上篇提到了虚拟防火墙在云中部署的几种use case,这篇则以第一种use case - 边缘防火墙 - 为例,看一看具体的配置。
假设已经在AWS中配置好了如下规划的网络:
我们的目标是用FortiGate-VM取代其中的Internet Gateway,当private subnet中的云主机与Internet之间想互访时,由FortiGate-VM作NAT。同时,还想让这种互访受到保护,如果有恶意流量则应当被剔除。为了达到这个目标,我们需要三步:
1. 在public subnet中launch FortiGate-VM的instance。为了能够方便的管理FortiGate-VM,还应该为它绑定EIP。
2. 修改private subnet的路由表,使其流量经由private subnet - FortiGate-VM - Internet Gateway的路径。
3. 在FortiGate-VM上配置各种安全功能。
步骤一
在EC2中launch instance时,从AWS Marketplace中找到FortiGate-VM:
该实例要launch在VPC的public subnet里。另外,应为它配置两个interface,eth0在public subnet(IP设为10.0.0.5),eth1在private subnet(IP设为10.0.1.5):
最后,把security group设为permit all:
FortiGate-VM instance启动好后,为它的eth0绑定EIP:
别忘了在EC2网络接口中disable eth1的source/destination check:
步骤二
修改private subnet的default route指向FortiGate-VM的eth1:
步骤三
此时用https://<EIP>应该就可以访问FortiGate-VM的Web管理界面了。注意两点:
1. 初次登录的用户名/密码是admin/<FortiGate-VM Instance ID>。
2. 登入后配置outside interface为10.0.0.5/24,inside interface为10.0.1.5/24。
FortiGate-VM安全功能的配置就不再一一赘述,配好之后可以在private subnet中launch一个Windows/Linux VM来验证FortiGate-VM的配置是否正确。
最后我们的网络实际上变成了:
