随着企业全面采用远程办公策略，为员工创建可靠的、可弹性扩展且安全的联网方案变得极其重要。许多企业已经将部分或全部工作负载和应用程序迁移到Amazon Web Services (AWS)，以利用公有云的弹性、可靠性，以及高性价比。因此，客户需要的解决方案不仅要与AWS原生服务集成，而且还要使他们的远程办公人员能够以敏捷和可靠的方式连接到部署在混合云环境中的企业应用。






Fortinet下一代防火墙(NGFW)现已登陆AWS Marketplace。FortiGate NGFW支持各种Amazon EC2实例类型和配置，以更好的为客户提供可伸缩的SSL VPN和IPSec功能。基于此，FortiGate能够支持多达数千用户以SSL和IPSec的加密隧道方式并发连接到部署在AWS上的应用。同时，用户无需为这数千并发用户单独付费，一切费用都包含在了FortiGate-VM的订阅费用中。此外，通过使用c5n系列机型，FortiGate-VM能够获得更好的网络处理性能，单机达到20Gbps+ 吞吐量，从容应对各种云上负载场景。在本文中，我们将讨论使用FortiGate-VM在AWS中部署可弹性扩缩的安全解决方案时的一些设计考虑。我们还将概述如何在AWS中启动该解决方案。

通过AWS Transit Gateway和AWS Route53进行多区域部署

尽管有多种不同的方法在AWS中实现弹性架构，但大多数设计都会考虑在至少两个AWS区域部署服务，以支持灾难恢复，并避免在发生自然灾害(如地震)时服务中断。此外，通过在一个AWS区域中的两个或更多可用区中部署资源，客户可以确保容错。图1描述了一个多区域的FortiGate部署，它利用AWS Route 53将SSL客户端(FortiClient)连接到延迟最小的地区。在这种架构中，部署了两个区域云安全服务中心(us-east-1和us-west-1)。每个云安全服务中心由两个FortiGate实例组成。


【图1：利用AWS Route53和FortiGate-VM实现多区域远程办公安全接入】

如图所示，Route 53使VPN客户端能够从FortiGate获得IP地址，从而基于延迟来终止VPN连接。除了区域冗余之外，AWS设计的最佳实践还包括部署至少两个FortiGate，每个FortiGate都位于不同的可用区。当然，FortiGate也支持多种高可用设计，如A/A和A/P模式HA。Route 53中的多值应答路由可用于向各个区域的FortiGate分发IPSec VPN流量，如图1所示。

大多数客户将应用部署在多个VPC中，而同时远程客户端需要访问这多个VPC。AWS推荐利用AWS Transit Gateway（TGW）作为共享服务VPC和所有业务VPC的连接方式。如图2所示，位于Cloud Security Services Hub的FortiGate-VM能够通过AWS Transit Gateway连接到业务VPC。在这个架构中，AWS NLB将 SSL VPN流量基于五元组（源/目的IP，源/目的端口，协议）负载均衡到位于中心VPC的两台FortiGate上。

在VPN用户方面，虽然需要提前在FortiGate上进行用户创建，但是如果用户本地已经有LDAP，RADIUS，AD等认证服务器，FortiGate可以直接与认证服务器联动，管理员无需额外维护用户认证信息，将会极大降低配置复杂度和配置错误的可能性。同时，FortiToken可以作为双因子认证（2FA）来确保登录用户的身份安全。

如图2所示，在hub VPC里的两个子网分别和TGW相连。一旦SSL VPN用户连接到任何一个FortiGate，用户都可以访问到部署在应用VPC中的应用。举例来说，如果一个远程用户需要访问位于业务VPC B的资源，私有子网里路由表里的一条指定路由（10.20.0.0/16）将会被使用，并且流量会通过TGW attachment被路由到TGW（如图2所示）。这里需要注意的是，在每个私有子网里的路由表都要包含通过TGW attachment去往业务VPC的路由。此外，他们包含一个默认网关路由指向每个可用区中的FortiGate的私有ENI。回向流量将会被TGW路由回hub VPC。FortiGate所在子网的路由表，将默认网关设置为FortiGate私有ENI，这种情况下，回向流量可以走相同的路径到远程用户。客户可以创建IPSec VPN将本地环境和Hub VPC中的FortiGate或TGW安全连接起来，让远程用户也能直接安全的访问本地资源。



【图2：远程用户通过SSLVPN连接到FortiGate-VM和Transit Gateway】

使用FortiGate实现精简架构的混合云安全互联

FortiGate可以同时作为SSL-VPN网关和IPSec VPN网关来实现远程用户的安全连接和混合云安全互联。FortiClient SSL-VPN客户端可以运行在iOS，安卓，Windows，MacOS和Linux系统上，让用户方便的连接到部署在任意位置的FortiGate，不论是在AWS上还是办公网出口亦或是数据中心出口。

在混合云场景中，用户通常会将本地数据中心和AWS环境通过Direct Connect进行专线互联，来确保高优先级业务流量的传输可靠性。同时，对于低优先级的业务流量会通过IPSec VPN连接到云环境。FortiGate能够以硬件和VM的形式分别部署在IDC、办公网、AWS平台上。如本文所述，远程用户通过SSL VPN与AWS Route 53服务可以就近连接到FortiGate，从而安全、便捷的访问云上和本地资源。



通过使用FortiGate实现的混合云安全互联，不仅让连接变得更安全更方便，同时在网络架构上实现了精简。如图3所示：



【图3：传统架构 vs Fortinet精简架构】

传统模式下


    通常IDC中的CGW和VPN，与云上VPN很可能是不同厂商，品牌异构带来很高的学习和运维成本，以及稳定性风险；

    不同厂商的SSLVPN无法打通，用户只能接入指定SSLVPN网关，无法按需负载，且必须使用两个品牌的SSLVPN客户端；

    IDC接入的SSLVPN用户访问云上资源配置复杂；

    为解决高可靠问题，需要在CGW和两处VPN均部署双机，成本高。


使用FortiGate实现的精简架构下


    FortiGate可以同时作为CGW连接DX，IPSec VPN，和SSLVPN网关，极大降低了网络结构的复杂性和运维成本；

    用户可以使用AWS Route 53负载两台FortiGate的SSLVPN接入，当用户访问就近的SSLVPN网关；

    只需配置简单的SD-WAN规则即可将IDC的SSLVPN流量分流到IPSecVPN隧道，不占用DX带宽；