Huawei Cloud’da Fortinet Firewall(FortiGate) Mimarisi

Bu yazımızda cloud vendorlerinin sağladığı Firewall servisleri yerine Fortinet(FortiGate) firewall yapısını nasıl kullanabiliriz sorusunu yanıtlayacağım. Anlattıklarım farklı cloud vendorleri ile aynı sistem yapısına sahiptir. Bu örnekte Huawei Cloud üzerinden anlatımı gerçekleştireceğim.

Bu örnekte kullandığım servis ve teknolojiler;

  • Fortinet (FortiGate image)
  • OBS (Object Bucket Storage Service)
  • IMS (Image Managment Service)
  • ECS (1Cpu , 2GB Ram Virtual Machine)

FortiGate Image

Cloud sağlayıcısının Image Marketplace (KooGallery) üzerinde hazır image’i varsa onu kullanabilir veya https://support.fortinet.com/ adresinden giriş yapıp KVM uzantılı FortiGate imajını indirip kullanabiliriz. (Şuanda Huawei Cloud KooGallery’de bulunmamaktadır.)

Bu örnekte FortiGate image’ını kendimiz cloud ortamına getireceğiz.

FortiGate indirdikten sonra zip içinden çıkan .qcow2 uzantılı dosyayı OBS (Object Bucket Service) içindeki bucket’a yüklüyoruz.

IMS (Image Management Service) > Create Image daha sonra buckettaki fortios.qcow2 dosyamızı seçip imagemizi oluşturabiliriz. Bu image’i kendimiz oluşturduğumuz için Private Image olarak listelenecektir.

Not: Huawei Cloud’ta desteklenen imajlar ISO, VHD, ZVHD, VMDK, QCOW2, RAW, ZVHD2, VHDX, QCOW, VDI, or QED.

FortiGate ECS(VM) Oluşturulması ve VPC Mimarisin Tasarlanması

Fortinet için ECS oluşturalım. Ben Evulation lisansı kullanıyorum ve makina 1vCPU 2GB RAM olmak zorunda ve image olarak da oluşturduğum Fotigate-kvm imajını seçiyorum.

En önemli nokta olan VPC ayarına geçtiğimizde ise tüm trafiği Fortinet üzerinden dağıtacağımız için bu örnekte yeni bir VPC ve 2 adet subnet oluşturuyorum. Biri LAN diğeri WAN için. LAN Subnet’in Gateway’ini ise 10.200.0.254 e taşıyorum. çünkü 10.200.0.1 adresini Fortinet kullanacak. EIP (Public IP)i de Fortinet’in WAN subnetine bağlayacağız. Diğer makinalar da Fortinet üzerinden internete çıkacak.

Aşağıdaki topolojide detaylı görebilirsiniz;

Firewall’ın çalıştığını görmek adına aynı vpc ve subnet altında bir ECS Windows kuruyorum. Yukardaki Network Topolojisinde görebilirsiniz.

Fortinet private ip sini değiştirelim. Manage Network > Modify Private IP ve ip adresini 10.200.0.1 yapalım.

NOT: Makinalar aralarında haberleşmeleri için security groupda olmalı veya farklı security group kullanıyorsanız makinalarınızda bu security groupları birbirilerine eklemelisiniz.

Fortinet(FortiGate) Ayarları ve Lisanslama

FortiGate Makinamıza ssh ile giriş yapalım. Giriş bilgileri ise login id:admin ve şifre kısmını ise boş bırakalım. Daha sonra şifremizi değiştirelim.

https://<FORTI-EIP> adresine gidip giriş yapalım. Açılan ekranda lisans tipimizi seçelim. Bu örnekte Evulation License kullanıyorum. Lisans dosyası yükleyerek veya forticloud giriş bilgilerimizle makinayı aktifleştirebiliriz.

Network > Interface kısmına gidip LAN(port1) ve WAN(port2) portlarını ayarlayalım. HTTPW, PING, SSH Access’ini açalım ve ip leri yazalım.

Network > Static Routes Kısmından WAN Gatewayini (10.200.1.1) tanımlayalım.

İnternetle haberleşmesi için bir policy yazalım. Bu policye internet ismini veriyorum ve all traffic olarak seçiyorum. Incoming interface LAN portunuz, Outbound interface ise WAN portunuz olmalı. Şuanda makinalarımız tüm trafiğe açık şekilde internete erişebilecek. Son olarak ise istediğiniz appleri veya web sitelerini nasıl engelleyeceğimize bakalım.

Security Profiles > Web Filter veya App filter > default policiyi kopyalayıp adını engellemek istediğimiz policy ismi koyalım. Bu örnekte web sitesine erişimi kapatacağım. Buraya domain adresini ekleyip block olarak seçtim veya app kısmından da kolayca erişim verip engelleyebilirsiniz.

Engellemenin olması için ise bu internet policymize profili ekliyorum. Artık firewall üzerinden istediğimiz gibi modifikasyonları yapabiliriz.

Örnekteki windows makinamın internet konfigürasyonu aşağıdaki gibidir.

Özetle, Fortinet(FortiGate) firewall’ı cloud ortamında nasıl kullanabiliriz, Fortigate mimarisi ve örnek kullanımı hakkında bahsetmiş oldum. Huawei Cloud üzerinde servis olarak kullanmak isterseniz ise Cloud Firewall (CFW) servisinde kullanabilirsiniz.

Fortinet lisansına ihtiyacınız olursa satis@mskglobal.net adresiyle iletişime geçebilirsiniz.

Sevgi ve saygılarımla,

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir