基于ZStack云平臺怎樣部署FortiGate

基于ZStack云平臺怎樣部署FortiGate，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

前言

隨著云計算技術的不斷完善和發展，云計算已經得到了廣泛的認可和接受，許多組織已經或即將進行云計算系統建設。同時，以信息服務為中心的模式深入人心， 大量的應用正如雨后春筍般出現， 組織也開始將傳統的應用向云中遷移。

云計算技術給傳統的 IT 基礎設施、應用、數據以及IT 運營管理都帶來了革命性改變，同時也給安全措施改進和升級、安全應用設計和實現、安全運維和管理等帶來了問題和挑戰，也推進了安全服務內容、實現機制和交付方式的創新和發展。

云計算模式通過將數據統一存儲在云計算服務器中，在傳統 IT 技術的基礎上，增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調配，高可靠等特點，但是這樣也導致虛擬網絡中無法更好的進行防護，比如同網段的流量可能內部進行交互，無法進行流量監控；同租戶的不同網絡的流量可能不經過物理防火墻，無法進行審計。

在云計算環境中，為了適應虛擬化環境，以及對虛擬機之間的流量、跨安全域邊界的流量進行監測和訪問控制的需要，安全設備在保持架構和功能的基礎上，在產品形態和部署方式上發生了一定的變化。

在產品形態方面，主要體現是由硬件到軟件。在部署方式方面，主要通過合理設計虛擬化網絡邏輯結構，將虛擬化安全設備部署在合理的邏輯位置，同時保證隨著虛擬主機的動態遷移，能夠做到安全防護措施和策略的跟隨。

在ZStack云平臺上，我們可以非常快速的以虛擬機的形式部署安全設備，本文以FortiGate為例。

1 ZStack簡介

ZStack是下一代開源的云計算IaaS（基礎架構即服務）軟件。它主要面向未來的智能數據中心，通過靈活完善的APIs來管理包括計算、存儲和網絡在內的數據中心資源。用戶可以利用ZStack快速構建自己的智能云數據中心，也可以在穩定的ZStack之上搭建靈活的云應用場景。

ZStack功能架構

ZStack產品優勢：

ZStack是基于專有云平臺4S（Simple簡單，Strong健壯，Scalable彈性，Smart智能）標準設計的下一代云平臺IaaS軟件。

1）簡單（Simple）

簡單安裝部署，單機即可POC，30分鐘完成安裝，全UI操作界面

2）健壯（Strong）

穩定且高效的系統架構設計，支撐高并發的API請求，支持HA的嚴格要求

3）彈性（Scalable）

物理機規模可達上萬臺，虛擬機支持橫向縱向擴展

4）智能（Smart）

自動化運維管理，5分鐘一鍵升級，實時全局監控

2 FortiGate簡介

FortiGate是Fortinet公司的UTM解決方案，可以有效地防御網絡層和內容層的攻擊。FortiGate解決方案能夠發現和消除多層的攻擊，比如病毒、蠕蟲、入侵、以及Web惡意內容等等實時的應用，而不會導致網絡性能下降。它所涉及到的全面的安全體系是涵蓋防病毒、反垃圾郵件、防火墻、VPN、入侵檢測和防御、和流量優化。

FortiGate產品優勢：

隨著網絡環境、使用模式和威脅的不斷變化，現在的企業正面臨著各種挑戰。而FortiGate下一代防火墻模塊可以幫助企業解決這些挑戰，它提供了豐富的功能，經過驗證的安全性，并且簡單易用。管理員還能夠獲得關于網絡和威脅狀況的至關重要的實時可視性，使他們能夠迅速采取有效的行動。

面向未來的安全網關

FortiGate可擴展架構讓企業能夠輕松地激活安全模塊，而不需要復雜的授權和硬件模塊。

經過行業驗證的安全性

與其它競爭產品相比， FortiGate擁有更多的行業證書，這能夠保證該產品的功能質量，并為客戶提供一流的保護。

簡單易用

直觀的單窗格管理能夠確保一致的政策創建和執行，幫助管理員最大限度地減小部署和配置挑戰。

全面的可視性

FortiGate提供更好的流量可視性，并提供對用戶、設備、應用程序和敏感數據的更一致、更細粒度的控制。

廣泛的網絡支持

FortiGate支持多種網絡設計要求，并可與其他網絡設備互操作。

基于身份執行政策

FortiGate同時支持本地和遠程身份驗證服務（例如LDAP、Radius和TACACS+）來識別用戶，以及部署相應的訪問政策和安全配置文件。

高級入侵防護

Fortinet下一代IPS技術可以在應用程序層保護網絡，幫助抵御可規避安全技術的高級攻擊。

3 部署FortiGate

3.1 架構介紹

安全防護在網絡環境中必不可少，傳統的安全防護手段是在網絡出口部署物理防火墻、IPS、防毒墻等一系列物理安全設備，在云網絡中也有虛擬防火墻，但是云平臺的虛擬防火墻功能偏少，只能支持4層包過濾，缺少入侵檢測、入侵防護、病毒防護等功能。能否將專業安全廠家的設備和云平臺結合使用呢？答案是使用安全廠家的虛擬設備。Fortinet公司的各類產品都提供虛擬機形式部署，本文介紹防火墻FortiGate的部署方式。

FortiGate使用一臺云主機來部署，云主機有兩個網卡，分別連接公有網絡和私有網絡，通過公有網絡連接物理網絡設備，私有網絡連接業務虛擬機，作為業務虛擬機的網關。

FortiGate上啟動ospf，將虛擬機的網段宣告給物理交換機鄰居，從而通告給全網，使得全網可以訪問業務虛擬機。訪問業務虛擬機的流量先經過FortiGate進行安全審計，然后發送給業務虛擬機。

3.2 云平臺環境準備

ZStack云平臺部署步驟詳情參考官方文檔：https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

創建云主機

選擇“云資源池”à點擊“云主機”à點擊“創建云主機按鈕”打開云主機創建頁面；

創建云主機的步驟：

1）選擇添加方式，創建單臺虛擬機

2）設置云主機名稱為FortiGate

3）選擇計算規格

4）選擇FortiGate鏡像模板

5）選擇三層網絡；配置網絡的時候需要注意，私有網絡需要預留一個IP給FortiGate使用，因為云平臺虛擬機無法直接配置網關IP，比如網關為10.20.0.1，預留10.20.0.254給FortiGate，創建FortiGate虛擬機時直接指定10.20.0.254，后續再登錄FortiGate虛擬機將IP修改為10.20.0.1

6）確認配置無誤后點擊“確定”開始創建。

4 配置FortiGate

4.1 基礎配置

打開FortiGate虛擬機控制臺，默認用戶名admin，默認密碼為空，登錄FortiGate CLI終端

配置端口IP

config system interface

edit port1

set mode dhcp

set allowaccess ping https ssh snmp http

next

edit port2

set ip 10.20.0.1 255.255.255.0

set allowaccess ping https ssh snmp http

next

end

4.2 登錄web管理端

在瀏覽器中輸入port1的ip，172.32.1.240，進入登錄頁面

輸入默認用戶名admin，密碼為空，點擊登錄

4.3 配置端口策略

在左邊導航欄選擇策略&對象->IPv4策略

點擊“新建”按鈕，配置從外部到內部的流量策略，完成后點擊確認

再次點擊“新建”按鈕，配置從內部到外部的流量策略，完成后點擊確認

4.4 配置動態路由協議

在左邊導航欄選擇網絡->OSPF

配置相應的area和network發布

在物理交換機側也做相應的配置，和FortiGate建立OSPF鄰居并交互路由信息

4.5 連通性測試

使用私有網絡創建一臺虛擬機，網關設置為FortiGate的port2 ip

在外部使用其他機器來ping這臺虛擬機可以ping通

4.6 修改策略

將入口策略修改為只有TCP包可以通過

在測試ping，發現已經無法ping通

5 FortiGate其他功能簡介

5.1 單一頁面全部策略配置

FortiGate支持將策略相關的所有配置都放在一個配置頁面中，方便用戶進行配置，減少不斷跳轉頁面的復雜性，且配置順序也非常符合邏輯

首先是連通性配置，因此要配置流入和流出接口，下面自然就是要配置策略的啟用時間以及涉及的服務和需要執行動作。比如：9-18點，FTP服務，允許。

在解決了連通性問題后，下一步自然就是安全防護，比如入侵防護、防病毒、web防護等。FortiGate的配置非常簡單，只需要在需要啟用的功能處點擊按鈕，然后選擇相應的配置文件即可，比如我想啟用應用控制和IPS，只需要將灰色的OFF點亮為紅色的ON，即可在后面的下拉列表框中選取對應的安全配置文件，如果沒有，也可以在此頁面中直接新建。之后就是額外的功能了，比如限速和帶寬保證以及日志記錄等等。至此，一條完整的策略就配置完成了。

5.2 策略統計命中

隨著網絡設備使用時間的增長，在各種網絡設備中充斥著大量的策略規則，網管員面臨的很大的一個挑戰就是維護這些策略和規則，使得業務持續受保護。但是很多時候隨著規則的變化，管理員會在防火墻上來回增加和修改策略，久而久之會出現很多無用的策略，既影響防火墻性能，又不利于管理員管理。

對于下一代防火墻來說，要能夠實時追蹤這些策略的使用情況，才能給予管理員指導意見，幫助刪減無用和冗余策略。在FortiGate的圖形化管理界面中，可以清晰地展示每條策略的命中使用情況，方便管理員來判斷規則是否還需要使用，是否可以刪除。

5.3 應用層安全

傳統的狀態檢測防火墻通過檢查數據包頭，狀態檢測防火墻分析和監視網絡層（L3）和協議層（L4），通過IP五元組定義的防火墻策略來允許、拒絕或轉發網絡流量。但是隨著網絡和應用的發展，它的功能弱點越來越明顯，已無法保證網絡的安全性。傳統狀態檢測防火墻的弱點主要表現在以下幾方面：

只了解IP和端口，但不能識別應用。例如TCP 80端口既可能是HTTP協議，也可能是QQ等IM或者迅雷等P2P下載工具，現在的技術手段可以將任何應用封裝在TCP 80端口中傳輸，防火墻完全無法判斷；

只檢查數據包頭部，但不能掃描數據包的載荷（payload），從而不能判斷網絡訪問究竟是安全的，還是存在安全威脅的（如網絡入侵、病毒、不良內容、垃圾郵件、數據泄漏……）。

FortiGate除具備傳統防火墻功能外，還可對網絡層至應用層的各種安全威脅和濫用進行檢測和過濾，這類產品目前被稱之為NGFW（下一代防火墻）或UTM（統一威脅管理）。

FortiGate的更多高級功能如下：

5.4 應用層網關

對于H.323、SIP、RTSP、MMS、MGCP等多媒體協議，FTP、Oracle等特殊應用，需要根據會話進程隨機開放數據端口。FortiGate支持超過二十種網絡應用的ALG，可以識別這些協議并在會話控制過程中動態開放和關閉端口，在NAT模式下還需要對數據包的payload進行修改，最大程度地保證應用的可用性。

5.5 VPN – IPSec && SSL

隨著網絡威脅種類不斷增多，保護企業網絡，企業與合作伙伴，公司與移動員工的通訊安全如今已變得比往常更重要了。數據遭到破壞，信息泄露，網絡和系統受感染每年會花費企業和政府大筆資金。

Fortinet VPN 技術允許企業運用IPSec和SSL VPN協議在多種網絡和主機之間建立安全通訊和數據隱私。一旦流量被解密，多重威脅監測-包括防病毒，入侵防御，應用控制，郵件過濾和網頁過濾可以為所有通過VPN隧道的內容所用。

IPSec VPN 隧道通常在OSI網絡模式的第三層或更低層運行。要啟用遠程訪問，FortiGate在遠程節點和內部網絡之間建立了加密網絡連接。SSL VPN配置更易于安裝和配置，因為它們在OSI模式，獨立底層網絡架構中進行最高水平的通訊。由于SSL協議已經內置到大多數網頁瀏覽器為HTTPS,無需額外的端點配置。

Fortinet 在FortiGate平臺的 IPSec和SSL VPN技術與其他的安全功能緊密結合，如防火墻，防病毒，網頁過濾和入侵防御，相對單獨的VPN安全設備能提供更多綜合的保護。

6 總結

基于ZStack云平臺可以快速部署FortiGate，來進行云主機安全防護。FortiGate的配置和物理環境沒有任何差別，并且部署更加快捷。對于云主機來說，通過部署FortiGate，獲得的不僅僅包括提供防火墻的防護，更具備IPS、防病毒、WEB防護等完善的防護功能；相比較云平臺僅提供4層包過濾的防護，使用FortiGate防護更加全面牢固，可以使得業務系統更加安全可靠。

關于基于ZStack云平臺怎樣部署FortiGate問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。