[个人笔记] FortiGate IPSec+策略路由实现流量的路径分发
网安运营 - 运维篇
第一章 FortiGate IPSec+策略路由实现流量的路径分发
- 网安运营 - 运维篇
- 背景
- 网络需求
- 实施步骤
- 现有环境
- 模拟拓扑
- 注意事项
- 搭建总分支防火墙的IPSecVPN网络,使用ike v1的野蛮模式进行互联
- 总分支配置策略路由,固定IPSecVPN的流量访问路径
- 总分支配置IPSec和策略路由,实现需求1
- 配置公有云nginx代理主机,配置防火墙的IP池和策略路由
- 总部防火墙配置Web服务器的端口映射
- 总部防火墙配置Web服务器的防火墙策略,实现需求2
- 附加:Web服务添加前置的网关服务层,业务数据采用共享存储,提高负载能力
背景
企业内部有若干个分支机构,分支的网络架构都较小,但有信息安全的一些要求,因此只上架了FortiGate防火墙和若干网管型交换机组成两层的网络架构,即网络层和网际层。
分支的出口带宽采用ADSL拨号,通过IPSec的野蛮模式与总部专线进行互联,组成VPN网络实现与总部的内网通信。
网络需求
- 分支的Client网段192.168.100.0/24需通过总部专线出口IP上外网。要求Client网段经过IPSecVPN到总部使用固定IP出口访问外网
- 分支的Server网段有一台Web公网服务192.168.200.200:80需通过端口映射暴露在公网,访问用户无固定IP。要求ACL上做到风险把控,异常时可追溯到用户的真实IP
实施步骤
1. 搭建总分支防火墙的IPSecVPN网络,使用ike v1的野蛮模式进行互联
2. 总分支防火墙添加策略路由和IPSec相关配置,实现需求1
3. 配置公有云nginx代理主机,配置防火墙的IP池和策略路由,实现需求2
4. 附加:Web服务添加前置的网关服务层,业务数据采用共享存储,提高负载能力
现有环境
- FortiGate 6411版本的防火墙
- 总部内网172.16.100.0/24,FortiGate地址172.16.50.1/24,专线IP 1.1.1.1
- 分支内网192.168.100.0/24,FortiGate地址192.168.50.1/24,Web服务器192.168.200.200:80
- 云服务Nginx代理IP 2.2.2.2
模拟拓扑
需求1的模拟拓扑
需求2的模拟拓扑
注意事项
IP池
+NAPT
情况下,FortiGate
会从1025
端口开始映射到NAT端口
,NAT端口
从61441
至65535
,超过映射的65535
后即使用源端口
进行互联。
有效的源端口
从5121
到65535
,被映射的源端口
从1025
到5120
,映射对应的NAT
端口从61441
到65535
(共4096
个端口即2的12次方
)
搭建总分支防火墙的IPSecVPN网络,使用ike v1的野蛮模式进行互联
总部侧:FortiGate
的VPN配置如下:
配置IPSec的远程网关,总部这端的接口是专线,对端是ADSL拨号用户
配置阶段1 Proposal的认证和IKE版本为野蛮模式,加密算法与认证算法跟对端保持一致。预共享密钥与对端保持一致。总部本地ID
对应分支对等ID
,反之亦如此
配置阶段2 Proposal的感兴趣VPN隧道流,IPSec密钥周期与对端保持一致
分支侧:FortiGate
的VPN配置如下:
总分支配置策略路由,固定IPSecVPN的流量访问路径
总部侧:FortiGate
的策略路由配置如下:
分支侧:FortiGate
的策略路由配置如下:
综上完成总分支之间的IPSecVPN网络互通。
总分支配置IPSec和策略路由,实现需求1
调整总分支的IPSec配置,添加感兴趣VPN隧道流
分支侧,IPSec新增阶段2配置
总部侧,IPSec新增阶段2配置
调整总分支的策略路由配置
分支侧,将Client网段路由下一跳指向总部IPsec
总部侧,将Client网段路由下一跳指向总部专线出口
总分支防火墙配置防火墙策略,放通VPN隧道之间的流量,截图(略)
根据此模拟拓扑完成的IPSec隧道流是有重叠的,总分支都可以去掉第一条VPN隧道流。若生产环境时只有若干IP才需要走总部出公网,则需要保留第一条VPN隧道流,另外给这些IP单独加VPN隧道流即可。
综上实现需求1,当Client网段用户访问外网时,其路由路径会依次经过 分支防火墙的LAN口、总部防火墙的LAN口、专线出口。注:此处无需考虑回包的策略路由,TCP流量会根据防火墙已建立的会话表进行交互。
配置公有云nginx代理主机,配置防火墙的IP池和策略路由
nginx代理主机添加一条代理规则,将proxy指向总部专线出口即可,截图(略)
总分支IPSec配置添加一条VPN隧道流,实现分支192.168.200.0/24网段与总部172.16.100.0/24网段的互联,截图(略)
总分支防火墙配置防火墙策略,放通总部到分支Web服务器之间的流量,截图(略)
总部防火墙配置Web服务器的端口映射
总部防火墙配置Web服务器的防火墙策略,实现需求2
只允许来自公有云的出口IP 2.2.2.2的访问,添加NAPT+IP池的配置增加TCP连接的承载量
防火墙策略开启安全配置文件,记录所有会话流量
综上实现需求2,无固定IP的用户只需要访问云主机已暴露的2.2.2.2:80即可访问到分支Web服务192.168.200.200:80。
此处结合域名解析后,移动用户只需访问指定域名+端口即可,后续变更云主机的IP后只需修改域名对应IP和防火墙策略即可,对业务无影响。
将暴露点给到云主机,降低本地防火墙的暴露风险,同时也减少了给本地机房购置安全设备的成本,后续的安全加固都在云主机上解决即可,如购置云安全服务给web业务做安全加固,有云DDOS,云WAF、云漏扫等。真实业务数据则放在本地的分支DMZ区域,总分支之间构建本地化的数据灾备、异地灾备或两地三中心等灾备方案。
附加:Web服务添加前置的网关服务层,业务数据采用共享存储,提高负载能力
(略)
[个人笔记] FortiGate IPSec+策略路由实现流量的路径分发相关推荐
- Windows消息机制学习笔记(三)—— 消息的接收与分发
Windows消息机制学习笔记(三)-- 消息的接收与分发 要点回顾 消息循环 消息队列 消息的接收 GetMessage 实验1:理解GetMessage 第一步:编译并运行程序A 第二步:编译并运 ...
- H3C S5500核心交换机策略路由调度流量到不同的路由设备
场景描述: 一台华为AR系列路由器(图中R1),一台H3C MSR系列路由器, 一台H3C S5500 核心交换机. AR路由器接入WAN1和WAN2两条线路,H3C路由器接入WAN3线路无线网络专用 ...
- IPSEC非单播流量处理
ipsec只支持单播:组播和广播是不会错过一个数据的SA的. 常用的处理方法是将单播和组播封装在一个单播中,这样IPSEC就可以处理了. cisco将这个过程称为通用路由封装(GRE),GRE是一座3 ...
- 读书笔记: 《亿级流量网站架构核心技术》(开涛的那本)
这本书知识范围广,但都浅尝辄止,可以用来开阔视野,由于之前看过李智慧的<大型网站技术架构>,有部分内容是重合的,所以翻起来比较快.这里只记录下之前没太了解的点 第1章:交易型系统设计的一些 ...
- Azure学习笔记1.——三种网络流量分配的方法
Azure的三种网络流量分配的方法: 一.Azure Load Balancer 1.位于OSI第4层 2.支持任何协议 3.支持的服务器端点:Azure的虚拟机和云服务角色实例 4.VNet sup ...
- 读书笔记:《亿级流量网站架构核心技术 -- 跟开涛学搭建高可用高并发系统》
from <亿级流量网站架构核心技术 – 跟开涛学搭建高可用高并发系统> 概述 一个好的设计要做到,解决现有的需求和问题,把控实现和进度风险,预测和规划未来,不要过度设计,从迭代中演进和完 ...
- 路由交换中流量来回路径不一致会造成什么危害?
如果链路上存在安全设备,由于来回路径不一致,流量可能会被安全设备认为是半连接,进行阻断. 出现问题时,给问题排查带来困难.(后期排查困难) 如果不同链路的带宽不一致,可能会导致单向拥塞. 总结: 如果 ...
- 从联通沃指数看网易云音乐的流量收割路径
联通大数据近日发布了10月的沃指数,从活跃用户数和户均月耗流量两个维度对移动应用进行了排行. 与其他数据不同的是,沃指数以中国联通3亿出账用户作为样本数据,能够更直观且准确地反映移动应用的发展情况和竞 ...
- python读取文件路径格式_Python学习笔记读写文件之文件与文件路径
随笔记录方便自己和同路人查阅. #------------------------------------------------我是可耻的分割线--------------------------- ...
最新文章
- Google联合OpenAI揭秘神经网络黑箱:AI的智慧,都藏在激活地图里
- 算法时间复杂度和空间复杂度表示
- I2C和SPI异同及使用注意
- Eclipse Juno在ubuntud的安装(SVN)
- nsoutlineview 搜索_阿里巴巴搜索推荐广告三位一体的在线服务体系
- 卷烟厂招工内卷:要求本科以上,但报名的硕士太多
- 二叉树的层序遍历 二叉树
- 手把手教你用python写游戏
- python读取txt数据
- 统计分析——假设检验、中心极限定理
- 定义fact(n)函数,调用函数,返回值
- html页面中文本框的光标控制
- 99行拓扑优化matlab程序解读,99行拓扑优化 代码解析
- linux最新flash+player,Linux版Flash Player正式回归
- 苹果手机短信html,苹果手机的短信功能你真的会用吗?这样用更省心哦!
- 一个初创企业的“生还”记录
- java获取网页编码_java根据URL获取网页编码
- 流量高的短视频有哪些特点?三个共同点分享,助你找准方向
- extern 用法小结
- Jmeter接口测试中参数化的多种方法,你知道的有几种?欢迎评论留言。