FortiGate: ứng dụng của VDOM link

Kể từ FortiOS 4.3, Fortinet đã hỗ trợ tạo các đối tượng VDOM link liên kết giữa các VDOM.
Nếu trước đây mỗi VDOM phải có tối thiểu 2 cổng kết nối vật lý (dẫn đến hệ quả là số VDOM hỗ trợ trên thiết bị FortiGate sẽ bằng số cổng kết nối vật lý chia cho hai), thì giờ với các cổng ảo VDOM link, lưu lượng dữ liệu trao đổi giữa các VDOM sẽ di chuyển trong nội bộ thiết bị FortiGate.

• Lợi ích trước nhất là chúng ta có thể tạo ra nhiều VDOM hơn, với các mô hình kết nối phức tạp hơn mà không cần quan tâm số lượng cổng vật lý.
• Ưu điểm thứ hai, vì đây là trao đổi nội bộ Firewall nên tốc độ đạt được sẽ cao hơn rất rất nhiều lần so với truyền qua môi trường mạng vật lý.
• VDOM link mang đầy đủ các tính chất như VLAN hay Tunnel Interface trên FortiGate, tức ta vẫn phải khai báo các Firewall Policy để kiểm soát dữ liệu ra vào VDOM link với những cổng mạng khác trên VDOM. Điều này đảm bảo tính chất "độc lập" và "vẹn toàn" trong chính sách bảo mật giữa các VDOM.

Lưu ý rằng không giống như các dạng Virtual Interface khác, VDOM link hoàn toàn có thể không khai báo địa chỉ IP. Cơ chế đánh địa chỉ cho VDOM link được chia làm 3 dạng:

• Unumbered: địa chỉ IP mặc địch cho VDOM link là 0.0.0.0. Ta vẫn có thể khai báo các Static route cho VDOM link, bỏ qua phần next hop (gateway) mà chỉ khai báo phần Interface. Nếu chạy Traceroute thì sẽ không thấy hop tương ứng với VDOM link này, tuy nhiên khi bật sniffer trên VDOM link thì vẫn ghi nhận được dữ liệu truyền qua nó.
• Half numbered: chỉ khai báo địa chỉ IP ở một trong 2 đầu VDOM link.
• Full numbered: khai báo địa chỉ IP cho đầy đủ 2 đầu của VDOM link. Cần trong trường hợp triển khai NAT.

Khi sử dụng VDOM link, ta có thể triển khai được 4 kiểu mô hình kết nối sau:

1. Standalone VDOM: đây là mô hình mặc định. Khi chạy FortiGate mặc dù chưa bật tính năng VDOM thì tự thân FortiOS cũng đã nhận định nó là VDOM mặc định - root. Sử dụng mô hình này sẽ đơn giản hóa rất nhiều quá trình triển khai, phù hợp với những môi trường không phức tạp, ví dụ như chỉ có một bộ phận, một phòng ban cần được bảo vệ. Tuy nhiên để có thể kiểm soát dữ liệu trao đổi giữa các client trong hệ thống với nhau sẽ cần nhiều Interface vật lý hơn. Ngoài ra khi một client gặp vấn đề (bị tấn công, chiếm quyền kiểm soát) có thể lây lan đến toàn bộ các client khác trong hệ thống.
2. Independent VDOM: Các VDOM hoạt động độc lập với nhau, không có bất kỳ trao đổi dữ liệu nào.
3. Management VDOM: sẽ có một VDOM đứng vai trò chủ đạo, nắm các dịch vụ quan trọng cho việc quản lý hệ thống như kết nối đến FortiGuard update service, SNMP, NTP, Log setting. VDOM Management là VDOM duy nhất có kết nối ra Internet. Các VDOM thứ cấp không có kết nối trực tiếp với nhau mà mọi trao đổi đều phải thông qua VDOM link nối với VDOM Management. Mô hình này phù hợp cho Service Provider, kiểm soát được toàn bộ luồng dữ liệu vào ra giữa các VDOM bằng Firewall policy trên VDOM Mangement và các VDOM thứ cấp.
4. Meshed VDOM: tương tự mô hình Management VDOM nhưng giữa các VDOM thứ cấp đều có VDOM link nối lẫn nhau. Mô hình này cho phép các VDOM thứ cấp có thể trao đổi thông tin với nhau ngay cả trong tình huống VDOM Management gặp vấn đề. Tuy nhiên độ phức tạp của mô hình sẽ tăng rất nhanh theo số lượng VDOM thứ cấp thêm vào.