Попробовать

Развертывание FortiGate в SberCloud Advanced

Типовые схемы размещения NGFW

В зависимости от ваших задач могут использоваться различные схемы развертывания NGFW в облаке.

  • Вариант 1. Защищаемые сегменты сети и NGFW работают в рамках одного VPC. Данная схема требует минимальных усилий на настройку и позволяет использовать несколько сетевых интерфейсов NGFW, но ее стоит применять только если вы полностью контролируете создание и настройку защищаемых ресурсов. В случае если на каком-то из ресурсов будет поднят еще один внешний IP-адрес, то трафик пойдет в обход NGFW.

  • Вариант 2. Защищаемые сегменты сети вынесены в отдельные VPC. Использование отдельных VPC предоставляет гибкие возможности по управлению полномочиями в контролируемых VPC. Данная схема позволяет полностью исключить вероятность прохождения трафика в обход NGFW за счет полного запрета создания EIP в рамках защищаемых VPC. Ограничением схемы является возможность использовать только один внутренний сетевой интерфейс на NGFW.

Ниже описаны рекомендации для каждого из вариантов развертывания.

Вариант 1. Защищаемые сегменты сети и NGFW работают в рамках одного VPC

../../_images/schm__1.png

Ниже приведена настройка системы, в которой защищаемые сегменты сети и NGFW работают в рамках одного VPC:

  1. В основном VPC cоздайте подсети

    • subnet-ext: 192.168.0.0/24

    • subnet-int1: 192.168.1.0/24

    • subnet-int2: 192.168.2.0/24

  2. Создайте виртуальный NGFW c тремя сетевыми интерфейсами (см. Создание виртуальной машины с NGFW).

  3. Для сети subnet-ext определите в качестве маршрута NGFW.

    ../../_images/s__modifyrouteext.png
  4. Для сетей subnet-int1 и subnet-int2 определите в качестве маршрута по умолчанию соответствующий дополнительный интерфейс NGFW.

    ../../_images/s__modifyroute.png
  5. Настройте политики на NGFW, чтобы разрешить необходимый трафик.

Вариант 2. Защищаемые сегменты сети вынесены в отдельные VPC

../../_images/schm__2.png
  1. В основном VPC cоздайте подсети:

    • subnet-ext: 192.168.0.0/24

    • subnet-int1: 192.168.1.0/24

  2. Создайте виртуальный NGFW c двумя сетевыми интерфейсами (см. Создание виртуальной машины с NGFW).

  3. Создайте дополнительные VPC (Network – Virtual Private Cloud – Create VPC).

    Примечание

    Подсети vpc-1, vpc-2 и vpc-ngfw не могут перекрывать друг друга. Например, можно использовать следующие подсети: для vpc-1 — 10.1.0.0/24, vpc-2 — 10.2.0.0/24, для vpc-ngfw — 192.168.0.0/16.

  4. Создайте пиринговые соединения, чтобы разрешить коммуникацию между VPC: одно между vpc-1 и vpc-ngfw, второе между vpc-2 и vpc-ngfw. При создании пирингового соединения не настраивайте маршруты для конечных точек соединения. Настройка маршрутов выполняется на следующих шагах.

    ../../_images/s__peercon.png
  5. Настройте таблицы маршрутизации для vpc-1 и vpc-2 укажите в качестве маршрута по умолчанию соответствующие пиринговые соединения:

    ../../_images/s__modifyroutepeer.png
  6. Настройте таблицу маршрутизации для vpc-ngfw. Добавьте в нее маршруты для подсетей в связанных пирингах, а в качестве маршрута по умолчанию укажите внутренний интерфейс NGFW:

    ../../_images/s__routes.png
  7. Настройте таблицу маршрутизации на FortiGate через веб-интерфейс.

    ../../_images/s__routingtable.png
  8. Настройте политики на NGFW, чтобы разрешить необходимый трафик.

Создание виртуальной машины с NGFW

  1. Создайте ECS для NGFW.

    Создайте ECS-NGFW, которая принадлежит vpc-ngfw.

    1. Перейдите в раздел Elastic Cloud Server и нажмите Create ECS. Подробную инструкцию см. Purchasing an ECS.

    2. Выберите конфигурацию оборудования в соответствии с планируемой нагрузкой NGFW и необходимым количеством сетевых интерфейсов и их пропускной способности: Спецификации Dedicated general-purpose ECS. Позже вы можете изменить конфигурацию оборудования и тип лицензии.

      Предупреждение

      Если указанные образы виртуальных машин недоступны в вашем списке, то свяжитесь с технической поддержкой SberCloud. После подтверждения перейдите в Image Management Service → Images Shared with Me и выберите их.

      Предупреждение

      Используйте конфигурации «Dedicated general-purpose», поскольку они позволяют гарантировать полосу пропускания и настроить более двух сетевых интерфейсов.

      Примечание

      Лицензия на Fortigate-VM может не соответствовать характеристикам ECS, при этом будет использоваться лицензируемое количество ядер. Это может быть полезно, когда необходимо использовать несколько сетевых интерфейсов, доступных в конфигурациях c 4-мя или 8-ю vCPUs, при этом достаточно производительности FortiGate VM02.

    ../../_images/s__config.png
  2. Выберите образ Fortigate-M для создания виртуальной машины.

    ../../_images/s__vpcimage.png
  3. Добавьте дополнительный диск для ведения журнала аудита межсетевого экрана. Объем дополнительного диска и скорость его работы зависит от планируемой нагрузки.

    ../../_images/s__harddrive.png
  4. Добавьте необходимое количество интерфейсов и настройте для них IP-адреса:

    ../../_images/s__addinterfaces.png
  5. В настройках сети создайте Security Group, в которой разрешен весь трафик.

    ../../_images/s__secgroup.png
  6. Выберите конфигурацию EIP для NGFW в соответствии с планируемой нагрузкой.

    ../../_images/s__eipconfig.png
  7. Укажите имя хоста для NGFW и выберите пункт Inherit Password From Image.

    ../../_images/s__inheritpass.png
  8. Выберите проект, в котором нужно создать NGFW, и нажмите Apply Now.

    ../../_images/s__project.png
  9. После создания виртуальной машины перейдите в настройки сетевых интерфейсов и отключите проверку Source/Destination Check.

    ../../_images/s__sourcedestcheck.png

Проверка работоспособности

Войдите в ECS-1 и проверьте наличие доступа из ECS-2 в ECS-1. Убедитесь, что в ECS-NGFW можно получать пакеты, отправленные из ECS-1 в ECS-2. Убедитесь, что пакеты проходят фильтрацию на МЭ в ECS-NGFW.

Для проведения диагностики вам могут помочь следующие команды FortiGate:

  • exec ping <IP-Address> — пропинговать какой-то ресурс

  • diagnose sniffer packet any "icmp" 4 — отобразить весь трафик

  • get router info routing-table — отобразить таблицу маршрутизации

Другие полезные команды для диагностики неисправностей вы можете найти в документе FortiGate: Administration Guide. Troubleshooting.