厦门ag8亚游集团信息科技有限公司欢迎您!

FortiGate网络安全部署结构

 

FortiGate网络安全部署结构

FortiGate作为保护网络基础架构的安全设备,可广泛应用于各种网络当中。它支持多种部署模式及网络特性,以适应各类不同的网络环境。FortiGate支持的主要部署模式包括:

  • 路由(NAT)部署

  • 透明部署

  • 安全交换

  • 混合模式部署

  • 旁路(Sniffer)模式部署

  • 802.1QVLAN

  • 802.3AD链路聚合

  • 虚拟域(VDOM

  • NAT)模式

如果需要用FortiGate连接不同IP地址段,则将FortiGate置于路由工作模式。

 

    如上图所示,内网使用的是192.168.1.0/24网段,而外网使用的是210.100.1.x网段来连接Internet。此时由于内外网络不在同一IP地址段,因此需将FortiGate设置为路由模式。此时FortiGate工作在第三层,相当于一台路由器,连接不同的IP地址段。使192.168.1.X210.100.1.X之间可以互访。

在路由(NAT)模式下,FortiGate的每一个接口都有一个IP地址,分别对应不同的网段。

每个接口都支持不同的地址模式,既可以是静态IP,也可以通过DHCP服务器获得动态IP,还能通过PPPOE拨号获取IP地址,可以很好的支持LANWANADSL等多种网络接入方式。

  FortiGate同时还支持USB无线Modem接入,可以使用多种3G/4G上网卡接入网络,适合各种布线不便的区域,同时也可作为有线链路的备份,提高网络的可用性。

FortiGate在路由模式下支持各种路由方法,包括:

  • 静态路由

  • 策略路由–根据源地址、目标地址、端口的组合确定下一跳地址

  • 动态路由–可直接参与到RIPOSPFBGPISIS动态路由及组播路由运算中,而非仅仅让动态路由协议穿越

  • 基于用户认证的路由(客户PC输入不同用户名密码进行认证,可以获得不同的路由途径)

可以满足多种网络环境的要求。

FortiGate还可以很好的支持多链路的网络环境。例如,用户使用电信、联通两条链路接入InternetFortiGate可以实现双链路的负载分担和冗余。

 

通过WAN链路负载均衡功能,可以方便把多条链路绑定在一个组内,通过基于源、目的、权重、带宽等因素将上网流量分担至两条链路。当某一条链路出现故障中断时,FortiGate会自动将所有的访问请求切换到另一链路,保证网络的不间断运行。

在路由(NAT)模式下,FortiGate可以实现双向NAT(网络地址转换)和PAT(端口转换),包括1NN1NN的转换。NATPAT可以很好的起到隐藏内网结构,节约IP地址资源的作用。

 

 

如下图所示,内网使用的是192.168.1.0/24网段的私有IP地址,无法直接在Internet上通信。通过FortiGateNAT/PAT功能,可以将内网所有私有IP地址转换为FortiGate外口的211.1.1.6这个公网IP地址或其它地址池,实现共享上网的目的;还可以通过静态地址映射或端口转发的方式,将FortiGate外口的公网IP地址或其他公网IP地址映射到内网的服务器上(如192.168.1.100Web服务器),实现私有IP地址的服务器对外发布服务的功能。

FortiGate的虚拟IP功能还支持如下几种高级应用:

1)负载均衡

如上图所示,内网的3Web服务器(192.168.1.101-192.168.1.103)对外提供同样的服务,可以使用FortiGate通过虚拟IP方式实现多台设备间的负载均衡,负载均衡算法包括静态、轮询、加权、最早存活、最小响应时间、最小连接数。并可以通过pingTCPHTTP等方式进行健康检查,发生故障的服务器会被自动剔除出负载均衡组。

2)HTTP多路复用或SSL卸载

传统的访问形式下服务器需要维护大量来自客户端的TCP连接,每个连接的维持都需要耗费服务器的内存和CPU计算周期。

HTTPmultiplexing(多路复用)机制,通过在FortiGate上维持和客户端的大量连接,而在FortiGate和服务器之间建立少量常开的连接,每个FortiGate和服务器之间的连接服务若干客户端和FortiGate的连接,减少服务器的资源消耗,提高服务器的处理性能。

SSLoffload(卸载)是指将FortiGate部署在Web服务器前方,处理SSL加密/解密,Web服务器与FortiGate之间可以采用HTTP方式通信,从而将服务器从繁重的加解密及认证的工作负担中解脱出来,提高处理性能。

  1. 2.    透明(桥)模式

如果FortiGate内、外网使用相同网段的IP地址,便无需FortiGate担负路由的工作。此时可以将FortiGate置于透明模式,FortiGate工作在第二层,在网络拓扑结构上相当于一个交换机或者网桥。如下图所示:

内网已经可以通过路由器的路由和NAT功能连入Internet,内网所有计算机的默认网关均指向路由器的内口192.168.1.1,此时只需加入安全网关设备实现安全功能。为了不更改现有的网络环境,可考虑使用FortiGate的透明模式。此时FortiGate不像路由模式下需要给每个接口配置一个单独的IP地址,只需直接插入到网络链路中即可。内外网用户并不能感觉到这台安全设备的存在,将FortiGate从网络中撤出也不会影响出口的连通性。FortiGate存在与否均不会改变网络逻辑结构和可用性,因此称之为透明模式。

在透明模式下,需要给FortiGate配置一个管理IP地址,用于管理。

  1. 3.    混合模式

FortiGate还可以很方便的实现路由/透明的混合模式。如下图所示,外网和DMZ区(服务器区)使用同一网段的公网IP地址(200.1.1.x),内网使用一个私有IP地址段(192.168.1.0/24)。此时单纯的透明模式或者路由(NAT)模式都无法满足网络的要求。使用FortiGate可以实现内外网之间使用NAT模式,而DMZ与外网之间使用透明模式。这种路由/透明的混合模式可以很好的满足这种网络环境的需求。

4.    VLAN支持及安全交换

无论在透明模式还是路由(NAT)模式下,FortiGate都支持802.1QVLAN环境,对于交换机之间的VLAN Trunk或交换机/路由器之间的单臂路由都可以很好的支持;FortiGate在路由模式下自身也可以给交换机上的不同VLANTrunk和路由。如下图所示,不同业务部门被划入不同VLAN,通过交换机Trunk方式由FortiGate实现互联,所有部门间的网络流量都会经过FortiGate的检查和过滤,保障内网间的安全访问。

部分FortiGate型号,如FortiGate-140DFortiGate-240DFortiGate-280D等内置了40-80接口交换机,可直接作为路由、交换、接入、安全一体化设备使用,使用一台设备便可实现上图的所有网络和安全功能,从而大大地节约采购成本、降低管理难度。

5.    旁路(Sniffer)模式

FortiGate可以以旁路方式部署于网络中,连接至交换机的镜像接口,对过往的流量进行嗅探,发现并记录其中的安全威胁或可疑行为(如病毒、入侵、网络滥用等),无需改变网络结构,也不会影响网络流量并形成新的故障点。如下图所示:

  1. 6.    FortiLinkCSF

FortiOS5.4版本新增了FortiLink管理协议,实现通过FortiGate管理FortiSwitch。在部署时,只需要把FortiSwitch通过网线连接在FortiGate上,FortiGate即可自动识别交换机,并且在图形界面上实现交换机的配置管理。如下图所示,在FortiGate的图形界面上,即可看到FortiSwitch的接口状态,进行VLAN、开启关闭PoE等配置。

CSF(CooperativeSecurity Fabric)即协同安全矩阵,可以跨越整个网络,使用FortiTelemetry协议将不同的Fortinet产品连接起来,用于收集、协调及应对网络中随时随地都可能发生的恶意攻击行为,CSF可用于整合不同Fortinet产品之间情报共享与联动防护,包括FortiGateFortiClientFortiSandboxFortiSwitchFortiWeb等。

在配置CSF时,管理员只需要开启“CSF”同时在相应接口上开启“设备探测”即可实现简单的拓扑展示功能。

CSF可展示整网拓扑,包括物理拓扑和逻辑拓扑,简化对整网资源使用观测以及对终端接入的感知,通过拓扑图,管理员可实时查看FGT连接了多少终端设备,显示终端的类型;结合FortiView气泡图,能够查看每个连接的终端设备使用资源的情况,单个泡泡越大说明该终端设备使用的资源就越多,将鼠标至于气泡图上可显示资源使用明细。

 

  1. 7.    安全虚拟

1)硬件虚拟化

类似于服务器的虚拟化,FortiGate也可通过虚拟化部署,实现多部门、用户、租户(云计算)等共享硬件设备,从而最大化利用设备性能,提高资源使用效率,同时减少安全设备数量,节约成本且便于管理。

 

如上图所示,企业的多个业务部门,或云计算平台的多个租户共享2FortiGate设备(HA部署),如果所有业务系统或租户的安全管理都混合在一起,会使得安全策略的条目数量极其庞大(可能多达数万条),导致管理极其困难。而且各业务部门/租户的配置还可能存在冲突(例如接口地址、路由、策略等)。

 

FortiGate的虚拟化功能(VDOM)可以完美地解决这一难题。单台FortiGate可以最多划分为500VDOM(虚拟域),每个VDOM具有各自独立的接口地址、工作模式(NAT或透明)、路由表、安全策略、管理员账号等。FortiGate的防火墙、IPS、防病毒、VPNDLP等安全功能均可在VDOM中实现。

将各部门/租户的不同接口(物理接口或VLAN子接口)分别划分至不同的VDOM中,并为他们分配各自VDOM的管理员账号,部门/租户便可自行配置各自的安全策略。上面的部署图中,FortiGate被红色和蓝色代表的2个部门/租户共享使用,所有的数据流量、安全处理和安全管理均彻底分离,红色部门/租户的业务及管理流量均在虚拟防火墙1VDOM1)中处理,蓝色部门/租户的业务及管理流量均在虚拟防火墙2VDOM2)中处理。2个部门/租户的管理员登录到同一台FortiGate上,只能看到并修改自己的相关设置,并查看自己的业务及安全状况,而对其他部门/租户的网络结构、应用及安全设置及状况一无所知。

简而言之,各部门/租户就像独占一台安全设备一样。

 

 

FortiGate的虚拟化部署还支持虚拟集群模式,将不同部门/租户的主安全设备分配在虚拟集群的不同物理设备上。如下图,当FortiGate HA虚拟集群中的2台设备(AB)均正常工作时,部门/租户1的流量由设备A处理,部门/租户2的流量由设备B处理。这样设备AB都处于工作状态,分担网络流量,使性能更优。当设备AB发生故障时,所有流量均由另一台设备处理,保证了业务的高可用性。

 

2)安全软件虚拟化

除安全设备硬件虚拟化外,Fortinet还提供完善的安全软件虚拟化解决方案。FortiGate等安全产品可以VMwareXen虚拟机形式交付,直接运行在虚拟化平台上。

 

如上图所示,在一台或多台物理服务器组成的虚拟化平台上,运行着多个不同部门/租户的业务虚拟机。还可以在虚拟化平台上再运行FortiGate-VM虚拟机,并对虚拟化网络进行配置,使进出服务器物理网卡的流量都经过FortiGate-VM的过滤,将其中的入侵、攻击、病毒等安全威胁过滤,从而起到保护业务服务器的作用。

这种安全软件虚拟化部署可为用户提供以下益处:

  • 实现内部各区域的安全隔离与防御。

  • 实现安全处理性能线性扩展。

 

FortiGate-VMFortiGate硬件具有完全相同的安全功能,提供完全同等级的安全防护能力。FortiGate-VM还可以进行VDOM虚拟化,在多部门/租户环境里,既可以为每一个部门/租户运行一个FortiGate-VM,也可以多部门/租户共享一个FortiGate-VM,非常地灵活方便。

FortiGate-VM也支持完善的HA(高可用性),并可与虚拟化解决方案自身的高可用性(例如vSphere HAvSphere vMotion等)结合,提供快速、无缝的冗余保护。

 

相关产品推荐

在线客服 :

服务热线:0592-2611670

电子邮箱: 123@herselfswebtools.com

公司地址:厦门市湖里区湖里大道28号联盛大厦411室

厦门ag8亚游集团信息科技有限公司成立于2011年2月12日,注册资本1008万,公司致力于为企事业、政府单位、军队的IT信息化发展提供解决方案,通过技术整合、创新...

Copyright © 厦门ag8亚游集团信息科技有限公司 版权所有