1. 使用 Fortinet Security Fabric 保護 Oracle E-Business Suite 工作負載
  2. 使用 Fortinet Security Fabric 保護 Oracle E-Business Suite 工作負載

使用 Fortinet Security Fabric 保護 Oracle E-Business Suite 工作負載

使用 Fortinet Security Fabric 將 Oracle E-Business Suite 工作負載搬移至雲端,以增強 Oracle Cloud Infrastructure 提供的原生安全選項,而不需進行重大的組態、整合或商業流程變更。

雲端中的安全性是以共用職責模型為基礎。Oracle 負責基礎架構 (例如資料中心設備) 的安全性,以及管理雲端作業和服務的硬體和軟體。客戶負責保護其工作負載,並安全地設定其服務與應用程式以符合其合規責任。

Oracle Cloud Infrastructure 提供最佳類別的安全技術和作業流程,以保護其企業雲服務。Fortinet 提供企業級的雲端安全解決方案,可擴充 Fortinet Security Fabric,以包括與 Oracle Cloud Infrastructure 的原生整合。

此外,它們可以跨企業內部部署資料中心和雲端環境保護應用系統,提供可擴展的效能,並引進進階的安全性協調和統一的安全威脅保護。

架構

此架構會使用中樞和軸輻式網路拓樸中的 Fortinet Security Fabric 部署雲端中的 Oracle E-Business Suite 工作負載,以增強 Oracle Cloud Infrastructure 提供的原生安全選項。

軸輻式拓樸是一種網路樣式,可將集中式網路 (中樞) 連接至多個導向的連接網路 (網輻)。這些網路之間的流量會透過高可用性的 FortiGate 下一代防火牆,強制透過集中位置進行安全和流量檢查。集線器虛擬雲端網路 (VCN) 是進入及離開網路 (北弱流量) 和網路內流量的中央連線點 (西流量)。Oracle E-Business Suite 架構的每個層都會部署在自己的網輻 VCN 上,允許使用更多層保護的微型區隔,因為可以檢查並保護在不同層之間移動的每個封包。

此架構提供高擴展性和模組化設計,以連線多個網輻,其中每個網幅通常代表一個特定的應用程式層,例如應用程式、資料庫等等。您可以將架構用於不同的環境,例如開發、測試和生產環境,以及不同的基礎架構 (例如區域、內部部署資料中心和多個雲端)。

下圖說明此參考架構。


ebs-fortinet-oci-architecture.png 描述如下
ebs-fortinet-oci-architecture.png 圖解描述

ebs-fortinet-oci-architecture.zip

您可以使用不同的方式實行集線器拓樸和網幅拓樸:

  • 運用與本機對等互連閘道 (LPG) 的轉換路由,將網幅 VCN 與集線器 VCN 連線。

    每個網幅 VCN 都應有一個將所有流量轉送至 LPG 的路由規則,而在 LPG 內,您應具有另一個路由規則,可將流量轉送至附加至中樞 VCN 的未信任 FortiGate (浮動 IP) IP 位址。

  • 將每個 FortiGate 虛擬網路介面卡 (VNIC) 連附至每個網幅 VCN。

    每個網幅 VCN 都必須要有一個路由規則,才能夠將所有流量轉送至連附至網幅 VCN 的 FortiGate VNIC 專用 IP 位址。

假設每個 VCN 內的任何流量 (目的地 IP 在 VCN CIDR 範圍內) 都不應由 FortiGate 檢查,因為 Oracle Cloud Infrastructure 會自動將目的地為 VCN 的所有封包直接透過內部 Oracle Cloud Infrastructure 子網路預設閘道轉送至目的地 IP。

北方入埠流量

源自網際網路或內部部署網路的輸入流量會連線至不受信任或 FortiGate 防火牆 WAN 介面所代管的公用 IP 位址。公用 IP 位址 (保留或臨時) 是由 Oracle 管理的 NAT IP 位址,此 IP 位址與 Oracle Cloud Infrastructure 上不受信任子網路內的次要專用 IP 位址關聯。次要專用 IP 位址 (浮動 IP) 會靜態指派給 FortiGate 上不受信任的介面。如果發生容錯移轉,浮動 IP 會連同公用 IP 位址一起移至另一個主機。

封包檢查之後,輸入流量會透過信任介面離開 FortiGate。目的地位址是在應用程式層網輻 VCN 中部署的 FortiADC 虛擬 IP 位址。FortiADC 會根據負載平衡器原則平衡作用中 Oracle E-Business Suite 應用程式伺服器之間的流量。由於此流量在 VCN 內,因此封包會直接傳送至目的地主機。以下列樣式顯示的傳入流量:

  • FortiGate Hub VCN:從 FortiGate 不信任 VNIC 到 FortiGate 信任 VNIC,到信任子網路上 LPG 的 Oracle Cloud Infrastructure 信任子網路預設閘道。
  • 應用程式層網輻 VCN:從應用程式層子網路上的 LPG 到 FortiADC 子網路的 Oracle Cloud Infrastructure FortiADC 子網路預設閘道,到 Oracle E-Business Suite 應用程式伺服器。

對於透過相同防火牆檢查的多個環境,您可以指派多個次要 IP 位址給不受信任和信任的介面 (VNIC)。每個專用 IP 都應該作為來源位址,這些來源位址可以對應至防火牆原則中的一個特定目標應用程式或環境。或者,您可以在 FortiGate 中設定目的地 NAT 原則,其中的連接埠轉送指向可代表每個個別目的地應用程式或環境的不同虛擬 IP 或連接埠。

北部出埠流量

來自 FortiGate Hub VCN 的輸出流量會透過網際網路閘道進行路由。

從網幅 VCN 到任何目的地的輸出流量,都會從網幅 VCN LPG 遞送到集線器 VCN 中的對等 LPG。封包到達集線器 VCN 之後,與 LPG 關聯的路由會將流量轉送至信任介面中的 FortiGate 浮動 IP。FortiGate 會在檢查之後,將封包路由至不信任的子網路預設閘道。根據信任子網路路由表,它會繼續至網際網路或透過網際網路閘道內部部署。

復原-測試流量

Oracle 建議在 VCN 層次 (而非子網路層次) 區隔網路、以檢查 East-West 流量、因為 VCN CIDR 區塊內的所有流量都會自動透過內部 Oracle Cloud Infrastructure 子網路預設閘道遞送,而且無法覆寫此路由。

復原-來自任何網幅 VCN 的測試流量會從網幅 VCN LPG 遞送至網軸 VCN 中的對等 LPG,然後再遞送至信任介面中的 FortiGate 浮動 IP。FortiGate 會檢查內送流量,並根據 FortiGate 防火牆原則,將目的地位址設為網輻 VCN 中的目的地主機,或設回傳送封包的來源主機。流量會透過信任介面離開 FortiGate,並透過信任子網路中的預設閘道傳送,將封包轉送至對等至目的地網輻資料庫或應用程式 VCN。

架構包含下列元件:

  • Fortinet FortiGate 新一代防火牆

    FortiGate 是 Fortinet 的新一代防火牆,提供網路和安全服務,例如安全威脅保護、SSL 檢查,以及保護內部區段和關鍵任務環境的超載延遲。此解決方案可直接從 Oracle Cloud Marketplace 進行部署,並支援直接單一根 I/O 虛擬化 (SR-IOV) 以提升效能。

  • Fortinet FortiAnalyzer

    FortiAnalyzer 是部署在 FortiGate 子網路中的選擇性元件,可透過集中的網路記錄日誌、分析和報告,提供資料導向的企業安全洞察分析。

  • Fortinet FortiManager

    FortiManager 是 FortiGate 子網路中部署的選擇性元件,可跨網路提供單一玻璃批次管理,並在網路活動中提供即時與歷史檢視。

  • Fortinet FortiADC

    將流量分散至多個地理區域、並根據原則路由動態重新寫入內容、以確保應用程式和伺服器負載平衡、壓縮、快取、HTTP 2.0 以及 HTTP PageSpeed 最佳化。

  • Oracle E-Business Suite 應用程式層

    由 Fortinet FortiADC 負載平衡器以及 Oracle E-Business Suite 應用程式伺服器和檔案系統所組成。

  • Oracle E-Business Suite 資料庫層

    由 Oracle Database 組成,但不限於 Oracle Exadata Database Cloud 服務或 Oracle Database 服務。

  • 區域

    Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。

  • 可用性網域

    可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。

  • 容錯域

    容錯域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分配到多個容錯域時,應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。

  • 中樞 VCN

    Hub VCN 是集中式網路,必須部署 FortiGate,而且可以連線至所有網輻 VCN、Oracle Cloud Infrastructure 服務、公用端點與從屬端以及企業內部部署資料中心網路。它通常是由下列子網路所組成:

    • 管理子網路:連附 FortiGate 主要 VNIC 的公用子網路,負責 FortiGate 控制層作業和一般管理活動。
    • 不信任的子網路:包含 FortiGate VNIC 連附的公用子網路,可作為從公用網際網路或客戶內部部署資料中心進行輸入流量通訊的閘道或端點。
    • 信任子網路:包含 FortiGate VNIC 連附的專用子網路,可將流量轉送至連附至集線器 VCN 的 LPG,然後將流量轉送至適當的網幅 VCN。它也會接收來自網輻 VCN 的傳入封包。
    • 高可用性 (HA) 子網路:包含活動訊號或高可用性流量專用之 FortiGate VNIC 連附項的專用子網路。
  • 應用程式層網幅 VCN

    應用程式層網幅 VCN 包含一個代管 Oracle E-Business Suite 元件的專用子網路和 Fortinet FortiADC 負載平衡器。

  • 資料庫層網幅 VCN

    資料庫層網幅 VCN 包含代管 Oracle 資料庫的專用子網路。

  • 負載平衡器

    Oracle Cloud Infrastructure Load Balancing 服務提供自動化的流量分佈,從單一進入點到後端的多部伺服器。

  • 安全清單

    您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。

  • 路由表

    虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。

  • 網際網路閘道

    網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。

  • 網路位址轉譯 (NAT) 閘道

    NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會向內送網際網路連線暴露這些資源。

  • 本地對等互連閘道 (LPG)

    LPG 可讓您將一個 VCN 與同一區域中的另一個 VCN 對等。對等互連表示 VCN 使用專用 IP 位址進行通訊,而不需要透過內部部署網路周遊網際網路或路由。

  • 動態路由閘道 (DRG)

    DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。

  • 服務閘道

    服務閘道可讓您從 VCN 存取其他服務 (例如 Oracle Cloud Infrastructure Object Storage )。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而一律不會周遊網際網路。

  • VPN 連線

    VPN Connect 提供企業內部部署網路與 Oracle Cloud Infrastructure 中 VCN 之間的站對站 IPSec VPN 連線。IPSec 協定套件會先將 IP 流量加密,再將封包從來源傳輸至目的地,並在到達時將流量解密。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 可讓您輕鬆建立資料中心與 Oracle Cloud Infrastructure 之間的專用專用連線。與網際網路連線相比,FastConnect 提供較高寬度的選項和更可靠的網路體驗。

  • 虛擬網路介面卡 (VNIC)

    Oracle Cloud Infrastructure 資料中心內的服務具備實體網路介面卡 (NIC)。虛擬機器執行處理使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有一個在啟動期間自動建立並連附的主要 VNIC,而且可以在執行處理的存留期間使用。DHCP 僅提供給主要 VNIC。您可以在執行處理啟動後新增次要 VNIC。您應該為每個介面設定靜態 IP。

  • 專用 IP

    用以處理執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有主要專用 IP,您可以新增和移除次要專用 IP。執行處理上的主要專用 IP 位址會在執行處理啟動期間連附,而且不會在執行處理存留期間變更。次要 IP 也必須屬於 VNIC 子網路的相同 CIDR。次要 IP 可作為浮動 IP 使用,因為它可以在相同子網路內不同執行處理上的不同 VNIC 之間移動。您也可以使用它作為不同的端點來代管不同的服務。

  • 公用 IP

    網路服務會定義 Oracle 選擇且對應至專用 IP 的公用 IPv4 位址。

    • 臨時:此位址為暫時位址,存在於執行處理的存留期間。
    • 保留:此位址在執行處理存留時間之後仍然存在。您可以將它取消指定,然後重新指定給另一個執行處理。
  • 來源和目的地檢查

    每個 VNIC 都會針對其網路流量執行來源和目的地檢查。停用此旗標可讓 FortiGate 處理未定位到防火牆的網路流量。

  • 運算型態

    運算執行處理的資源配置指定配置給執行處理的 CPU 數目和記憶體大小。運算資源配置也會決定運算執行處理可用的 VNIC 數目和最大頻寬。

建議

使用下列建議作為使用 Fortinet Security Fabric 在 Oracle Cloud Infrastructure 上部署 Oracle E-Business Suite 工作負載的起點。

  • Oracle E-Business Suite 高可用性

    • 應用程式伺服器冗餘:每個層都包含您可以為各種服務 (例如應用程式服務、批次服務或其他服務) 啟用的備援 Oracle E-Business Suite 應用程式伺服器執行處理,以提供高可用性。

    • 容錯:每個層中的伺服器節點會部署到具有多個可用性網域之區域中的不同可用性網域。在單一可用性網域區域中,您可以將伺服器節點部署到不同的容錯域。所有執行處理都會設定邏輯主機名稱,並從負載平衡器接收流量。

    • 資料庫冗餘:為了達到效能和高可用性需求,Oracle 建議您至少在 Oracle Cloud Infrastructure ComputeOracle Cloud Infrastructure 中的 Oracle Database Exadata Cloud Service 上使用雙節點 Oracle Real Application Cluster (RAC) 資料庫系統。

  • FortiGate 高可用性

    若要維護階段作業複製和繼續通訊 (若中斷),請在主動-被動高可用性模式下部署 FortiGate,並在次要 VNIC 上停用來源和目的地檢查以進行信任和不信任介面。為高可用性或活動訊號流量建立專用介面和子網路。

    次要 IP 是在容錯移轉事件期間使用。FortiGate 會呼叫 Oracle Cloud API,將這些 IP 從主要 IP 移至次要 FortiGate 主機。

  • FortiADC 高可用性

    以 active-active-VRRP 高可用性模式部署 FortiADC,此模式是以虛擬路由器冗餘協定 (VRRP) 的概念為基礎,而不是以協定本身為基礎。此模式允許組態同步和階段作業同步,類似於其他高可用性模式。在內部介面的次要 VNIC 上啟用略過來源/目的地檢查選項。

  • VCN

    建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

    選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。

    建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。

    設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。

    使用區域子網路。

    驗證服務限額中每個 VCN 的 LPG 數目上限,以擴充多個環境和應用程式的這個架構。

  • 安全清單

    您可以使用安全清單來定義套用至整個子網路的傳入和傳出規則。

    依照預設,安全規則有狀態,這是一種機制,用來指示您要使用符合該規則的連線追蹤。因此,無論傳出規則為何,都會追蹤流量的回應並自動允許傳回原始主機。

    由於 FortiGate 新一代的防火牆會檢查所有流量,因此您不需要透過安全清單強制實行嚴格規則。它們最後可作為第二層防護障礙使用,但並非必要。只有在管理 FortiGate 組態時,才需要建立安全清單以允許 SSH 和 HTTPS 流量,或可能需要的任何其他服務。對於集線器上所有剩餘的流量和通過防火牆的網幅 VCN,請修改預設安全清單,以允許所有連接埠和協定的輸入和輸出流量。

  • FortiGate 防火牆原則

    防火牆原則是一組控制通過防火牆之流量的區間化指示。這些指示控制流量的處理位置、流量處理方式 (如果已處理),以及是否允許它通過 FortiGate。當防火牆收到連線封包時,它會依連接埠號碼分析封包的來源位址、目的地位址和服務。它也會註冊內送和外送介面。此原則也有一個相關的接受或拒絕動作。如果接受動作,原則會允許通訊階段作業。否則,原則動作會封鎖通訊階段作業。

    Oracle E-Business Suite 需要開啟具有下列連接埠和協定的原則:

    元件 通訊協定 連接埠
    應用程式層 VCN:Web 伺服器 TCP/HTTPS 443
    應用程式 Web 項目連接埠 TCP 8000
    WebLogic 管理伺服器 TCP 7001, 7002
    資料庫層:TNSListener TCP 1521–1522
    MWA Telnet (如果使用 MWA) TCP 10200–10205
    MWA 發送器 (若使用 MWA) TCP 10800
    Oracle Cloud Infrastructure Email (如果使用 Oracle 電子郵件傳遞) TCP 25 或 587

    檔案儲存服務 (FFS)

    若適用

    TCP

    UDP

    111、2048、2049 和 2050

    111 和 2048

    例如,若要監督「復活節測試」流量,您可以在 FortiGate 信任介面上建立原則,以允許應用程式和資料庫層之間的流量。

    您也可以建立一個指向虛擬 IP 位址之目的地 NAT 的原則,以允許或限制從特定來源 IP 位址或網路存取 Oracle E-Business Suite

  • FortiGate 靜態路由原則

    在 FortiGate 上為每個網幅 VCN (目的地) 建立靜態路由,並將閘道 IP 設為信任的子網路預設閘道位址 (信任子網路 CIDR 中的第一個主機 IP 位址)。

    若為輸出連線,請在 FortiGate 上為輸出流量建立靜態路由,並將閘道 IP 設為不受信任的子網路預設閘道位址 (不信任子網路 CIDR 中的第一個主機 IP 位址)。

  • Oracle Cloud Infrastructure VCN 路由表

    為 North-South 和 East-West 流量檢查建立下列路由表:

    VCN 名稱 目的地 目標類型 目標 子網路的預設路由表
    FortiGate FortiGate_Untrust - mgmt_route_table 0.0.0.0/0 網際網路閘道 < FortiGate VCN Internet Gateway >

    不信任

    management - 管理
    FortiGate FortiGate_Trust - route_table < WebApp_Tier VCN CIDR > 本地對等互連閘道 < LPG - WebApp_Tier >
    FortiGate FortiGate_Trust - route_table < DB_Tier VCN CIDR > 本地對等互連閘道 < LPG - DB_Tier >
    FortiGate LPG - route_table 0.0.0.0/0 專用 IP < FortiGate 信任 VNIC 專用 IP (浮動 IP)> N/A
    WebApp_Tier 預設路由表 0.0.0.0/0 N/A < LPG- WebApp_Tier -to-Hub > N/A
    DB_Tier 預設路由表 0.0.0.0/0 N/A < LPG- DB_Tier -to-Hub > N/A
  • Oracle Cloud Infrastructure VCN 本地對等互連閘道

    建立下列本地對等互連閘道 (LPG) 以允許「北部」和「復活節測試」通訊:

    • FortiGate VCN LPG 設定:

      名稱 路由表格 同儕廣告 CDIR 跨租用戶
      LPG - WebApp_Tier LPG - route_table WebApp_Tier VCN CIDR 不是
      LPG - DB_Tier LPG - route_table DB_Tier VCN CIDR 不是
    • WebApp -層級 VCN LPG 設定:
      名稱 路由表格 同儕廣告 CDIR 跨租用戶
      LPG - WebApp_Tier -to-Hub N/A 0.0.0.0/0 不是
    • 資料庫層級 VCN LPG 設定:
      名稱 路由表格 同儕廣告 CDIR 跨租用戶
      LPG-DB-層對集線器 N/A 0.0.0.0/0 不是
  • FortiADC 伺服器負載平衡

    FortiADC 必須以高可用性模式部署在與應用程式層相同的 VCN 中。它應該使用 HTTP 標頭和 Cookie 來設定特定的保存方法,讓使用者能夠維護應用程式伺服器的持續性階段作業狀態。使用「插入 Cookie」持續性類型可指定 FortiADC 在 HTTP 標頭中插入 Cookie。此 Cookie 會與從屬端建立 FortiADC 階段作業 ID,並確保所有後續的要求都會轉送至相同的後端 Oracle E-Business Suite 應用程式伺服器。建立「插入 Cookie」類型的保存之後,請將它與虛擬伺服器組態關聯。

注意事項

使用 Fortinet Security Fabric 在雲端部署 Oracle E-Business Suite 工作負載以提升 Oracle Cloud Infrastructure 提供的原生安全選項時,請考慮下列事項:

  • 效能

    FortiGate 是此架構中的主要元件,而 FortiGate 模型、運算資源配置和啟動選項的選擇可能會影響工作負載的效能。在 FortiGate 資料表中驗證模型清單及其各自的規格。

  • 安全

    為了獲得高可用性,FortiGate 使用 Oracle Cloud Infrastructure IAM Dynamic 群組或 API 簽署金鑰,在發生容錯移轉時進行 API 呼叫。根據您的安全和規範需求設定原則。

  • 使用狀態

    若要確保區域中有多個可用性網域時的可用性較高,請在不同的可用性網域上部署叢集的每個主機。否則,請根據您的反相關性規則選取不同的容錯域以提高可用性。此規則適用於 Fortinet 和 Oracle 產品。

  • 成本

    您可以在 Oracle Cloud Marketplace 中取得 Fortinet FortiGate 和 FortiADC。Fortinet FortiGate 提供優良授權 (BYOL) 或付費方案。Fortinet FortiADC 只能以 BYOL 的形式提供。

部署

若要使用 Fortinet Security Fabric 在雲端部署 Oracle E-Business Suite 工作負載,請執行下列步驟:
  1. 如架構圖表所示,設定必要的網路基礎架構。請參閱使用本地對等互連閘道設定軸輻式網路拓樸。
  2. 在您的環境上部署 Oracle E-Business Suite
  3. Oracle Cloud Marketplace 的下列堆疊中選擇。針對您選擇的每個堆疊,按一下取得應用程式,然後依照畫面上的提示進行:

探索更多

深入瞭解此架構的功能及相關資源。

變更日誌

此日誌會列出重大變更: