ZStackクラウドプラットフォームをベースにFortiGateを導入

ZStackクラウドプラットフォームをベースにFortiGateを導入

序文

クラウド コンピューティング テクノロジーの継続的な改善と発展により、クラウド コンピューティングは広く認識され受け入れられるようになり、多くの組織がクラウド コンピューティング システムを構築しているか、構築しようとしています。同時に、情報サービス中心のモデルが人々の心に深く根付き、多数のアプリケーションが出現し、組織は従来のアプリケーションをクラウドに移行し始めました。

クラウド コンピューティング テクノロジーは、従来の IT インフラストラクチャ、アプリケーション、データ、および IT 運用管理に革命的な変化をもたらしました。同時に、セキュリティ対策の改善・向上、セキュリティアプリケーションの設計・実装、セキュリティの運用・管理にも問題や課題が生じています。また、セキュリティ サービスの内容、実装メカニズム、配信方法の革新と開発も推進しています。

クラウド コンピューティング モデルは、クラウド コンピューティング サーバーにデータを統一された方法で保存することにより、従来の IT テクノロジに基づく仮想化レイヤーを追加します。また、リソース プーリング、オンデマンド割り当て、弾力的な展開、高い信頼性などの特徴も備えています。ただし、これにより、仮想ネットワークをより適切に保護できなくなります。たとえば、同じネットワーク セグメント内のトラフィックが内部的に相互作用し、トラフィックを監視できなくなる場合があります。同じテナントの異なるネットワーク内のトラフィックは物理ファイアウォールを通過できないため、監査できません。

クラウドコンピューティング環境では、仮想化環境に適応し、仮想マシン間のトラフィックやセキュリティドメイン境界を越えたトラフィックへのアクセスを監視・制御する必要性から、セキュリティデバイスは、アーキテクチャや機能を維持しながら、製品形態や導入方法に一定の変化を遂げてきました。

製品の形態としては、主にハードウェアからソフトウェアへの移行を反映しています。展開方法に関しては、仮想化されたセキュリティ デバイスは、主に仮想化されたネットワークの論理構造を適切に設計することによって適切な論理的な場所に展開され、仮想ホストが動的に移行する際にセキュリティ保護対策とポリシーが遵守されることが保証されます。

ZStack クラウド プラットフォームでは、仮想マシンの形式でセキュリティ デバイスを迅速に展開できます。この記事では、FortiGate を例に説明します。

1 FortiGateを導入する

1.1 アーキテクチャの概要

ネットワーク環境ではセキュリティ保護が不可欠です。従来のセキュリティ保護手段は、ネットワークの出口に物理ファイアウォール、IPS、ウイルス対策ウォールなどの一連の物理セキュリティ デバイスを展開することです。クラウドネットワークにも仮想ファイアウォールは存在しますが、クラウドプラットフォーム上の仮想ファイアウォールは機能が少なく、4層のパケットフィルタリングしかサポートできず、ウイルス対策などの機能が欠けています。プロのセキュリティメーカーの機器をクラウドプラットフォームと組み合わせて使用​​できますか?答えは、セキュリティメーカーの仮想機器を使用することです。すべての Fortinet 製品は仮想マシン形式で導入できます。この記事では、ファイアウォールFortiGateの導入方法を紹介します。

FortiGate はクラウド ホストを使用して展開されます。クラウド ホストには 2 つのネットワーク カードがあり、それぞれパブリック ネットワークとプライベート ネットワークに接続されています。パブリック ネットワークを介して物理ネットワーク デバイスに接続し、プライベート ネットワークを介してビジネス仮想マシンに接続し、ビジネス仮想マシンのゲートウェイとして機能します。

FortiGate 上で ospf を起動し、仮想マシンのネットワーク セグメントを物理スイッチ ネイバーに通知し、次にネットワーク全体に通知して、ネットワーク全体がビジネス仮想マシンにアクセスできるようにします。ビジネス仮想マシンにアクセスするトラフィックは、まずセキュリティ監査のために FortiGate を通過し、その後ビジネス仮想マシンに送信されます。

1.2 クラウドプラットフォーム環境の準備

ZStack クラウド プラットフォームの展開手順の詳細については、公式ドキュメントを参照してください: https://www.zstack.io/help/product_manuals/user_guide/3.html#c3

クラウドホストを作成する

「クラウド リソース プール」を選択 à 「クラウド ホスト」をクリック à 「クラウド ホストの作成ボタン」をクリックして、クラウド ホストの作成ページを開きます。

クラウド ホストを作成する手順:

1) 単一の仮想マシンを作成するための追加方法を選択します

2) クラウドホスト名をFortiGateに設定する

3) 計算仕様を選択する

4) FortiGateイメージテンプレートを選択する

5) 3層ネットワークを選択します。ネットワークを構成する際、クラウド プラットフォームの仮想マシンはゲートウェイ IP を直接構成できないため、プライベート ネットワークで FortiGate の IP を予約する必要があることに注意してください。たとえば、ゲートウェイが 10.20.0.1 の場合、FortiGate 用に 10.20.0.254 を予約します。 FortiGate仮想マシンを作成するときに、10.20.0.254を直接指定し、FortiGate仮想マシンにログインしてIPを10.20.0.1に変更します。

6) 設定が正しいことを確認したら、「OK」をクリックして作成を開始します。

2 FortiGateの設定

2.1 基本設定

FortiGate仮想マシンコンソールを開きます。デフォルトのユーザー名はadmin、デフォルトのパスワードは空白です。FortiGate CLIターミナルにログインします。

ポートIPを構成する

構成システムインターフェース

ポート1を編集

DHCPモードを設定する

許可アクセスを設定する ping https ssh snmp http

ポート2を編集

IPアドレスを10.20.0.1 255.255.255.0に設定する

許可アクセスを設定する ping https ssh snmp http

終わり

2.2 Web管理端末にログインする

ブラウザにポート 1 の IP アドレス 172.32.1.240 を入力して、ログイン ページに入ります。

デフォルトのユーザー名adminを入力し、パスワードは空白のままにして[ログイン]をクリックします。

2.3 ポートポリシーの設定

左側のナビゲーションバーで、ポリシーとオブジェクト -> IPv4ポリシーを選択します。

「新規」ボタンをクリックして外部から内部へのトラフィック ポリシーを構成し、完了したら「確認」をクリックします。

「新規」ボタンをもう一度クリックして、内部から外部へのトラフィックポリシーを設定し、完了したら「確認」をクリックします。

2.4 動的ルーティングプロトコルの設定

左側のナビゲーションバーで、ネットワーク->OSPFを選択します。

対応するエリアとネットワーク公開を構成する

また、物理スイッチ側でも対応する設定を行い、FortiGateとのOSPFネイバーを確立し、ルーティング情報を交換します。

2.5 接続テスト

プライベートネットワークを使用して仮想マシンを作成し、ゲートウェイをFortiGateのポート2のIPに設定する

他のマシンを使用してこの仮想マシンを外部からpingすると、正常にpingできます。

2.6 変更戦略

TCPパケットのみが通過できるように入力ポリシーを変更する

pingをテストすると、pingが実行できなくなったことが判明しました

3 結論

ZStack クラウド プラットフォームをベースにした FortiGate は、迅速に導入してクラウド ホストのセキュリティ保護を提供できます。 FortiGate の構成と物理環境は同じであり、導入が高速です。クラウドホストの場合、FortiGate を導入すると、ファイアウォール保護だけでなく、IPS、ウイルス対策、WEB 保護などの包括的な保護機能も提供されます。より包括的かつ強固な保護のために FortiGate を使用すると、ビジネス システムの安全性と信頼性が向上します。

<<:  企業は経験豊富なクラウドコンピューティングのアーキテクトとエンジニアを緊急に必要としています

>>:  マルチクラウドはクラウド障害を回避する良い方法ではありません。同じ都市で災害復旧とデータバックアップを行うことで、この問題は解決できます。

推薦する

すべての IT リーダーが答えなければならないクラウド戦略に関する 9 つの質問

今の問題は、企業がクラウドに移行しているかどうかではなく、どれだけうまく移行しているかということです...

locvps: 建国記念日、ロシア\オランダ\ドイツ VPS、40% 割引、すべての CN2 回線、100 元以上の追加チャージで 10 元獲得

locvps は国慶節イベントを開催しました。ヨーロッパ地域の VPS は直接 40% 割引されます...

ミニゲーム開発者の広告収入は50-50で分配されるべきでしょうか?そこから利益を得るには、少なくとも 100 万 DAU が必要です...

最近、 WeChatの公式パブリックアカウントは、ミニプログラム開発者を奨励しサポートするために、2...

検索エンジンの多様化の時代において、SEO担当者は心を開いて課題に立ち向かう必要がある

一般ネットユーザーのインターネットアクセスレベルの向上、中小企業のネットワーク推進の普及、電子商取引...

Kubernetes をより良くする 11 個のツール

[51CTO.com クイック翻訳] 強力で大規模なものであっても、すべてのニーズを満たすことができ...

子羊を犠牲にせずに狼を捕まえることはできません。外部リンクのプロモーションは、学習重視のマーケティングに変えるべきです。

検索エンジンによるスパムの取り締まりにより、外部リンクの掲載やマーケティングプロモーションの実施がま...

ウェブサイト運営記録の分析方法

私のサイトは含まれなくなりました。以前は 1 日に N 回含まれていましたが、前回は理由もなく権限が...

App Store SEO と App Store ASO の違いは何ですか?

ASO (「 App Store最適化」)は、アプリ ストアを最適化することでアプリのダウンロード数...

IDG 2018 エンタープライズ クラウド リサーチ レポート: 企業の 73% が「クラウドを利用」

今月初め、著名な調査機関 IDG が 2018 年のクラウド コンピューティング調査レポート (20...

ウェイタオは商店主が店舗をカスタマイズするためのアプリケーションインターフェースを公開する

ニュース:11月25日午後、WeChatのジャンプチャンネルを閉鎖した後、Taobao Mobile...

クラウド コンピューティング戦争は 2018 年も激化し続けるでしょう。サプライヤーはどのように対応するのでしょうか?

2017 年がクラウド ベンダー間の覇権争いの年であったとすれば、2018 年はデジタル変革、顧客中...

Zji: 香港サーバー 生涯割引55%、高周波数CPU、32Gメモリ、1T SSD、20M帯域幅、2IP

zjiは現在、香港葵湾データセンター内の香港独立サーバー(香港物理マシン)を45%割引で提供していま...

VMware がクラウド コンピューティングをリード

2010年3月5日、VMware CEOの中国訪問に関する記者会見が北京で開催されました。カンファレ...

Google ペンギンアップデートに打ち勝つための 5 つのコンテンツ

GoogleペンギンアルゴリズムのアップデートはSEO業界に大きな波紋を巻き起こしました。アルゴリズ...