vdom fortigate что это

Split-task VDOM mode

In split-task VDOM mode, the FortiGate has two VDOMs: the management VDOM (root) and the traffic VDOM (FGtraffic).

The management VDOM is used to manage the FortiGate, and cannot be used to process traffic.

The following GUI sections are available when in the management VDOM:

The traffic VDOM provides separate security policies, and is used to process all network traffic.

The following GUI sections are available when in the traffic VDOM:

(SSO/Identity connectors only) l FortiView l Interface configuration l Packet capture

Split-task VDOM mode is not available on all FortiGate models. The Fortinet Security Fabric supports split-task VDOM mode.

Enable split-task VDOM mode

Split-task VDOM mode can be enabled in the GUI or CLI. Enabling it does not require a reboot, but does log you out of the FortiGate.

When split-task VDOM mode is enabled, all current management configuration is assigned to the root VDOM, and all non-management settings, such as firewall policies and security profiles, are deleted.

To enable split-task VDOM mode in the GUI:

To enable split-task VDOM mode with the CLI:

config system global set vdom-mode split-vdom

Assign interfaces to a VDOM

An interface can only be assigned to one of the VDOMs. When split-task VDOM mode is enabled, all interfaces are assigned to the root VDOM. To use an interface in a policy, it must first be assigned to the traffic VDOM.

An interface cannot be moved if it is referenced in an existing configuration.

To assign an interface to a VDOM in the GUI:

To assign an interface to a VDOM using the CLI:

config global config system interface edit

Create per-VDOM administrators

Per-VDOM administrators can be created that can access only the management or traffic VDOM. These administrators must use either the prof_admin administrator profile, or a custom profile.

A per-VDOM administrator can only access the FortiGate through a network interface that is assigned to the VDOM that they are assigned to. The interface must also be configured to allow management access. They can also connect to the FortiGate using the console port.

To assign an administrator to multiple VDOMs, they must be created at the global level. When creating an administrator at the VDOM level, the super_admin administrator profile cannot be used.

To create a per-VDOM administrator in the GUI:

To create a per-VDOM administrator using the CLI:

config global config system admin edit set vdom set password

Multi VDOM mode

In multi VDOM mode, the FortiGate can have multiple VDOMs that function as independent units. One VDOM is used to manage global settings.

Multi VDOM mode isn’t available on all FortiGate models. The Fortinet Security Fabric does not support multi VDOM mode.

There are three main configuration types in multi VDOM mode:

Independent VDOMs:

Multiple, completely separate VDOMs are created. Any VDOM can be the management VDOM, as long as it has Internet access. There are no inter-VDOM links, and each VDOM is independently managed.

Management VDOM:

A management VDOM is located between the other VDOMs and the Internet, and the other VDOMs connect to the management VDOM with inter-VDOM links. The management VDOM has complete control over Internet access, including the types of traffic that are allowed in both directions. This can improve security, as there is only one point of ingress and egress.

There is no communication between the other VDOMs.

Meshed VDOMs:

VDOMs can communicate with inter-VDOM links. In full-mesh configurations, all the VDOMs are interconnected. In partial-mesh configurations, only some of the VDOMs are interconnected.

In this configuration, proper security must be achieved by using firewall policies and ensuring secure account access for administrators and users.

Multi VDOM configuration examples

The following examples show how to configure per-VDOM settings, such as operation mode, routing, and security policies, in a network that includes the following VDOMs:

l VDOM-A: allows the internal network to access the Internet. l VDOM-B: allows external connections to an FTP server. l root: the management VDOM.

You can use VDOMs in either NAT or transparent mode on the same FortiGate. By default, VDOMs operate in NAT mode.

For both examples, multi VDOM mode must be enabled, and VDOM-A and VDOM-B must be created.

Enable multi VDOM mode

Multi VDOM mode can be enabled in the GUI or CLI. Enabling it does not require a reboot, but does log you out of the device. The current configuration is assigned to the root VDOM.

To enable multi VDOM mode in the GUI:

To enable multi VDOM mode with the CLI:

config system global set vdom-mode multi-vdom

Create the VDOMs

To create the VDOMs in the GUI:

To create the VDOMs with the CLI:

config vdom edit next

NAT mode

In this example, both VDOM-A and VDOM-B use NAT mode. A VDOM link is created that allows users on the internal network to access the FTP server.

This configuration requires the following steps:

Configure VDOM-A

VDOM-A allows connections from devices on the internal network to the Internet. WAN 1 and port 1 are assigned to this VDOM.

The per-VDOM configuration for VDOM-A includes the following:

All procedures in this section require you to connect to VDOM-A, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-A config firewall address edit internal-network set associated-interface port1 set subnet 192.168.10.0 255.255.255.0

To add a default route in the GUI:

To add a default route with the CLI:

config vdom edit VDOM-A config router static

set gateway 172.20.201.7 set device wan1

To add the security policy in the GUI:

To add the security policy with the CLI:

config vdom edit VDOM-A config firewall policy edit 0 set name VDOM-A-Internet set srcintf port1 set dstintf wan1 set srcaddr internal-network

set dstaddr all set action accept set schedule always set service ALL set nat enable

Configure VDOM-B

VDOM-B allows external connections to reach an internal FTP server. WAN 2 and port 2 are assigned to this VDOM.

The per-VDOM configuration for VDOM-B includes the following:

All procedures in this section require you to connect to VDOM-B, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-B config firewall address edit FTP-server set associated-interface port2 set subnet 192.168.20.10 255.255.255.255

To add the virtual IP address in the GUI:

To add the virtual IP address with the CLI:

config firewall vip edit FTP-server-VIP set extip 172.25.177.42 set extintf wan2 set mappedip 192.168.20.10

To add a default route in the GUI:

To add a default route with the CLI:

edit VDOM-B config router static edit 0

set device wan2 set gateway 172.20.10.10

To add the security policy in the GUI:

To add the security policy with the CLI:

config vdom edit VDOM-B config firewall policy edit 0 set name Access-server set srcintf wan2 set dstintf port2 set srcaddr all set dstaddr FTP-server-VIP set action accept set schedule always set service FTP set nat enable

Configure the VDOM link

The VDOM link allows connections from VDOM-A to VDOM-B. This allows users on the internal network to access the FTP server through the FortiGate.

The configuration for the VDOM link includes the following:

All procedures in this section require you to connect to the global VDOM using a global administrator account.

To add the VDOM link in the GUI:

To add the VDOM link with the CLI:

config global config system vdom-link edit vlink end

config system interface edit VDOM-link0

set vdom VDOM-A set ip 0.0.0.0 0.0.0.0

next edit VDOM-link1

set vdom VDOM-B set ip 0.0.0.0 0.0.0.0

To add the firewall address on VDOM-A in the GUI:

To add the firewall addresses on VDOM-A with the CLI:

config firewall address

set associated-interface VDOM-link0 set allow-routing enable set subnet 192.168.20.10 255.255.255.255

To add the static route on VDOM-A in the GUI:

To add the static route on VDOM-A with the CLI:

edit VDOM-A config router static

set device VDOM-link0 set dstaddr FTP-server

To add the security policy on VDOM-A in the GUI:

To add the security policy on VDOM-A with the CLI:

edit VDOM-A config firewall policy

set name Access-FTP-server set srcintf port1 set dstintf VDOM-link0 set srcaddr internal-network set dstaddr FTP-server set action accept set schedule always set service FTP

To add the firewall address on VDOM-B in the GUI:

To add the firewall addresses on VDOM-B with the CLI:

config firewall address

set associated-interface VDOM-link1 set allow-routing enable set subnet 192.168.10.0 255.255.255.0

To add the static route on VDOM-B in the GUI:

To add the static route on VDOM-B with the CLI:

edit VDOM-B config router static

set device VDOM-link1

set dstaddr internal-network

To add the security policy on VDOM-B in the GUI:

To add the security policy on VDOM-B with the CLI:

edit VDOM-B config firewall policy

set name Internal-server-access set srcintf VDOM-link1 set dstintf port2 set srcaddr internal-network set dstaddr FTP-server set action accept set schedule always set service FTP

NAT and transparent mode

In this example, VDOM-A uses NAT mode and VDOM-B uses transparent mode.

This configuration requires the following steps:

Configure VDOM-A

VDOM-A allows connections from devices on the internal network to the Internet. WAN 1 and port 1 are assigned to this VDOM.

The per-VDOM configuration for VDOM-A includes the following:

All procedures in this section require you to connect to VDOM-A, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-A config firewall address edit internal-network set associated-interface port1 set subnet 192.168.10.0 255.255.255.0

To add a default route in the GUI:

To add a default route with the CLI:

edit VDOM-A config router static

set gateway 172.20.201.7 set device wan1

To add the security policy in the GUI:

To add the security policy with the CLI:

edit VDOM-A config firewall policy

set name VDOM-A-Internet set srcintf port1 set dstintf wan1 set srcaddr internal-network set dstaddr all set action accept set schedule always set service ALL set nat enable

Configure VDOM-B

VDOM-B allows external connections to reach an internal FTP server. WAN 2 and port 2 are assigned to this VDOM.

The per-VDOM configuration for VDOM-B includes the following:

All procedures in this section require you to connect to VDOM-B, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-B config firewall address edit FTP-server set associated-interface port2 set subnet 172.25.177.42 255.255.255.255

To add a default route in the GUI:

To add a default route with the CLI:

config vdom edit VDOM-B config router static

edit 0 set gateway 172.20.10.10

To add the security policy in the GUI:

To add the security policy with the CLI:

edit VDOM-B config firewall policy

set name Access-server set srcintf wan2 set dstintf port2 set srcaddr all set dstaddr FTP-server-VIP set action accept set schedule always set service FTP

Share this:

Having trouble configuring your Fortinet hardware or have some questions you need answered? Check Out The Fortinet Guru Youtube Channel! Want someone else to deal with it for you? Get some consulting from Fortinet GURU!

Don’t Forget To visit the YouTube Channel for the latest Fortinet Training Videos and Question / Answer sessions!
— FortinetGuru YouTube Channel
— FortiSwitch Training Videos

Leave a Reply Cancel reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Источник

Руководство по развертыванию виртуальных машин Azure в FortiGate

С помощью этого учебника по развертыванию вы узнаете, как настроить и использовать брандмауэр следующего поколения Fortinet FortiGate, развернутый в виртуальной машине Azure. Кроме того, здесь рассматривается настройка приложения коллекции FortiGate SSL VPN Azure AD для обеспечения проверки подлинности VPN с помощью Azure Active Directory.

Активация лицензии FortiGate

Брандмауэр следующего поколения Fortinet FortiGate доступен в виде виртуальной машины в инфраструктуре как услуге (IaaS) Azure. Для этой виртуальной машины существует два режима лицензирования: с оплатой по мере использования и с использованием собственной лицензии (BYOL).

Если вы приобрели лицензию на FortiGate у компании Fortinet для использования при развертывании виртуальной машины с собственной лицензией, используйте ее на странице активации продукта Fortinet — https://support.fortinet.com. Полученный файл лицензии будет иметь расширение LIC.

Скачивание встроенного ПО

На момент написания статьи виртуальная машина Azure Fortinet FortiGate не поставляется с версией встроенного ПО, необходимой для проверки подлинности SAML. Последняя версия должна быть получена из Fortinet.

Развертывание FortiGate VM

Перейдите на портал Azure и войдите в подписку, в которой будет развернута виртуальная машина FortiGate.

Создайте или откройте группу ресурсов, в которой вы хотите развернуть виртуальную машину FortiGate.

Нажмите Добавить.

В поле Search the Marketplace (Поиск в Marketplace), введите Forti. Выберите Fortinet FortiGate Next-Generation Firewall (Брандмауэр Fortinet FortiGate следующего поколения).

Выберите план программного обеспечения (с использованием собственной лицензии, если она есть, или с оплатой по мере использования в случае ее отсутствия). Выберите Создать.

Заполните конфигурацию виртуальной машины.

Задайте для параметра Authentication type (Тип аутентификации) значение Password (Пароль) и укажите учетные данные администратора для виртуальной машины.

Выберите Просмотреть и создать > Создать.

Дождитесь завершения развертывания виртуальной машины.

Установка статического общедоступного IP-адреса и назначение полного доменного имени

Чтобы обеспечить единообразное взаимодействие с пользователем, установите общедоступный IP-адрес, назначенный виртуальной машине FortiGate статически. Кроме того, сопоставьте его с полным доменным именем (FQDN).

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

На экране Overview (Обзор) выберите общедоступный IP-адрес.

Выберите Static > Save (Статический > Сохранить).

Если вы владеете общедоступным доменным именем с маршрутизацией для среды, в которой развертывается виртуальная машина FortiGate, создайте запись узла (A) для виртуальной машины. Эта запись сопоставляется с общедоступным IP-адресом статически.

Создание входящего правила группы безопасности сети для TCP-порта 8443

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

В меню слева выберите Сеть. Будет показан список с сетевым интерфейсом, а также правила входящих портов.

Выберите Добавить правило входящего порта.

Создайте правило входящего порта для TCP 8443.

Нажмите Добавить.

Создание второго виртуального сетевого адаптера для виртуальной машины

Чтобы сделать доступными для пользователей внутренние ресурсы, необходимо добавить второй виртуальный сетевой адаптер в виртуальную машину FortiGate. Виртуальная сеть в Azure, в которой находится виртуальный сетевой адаптер, должна иметь подключение с возможностью маршрутизации к этим внутренним ресурсам.

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

Если виртуальная машина FortiGate еще не остановлена, выберите команду Остановить и дождитесь завершения работы виртуальной машины.

В меню слева выберите Сеть.

Выберите Подключить сетевой интерфейс.

Выберите команду Create and attach network interface (Создать и присоединить сетевой интерфейс).

Настройте свойства нового сетевого интерфейса, а затем выберите команду Создать.

Запустите виртуальную машину FortiGate.

Настройка FortiGate VM

В следующих разделах описано, как настроить виртуальную машину FortiGate.

Установка лицензии

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

Если в развертывании используется модель с собственной лицензией, вы увидите запрос на ее отправку. Выберите созданный ранее файл лицензии и отправьте его. Нажмите ОК и перезапустите виртуальную машину FortiGate.

После перезагрузки опять войдите в систему с учетными данными администратора, чтобы проверить лицензию.

Обновление встроенного ПО

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System > Firmware (Система > Встроенное ПО).

На странице Firmware Management (Управление встроенным ПО) нажмите Browse (Обзор) и выберите скачанный ранее файл встроенного ПО.

Игнорируйте предупреждение и выберите Backup config and upgrade (Резервное копирование конфигурации и обновление).

Выберите Continue (Продолжить).

При появлении запроса на сохранение конфигурации FortiGate (в формате файла CONF) нажмите кнопку Save (Сохранить).

Дождитесь отправки и применения встроенного ПО. Дождитесь перезагрузки виртуальной машины FortiGate.

После перезагрузки виртуальной машины FortiGate опять войдите в систему с учетными данными администратора.

Когда появится запрос на настройку панели мониторинга, выберите Later (Позже).

После запуска учебного видео нажмите кнопку ОК.

Изменение порта управления на TCP 8443

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System (Система).

В разделе Administration Settings (Параметры администрирования) измените HTTPS-порт на 8443 и нажмите Apply.

Отправка сертификата для подписи SAML в Azure AD

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System > Certificates (Система > Сертификаты).

Выберите Импорт > Remote Certificate (Удаленный сертификат).

Перейдите к сертификату, скачанному из развертывания пользовательского приложения FortiGate в клиенте Azure. Выберите его и нажмите кнопку ОК.

Отправка и настройка пользовательского SSL-сертификата

При необходимости можно настроить виртуальную машину FortiGate с помощью собственного SSL-сертификата, который поддерживает используемое полное доменное имя. Если у вас есть доступ к SSL-сертификату, упакованному с помощью закрытого ключа в формат PFX, то его можно использоваться для этой цели.

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System > Certificates (Система > Сертификаты).

Выберите Import > Local Certificate > PKCS #12 Certificate (Импорт > Локальный сертификат >Сертификат PKCS #12).

Перейдите к PFX-файлу, содержащему SSL-сертификат и закрытый ключ.

Введите пароль к PFX-файлу и понятное имя для сертификата. Нажмите кнопку ОК.

В меню слева выберите System > Settings (Система > Параметры).

В разделе Administration Settings (Параметры администрирования) разверните список рядом с пунктом HTTPS server certificate (Сертификат сервера HTTPS) и выберите SSL-сертификат, импортированный ранее.

Нажмите кнопку Применить.

Для входа укажите учетные данные администратора FortiGate. Теперь должен использовать правильный SSL-сертификат.

Настройка превышения времени ожидания аутентификации

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

В меню слева выберите Последовательная консоль.

Войдите в последовательную консоль с учетными данными администратора виртуальной машины FortiGate.

В последовательной консоли запустите выполнение таких команд:

Убедитесь, что сетевые интерфейсы получают IP-адреса.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите Сеть.

В разделе «Сеть» выберите Интерфейсы.

Изучите port1 (внешний интерфейс) и port2 (внутренний интерфейс), чтобы убедиться, что они получают IP-адреса из правильной подсети Azure. а. Если ни один из портов не получает IP-адрес из подсети (с помощью DHCP), щелкните порт правой кнопкой мыши и выберите Изменить. b. Для параметра «Режим адресации» убедитесь, что выбрано значение DHCP. c. Нажмите кнопку OK.

Убедитесь, что виртуальная машина FortiGate имеет правильный маршрут к локальным корпоративным ресурсам.

Виртуальные машины Azure с несколькими сетевыми интерфейсами содержат все сетевые интерфейсы в одной виртуальной сети (но, возможно, отдельные подсети). Это часто означает, что оба сетевых интерфейса имеют подключение к локальным корпоративным ресурсам, публикуемым через FortiGate. По этой причине необходимо создать пользовательские записи маршрутов, обеспечивающие движение трафика от правильного интерфейса при создании запросов к локальным корпоративным ресурсам.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите Сеть.

В разделе «Сеть» выберите Статические маршруты.

Щелкните Создать.

Для параметра «Назначение» выберите Подсеть.

В разделе подсеть укажите сведения о подсети, в которой находятся локальные корпоративные ресурсы (например, 10.1.0.0/255.255.255.0).

Для параметра «Адрес шлюза» укажите шлюз в подсети Azure, к которой подключен интерфейс port2 (например, это обычно адрес, который заканчивается на 1, например 10.6.1.1).

Для параметра «Интерфейс» выберите внутренний сетевой интерфейс port2.

Источник