Fortinet biedt met hun FortiGates velen oplossingen aan om het netwerk te beveiligen. Twee belangrijke functies in de FortiGates zijn Virtual IP en Virtual Server. Deze functies lijken erg veel op elkaar, maar worden beide in verschillende doeleinden gebruikt. In dit artikel leg ik de verschillen uit tussen Virtual IP en Virtual Server, en in welke situatie je welke moet gebruiken.
Wat is een Virtual IP?
Virtual IP is een techniek die gebruikt wordt om publiek verkeer door te sturen naar een privé IP-adres die leeft achter de Fortigate. Dit wordt bijvoorbeeld gebruikt wanneer je een webserver hebt draaien die beschermt wordt door de FortiGate, maar wel publiek beschikbaar moet zijn. Dit is mogelijk gemaakt door Network Address Translation (NAT), hiermee wordt het externe IP-Adres vertaalt naar het interne IP-Adres van de webserver.
Je kan hier hiermee dus meerdere interne servers, zoals web, FTP of mail servers publiek beschikbaar maken. Doordat het publieke verkeer door de FortiGate heen gaat, kan je de server beveiligen middels verschillende inspectie profielen.
De FortiGate kan standaard geen beveiligd verkeer inzien. Als je het inkomende verkeer wilt inzien, dan moet je op de FortiGate een nieuw SSL inspection profile aanmaken met het SSL certificaat erin.
config firewall vip    edit “VIP_solidbe.nl”        set extip 11.11.11.1        set mappedip “10.0.0.1”        set extintf “wan1”        set portforward enable        set extport 443        set mappedport 443    next end |
config firewall policy    edit 7        set name “VIP_solidbe.nl”        set srcintf “virtual-wan-link”        set dstintf “lan”        set action accept        set srcaddr “all”        set dstaddr “VIP_solidbe.nl”        set schedule “always”        set service “HTTPS”        set ssl-ssh-profile “ssl_solidbe.nl”        set logtraffic all    next end |
config firewall ssl-ssh-profile    edit “ssl_solidbe.nl”        config https            set ports 443            set status deep-inspection        end        set server-cert-mode replace        set server-cert “solidbe.nl”    next end |
Wat is een Virtual Server?
Virtual Server is een techniek die erg veel lijkt op Virtual IP, maar het maakt ook nog eens gebruik van load balancing. Virtual Server is daarom bedoelt om het verkeer te verdelen tussen meerdere servers, dit verhoogt de efficiëntie en beschikbaarheid van het netwerk. Virtual Server kan het verkeer verdelen middels verschillende algoritmes, zoals round robin, weighted, least session, least rtt, first alive en http host.
De Virtual Server maakt ook gebruik van health checks om de status van de interne server te controleren. Health checks kan op verschillende gebieden de status van de server controleren, zoals, Ping, TCP, HTTP (S) en DNS. Als een interne server niet voldoet aan de health check, dan wordt het verkeer automatisch omgeleid naar de andere operationele servers. Dit is belangrijk voor bedrijven die services moeten garanderen zonder onderbrekingen.
Virtual Server maakt gebruik van SSL Offloading, je zal dus de certificaten van je services op de FortiGate moeten zetten. De firewall policy moet op inspection-mode proxy staan, anders is de destination <virtual-server> niet beschikbaar.
config firewall vip    edit “VS_solidbe.nl”        set type server-load-balance        set extip 11.11.11.1        set extintf “wan1”        set server-type https        set monitor “HTTPS-healthcheck”        set extport 443        config realservers            edit 1                set ip 10.0.0.1                set port 443            next            edit 2                set ip 10.0.0.2                set port 443            next        end        set ssl-mode full        set ssl-certificate “solidbe.nl”    next end |
config firewall policy    edit 8        set name “vs_solidbe.nl”        set srcintf “virtual-wan-link”        set dstintf “lan”        set action accept        set srcaddr “all”        set dstaddr “VS_solidbe.nl”        set schedule “always”        set service “HTTPS”        set inspection-mode proxy        set ssl-ssh-profile “ssl_solidbe.nl”        set logtraffic all    next end |
config firewall ldb-monitor    edit “HTTPS-healthcheck”        set type https    next end |
Belangrijkste Verschillen
De belangrijkste verschillen tussen Virtual IP en Virtual Server ligt in hun doel:
- Virtual IP is ideaal voor situaties waarin je een interne server publiekelijk toegankelijk wilt maken en continuïteit wat minder belangrijk is.
- Virtual Server is ideaal voor bedrijven die hun services beschikbaar willen maken zonder onderbrekingen.
Feature Visibility
Binnen de FortiGate hebben we Feature Visibility, hiermee kan je features aan en uit zetten.
Virtual IP staat standaard aan en kan je vinden onder Policy en Objects, maar Virtual Server staat standaard uit.
Als je gebruik wilt maken van Virtual server, dan moet je dit op de FortiGate aanzetten: System -> Feature Visibility -> Load Balance. Zodra je die aanzet, wordt Virtual Server zichtbaar onder Policy en Objects.
Voor de Virtual Server moet je ook de certificaat op de FortiGate zetten. Hiervoor moet je de volgende setting aanzetten: System -> Feature Visibility -> Certificates. Zodra je die aanzet, wordt Certificates zichtbaar onder System.
