安全篇 / FortiGuard(7.4) ? 02. 独立VDOM下的FortiGuard服务升级 ? FortiGate 防火墙

  【简介】由于业务的需要,创建两个独立VDOM,每个VDOM有各自的宽带,但是FortiGuard服务却无法升级,有什么办法解决吗?


  VDOM概念

  首先我们看看什么是VDOM。

  ① VDOM将你的FortiGate划分为多个逻辑设备,并将一个安全域划分为多个安全域。

  每个VDOM具有独立的安全策略和路由表。此外,在默认情况下,来自一个VDOM的流量不能进入不同的VDOM。这意味着不同VDOM中的两个接口可以共享相同的IP地址,而不会出现子网重叠的问题。

  当使用VDOM时,单个FortiGate设备将成为网络安全、UTM检测和安全通信设备的虚拟数据中心。

   ② 当你想从一个FortiGate创建多个逻辑防火墙时,请使用multi-VDOM模式。每个VDOM都充当独立的FortiGate。

  Multi-VDOM模式适用于利用多租户配置的托管服务提供者,或需要部门分割的大型企业环境。你可以为每个单独的租户或部门提供其VDOM的可见性和控制权,同时保持其他VDOM的独立性和不可见性。

  可以在多VDOM模式下创建两种类型的VDOM:管理VDOM和流量VDOM。管理VDOM用于强化管理,流量VDOM允许流量通过FortiGate。

  如果FortiGate是split-VDOM模式,升级时将转换为multi-VDOM模式。FG-traffic VDOM成为一种流量类型VDOM。根VDOM成为管理VDOM。

  ③ 从FortiGate发射的信号呢?一些系统守护进程,如NTP和FortiGuard更新,产生来自FortiGate的流量。

  从FortiGate到这些全局服务的流量来自管理VDOM。在一个FortiGate设备上,只有一个VDOM被分配为管理VDOM的角色。

  默认情况下,根VDOM作为管理VDOM,但你可以在mullet-VDOM模式下手动将此任务重新分配给不同的VDOM。

  需要注意的是,管理VDOM指定只针对FortiGate产生的流量,例如FortiGuard更新,对通过FortiGate的流量没有影响。因此,管理功能可以由任何指定的VDOM执行。

  类似于未启用VDOM的FortiGate,管理VDOM应该具有对外的internet访问。否则,诸如计划的FortiGuard更新等功能将失败。

  ④ 最常见的是独立VDOM,每个网络通过自己的VDOM访问互联网。

  注意,这里没有inter-VDOM链接。因此,VDOM间流量是不可能的,除非它在物理上离开FortiGate,指向internet,并被重新路由回来。这种拓扑最适合这样的场景:多个客户共享一个FortiGate,每个客户在自己的VDOM中使用物理上分离的ISP。

  VDOM配置

  下面开始在FortiOS 7.4上配置独立VDOM。

  ① 登录FortiGate防火墙,选择菜单【系统管理】-【设置】,在系统运行设置栏下启用【虚拟域】。

  ② 显示提示【更改虚拟域配置将需要你重新登录。你确定要继续吗?】,点击【OK】。

  ③ 重新登录防火墙,注意,防火墙并不会重启。在右上角多出一个VDOM菜单。VDOM分别为【全局】和【root】。

  ④ 在全局VDOM中,选择菜单【系统管理】-【VDOM】,可以看到默认root VDOM为管理VDOM。点击【新建】。

  ⑤ 输入新建虚拟域名称,如果在此VDOM下有配置FortiAP,将WiFi国家/地址设置为中国。否则保持默认即可。点击【确认】。

  ⑥ 显示提示【现在必须将接口移动到新的VDOM才能继续。】点击【Go to interface list page】。

  ⑦ 显示全局VDOM下的接口界面,接口菜单栏多出一个【虚拟域】,所有接口默认属于root。选择接口port1,点击【编辑】。

  ⑧ 将接口的虑拟域,由默认的root改为OldMei-A。点击【确认】。

  ⑨ 同样的操作,将port2、port3、port4分配给OldMei-A VDOM。

  ⑩ 再次创建VDOM OldMei-B,将port5、port6、port7、port8加入VDOM OldMei-B。除了手动加入的接口外,新创建的VDOM还有自动创建三个默认接口。 

  FortiGuard服务升级

  目前root为管理VDOM,而FortiGuard升级是通过管理VDOM进行的。

  ① 由于root下的所有接口都没有配置宽带,因为防火墙无法连接到FortiGuard服务器。

  ② 那么在非管理VDOM配置宽带上网,是否能访问FortiGuard服务器呢?点击右上角域下拉菜单,切换到VDOM OldMei-A。

  ③ 在VDOM OleMei-A选择菜单【网络】-【接口】,可以看到分配的四个物理接口,编辑接口port1。

  ④ 输入接口的别名,角色选择【WAN】,由于port1接入的是路由器,可以自动获取IP,寻址模式这里选择【DHCP】,点击【确认】。

  ⑤ 在命令窗口Ping公网IP,可以Ping通,说明VDOM OldMei-A是可以上网的。

  ⑥ FortiGate也能解析update.fortiguard.net和service.fortiguard.net域名并Ping通,说明访问FortiGuard服务器没有问题。

  ⑦ 由于当前VDOM OldMei-A是独立VDOM,不是管理VDOM,所以在【系统管理】下并没有FortiGuard菜单。

  ⑧ 切换回全局VDOM。

  ⑨ 选择菜单【系统管理】-【FortiGuard】,可以看到已经连接FortiGuard服务器,并有通讯数据。

  早期FortiOS版本的解决办法

  早期FortiOS版本中,独立VDOM有宽带的话是无法连接FortiGuard服务器的,必须是管理VDOM root下有宽带连接,FortiGate才可以连接FortiGuard服务器。但也有解决办法。

  ① 在全局VDOM情况下,执上图中的命令,将管理VDOM分配为VDOM OldMei-A。

  ② 选择菜单【系统管理】-【VDOM】,可以看到OldMei-A已经是管理VDOM了。

  【总结】FortiOS 7.4版本,优化了VDOM环境中访问FortiGuard服务器的功能,即无需管理VDOM上网,即使只有独立VDOM上网,也可以访问FortiGuard服务器进行升级,而在早期FortiOS版本中,必须使用命令切换管理VDOM才能完成。