托管型专用防火墙
托管专用防火墙 (MPF) 提供可扩展的防火墙容量和多种防火墙功能选择,以保护基础设施免受网络攻击并防止未经授权的数据访问。
对许多公司而言,部署和运维防火墙解决方案十分复杂。随着架构日益分布式和多样化,安全和网络的重要性也与日俱增,新的漏洞不断涌现,工作负载边界也随之扩展。许多组织都面临着这方面的挑战,而托管式、虚拟化、即服务型的解决方案可以帮助降低运维的复杂性。
托管式专用防火墙是一种网络安全系统,它根据客户预定义的安全规则监控和控制传入和传出的网络流量。正确配置后,防火墙可在可信网络和非可信网络之间建立边界。专业的安全专家、先进的技术、服务级别协议 (SLA) 保障的可用性以及全天候监控相结合,共同构成强大的网络攻击防御体系。
主要功能
- 全天候持续监控,优先响应。
- 威胁防御技术可保护网络免受恶意软件、网络钓鱼和其他网络攻击。
- 自动更新可确保防火墙防御始终保持最新状态。
- 报告功能可以提供有关网络安全状况的可见性。
- 技术抽象化简化了复杂的流程,使其更易于管理。
- 可选服务仅在实际使用时才收费,以减少不必要的支出。
- 服务可以进行配置和调整,以满足不断变化的需求,并可根据需要进行扩展。
- 全球环境通过分布式数据中心和托管平台得到支持。
- 监督工作由追踪新兴技术的专家负责。
- 通过与行业标准保持一致,可以支持监管合规。
- 持续保护通过在网络威胁或流量高峰期优先保护关键服务来降低停机风险。
访问托管专用防火墙
要访问托管专用防火墙 (MPF),请访问客户门户。您可以通过该门户访问以下功能:
- 托管解决方案门户 (MSP) – 用于提交工单、服务请求和查看 MPF 使用情况分析。
- 操作控制台 – 用于管理和操作 MPF 资源。
管理托管专用防火墙
用户管理
操作控制台的用户通过客户门户进行管理。请参阅用户和密码管理。添加用户后,必须提交服务请求才能将 MPF 租户角色分配给该用户。
要使用不同的身份来源,可以在客户门户中配置身份联合,以与外部身份提供商集成。这样,用户就可以使用其公司凭据登录。
操作控制台
操作控制台是用于执行管理 MPF 环境所需所有任务的门户。该控制台提供对特定区域内 MPF 资源的访问。MPF 在全球四个区域运行:南美洲、北美洲、欧洲和亚洲。如果某个区域存在 MPF 部署,则可以通过页面上的四个按钮之一访问相应的操作控制台。
管理员控制台
标准服务使用中央自助服务门户,技术上将其定义为管理域 (ADOM)。ADOM 使客户的防火墙管理员能够创建、删除和修改防火墙规则和策略,并管理特定于其虚拟设备的虚拟专用网络 (VPN)。
管理域
管理域 (ADOM) 用于在操作控制台中定义客户。ADOM 充当容器,将所有 MPF 资源(包括防火墙、策略包和策略对象)分组在一起。一个客户可以拥有多个 ADOM,每个 ADOM 都具有不同的特性,例如 Equinix IBX 的地理位置(例如,阿姆斯特丹、伦敦或阿什本)或特定用途(例如,生产环境或测试环境)。如果现有防火墙容量不足,请联系服务交付经理或客户经理。
日志分析器控制台
标准服务包含一个可通过管理域 (ADOM) 访问的中央日志分析器。日志分析器控制台使防火墙管理员能够管理日志收集、执行分析并生成报告。此控制台独立于网络控制台,并支持自动化、编排和对已记录事件的响应。
客户角色权限
在操作控制台中,可以为用户分配两个预定义角色。
| Role | Manager Portal Permissions | Analyzer Portal Permissions |
|---|---|---|
| Customer‑Admin | • View device configuration • View routing table • Create policy objects • Create policy packs • Create firewall rules • Deploy policy packs to associated firewalls • Create VPN settings (IPsec and SSL VPN) | • View logs • Create and view reports • Schedule reports |
| Customer‑Read Only | • View device configuration • View routing table • View policy objects • View policy packs • View firewall rules • View VPN settings (IPsec and SSL VPN) | • View logs |
策略配置步骤
- 登录 FortiManager 图形用户界面。
- 打开网页浏览器,导航至托管解决方案门户中的管理控制台,或直接访问 FortiManager URL。
- 输入你的用户名和密码。
- 选择合适的 ADOM(仅当有多个 ADOM 可用时适用)。
- 选择与所需环境关联的 ADOM。
- 如有需要,请使用 ADOM 下拉菜单进行切换。
- 导航至“策略与对象”。
- 前往“策略与对象”页面。 IPv4策略。
- 制定一项新政策。
- 点击“创建新保单”添加保单。
- 确定策略名称。
- 设置源接口和目标接口(例如,LAN 到 WAN)。
- 指定源地址和目标地址(预定义或自定义)。
- 选择服务(例如,HTTP、HTTPS)。
- 选择操作(允许或拒绝)。
- 配置其他选项,例如日志记录或安全配置文件。
- 保存该保单。
- 单击“确定”。
- 制定政策。
- 请确保将新策略正确添加到策略列表中。FortiGate 会从上到下处理策略。
- 安装策略。
- 点击安装向导并按照提示操作。
- 使用“安装预览”查看更改,使用“策略包差异”比较差异。
- 点击“安装”完成部署。
VPN配置步骤
- 登录 FortiManager 图形用户界面。
- 打开网页浏览器,导航至托管解决方案门户中的管理控制台,或直接访问 FortiManager URL。
- 输入你的用户名和密码。
- 选择合适的 ADOM(仅当有多个 ADOM 可用时适用)。
- 选择与所需环境关联的 ADOM。
- 如有需要,请使用 ADOM 下拉菜单进行切换。
- 导航至 VPN。
- 前往 VPN IPsec向导。
- 创建新的VPN。
- 点击“创建新项目”。
- 选择 VPN 类型(例如,站点到站点)。
- 定义VPN名称。
- 配置VPN设置。
- 设置远程网关IP地址。
- 选择身份验证方法,如果适用,请输入预共享密钥。
- 指定本地接口。
- 配置第一阶段和第二阶段设置。
- 定义加密和认证算法。
- 设置 Diffie-Hellman 群和键的生命周期。
- 定义快速模式选择器。
- 指定本地子网和远程子网。
- 保存并应用。单击“确定”。
- 安装VPN配置。
- 点击安装向导。
- 根据需要使用安装预览和策略包差异分析。
- 点击“安装”应用配置。
入侵防御系统 (IPS) 配置步骤
- 登录 FortiManager 图形用户界面。
- 打开网页浏览器,导航至托管解决方案门户中的管理控制台,或直接访问 FortiManager URL。
- 输入你的用户名和密码。
- 选择合适的 ADOM(仅当有多个 ADOM 可用时适用)。
- 选择与所需环境关联的 ADOM。
- 如有需要,请使用 ADOM 下拉菜单进行切换。
- 导航至安全配置文件。
- 转到安全配置文件。 入侵防御。
- 创建或编辑IPS传感器。
- 点击“创建新传感器”或选择现有传感器。
- 定义传感器名称。
- 添加IPS签名。
- 从列表中添加签名,并根据需要使用筛选器。
- 为每个签名配置操作(监控、阻止)。
- 将IPS传感器应用于策略。
- 前往“策略与对象”页面。 IPv4策略。
- 编辑目标策略。
- 在安全配置文件中启用 IPS 并选择已配置的传感器。
- 保存并应用。单击“确定”。
日志报告步骤
- 登录 FortiAnalyzer 图形用户界面。
- 打开网页浏览器,访问托管解决方案门户中的分析控制台,或者直接访问 FortiAnalyzer URL。
- 输入你的用户名和密码。
- 选择合适的 ADOM(如果有多个可用)。
- 选择与所需环境关联的 ADOM。
- 如有需要,请使用 ADOM 下拉菜单进行切换。
- 在 FortiAnalyzer 上查看访问日志。
- 转到日志视图。
- 选择日志类型(流量、事件、安全等)。
- 应用源 IP 地址、目标 IP 地址或时间范围等筛选条件。
- 生成报告。
- 导航至“报告”。
- 点击“创建新模板”或选择现有模板。
- 配置报告条件、周期和筛选条件。
- 运行报告或安排运行时间。
- 自定义报告。
- 修改模板以调整图表、表格和数据元素。
- 保存模板以便重复使用。
- 查看和下载报告。
- 在“报告”部分打开已完成的报告。
- 下载格式包括 PDF 和 CSV。
- 设置自动报告功能。
- 在报表设置中配置调度选项。
- 启用向指定收件人发送电子邮件的功能。
通过这些步骤,客户管理员可以通过 FortiAnalyzer 中的 ADOM 报告日志,并获得管理和保护其网络环境所需的见解。
授予对操作控制台的访问权限
要授予其他用户访问 MPF 服务的权限:
- 通过 Equinix 客户门户申请用户访问权限。
- 提交工单,分配访问 MPF 所需的权限。
- 使用服务目录中的“在操作控制台中创建用户”选项完成设置。
服务说明
托管专用防火墙 (MPF) 以高可用性对的形式部署,包含两个虚拟域 (VDOM)。
-
客户域 - 监控和控制受信任网络段与不受信任网络段之间的流量。此域是执行访问策略的活动客户防火墙。
-
管理域 - 仅用于管理目的,仅连接到 Equinix 管理环境。此域不传输任何客户流量。
应用程序托管在托管私有云上。客户域防火墙根据通过自助服务门户或变更请求配置的规则,控制对互联网、广域网和托管私有云中各网段的访问。
中央管理系统(包括自助服务门户和分析器门户)使用管理 ADOM 来管理客户 VDOM。分析器系统收集日志和事件,以提供在线实时可见性。客户域的日志还可以选择性地发送到外部 SIEM 系统,以支持全面的安全监控。
标准服务
标准服务包括以下内容
- 在单个 IBX 中以主动故障转移高可用性对部署防火墙,支持至少 99.95% 的可用性。
- 标准日志记录。
- 配置两个可用的网络接口。双宿主互联网或广域网连接需要额外的接口。
- 通过 BGP 或静态路由进行路由。
- 自助服务门户和分析门户的设置。
- 定期对防火墙进行修补和更新。
- 全天候监控防火墙运行时间。
- 事件管理和支持:
- 一级优先事件:全天候 24/7。
- 优先级 2 和优先级 3 事件:工作时间。
- 服务请求:营业时间。
- 所有订阅均包含防火墙功能,并提供其他服务选项。
虚拟家电
MPF 服务使用部署在 Equinix IBX 托管私有云平台上的高可用性主备虚拟设备对。提供多种性能选项以满足不同的吞吐量需求。
该变体包括:
- 所选性能选项所需的虚拟 CPU、虚拟内存和存储资源。
- 资源配置。
- 按照订单规定安装和配置高可用性虚拟防火墙对。
- 访问自助服务门户和分析器门户。
双位点
在可以进行双站点部署的地方,可以部署两对独立的高可用性设备,从而在站点之间形成具有弹性的高可用性设计。
管理员控制台
标准服务使用一个中央自助服务门户,该门户被定义为管理域 (ADOM)。ADOM 使客户的防火墙管理员能够创建、删除和修改防火墙规则和策略,并管理特定于其虚拟设备的虚拟专用网络 (VPN)。
日志分析器控制台
标准服务包含一个可通过管理域 (ADOM) 访问的中央日志分析器。防火墙管理员可通过此控制台管理日志收集、执行分析并生成报告。日志分析器控制台独立于网络控制台,并支持自动化、编排和对已记录事件的响应。
服务选项
可订购以下托管专用防火墙服务选项。
标准服务基于防火墙许可证。用户可选择付费的入侵防御系统 (IPS) 许可证或攻击防护/入侵防御 (ATP/UTP) 套餐。下表列出了每种许可证解锁的功能。
| License | Description | Features |
|---|---|---|
| FW | Standard Service | Firewall |
| IPS | Intrusion Prevention Services | Firewall Intrusion Prevention Services |
| ATP | Advanced Threat Protection | Firewall Intrusion Prevention Services Advanced Malware Protection Service App Control |
| UTP | Unified Threat Protection | Firewall Intrusion Prevention Services Advanced Malware Protection Service App Control Web Security |
防火墙
所有订阅均包含防火墙功能。它提供以下功能和特性。
- 网络接口
- 策略/规则(防火墙规则)
- 安全配置文件(默认的“开箱即用”配置文件)
- VPN IPsec
- VPN SSL(Web 和隧道)
- NLB(网络负载平衡)
- DoS 策略(L3/4 异常)
- 日志记录(分析器)
IPS
入侵防御服务 (IPS) 可检测并阻止漏洞和威胁。IPS 还支持基于网络的虚拟补丁更新,并能检测恶意软件、勒索软件和基于 HTTPS 的攻击。
高级恶意软件防护服务
高级恶意软件防护包括防病毒、僵尸网络 IP/域名安全、移动安全、沙箱云、病毒爆发防护以及内容解除和重建。
应用控制
应用程序控制允许创建策略,以允许、拒绝或限制对应用程序或应用程序类别的访问。
网络安全
Web 内容过滤通过阻止包含特定词语或模式的页面来控制对 Web 内容的访问。可以使用词语、短语、模式、通配符和 Perl 正则表达式来匹配内容。
类型
可以选择一系列虚拟机资源选项来满足所需的吞吐量。
性能选项
防火墙性能(以Gbps为单位)取决于所选许可证、分配的vRAM和vCPU资源以及已启用的功能。下表提供了性能和所需资源的参考值。
| Size | vCPU | vRAM | FW (Gbps) | IPS (Gbps) | ATP/UTP (Gbps) |
|---|---|---|---|---|---|
| S (small) | 2 | 4 | 7 | 1.7 | 0.9 |
| M (medium) | 4 | 8 | 10.8 | 3.3 | 1.8 |
| L (large) | 8 | 12 | 14 | 5.9 | 3.4 |
| XL (extra-large) | 16 | 16 | 15.5 | 10.1 | 6.3 |
笔记
- 服务中包含虚拟机资源。
- 最大吞吐量是指防火墙能够处理的总入站流量和出站流量。数值基于供应商测试数据。实际容量可能因规则集、已启用功能和具体客户流量而异。
- 使用 UDP(512 字节)数据包测量防火墙吞吐量。
- 使用企业流量组合来衡量IPS性能。
- 使用企业流量组合,通过 IPS、应用程序控制和恶意软件防护来衡量威胁防护性能。
日志存储配额
标准日志记录每天最多包含 1 GB 的日志数据,每个托管专用防火墙服务对的总日志存储空间最大为 10 GB。日志保留期限最长为 60 天,但如果提前达到 10 GB 的存储上限,则保留期限可能会缩短。如需额外的日志存储空间,可以订购扩展日志记录服务。
服务划分和支持服务
Equinix负责标准服务以及订单和后续服务请求中定义的各项服务选项组合。Equinix不负责管理或使用该服务所需的客户端软件或互联网连接。
对于虚拟防火墙,适用以下服务边界:
- 防火墙上用于生产流量的逻辑网络接口
- 网络和分析器控制台的 UI 和 API
托管私有防火墙只能与托管私有云 (MPC) 一起订购,并且作为整体解决方案中的安全组件发挥作用。
收费类型
订购托管专用防火墙服务时,请选择符合您需求的方案。MPF 服务按基准值收费。
- 基准量 - 订单中定义的服务计量单位的具体体积。
计费项目目录
| Category | Purchase Unit | UOM | Install Fee | Billing Method | Overage |
|---|---|---|---|---|---|
| MPF Service | Firewall type Firewall license Log storage quota | Each | Yes | Baseline | No |
角色和责任
入职培训 - 安装
| Activities | Equinix | Customer |
|---|---|---|
| Schedule / execute project kickoff meeting | RA | CI |
| Schedule / execute customer onboarding | RA | CI |
| Virtual Machine resources (compute, storage, and networking) for the virtual firewall on MPC | RA | I |
| Virtual Firewall appliance software, licenses, and support | RA | I |
| Equinix management environment for firewall management including Network Console and Analyzer Console | RA | I |
入职培训 - 配置
| Activities | Equinix | Customer |
|---|---|---|
| Firewall-appliance basic configuration, network interfaces, network settings, and hardening | RA | I |
| Set up firewall monitoring and logging to Analyzer Console | RA | I |
| Set up customer accounts on portal for access to logging, reporting, and self-service | RA | CI |
| Defining initial firewall ruleset | CI | RA |
| Loading initial firewall ruleset through Network consoles | CI | RA |
| Loading initial firewall ruleset through Service Request | RA | CI |
接受服役
| Activities | Equinix | Customer |
|---|---|---|
| Test access to MPF Product page on Managed Solutions Portal | CI | RA |
| Test access to MPF documentation on docs.equinix.com | CI | RA |
| Test access to MPF operational console | CI | RA |
| Testing the configuration and failover as part of operational management | RA | CI |
| Functional testing | CI | RA |
操作
| Activities | Equinix | Customer |
|---|---|---|
| Technical management of the service (overall) | RAC | I |
| Functional management of the customer environment within the service (overall) | I | RAC |
| Service desk | RA | CI |
| Maintenance of the firewall-appliance (infrastructure break / fix, software updates, security patches) | RA | I |
| 24/7 uptime monitoring of the virtual firewall including health checks | RA | I |
| Back-up and management of log files and rule base | RA | I |
| Submitting Service Request via the Portal | CI | RA |
| Implementation of changes in accordance with change process based on Service Requests | RA | CI |
| Interpretation of security events | RA |
RACI 代表负责任、负责、咨询和知情。
为避免任何疑问,客户负责防火墙规则集和策略、可选的 VPN 连接配置以及服务器负载均衡配置。Equinix 仅根据客户指示实施变更。
事件管理
事件管理包含在服务支持范围内。所有事件均按优先级处理。优先级由 Equinix 在收到故障报告并根据所提供的信息进行评估后确定。
| Priority | Impact / Urgency | Description |
|---|---|---|
| P1 High | Unforeseen unavailability of a service or environment delivered and managed by Equinix in accordance with the service description due to a disruption. The user cannot fulfill obligations towards users and suffers direct demonstrable damage due to the unavailability of this functionality. | The service must be restored immediately. The production environments are unavailable, with platform-wide disruptions. |
| P2 Medium | The service does not offer full functionality or has partial functionality or reduced performance, impacting users. The user suffers direct demonstrable damage due to unavailability of the functionality. The service may be impacted due to limited availability. | The service must be repaired the same working day. The management environment is not available. |
| P3 Low | The service functions with limited availability for one or more users and a workaround is in place. | The moment of repair is determined in consultation with the reporting person. |
上述分类不适用于例如由用户特定应用程序、用户操作或第三方因素导致的故障。此类事件可通过客户门户网站的“托管解决方案”部分提交。P1 级事件需通过电话提交。
服务请求
服务请求用于报告服务问题或请求实施或协助变更。对于无法通过操作控制台自助服务实现的配置变更,可以提交服务请求。托管专用防火墙服务提供全天候支持。有两种类型的服务请求:
- 包含 - 服务范围内的服务请求,不会产生额外费用。
- 附加 - 超出服务范围且会产生额外费用的服务请求。
除了标准服务外,在选择合适的服务选项后,还可以在安装期间或通过服务请求以收费选项的形式申请以下功能或配置。
- 添加或移除其他网络
- 除了标准的两个子网之外,还可以添加额外的子网,用于 DMZ、层级分离或额外的 WAN 连接等目的。
- 添加、删除或更改政策或规则
- 修改规则库和/或添加安全配置文件。每次请求最多可修改五条规则。
- 添加、删除或更改安全配置文件(附加或自定义)
- 配置客户安全配置文件(入侵防御系统、网页过滤等)。需要有效的订阅。
- 添加、移除或更改 VPN(站点到站点)连接
- 配置 IPsec VPN 连接,以在不同位置之间建立加密连接。
- 添加、移除或更改 VPN (SSL) 连接
- 配置 SSL VPN 连接,以实现用户通过互联网的安全访问。用户身份验证由客户管理系统或支持服务提供。
- 添加、移除或更改 SSL 证书
- 创建证书签名请求 (CSR) 并实施 SSL 证书。
- 添加、移除或更改服务器负载均衡
- 配置后端服务器间的基本流量负载均衡。支持 L3 (IP)、L4 (TCP/UDP) 和 L7 (HTTP、HTTPS、SSL/TLS、IMAPS、POP3S、SMTPS),包括最高支持 TLS 1.3 的 SSL/TLS 卸载。
- 添加、移除或更改DoS策略
- 配置策略以检查第 3 层和第 4 层的流量是否存在异常模式。应用默认阈值。
有些变更可以通过自助服务实施,如下表所示,或者可以通过服务门户以服务请求的形式提出申请。
| Type of Change | Self-Service | Included/Additional |
|---|---|---|
| Add or remove additional network (Interface) | No | Additional |
| Add, remove, or change policy or rules (maximum 5 rules per request) | Yes | Additional |
| Add, remove, or change security profile (additional or custom, subscription required) | Yes | Additional |
| Add, remove, or change VPN (IPsec/S2S) (maximum 3 VPN tunnels per request) | Yes | Additional |
| Add, remove, or change VPN SSL (certificate creation excluded, one change per request) | Yes | Additional |
| Add, remove, or change SSL certificate | No | Additional |
| Add, remove, or change server load balancing (maximum 3 rules per request) | Yes | Additional |
| Add, remove, or change DoS policy | Yes | Additional |
| Ask information about the product | No | Included |
客户可以通过在托管解决方案门户的“服务请求”模块中选择“更改”来请求表格中未列出的更改。Equinix 将进行影响分析,以确定可行性、相关成本和交付周期。
与服务请求相关的任何费用将从高级支持计划余额中扣除;如果余额不足,则按适用费率事后开具发票。
基准产能、订购数量或任何影响月服务费的变更都必须通过销售团队提出申请。
报告
客户可以通过控制台查看和保存网络流量和安全事件报告。控制台提供可自定义的交互式仪表板,以图表形式显示网络流量、威胁、应用程序和相关数据。该系统将实时信息和历史信息整合到一个统一的概览中。
用户可使用 70 多个内置模板和 2000 多个组合数据集、图表和宏生成自定义数据报告,用于异常检测和威胁评估等分析。报告可按需运行或定时运行,并可选择自动发送电子邮件通知。支持的输出格式包括 PDF、HTML、CSV、XML 和 JSON。
安全事件
安全团队可以监控和管理来自防火墙的警报和事件日志。事件会被处理并关联成适合分析的格式。
服务水平
服务级别协议 (SLA) 定义了与 MPF 服务相关的可衡量性能水平,并规定了 Equinix 未达到这些水平时可采取的补救措施。产品政策中列出的服务积分是未能达到既定阈值的唯一补救措施。
支持服务级别协议适用于事件登记和解决。
| Priority | Response Time¹ | Resolution Time² | Execution of Work | SLA³ |
|---|---|---|---|---|
| P1 | < 30 min | < 4 hours | 24/7 | 95% |
| P2 | < 60 min | < 24 hours | 24/7 | 95% |
| P3 | < 120 min | < 5 days | 24/7 | 95% |
¹ 响应时间是从提交故障单到托管解决方案专家发出正式回复的那一刻起计算的。 ² 解决时间是从在 ITSM 工具中注册到关闭或取消,或移交给 IBX 支持部门进行测量。 ³ 服务级别协议适用于响应时间。更多详情请参阅产品政策。
可用性
当防火墙策略和规则超过 5 分钟未应用于流量时,MPF 服务将被视为“不可用”。
| Availability Service Level | Description |
|---|---|
| 99.95%+ | Achieved by limiting unavailability of the Firewall Service to less than twenty-two (22) minutes per calendar month. |
产品政策中定义了服务积分制度的可用性,包括计算方法和适用的除外条款。
履行流程
当收到 MPF 订单时,Equinix 配送团队会指导请求团队完成每个地点的配送流程。配送工作流程包括以下步骤:
- 订单将针对相关产品进行评估,包括适用的托管私有云。
- MPF的主要联系点已确定。
- 已验证用户对 Equinix 客户门户、托管解决方案门户的访问权限以及 MPF 管理所需的所有权限。
- 已确认保护环境所需的连接已存在且运行正常。
- 已确认主要联系人拥有管理员级别的权限。
在强积金入职流程中,会提供以下信息:
- 组织名称。
- 一个或多个客户帐户,并为其分配了已定义的角色之一。
- 按照批准的设计交付已配置的防火墙。
- 互联网、云服务提供商、托管服务和广域网提供商的连接详情。