使用 GWLB 和 FortiGate 作为流量镜像的替代方案

流量镜像（Traffic Mirroring）是 Amazon VPC 的一项服务，用于将网络流量从 EC2 实例的弹性网络接口复制到带外的安全设备进行分析，这使得各种基于网络监控和安全分析解决方案在 AWS 上成为可能。流量镜像可以使用在大部分基于 Nitro 架构的 EC2 实例类型，和一些非 Nitro 架构的实例类型上。目前，一部分特定类型的实例、裸金属，以及弹性负载均衡（ELB）、NAT 网关、中转网关（Transit Gateway）等网络服务均不支持流量镜像。

在用户实际业务环境中，各类工作负载会运行在 EC2、ECS、EKS 和无服务器计算之上，并配合所需要的 AWS 网络服务进行业务交互。用户希望 AWS 有一个集中的汇聚点把相关的流量镜像给安全分析设备，从而不影响生产业务并能简化配置。鉴于受到上述流量镜像支持类型的限制，对于有此类需求的用户，本文建议使用网关负载均衡器（Gateway Load Balancer, GWLB）作为流量镜像的替代解决方案，并由 FortiGate 完成在线流量的安全分析与控制。

本文将以单 VPC 出向流量的部署架构为例，分别介绍 GWLB 和 FortiGate 的产品解决方案和最佳实践。该方案同样适用于各类分布式部署模式和多VPC集中式部署模式。

架构说明

对于单 VPC 出向流量的场景，通常情况下，应用会部署在私有子网。部署在公有子网的 NAT 网关允许私有子网内的应用实例连接到 VPC 外部的资源，比如互联网。当用户想要对互联网的出向流量进行监控时，建议在私有子网和公有子网之间部署 GWLB 终端节点。采用此架构的优势在于：

无需为每一台应用实例的弹性网络接口开启流量镜像的功能。
解决了一部分特定类型的实例、裸金属和 NAT 网关不支持流量镜像的问题。
位于 Inspection VPC 中的 FortiGate 能够在数据包中识别出原始 IP 地址，而非 NAT 网关的 IP 地址。

高可用一直是用户最重要的考量因素之一。GWLB 底层使用高冗余和水平可扩展的 AWS HyperPlane 技术，每一个可用区内 GWLB 终端节点最高可扩展至 100Gbps 的吞吐容量。为了确保 FortiGate 设备的高可用，GWLB 会对每台 FortiGate 设备运行健康检查。如果连续失败的测试次数超过设定的阈值，设备将被标记为不健康，流量将不再会路由到该设备。

在上述的架构示意图中，两台 FortiGate 分别部署在 Inspection VPC 两个不同的可用区内，提供了可用区级别的冗余性。有关 GWLB 高可用的推荐配置如下：

至少在两个可用区开启 GWLB。
开启 GWLB 的 Cross-zone load balancing。
根据业务连续性要求，合理设置 Health checks 参数。

GWLB 与 FortiGate 集成的配置手册请参考《亚马逊云科技(中国区)网关负载均衡服务集成FortiGate安全网关扩展安全服务性能》一文，本文将不再赘述。

利用 FortiGate 进行流量安全分析与控制

安全检测

（1）配置 FortiGate 安全防护策略，启用防火墙策略的 AV，Web Filter，Application Control，IPS 等安全检测功能，通过 FortiGuard 的特征库和规则签名来识别网络中的威胁并采取相应的措施进行防御。

（2）启用 AntiVirus 配置的 FortiSandbox 相关配置参数，以提高对未知威胁文件的安全检测能力。

（3）启用 IPS 的阻断恶意 URLs 和阻断出向连接 Botnet C&C 站点的配置参数，提高安全检测和威胁防御的效率。

测试与验证

（1）测试通过私有子网主机下载病毒文件，验证安全检测和防御的有效性，结果显示病毒文件均已被阻断下载。

（2）测试通过私有子网主机下载未知威胁模拟文件，验证未知威胁防御的有效性，结果显示发给 Sandbox 的文件不具威胁。

（3）测试通过私有子网主机访问恶意网站，验证恶意网站防御的有效性，结果显示恶意网站无法被加载访问。

（4）测试通过私有子网主机主动连接恶意网址和僵尸网络，验证出向网络行为的安全检测和威胁防御的有效性，结果显示所有威胁连接均已被丢弃。

访问控制

鉴于私有子网主机位置的特殊性，从网络安全和风险管控等方面综合考虑，我们需要对其互联网访问行为执行相应的规范管理。

（1）禁止私有子网主机访问不合规的网站。

（2）禁止私有子网主机使用远程访问类应用。

（3）限制每个私有子网主机 IP 的网络带宽为 10Mbps。

测试与验证

（1）测试通过私有子网主机访问百度网站，验证访问控制策略中网站管理规范的有效性，结果显示百度网站无法被加载访问。

（2）测试通过私有子网主机运行远程访问类应用，验证访问控制策略中应用程序管理的有效性，结果显示远程访问软件无法正常使用，其与后端服务器的网络连接均已被阻断。

（3）测试通过私有子网主机访问测速访问，验证访问控制策略中带宽管理的有效性，结果显示启用带宽管理前后的测速结果符合预期。

启用带宽管理前测速：

启用带宽管理后测速：

安全运营

（1）通过 FortiGate 内置的 Security Events 功能提供的统计分析能力，我们可以很清晰看到网络安全状态的整体概览，也可以按照不同安全类别、事件类型等目标深入查看关联日志。

（2）通过 FortiGate 内置的 FortiView 功能提供的深度分析能力，我们可以按照不同维度作为切入点进行递进式的安全深度分析，本案例中我们仅以应用程序、目标地址、源地址这三个目标维度来做效果演示。

以应用程序作为深度分析的切入点，以 TeamViewer 作为目标进行深度分析，结果显示私有子网主机 10.1.1.135 存在运行远程访问类应用的安全风险。

以目标地址作为深度分析的切入点，以数据传输量作为目标进行深度分析，结果显示私有子网主机 10.1.1.135 存在大带宽使用行为，同时发现产生大带宽行为的是网络测速应用。

以源地址作为深度分析的切入点，以私有子网主机 10.1.1.135 作为目标进行深度分析，结果显示该主机存在运行远程访问类应用和大带宽使用行为。

（3）通过 FortiGate 内置的网络工具 Packet Capture 和 Debug Flow 提供的调试能力，我们可以执行更深层次的安全分析和风险定位。

抓取私有子网主机 10.1.1.135 的网络数据。

分析私有子网主机 10.1.1.135 的网络流量。

部署 FortiAnalyzer 实现安全防护自动化

初期通过部署 FortiGate 实现单 VPC 出向流量的安全检测、访问控制和安全运营，后期还可以通过对接 FortiAnalyzer 实现安全防护自动化，基于事件关联和威胁检测功能支持端到端可见性威胁指标（IOC）服务支持快速识别全网网络威胁，有效缩短检测时间，同时依托 REST API、脚本、连接器和自动修复实现自动化，有效降低安全运营复杂度和运维成本。

订购方式

本文所涉及的所有 Fortinet 产品均可在亚马逊云科技中国区 Marketplace 上订购。订购链接如下：

https://awsmarketplace.amazonaws.cn/marketplace/search/results?searchTerms=fortigate

https://awsmarketplace.amazonaws.cn/marketplace/search/results?searchTerms=fortianalyzer

总结

本文首先介绍了 GWLB 和 FortiGate 的方案架构，该架构可用于解决流量镜像的局限性。接着以单 VPC 出向场景为例，展示了 FortiGate 对于网络流量的安全检测、访问控制和安全运营能力。凭借 AWS 与 Fortinet 各自的优势，融合方案为用户的各种使用场景提供无缝安全防护，实现合规管理。

亚马逊AWS官方博客