教程篇(7.0) 03. FortiGate基础架构 & 虚拟域(VDOM) ❀ Fortinet 网络安全专家 NSE 4

飞塔老梅子

已于 2022-04-04 10:26:38 修改

阅读量3.5k

点赞数 1

分类专栏： # NSE4 FortiGate 7.0 教程文章标签： NSE4 7.0 Fortinet VDOM 虚拟域

于 2022-03-06 13:28:17 首次发布

NSE4 FortiGate 7.0 教程专栏收录该内容

20 篇文章 48 订阅

订阅专栏

在本课中，你将学习如何配置VDOM，并研究一些常用的示例。

本节课，你将学习上图显示的主题。

通过演示VDOM的能力，你将能够理解VDOM的主要优点和用例。

如果你希望将策略和管理员细分为多个安全域，而不是将网络分段，该怎么办?

　　在这种情况下，可以启用FortiGate VDOM，它将FortiGate分割为多个逻辑设备。每个VDOM都有独立的安全策略和路由表。而且，在默认情况下，来自一个VDOM的流量不能转到不同的VDOM。这意味着不同VDOM中的两个接口可以共享相同的IP地址，而不会出现子网重叠的问题。

　　当你使用VDOM时，单个FortiGate设备将成为网络安全、UTM检查和安全通信设备的虚拟数据中心。

有几种方法可以安排VDOM。在上图显示的拓扑中，每个网络通过自己的VDOM访问互联网。

　　注意，没有VDOM之间的链接。因此，VDOM之间的通信是不可能的，除非它在物理上离开FortiGate，进入互联网，然后被重新路由回来。这种拓扑最适合于这样的场景：多个客户共享一个FortiGate，每个客户都在自己的VDOM中，并使用物理隔离的ISP。

与前面图片中显示的拓扑一样，这张图片中显示的示例拓扑中的每个网络都通过其VDOM发送流量。然而，在此之后，流量通过To_Internet VDOM路由。因此，internet绑定的流量通过To_Internet VDOM中的单个管道流动。

　　这可能适用于多个客户共享单个FortiGate的场景，每个客户都在自己的VDOM中。在这种情况下，面向internet的VDOM可以记录和监控流量，或者提供反病毒扫描等标准服务，或者两者兼而有之。

　　这张图片上显示的拓扑有VDOM间的链接。VDOM只与To_Internet VDOM链接，而不相互链接。如果VDOM1需要与VDOM3通信，则需要通过IP路由决策通过To_Internet VDOM进行路由，并受所有防火墙策略的约束。

　　根据你的需求，可以通过面向internet的VDOM或原始VDOM进行检查。或者，你可以分割检查，以便在面向internet的VDOM中进行一些扫描(确保公共的安全基线)，而在原始VDOM中进行更密集的扫描。

在上图所示的示例拓扑中，通信流再次通过To_Internet VDOM中的单个管道流向internet。VDOM之间的流量不需要离开FortiGate。

　　但是，现在VDOM之间的流量不需要通过To_Internet VDOM。VDOM之间的Inter-VDOM链接允许更直接的通信。

　　与前面的示例拓扑类似，检查可以由To_Internet或原始VDOM完成，这取决于你的需求。

　　由于VDOM间的链接数量众多，上图中的示例是最复杂的，需要最多的路由和防火墙策略。对网状VDOM进行故障排除也会耗费更多的时间。

　　然而，网状VDOM也提供了最大的灵活性。对于大型企业，可能需要VDOM之间的通信。另外，由于较短的处理路径，可以绕过中间的VDOM，所以VDOM之间的流量性能可能会更好。

到目前为止，你已经了解了流量通过FortiGate从一个VDOM到另一个VDOM。那么来自FortiGate的流量呢?

　　一些系统守护进程，如NTP和FortiGuard更新，会产生来自FortiGate的流量。FortiGate设备上的一个VDOM被指定为管理VDOM。来自FortiGate到这些全局服务的流量来自管理VDOM。默认情况下，root VDOM作为管理VDOM，但在多VDOM模式下，可以手动将该任务重新分配给其他VDOM。

　　与不启用VDOM的FortiGate类似，管理VDOM应该具有外发internet访问。否则，FortiGuard计划更新等功能将会失败。

　　值得注意的是，管理VDOM指定仅用于FortiGate发起的流量，如FortiGuard更新，对通过FortiGate的流量没有影响。因此，管理功能可以由任何指定的VDOM执行。

答案：B

现在你了解了关于VDOM的一些基本概念。接下来，你将了解VDOM管理员。

通过展示创建VDOM管理帐户的能力，你将能够理解各种级别和类型的VDOM管理员之间的差异。

如果要授予所有VDOM的访问权限和全局设置，请在配置管理员帐号时选择super_admin作为访问配置文件。与admin类似，该帐户可以配置所有的VDOM。

在大多数情况下，首先为每个VDOM创建一个管理员帐户。该管理员主要负责该域，包括该VDOM的配置备份。在较大的组织中，可能需要创建多个VDOM管理员。可以为每个VDOM分配多个管理员。为了遵循职责分离的最佳实践，你可以使用访问配置文件对权限进行细分。

　　反过来也是可能的。如果需要，可以为多个VDOM分配一个管理员。

如果需要创建新的管理员帐户并将其分配给VDOM，请单击 Global > System > Administrators。

答案：B

现在你了解了VDOM管理员。接下来，你将学习如何配置VDOM。

通过演示配置VDOM的能力，你将能够在FortiGate上有效地实现VDOM。

VDOM有两种模式：split-vdom和multi-vdom。在split-vdom中，FortiGate总共有两个vdom，包括root和FG-traffic VDOM。不能使用split-vdom模式添加VDOM。

　　1. split-vdom模式：

　　a) split-vdom模式下的root VDOM是管理VDOM，只做管理工作。以下导航栏条目和页面隐藏在root VDOM中：

　　● 所有策略与对象条目

　　● 用户与设备，安全配置文件

　　● 流量相关的FortiView条目

　　● VPN条目

　　● 系统 > Fabric连接器，声誉，功能可见性，对象标签条目

　　● Wan-Opt条目

　　● 大多数路由条目

　　● 大多数日志事件条目

　　● 监控项

　　b) FG-traffic VDOM可以提供单独的安全策略，允许流量通过FortiGate。

　　2. multi-vdom模式：你可以创建多个VDOM，这些VDOM可以作为多个独立的单元。默认情况下，root是管理VDOM，可以用来执行管理任务和允许其他流量。可以选择任意一个VDOM作为管理VDOM。

什么时候选择一种VDOM模式而不是另一种?答案取决于环境和所需的流量分割方法。

　　当你不希望管理流量和网络流量存在于同一个VDOM中时，可以使用split-VDOM模式。使用root VDOM隔离管理流量，使用FG-traffic VDOM隔离网络流量。

　　当你想从一个FortiGate创建多个逻辑防火墙时，请使用multi-VDOM模式。每个VDOM充当一个独立的FortiGate。这种配置模式适用于利用多租户配置的托管服务提供商，或者需要部门细分的大型企业环境。你可以为每个租户或部门提供其VDOM的可见性和控制权，同时保持其他VDOM的独立性和不可见性。

要通过图形界面启用VDOM，请单击系统管理>设置>虚拟域 。

　　然后，在虚拟域部分单击切换VDOM模式。

　　注意，在FortiGate-60系列和更早的型号上，必须只在CLI中启用VDOM，使用以下命令：

　　config system globalset

　　 vdom-mode no-vdom/split-vdom/multi-vdom

　　end

　　启用VDOM不会重新启动FortiGate设备，但会注销所有活动的管理员会话。启用VDOM将重新构造GUI和CLI，你将在再次登录时看到这一点。这也不会影响任何通过FortiGate的流量。

启用多VDOM模式下的VDOM后，默认只存在一个VDOM，即根VDOM。它是默认的管理VDOM。

　　你需要为每个安全域添加一个VDOM。例如，如果你是一个MSSP，你可以为每个客户公司添加一个VDOM。如果是企业业务，可以为公司的每个部门添加一个VDOM。

　　由于缺省的检测模式为基于流，所以可以在VDOM的系统>配置中将NGFW模式从基于配置文件(缺省)直接修改为基于策略。

　　基于配置文件的NGFW为传统模式，需要先创建反病毒、web过滤和IPS配置文件，然后应用到策略中。策略模式实际上是一种新的策略模式。用户无需创建并配置应用控制和web过滤配置文件，直接将应用和web过滤类别添加到策略中。NGFW mode是per-VDOM的设置。如果配置了NGFW的配置模式为基于配置文件，则可以在该VDOM中配置策略进行流检测或代理检测。但如果NGFW的模式为policy-based，则该VDOM下所有策略的检测模式都为流，且该策略中没有修改策略的选项。

　　NGFW模式切换会导致当前VDOM中配置的所有策略丢失。如果你不希望发生这种情况，或者你只想使用特定的NGFW模式进行试验，那么可以考虑创建一个新的VDOM来进行测试。你还可以在切换模式之前备份配置。

　　操作模式是每个VDOM的设置。你可以在同一个物理FortiGate上组合透明模式VDOM和NAT模式VDOM。

添加了一个VDOM确认提示符，这样用户就不会在CLI中意外地创建新的VDOM。此设置在默认情况下是禁用的。启用后，当管理员创建一个新的VDOM时，FortiGate会在创建VDOM之前显示一个确认提示。

添加其他VDOM之后，可以指定哪些接口属于每个VDOM。每个接口(物理接口或VLAN接口)只能属于一个VDOM。

　　你可以将接口从一个VDOM移动到另一个VDOM，前提是它们没有关联的引用，例如防火墙策略。

全局资源限制是全局设置的一个例子。FortiGate设备上的固件和一些设置(如系统时间)适用于整个设备—它们并不特定于每个VDOM。

但是，你可以为每个VDOM配置不同的设置。例如：防火墙策略、防火墙对象、静态路由、保护配置文件等等。

如果你以大多数管理员帐户登录，则会自动进入你的VDOM。

　　但是，如果你以名为admin的帐户登录，则不会分配给任何VDOM。因此，你可以访问所有的VDOM。

　　在界面上输入VDOM时，请在界面上方的下拉列表框中选择VDOM。

　　在每个VDOM中，子菜单应该是熟悉的；它本质上与启用VDOM之前的导航菜单相同。但是，全局设置被移动到global菜单。

在命令行中，如果要访问全局配置设置，必须输入config global才能进入全局上下文。之后，你可以执行global命令更改全局配置设置。

　　要在CLI中访问每个VDOM的配置设置，必须输入config vdom，然后输入edit，再输入VDOM名称。在VDOM上下文中，你可以运行特定于VDOM的命令并更改每个VDOM的配置设置。重要的是要注意VDOM名称是区分大小写的。如果输入的大小写不正确，FortiGate将创建一个新的VDOM。

　　无论你在哪个上下文中(全局或VDOM)，都可以使用sudo关键字在不同于当前上下文中运行诊断命令。例如，这允许你运行全局命令和每个VDOM命令，而无需在全局上下文和每个VDOM上下文之间来回切换。

你可以全局配置安全配置文件，供多个VDOM使用，以避免分别为每个VDOM创建相同的配置文件。全局配置文件可用于以下安全功能：

　　● 反病毒

　　● 应用控制

　　● 数据防泄漏

　　● 入侵防御

　　● 网页过滤

　　一些安全配置文件功能，如URL过滤器，不能在全局配置文件中使用。任何全局配置文件的名称必须以“g-”开头，以便识别。全局配置文件对VDOM层管理员来说是只读的，只能在全局设置中编辑或删除。每个安全功能至少有一个默认的全局配置文件。

你可以在安全结构中包含配置了VDOM的FortiGate设备。物理安全结构拓扑将每个下游FortiGate表示为一个单独的FortiGate设备。在安全结构逻辑拓扑中，每个FortiGate都显示了按VDOM分组的端口。下游FortiGate设备必须通过其上游FortiGate设备的管理VDOM加入安全结构。

FortiGate安全结构连接设置可在安全结权 > 结构连接器页面中获得。如果上游FortiGate启用了VDOM模式，它可以允许下游FortiGate设备通过一个现有的VDOM加入安全结构。如果下行FortiGate设备开启了VDOM模式，则可以通过下行FortiGate接口与上行FortiGate设备连接。

　　你可以单击全局>物理拓扑来查看根FortiGate设备和所有下游FortiGate设备，它们与根FortiGate设备处于相同的安全结构中。单击根>物理拓扑或FG-Traffic >物理拓扑，可以看到根FortiGate设备，并且只能看到根FortiGate设备上连接到当前选择的VDOM的下游FortiGate设备。

当你在多VDOM模式下配置FortiGate设备并将其添加到安全结构时，当检测到一个或多个设备时，将显示每个VDOM及其分配的端口。只有被发现的和连接的设备的端口出现在安全结构视图中，因此，你必须在你想要在安全结构中显示的端口上启用设备发现。没有连接设备端口的VDOM不显示。所有已配置的VDOM必须是单个安全结构的一部分。在上图的示例中，Local-FortiGate以多VDOM模式配置，有三个VDOM (root、VDOM1和VDOM2)，每个都有连接设备的端口。

你可以查看全局级别的安全评级。在这三个记分卡中，每个安全控制条目都在Scope列中显示相关的VDOM信息(如果有的话)。这允许对Security Fabric部署分析进行更细粒度的分解。

答案：B

现在你了解了如何配置VDOM。接下来，你将了解VDOM之间的链接。

通过演示跨VDOM链接的能力，你将能够在FortiGate上有效地在VDOM之间路由流量。

回顾一下，每个VDOM的行为就像它在一个单独的FortiGate设备上一样。使用单独的FortiGate设备，通常需要连接一根网线，并在它们之间配置路由和策略。但是VDOM在同一个FortiGate上。那么，你应该如何在它们之间路由通信呢?

　　解决方案是inter-VDOM链接。Inter-VDOM链接是一种虚拟接口，用于在VDOM之间路由流量。这就不需要使用物理电缆在两个VDOM之间循环。

　　对于NAT-to-NAT inter-VDOM链路，由于创建的是点对点网络连接，链路两端必须在同一个IP子网内。

　　注意，与使用VLAN间路由类似，必须涉及到三层—不能在二层透明模式的VDOM之间创建跨VDOM链路。至少有一个VDOM运行在NAT模式下。这除了其他好处外，还可以防止潜在的第2层循环。

在创建inter-VDOM链路时，必须创建虚拟接口。你还必须在每个VDOM中创建适当的防火墙策略，就像你在通过网线到达流量时所做的那样，否则FortiGate将阻止它。

　　此外，在两个VDOM之间正确路由数据包需要路由。

在GUI上，你可以在全局设置中创建一个VDOM Link。

　　要创建VDOM Link，请单击新建，然后选择VDOM Link。

　　选择要连接的两个虚拟域，并配置IP地址。

带有NP4或NP6处理器的FortiGate设备包括inter-VDOM链路，FortiGate可以使用这些链路加速inter-VDOM链路流量。对于两个NP4或NP6处理器的FortiGate，有两个加速inter-VDOM链路，每个链路有两个接口：

　　● npu0_vlink:

　　　　● npu0_vlink0

　　　　● npu0_vlink1

　　● npu1_vlink:

　　　　● npu1_vlink0

　　　　● npu1_vlink1

　　这些接口可以在GUI和CLI中看到。缺省情况下，每个inter-VDOM链路上的接口分配给根VDOM。要使用这些接口加速inter-VDOM之间的链路流量，请将这对接口中的每个接口分配给希望在它们之间分担流量的VDOM。例如，如果你已经为NP4处理器的FortiGate添加了一个名为New-VDOM的VDOM，可以单击“System > Network > Interfaces”，编辑“npuo-vlink1”接口，将VDOM设置为“New-VDOM”。这导致了在root和New-VDOM之间加速的vdom链接。

答案：B

现在你了解了VDOM之间的链接。接下来，你将学习VDOM最佳实践和故障排除。

通过展示VDOM最佳实践和故障排除的能力，你将能够预防、识别和解决常见的VDOM问题。

请记住，VDOM只是一个逻辑分离—每个VDOM与其他VDOM共享物理资源。

　　与FortiGate-VM不同，VDOM并不使用加权的vCPU内核、vRAM和其他虚拟化硬件进行分配和平衡。

　　为了优化性能，可以在全局级别和每个VDOM级别为每个功能(IPsec隧道、地址对象等)配置资源限制。它控制每个VDOM的系统资源使用占总可用资源的比例。

例如，一个FortiGate具有足够强大的硬件，可以处理多达2000个IPsec VPN隧道，并配置三个VDOM，可以配置如下，以满足特定的条件：VDOM1和VDOM2不经常使用IPsec VPN隧道。因此，他们被允许拥有多达50条隧道。而VDOM3广泛使用VPN，因此，该FortiGate设备被配置为允许VDOM3拥有多达1900条隧道，其中保证1000条。