在 Oracle Cloud 原生整合新一代防火牆 (NGFW)
防止未經認證的使用者從遠端或執行程式碼損毀裝置,完全是 Fortinet 新一代防火牆 (NGFW) 所設計的一切。
Fortinet 的安全結構橫跨了資料中心和雲端,為公司提供綜合的安全性狀態檢視,並為政策管理、治理報告和事件監控提供單一主控台。單一主控台檢視涵蓋實體、虛擬和雲端基礎架構,包括私有雲、公有雲和混合雲。此安全結構最近已與 Oracle Cloud Infrastructure (OCI) 原生整合,為公司在 OCI 上執行的工作負載提供可擴展的效能、進階安全協調及統一的威脅保護。
FortiGate NGFW 為公司提供更大的應用程式控制、Web 篩選、進階威脅偵測、防毒、入侵預防、病毒爆發防護服務、內容解除和重建,以及防機器人網路安全性。您可以從 Oracle Cloud Marketplace 尋找並部署不同的虛擬 FortiGate NGFW 設備組態。
OCI 上的 FortiGate 部署提供:
- 保護北部網路流量,同時控制、檢查及保護 OCI 虛擬雲端網路 (VCN) 以外的流量。這項保護涵蓋企業內部部署網路與 VCN 之間的流量,以及流向網際網路的流量。
- 保護東部網路流量,同時控制、檢查及保護 OCI 虛擬雲端網路 (VCN) 之間的流量。
Fortigate 可對網路上的資料封包內容進行深層檢查 (DPI) 或封包監聽。一般封包檢查只會檢查封包的標頭。DPI 只包括檢查封包的標頭,以及封包所攜帶的資料。透過 DPI 技術,FortiGate 可作為東北部或東東部流量的檢查點,以驗證封包是否安全通過。
架構
您可以在主動 - 主動組態或主動 - 被動組態中部署 FortiGate 新一代防火牆 (NGFW)。
這兩個部署選項都提供高可用性保護。選取部署選項時的主要考量有擴展性、彈性及高可用性。若要垂直擴展,請選擇使用中 - 被動組態,視需要新增更多 OCPU 和 RAM。若要水平擴展,請選擇使用中 - 作用中組態,視需要新增其他執行處理。
在典型的部署架構中,FortiGate 執行處理部署在「負載平衡器三明治」架構中。若為作用中 - 作用中組態,負載平衡器與兩個子網路之間的負載平衡器會「當機」。若為主動 - 被動架構,建議使用四個連接埠:公用 (不信任)、專用 (信任)、活動訊號及管理連接埠。中樞虛擬雲端網路 (VCN) 包含具有配對 FortiGate 執行處理的負載平衡器。FortiGate 執行處理會跨越兩個子網路。專用 (信任) 和公用 (不信任) 子網路會驗證專用網路的輸入流量。FortiGate 執行處理會指派兩個連接埠,一個位於不信任的公用子網路,另一個位於信任的專用子網路中。此安排在網路基礎架構的中心提供集中式網路流量分析器。若要獲得高可用性,您可以視選擇的區域而定,在不同的可用性網域或容錯域中部署 FortiGate 執行處理。您也可以設定多個 FortiGate 叢集以允許多重區域組態。
下圖說明在具有多個可用性網域的單一區域中的參照架構。
Fortinet-ngfw-oci-arch-oracle.zip
上述圖表描述了多個使用案例:
- 網際網路的內送流量 (北南部):來自網際網路的內送流量會透過網際網路閘道進入 VCN。負載平衡之後,流量會傳送到一對 FortiGate 虛擬執行處理。FortiGate 執行處理會檢查流量,如果流量安全且不惡意,便會將流量傳送至應用程式 (北南)。
- 內部部署的內送流量 (北部) :內部部署網路流量透過使用 Oracle Cloud Infrastructure FastConnect 或 IPSec 通道連線,此通道遵循相同的路徑,但透過動態路由閘道 (DRG) 輸入 OCI 區域。接著流量會傳送至負載平衡器,接著繼續前往 FortiGate 執行處理,然後傳送至應用程式。
- 內部流量 (east-west):流量離開支點 VCN 後,會通過 DRG,並在中樞 VCN 中輸入負載平衡器。FortiGate 執行處理會先驗證流量,再允許流量在內部往前移動,判斷流量是否會隨著 Web 前端傳送至分層應用程式,或傳送至其他分支 VCN 中的應用程式。FortiGate 在此使用案例中提供從子網路到子網路的流量驗證。
FortiGate 可與 OCI 原生安全服務搭配使用,例如安全清單和網路安全群組 (NSG)。FortiGate 使用防火牆策略提供流量篩選,並檢查已知和未知攻擊 (例如 IPS、防毒和 Web 篩選技術) 的流量。安全清單和網路安全群組 (NSG) 可根據連接埠和協定來允許或停止流量。此額外的安全層可為 OCI 架構提供深度防禦。
架構具有下列元件:
- 租用戶
租用戶是指註冊 Oracle Cloud Infrastructure 時,Oracle 在 Oracle Cloud 內設定的安全獨立分割區。您可以在租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並反映其在該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 區域
Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個資料中心 (稱為可用性網域)。區域與其他區域無關,因此廣大的距離可加以區隔 (跨國家或甚至洲)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您在 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則來指定可存取資源的人員及可執行的動作。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎設施,例如電力或散熱冷卻系統或內部可用性網域網路。因此,一個可用性網域發生故障並不會影響區域中的其他可用性網域。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎架構。每個可用性網域都有三個容錯域,具備獨立電源和硬體。當您將資源分散到多個容錯域時,您的應用系統就可容忍容錯域中的實體伺服器故障、系統維護以及電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊 CIDR 區塊,而您可以在建立 VCN 之後進行變更。您可以將 VCN 區隔成子網路,然後對區域或可用性網域進行調整。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用子網路。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 路由表
虛擬路由表包含規則,可將流量從子網路遞送至 VCN 外部的目的地,通常透過閘道。
- 網際網路閘道
網際網路閘道可允許 VCN 中的公用子網路與公用網際網路之間的流量。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您在資料中心與 Oracle Cloud Infrastructure 之間建立專屬的專用連線。與網際網路連線相較,FastConnect 提供較高的頻寬選項和更可靠的網路體驗。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可為 VCN 與區域外部網路之間的 VCN (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、企業內部部署網路或其他雲端提供者中的網路) 之間的專用網路流量提供路徑。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而一律不會周遊網際網路。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動化流量分配。
- 物件儲存
物件儲存可快速存取任何內容類型的大量結構化與非結構化資料,包括資料庫備份、分析資料,以及豐富內容 (例如影像和影片)。您可以安全地儲存,然後直接從網際網路或雲端平台內擷取資料。您可以無縫擴充儲存,而不會發生任何效能或服務可靠性的降低。針對快速、立即和經常存取的「熱」儲存,使用標準儲存。將封存儲存用於長時間且鮮少存取的「冷」儲存。
- 身分識別與存取管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的存取控制層。IAM API 和使用者介面可讓您管理識別網域和識別網域內的資源。每個 OCI IAM 識別網域代表獨立身分識別與存取管理解決方案或其他使用者群體。
- 稽核
Oracle Cloud Infrastructure Audit 服務會自動將對所有支援之 Oracle Cloud Infrastructure 公用應用程式設計介面 (API) 端點發出的呼叫記錄為日誌事件。目前,所有服務都支援由 Oracle Cloud Infrastructure Audit 記錄。
- 記錄日誌日誌記錄是一種可高度擴展且完全受管理的服務,可讓您從雲端資源存取下列類型的日誌:
- 稽核日誌:與稽核服務發出之事件相關的日誌。
- 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存及 VCN 流程日誌) 發出的日誌。
- 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境之診斷資訊的日誌。
- 監督
Oracle Cloud Infrastructure Monitoring 服務會使用度量主動和被動監控您的雲端資源,以監控資源和警訊,這些度量符合警訊指定的觸發程式時通知您。
內建與部署功能
想要展示您在 Oracle Cloud Infrastructure 上建置的內容嗎?謹慎與我們的雲端架構師全球社群分享您的經驗、最佳實務和參考架構嗎?讓我們協助您開始使用。
- 下載樣板 (PPTX)
將圖示拖放至範例線框,以圖解自己的參考架構。
- 觀看架構教學課程
取得如何建立參照架構的逐步指示。
- 送出圖表
用圖表寄信給我們。我們的雲端架構師將複習圖表,並協助您討論架構。