基于ZStack云平台部署FortiGate

前言

随着云计算技术的不断完善和发展，云计算已经得到了广泛的认可和接受，许多组织已经或即将进行云计算系统建设。同时，以信息服务为中心的模式深入人心， 大量的应用正如雨后春笋般出现， 组织也开始将传统的应用向云中迁移。

云计算技术给传统的 IT 基础设施、应用、数据以及IT 运营管理都带来了革命性改变，同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战，也推进了安全服务内容、实现机制和交付方式的创新和发展。

云计算模式通过将数据统一存储在云计算服务器中，在传统 IT 技术的基础上，增加了一个虚拟化层，并且具有了资源池化、按需分配，弹性调配，高可靠等特点，但是这样也导致虚拟网络中无法更好的进行防护，比如同网段的流量可能内部进行交互，无法进行流量监控;同租户的不同网络的流量可能不经过物理防火墙，无法进行审计。

在云计算环境中，为了适应虚拟化环境，以及对虚拟机之间的流量、跨安全域边界的流量进行监测和访问控制的需要，安全设备在保持架构和功能的基础上，在产品形态和部署方式发生了一定的变化。

在产品形态方面，主要体现是由硬件到软件。在部署方式方面，主要通过合理设计虚拟化网络逻辑结构，将虚拟化安全设备部署在合理的逻辑位置，同时保证随着虚拟主机的动态迁移，能够做到安全防护措施和策略的跟随。

在ZStack云平台上，我们可以非常快速的以虚拟机的形式部署安全设备，本文以 FortiGate 为例。

1. 部署FortiGate

1.1 拓扑介绍

FortiGate使用一台云主机来部署，分别连接公有网络和私有网络，作为私有网络的网关，公有网络和私有网络都使用扁平网络。

1.2 云平台环境准备

ZStack云平台部署步骤详情参考官方文档：https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

创建云主机：

选择“云资源池”->点击“云主机”->点击“创建云主机按钮”打开云主机创建页面。

创建云主机的步骤：

1)选择添加方式：平台支持创建单个云主机和创建多个云主机，根据需求进行选择。

2)设置云主机名称：在设置名称时建议以业务系统名称进行命名，方便管理运维。

3)选择计算规格：根据定义的计算规格结合业务需求选择适合的计算规格。

4)选择镜像模板：根据业务需求选择相应的镜像模板。

5)选择三层网络：配置网络的时候需要注意，私有网络需要预留一个IP给FortiGate使用，因为云平台虚拟机无法直接配置网关IP，比如网关为10.20.0.1，预留10.20.0.254给FortiGate，创建FortiGate虚拟机时直接指定10.20.0.254，后续再登录FortiGate虚拟机将IP修改为10.20.0.1，确认配置无误后点击“确定”开始创建。

2. 配置FortiGate

2.1 基础配置

打开FortiGate虚拟机控制台，默认用户名admin，默认密码为空，，登录FortiGate CLI终端。

配置端口IP：

config system interface 
edit port1 
set mode dhcp 
set allowaccess ping https ssh snmp http 
next 
edit port2 
set ip 10.20.0.1 255.255.255.0 
set allowaccess ping https ssh snmp http 
next 

2.2 登录Web管理端

在浏览器中输入port1的ip，172.32.1.240，进入登录页面。

输入默认用户名admin，密码为空，点击登录。

2.3 配置端口策略

在左边导航栏选择策略&对象->IPv4策略。

点击“新建”按钮，配置从外部到内部的流量策略，完成后点击确认 。

再次点击“新建”按钮，配置从内部到外部的流量策略，完成后点击确认。 

2.4 配置动态路由协议

在左边导航栏选择网络->OSPF

配置相应的area和network发布

在物理交换机侧也做相应的配置，和FortiGate建立OSPF邻居并交互路由信息。

2.5 连通性测试

使用私有网络创建一台虚拟机，网关设置为FortiGate的port2 ip。

（编辑：好传媒网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!