网安运营 - 运维篇
第一章 FortiGate IPSec+策略路由实现流量的路径分发
背景
企业内部有若干个分支机构,分支的网络架构都较小,但有信息安全的一些要求,因此只上架了FortiGate防火墙和若干网管型交换机组成两层的网络架构,即网络层和网际层。
分支的出口带宽采用ADSL拨号,通过IPSec的野蛮模式与总部专线进行互联,组成VPN网络实现与总部的内网通信。
网络需求
- 分支的Client网段192.168.100.0/24需通过总部专线出口IP上外网。要求Client网段经过IPSecVPN到总部使用固定IP出口访问外网
- 分支的Server网段有一台Web公网服务192.168.200.200:80需通过端口映射暴露在公网,访问用户无固定IP。要求ACL上做到风险把控,异常时可追溯到用户的真实IP
实施步骤
1. 搭建总分支防火墙的IPSecVPN网络,使用ike v1的野蛮模式进行互联
2. 总分支防火墙添加策略路由和IPSec相关配置,实现需求1
3. 配置公有云nginx代理主机,配置防火墙的IP池和策略路由,实现需求2
4. 附加:Web服务添加前置的网关服务层,业务数据采用共享存储,提高负载能力
现有环境
- FortiGate 6411版本的防火墙
- 总部内网172.16.100.0/24,FortiGate地址172.16.50.1/24,专线IP 1.1.1.1
- 分支内网192.168.100.0/24,FortiGate地址192.168.50.1/24,Web服务器192.168.200.200:80
- 云服务Nginx代理IP 2.2.2.2
模拟拓扑
需求1的模拟拓扑
需求2的模拟拓扑
注意事项
IP池
+NAPT
情况下,FortiGate
会从1025
端口开始映射到NAT端口
,NAT端口
从61441
至65535
,超过映射的65535
后即使用源端口
进行互联。
有效的源端口
从5121
到65535
,被映射的源端口
从1025
到5120
,映射对应的NAT
端口从61441
到65535
(共4096
个端口即2的12次方
)
FortiGate防火墙两端使用IPSec野蛮模式对接时,路由的指向如下图
搭建总分支防火墙的IPSecVPN网络,使用ike v1的野蛮模式进行互联
总部侧:FortiGate
的VPN配置如下:
配置IPSec的远程网关,总部这端的接口是专线,对端是ADSL拨号用户
配置阶段1 Proposal的认证和IKE版本为野蛮模式,加密算法与认证算法跟对端保持一致。预共享密钥与对端保持一致。总部本地ID
对应分支对等ID
,反之亦如此
配置阶段2 Proposal的感兴趣VPN隧道流,IPSec密钥周期与对端保持一致
分支侧:FortiGate
的VPN配置如下:
总分支配置策略路由,固定IPSecVPN的流量访问路径
总部侧:FortiGate
的策略路由配置如下:
分支侧:FortiGate
的策略路由配置如下:
综上完成总分支之间的IPSecVPN网络互通。
总分支配置IPSec和策略路由,实现需求1
调整总分支的IPSec配置,添加感兴趣VPN隧道流
分支侧,IPSec新增阶段2配置
总部侧,IPSec新增阶段2配置
调整总分支的策略路由配置
分支侧,将Client网段路由下一跳指向总部IPsec
总部侧,将Client网段路由下一跳指向总部专线出口
总分支防火墙配置防火墙策略,放通VPN隧道之间的流量,截图(略)
根据此模拟拓扑完成的IPSec隧道流是有重叠的,总分支都可以去掉第一条VPN隧道流。若生产环境时只有若干IP才需要走总部出公网,则需要保留第一条VPN隧道流,另外给这些IP单独加VPN隧道流即可。
综上实现需求1,当Client网段用户访问外网时,其路由路径会依次经过 分支防火墙的LAN口、总部防火墙的LAN口、专线出口。注:此处无需考虑回包的策略路由,TCP流量会根据防火墙已建立的会话表进行交互。
配置公有云nginx代理主机,配置防火墙的IP池和策略路由
nginx代理主机添加一条代理规则,将proxy指向总部专线出口即可,截图(略)
总分支IPSec配置添加一条VPN隧道流,实现分支192.168.200.0/24网段与总部172.16.100.0/24网段的互联,截图(略)
总分支防火墙配置防火墙策略,放通总部到分支Web服务器之间的流量,截图(略)
总部防火墙配置Web服务器的端口映射
总部防火墙配置Web服务器的防火墙策略,实现需求2
只允许来自公有云的出口IP 2.2.2.2的访问,添加NAPT+IP池的配置增加TCP连接的承载量
防火墙策略开启安全配置文件,记录所有会话流量
综上实现需求2,无固定IP的用户只需要访问云主机已暴露的2.2.2.2:80即可访问到分支Web服务192.168.200.200:80。
此处结合域名解析后,移动用户只需访问指定域名+端口即可,后续变更云主机的IP后只需修改域名对应IP和防火墙策略即可,对业务无影响。
将暴露点给到云主机,降低本地防火墙的暴露风险,同时也减少了给本地机房购置安全设备的成本,后续的安全加固都在云主机上解决即可,如购置云安全服务给web业务做安全加固,有云DDOS,云WAF、云漏扫等。真实业务数据则放在本地的分支DMZ区域,总分支之间构建本地化的数据灾备、异地灾备或两地三中心等灾备方案。
附加:Web服务添加前置的网关服务层,业务数据采用共享存储,提高负载能力
(略)