飞塔防火墙在AWS上的安装及部署

背景

随着企业全面采用远程办公策略,为员工创建可靠的、可弹性扩展且安全的联网方案变得极其重要。许多企业已经将部分或全部工作负载和应用程序迁移到Amazon Web Services (AWS),以利用公有云的弹性、可靠性,以及高性价比。因此,客户需要的解决方案不仅要与AWS原生服务集成,而且还要使他们的远程办公人员能够以敏捷和可靠的方式连接到部署在混合云环境中的企业应用。Fortinet下一代防火墙(NGFW)现已登陆AWS Marketplace。FortiGate NGFW支持各种Amazon EC2实例类型和配置,以更好的为客户提供可伸缩的SSL VPN和IPSec功能。基于此,FortiGate能够支持多达数千用户以SSL和IPSec的加密隧道方式并发连接到部署在AWS上的应用。为了保证数据安全,创造稳定、可靠的工作环境,在此推出了 Fortinet Installation and Configuration 解决方案。

解决方案描述

本解决方案可用于Fortinet的安装和配置,通过启动EC2实例后登陆web端、登陆到防火墙内创建SSL-VPN的策略,在创建SSL-VPN策略的过程中可以设置接口、源地址、目的地址和服务等,以此来实现在应用层对数据安全性的保护。您可以使用 Fortinet飞塔SSL-VPN实现一键部署、全面防护,守护AWS用户Web安全,保证企业进行安全的全局访问。

使用场景

Fortinet Installation and Configuration 适用于所有需要使用 Fortinet 来为 保护数据安全的业务场景,尤其是当客户需要部署常见的安全策略,从而轻松提高安全防护。

系统架构

功能介绍

此解决方案可在由西云数据运营的亚马逊云科技(宁夏)区域或由光环新网运营的亚马逊云科技(北京)区域中部署。

Fortinet的屡获殊荣的FortiGate系列,是采用ASIC加速的UTM解决方案,可以有效地防御网络层和内容层的攻击。

FortiGate解决方案能够发现和消除多层的攻击,比如病毒、蠕虫、入侵、以及Web恶意内容等等实时的应用,而不会导致网络性能下降。它所涉及到的全面的安全体系是涵盖防病毒/反垃圾邮件、防火墙、VPN、入侵检测和防御、反垃圾邮件和流量优化。

除了FortiGate以外,Fortinet还提供FortiMail这样的邮件安全的解决方案,和终端、智能手机安全的 FortiClient。

FortiManager和FortiAnalyzer可以实现集中的管理、日志和报表等功能。FortiGuard升级服务是由Fortinet的专业团队进行维护和升级的,它为新发现和爆发的病毒提供及时、高效的解决方案。

功能

入侵防御:使用IPS(入侵防御)功能对服务器进行保护,对所有来自互联网的访问进行IPS防护。

病毒防护:数据包首先通过协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别为:HTTP、FTP、SMTP、POP3、IMAP等,识别完成后上报告警信息。

Web过滤功能:在公司内部人员上互联网时,可以指定允许访问的网站,其他网站全部禁止访问。

DNS过滤:用于需要根据具体的DNS请求限制具体上网者的行为,DNS流量需要经过FortiGate。

网络应用控制:某单位当前已经可以上网了,但是现在不想让员工用IM聊天工具聊天,或者只允许个别用户可以聊天

UTM安全应用功能日志:UTM功能如IPS、防病毒,均需在CLI(命令行)下开启日志记录。

防ARP攻击:防止企业内部出现ARP攻击,造成网络无法正常访问。

部署说明

部署前提

确保您已经拥有激活的亚马逊云科技账户,如果还没有,可以通过注册亚马逊云科技进行注册。

部署与初始化防火墙

AWS Console创建EC2

具体配置见下图

安全组需要对自己的IP开放80、443、22, 通过浏览器访问web管理界面https://PublicIP,默认用户名为admin,默认密码为实例ID。

为防火墙实例,绑定一个弹性IP。

开启实例登录web端

实例开启,如下图所示

开启后,登录Web端,但web端显示以下页面,

查询到是因为AWS账户没有备案,导致无法访问443端口,联系AWS进行备案。

备案完成后,即可访问防火墙,如下图所示,点击访问此网站即可。

点击Accept,进行首次登录。

使用admin与实例ID登录完毕后,将会强制更改密码,更改完毕后,防火墙会自动重启。

登陆防火墙

重启完毕,即可使用用户名密码登录到防火墙内。

登录后出现以下界面,需要指定主机名。

可以使用自定义主机名,也可以使用默认主机名,这里使用默认主机名。

设置完毕后,即可进入防火墙web页面。

设置防火墙

设置防火墙的时区语言等,可以进入System-Settings进行设置。

设置SSL VPN

定义对象

在配置之前,我们需要定义将要访问的地址对象,以及SSL VPN拨号后生成的地址对象。

新建一个允许访问的地址对象。

用户及用户组

SSL VPN远程登录防火墙,需要验证用户及密码,因此需要在防火墙上配置用户,当用户数量比较多的时候,需要用到用户组。

输入用户组名称,点击添加成员,如果里没有可用的成员,点击【加号】新建用户。

使用本地用户

添加用户

SSL VPN 门户

SSL VPN访问的方式有两种,一种是Web页面访问,一种是隧道访问。

选择菜单【虚拟专网】-【SSL-VPN 门户】,可以看到有三个访问门户,分别是网页访问、隧道访问和全访问,一般我们会选择两种方式都可以访问,点击【full-access】,点击【编辑】。

修改路由地址与源IP地址,路由地址选择上面建的SOS-client-subnet-address,源IP池可以使用默认的也可以自己新建IP地址池。需要勾选允许客户端保持连接。

Web暂不设置。

SSL VPN 设置

门户设置完后,就可以设置 SSL VPN了。

选择左侧VPN,选择SSL VPN设置,右侧监听端口为Port1,端口号为10443。

新建portal。

由于没有SSL-VPN的策略,故需要创建一个SSL-VPN的策略。

设置流出接口、源地址、目的地址、服务并禁用nat。

配置完毕。

EC2上需要对10443端口进行开放。

连接测试

登录web测试。

可以访问页面。

使用L2C用户名密码登录后,即可下载飞塔vpn客户端。

下载完客户端后,进行VPN的配置。

客户端配置需要填写Remote Gateway为IP,端口需要自定义端口104443。

输入用户名密码登录。

出现以下界面,连接成功。

为什么选择光环有云

光环有云为AWS APN Premier Consulting Partner-核心级能力伙伴,致力为广大企业客户打造领先的、适合中国市场需求的企业级解决方案和技术服务。并以专业的培训、咨询服务、安全加固和整体的DevOps体系,帮助客户无缝地构建和使用基于AWS技术的云服务产品和混合云资源,加速客户向云端迁移,实现企业的数字化转型。

客户收益

AWS云平台的安全性和可靠性深受客户认可,同时AWS也提供了丰富的服务来保证数据的安全性。通过有效的管理项目代码,并在无需依赖手动部署基础上,使业务上线自动化,快速,准确,进而摆脱第三方公司的锁定。增强了业务系统的安全性、稳定性和可靠性。为用户提供安全运营服务,提升了产品竞争力,同时也带来更多的商业机会。