前言

隨著云計(jì)算技術(shù)的不斷完善和發(fā)展，云計(jì)算已經(jīng)得到了廣泛的認(rèn)可和接受，許多組織已經(jīng)或即將進(jìn)行云計(jì)算系統(tǒng)建設(shè)。同時(shí)，以信息服務(wù)為中心的模式深入人心， 大量的應(yīng)用正如雨后春筍般出現(xiàn)， 組織也開(kāi)始將傳統(tǒng)的應(yīng)用向云中遷移。

云計(jì)算技術(shù)給傳統(tǒng)的 IT 基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)以及IT 運(yùn)營(yíng)管理都帶來(lái)了革命性改變，同時(shí)也給安全措施改進(jìn)和升級(jí)、安全應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)、安全運(yùn)維和管理等帶來(lái)了問(wèn)題和挑戰(zhàn)，也推進(jìn)了安全服務(wù)內(nèi)容、實(shí)現(xiàn)機(jī)制和交付方式的創(chuàng)新和發(fā)展。

云計(jì)算模式通過(guò)將數(shù)據(jù)統(tǒng)一存儲(chǔ)在云計(jì)算服務(wù)器中，在傳統(tǒng) IT 技術(shù)的基礎(chǔ)上，增加了一個(gè)虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點(diǎn)，但是這樣也導(dǎo)致虛擬網(wǎng)絡(luò)中無(wú)法更好的進(jìn)行防護(hù)，比如同網(wǎng)段的流量可能內(nèi)部進(jìn)行交互，無(wú)法進(jìn)行流量監(jiān)控;同租戶(hù)的不同網(wǎng)絡(luò)的流量可能不經(jīng)過(guò)物理防火墻，無(wú)法進(jìn)行審計(jì)。

在云計(jì)算環(huán)境中，為了適應(yīng)虛擬化環(huán)境，以及對(duì)虛擬機(jī)之間的流量、跨安全域邊界的流量進(jìn)行監(jiān)測(cè)和訪問(wèn)控制的需要，安全設(shè)備在保持架構(gòu)和功能的基礎(chǔ)上，在產(chǎn)品形態(tài)和部署方式上發(fā)生了一定的變化。

在產(chǎn)品形態(tài)方面，主要體現(xiàn)是由硬件到軟件。在部署方式方面，主要通過(guò)合理設(shè)計(jì)虛擬化網(wǎng)絡(luò)邏輯結(jié)構(gòu)，將虛擬化安全設(shè)備部署在合理的邏輯位置，同時(shí)保證隨著虛擬主機(jī)的動(dòng)態(tài)遷移，能夠做到安全防護(hù)措施和策略的跟隨。

在ZStack云平臺(tái)上，我們可以非?？焖俚囊蕴摂M機(jī)的形式部署安全設(shè)備，本文以FortiGate為例。

1 部署FortiGate

1.1 架構(gòu)介紹

安全防護(hù)在網(wǎng)絡(luò)環(huán)境中必不可少，傳統(tǒng)的安全防護(hù)手段是在網(wǎng)絡(luò)出口部署物理防火墻、IPS、防毒墻等一系列物理安全設(shè)備，在云網(wǎng)絡(luò)中也有虛擬防火墻，但是云平臺(tái)的虛擬防火墻功能偏少，只能支持4層包過(guò)濾，缺少病毒防護(hù)等功能。能否將專(zhuān)業(yè)安全廠家的設(shè)備和云平臺(tái)結(jié)合使用呢?答案是使用安全廠家的虛擬設(shè)備。Fortinet公司的各類(lèi)產(chǎn)品都提供虛擬機(jī)形式部署，本文介紹防火墻FortiGate的部署方式。

FortiGate使用一臺(tái)云主機(jī)來(lái)部署，云主機(jī)有兩個(gè)網(wǎng)卡，分別連接公有網(wǎng)絡(luò)和私有網(wǎng)絡(luò)，通過(guò)公有網(wǎng)絡(luò)連接物理網(wǎng)絡(luò)設(shè)備，私有網(wǎng)絡(luò)連接業(yè)務(wù)虛擬機(jī)，作為業(yè)務(wù)虛擬機(jī)的網(wǎng)關(guān)。

FortiGate上啟動(dòng)ospf，將虛擬機(jī)的網(wǎng)段宣告給物理交換機(jī)鄰居，從而通告給全網(wǎng)，使得全網(wǎng)可以訪問(wèn)業(yè)務(wù)虛擬機(jī)。訪問(wèn)業(yè)務(wù)虛擬機(jī)的流量先經(jīng)過(guò)FortiGate進(jìn)行安全審計(jì)，然后發(fā)送給業(yè)務(wù)虛擬機(jī)。

1.2 云平臺(tái)環(huán)境準(zhǔn)備

ZStack云平臺(tái)部署步驟詳情參考官方文檔：https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

創(chuàng)建云主機(jī)

選擇“云資源池”à點(diǎn)擊“云主機(jī)”à點(diǎn)擊“創(chuàng)建云主機(jī)按鈕”打開(kāi)云主機(jī)創(chuàng)建頁(yè)面;

創(chuàng)建云主機(jī)的步驟：

1)選擇添加方式，創(chuàng)建單臺(tái)虛擬機(jī)

2)設(shè)置云主機(jī)名稱(chēng)為FortiGate

3)選擇計(jì)算規(guī)格

4)選擇FortiGate鏡像模板

5)選擇三層網(wǎng)絡(luò);配置網(wǎng)絡(luò)的時(shí)候需要注意，私有網(wǎng)絡(luò)需要預(yù)留一個(gè)IP給FortiGate使用，因?yàn)樵破脚_(tái)虛擬機(jī)無(wú)法直接配置網(wǎng)關(guān)IP，比如網(wǎng)關(guān)為10.20.0.1，預(yù)留10.20.0.254給FortiGate，創(chuàng)建FortiGate虛擬機(jī)時(shí)直接指定10.20.0.254，后續(xù)再登錄FortiGate虛擬機(jī)將IP修改為10.20.0.1

6)確認(rèn)配置無(wú)誤后點(diǎn)擊“確定”開(kāi)始創(chuàng)建。

2 配置FortiGate

2.1 基礎(chǔ)配置

打開(kāi)FortiGate虛擬機(jī)控制臺(tái)，默認(rèn)用戶(hù)名admin，默認(rèn)密碼為空，登錄FortiGate CLI終端

配置端口IP

config system interface

edit port1

set mode dhcp

set allowaccess ping https ssh snmp http

next

edit port2

set ip 10.20.0.1 255.255.255.0

set allowaccess ping https ssh snmp http

next

end

2.2 登錄web管理端

在瀏覽器中輸入port1的ip，172.32.1.240，進(jìn)入登錄頁(yè)面

輸入默認(rèn)用戶(hù)名admin，密碼為空，點(diǎn)擊登錄

2.3 配置端口策略

在左邊導(dǎo)航欄選擇策略&對(duì)象->IPv4策略

點(diǎn)擊“新建”按鈕，配置從外部到內(nèi)部的流量策略，完成后點(diǎn)擊確認(rèn)

再次點(diǎn)擊“新建”按鈕，配置從內(nèi)部到外部的流量策略，完成后點(diǎn)擊確認(rèn)

2.4 配置動(dòng)態(tài)路由協(xié)議

在左邊導(dǎo)航欄選擇網(wǎng)絡(luò)->OSPF

配置相應(yīng)的area和network發(fā)布

在物理交換機(jī)側(cè)也做相應(yīng)的配置，和FortiGate建立OSPF鄰居并交互路由信息

2.5 連通性測(cè)試

使用私有網(wǎng)絡(luò)創(chuàng)建一臺(tái)虛擬機(jī)，網(wǎng)關(guān)設(shè)置為FortiGate的port2 ip

在外部使用其他機(jī)器來(lái)ping這臺(tái)虛擬機(jī)可以ping通

2.6 修改策略

將入口策略修改為只有TCP包可以通過(guò)

在測(cè)試ping，發(fā)現(xiàn)已經(jīng)無(wú)法ping通

3 總結(jié)

基于ZStack云平臺(tái)可以快速部署FortiGate，來(lái)進(jìn)行云主機(jī)安全防護(hù)。FortiGate的配置和物理環(huán)境沒(méi)有任何差別，并且部署更加快捷。對(duì)于云主機(jī)來(lái)說(shuō)，通過(guò)部署FortiGate，獲得的不僅僅包括提供防火墻的防護(hù)，更具備IPS、防病毒、WEB防護(hù)等完善的防護(hù)功能;使用FortiGate防護(hù)更加全面牢固，可以使得業(yè)務(wù)系統(tǒng)更加安全可靠。