欢迎来到天天文库
浏览记录
ID:38271878
大小:598.45 KB
页数:5页
时间:2019-05-30
《FortiGate-VM与FortiGate-VMX的关系》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、FortiGate-VM与FortiGate-VMX的关系版本1.0时间2015年4月Fortios:v5.0.x,v5.2.x支持的版本Fortimanager:5.0.x,v5.2.x作者蒋晓状态待审核反馈support_cn@fortinet.com©2015飞塔信息-1-密级:完全公开FortiGate架构的实质是把控制平面(CPU负责新老会话的建立拆除及不同层次的计算任务调度)与数据计算平面(FortiASIC芯片负责网络及应用层次功能的高速处理)做了分离,这与SDN(软件定义网络)中控制与数据双平面的设计理念不谋而合,因此我们试图在各种
2、SDN架构的应用场景中(如本文假定的VMwarevSphere及NSX场景)中透过传统的FortiGate-VM来分担数据运算负载、而透过新开发的FortiGate-VMX服务组件来负责诸如策略分发管理等控制负载。1.1FortiGate-VM(运算平面的角色--执法者)FortiGate-VM是一个可运行在多种hypervisor平台上的虚拟机(与业务服务的VM地位相同),一般通过网络协议(二层/三层)引流到FortiGate-VM上来让其做五元组或包内容的安全过滤,主要用来处理数据中心的【南北向】流量(跨VLAN间流量,也有说法指数据中心本地与
3、外界的交互流量)©2015飞塔信息-2-密级:完全公开1.2FortiGate-VMX(控制平面的角色--传令官)由于有数据显示,数据中心76%的流量都是【东西向】(vm与vm之间的通信控制流量,也有说法泛指数据中心内部的流量),于是如何做到对其可视化成为一种需要。我们通过在vSphere中嵌入一个安全服务代理组件(FortiGate-VMX)来实施对FortiGate各种安全功能vm在SDN环境下的集中管控,每一个vSphere集群中都需要至少部署一个FortiGate-VMX服务组件,然后用vmx服务管理器(未来可能会演变为直接用FortiMa
4、nager)作为它的管理工具来将配置策略下发,它们之间的交互流程如下:©2015飞塔信息-3-密级:完全公开图1.1fortigate-vmx服务管理器与vmx组件间的交互过程1.3FortiGate-VMX组件的作用FortiGate-VMX可透过NetXRESTAPI实现自动部署,在vmx服务管理器上设定规则推送至FortiGate-VMX上来执行究竟什么样的数据包被接受、拒绝、发送或为了检查而镜像,规则可以基于IP、MAC、服务端口号,还能在被保护的业务VM的虚拟网卡与虚拟交换机之间插入过滤器来监控通信(可通过vCNS来实现)。1.4VMX服
5、务管理器的作用(一)vmx服务管理器已实现了与VMwarevCNSManager组件的整合,可实现在VMwareNSX环境中添加Fortinet安全解决方案(二)vmx服务管理器可被所有vCenterdbase的对象更新(三)vmx服务管理器可批量部署FortiGate-VMX安全服务组件(四)vmx服务管理器能方便地推送安全策略到FortiGate-VMX安全服务组件上©2015飞塔信息-4-密级:完全公开图1.2vmx服务管理器透过NetXAPI传递控制指令©2015飞塔信息-5-密级:完全公开
此文档下载收益归作者所有