教程篇(7.2) 04. 分割 & OT安全 ❀ Fortinet 网络安全架构师 NSE7

 在本课中，你将了解网络分割。

 完成本课程后，你应该能够实现上图上显示的目标。

 在本节中，你将了解不同类型的工业以太网协议。

 工业通信与IT/办公室通信有何不同？

　　● 工业通信在恶劣的工业环境中进行，必须符合机械和电气稳健性要求。

　　● 在工业通信中，涉及一组更大的通信设备。

　　● 工业通信涉及不同规模的数据块。

　　● 数据交换发生在两个以上的实体之间。

 工业以太网用于在机器控制器、执行器、传感器和其他单元之间提供确定性通信。它是一套以太网，使用标准以太网硬件和带有专有应用层的TCP/IP协议。应用层确保数据传输的可靠性和可用性。

　　通过基于以太网的结构，有三种方法可以提供决定论：

　　● 标准软件标准以太网：

　　该架构使用带有TCP/IP的标准以太网，并内置应用程序层机制，以确保实时数据传输。

　　示例：Ethernet/IP

　　● 开放软件标准以太网：

　　该架构使用带有新协议的标准以太网来管理网络访问和同步数据通信，以优先考虑关键数据传输。

　　示例：POWERLINK

　　● 开放软件修改以太网：

　　该架构使用标准以太网硬件、新协议和互补硬件来确保确定性。

　　示例：EtherCAT

 上图展示了一些众所周知的工业以太网协议。

 以太网/IP是最流行的应用层工业以太网协议之一。以太网/IP是唯一完全基于以太网标准的协议。它使用标准的物理、数据链路、网络和传输层。由于使用标准以太网协议，以太网/IP可以支持无限数量的节点。如果在有限的范围内使用，它可以用于实时通信。

　　EtherCAT是在初级和二级配置中提供实时通信的协议之一。EtherCAT跳过第3层至第6层以提供实时通信。该协议最重要的功能是，二级设备仅从数据包中收集它们所需的相关信息。

 POWERLINK是一种实时通信协议，依赖于OSI层模型的第2层和第7层。POWERLINK协议用于传输过程数据。

　　Modbus是OT网络中使用的开放协议。Modbus使用客户端/服务器通信，其中服务器设备在未获得客户端设备报价的情况下不会传输数据。Modbus协议不能用于实时数据传输。

 在本节中，你将了解VLAN概念。

 VLAN将你的物理局域网拆分为多个逻辑局域网。VLAN用于在单个广播域内创建多个广播域。VLAN可以分布在多个交换机上，每个VLAN作为自己的广播域。多个VLAN可以共存在同一物理接口上，前提是它们具有不同的VLAN ID。通过这种方式，物理接口被分割成两个或多个逻辑接口。每个以太网帧都会添加一个标签，以识别它所属的VLAN。

  上图展示了一个以太网框架。该框架包含目标和源MAC地址、类型、数据有效负载和CRC代码，以确认它没有损坏。

　　对于带有VLAN标记的以太网帧，根据802.1q标准，在MAC地址后再插入四个字节。它们包含一个识别VLAN的ID号。

　　OSI第2层设备（如交换机）可以从以太网帧中添加或删除这些标签，但它无法更改它们。

　　第3层设备，如路由器或FortiGate设备，可以在继续路由数据包之前更改VLAN标签。通过这种方式，他们可以路由VLAN之间的流量。

  单臂路由在OT网络内用于实现VLAN间路由。你需要配置路由器接口作为802.1q中继链路运行，该中继链路也连接到在中继模式下配置的交换机接口。路由器从交换机接收VLAN标记的流量。然后，路由器删除标签，并根据目标地址添加另一个VLAN标签。

  在你更改初始VDOM配置之前，所有接口，无论其VLAN ID如何，都是同一广播域的一部分。FortiGate将从VDOM中的每个接口广播，以找到任何未知的目标MAC地址。在大型网络上，这可能会产生大量的广播流量和压倒性的广播风暴回复。

  上图说明了一个问题——包含转发域0（默认）上所有接口的广播。一个设备发送ARP请求。请求通过VDOM中的一个接口到达FortiGate。

　　由于所有接口都属于同一转发域，FortiGate将请求重播给所有其他接口，甚至转发给属于不同VLAN的接口。这会产生不必要的流量。之后，ARP回复仍然只会到达一个接口上，FortiGate将了解到MAC在该接口上。

  转发域就像广播域。

　　上图的示例显示了与以前相同的网络，但为每个VLAN分配了不同的转发域ID。

　　到达一个接口的流量仅广播给位于同一转发域ID中的接口。

  软交换将多个接口分组形成虚拟交换机，该交换机充当传统的第2层交换机。这意味着所有交换机接口都是同一广播域的一部分。在FortiGate上创建软交换提供了控制交换机接口之间第2层段通信的选项。

  在上图显示的示例中，管理员将无线接口与端口1和端口2分组，形成一个软交换。这三个接口是同一广播域的一部分。所有连接到交换机接口的设备都属于同一个IP子网：192.168.1.0/24。这允许FortiGate将广播流量从无线客户端转发到端口1和端口2。

　　软交换接口本身有一个IP地址，它也在同一子网中：192.168.1.0/24。这是连接到软交换的所有设备的默认网关IP地址。

　　服务器10.0.1.1连接到一个不属于软交换的接口（dmz）。因此，它属于不同的广播域和IP子网。

  在本节中，你将了解使用FortiGate的内部分割。

  网络分割是一种将OT网络划分为多个段的架构方法；每个段都充当自己的网络。这允许OT网络管理员根据策略控制流量子网的流动。在OT网络中，细分用于改善监控、提高性能、本地化技术问题和增强安全性。

 在OT网络中，可以使用FortiNAC或FortiGate实现分割，并通过FortiSwitch/FortiAP进行管理。

　　你可以使用FortiNAC检测网络上的设备，并将其放置在不同的设备配置文件中。你现在可以根据创建的设备配置文件分割OT网络。

　　另一方面，你可以使用FortiGate实现内部分割，也可以使用托管的FortiSwitch设备来实现微分割。

  在本节中，你将学习如何实施微分割。

  微分割可以通过防火墙策略管理流量来提供额外的安全性。通过实施微分割，你可以控制VLAN内部流量。通过这样做，同一VLAN上的主机将无法相互检测和通信。主机只能与FortiGate通信，你需要创建防火墙策略来允许同一VLAN中接口之间的流量。

  微分割可防止设备间直接通信。使用软交换时，可以使用独立或托管的FortiSwitch访问VLAN以及明确的内部交换机策略来配置微分割。

　　如上图所示，两个PLC位于同一个VLAN中，它们连接到一个非托管交换机。两个PLC可以相互连接，因为它们是同一VLAN的一部分。然而，使用软交换或托管的FortiSwitch，你可以通过防火墙策略控制VLAN内部流量。

  在本节中，你将了解OT网络中不同类型的冗余。

  在OT网络中，许多智能系统被用于任何停机都可能导致生产力下降、客户不满或收入损失的地方。对于医疗设备和监控解决方案等关键系统，停机可能导致生命损失、财产损失或重大环境或健康危害。

　　为了实现持续可用性，可以在每个层部署冗余架构组件，以避免单点故障。

　　IT和OT团队各自提供独特的技能、观点和经验。IT和OT团队之间共享知识和调整业务实践可以帮助企业实现OT系统的可靠性和可用性，以及IT系统的可扩展性。

  冗余是关于OT网络中备份组件或链接的可用性，当主组件或链接失败时，这些组件或链接可以接管。在OT网络中，冗余可用于两个目的。首先，你可以使用冗余链路和冗余设备进行流量和资源负载平衡。通过这种结构，你可以共享资源和带宽，同时实现准备故障转移的备份组件和链接。

　　其次，你可以实现容错冗余。在这种结构中，链接和组件仅用于备份，不用于共享资源或流量。

　　你可以将冗余组件分为五种类型：

　　1. 电源冗余

　　2. 媒体冗余

　　3.网络节点冗余

　　4. 网络冗余

　　5. 系统完全冗余

  媒体冗余涉及创建备份路径，该路径可以在部分网络出现故障时使用。环形拓扑或星形拓扑可用于实现冗余链接。PRP是可用于星拓扑引入媒体冗余的OT协议之一。MRP和HSR是可用于实现具有环形拓扑的冗余网络的一些协议。

　　选择冗余拓扑可能至关重要，因为在许多网络中，星形或网格拓扑可能会变得昂贵。当电缆成本令人担忧时，环形拓扑可以降低成本。例如，风力涡轮机的监测和管理需要很长的布线距离。在这样的情况下，环形拓扑可以相对降低布线成本。

  在实施媒体冗余后，另一个挑战是为不可能冗余的入口点和节点实现冗余。要解决这个问题并实现冗余，你可以为这些节点使用HA集群中的设备。当主单元出现故障时，配置具有主动-被动HA集群的设备将提供冗余。还有其他因素可以配置为触发故障转移，包括关键基础设施连接的链接运行状况。

  实施媒体和网络节点冗余后，你减少了系统停机时间。然而，当涉及到完全冗余时，你还必须考虑持续的远程访问和互联网可用性。

　　要解决这个问题，你可以使用多个ISP，并使用SD-WAN管理ISP链路上的流量。使用多个ISP提供互联网连接。

 在本节中，你将了解VDOM的主要优势和用例。

  VDOM将你的FortiGate拆分为多个逻辑设备，并将一个安全域划分为多个安全域。

　　每个VDOM都有独立的安全策略和路由表。此外，默认情况下，来自一个VDOM的流量不能进入另一个VDOM。这意味着不同VDOM中的两个接口可以共享相同的IP地址，没有任何重叠的子网问题。

　　当你使用VDOM时，单个FortiGate设备将成为网络安全、UTM检查和安全通信设备的虚拟数据中心。

  当你想从单个FortiGate创建多个逻辑防火墙时，请使用多VDOM模式。每个VDOM都充当独立的FortiGate。

　　多VDOM模式适用于利用多租户配置或希望部门细分的大型企业环境的托管服务提供商。你可以让每个租户或部门对其VDOM的可见性和控制，同时保持其他VDOM独立和看不见。

　　在多VDOM模式下可以创建两种类型的VDOM：管理员VDOM和流量VDOM。管理VDOM用于FortiGate管理，流量VDOM允许流量通过FortiGate。

　　升级后，如果FortiGate处于拆分任务VDOM模式，它将转换为多VDOM模式。FG流量VDOM成为流量VDOM。根VDOM成为管理员VDOM。

 在多VDOM模式下，你可以创建多个作为多个独立单元的VDOM。

　　默认情况下，根是管理VDOM，可用于执行管理任务和允许其他流量。你可以选择任何VDOM作为管理VDOM。

  当你启用多VDOM模式时，将创建根VDOM。它是默认管理VDOM，也是流量VDOM。你可以创建另一个VDOM（流量或管理员）。FortiGate只支持一个管理VDOM。

  到目前为止，你已经了解了从一个VDOM到另一个VDOM通过FortiGate的流量。

　　来自FortiGate的流量呢？一些系统守护进程，如NTP和FortiGuard更新，从FortiGate生成流量。

　　从FortiGate到这些全球服务的流量来自管理VDOM。FortiGate设备上只有一个VDOM被分配到管理VDOM的角色。

　　默认情况下，根VDOM充当管理VDOM，但你可以在多VDOM模式下手动将此任务重新分配给不同的VDOM。

　　需要注意的是，管理VDOM指定仅适用于FortiGate发起的流量，如FortiGuard更新，对通过FortiGate的流量没有影响。因此，管理功能可以由任何指定的VDOM执行。

　　与未启用VDOM的FortiGate类似，管理VDOM应该具有传出的互联网接入。否则，预定的FortiGuard更新等功能会失败。

  你可以通过几种方式安排你的VDOM。在上图显示的拓扑中，每个网络都通过自己的VDOM访问互联网。

　　请注意，没有VDOM间链接。因此，VDOM之间的流量是不可能的，除非它实际离开FortiGate，流向互联网，并被改道回去。这种拓扑最适合多个客户与物理分离的ISP共享单个FortiGate的情况，每个门户都在自己的VDOM中。

  在上图显示的示例拓扑中，流量再次通过To_Internet VDOM中的单个管道流向互联网。VDOM之间的流量不需要离开FortiGate。

　　然而，现在VDOM之间的流量不需要通过To_Internet VDOM流动。VDOM之间的VDOM间链接允许更直接的通信。

　　与之前的示例拓扑类似，检查可以由To_Internet或原始VDOM完成，具体取决于你的要求。

　　由于VDOM间链接的数量，上图显示的示例是最复杂的，需要最多的路由和防火墙策略。对网格VDOM进行故障排除也可能更耗时。

　　然而，网格VDOM也提供最大的灵活性。对于大型企业，可能需要VDOM之间的通信。此外，由于处理路径较短，绕过了中间的VDOM，VDOM之间的流量性能可能会更好。

  在GUl上，你可以在系统>设置下启用VDOM。GUl选项仅适用于高端FortiGate型号。在其他FortiGate型号上，你只能在CLl上启用VDOM。

　　启用VDOM不会导致FortiGate重新启动，但它确实会注销所有活跃的管理员会话。流量继续通过FortiGate。

　　启用VDOM会重组GUl和CLI，当你再次登录时，你将看到它们。

  上图显示了你在本课中涵盖的目标。

---