网安运营 - 运维篇

第一章 FortiGate IPSec+策略路由实现流量的路径分发

网安运营 - 运维篇
背景
- 网络需求
- 实施步骤
- 现有环境
- 模拟拓扑
- 注意事项
搭建总分支防火墙的IPSecVPN网络，使用ike v1的野蛮模式进行互联
- 总分支配置策略路由，固定IPSecVPN的流量访问路径
- 总分支配置IPSec和策略路由，实现需求1
配置公有云nginx代理主机，配置防火墙的IP池和策略路由
- 总部防火墙配置Web服务器的端口映射
- 总部防火墙配置Web服务器的防火墙策略，实现需求2
附加：Web服务添加前置的网关服务层，业务数据采用共享存储，提高负载能力

背景

企业内部有若干个分支机构，分支的网络架构都较小，但有信息安全的一些要求，因此只上架了FortiGate防火墙和若干网管型交换机组成两层的网络架构，即网络层和网际层。
分支的出口带宽采用ADSL拨号，通过IPSec的野蛮模式与总部专线进行互联，组成VPN网络实现与总部的内网通信。

网络需求

分支的Client网段192.168.100.0/24需通过总部专线出口IP上外网。要求Client网段经过IPSecVPN到总部使用固定IP出口访问外网
分支的Server网段有一台Web公网服务192.168.200.200:80需通过端口映射暴露在公网，访问用户无固定IP。要求ACL上做到风险把控，异常时可追溯到用户的真实IP

实施步骤

1. 搭建总分支防火墙的IPSecVPN网络，使用ike v1的野蛮模式进行互联
2. 总分支防火墙添加策略路由和IPSec相关配置，实现需求1
3. 配置公有云nginx代理主机，配置防火墙的IP池和策略路由，实现需求2
4. 附加：Web服务添加前置的网关服务层，业务数据采用共享存储，提高负载能力

现有环境

FortiGate 6411版本的防火墙
总部内网172.16.100.0/24，FortiGate地址172.16.50.1/24，专线IP 1.1.1.1
分支内网192.168.100.0/24，FortiGate地址192.168.50.1/24，Web服务器192.168.200.200:80
云服务Nginx代理IP 2.2.2.2

模拟拓扑

需求1的模拟拓扑

需求2的模拟拓扑

注意事项

IP池+NAPT情况下，FortiGate会从1025端口开始映射到NAT端口，NAT端口从61441至65535，超过映射的65535后即使用源端口进行互联。
有效的源端口从5121到65535，被映射的源端口从1025到5120，映射对应的NAT端口从61441到65535（共4096个端口即2的12次方）

搭建总分支防火墙的IPSecVPN网络，使用ike v1的野蛮模式进行互联

总部侧：FortiGate的VPN配置如下：

配置IPSec的远程网关，总部这端的接口是专线，对端是ADSL拨号用户

配置阶段1 Proposal的认证和IKE版本为野蛮模式，加密算法与认证算法跟对端保持一致。预共享密钥与对端保持一致。总部本地ID对应分支对等ID，反之亦如此

配置阶段2 Proposal的感兴趣VPN隧道流，IPSec密钥周期与对端保持一致

分支侧：FortiGate的VPN配置如下：

总分支配置策略路由，固定IPSecVPN的流量访问路径

总部侧：FortiGate的策略路由配置如下：

分支侧：FortiGate的策略路由配置如下：

综上完成总分支之间的IPSecVPN网络互通。

总分支配置IPSec和策略路由，实现需求1

调整总分支的IPSec配置，添加感兴趣VPN隧道流

分支侧，IPSec新增阶段2配置

总部侧，IPSec新增阶段2配置

调整总分支的策略路由配置

分支侧，将Client网段路由下一跳指向总部IPsec

总部侧，将Client网段路由下一跳指向总部专线出口

总分支防火墙配置防火墙策略，放通VPN隧道之间的流量，截图（略）
根据此模拟拓扑完成的IPSec隧道流是有重叠的，总分支都可以去掉第一条VPN隧道流。若生产环境时只有若干IP才需要走总部出公网，则需要保留第一条VPN隧道流，另外给这些IP单独加VPN隧道流即可。

综上实现需求1，当Client网段用户访问外网时，其路由路径会依次经过分支防火墙的LAN口、总部防火墙的LAN口、专线出口。注：此处无需考虑回包的策略路由，TCP流量会根据防火墙已建立的会话表进行交互。

配置公有云nginx代理主机，配置防火墙的IP池和策略路由

nginx代理主机添加一条代理规则，将proxy指向总部专线出口即可，截图（略）

总分支IPSec配置添加一条VPN隧道流，实现分支192.168.200.0/24网段与总部172.16.100.0/24网段的互联，截图（略）

总分支防火墙配置防火墙策略，放通总部到分支Web服务器之间的流量，截图（略）

总部防火墙配置Web服务器的端口映射

总部防火墙配置Web服务器的防火墙策略，实现需求2

只允许来自公有云的出口IP 2.2.2.2的访问，添加NAPT+IP池的配置增加TCP连接的承载量

防火墙策略开启安全配置文件，记录所有会话流量

综上实现需求2，无固定IP的用户只需要访问云主机已暴露的2.2.2.2:80即可访问到分支Web服务192.168.200.200:80。

此处结合域名解析后，移动用户只需访问指定域名+端口即可，后续变更云主机的IP后只需修改域名对应IP和防火墙策略即可，对业务无影响。
将暴露点给到云主机，降低本地防火墙的暴露风险，同时也减少了给本地机房购置安全设备的成本，后续的安全加固都在云主机上解决即可，如购置云安全服务给web业务做安全加固，有云DDOS，云WAF、云漏扫等。真实业务数据则放在本地的分支DMZ区域，总分支之间构建本地化的数据灾备、异地灾备或两地三中心等灾备方案。

附加：Web服务添加前置的网关服务层，业务数据采用共享存储，提高负载能力

(略）

[个人笔记] FortiGate IPSec+策略路由实现流量的路径分发相关推荐

Windows消息机制学习笔记（三）—— 消息的接收与分发
Windows消息机制学习笔记(三)-- 消息的接收与分发要点回顾消息循环消息队列消息的接收 GetMessage 实验1:理解GetMessage 第一步:编译并运行程序A 第二步:编译并运 ...
H3C S5500核心交换机策略路由调度流量到不同的路由设备
场景描述: 一台华为AR系列路由器(图中R1),一台H3C MSR系列路由器, 一台H3C S5500 核心交换机. AR路由器接入WAN1和WAN2两条线路,H3C路由器接入WAN3线路无线网络专用 ...
IPSEC非单播流量处理
ipsec只支持单播:组播和广播是不会错过一个数据的SA的. 常用的处理方法是将单播和组播封装在一个单播中,这样IPSEC就可以处理了. cisco将这个过程称为通用路由封装(GRE),GRE是一座3 ...
读书笔记：《亿级流量网站架构核心技术》(开涛的那本)
这本书知识范围广,但都浅尝辄止,可以用来开阔视野,由于之前看过李智慧的<大型网站技术架构>,有部分内容是重合的,所以翻起来比较快.这里只记录下之前没太了解的点第1章:交易型系统设计的一些 ...
Azure学习笔记1.——三种网络流量分配的方法
Azure的三种网络流量分配的方法: 一.Azure Load Balancer 1.位于OSI第4层 2.支持任何协议 3.支持的服务器端点:Azure的虚拟机和云服务角色实例 4.VNet sup ...
读书笔记：《亿级流量网站架构核心技术 -- 跟开涛学搭建高可用高并发系统》
from <亿级流量网站架构核心技术 – 跟开涛学搭建高可用高并发系统> 概述一个好的设计要做到,解决现有的需求和问题,把控实现和进度风险,预测和规划未来,不要过度设计,从迭代中演进和完 ...
路由交换中流量来回路径不一致会造成什么危害？
如果链路上存在安全设备,由于来回路径不一致,流量可能会被安全设备认为是半连接,进行阻断. 出现问题时,给问题排查带来困难.(后期排查困难) 如果不同链路的带宽不一致,可能会导致单向拥塞. 总结: 如果 ...
从联通沃指数看网易云音乐的流量收割路径
联通大数据近日发布了10月的沃指数,从活跃用户数和户均月耗流量两个维度对移动应用进行了排行. 与其他数据不同的是,沃指数以中国联通3亿出账用户作为样本数据,能够更直观且准确地反映移动应用的发展情况和竞 ...
python读取文件路径格式_Python学习笔记读写文件之文件与文件路径
随笔记录方便自己和同路人查阅. #------------------------------------------------我是可耻的分割线--------------------------- ...

[个人笔记] FortiGate IPSec+策略路由实现流量的路径分发