亚马逊AWS官方博客
亚马逊云科技中国云流量镜像服务集成FortiGate安全分析
一、前言
亚马逊云科技 VPC Traffic Mirroring在亚马逊云科技中国区发布, 本篇文章将介绍如何在亚马逊云科技 中国区使用VPC Traffic Mirroring将EC2实例流量镜像至FortiGate进行安全分析,FortiOS版本为亚马逊云科技Marketplace发布的FortiGate 6.4.5。
企业将业务部署到公有云上,如果用户希望对云上的网络流量进行实时的安全检测和分析,或希望利用自定义的安全规则实时发现网络中的安全风险,则可以借助Fortinet Security Fabric 安全平台对实时云流量进行分析,输出流量分析报表,根据安全事件触发云平台自动修复安全隐患。Security Fabric的数据来源可以是在线部署的FortiGate, 也可以是借助亚马逊云科技 VPC Traffic Mirroring 工具的镜像流量。将EC2的网络流量镜像一份到FortiGate进行安全分析。
二、亚马逊云科技 VPC Traffic Mirroring(流量镜像)
流量镜像可用于从Amazon EC2实例的弹性网络接口复制网络流量,发送到安全分析系统,以用于内容检查,安全威胁监控,故障排除等。
流量镜像目标可以是一台EC2的弹性网络接口,或者通过具备UDP侦听器的NLB网络负载均衡发送到多个目标。流量镜像源和目标可以在同一个VPC,同区域的不同VPC,或者同区域的不同账号。还可以根据协议,端口等定义过滤条件,只复制需要分析的特定流量。
从镜像源复制的流量将被封装在VXLAN(UDP 4789)的数据包中,发送到FortiGate, FortiGate接收带vxlan标签的数据包,解包解析分析数据。
亚马逊云科技 流量镜像源支持A1, C5, C5d, C5n, G4, I3en, Inf1, M5, M5a, M5ad, M5d, M5dn, M5n, p3dn.24xlarge, R5, R5a, R5ad, R5d, R5dn, R5n, T3, T3a, and z1d, Bare metal: a1.metal, c5.metal, c5d.metal, c5n.metal, i3. metal, i3en.metal, m5.metal, m5d.metal, r5.metal, r5d.metal, u-6tb1.metal, u-9tb1.metal, u-12tb1.metal, u-18tb1.metal, u- 24tb1.metal, and z1d.metal 类型主机,t2等小规格主机不支持。
三、流量镜像测试
验证业务主机
在亚马逊云科技上配置VPC, IGW等网络
在亚马逊云科技上部署测试主机,在此以linux服务器上安装ssh httpd 服务为例
部署安全分析FortiGate
1.在亚马逊云科技 EC2 面板, 创建实例.
2.选择亚马逊云科技 marketplace ,搜索“FortiGate”,选择线上BYOL版本
3.选择实例类型C5 ,核数选择跟License匹配
4.主网管为管理网卡,选择管理网卡VPC 和网段,添加第二块网卡作 为镜像接入网卡
5.一路NEXT 完成主机部署。
6.分配弹性IP给 FORTIGATE, 导入LICENSE ,并且正常登入FORTIGATE.
7,关闭FortiGate 主机镜像网卡源/目标安全检查选项。
8.登入FortiGate ,修改port2为单臂嗅探模式,配置安全分析profile.
9.如果Security fabric 安全分析平台,在fabric连接器里与faz对接。
12.启用FortiGate 本地日志报告
VPC 流量镜像配置
1.创建VPC流量镜像筛选条件
2.在在创建流量镜像过滤器时,根据需要创建入站规则和出站规则,以重定向正确的流量。我们将所有入站和出站流量重定向到FortiGate sniffer接口.
3.单击“镜像目标”创建流量镜像目标,选择“网络接口”并选择FortiGate port2接口id,port2接口id在ec2实例 中查找。
4.点击“镜像会话”创建镜像会话,关联镜像源、镜像目标和镜像筛选条件,镜像源选择源EC2主机的网卡ID,会话编号自定义,VNI 编号可不填,需要镜像多个主机,创建多个镜镜像会话到镜像目标。
镜像流量安全分析
- 在FortiGate上查看分析记录
Sniffer 流量:
应用控制:
URL记录:
镜像接口流量
亚马逊云科技平台 封装VXLAN包装把流量镜像至FortiGate.