【CSMP】【配置类】【安全代理网关配置】

虞超01发表于:2021年08月17日 10:14:57更新于:2021年08月18日 21:04:37

1     简介

     当前CSMP产品在半松半紧部署、多云、混合云管理中遇到如下痛点问题

运维困难/紧耦合组件占用大量云平台资源/适配工作量较大/组件无法双网卡都支持DHCP

为了解决以上问题,决定采用两套vFW作为vSPGW,分别部署在云安全资源池和客户云平台内,两个vSPGW之间通信采用GRE/IPSEC隧道做封装,作为两个云平台的网关设备(CSMP也是一个云平台)

vFW作为vSPGW有如下优势,解决了上述痛点问题

安全可靠/资源占用少/性能优异/免费部署/适配多种云平台环境/支持多网卡DHCP

 

2     配置前提

简述配置前需要注意的事项,包括但不限于以下内容,如果有其他特殊说明也可以在此处指出。

1.    注意该方案适配环境是半松半紧,或者多云/混合云的环境

2.    提前规划vpn内部ip网段,避免与现网地址冲突

3     配置举例

3.1      组网需求

image.png

如上图所示,需要在中心节点SPGW和分支节点SPGW打通IPSEC over GRE隧道

3.2      配置思路

1.    在两个云平台创建出vfw组件

2.    打通两个vfw之间的GRE/IPSEC隧道,配置相关的路由和ACL策略

3.    在CSMP测试的组件上添加客户的虚拟机IP,测试是否可以直接访问

3.3      使用版本

CSMP:2.0.4SP1及以上

Vfw版本:6.1.13 及以上

3.4      配置步骤

3.4.1     创建防火墙

1.    由于从csmp页面开通防火墙组件需要占用授权,因此,中心节点的VFW1组件建议从cmp页面开通(csmp也可以,只是要多占用一个授权)。访问csmp的8443端口即为cmp页面

进入【计算】>【虚拟机管理】>【创建虚拟机】,选择对应的参数创建即可,注意镜像选择vfw开通的防火墙镜像

image.png

image.png

image.png


完成后,记录新增VFW1组件的ip。

2.    开通完成后,直接登录浏览器https访问防火墙的ip即可进行配置

3.    分支节点的VFW2直接从客户的云平台上开通即可。

3.4.2     配置接口

1.    分别登录VFW1(中心节点)和VFW2(分支节点),在页面上添加对应的tun隧道接口和lo环回接口,用于隧道配置。添加配置在【网络配置】>【接口】>【添加】,需要添加两个接口。tun和lo接口ip再确认之前建议与客户确认,不要与客户的业务ip冲突

image.png

 VFW1(中心节点)的配置

image.png

VFW2(分支节点)的配置

image.png

 

3.4.3     配置路由和策略

1.    配置安全策略,在【策略配置】>【安全策略】,点击添加即可,默认全部any, VFW1(中心节点)和VFW2(分支节点)都要配置。

image.png

2.     配置必要的路由,配置在【网络配置】>【路由】>【静态路由】,首先VFW1(中心节点)上配置到用户业务虚机的业务网段的路由,出接口走tunnel隧道,同时还需要添加到达VFW2(分支节点)的安全网关的隧道地址的路由。如下图

image.png

而VFW2(分支节点)只需要配置到达VFW1(中心节点)的的隧道地址的路由

image.png

 

3.4.4     配置隧道

1.    配置VFW1(中心节点)和VFW2(分支节点)之间的IPSEC VPN隧道,在【网络配置】> 【VPN】>【IPsec自动隧道】

配置步骤:先添加IPSEC IKE网关,再添加隧道,绑定该网关,网关配置要注意保活模式

VFW1(中心节点)的IPSEC网关配置如下: 两端的ID类型选择hostname,填入对应的主机名

image.png

image.png

接着添加IPsec隧道

image.png

VFW2(分支节点)的配置基本与VFW1一致,如下:


image.png

image.png

image.png

image.png

2.    配置IPsec over GRE隧道,在【网络配置】> 【VPN】>【GRE隧道】,点击添加即可。注意Over-IPsec选项需要绑定上一步配置的IPsec隧道名

VFW1(中心节点)配置如下:

image.png

VFW2(分支节点)配置如下:

image.png

3.    检测隧道连通性,在【数据中心】> 【监控】>【隧道监控】。观察IPsec隧道和GRE隧道状态是否都已经正常(VFW1和VFW2都要配置)

image.png

image.png

3.4.5     配置NAT

1.    配置源地址转换,只有VFW2(分支节点)需要配置

背景:由于云内VPC虚拟机数量多且并不能添加安全资源池的业务网段的路由,因此要在云内安全网关上配置源地址转换。

目标:将csmp平台内的租户组件的业务地址转换为云内安全网关的物理接口地址进行访问

具体配置项在【策略配置】>【NAT策略】,这里的截图是直接添加了租户的组件业务地址(192.168.245.64)

image.png

image.png

2.    配置目的转换,只有VFW2(分支节点)需要配置

背景:由于虚拟机访问安全资源池原有方案是通过云平台的EIP地址进行映射来访问csmp平台组件的业务地址,这样造成了所有VPC主机均需要一个EIP地址,因此在此处可以配置目的地址转换的方式进行规避,使所有VPC主机均主访问云内安全代理网关的物理接口IP地址和端口,以不同的端口来区分租户的不同组件(需要注意的是,防篡改日志的UDP514和LAS日志审计的UDP514端口相同,可能冲突因此需要云平台内安全网关分配两个私网IP地址来解决,以本手册中172.19.202.6为例,即还需要添加一个172.19.202.7的第二IP地址来进行不同组件端口冲突的规避)

image.png

 

image.png

4     验证配置

组件添加到用户虚机的路由,然后添加资源进行访问或者扫描之类的操作,能够正常访问或者扫描即可,以堡垒机为例,页面添加路由的配置如下,在【系统】>【系统配置】>【网络配置】>【静态路由配置】:

image.png

5     注意事项

如果需要对云平台内部的安全代理网关进行管理,可以在VFW1(中心节点)将VFW2(分支节点)的tunnel接口地址作为管理地址,开启ssh、ping 、https功能,并将此服务映射出去,如下图所示。

image.png

这样我们在堡垒机上也可以添加转换前的IP地址和端口来对云内的安全代理网关进行管理和配置