Sie sind hier

Virtualisierung einer Firewall mit Hilfe von Virtual Domains (VDOMs)

Mit Hilfe von virtuellen Domänen (VDOMs) lässt sich eine Fortigate Firewall oder auch ein Cluster in mehrere logische Firewalls aufteilen. Diese logischen Einheiten können unabhängig voneinander verwaltet werden und verhalten sich wie unabhängige Systeme. Somit lassen sich beispielsweise verschiedene Firmen innerhalb einer gemeinsamen IT Landschaft abbilden und Ressourcen können gemeinsam genutzt werden. Die mögliche Anzahl variiert abhängig der Plattform zwischen 5 und 500. Die genaue Anzahl entnimmt man der Fortinet Product Matrix. 

Zur Veranschaulichung des Konfigurationsaufwands wollen wir ein einfaches Beispiel anhand von zwei VDOMs zeigen. Eine Fortigate soll den Internetzugang für zwei Firmen bereitstellen. Neben den beiden VDOMs exisitert immer eine sog. root-VDOM. Diese beherbergt alle Interfaces, so lange diese nicht einer anderen VDOM zugewiesen werden. Ebenso wird hier die Konfiguration vorgehalten, die die Firewall vor Aktivierung bzw. nach Deaktivierung des VDOM Features bekommt. 


Unser Setup sieht dann wie folgt aus:

 

Zum Test verwenden wir einen Firewall Cluster aus je 2 x 90D mit FortiOS v6.0.2.

 

Bei einigen Modellen kann man die Aktivierung über die grafische Oberfläche durchführen. Auf unserem Testsystem mit einer 90D müssen wir das Feature „VDOM“ auf der CLI aktivieren:

FG1 # config system global
FG1 (global) # set vdom-admin enable
FG1 (global) # end

You will be logged out for the operation to take effect

Do you want to continue? (y/n)

Anschließen müssen wir uns einmal neu einloggen und finden unter System | Settings den Schalter „Virtual Domains“, mit denen wir das Feature an oder abschalten können:

Ebenso kommt ein neues Drop-Down Menü hinzu, wo wir zwischen den VDOMs wechseln können. Der Global Kontext dient dazu globale Einstellung vorzunehmen, die unabhängig einer VDOMs gesteuert werden können (z.B. HA Cluster, Definition von neuen VDOMs, usw).

 

Unter System | VDOMs kann man eine Übersicht über alle VDOMs und deren Ressourcenverbrauch und die Interface-Zuordnung abrufen:

 

Hier können wir mit „Create New“ eine neue VDOM anlegen. In unserem Fall ist das die VDOM für unsere Firma A:

Analog legen wir ein VDOM für Firma B an:

 

Nun können wir aus dem globalen Kontext einzelne Interfaces den VDOMs zuweisen. Firma-A bekommt ein eigenes pyhsikalische Interface internal11 und die IP Adresse 10.10.11.254/24:

 

Analog bekommt Firma B das internal12 und die IP 10.10.12.254/24:

Für den Fall, dass jede Firma einen eigenen Administrator beschäftigt, können wir eigene Administratoren anlegen, die auch wieder jeweils einer VDOM zugewiesen werden:

Als Administratorenprofil wählen wir das vorinstallierte Profil „prof_admin“, womit es möglich ist granulare Zugriffsrechte zu erteilen:

 

Bei den Security Profilen hat man die Wahl zwischen den globalen oder je VDOM individuellen Profilen. Die globalen Profile sind mit dem Prefix „g-„ gekennzeichnet:

 

Es wäre aber auch möglich, dass ein dediziertes Profil innerhalb einer VDOM angelegt werden kann.  

Die Gesamtübersicht können wir uns nun unter System | VDOM ansehen:

 

Weitere Dokumentation zu diesem Thema findet sich im "FortiOS Handbook –Virtual Domains" unter https://docs.fortinet.com

Nutzungsbedinungen

Die Nutzung, Vervielfältigung und Verbreitung dieser Publikation und von verbundenen Grafiken wird hiermit unter der Bedingung gestattet, dass der Urheberrechtshinweis auf allen Kopien erscheint und dass sowohl der Urheberrechtshinweis als auch dieser Zustimmungshinweis erscheinen. Alle sonstigen Rechte bleiben vorbehalten. Der Name der Ingentive Networks GmbH darf im Zusammenhang mit der Verbreitung dieser Publikation durch Werbung oder sonstige Veröffentlichung, nur mit ausdrücklicher vorheriger schriftlicher Zustimmung verwendet werden. Ingentive Networks GmbH übernimmt keine Gewähr für die Verwendbarkeit dieser Information zu irgendwelchen Zwecken. Diese Publikation wird so wie hier bestehend zugänglich gemacht, ohne jegliche Gewähr oder sonstige Verpflichtung. Jegliche Gewährleistung im Zusammenhang mit dieser Information und deren Verwendung, ausdrücklich oder stillschweigend, gesetzlich oder aus sonstigem Rechtsgrund (einschließlich der Gewährleistung für bestimmte Eigenschaften oder der Verwendbarkeit für einen bestimmten Zweck) ist ausgeschlossen. Ingentive Networks GmbH haftet nicht für Bearbeitungsfehler oder Nutzungsausfall, entgangenen Gewinn oder erwartete ersparte Aufwendungen, Verlust des Firmenwerts (goodwill) oder Verlust von Daten oder Verträgen sowie für jegliche Art von indirekten Vermögens- oder Folgeschäden (einschließlich Schäden aufgrund von Ansprüchen Dritter), welche im Zusammenhang mit der Verwendung dieser Publikation entstehen. Die Nutzung dieser Publikation ist unter den Bedingungen erlaubt, dass (1) der unten angeführte CopyrightVermerk auf allen Kopien erscheint, und dass der Copyright-Vermerk und dieser Genehmigungsvermerk erscheinen, (2) die Dokumente dieser Web-Site nur zu informatorischen, nichtkommerziellen oder privaten Zwecken genutzt und nicht über Computernetze oder sonstigen Medien veröffentlicht werden, und (3) die Dokumente nicht verändert werden. Die Nutzung zu anderen Zwecken erfordert eine explizite Genehmigung seitens Ingentive Networks GmbH Diese Publikation kann technische Ungenauigkeiten oder typographische Fehler enthalten. Die darin enthaltenen Informationen werden regelmäßig verändert oder ergänzt. Die Ingentive Networks GmbH behält sich vor, jederzeit Änderungen und/oder Verbesserungen an einem oder mehreren der darin beschriebenen Produkte und/oder einem oder mehreren der Programme vorzunehmen. "Aruba",„HPE“, „Fortigate“, "Cisco Systems" und „Ingentive Networks“ sind eingetragene Warenzeichen.