[笔记] FortiGate IPSec+策略路由实现流量的路径分发

已于 2024-06-04 17:48:41 修改
阅读量1.4k 收藏 6
点赞数 2
分类专栏: 网安运营 文章标签: 运维 网络
于 2023-01-18 02:30:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54768192/article/details/128721763
版权

网安运营 - 运维篇

第一章 FortiGate IPSec+策略路由实现流量的路径分发

背景

企业内部有若干个分支机构,分支的网络架构都较小,但有信息安全的一些要求,因此只上架了FortiGate防火墙和若干网管型交换机组成两层的网络架构,即网络层和网际层。
分支的出口带宽采用ADSL拨号,通过IPSec的野蛮模式与总部专线进行互联,组成VPN网络实现与总部的内网通信。


网络需求

  1. 分支的Client网段192.168.100.0/24需通过总部专线出口IP上外网。要求Client网段经过IPSecVPN到总部使用固定IP出口访问外网
  2. 分支的Server网段有一台Web公网服务192.168.200.200:80需通过端口映射暴露在公网,访问用户无固定IP。要求ACL上做到风险把控,异常时可追溯到用户的真实IP

实施步骤

1. 搭建总分支防火墙的IPSecVPN网络,使用ike v1的野蛮模式进行互联
2. 总分支防火墙添加策略路由和IPSec相关配置,实现需求1
3. 配置公有云nginx代理主机,配置防火墙的IP池和策略路由,实现需求2
4. 附加:Web服务添加前置的网关服务层,业务数据采用共享存储,提高负载能力


现有环境

  • FortiGate 6411版本的防火墙
  • 总部内网172.16.100.0/24,FortiGate地址172.16.50.1/24,专线IP 1.1.1.1
  • 分支内网192.168.100.0/24,FortiGate地址192.168.50.1/24,Web服务器192.168.200.200:80
  • 云服务Nginx代理IP 2.2.2.2

模拟拓扑

需求1的模拟拓扑
#1

需求2的模拟拓扑
#2


注意事项

IP池+NAPT情况下,FortiGate会从1025端口开始映射到NAT端口NAT端口6144165535,超过映射的65535后即使用源端口进行互联。
有效的源端口512165535,被映射的源端口10255120,映射对应的NAT端口从6144165535(共4096个端口即2的12次方


FortiGate防火墙两端使用IPSec野蛮模式对接时,路由的指向如下图
2



搭建总分支防火墙的IPSecVPN网络,使用ike v1的野蛮模式进行互联

总部侧:FortiGate的VPN配置如下:
1

配置IPSec的远程网关,总部这端的接口是专线,对端是ADSL拨号用户
2

配置阶段1 Proposal的认证和IKE版本为野蛮模式,加密算法与认证算法跟对端保持一致。预共享密钥与对端保持一致。总部本地ID对应分支对等ID,反之亦如此
3

配置阶段2 Proposal的感兴趣VPN隧道流,IPSec密钥周期与对端保持一致
4



分支侧:FortiGate的VPN配置如下:
5
6
7


总分支配置策略路由,固定IPSecVPN的流量访问路径

总部侧:FortiGate的策略路由配置如下:
8

分支侧:FortiGate的策略路由配置如下:
9

综上完成总分支之间的IPSecVPN网络互通。


总分支配置IPSec和策略路由,实现需求1

调整总分支的IPSec配置,添加感兴趣VPN隧道流

分支侧,IPSec新增阶段2配置
10


总部侧,IPSec新增阶段2配置
11


调整总分支的策略路由配置

分支侧,将Client网段路由下一跳指向总部IPsec
12


总部侧,将Client网段路由下一跳指向总部专线出口
13


总分支防火墙配置防火墙策略,放通VPN隧道之间的流量,截图(略)
根据此模拟拓扑完成的IPSec隧道流是有重叠的,总分支都可以去掉第一条VPN隧道流。若生产环境时只有若干IP才需要走总部出公网,则需要保留第一条VPN隧道流,另外给这些IP单独加VPN隧道流即可。

综上实现需求1,当Client网段用户访问外网时,其路由路径会依次经过 分支防火墙的LAN口、总部防火墙的LAN口、专线出口。注:此处无需考虑回包的策略路由,TCP流量会根据防火墙已建立的会话表进行交互。



配置公有云nginx代理主机,配置防火墙的IP池和策略路由

nginx代理主机添加一条代理规则,将proxy指向总部专线出口即可,截图(略)

总分支IPSec配置添加一条VPN隧道流,实现分支192.168.200.0/24网段与总部172.16.100.0/24网段的互联,截图(略)

总分支防火墙配置防火墙策略,放通总部到分支Web服务器之间的流量,截图(略)



总部防火墙配置Web服务器的端口映射

14


总部防火墙配置Web服务器的防火墙策略,实现需求2

只允许来自公有云的出口IP 2.2.2.2的访问,添加NAPT+IP池的配置增加TCP连接的承载量
15

防火墙策略开启安全配置文件,记录所有会话流量
16

综上实现需求2,无固定IP的用户只需要访问云主机已暴露的2.2.2.2:80即可访问到分支Web服务192.168.200.200:80。

此处结合域名解析后,移动用户只需访问指定域名+端口即可,后续变更云主机的IP后只需修改域名对应IP和防火墙策略即可,对业务无影响。
将暴露点给到云主机,降低本地防火墙的暴露风险,同时也减少了给本地机房购置安全设备的成本,后续的安全加固都在云主机上解决即可,如购置云安全服务给web业务做安全加固,有云DDOS,云WAF、云漏扫等。真实业务数据则放在本地的分支DMZ区域,总分支之间构建本地化的数据灾备、异地灾备或两地三中心等灾备方案。



附加:Web服务添加前置的网关服务层,业务数据采用共享存储,提高负载能力

(略)

歪果仨
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
飞塔防火墙组策略操作设定说明书
02-17
飞塔防火墙组策略操作设定说明书,非常实用的操作指引
fortigate与juniper_IPSEC配置手册.docx
06-23
FortiGate 与Juniper 配置标准/FortiGate 与Juniper 配置标准
教程篇(7.4) 11. IPsec VPN & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4
最新发布
防火墙技术专栏
04-02 380
在本课中,你将了解IPsec VPN的架构组件以及如何配置它们。
FORTINET FortiGate 310B双链路策略路由配置
weixin_34113237的博客
01-07 325
客户需求: 双WAN口,支持线路负载均衡(如Vlan 2,3,4,5,52,54的用户正常情况下走光纤上网,当光纤断掉,全部走ADSL上网(备份作用),光纤恢复正常后,这些VLAN下的用户又走光纤上网。vlan 9,7,50,51,53的用户正常情况下走ADSL上网,当ADSL断掉,全部走光纤上网(备份),ADSL恢复正常后,这些VLAN下的用户又走ADSL上网。 如下拓...
【隧道篇 / IPsec】(5.6) ❀ 07. 启用IPsec策略模式 ❀ FortiGate 防火墙
防火墙技术专栏
03-23 1659
IPsec VPN 策略模式怎么启用? 为什么在策略里看不到IPsec VPN选项?   ① 默认情况下,创建IPsec VPN都是直接进入接口模式。划红圈的位置没有任何提示。   ② 在策略的动作属性里,也只有〖接受〗和〖拒绝〗两个动作。   ③ 要启用IPsec VPN策略模式,选择菜单【系统管理】-【可见功能】,启用〖基于策略的IPsec VPN〗。   ④ ......
教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
03-09 3918
在本节课中你将了解IPsec的架构组件以及如何配置它们。通过展示IPsec基础知识的能力,你将能够理解IPsec的概念和好处。
飞塔(FortiGate)配置IPSec
沉默的鹏先生
12-23 9484
1、配置IPSec 1.1、进入VPN > IPsecWizard,选择custom。输入IPSec名称。点击Next,进行下一步配置。 1.2、填写Remote Gateway IP,选择Interface,以及pre-shared key 1.3、配置Phase1 proposal的Encryption和Authentication,选择Diffie-Hellman Group...
FortiGate &IPsec Troubleshooting专题培训
02-23
IPSEC配置详解 Debug 抓包分析详解
fortigate7.2.4
05-20
fortigate7.2.4
fortigate防火墙策略.pptx
11-19
fortigate防火墙策略.pptx
飞塔防火墙IPSECVPN配置简单步骤.pdf
12-25
飞塔防火墙IPSECVPN配置简单步骤.pdf
教程篇(5.4) 07. 基础 IPsec ❀ FortiGate 基础 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
04-11 1939
在这节课中将向你展示如何建立一个站点到站点的IPsec VPN。   在今天的IT基础设施上大量使用VPN通过互联网加入私人公司网络IPsec是RFC标准。你是否有FortiGate设备或组合其它厂商的设备,原理本质上是相同的。 完成本课程后,你需要掌握设置一个简单的两个站点之间的IPsec隧道技能。你将学习如何配置一个基于策略或基于路由VPN,以及如何验证每个通道的状态。 ...
Fortigate 80C IPSEC ×××配置
weixin_33851604的博客
12-23 168
此次重点不是讲如何配置×××,而是为了说明细心的重要性(下图会说明) 网络架构如下: 配置步骤: 1.首先配置fortigate 让其网络先通 1.1 根据网络架构图配置WAN和internal接口 1.2 配置DNS和静态路由 1.3 配置策略 到这里应该可以上网(补充:记得配置DHCP---...
Mac Cisco IPsec 添加路由表 分流
weixin_43112950的博客
03-16 1295
居家办公用 Cisco IPsec 方式连公司VPN,由于VPN连接后会流量都会先从VPN经过,导致访问非公司网络极慢,搜索一番都得知可通过添加路由表让公司内网地址走VPN,非公司内网地址正常连接网络. 解决方案出自: https://superuser.com/questions/91191/how-to-force-split-tunnel-routing-on-mac-to-a-cisco-vpn/473766#comment471825_313961
日常记录(一)HubSpoke下FortiGate防火墙IPsecVPN搭建
xuyuelin1996的博客
07-12 584
多分支机构与总部互联,拓扑大致为Hub-Spoke的模式,各个分部通过IPsecVPN接入总部,总部为固定IP,分部为ADSL或者固定IP。
FortiGate IPSec高级选项配置
weixin_34319999的博客
11-07 313
详解查看咐件! 转载于:https://blog.51cto.com/yanghuawu/708565
教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2005
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
教程篇(7.0) 01. FortiGate基础架构 & 路由 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
02-24 3460
在本课中,你将了解FortiGate上可用的路由功能和特性。通过在FortiGate上展示路由能力,你应该能够实现静态路由和策略路由。你还可以控制知名互联网服务的流量路由。
fortigate 7.0
06-24
### 回答1: FortiGate 7.0 是一种全新的网络安全平台,它提供了更高的性能和更多的功能,以帮助企业保护其网络免受各种威胁。FortiGate 7.0 可以提供超过 1Tbps 的吞吐能力,拥有新的 AI 引擎,可以自动为网络安全配置提供更精确和更快的响应。FortiGate 7.0 还支持不同的部署模式,包括物理和虚拟环境,以便企业可以根据其具体需求进行选择。此外,FortiGate 7.0 还可以与其他 Fortinet 产品集成,以提供更完整的网络安全解决方案,并帮助用户更好地管理其全球性网络。总之,FortiGate 7.0 是一种非常实用和高效的网络安全工具,它为企业提供了更好的保护机制,以应对日益复杂和威胁性的网络环境。 ### 回答2: FortiGate 7.0是全球领先的网络安全厂商Fortinet推出的最新一代安全操作系统。FortiGate 7.0主要升级在性能优化和智能化方面。FortiGate 7.0通过在产品上内置AI技术,对安全事件的处理速度进一步加快,精确度得到强化。此外,还采用了更加先进的内存和CPU算法,并针对现代网络的变化进行优化,从而使其处理数据的速度更快,节省更多的硬件资源。 FortiGate 7.0同时也支持多种融合安全技术,比如SD-WAN、CASB和ZTNA等,可以让企业在一个平台上实现多种安全功能。FortiGate 7.0还针对IoT设备进行了加固,通过分析各种设备的流量数据,更精准地去确保对这些设备的保护效果。总之,FortiGate 7.0是一个重要的安全系统更新,它的性能优化和功能拓展,为企业网络安全提供了更加可靠的保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪果仨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值