2 策略統計命中

隨著網路裝置使用時間的增長，在各種網路裝置中充斥著大量的策略規則，網管員面臨的很大的一個挑戰就是維護這些策略和規則，使得業務持續受保護。但是很多時候隨著規則的變化，管理員會在防火牆上來回增加和修改策略，久而久之會出現很多無用的策略，既影響防火牆效能，又不利於管理員管理。

對於下一代防火牆來說，要能夠實時追蹤這些策略的使用情況，才能給予管理員指導意見，幫助刪減無用和冗餘策略。在FortiGate的圖形化管理介面中，可以清晰地展示每條策略的命中使用情況，方便管理員來判斷規則是否還需要使用，是否可以刪除。

5.3 應用層安全

傳統的狀態檢測防火牆通過檢查資料包頭，狀態檢測防火牆分析和監視網路層（L3）和協議層（L4），通過IP五元組定義的防火牆策略來允許、拒絕或轉發網路流量。但是隨著網路和應用的發展，它的功能弱點越來越明顯，已無法保證網路的安全性。傳統狀態檢測防火牆的弱點主要表現在以下幾方面：

只瞭解IP和埠，但不能識別應用。例如TCP 80埠既可能是HTTP協議，也可能是QQ等IM或者迅雷等P2P下載工具，現在的技術手段可以將任何應用封裝在TCP 80埠中傳輸，防火牆完全無法判斷；

只檢查資料包頭部，但不能掃描資料包的載荷（payload），從而不能判斷網路訪問究竟是安全的，還是存在安全威脅的（如網路入侵、病毒、不良內容、垃圾郵件、資料洩漏……）。

FortiGate除具備傳統防火牆功能外，還可對網路層至應用層的各種安全威脅和濫用進行檢測和過濾，這類產品目前被稱之為NGFW（下一代防火牆）或UTM（統一威脅管理）。

FortiGate的更多高階功能如下：

 

5.4 應用層閘道器

對於H.323、SIP、RTSP、MMS、MGCP等多媒體協議，FTP、Oracle等特殊應用，需要根據會話程序隨機開放資料埠。FortiGate支援超過二十種網路應用的ALG，可以識別這些協議並在會話控制過程中動態開放和關閉埠，在NAT模式下還需要對資料包的payload進行修改，最大程度地保證應用的可用性。

 

5.5 VPN – IPSec && SSL

隨著網路威脅種類不斷增多，保護企業網路，企業與合作伙伴，公司與移動員工的通訊安全如今已變得比往常更重要了。資料遭到破壞，資訊洩露，網路和系統受感染每年會花費企業和政府大筆資金。

Fortinet VPN 技術允許企業運用IPSec和SSL VPN協議在多種網路和主機之間建立安全通訊和資料隱私。一旦流量被解密，多重威脅監測-包括防病毒，入侵防禦，應用控制，郵件過濾和網頁過濾可以為所有通過VPN隧道的內容所用。

IPSec VPN 隧道通常在OSI網路模式的第三層或更低層執行。要啟用遠端訪問，FortiGate在遠端節點和內部網路之間建立了加密網路連線。SSL VPN配置更易於安裝和配置，因為它們在OSI模式，獨立底層網路架構中進行最高水平的通訊。由於SSL協議已經內建到大多數網頁瀏覽器為HTTPS,無需額外的端點配置。

Fortinet 在FortiGate平臺的 IPSec和SSL VPN技術與其他的安全功能緊密結合，如防火牆，防病毒，網頁過濾和入侵防禦，相對單獨的VPN安全裝置能提供更多綜合的保護。

 

6 總結

基於ZStack雲平臺可以快速部署FortiGate，來進行雲主機安全防護。FortiGate的配置和物理環境沒有任何差別，並且部署更加快捷。對於雲主機來說，通過部署FortiGate，獲得的不僅僅包括提供防火牆的防護，更具備IPS、防病毒、WEB防護等完善的防護功能；相比較雲平臺僅提供4層包過濾的防護，使用FortiGate防護更加全面牢固，可以使得業務系統更加安全可靠。

相關推薦