1. 使用 Fortinet 安全架构保护 Oracle E-Business Suite 负载
  2. 使用 Fortinet 安全架构保护 Oracle E-Business Suite 负载

使用 Fortinet 安全结构保护 Oracle E-Business Suite 负载

使用 Fortinet 安全结构将 Oracle E-Business Suite 负载迁移或扩展到云,从而增加 Oracle Cloud Infrastructure 提供的本机安全选项,且无需进行重大配置、集成或业务流程更改。

云端安全性基于共享的责任模式。Oracle 负责底层基础设施的安全性,例如数据中心设施以及用于管理云运营和服务的硬件和软件。客户负责保护负载并安全地配置其服务和应用,以满足其合规性义务。

Oracle Cloud Infrastructure 提供同类优秀的安全技术和运营流程来保护其企业云服务。Fortinet 提供了企业级云安全解决方案,该解决方案扩展了 Fortinet 安全架构,使其涵盖了与 Oracle Cloud Infrastructure 的原生集成。

此外,它们还能够跨内部部署数据中心和云环境保护应用,从而提供可扩展的性能,并实现高级安全编排和统一的威胁保护。

体系结构

此体系结构使用集线器中的 Fortinet 安全结构部署云中的 Oracle E-Business Suite 负载,并提供了网络拓扑来增强 Oracle Cloud Infrastructure 提供的本机安全选项。

集线器 - 以上是一个网络模式,将一个集中的网络(集线器)连接到多个定向连接的网络(发言人)。这些网络之间的通信通过高度可用的 FortiGate 下一代防火墙进行流动,以便通过集中位置执行安全和交通检查。集线器虚拟云网络 (VCN) 是在网络中加入并离开网络(南北流量)以及网络中流量(东西流量)的通信的中心连接点。Oracle E-Business Suite 体系结构的每个层都部署在自己的请求 VCN 上,允许微细分提供更多保护层,因为可以在不同层之间移动的每个包都可以进行检查和保护。

此体系结构提供了高度可扩展的模块化设计,用于连接多个发言人,其中每个请求网络通常表示一个特定的应用程序层,例如应用程序、数据库等。您可以将架构用于不同环境(例如开发、测试和生产),以及不同基础设施(例如区域、内部部署数据中心和多个云)。

下图说明了此参考体系结构。


后面是 ebs-fortinet-oci-architecture.png 的说明
插图 ebs-fortinet-oci-architecture.png 的说明

ebs-fortinet-oci-architecture.zip

您可以采用不同的方式实施集线器和交谈拓扑:

  • 利用与本地对等连接网关 (LPG) 的传输路由将请求 VCN 与集线器 VCN 连接。

    每个 Spoke VCN 都应该具有将所有流量转发到 LPG 的路由规则,在 LPG 中,您应该具有另一个路由规则,该规则将流量转发到连接到集线器 VCN 的不可信 IP 地址 FortiGate(浮动 IP)。

  • 将每个 FortiGate 虚拟网络接口卡 (virtual network interface card, VNIC) 连接到每个请求中的 VCN。

    每个请求 VCN 都应该具有路由规则,以将所有流量转发到与 Spoke VCN 相连的 FortiGate VNIC 专用 IP 地址。

假设每个 VCN(目标 IP 在 VCN CIDR 范围内)内的任何流量都不应由 FortiGate 进行检查,因为 Oracle Cloud Infrastructure 会自动将目标为 VCN 本身的所有包直接通过内部 Oracle Cloud Infrastructure 子网默认网关转发到目标 IP。

南北入站流量

来自 Internet 或内部部署网络的入站流量连接到 FortiGate 防火墙的不信任或 WAN 接口上托管的公共 IP 地址。公共 IP 地址(保留或临时)是由 Oracle 管理的 NAT IP 地址,该地址与 Oracle Cloud Infrastructure 上不信任子网内的辅助专用 IP 地址关联。辅助专用 IP 地址(浮动 IP)静态分配给 FortiGate 上的不可信接口。如果发生故障转移,浮动 IP 将与公共 IP 地址一起移动到另一台主机。

进行包检查后,入站通信通过信任接口离开 FortiGate。目标地址是部署在应用程序层请求 VCN 中的 FortiADC 虚拟 IP 地址。FortiADC 根据负载平衡器策略平衡活动 Oracle E-Business Suite 应用程序服务器之间的流量。由于此流量在 VCN 中,因此数据包将直接转到目标主机。以下模式中的入站流量流:

  • FortiGate 集线器 VCN:从 FortiGate 不信任的 VNIC 到 FortiGate 信任 VNIC,到 Oracle Cloud Infrastructure 信任子网默认网关到信任子网上的 LPG。
  • 应用程序层讲述了 VCN:从应用程序层子网上的 LPG 到 Oracle Cloud Infrastructure FortiADC 子网默认网关,再到 FortiADC VNIC,再到 Oracle E-Business Suite 应用程序服务器。

对于通过同一防火墙检查的多个环境,可以将多个辅助 IP 地址同时分配给不可信接口和信任接口 (VNIC)。每个专用 IP 应用作源地址,该地址可以映射到防火墙策略中的一个特定目标应用程序或环境。或者,可以在 FortiGate 中设置目标 NAT 策略,指向可以表示每个目标应用程序或环境的不同虚拟 IP 或端口。

南北出站流量

来自 FortiGate 集线器 VCN 的出站流量通过互联网网关进行路由。

从请求 VCN 到任何目标的出站流量从请求 VCN LPG 路由到集线器 VCN 中的对等 LPG。数据包到达集线器 VCN 后,与 LPG 关联的路由会将流量转发到信任接口中的 FortiGate 浮动 IP。从那里,检查后,FortiGate 将包路由到不可信任的子网默认网关。根据信任子网路由表,该表将继续通过互联网网关访问互联网或内部部署。

East-West Traffic

Oracle 建议在 VCN 级别而不是子网级别对网络进行细分,以便能够检查东西流量,因为 VCN CIDR 块中的所有流量都自动通过内部 Oracle Cloud Infrastructure 子网默认网关路由,并且无法覆盖此路由。

来自任何请求 VCN 的东西流量从请求 VCN LPG 路由到集线器 VCN 中的对等 LPG,然后路由到信任接口中的 FortiGate 浮动 IP。FortiGate 检查传入流量,并根据 FortiGate 防火墙策略,将目标地址设置为请求 VCN 中的目标主机或返回发送包的源主机。通信流量从信任接口离开 FortiGate,并通过信任子网中的默认网关发送,该网关会将数据包转发到目标请求数据库或应用程序 VCN 的 LPG。

该体系结构包含以下组件:

  • Fortinet FortiGate 下一代防火墙

    FortiGate 是 Fortinet 的新一代防火墙,为保护内部细分和任务关键型环境提供网络和安全服务(例如威胁保护、SSL 检查和超低延迟)。此解决方案可直接部署 Oracle Cloud Marketplace,支持直接的单根 I/O 虚拟化 (SR-IOV) 来提高性能。

  • Fortinet FortiAnalyzer

    FortiAnalyzer 是部署在 FortiGate 子网中的可选组件,通过集中化的网络日志记录、分析和报告提供数据驱动的企业安全性洞察。

  • Fortinet FortiManager

    FortiManager 是部署在 FortiGate 子网中的可选组件,可在网络中提供单窗格玻璃管理,并为网络活动提供实时和历史视图。

  • Fortinet FortiADC

    在多个地理区域之间分配流量,并根据策略路由动态重写内容,以确保应用程序和服务器负载平衡、压缩、高速缓存、HTTP 2.0 和 HTTP PageSpeed 优化。

  • Oracle E-Business Suite 应用程序层

    由 Fortinet FortiADC 负载平衡器和 Oracle E-Business Suite 应用服务器和文件系统组成。

  • Oracle E-Business Suite 数据库层

    由 Oracle Database 组成,但不限于 Oracle Exadata 数据库云服务或 Oracle Database 服务。

  • 区域

    Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,大片距离可以分开(跨国家甚至大陆)。

  • 可用性域

    可用性域是区域内的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。

  • 故障域

    故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个容错域,具有独立电源和硬件。在多个容错域之间分配资源时,您的应用可以在容错域内承受物理服务器故障、系统维护和电源故障。

  • 虚拟云网络 (VCN) 和子网

    VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义的网络。与传统的数据中心网络类似,VCN 允许您完全控制您的网络环境。VCN 可以有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为多个子网,这些子网可以限定于某个区域或可用性域。每个子网都包含与 VCN 中的其他子网不重叠的连续地址范围。您可以在创建子网后更改其大小。子网可以是公共的,也可以是专用的。

  • Hub VCN

    中心 VCN 是一种集中网络,必须部署 FortiGate,并且可以连接到所有分支 VCN、Oracle Cloud Infrastructure 服务、公共端点和客户机以及内部部署数据中心网络。它通常包含以下子网:

    • 管理子网 :连接了 FortiGate 的主要 VNIC 并负责 FortiGate 控制层操作和常规管理活动的公共子网。
    • Untrust subnet(不信任子网):包含 FortiGate VNIC 附件的公共子网,用作从公共互联网或客户内部部署数据中心入站通信的网关或端点。
    • 信任子网 :包含 FortiGate VNIC 附件的专用子网,该子网将流量转发到连接到集线器 VCN 的 LPG,然后将流量转发到正确的请求 VCN。它还从请求 VCN 接收入站数据包。
    • 高可用性 (High Availability, HA) 子网 :专用子网,其中包含专用于心跳或高可用性通信的 FortiGate VNIC 附件。
  • 应用程序层请求了 VCN

    应用程序层请求 VCN 包含一个专用子网来托管 Oracle E-Business Suite 组件和 Fortinet FortiADC 负载平衡器。

  • 数据库层发出了 VCN 命令

    数据库层请求 VCN 包含用于托管 Oracle 数据库的专用子网。

  • 负载平衡器

    Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。

  • 安全列表

    对于每个子网,您可以创建安全规则来指定必须允许进出子网的源、目标和流量类型。

  • 路由表

    虚拟路由表包含用于将流量从子网路由到 VCN 之外的目标(通常通过网关)的规则。

  • Internet 网关

    互联网网关允许 VCN 中的公共子网与公共互联网之间的流量。

  • 网络地址转换 (Network address translation, NAT) 网关

    NAT 网关允许 VCN 中的专用资源访问互联网上的主机,而无需向传入的 Internet 连接公开这些资源。

  • 本地对等连接网关 (LPG)

    通过 LPG,您可以将一个 VCN 与同一区域中的另一个 VCN 对等。对等连接意味着 VCN 使用专用 IP 地址进行通信,而不通过互联网或通过内部部署网络进行路由。

  • 动态路由网关 (DRG)

    DRG 是虚拟路由器,用于为 VCN 与区域外网络之间的专用网络通信提供路径,例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络。

  • 服务网关

    通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传播,从不穿过互联网。

  • VPN 连接

    VPN Connect 可以在您的内部部署网络与 Oracle Cloud Infrastructure 中的 VCN 之间提供站点到站点 IPSec VPN 连接。IPSec 协议套件对 IP 通信进行加密,然后将包从源传输到目标,并在到达时对通信进行解密。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供了一种在数据中心与 Oracle Cloud Infrastructure 之间创建专用专用专用连接的方式。与基于 Internet 的连接相比,FastConnect 提供更高带宽选项和更可靠的网络体验。

  • 虚拟网络接口卡 (虚拟网络接口卡, VNIC)

    Oracle Cloud Infrastructure 数据中心中的服务具有物理网络接口卡 (NIC)。虚拟机实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC, VNIC) 进行通信。每个实例都有一个主要 VNIC,在启动期间自动创建并连接,并在实例的生命周期内可用。DHCP 仅提供给主 VNIC。您可以在实例启动后添加辅助 VNIC。您应为每个接口设置静态 IP。

  • 专用 IP

    用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主要专用 IP,您可以添加和删除辅助专用 IP。实例上的主要专用 IP 地址在实例启动期间附加,在实例生命周期内不变。辅助 IP 还应该属于 VNIC 子网的同一 CIDR。辅助 IP 用作浮动 IP,因为它可以在同一子网内的不同实例上的不同 VNIC 之间移动。您还可以将其用作托管不同服务的不同端点。

  • 公共 IP

    网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。

    • 临时:此地址是临时地址,在实例的有效期内存在。
    • 保留:此地址在实例的有效期内保留。它可以取消分配并重新分配到另一实例。
  • 源和目标检查

    每个 VNIC 都对其网络流量执行源和目标检查。禁用此标志可使 FortiGate 处理不是防火墙目标的网络通信。

  • 计算配置

    计算实例的配置指定分配给实例的 CPU 数和内存量。计算配置还确定可用于计算实例的 VNIC 数量和最大带宽。

建议

使用以下建议作为起点,使用 Fortinet 安全结构在 Oracle Cloud Infrastructure 上部署 Oracle E-Business Suite 负载。

  • Oracle E-Business Suite 高可用性

    • 应用服务器冗余: 每个层都包含 Oracle E-Business Suite 应用程序服务器的冗余实例,您可以为各种服务(例如应用程序服务、批处理服务或其他服务)启用这些实例来提供高可用性。

    • 容错: 每个层中的服务器节点将部署到具有多个可用性域的区域中的不同可用性域。在单可用性域区域中,可以将服务器节点部署到不同的容错域中。所有实例都配置有逻辑主机名并从负载平衡器接收流量。

    • 数据库冗余: 对于性能和高可用性要求,Oracle 建议您至少在 Oracle Cloud Infrastructure Compute 上使用双节点 Oracle Real Application Cluster (RAC) 数据库系统,或者在 Oracle Cloud Infrastructure 中使用 Oracle Database Exadata Cloud Service

  • FortiGate high-availability

    要维护会话复制并在中断时恢复通信,请在主动 - 被动高可用性模式下部署 FortiGate,并在信任接口和不信任接口的辅助 VNIC 上禁用源和目标检查。为高可用性或心跳流量创建专用接口和子网。

    辅助 IP 在故障转移事件期间使用。FortiGate 调用 Oracle Cloud API 以将这些 IP 从主 IP 移动到辅助 FortiGate 主机。

  • FortiADC high-availability

    在主动 - 主动 -VRRP 高可用性模式下部署 FortiADC,此模式基于虚拟路由器冗余协议 (virtual Rouredancy Protocol, VRRP) 的概念,而不是协议本身。此模式允许配置同步和会话同步,类似于其他高可用性模式。在内部界面的辅助 VNIC 上启用 跳过源 / 目标检查 选项。

  • VCN

    创建 VCN 时,请根据您计划附加到 VCN 中的子网的资源数量确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。

    创建 VCN 后,可以更改、添加和删除其 CIDR 块。

    设计子网时,请考虑您的流量和安全性要求。将特定层或角色中的所有资源连接到可充当安全边界的同一子网。

    使用区域子网。

    在您的服务限制中,验证每个 VCN 的 LPG 最大数量,以防您希望将此体系结构扩展到多个环境和应用程序。

  • 安全列表

    使用安全列表定义应用于整个子网的入站和出站规则。

    默认情况下,安全规则是有状态的,该机制用于指示您希望使用与该规则匹配的连接跟踪。因此,无论出站规则如何,都会跟踪流量响应并自动允许返回原始主机。

    由于 FortiGate 下一代防火墙检查了所有流量,因此您不需要通过安全列表实施严格的规则。它们最终可以用作第二项保护障碍,但这不是必需的。仅用于管理 FortiGate 配置,您可以创建安全列表来允许 SSH 和 HTTPS 流量或者可能需要的任何其他服务。对于中心内的所有剩余流量,以及穿过防火墙的辐条 VCN,请修改默认安全列表以允许所有端口和协议的入站和出站流量。

  • FortiGate 防火墙策略

    防火墙策略是一组隔离的指令,用于控制穿过防火墙的流量。这些指令控制通信的发生位置、处理方式、处理(如果已处理)以及是否允许通过 FortiGate。当防火墙收到连接包时,它按端口号分析包的源地址、目标地址和服务。它还注册传入和传出接口。也存在与策略关联的接受或拒绝操作。如果接受该操作,则策略允许通信会话。否则,策略操作会阻止通信会话。

    Oracle E-Business Suite 要求打开具有以下端口和协议的策略:

    组件 协议 端口
    应用程序层 VCN:Web 服务器 TCP/HTTPS 443
    应用程序 Web 条目端口 TCP 8000
    WebLogic 管理服务器 TCP 7001, 7002
    数据库层:TNSListener TCP 1521–1522
    MWA Telnet(如果使用 MWA) TCP 10200–10205
    MWA 分派程序(如果使用 MWA) TCP 10800
    Oracle Cloud Infrastructure 电子邮件(如果使用 Oracle 电子邮件传送) TCP 25 或 587

    文件存储服务 (FFS)

    如果适用

    TCP

    UDP

    111、2048、2049 和 2050

    111 和 2048

    例如,要监视东西流量,可以在 FortiGate 信任接口上创建一个策略,以允许应用程序和数据库层之间的流量。

    还可以创建目标 NAT 指向虚拟 IP 地址的策略,以允许或限制从特定源 IP 地址或网络访问 Oracle E-Business Suite

  • FortiGate 静态路由策略

    在 FortiGate 上为每个请求 VCN(目标)创建一个静态路由,并将网关 IP 设置为可信子网默认网关地址(信任子网 CIDR 中的第一个主机 IP 地址)。

    对于出站连接,在 FortiGate 上为出站流量创建静态路由,并将网关 IP 设置为不可信的子网默认网关地址(不可信子网 CIDR 中的第一个主机 IP 地址)。

  • Oracle Cloud Infrastructure VCN 路由表

    为南北和西北交通检查创建以下路由表:

    VCN 名称 目的地 目标类型 目标 子网的默认路由表
    FortiGate FortiGate_Untrust-mgmt_route_table 0.0.0.0/0 Internet 网关 <FortiGate VCN Internet Gateway>

    不可信任

    管理
    FortiGate FortiGate_Trust-route_table <WebApp_Tier VCN CIDR> 本地对等连接网关 <LPG-WebApp_Tier>
    FortiGate FortiGate_Trust-route_table <DB_Tier VCN CIDR> 本地对等连接网关 <LPG-DB_Tier>
    FortiGate LPG-route_table 0.0.0.0/0 专用 IP <FortiGate Trust VNIC Private IP(浮动 IP)> 不适用
    WebApp_Tier 默认路由表 0.0.0.0/0 不适用 <LPG-WebApp_Tier-to-Hub> 不适用
    DB_Tier 默认路由表 0.0.0.0/0 不适用 <LPG-DB_Tier-to-Hub> 不适用
  • Oracle Cloud Infrastructure VCN 本地对等连接网关

    创建以下本地对等连接网关 (LPG),以允许北南和东西通信:

    • FortiGate VCN LPG 设置:

      名称 路由表 对等通告 CDIR 跨租户
      LPG-WebApp_Tier LPG-route_table WebApp_Tier VCN CIDR
      LPG-DB_Tier LPG-route_table DB_Tier VCN CIDR
    • WebApp-VCN LPG 层设置:
      名称 路由表 对等通告 CDIR 跨租户
      LPG-WebApp_Tier-to-Hub 不适用 0.0.0.0/0
    • 数据库层 VCN LPG 设置:
      名称 路由表 对等通告 CDIR 跨租户
      LPG-DB- 层到中心 不适用 0.0.0.0/0
  • FortiADC 服务器负载平衡

    FortiADC 必须在高可用性模式下与应用程序层相同的 VCN 内部署。应当使用特定的持久性方法(使用 HTTP 标头和 cookie)配置它,以便用户可以与应用程序服务器保持持久性会话状态。使用持久性类型 "Insert Cookie" 指定在 HTTP 标头中插入 cookie 的 FortiADC。此 Cookie 将创建带有客户机的 FortiADC 会话 ID,并确保将所有后续请求转发到同一后端 Oracle E-Business Suite 应用程序服务器。创建 "Insert Cookie" 类型的持久性后,将其与虚拟服务器配置相关联。

考虑事项

使用 Fortinet 安全结构在云中部署 Oracle E-Business Suite 负载以增强 Oracle Cloud Infrastructure 提供的本机安全选项时,请考虑以下事项:

  • 性能

    FortiGate 是此体系结构中的一个关键组件,选择 FortiGate 模型、计算配置和启动选项会影响工作负荷的性能。在 FortiGate 数据表中验证模型列表及其相应的规范。

  • 安全性

    为了实现高可用性,FortiGate 使用 Oracle Cloud Infrastructure IAM 动态组或 API 签名密钥在发生故障转移时执行 API 调用。根据您的安全性和合规性要求设置策略。

  • 可用性

    为了确保只要区域中有多个可用性域,就可以在其他可用性域上部署集群的每个主机。否则,请根据反关联性规则选择不同的容错域来提高可用性。此规则对 Fortinet 和 Oracle 产品都有效。

  • 成本

    Fortinet FortiGate 和 FortiADC 在 Oracle Cloud Marketplace 中提供。Fortinet FortiGate 可以作为自带许可证 (BYOL) 或付费产品提供。Fortinet FortiADC 仅作为 BYOL 提供。

部署

要使用 Fortinet 安全结构在云中部署 Oracle E-Business Suite 负载,请执行以下步骤:
  1. 设置所需的网络基础结构,如体系结构图中所示。请参阅 使用本地对等连接网关设置网络拓扑
  2. 在您的环境中部署 Oracle E-Business Suite
  3. Oracle Cloud Marketplace 中的以下堆栈中进行选择。对于您选择的每个堆栈,单击 Get App,然后按照屏幕上的提示进行操作:

浏览更多

详细了解此体系结构的功能和相关资源。

更改日志

此日志列出了重大更改: