利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙

最新推荐文章于 2024-12-26 16:18:21 发布
原创 最新推荐文章于 2024-12-26 16:18:21 发布 · 462 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#aws #云计算 #网络

AWS VPC 流量集中检测系列--(4)利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙

B站视频:​ https://www.bilibili.com/video/BV1LG411j7v4/?spm_id_from=333.999.0.0

上一篇文章讲过了AWS GWLB如何集成FortiGate防火墙,来对流量做集中检测。上一次实验是通过AWS 控制台操作的,这里分享一下实验环境的CloudFormation代码,帮助大家快速部署一下实验环境。

一、CloudFormation代码部署

这里的CloudFormation代码在Tokyo区域部署的,如果要在其他Region部署,请修改FortiGate和Windows2022Base的AMI ID(参考我之前的文章《如何寻找EC2特定版本的AMI ID》)。

这次CloudFormation是全自动化代码,堆栈运行完成以后,可以直接测试现象,不需要再做任何额外的配置。默认防火墙使用6.4.10的版本部署,如果要使用7.2.2参考第四部分修改关于防火墙的代码。

AWSTemplateFormatVersion: "2010-09-09"

Mappings:
  RegionMap:
    ap-northeast-1:
      FortiGate722: ami-08479d0bce02ca48b
      FortiGate6410: ami-0abf1a002258e8077
      Windows2022Base: ami-06ac5e650e049a48f
  FirewallInstanceType:
    FortiGate722:
      InstanceType: c6i.xlarge
    FortiGate6410:
      InstanceType: c6i.xlarge

Parameters:
  EC2InstanceAmiId:
    Type: AWS::SSM::Parameter::Value<AWS::EC2::Image::Id>
    Default: '/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2'
  Environment:
    Type: String
    AllowedValues:
      - dev
      - prod
    Default: dev
  MyKeyPair:
    Description: Amazon EC2 Key Pair
    Type: AWS::EC2::KeyPair::KeyName
    Default: Global_Tokyo_KeyPair

  WebServerPort:
    Description: Apache Http Server Port
    Type: String
    Default: 8443
    AllowedValues:
      - 8443
      - 8888
      - 8088
  FortigateVersion:
    Description: Choice Fortigate Firewall Version Type
    Type: String
    Default: FortiGate722
    AllowedValues:
      - FortiGate722
      - FortiGate6410

Resources:
#=========================================创建VPC、IGW========================================#
# 创建一SecVpc
  SecVpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.20.0.0/16
      EnableDnsSupport: 'true'
      EnableDnsHostnames: 'true'
      Tags:
       - Key: Name
         Value: SecVpc

# 创建IGW并且关联到VPC
  SecVpcIGW:
    Type: "AWS::EC2::InternetGateway"
    Properties:
      Tags:
        - Key: Name
          Value: SecVpcIGW

  SecVpcAttachIgw:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref SecVpc
      InternetGatewayId: !Ref SecVpcIGW

#---------------------------SecVpc创建4个子网-------------------------------------#

# SecVpc AZ1内创建GWLB子网
  Az1GwlbSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.20.10.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: SecVpc-GWLB-AZ1-GWLB-Subnet

# SecVpc AZ2内创建GWLB子网
  Az2GwlbSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.20.30.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: SecVpc-GWLB-AZ2-GWLB-Subnet

# SecVpc AZ1内创建MGT子网
  Az1MgtSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.20.20.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: SecVpc-GWLB-AZ1-MGT-Subnet

# SecVpc AZ2内创建MGT子网
  Az2MgtSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.20.40.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: SecVpc-GWLB-AZ2-MGT-Subnet

#---------------------------SecVpc创建路由表-------------------------------------#

# SecVpc创建管理网段的路由表
  MgtRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: SecVpc-Mgt-route-table

# Mgt路由表关联子网
  Az1MgtSubnetAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref MgtRouteTable
      SubnetId: !Ref Az1MgtSubnet

  Az2MgtSubnetAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref MgtRouteTable
      SubnetId: !Ref Az2MgtSubnet

# SecVpc创建Gwlb的路由表
  GwlbRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: SecVpc-Gwlb-route-table

# Gwlb路由表关联子网
  Az1GwlbSubnetAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref GwlbRouteTable
      SubnetId: !Ref Az1GwlbSubnet

  Az2GwlbSubnetAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref GwlbRouteTable
      SubnetId: !Ref Az2GwlbSubnet


# 管理网段添加默认路由去往IGW
  MgtToInternetRoute:
    Type: "AWS::EC2::Route"
    DependsOn: SecVpcIGW
    Properties:
     RouteTableId: !Ref MgtRouteTable
     DestinationCidrBlock: 0.0.0.0/0
     GatewayId: !Ref SecVpcIGW

#---------------------------SecVpc创建安全组------------------------------------#

# 在SEC VPC内创建一个安全组
  SecVpcSg:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: SG to test ping
      VpcId: !Ref SecVpc
      SecurityGroupIngress:
      - IpProtocol: tcp
        FromPort: 22
        ToPort: 22
        CidrIp: 0.0.0.0/0
      - IpProtocol: icmp
        FromPort: -1
        ToPort: -1
        CidrIp: 0.0.0.0/0
      - IpProtocol: tcp
        FromPort: 443
        ToPort: 443
        CidrIp: 0.0.0.0/0
      - IpProtocol: tcp
        FromPort: 8443
        ToPort: 8443
        CidrIp: 0.0.0.0/0
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 10.20.0.0/16
      - IpProtocol: -1
        FromPort: -1
        ToPort: -1
        CidrIp: 10.10.0.0/16
      - IpProtocol: tcp
        FromPort: 3389
        ToPort: 3389
        CidrIp: 0.0.0.0/0
      Tags:
        - Key: Name
          Value: SecVpcSg

#---------------------------SecVpc创建Fortigate接口------------------------------------#

  Fortigate1MgmtEip:
    Type: "AWS::EC2::EIP"
    Properties:
      Tags:
        - Key: Name
          Value: SecVpc-fortigate1-mgmt-eip

  Fortigate1MgmtEni:  # 创建Fortigate1管理接口
    Type: "AWS::EC2::NetworkInterface"
    Properties:
      SourceDestCheck: false
      PrivateIpAddress: 10.20.20.100
      GroupSet:
        - Ref: "SecVpcSg"
      SubnetId:
        Ref: "Az1MgtSubnet"
      Tags:
        - Key: Name
          Value: SecVpc-fortigate1-mgmt-eni

  Fortigate1MgmtEniAssociation:  # 关联公网IP到Mgt弹性接口
    Type: AWS::EC2::EIPAssociation
    Properties:
      AllocationId: !GetAtt Fortigate1MgmtEip.AllocationId # 这里是EIP
      NetworkInterfaceId: !Ref Fortigate1MgmtEni

  Fortigate1DataEni:  # 创建Fortigate1数据接口
    Type: "AWS::EC2::NetworkInterface"
    Properties:
      SourceDestCheck: false
      PrivateIpAddress: 10.20.10.100
      GroupSet:
        - Ref: "SecVpcSg"
      SubnetId:
        Ref: "Az1GwlbSubnet"
      Tags:
        - Key: Name
          Value: SecVpc-fortigate1-data-eni

  Fortigate2MgmtEip:
    Type: "AWS::EC2::EIP"
    Properties:
      Tags:
        - Key: Name
          Value: SecVpc-fortigate2-mgmt-eip

  Fortigate2MgmtEni:  # 创建Fortigate2管理接口
    Type: "AWS::EC2::NetworkInterface"
    Properties:
      SourceDestCheck: false
      PrivateIpAddress: 10.20.40.100
      GroupSet:
        - Ref: "SecVpcSg"
      SubnetId:
        Ref: "Az2MgtSubnet"
      Tags:
        - 
最低0.47元/天 解锁文章

200万优质内容无限畅学
AWS GWLB集成Palo Alto防火墙
liuqianglong_liu的博客
10-14 1048
AWS Gateway Load Blancer集成Palo Alto防火墙对流量做集中的安全检测。
如何使用CloudFormation自动在AWS EC2上安装Anaconda
cumi6497的博客
08-07 352
by Daniel Barker 丹尼尔·巴克(Daniel Barker) 如何使用CloudFormation自动在AWS EC2上安装Anaconda (How to automate Anaconda installs on AWS EC2 with CloudFormation) TL; DR (TL;DR) Are you struggling to automate the i...
AWSTemplates:使用AWS CloudFormation自动化基础架构部署
03-09
AWSTemplates:使用AWS CloudFormation自动化基础架构部署
使用CloudFormation将Docker容器自动部署AWS
nirvanacccc的博客
01-20 567
使用CloudFormation将Docker容器自动部署AWS 当你利用 CloudFormation 在 YAML 模板中定义你的基础设施时,将 Docker 容器部署AWS弹性容器服务(ECS)是直接和自动化的。在这里,我们将通过一个简单的例子,我们将设置在 AWS 中运行一个 NGINX 容器并通过互联网访问它所需的一切。 AWS ECS 概述 我们选择运行 NGINX 官方的 Docker 镜像,因为它将允许我们浏览到 80 端口并查看响应,以证明容器正在运行。为了让这个部署到 ECS 中,
AWS GWLB对访问ALB流量做安全检测
liuqianglong_liu的博客
11-15 665
AWS Gateway Load Balancer对访问Application Load Balancer流量做安全检测,并关联AWS WAF策略,使用Linux iptables模拟防火墙,全自动化搭建实验环境。
AWS GWLB集成FortiGate防火墙
liuqianglong_liu的博客
10-31 855
AWS GWLB集成FortiGate防火墙
基于AWS GWLB实现安全检测的线性扩展
cyt_317的博客
08-27 1569
无论是哪种应用场景,通过修改VPC路由表路由条目,调整数据转发路径,使需要安全检查的子网流量下一跳指向GWLB,从而使流量穿过安全网关进行安全检查或安全控制。AWS 网关负载均衡(GWLB)为AWS提供的托管型4层负载均衡服务,AWS网关负载均衡将互联网IGW流量或虚拟私有网关VGW流量负载分担到多个安全网关,扩展互联网出口和VPC互连网络安全处理性能,并且保障FortiGate安全网关的容错能力和扩展性。在防火墙上去互联网和GWLB都存在默认网关,启用VDOM把管理流量和GWLB流量分开。......
AWS GWLB对访问NLB流量做安全检测
liuqianglong_liu的博客
11-07 587
AWS Gateway Load Balancer对访问Network Load Balancer流量做安全检测,使用Linux iptables模拟防火墙,全自动化搭建实验环境。
AWS 自动部署
Tom098的博客
05-24 368
AWS CouldFormation: 通过JSON或者YAML文件部署 BeanStalk:直接将要运行的应用上传到AWS, AWS为你创建server, load balancer, LB target, auto scalling group, security group等资源,并自动部署
自动化部署AWS API Gateway,Lambda,防火墙与WAF实现动态威胁防护与响应
cyt_317的博客
03-01 1003
当上节Terraform创建时,terraform.tfvar文件中的变量enableSimpleWebSrv = true 时,即表示部署一组简单的WEB应用实例,其中位于可用区1的subnet-app的IP为192.168.251.72 (请根据您Terraform部署后的实例实际IP填写),当从浏览器发起访问,如。当您完成上步,即Terraform工程与您AWS环境的适配后,您就可以执行下面的命令,测试Terraform是否满足部署条件。如果false,请参照文件中的指导,在DryRun时传入ID。
亚马逊云应用程序网络:构建简单、安全且可靠的应用
最新发布
publishtool的博客
12-26 1144
亚马逊云应用程序网络:构建简单、安全且可靠的应用
负载均衡的类型
HaoHao_010的博客
11-25 1044
ALB(应用型负载均衡)适合处理应用层(第7层)流量,适用于Web应用、API和微服务。NLB(网络型负载均衡)适合处理传输层(第4层)流量,适用于高性能、高吞吐量需求的应用。GWLB(网关型负载均衡)用于支持流量分发到虚拟网关、设备或安全解决方案的场景。CLB(传统型负载均衡)是较早期的负载均衡方案,适用于简单的Web和TCP应用。每种负载均衡类型都有其特定的应用场景和优势,选择哪种类型的负载均衡取决于具体的需求、应用类型以及流量管理的复杂度。
这就是如何使用cloudformation部署AWS Lambda函数
weixin_26631359的博客
09-23 901
By IOD Expert Matt Billock IOD专家Matt Billock AWS Lambda is a powerful tool for developing serverless applications and on-demand workflows. However, this power comes at a cost in terms of flexibility ...
AWS CloudFormation 系列--(2)常用函数及字段
liuqianglong_liu的博客
10-11 1287
AWS CloudFormation 常用函数及字段,进阶必看。
亚马逊云科技2023年1-2月服务上新
亚马逊云科技专栏
03-15 482
从计算、存储和数据库等基础设施技术,到机器学习、人工智能、数据湖和分析以及物联网等新兴技术,亚马逊云科技为客户提供多样的服务及功能。借助亚马逊云科技,您可以在种类繁多的前沿技术中选择适合您工作负载的服务和功能来进行构建及创新。在过去的两个月里,由西云数据运营的亚马逊云科技中国(宁夏)区域落地了75个,由光环新网运营的亚马逊云科技中国(北京)区域落地了75个新功能或新服务。我们将基于客户需求,与光环...
教程篇(7.4) 01. 系统和网络设置 & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
02-16 2804
在本课中,你将了解FortiGate上的系统和网络设置。
如何设置缺省路由 route hosts(仅助记) 马连洼 马连洼 马连洼
weixin_33816611的博客
11-16 305
linux下添加路由的方法:一:使用 route 命令添加使用route 命令添加的路由,机器重启或者网卡重启后路由就失效了,方法://添加到主机的路由# route add –host 192.168.168.110 dev eth0# route add –host 192.168.168.119 gw 192.168.168.1//添加到网络的路由# route add –net IP ne...
fortigate 防火墙在使用LDAP对AD域用户认证时,可加入用户帐号的group组属性校验...
weixin_34192993的博客
02-22 1439
默认情况下,fortigate 防火墙在使用LDAP对AD域用户认证时,并不对用户帐号的group组属性进行校验 如果不仅仅想实现认证功能,还想实现授权功能,可以在活动目录上事先建立好不同权限的用户组(该group不一定要放在CN=Users,DC=abc,DC=com下,放在任意创建的OU下都可以),然后在fortigate 防火墙在配置LDAP时,再加上用户帐号的gro...
理解亚马逊 Amazon AWS CloudFormation
06-09 9482
http://ju.outofmemory.cn/entry/70264 Amazon最初始推出AWS时候,提供给用户的是虚拟机(EC2),存储(Volume),弹性IP(Elastic IP)等这些在云计算中被划分为基础设施层(I层)的资源。 稍后AWS又推出了RDS(Relation Database Service),用户可以申请MySQL,Oracle,Postgres,SQLSe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值