FortiGate Virtual Domains (VDOMs)

Na urządzeniach FortiGate w systemie operacyjnym FortiOS dostępna jest funkcja tworzenia domen wirtualnych VDOM na jednym urządzeniu (domeny są odseparowane).

Na przykład dwie firmy w tym samym budynku (firma A i firma B) – korzystają z tego samego FortiGate, ale mają różnych dostawców usług internetowych (ISP). Każda firma ma własny VDOM, który jest zarządzany niezależnie od innych. Główny VDOM (root VDOM) będzie używany do zarządzania globalnymi ustawieniami FortiGate i konfiguracją dwóch pozostałych wirtualnych domen (VDOM-ów). Dla wirtualnej domeny VDOM-A będzie wydzielino dwa interfejsy, a po drugiej stronie VDOM będzie miał bardziej złożoną sieć wewnętrzną wykorzystującą 5 interfejsów (z nich 1 WAN i 4 LAN).

Tworzenie wirtualnych domen VDOM

Pierwszym krokiem jaki należy wykonać, to przełączenie FortiGate na tryb VDOM z poziomu administratora. Informacja o trybie dostępna jest od razu w panelu nawigacyjnym, gdzie można go zmienić.

przełączenie FortiGate na tryb VDOM

Jednak w niektórych modelach FortiGate powyższa opcja nie będzie wyświetlana w widżecie. Dlatego w tym wypadku tryb można zmienić w konsoli:

Zmiana trybu na VDOM w konsoli

Po włączeniu domen wirtualnych użytkownik będzie wylogowany.

Po ponownym zalogowaniu pojawia się możliwość wybrania domeny wirtualnej. Na tym etapie dostępny będzie tylko root VDOM oraz możliwość globalnej konfiguracji.

Globalna konfiguracja wirtualnych domen Fortigate

W trybie globalnej konfiguracji w rozdziale SystemVDOM dodane muszą być dwie domeny wirtualne (VDOMs).

Pierwsza domena wirtualna będzie o nazwie VDOM-A w trybie Proxy Inspection Mode. Umożliwi to korzystanie ze skanowania opartego zarówno na trybie proxy based, jak i flow based.

VDOM-A w trybie Proxy Inspection Mode

Druga domena wirtualna VDOM-B – w trybie flow-based.

Druga domena wirtualna VDOM-B - w trybie flow-based.

Na głównym koncie administratora można określić adresy IP oraz sieci z których możliwy będzie dostęp. Na przykład konfiguracja dostępna tylko z komputera administratora.

Określanie dostępu dla IP - Fortigate

Po czym muszą być stworzone konta administratorów dla poszczególnych wirtualnych domen (VDOM-A, VDOM-B).

Przypisywanie administratorów do poszczególnych domen wirtualnych Fortigate

Konfiguracja domeny wirtualnej (VDOM-A)

Na poniższym przykładzie do VDOM-A zostały dodane dwa interfejsy (pierwszy – dostęp do Internetu, a drugi do sieci wewnętrznej). Jeśli te interfejsy są używane w istniejącej konfiguracji FortiGate – dodanie ich do domen wirtualnych będzie niemożliwe, ponieważ niektóre modele FortiGate mają domyślną konfigurację.

W trybie Global w rozdziale Network – Interfaces należy skonfigurować odpowiednie interfejsy dla domeny wirtualnej VDOM-A. To będzie interfejs WAN1 i port1 jako LAN.

Dodanie interfejsów do VDOM-A
Dodanie interfejsów do VDOM-A

Opcjonalnie można włączyć serwer DHCP na interfejsie wewnętrznym

DHCP Server Fortigate

Podstawowa konfiguracja VDOM-A

Najpierw została skonfigurowana trasa statyczna

Podstawowa konfiguracja VDOM-a trasa statyczna

Aby uzyskać dostęp do sieci internet należało skonfigurować podstawową politykę

Konfiguracja podstawowej polityki przy tworzeniu wirtualnych domen

Ponieważ VDOM-A wykorzystuje inspekcję proxy-based, można włączyć różne profile bezpieczeństwa, które wykorzystują inspekcję opartą na proxy-based lub flow-based.

VDOM-A - profile bezpieczeństwa

Dodanie kolejnej wirtualnej domeny  (VDOM-B) z poziomu globalnej konfiguracji

W tym przykładzie jeden interfejs zewnętrzny oraz cztery interfejsy wewnętrzne zostały dodane jako hardware switch o nazwie LAN-B.

Dodanie kolejnej domeny wirtualnej (VDOM-B)

Aby stworzyć hardware switch dodajemy grupę (interface members) na portach od 5 do 8.

Tworzenie hardware switch

Skonfigurowany hardware switch dla VDOM-B

Skonfigurowany hardware switch dla VDOM-B

Konfiguracja VDOM-B odbyła się w taki sam sposób jak i VDOM-A. Najpierw została dodana trasa statyczna.

Podstawowa konfiguracja VDOM-B trasa statyczna

oraz podstawowa polityka

Konfiguracja podstawowej polityki przy tworzeniu wirtualnych domen

Ponieważ ten VDOM używa flow-based, można włączyć tylko te profile, które używają inspekcji flow-based.

Profile do inspekcji flow-based

Po konfiguracji domen wirtualnych każda firma będzie miała własny adres IP do zarządzania.

2024-06-25T08:58:59+02:00
Przejdź do góry