fortinet虚拟化及sdn安全解决方案

Fortinet云数据中心

虚拟化/SDN安全解决方案

Fortinet中国

技术总监谭杰

云计算数据中心的安全需求云计算时代的安全趋势集中化专业化复杂化高强度虚拟化针对云计算的APT-高级持续性威胁极具针对性、专业性、长期性、隐蔽性的高级攻击行为社交攻击自制工具0day攻击潜伏渗透数据窃取或破坏云计算用户面临各种安全问题非授权访问信息泄露网络入侵业务中断合规审计问题安全管理缺失系统/应用弱点数据来源：(ISC)²调研云安全没有借口

“云吃掉了我的作业”SDN云计算结构的技术特点需求高性能高弹性、高敏捷度多租户多层次的网络VirtualizationCloudHypervisorVirtualFirewall新技术的应用服务器虚拟化资源整合公有云/私有云/混合云IT即服务可扩展，按需使用软件定义网络/数据中心(SDN/SDDC)自动化、协同工作传统解决方案的优缺点硬件边界安全&硬件虚拟化（虚拟防火墙）传统解决方案–硬件边界安全及虚拟化传统解决方案–硬件边界安全及虚拟化硬件安全网关（如防火墙、NGFW、IPS等）部署在数据中心边界，过滤进出数据中心的流量可通过硬件虚拟化技术，将一台硬件设备划分为多个虚拟设备（如虚拟防火墙），分配给云数据中心的多个租户，每个租户的安全应用运行在各自的虚拟防火墙中，复用了硬件资源，提高了利用率边界硬件虚拟化方案的优缺点优点局限性专用硬件加速（例如ASIC芯片），性能高于通用x86服务器。网络结构简单清晰，设备数量少，容易理解及管理。更多聚焦于南北向安全，缺乏对东西向（数据中心内部、VM之间）流量的保护。弹性不足，难以根据业务繁忙程度占用或释放计算资源。扩展性较弱。当边界硬件设备性能不足时，通常只能scale-up（向上升级），scale-out（横向扩展）难度大，不利于保护投资。Fortinet软件虚拟化安全解决方案Fortinet云及SDN安全策略平台管理集成解决方案完整的软、硬件解决方案

满足各种场景要求一站式管理支持多种

虚拟化及云平台与主流生态环境集成Fortinet云及SDN安全解决方案一览虚拟化SDNIaaS云SaaS云vSphereXenServerHyper-VNSX多种硬件&虚拟化设备FortiGateFortiManagerFortiSandboxFortiAnalyzerFortiWebFortiADCFortiDDoSFortiWifiFortiMail支持多种虚拟化平台支持多种部署场景多层应用结构（Web/APP/DB等）多租户环境灵活的License模式对应分配给虚拟机的CPU核数及内存大小，实现不同的性能可通过FortiGuard在线服务或FortiManager（-VM）管理中心进行许可校验FortiGate-VM软件运行在主流虚拟化平台上，为云计算和虚拟化基础架构部署关键安全保护措施，减少安全盲点云中的下一代安全虚拟机–FortiGate-VM虚拟化vSphereXenServerHyper-VFortiGate-VM全面的安全保护特性IPSec/SSL

VPNWAN优化流量控制垃圾邮件过滤云沙箱防火墙IPS/DPI防病毒内容过滤应用识别与控制僵尸网络防御DLP漏洞评估IPv6虚拟域提供与FortiGate硬件设备相同的安全功能云平台安全最佳实现-软硬件结合南北向（边界）安全网关安全硬件设备东西向（内部）安全安全虚拟机（VM）InternetWeb层应用层数据库层vSwitchAPPHypervisorvSwitchDBvSwitchWEBvSwitchExternal边界安全网关（FortiGate硬件）安全软件虚拟化（FortiGate-VM）兼顾内外网安全Scale-Out（高弹性、高敏捷度）

Scale-Up（可扩展性、顶级硬件）云平台安全最佳实现-软硬件结合FortiGate-VMHypervisorHypervisorHypervisorHypervisorFortiGate硬件Fortinet性能扩展性高弹性和扩展性FortiGate-VM典型应用场景（1）多层应用构架

（如Web/App/DB）FortiGate-VM作为一个虚拟机运行在Hypervisor上。在vSwitch上划分多个端口组（VLAN），对应不同的应用区。FortiGate-VM同时连接外部网络和内部的各应用区，可实现：1.保护整个客户虚拟网络（业务）；2.作为内部各应用区域间的网关，通过二层（VLAN）或三层（路由）协议转发并过滤流量。FortiGate-VMInternetWeb区应用区数据库区客户使用FortiGate-VM保护业务应用vSwitchAPPHypervisorvSwitchDBvSwitchWEBvSwitchExternalFortiGate-VM典型应用场景（2）多租户环境每个租户对应一个VLAN。每个租户使用一个FortiGate-VM。FortiGate-VM作为租户连接外部网络的网关，保护整个租户的业务网络。租户A租户BPortGroup外网(VLAN100)VirtualSwitch架构InternetVLAN1010VLAN1020互联VLAN(VLAN100)PortGroupA(VLAN1010)PortGroupB(VLAN1020)HypervisorFortiGate-VM-AFortiGate-VM-BFortiGate-VM典型应用场景（2）多租户环境每个租户对应一个VLAN。与FortiGate硬件设备相同，FortiGate-VM也支持VDOM（虚拟域）。多个租户共享一个FortiGate-VM。为每个租户分配一个VDOM（虚拟防火墙）。使用效果与上图相同，可节约FortiGate-VM的数量

。租户A租户BPortGroup外网(VLAN100)VirtualSwitch架构InternetVLAN1010VLAN1020互联VLAN(VLAN100)PortGroupA(VLAN1010)PortGroupB(VLAN1020)VDOMBVDOMAHypervisorFortiGate-VM典型应用场景（3）多租户、多业务（L2/L3）混合组网首先，根据租户、业务或部门，将网络划分成多个区域（L3网段）。在每个区域内，根据安全级别的不同，将VM划入不同的VLAN。FortiGate-VM结构设计启用多个L2VDOM，每个区域对应一个L2VDOM。区域内VM间访问通过L2VLAN转发过滤；启用一个L3VDOM，连接各个L2VDOM，区域间的流量通过L3路由转发过滤。区域1192.168.1.xL2VDOM

VM间安全L2VDOM

VM间安全L3VDOM

区域间安全FortiGate-VMVM1VM2VM3,4VM5VM7,8VM6VM1->VM2区域2

192.168.2.x区域1->区域2区域划分：Web/App/DB租户1、2、3……不同部门HypervisorFortiGate-VM许可一览FG-VM00FG-VM01FG-VM02FG-VM04FG-VM08vCPU(最小/最大)1/11/11/21/41/8网络接口

(最小/最大)2/102/102/102/102/10内存(最小/最大)512MB/512MB512MB/1GB512MB/3GB512MB/4GB512MB/12GB存储(最小/最大)30GB/2TB30GB/2TB30GB/2TB30GB/2TB30GB/2TBVDOM(最小/最大)1/110/1010/2510/5010/250防火墙吞吐量500Mbps1Gbps1.6Gbps2Gbps4GbpsIPSecVPN吞吐量10Mbps20Mbps30Mbps40Mbps50MbpsIPS吞吐量200Mbps400Mbps600Mbps700Mbps800Mbps并发会话500K1M2.5M3.5M8M新建会话10K20K25K65K95K列表价$1,495$3,495$6,995$13,995$27,995注：每个VM需要购买一个License，FortiCare/FortiGuard服务购买方式同FortiGate硬件。成功案例–亚马逊AWS企业内网全球最大的公有云服务平台部署在AWS云端的FortiGate-VM企业内部的FortiGate硬件设备统一管理平台FortiManager红线=控制平面黑线=数据平面其它云平台应用案例各种企业私有云平台：OpenStack、Xen、Hyper-V、KVM……Forti-VM一览我们不只有FortiGate-VM……Fortinet虚拟化安全平台家族FortiGate-VM

NGFW/UTM

FortiWeb-VMWeb应用防火墙

FortiMail-VM

邮件安全网关FortiAuthenticator-VM

用户身份认证

FortiADC-VM

应用交付

FortiSanbox-VMAPT及0day病毒防御

FortiManager-VM

统一安全管理

FortiAnalyzer-VM

安全日志报表平台FortiWeb-VM：云中的WAF类似于FortiGate-VM，是运行在虚拟化平台上的VM保护最关键的Web应用Web应用防火墙Web加速Web漏洞评估防网页篡改……支持多种平台：VMwareXenHyper-VAWS支持多种部署方式：反向代理、透明InternetHypervisorvSwitch(外网)vSwitch(服务器2)vSwitch(服务器1)Web服务器区#2Web服务器区#1FortiWeb-VM

（透明模式）云平台VMwareCitrixOpenSourceAmazonMicrosoft虚拟化设备vSpherev4.0/v4.1vSpherev5.0vSpherev5.1vSpherev5.5XenServerv5.6SP2XenServerv6.0+XenKVMAWSHyper-V2008R2Hyper-V2012AzureFortiGate-VM✔

✔

✔

✔

✔

✔

✔

✔

✔*✔

✔

✔FortiManager-VM✔

✔

✔

✔

✔✔✔✔

✔

FortiAnalyzer-VM✔

✔

✔

✔

✔✔✔✔

✔

FortiWeb-VM✔

✔

✔

✔

✔

✔

✔*✔FortiMail-VM✔

✔

✔

✔

✔✔

✔

✔FortiSandbox-VM✔

✔

FortiAuthenticator-VM✔

✔

✔

✔

✔

✔FortiADC-VM

✔✔

✔

FortiGate-VMX✔Forti-VM支持多种虚拟化/云平台虚拟化安全方案的进化SDN解决方案–FortiGate-VMX基于传统网络协议的虚拟化安全仍不完美东西向流量的可视化和可控性问题传统网络协议按网段、VLAN分区。同网段、同VLAN的VM互访怎么监视和过滤？大二层怎么处理VxLAN等overlay协议将原始五元组进行了封装，防火墙很难对内网流量进行过滤。动态迁移（vMotion、DRS）时，如何保证防火墙的会话、策略，vSwitch状态、配置的实时同步？自动化部署的需求手动配置防火墙策略，很难跟上VM动态上线、下线、迁移的速度。南北向流量数据中心边界东西向流量现实:数据中心中76%的流量都是东西向的*VMware的SDN解决方案-NSX虚拟化平台自带的安全功能太简单，

我需要更高级的安全特性

（UTM/NGFW）安全域划分越小越好

（“零信任网络“）控制东西向流量，多层逻辑安全域VM与安全的无缝集成一切都要自动化处理用户需求解决方案FortiGate-VMX与NSX的无缝集成FortiGate-VMX作为NSX解决方案的安全服务，通过NetXRESTAPI自动部署NSX利用编程规则来决定什么样的数据包被接受、丢弃、转发或镜像基于IP、MAC地址、端口号的逻辑规则任何流量（无论是否同一网段、同一VLAN）都可被转发至FortiGate-VMX进行安全检查和过滤vSphereFortiGate-VMXNetXDataAPIvShieldManagervCenter红色=控制通道黑色=数据通道RESTAPI(控制)FortiGate-VMX服务管理器dvSwitch(虚拟网络)FortiGate-VMX&NSX控制平面流程4.FortiGate-VMX连接至FortiGate-VMX服务管理器

（安全策略管理平台）vCenterServervCloudNetwork&SecurityManagerFortiGate-VMX服务管理器1.与vCenterServer初始化通信2.在vCNSManager上将FortiGate-VMX注册为安全服务dvSwitch3.自动将FortiGate-VMX部署至安全集群中的所有宿主机上5.许可校验完毕，将配置同步至

FortiGate-VMX6.创建内核代理，下发转发策略7.实时更新对象数据库8.将安全策略推送至集群中的所有FortiGate-VMXFGT-VMXFGT-VMXVMwareKerneldvSwitchFortiGate-VMX&NSX数据平面流程KernelAgentKernelAgentKernelAgentKernelAgentKernelAgentKernelAgentKernelAgentKernelAgentFortiGate-VMX服务管理器1定义NGFW安全策略（可通过API）2配置同步至FGT-VMXFGT-VMX数据流从VM到KernelAgentKernelAgent始终

将数据流转发至第三方安全服务（FGT-VMX）FGT-VMX完成安全过滤后，将数据包发回KernelAgentKernelAgent可继续转发至服务链其它环节，或发往目标IP主机FortiGate即将支持更多SDN方案CiscoACIFortiGate即将支持更多SDN方案数据网络NetworkNodeneutron-*-pluginsneutron-l3-agentneutron-metering-agentneutron-dhcp-agentneutron-fwaas-agentComputeNode(nova)puteneutron-*-pluginsControllerNodemysql-serverrabbitmq-servernova-apinova-schedulernova-conductorkeystoneneutron-serverglance-apiglance-registry管理网络FortiGate硬件外部网络API网络FortiManagerFortiGate-VM注：FortiGate-VM已支持OpenStack的非SDN特性FortiGate-VM的管理一站式管理，不区分VM和硬件。管理平台同样支持VM方式部署。FortiManager策略管理FortiAnalyzer日志分析FortiCloudSaaS管理portalFortiGate-VM&设备统一集中管理公有云（如AWS、Azure）vSphereXenServerHyper-V虚拟化平台物理设备Fo