فایروال

آشنایی جامع با VDOM در فورتی‌گیت

نویسنده: author-avatar
0

VDOM سرنام (Virtual Domain) یک قابلیت فنی کلیدی در سیستم‌عامل FortiOS فورتی‌گیت است که امکان تقسیم منطقی یک دستگاه فیزیکی فورتی‌گیت به چندین فایروال مستقل و مجازی را فراهم می‌آورد. از منظر معماری، VDOM لایه‌ای از انتزاع است که منابع سخت‌افزاری و نرم‌افزاری دستگاه (مانند حافظه، پردازنده، و پورت‌های فیزیکی) را بین چندین دامنه مجزا تقسیم می‌کند. هر VDOM کاملا مستقل عمل کرده و دارای مجموعه‌ای جداگانه از پالیسی‌های امنیتی، جداول مسیریابی، تنظیمات VPN، کاربران، و مدیران خاص خود است؛ به گونه‌ای که انگار یک دستگاه فیزیکی مجزا است.

کاربرد اصلی VDOM در محیط‌های چند مستاجری و سازمان‌های بزرگ با بخش‌بندی‌های داخلی پیچیده است که نیاز به جداسازی کامل ترافیک و مدیریت دارند. برای مثال، یک ارائه‌دهنده خدمات امنیتی مدیریت‌شده (MSSP) می‌تواند یک فورتی‌گیت فیزیکی را به چندین VDOM تقسیم کرده و هر VDOM را به یک مشتری اختصاص دهد تا جداسازی داده‌ها و پالیسی‌های امنیتی مشتریان کاملا تضمین شود. VDOM‌ها می‌توانند در دو حالت اصلی کار کنند: Transparent Mode به عنوان یک پل شفاف یا NAT/Route Mode به عنوان یک روتر/فایروال کامل. این قابلیت نه تنها هزینه سخت‌افزار (CapEx) را کاهش می‌دهد، بلکه مدیریت متمرکز و کارآمدی را برای جداسازی وظایف فراهم می‌آورد.

مزایای فنی و عملیاتی VDOM در فورتی‌گیت

VDOM در فایروال‌های فورتی‌گیت مزایای فنی و عملیاتی متعددی را برای سازمان‌ها و ارائه‌دهندگان خدمات فراهم می‌آورد. مهم‌ترین مزیت، افزایش بهره‌وری زیرساخت سخت‌افزاری است؛ VDOM به مدیران اجازه می‌دهد یک دستگاه فایروال گران‌قیمت را به چندین نمونه فایروال مستقل و ایزوله تقسیم کنند. این امر باعث کاهش هزینه‌های سرمایه‌ای (CapEx) می‌شود، زیرا نیازی به خرید چندین دستگاه مجزا برای بخش‌های مختلف شبکه یا مشتریان نیست. از منظر عملیاتی، VDOM با فراهم آوردن جداسازی کامل منطقی میان دامنه‌ها، امنیت را به شکل چشمگیری تقویت می‌کند.

هر VDOM یک سیاست‌گذاری، جدول مسیریابی و مجموعه مدیریتی مختص به خود دارد، به‌طوری‌که تغییرات یا خطاهای پیکربندی در یک دامنه، هیچ تاثیری بر عملکرد یا امنیت سایر دامنه‌ها نخواهد داشت. این جداسازی برای محیط‌های چندمستاجری و سازمان‌های بزرگ با بخش‌های حساس مانند توسعه، مالی و عملیات که نیاز به تفکیک ترافیک دارند، حیاتی است. همچنین، VDOM از طریق تخصیص منابع به مدیران این امکان را می‌دهد که میزان مجاز استفاده از منابع سخت‌افزاری مانند جلسات همزمان، پهنای باند و حافظه را برای هر دامنه محدود کنند که این امر، مدیریت کیفیت سرویس و پایداری کل سیستم را در شرایط ترافیک بالا تضمین می‌کند. در نهایت، مدیریت VDOMها از طریق FortiManager به‌صورت متمرکز انجام می‌شود، که استقرار و مانیتورینگ چندین دامنه را در مقیاس بزرگ ساده‌تر می‌سازد.

چگونه VDOM در فایروال فورتی‌گیت کار می‌کند؟

عملکرد VDOM بر اساس یک لایه انتزاع در هسته سیستم‌عامل است که منابع سیستم را تخصیص می‌دهد. هنگام فعال‌سازی VDOM، سیستم عامل FortiOS یک پارتیشن‌بندی منطقی ایجاد می‌کند به‌طوری‌که هر VDOM دارای جدول مسیریابی، خط‌مشی‌های امنیتی، تنظیمات VPN، فهرست‌های دسترسی و موارد کاملا مستقل خود است. از نظر فنی، فرآیند پردازش بسته‌ها به این صورت است که وقتی یک بسته به پورت فیزیکی فورتی‌گیت وارد می‌شود، FortiOS ابتدا بر اساس پیکربندی رابط یا قوانین مسیریابی اولیه، مشخص می‌کند بسته به کدام VDOM تعلق دارد.

پس از هدایت بسته به VDOM مربوطه، بسته از دید آن VDOM دقیقا مانند ورودی به یک فایروال فیزیکی مجزا پردازش می‌شود: خط‌مشی‌های امنیتی آن VDOM، بازرسی عمیق بسته‌ها، و عملکرد توابعی مثل IPS و Application Control صرفا بر اساس قوانین تعریف‌شده در آن فضای مجازی اعمال می‌شوند. علاوه بر این، مدیر شبکه یا کارشناس امنیتی قادر است منابع سخت‌افزاری VDOM را مدیریت کند، به طوری که می‌تواند محدودیت‌هایی را برای مصرف حافظه، جلسات همزمان، و پهنای باند برای هر VDOM تعیین کند تا اطمینان حاصل شود که فعالیت یک دامنه، عملکرد حیاتی دامنه‌های دیگر را تحت تاثیر قرار نمی‌دهد. VDOMها همچنین می‌توانند در حالت‌های مختلفی از جمله NAT/Route Mode به عنوان یک دستگاه لایه ۳ کامل یا Transparent Mode به عنوان یک پل لایه ۲ عمل کنند و حتی از طریق Inter-VDOM Links برای تبادل ترافیک امن با یکدیگر ارتباط برقرار کنند. این معماری، جداسازی کامل و تضمین امنیت را برای محیط‌های مختلف فناوری اطلاعات در بستر یک سخت‌افزاری واحد فراهم می‌آورد.

نحوه ایجاد و مدیریت VDOM در فورتی‌گیت

نحوه ایجاد و مدیریت VDOM در فایروال‌های فورتی‌گیت شامل سه فاز کلیدی است: فعال‌سازی ویژگی، ایجاد VDOMها و مدیریت منابع/سیاست‌ها. فرآیند فعال‌سازی از طریق خط فرمان به شرح زیر است:

config system global

set vdom-admin enable

end

پس از فعال کردن VDOM، می‌توان VDOMهای جدیدی را به شرح زیر ایجاد کرد:

config vdom

edit <vdom_name>

set description “Description of VDOM”

next

end

در ادامه هر رابط شبکه از طریق اجرای دستورات زیر به یک VDOM خاص اختصاص داده می‌شود:

config system interface

edit <interface_name>

set vdom <vdom_name>

end

همچنین، می‌توانید کاربران خاصی را برای مدیریت VDOM با اجرای دستورات زیر مشخص کنید:

config system admin

edit <admin_name>

set vdom <vdom_name>

end

این فرآیند از طریق رابط کاربری گرافیکی یا خط فرمان انجام می‌شود. به طور کلی، مراحل به شرح زیر هستند:

۱. فعال‌سازی قابلیت VDOM

به صورت پیش‌فرض، VDOM در فورتی‌گیت غیرفعال است. ابتدا باید این ویژگی را فعال کنید. توجه داشته باشید که این مراحل بسته به نوع محصولی که استفاده می‌کنید و همچنین سیستم عامل FortiOS ممکن است کمی متفاوت باشد. از طریق رابط کاربر گرافیکی به مسیر زیر بروید

1. به مسیر System > Feature Visibility بروید.

2. در قسمت System Features، گزینه Virtual Domains را پیدا کرده و آن را فعال (Enable) کنید.

3. پس از فعال‌سازی، یک بخش جدید با عنوان System > VDOM در منوی ناوبری ظاهر می‌شود.

۲. ایجاد و پیکربندی VDOM جدید

پس از فعال‌سازی، می‌توانید VDOMهای مورد نیاز خود را ایجاد کنید.

1. به مسیر System > VDOM بروید.

1. روی Create New کلیک کنید.

2. یک نام منحصر به فرد (Name) برای VDOM (مثلاً Tenant_A یا Finance_VDOM) وارد کنید.

3. نوع عملیاتی (Operation Mode) را انتخاب کنید. در این بخش NAT/Route شبیه به یک فایروال استاندارد عمل می‌کند و برای مسیریابی ترافیک لایه ۳ استفاده می‌شود. در حالت Transparent، فایروال به عنوان یک پل لایه ۲ عمل می‌کند و آدرس‌های آی‌پی را تغییر نمی‌دهد.

تخصیص رابط‌ها (Interfaces)

پس از ایجاد VDOM، باید پورت‌های فیزیکی یا VLANهای مورد نظر را به آن اختصاص دهید:

1. به مسیر System > Network > Interfaces بروید.

2. پورت فیزیکی یا VLAN مورد نظر را که می‌خواهید به VDOM جدید متصل کنید، Edit کنید.

3. در قسمت Virtual Domain، VDOM جدیدی را که ایجاد کرده‌اید، انتخاب نمایید.

4. این پورت اکنون از دامنه Root خارج شده و تحت کنترل کامل VDOM جدید قرار می‌گیرد.

۳. مدیریت منابع و سیاست‌ها

مهم‌ترین بخش عملکرد VDOM، اطمینان از جداسازی کامل و مدیریت منابع هر دامنه است. برای جلوگیری از تاثیر یک VDOM پرمصرف بر سایر VDOMها، منابع سخت‌افزاری دستگاه باید محدود شوند. برای این منظور کارهای زیر را انجام دهید.

1. به مسیر System > VDOM > VDOM بروید و VDOM مورد نظر را Edit کنید.

2. در قسمت Resource Allocation، می‌توانید محدودیت‌هایی را برای منابع اصلی تعیین کنید. در این بخش چند گزینه قابل انتخاب هستند: Max Concurrent Sessions که حداکثر تعداد اتصالات همزمان را مشخص می‌کند، Max Firewalls Policies که حداکثر تعداد قوانین مجاز را تعیین می‌کند و Max VPN Tunnels که حداکثر تعداد تونل‌های VPN را تعیین می‌کند.

علاوه بر این، برای اعمال سیاست‌های امنیتی، باید به فضای مدیریتی همان VDOM وارد شوید. این کار از طریق مراحل زیر انجام می‌شود:

1. در رابط کاربری گرافیکی، در گوشه بالا سمت چپ، نام VDOM فعال فعلی که معمولا root است را مشاهده می‌کنید.

2. روی آن کلیک کرده و VDOM مورد نظر خود را (مانند Tenant_A) انتخاب کنید.

3. با این کار، شما وارد یک محیط مدیریتی کاملا ایزوله می‌شوید که در آن می‌توانید: سیاست‌های فایروال (Firewall Policies) مختص آن دامنه را تعریف کنید یا جداول مسیریابی (Routing)، آبجکت‌ها (Objects)، و تنظیمات VPN را به طور مستقل پیکربندی نمایید.

علاوه بر این، می‌توانید مدیران مجزایی را برای هر VDOM تعریف کنید تا فقط به فضای مدیریتی VDOM اختصاصی خود دسترسی داشته باشند و از سایر دامنه‌ها جدا بمانند. برای این منظور مراحل زیر را دنبال کنید:

1. به مسیر System > Admin بروید.

2. یک مدیر جدید ایجاد کنید و در قسمت Virtual Domain، فقط VDOM مورد نظر را به او اختصاص دهید.

در صورت نیاز به ارتباط امن بین دو VDOM به طور مثال ارتباط یک VDOM بخش مالی با یک VDOM بخش توسعه، از لینک‌های بین VDOM استفاده می‌شود:. دقت کنید در این زمینه این لینک‌ها به صورت جفت پورت‌های مجازی (Virtual Ports) ایجاد می‌شوند و هر پورت به یک VDOM تخصیص داده شده و سیاست‌های فایروال برای کنترل جریان ترافیک بین آن‌ها اعمال می‌شود.

شرح فنی VDOM Global در فورتی‌گیت

VDOM Global یا همان دامنه مجازی سراسری که به آن Root VDOM نیز گفته می‌شود، یک مفهوم معماری کلیدی در سیستم‌عامل FortiOS است و نقش کنترلر مرکزی را برای تمامی دامنه‌های مجازی (VDOMs) دیگر بر عهده دارد. در واقع، VDOM Global اولین و تنها VDOM است که به‌طور خودکار هنگام فعال‌سازی ویژگی VDOM ایجاد می‌شود و تمامی منابع و پیکربندی‌هایی که مختص یک VDOM خاص نیستند، تحت مدیریت آن قرار می‌گیرند.

VDOM Global دو وظیفه حیاتی دارد: اول، مدیریت فیزیکی و زیرساختی دستگاه فورتی‌گیت را بر عهده دارد که شامل مدیریت تنظیمات عمومی سیستم مانند تنظیمات مربوط به مجوزها (Licensing)، بروزرسانی سیستم‌عامل، تخصیص پورت‌های فیزیکی به VDOMهای زیرمجموعه، و همچنین مدیریت کلی منابع سخت‌افزاری است. دوم، VDOM Global تنها دامنه‌ای است که به تخصیص منابع (Resource Allocation) و مدیریت VDOMهای دیگر دسترسی دارد؛ یعنی تعیین می‌کند که هر VDOM فرزند چه میزان از منابع پردازده، حافظه یا حداکثر جلسات همزمان را می‌تواند استفاده کند. به‌طور خلاصه، VDOM Global نقش یک سیستم‌عامل والد را ایفا می‌کند که نظارت بر سلامت، پایداری و عملکرد تمامی VDOMهای فرزند را برای تضمین جداسازی و بهره‌وری کلی دستگاه فورتی‌گیت بر عهده دارد و مدیرانی که به این دامنه دسترسی دارند، در بالاترین سطح اختیارات قرار دارند. لازم به توضیح است که فرآیند فعال سازی آن به شرح زیر است:

config system global

set vdom-admin enable

end

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *