在 Oracle Cloud 上本地集成下一代防火墙 (NGFW)
阻止未经验证的用户远程崩溃设备或执行代码,正是 Fortinet 的下一代防火墙 (NGFW) 所设计的。
Fortinet 的安全架构涵盖数据中心和云,可为公司提供安全状况的综合视图,并为政策管理、监管报告和事件监视提供单一控制台。单一控制台视图涵盖物理、虚拟和云基础设施,包括私有云、公有云和混合云。此安全结构最近已与 Oracle Cloud Infrastructure (OCI) 本地集成,为公司提供可扩展的性能、高级安全编排以及对在 OCI 上运行的工作负载的统一威胁保护。
FortiGate NGFW 为公司提供更大的应用控制、Web 过滤、高级威胁检测、防病毒、入侵预防、病毒爆发保护服务、内容解除武装和重建以及反网安全。您可以从 Oracle Cloud Marketplace 中查找并部署虚拟 FortiGate NGFW 设备的不同配置。
OCI 上的 FortiGate 部署提供:
- 保护南北网络流量,同时控制、检查和保护 OCI 虚拟云网络 (Virtual Cloud Network,VCN) 外部的流量。此保护包括内部部署网络到 VCN 的流量,以及从互联网到互联网的流量。
- 保护东西网络流量,同时控制、检查和保护 OCI 虚拟云网络 (Virtual Cloud Network,VCN) 之间的流量。
Fortigate 提供深度数据包检查 (DPI) 或数据包嗅探,以检查网络上数据包的内容。正常数据包检查仅检查数据包的头。DPI 涉及不仅检查数据包的头,而且检查数据包所携带的数据。借助 DPI 技术,FortiGate 可以用作南北或东北流量检查点,以验证包是否安全通过。
体系结构
您可以在主动 - 主动配置或主动 - 被动配置中部署 FortiGate 下一代防火墙 (NGFW)。
任一部署选项均提供高可用性保护。选择部署选项时的主要注意事项是可扩展性、可恢复性和高可用性。要垂直扩展,请选择主动 - 被动配置,根据需要添加更多 OCPU 和 RAM。要横向扩展,请选择主动 - 主动配置,并根据需要添加其他实例。
在典型的部署体系结构中,FortiGate 实例部署在“负载平衡器三明治”体系结构中。对于活动 - 活动配置,将在具有两个子网的负载平衡器之间“随机”它们。对于主动 - 被动体系结构,建议使用四个端口:公共(不可信)、专用(信任)、心跳和管理端口。集线器虚拟云网络 (VCN) 包含具有一对 FortiGate 实例的负载平衡器。FortiGate 实例跨两个子网。专用(信任)和公共(不可信)子网验证到专用网络的入站流量。为 FortiGate 实例分配两个端口,一个在不可信公共子网中,一个在可信专用子网中。此安排在网络基础结构集线器中提供集中网络通信分析器。为了实现高可用性,您可以在不同的可用性域或容错域中部署 FortiGate 实例,具体取决于所选区域。您还可以配置多个 FortiGate 集群以支持多语言配置。
下图说明了具有多个可用性域的单个区域中的引用体系结构。
根据上图描述多个用例:
- 来自互联网的入站流量(南北):来自互联网的入站流量通过互联网网关进入 VCN。负载平衡后,流量将传递到一对 FortiGate 虚拟实例。FortiGate 实例检查流量,如果流量安全可靠且不可恶意,则会将流量传递给应用(南北)。
- 来自内部部署的入站流量(南北):内部部署网络流量通过使用 Oracle Cloud Infrastructure FastConnect 或遵循相同路径但通过动态路由网关 (DRG) 进入 OCI 区域的 IPSec 隧道进行连接。然后,流量会传递给负载平衡器,依次转到 FortiGate 实例和应用。
- 内部流量(东西):流量离开分支 VCN 后,会经过 DRG 并输入中心 VCN 中的负载平衡器。FortiGate 实例先验证流量,然后允许流量在内部向前移动,并确定流量是传递到具有 Web 前端的分层应用程序还是传递到另一个分支 VCN 中的应用程序。在此用例中,FortiGate 提供从子网到子网的流量验证。
FortiGate 与 OCI 本机安全服务(例如安全列表和网络安全组 (NSG) 协同工作。FortiGate 使用防火墙策略提供流量过滤,并检查已知和未知攻击(如 IPS、防病毒和 Web 过滤技术)的流量。安全列表和网络安全组 (NSG) 支持或停止基于端口和协议的流量。这种额外的安全层为 OCI 架构提供深度防御。
该体系结构包含以下组件:
- 租户
租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在租户中的 Oracle Cloud 中创建、组织和管理资源。租户与公司或组织同义。通常,公司只有一个租户并反映在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,广阔的距离可以将其分开(跨国家甚至大陆)。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问以及设置使用限额。要控制对给定区间中资源的访问,您可以定义策略来指定哪些人可以访问资源以及他们可以执行的操作。
- 可用性域
可用性域是区域中的独立独立数据中心。每个可用性域中的物理资源与提供容错能力的其他可用性域中的资源隔离。可用性域不共用电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 容错域
容错域是可用性域内的一组硬件和基础设施。每个可用性域都具有三个具有独立电源和硬件的容错域。在多个容错域中分配资源时,您的应用可以承受容错域中的物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是您在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后对其进行更改。您可以将 VCN 细分为多个子网,这些子网可以限定到区域或可用性域。每个子网包含一系列不与 VCN 中的其他子网重叠的连续地址。创建后可以更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许进出子网的流量源、目标和类型。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 外部的目标(通常通过网关)的规则。
- Internet 网关
互联网网关允许 VCN 中的公共子网与公共互联网之间的通信。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供了在数据中心与 Oracle Cloud Infrastructure 之间创建专用专用连接的简单方法。与基于互联网的连接相比,FastConnect 提供更高的带宽选项和更可靠的网络体验。
- 动态路由网关 (Dynamic routing gateway,DRG)
DRG 是虚拟路由器,用于为同一区域中的 VCN 之间、VCN 与区域外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)的专用网络流量提供路径。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量会通过 Oracle 网络网状结构网络传输,并且从不通过互联网传输。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及丰富的内容(例如图像和视频)。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以无缝扩展存储,而不会降低性能或服务可靠性。将标准存储用于“热”存储,您需要快速、立即和频繁地访问这些存储。将归档存储用于保留很长时间、很少或很少访问的“冷”存储。
- 身份和访问管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的访问控制层。通过 IAM API 和用户界面,您可以管理身份域和身份域中的资源。每个 OCI IAM 身份域代表一个独立的身份和访问管理解决方案或不同的用户群体。
- 审计
Oracle Cloud Infrastructure Audit 服务自动将所有受支持的 Oracle Cloud Infrastructure 公共应用程序编程接口 (API) 端点的调用记录为日志事件。目前,所有服务都支持 Oracle Cloud Infrastructure Audit 日志记录。
- 日志记录日志记录是一项高度可扩展且完全托管的服务,通过它可以从云中的资源访问以下类型的日志:
- 审计日志:与审计服务发出的事件相关的日志。
- 服务日志:由各个服务(例如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志)发出的日志。
- 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
- 监视
Oracle Cloud Infrastructure Monitoring 服务使用度量监视资源和预警,并在这些度量满足预警指定的触发器时通知您。
内置和部署功能
想要展示您在 Oracle Cloud Infrastructure 上构建的内容?与我们的云架构师全球社区分享您的经验教训、最佳实践和参考架构?让我们帮助您入门。
- 下载模板 (PPTX)
通过将图标拖放到示例线框中,说明您自己的参考体系结构。
- 观看架构教程
获取有关如何创建引用体系结构的分步说明。
- 提交您的图表
通过您的图表向我们发送电子邮件。我们的云架构师将查看您的图表并与您联系以讨论您的架构。