6
Überlegungen Segmentierung und proprietäre SD-WAN Lösung
Angenommen man hat die folgende Firewall Konstellation:
Eine interne Fortigate 500F Firewall mit sehr vielen Client VLANs und einem Transfer IP Netz von 192.168.200.1/24
Eine perimeter Fortigate 200F Firewall mit einer Transfer IP von 192.168.200.2/24
Jetzt wird das ganze mit einer proprietären SD-WAN Firewall erweitert. Über diese proprietäre SD-WAN Firewall soll ein Netzwerk zu Azure und unseren ERP Systemen auch in Azure aufgebaut werden.
Eine 3rd Party SD-WAN Firewall die grundsätzlich nur eine LAN-Firewall ist und keine Securityfeatures bietet. Alles was die Firewall bietet geht über das propritäre SD-WAN zum 1. Pop vom SD-WAN Anbieter also insgesamt über das Internet. Man müsste also wenn man VLANs auf der SD-WAN Box konfiguriert alles über den POP von deren routen damit man IPS und AV bzw. NextGen Profile nutzen kann was aber eine menge Bandbreite verschlingen kann.
Ich habe jetzt die folgende Situation die 500F und die 200F haben VLANs. Die 500F routet alle internen Netze Drucker, Client, Server, OT etc während die 200F alles routet was sich irgendwie extern befindet wie Guest Wifi, SSL VPN, IPSEC VPN, DMZ etc.
Im Guest Wifi verbinden sich oft auch Wartungstechniker via Forti SSLVPN in interne Netze weiter und einige Ressourcen sind auch vom Guest Wifi erreichbar (DMZ) wie interne social media plattformen die oft auch nicht wenig Traffic verursachen.
Mein Gedanke wäre jetzt gewesen die SD-WAN Box in ein neues Transfer Netz zu geben was auf der perimeter Fortigate 200F terminiert. Zum Beispiel 192.168.201.254/24 und der Fortigate 200F 192.168.201.1/24.
Hintergrund ist eben die Angst, dass die SD-WAN Box durch eingeschränkte Möglichkeiten eben alles über die SD-WAN Pops routen muss und anschließend ins Company Netzwerk zurückschicken muss. Wenn aber die externen VLANs alle hinter der Perimeter bleiben dann wird der "LAN" Traffic nur intern geroutet und die Fortigate 200F kann dort in der jeweilgen Policy die NextGen Features wie IPS, AV, TLS Inspection, File Filter etc. anwenden.
Mich würde interessieren was Ihr zu soeiner Situation denkt oder Ihr das lösen würdet.
Eine interne Fortigate 500F Firewall mit sehr vielen Client VLANs und einem Transfer IP Netz von 192.168.200.1/24
Eine perimeter Fortigate 200F Firewall mit einer Transfer IP von 192.168.200.2/24
Jetzt wird das ganze mit einer proprietären SD-WAN Firewall erweitert. Über diese proprietäre SD-WAN Firewall soll ein Netzwerk zu Azure und unseren ERP Systemen auch in Azure aufgebaut werden.
Eine 3rd Party SD-WAN Firewall die grundsätzlich nur eine LAN-Firewall ist und keine Securityfeatures bietet. Alles was die Firewall bietet geht über das propritäre SD-WAN zum 1. Pop vom SD-WAN Anbieter also insgesamt über das Internet. Man müsste also wenn man VLANs auf der SD-WAN Box konfiguriert alles über den POP von deren routen damit man IPS und AV bzw. NextGen Profile nutzen kann was aber eine menge Bandbreite verschlingen kann.
Ich habe jetzt die folgende Situation die 500F und die 200F haben VLANs. Die 500F routet alle internen Netze Drucker, Client, Server, OT etc während die 200F alles routet was sich irgendwie extern befindet wie Guest Wifi, SSL VPN, IPSEC VPN, DMZ etc.
Im Guest Wifi verbinden sich oft auch Wartungstechniker via Forti SSLVPN in interne Netze weiter und einige Ressourcen sind auch vom Guest Wifi erreichbar (DMZ) wie interne social media plattformen die oft auch nicht wenig Traffic verursachen.
Mein Gedanke wäre jetzt gewesen die SD-WAN Box in ein neues Transfer Netz zu geben was auf der perimeter Fortigate 200F terminiert. Zum Beispiel 192.168.201.254/24 und der Fortigate 200F 192.168.201.1/24.
Hintergrund ist eben die Angst, dass die SD-WAN Box durch eingeschränkte Möglichkeiten eben alles über die SD-WAN Pops routen muss und anschließend ins Company Netzwerk zurückschicken muss. Wenn aber die externen VLANs alle hinter der Perimeter bleiben dann wird der "LAN" Traffic nur intern geroutet und die Fortigate 200F kann dort in der jeweilgen Policy die NextGen Features wie IPS, AV, TLS Inspection, File Filter etc. anwenden.
Mich würde interessieren was Ihr zu soeiner Situation denkt oder Ihr das lösen würdet.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 24129560331
Url: https://administrator.de/contentid/24129560331
Ausgedruckt am: 23.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
wenn ich das richtig verstehe, dann geht über die SD-WAN doch nur der Verkehr zu Azure, oder?
Dann hänge die SD-WAN Kiste an ein Interface oder VLAN der Fortigate und route eben nur diese Adresse über das SD-WAN. Alles andere bleibt wie gehabt.
Es gibt IP-Listen für MS Azure, evtl. auch direkt von Fortinet.
Oder habe ich das falsch verstanden?
Viele Grüße
Deepsys
wenn ich das richtig verstehe, dann geht über die SD-WAN doch nur der Verkehr zu Azure, oder?
Dann hänge die SD-WAN Kiste an ein Interface oder VLAN der Fortigate und route eben nur diese Adresse über das SD-WAN. Alles andere bleibt wie gehabt.
Es gibt IP-Listen für MS Azure, evtl. auch direkt von Fortinet.
Oder habe ich das falsch verstanden?
Viele Grüße
Deepsys
Nein alles nicht nur Azure soll dann über die SD-WAN box geroutet werden. Der ganze Internet Traffic, die ganzen WAN ISP VIPs sollen dann nicht mehr auf der 200F Terminieren sondern in der SD-WAN Lösung genatted werden auf Public IP Adressen. Problem an dem ganzen ist halt Trennung Guest Vlans, DMZ vs internal Segmentation.
Wenn ich die 200F eliminieren würde was ich theoretisch machen könnte und alles DMZ, Guest VLAN, SSLVPN und IPSec auf SD-WAN terminieren lassen würde, dann hätte ich halt ein Bandbreitenproblem, weil die Traffic inspection über den 1. Pop des SD-WAN providers geht. Wenn also die Web App mit einer SQL Datenbank redet dann über den POP obwohl beides im selben Datacenter steht.
Wenn ich die 200F eliminieren würde was ich theoretisch machen könnte und alles DMZ, Guest VLAN, SSLVPN und IPSec auf SD-WAN terminieren lassen würde, dann hätte ich halt ein Bandbreitenproblem, weil die Traffic inspection über den 1. Pop des SD-WAN providers geht. Wenn also die Web App mit einer SQL Datenbank redet dann über den POP obwohl beides im selben Datacenter steht.
OK, aber ich verstehe dein Problem noch weniger.
Alles interne macht weiter die Fortinet und alles was jetzt schon ausgehend ist, schickst du nicht über Interface A (das jetzige Internet), sondern über Interface B =SD-WAN raus.
Du hängst das SD-WAN einfach als hinter die Fortinet und gut ist ??
Notfalls mit Policy Based Routing.
Das Routing läuft über die Fortinet.
Alles interne macht weiter die Fortinet und alles was jetzt schon ausgehend ist, schickst du nicht über Interface A (das jetzige Internet), sondern über Interface B =SD-WAN raus.
Du hängst das SD-WAN einfach als hinter die Fortinet und gut ist ??
Notfalls mit Policy Based Routing.
Das Routing läuft über die Fortinet.
Ja das ist mir klar, dass ich das machen kann. Aber aus reinem Interesse würdet ihr wenn ihr die Möglichkeit habt eine Fortigate 200F zu eliminieren durch so eine SD-WAN Box es tun? Ich bin wie oben eben mehrmals erwähnt sehr skeptisch was die SD-WAN Box angeht. Man hätte die technische Möglichkeit das zu tun aber halt mit den oben erwähnten Bandbreitenproblemen.
Nö, die Firewall bleibt und intern wird intern geroutet.
Was machst du denn sonst wenn dir mal das Internet ausfällt?
Was machst du denn sonst wenn dir mal das Internet ausfällt?
Ich habe oben nicht ganz alles erwähnt ich habe ein 500F Cluster mit Active/Passive und auch ein 200F Cluster auch mit Active/passive und 2 ISPs inkl. 2 Coreswitches.
Also damit das Internet ausfällt müssten entweder beide Provider und beide Core Switche gleichzeitig downgehen.
Also damit das Internet ausfällt müssten entweder beide Provider und beide Core Switche gleichzeitig downgehen.
