在本课中,你将了解 FortiGate 管理基础知识和 FortiGate 中可以扩展功能的组件。这一课还包括如何以及在哪里将 FortiGate 安装到你现有的网络体系结构和 Security Fabric 中。
在本次课程中,我们将探讨以下主题:
在完成这节课程之后,你应该能够:
通过展示识别 FortiGate 的平台设计特征的能力,以及 FortiGate 在虚拟网络和云中的特征,你将能够描述 FortiGate 的基本组件,并解释 FortiGate 可以执行的任务类型。
在过去,保护网络的常用方法是保护边界,并在入口处安装防火墙。网络管理员信任边界里面的所有每件事和每个人。
现在,恶意软件可以轻易绕过任何入口处防火墙并进入网络。这可能通过受感染的 U 盘发生,或者员工个人设备连接到公司网络而发生。此外,由于攻击可能来自网络内部,因此网络管理员不再坚定地信任内部用户和设备。
更重要的是,今天的网络是高度复杂的环境,其边界是不断变化的。网络从局域网垂直运行到因特网,从物理网络水平运行到专用虚拟网络和云。移动办公和多样化的劳动力(员工、合作伙伴和客户)访问网络资源、公共云和私有云、物联网(IoT)以及自带设备程序都大大增加对网络攻击的数量。
为了应对这种高度复杂的环境,防火墙已经成为一种强大的多功能设备,能够应对一系列对网络的威胁。因此,FortiGate 可以以不同的模式或角色来处理不同的需求。例如,可以将 FortiGate 部署为数据中心防火墙,其功能是监视对服务器的入站请求并保护它们,而不增加请求者的延迟。或者,FortiGate 可以部署为内部分段防火墙,可作为控制网络入侵的一种手段。
FortiGate 还可以充当 DNS 和 DHCP 服务器,并被配置为提供 Web 过滤、反病毒和 IPS 服务。
在这张幻灯片所示的体系结构图中,你可以看到 FortiGate 平台如何在不影响灵活性的情况下增加强度。像单独的、专用的安全设备一样,FortiGate 的内部仍然是模块化的。
除了硬件加速之外,FortiGate 虚拟机(VM)具有与物理设备相同的功能。为什么会这样?首先,虚拟机监控程序的硬件抽象层软件是由 VMware、Xen 和其他虚拟机监控程序制造商而不是 Fortinet 制造的。那些其他制造商不制造 Fortinet 专有的 FortiASIC 芯片。但还有另外一个原因。对于虚拟机监控程序来说,通用虚拟 CPU 和其他虚拟芯片的用途是抽象硬件细节。这样,所有 VM 客户机 OS 都可以运行在一个公共平台上,而不管管理程序安装在什么不同的硬件上。与 vCPU 或 vGPU 使用通用的、非最优的 RAM 和 vCPU 进行抽象不同,FortiASIC 芯片是专门的优化芯片。因此,虚拟化 ASIC 芯片将不具有与物理 ASIC 芯片相同的性能优点。
知识测验。
现在你已经可以理解 FortiGate 的一些高级特征了。接下来,你将学习如何完成 FortiGate 的初始设置,并了解为什么可能决定使用一种配置而不是另一种配置。
在完成这一节之后,你应该能够:
通过演示设置 FortiGate 的能力,你将能够在自己的网络中有效地使用该设备。
网络架构如何?FortiGate 适合用在哪里?
当你部署 FortiGate 时,可以在两种操作模式间选择:NAT 模式或 Transparent(透明)模式。
网络地址转换(NAT)模式是默认的操作模式。其他出厂默认设置是什么?现在你来看看是如何设置 FortiGate 的。
将计算机的网络电缆连接到 port1 或内部交换端口(取决于你的型号)。在大多数型号中,该接口上有一个 DHCP 服务器,因此,如果计算机的网络设置启用了 DHCP,则计算机应该能自动获得 IP,并且可以开始设置。
访问 FortiGate 或 FortiWifi 上的图形界面,请打开 Web 浏览器并转到 https://192.168.1.99。默认登录信息是众所周知的。永远不要保留默认空白密码。你的网络和你的 FortiGate 管理账户一样安全。在将 FortiGate 连接到网络之前,应该设置一个复杂的密码。
所有的 FortiGate 型号都有控制台端口或 USB 管理端口。该端口提供 CLI 访问而无需网络。CLI 能通过图形界面上的 CLI Console 控制台或者从仿终端程序登录,例如 PuTTY 或 Tera Term。
【提示】FortiGate 防火墙默认登录地址 https://192.168.1.99,默认登录帐号 admin ,默认登录密码 空。
一些 FortiGate 服务可以连接到其他服务器(例如 FortiGuard)以便工作。FortiGuard 订阅服务提供最新的威胁情报。 FortiGate 使用 FortiGuard:
查询是实时的,也就是说,FortiGate 每次扫描垃圾邮件或过滤网站时都会询问 FDN。由于数据库发生更改的大小和频率,FortiGate 查询可代替下载数据库。此外,查询使用 UDP 进行传输;它们是无连接的,并且协议不是为了容错而设计的,而是为了速度。因此,查询要求你的 FortiGate 具有可靠的 Internet 连接。软件包(如反病毒和 IPS)数据包较小,不会频繁改变,因此它们在大多数情况下每天只下载一次。它们使用 TCP 下载以实现可靠的传输。在下载数据库之后,即使 FortiGate 没有可靠的 Internet 连接,它们的相关 FortiGate 功能仍继续发挥作用。但是,如果 FortiGate 必须反复尝试下载更新,那么你应该避免在下载过程中中断,在更新时不能检测到新的威胁。
【提示】Web 过滤 和 防垃圾邮件 功能需要实时查询 FortiGuard,要求有可靠的 Internet 连接。
知识测验。
现在你已经了解了如何执行 FortiGate 的初始设置,以及为什么你可能决定使用一个配置而不是另一个配置。接下来,你将学习基础管理。
完成该课程课后,你应该能够:
通过展示基础管理能力,你将能够更好地管理管理用户并围绕管理访问实现更强的安全实践。
大多数功能在 GUI 和 CLI 上都可用,但也有一些例外。不能在 CLI 上查看报告。此外,通常在 GUI 上高级用户的高级设置和诊断命令不可用。
随着你对 FortiGate 越来越熟悉,特别是如果你想编写其配置的脚本,除了 GUI 之外,你可能还想使用 CLI。你可以通过名为 CLI 控制台的 GUI 中的 JavaScript 小部件或者通过仿终端软件,如 Tera Term(http://ttssh2.sourceforge.jp/index.html.en
)或者 PuTTY(http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)访问 CLI。你的终端程序可以通过网络 SSH、Telnet 或本地控制台端口连接。
FortiGate 还支持 SNMP 和其他一些管理协议,但它们是只读的。它们不能用于基本设置。
这里显示了一些基本的 CLI 命令,你可以使用它们列出命令集下的命令、检查系统状态以及列出接口的属性及其值。
无论你使用哪种方法,都要以管理员身份登录。首先为其他管理员创建单独的帐户。为了安全和跟踪目的,每个管理员都有自己的帐户是最好的做法。
在新建的下拉列表中,你可以选择【管理员】或【REST API Admin】。通常你将选择【管理员】然后分配管理员配置文件,它指定了该用户的管理权限。
你可以选择【REST API Admin】来添加管理用户,该用户使用自定义应用程序 REST API 来访问 FortiGate。该应用程序允许你登录到 FortiGate,并执行你所指定的管理员配置文件允许的任何任务。
此处未显示的其他选项:
如果你确定使用密码,请确保它们是强的和复杂的。例如,可以使用具有不同大写的多个交错字,并随机插入数字和标点符号。不要使用包含任何字典中的名称、日期或单词的密码,这些容易受到暴力攻击。要检查密码的强度,使用工具如 L0phtcrack(http://www.l0phtcrack.com/ 或 http://www.openwall.com/john/)。如果将管理端口连接到 Internet,则增加了暴力攻击的风险。
为了限制对特定功能的访问,可以分配权限。
当将权限分配给管理员配置文件时,可以指定对每个区域的读写、只读或无。
默认情况下,有一个名为 super_admin 的特殊配置文件,它被名为 admin 的用户使用。它不能改变。它提供了对所有内容的完全访问,使得管理员帐户类似于 root superuser 帐户。
prof_admin 是另一个默认配置文件。它还提供完全访问,但是与 super_admin 不同,它只适合于它的虚拟域,而不是 FortiGate 的全局设置。此外,它的权限也可以更改。
你不需要使用默认配置文件。例如,你可以创建具有只读权限的 auditor_access 配置文件。将某人的权限限制于他的工作所必需的权限是最佳方法,因为即使该帐户被破坏,对 FortiGate(或网络)的危害也不大。为此,创建管理员配置文件,然后在配置帐户时选择适当的配置文件。
【覆盖空闲超时时间】功能允许配置系统账户下的管理员超时值在每个访问配置文件中被覆盖。管理员配置文件可以配置为增加非活动超时,并方便使用 GUI 进行中央监控。
请注意,这可以在每个配置文件的基础上实现,以防止选项在全局上被无意地设置。
管理员配置文件的影响是什么?
它实际上不仅仅是读或写访问。
根据分配的管理员配置文件的类型,管理员可能无法访问整个 FortiGate。例如,你可以配置一个只能查看日志消息的帐户。管理员可能无法访问其指定虚拟域之外的全局设置。虚拟域(VDOM)是一种将资源和配置细分为单个 FortiGate 的方法。
权限较小的管理员无法创建、甚至查看具有更多权限的帐户。因此,例如使用 prof_admin 或自定义配置文件的管理员不能看到或重置使用 super_admin 配置文件的帐户的密码。
为了进一步确保对网络安全性的访问,请使用双因子身份验证。
双因子身份验证是指使用两种方法来验证你的身份,而不是使用一种方法(通常是密码或数字证书)。在这个示例中,双因子身份验证包括密码加上来自与 FortiGate 同步的 FortiToken 的 RSA 随机生成的数字。
如果忘记管理员帐户的密码,或者恶意员工更改密码,会发生什么情况?
这种恢复方法适用于所有的 FortiGate 设备,甚至一些非 FortiGate 设备,如 FortiMail。它是一个临时帐户,只能通过本地控制台端口获得,并且只有在通过拔掉或关闭电源,然后恢复电源来重启中断电源之后。FortiGate 必须物理关闭,然后回过头来操作,而不是简单地通过 CLI 重新启动。
在启动完成后,maintainer 帐号登录只可用于启动约 60 秒内(旧版本的时间更少)。
如果无法确保物理安全性和有符合要求,则可以禁用维护帐户。使用警告:如果禁用维护程序,然后丢失管理员密码,则无法恢复对你的 FortiGate 的访问。为了在这种情况下重新获得访问权,你需要重新加载设备。这将重置为工厂默认值。
【提示】在忘记密码的情况下可以使用帐号 maintainer,密码 bcpb+大写的序列号,通过 CLI 登录 FortiGate 防火墙。
另一种确保不被攻击的方法是定义主机或子网,只有这些主机或子网才能登录FortiGate。
在这个例子中,我们已经配置了 10.0.1.10 作为 admin1 帐号登录的唯一可信 IP。如果 admin1 尝试从任何其他 IP 的机器登录,则它们将接收到验证失败消息。
注意:如果在所有管理员上配置了受信任的主机,并且管理员试图从没有为任何管理员在任何受信任的主机上设置的 IP
地址登录,那么管理员将不会获得登录页面,而是将收到消息〖Unable to contact server〗。
如果你将 IPv4 地址保留为 0.0.0.0/0,则意味着将允许来自任何源IP的连接。默认情况下,0.0.0.0/0 是管理员的配置,尽管你可能希望更改此配置。
请注意,每个帐户可以以不同的方式定义其管理主机或子网。如果要在 FortiGate 上设置 VDOM,则这尤其有用,因为 VDOM 的管理员甚至可能不属于同一个组织。你可以很容易地阻止管理员从所需的 IP 地址登录,如果在到达 FortiGate 之前,它将被 NAT 转移到另一个地址,从而破坏了可信主机的目的。
你还可能需要自定义管理协议的端口号。
你可以选择是否允许并发会话。这可以用于防止意外地覆盖设置,如果通常保持多个浏览器选项卡打开,或者意外地让 CLI 会话打开而不保存设置,则开始 GUI 会话,并意外地以不同的方式编辑相同的设置。
为了更好的安全性,只使用安全协议,并强制密码复杂性和更改。
【空闲时间超时】是非活动管理员会话超时之前的分钟数(默认为5分钟)。更短的空闲超时更安全,但是增加计时器数字可以帮助减少管理员在测试更改时注销的机会。
你可以按管理员配置文件覆盖此空闲超时。
Override Idle Timeout——管理员配置文件可以配置为增加非活动超时并促进使用 GUI 进行集中监控。此新功能允许在配置系统访问文件下的管理超时时间值在每个访问配置文件中被重写。
请注意,这可以在每个配置文件的基础上实现,以避免选项被无意地设置为全局。
你已经定义了管理子网,即每个管理员帐户的管理主机。如何启用或禁用管理协议?
这对每个接口都是特定的。例如,如果你的管理员仅从 port3 连接到 FortiGate,那么应该禁用所有其他端口上的管理访问。这可以防止暴力尝试和不安全访问。你的管理协议是 HTTPS、HTTP、Ping、SSH。默认情况下,Telnet 选项在 GUI 上不可见。
考虑网络上接口的位置。在内部接口上启用 ping 对于故障排除是有用的。然而,如果它是一个外部接口(换句话说,暴露于互联网),那么 PING 协议可能使 FortiGate 受到 DoS 攻击。不禁用数据流的协议,如 HTTP 和 Telnet,应禁用。IPv4 和 IPv6 协议是分开的。在 IPv6 上可以同时拥有 IPv4 和IPv6 地址,此时能响应 IPv6 上的 Ping。
注意,一些协议,如 FortiTelemetry,不是用于管理访问,如 GUI 和 CLI 访问,而是它们是将 FortiGate 作为目的地 IP,而不仅将 FortiGate 用作下一跳或桥的协议。FortiTelemetry 协议专门用于管理 FortiClient 和 Security Fabric。FMG-Access 协议专门用于当服务器管理多个 FortiGate 设备时与 FortiManager 通信。CAPWAP 协议在 FortiGate 管理时用于FortiAP、FortiSwitch 和 FortiExtender。当 FortiGate 需要侦听和处理 RADIUS Accounting 分组以进行单点登录身份验证时,使用 RADIUS 计费协议。FTM 或 FortiToken Mobile 推送,支持来自 FortiToken Mobile 推送应用程序的双因子认证请求。推送服务由苹果(APN)和 谷歌(GCM)分别为 iPhone 和 Android 智能手机提供。此外,当 FortiAuthenticator 认证为身份验证服务器时,FortiOS 支持 FTM 推送。
FortiGate 有数百个功能。如果你不使用它们,隐藏你不使用的功能会使你更容易专注于你的工作。
在图形界面上隐藏的一个功能并没有被禁用。它仍然是功能性的,并且仍然可以使用 CLI 配置。
某些高级或不常用的功能,如 IPv6,默认是隐藏的。
若要显示隐藏的功能,请单击 系统管理 > 可见功能。
记住,当 FortiGate 处于 NAT 模式时,处理流量的每一个接口都必须有一个 IP 地址。当处于 NAT 模式时,如果需要开始或应答会话,则可以使用 IP 地址来获取源流量,并且可以作为一个目标地址,用来连接那些尝试联系 FortiGate 或路由流量通过的设备。获取 IP 地址的方法有多种:
IP地址要求有两个例外:【单臂嗅探】 和【专用于FortiSwitch】接口类型。这些接口没有分配地址。
在 WAN 接口上,你见过多少次由 DHCP 服务器引起的网络问题而不是客户端启用的网络问题?
你可以配置接口的角色。在 GUI 中显示的角色通常是拓扑的那部分的接口设置。不适用于当前角色的设置隐藏在 GUI 中(不管角色如何,CLI 上的所有设置总是可用的)。这防止意外错误配置。
例如,当角色被配置为 WAN 时,没有 DHCP 服务器和设备检测配置可用。设备检测通常用于检测局域网上的设备。
如果出现异常情况,并且需要使用当前角色隐藏的选项,则始终可以将角色切换到 Undefined 这显示所有选项。
为了帮助你记住每个接口的使用,你可以给它们取名。例如,你可以将 port3 称为 internal_network。这有助于使你的策略列表更容易理解。
在将 FortiGate 集成到网络之前,应该配置默认网关。
如果 FortiGate 通过动态方法(例如 DHCP 或 PPPoE)获取 IP 地址,那么它也应该获取默认网关。否则,必须配置静态路由。没有默认网关,FortiGate将不能响应直接连接到它自己的接口的子网之外的数据包。它可能也无法连接到 FortiGuard 进行更新,并且可能无法正确地路由流量。
在另一课中包含路由细节。现在,你应该确保 FortiGate 有一个匹配所有包(目的地是 0.0.0.0/0)的路由,称为默认路由,并通过连接到 Internet 的网络接口转发给下一个路由器的 IP 地址。
到目前为止,已经完成在配置防火墙策略之前所需的基本网络设置。
链路聚合逻辑上将多个物理接口绑定到单个信道中。链路聚合增加带宽并在两个网络设备之间提供冗余。
知识测验。
你现在有了一些基本的管理知识。接下来,你将了解内置服务器。
在完成这一节之后,你应该能够:
通过演示实现 DHCP 和 DNS 内置服务器的能力,你将知道如何通过 FortiGate 提供这些服务。
无线客户端并不是唯一可以使用 FortiGate 作为其 DHCP 服务器的用户。
对于接口(如 port3),选择 Manual 选项,输入静态 IP,然后启用 DHCP Server 选项。内置 DHCP 服务器的选项将出现,包括提供功能,如 DHCP 选项和 MAC 保留。还可以从接收 IP 地址阻止特定的 MAC 地址。注意,在右侧的屏幕截图中,在 MAC Reservation + Access Control 选项中,在 Action or IP 列,下拉列表提供三种选项:
对于内置的 DHCP 服务器,你可以为具有特定 MAC 地址的设备保留特定的 IP 地址。
对于 Unknown MAC Addresses 的操作定义了当它从没有明确列出的 MAC 地址中获得一个请求时,它的 DHCP 服务器将会做什么。
与 DHCP 一样,你也可以配置 FortiGate 作为本地 DNS 服务器。你可以在每个接口上单独启用和配置 DNS。
本地 DNS 服务器可以提高你的 Fortimail 或经常使用 DNS 查询的其他设备的性能。如果 FortiGate 向本地网络提供 DHCP,则可以使用 DHCP 配置这些主机以使用 FortiGate 作为网关和 DNS 服务器。
FortiGate 可用以下三种方式之一回答 DNS 查询:
你可以在 GUI 或 CLI 上配置所有模式。
如果选择递归,FortitGate 查询自己的数据库,然后将未解析的请求转发到外部 DNS 服务器。
如果选择 DNS 转发选项,则可以在自己的网络中控制 DNS 查询,而不必在 FortiGate 的 DNS 服务器中输入任何 DNS 名称。
如果你选择让 DNS 服务器解析查询,或者选择拆分 DNS,则必须在你的 FortiGate 上设置 DNS 数据库。
这定义了 FortiGate 将解析查询的主机名。请注意,FortiGate 目前只支持上图列出的 DNS 记录类型。
知识测验。
你现在知道如何在 FortiGate 中启用 DHCP 和 DNS 服务,并且对配置的可能性有了一些了解。接下来,你将学习基本的维护。
在完成这一节之后,你应该能够:
通过展示实现 FortiGate 基本维护的能力,你将能够执行备份和恢复、升级或降级固件的重要活动,并确保 FortiGate 在其整个生命周期中保持可靠的服务。
我们已经知道 FortiGate 具有基本的网络设置和管理帐户,你将了解如何备份配置。除了选择备份文件的目的地之外,还可以选择加密或不加密备份文件。即使你选择不对缺省的文件进行加密,文件中存储的密码也会被散列,因此会被混淆。存储在配置文件中的密码将包括管理用户和本地用户的密码,以及 IPSec VPN 的预共享密钥。它还可以包括 FSSO 和 LDAP 服务器的密码。
另一种选择是用密码加密配置文件。除了确保配置的隐私,它也有一些你可能不期望的效果。加密后,没有密码以及不是同一个型号和固件,配置文件都不能被解密。这意味着,如果你向 Fortinet 技术支持发送加密的配置文件,即使你向他们提供密码,他们也不能加载你配置,直到他们访问相同的 FortiGate 型号。这在解决你的问题时,可能会导致不必要的延时。
如果启用虚拟域(VDOM),对 FortiGate 的资源和配置进行细分,则每个 VDOM 管理员都可以备份和恢复自己的配置。你不必备份整个 FortiGate 配置,但是它仍然是推荐的。
备份是必要的,可以帮助快速返回生产状态。如果发生了不可预见的灾难,损害了 FortiGate,必须从头重新创建数百个策略和对象需要大量的时间,而在新设备上加载配置文件则需要更少的时间。
恢复配置文件的动作与备份非常类似,并且会重新启动 FortiGate。
如果在文本编辑器中打开配置文件,你将看到加密和未加密的配置文件都包含一个包含有关设备的一些基本信息的明文标题。要恢复加密的配置,必须将它上传到相同型号和固件的 FortiGate,然后提供密码。
若要还原未加密的配置文件,则只需匹配 FortiGate 型号。如果固件不同,FortiGate 将尝试升级配置。这类似于在升级固件时如何在现有配置上使用升级脚本。但是,仍然建议将 FortiGate 上的固件与配置文件中列出的固件进行匹配。
通常,配置文件只包含非默认设置,加上很少的默认但重要的设置。这就最小化了备份的大小,否则可能会有几个 MB 大小。
你可以在 FortiGate GUI 中的多个位置查看当前固件版本。当你第一次登录到 FortiGate 时,登陆页面就是仪表板。你将在系统子窗口中看到固件版本。此信息也在 系统 > 固件 中可以找到。当然,你可以使用命令 get system status 检索 CLI 上的信息。
如果新版本的固件可用,你将在固件页面上得到通知。
请记住阅读发行说明,以确保了解所支持的升级路径。发行说明还提供可能影响升级的相关信息。
升级 FortiGate 上的固件很简单。单击 系统 > 固件,然后在浏览器上从 support.fortinet.com 下载固件文件,或者选择在线升级。
如果希望通过覆盖现有固件及其当前配置来完成干净的安装,可以在重新启动 FortiGate 时使用引导加载器菜单中的本地控制台 CLI 进行此操作。然而,这不是常用的方法。
你也可以降级固件。因为每个固件版本的设置都会改变,所以你应该具有与固件兼容的语法配置文件。
记得阅读发行说明。有时,保存配置的固件版本之间的降级是不可能的,例如当操作系统从 32 位更改为 64 位时。在这种情况下,降级的唯一方法是格式化磁盘,然后重新安装。
在你确认可以降级之后,再次验证一切,然后开始降级。在降级完成后,还原与该版本兼容的配置备份。
为什么要保持紧急固件和物理访问?
早期固件版本不知道如何转换成后期的配置。通常,当通过路径进行升级时,不支持配置转换脚本,可能会丢失除了基本访问设置之外的所有设置,例如管理员帐户和网络接口 IP 地址。另一种罕见但可能的情况是,当你上传固件时,固件可能会损坏。由于所有这些原因,在升级过程中应该始终具有本地控制台访问权限。然而,在实践中,如果你阅读发行说明并与 GUI 或 CLI 有可靠的连接,则不必如此。
知识测验。
你现在知道如何在一个基本的层面上维护 FortiGate 了,接下来,你将了解 Security Fabric 中的 FortiGate。
在完成本章节后 ,你应该能够:
通过展示 Fortinet Security Fabric 的高级概念中的能力,你将更好地理解 Security Fabric 的价值、组成它的服务器以及如何部署它。
什么是 Fortinet Security Fabric?
它是一个 Fortinet 企业解决方案,它支持一种全面的网络安全方法,通过一个控制台可以看到网络环境,所有的网络设备都集成到集中管理和自动化防御中。
网络设备包括所有组件,从物理端点到云中的虚拟设备。由于设备是集中管理的,并且正在实时地智能共享威胁,并且在宏观级别上接收来自 Fortinet 的更新,你的网络可以快速识别、隔离和消除出现的威胁。
Security Fabric 具有以下属性:
我们可以添加 Security Fabric 的第四个属性,具有开放性。API 和协议可用于其他供应商的加入和合作伙伴的集成。这允许 Fortinet 和第三方设备之间的通信。
为什么 Fortinet 认为 Security Fabric 是一个强大的网络防御的基本解决方案?
随着网络的发展和各种新型威胁的出现,部署了端点安全产品来应对这些新出现的威胁。通常,这些零碎的解决方案是有效的,但是使用不同的标准和协议部署产品常常意味着不能有效地协调防御资产。
上图右侧的图示讲述了一个网络的故事,该网络部署了来自四个不同供应商的安全解决方案。中心的管理员,从安全控制台工作,只对一些安全解决方案有可见性。这种缺乏可见性的整个网络防御是一个严重的缺陷,并允许外国渗透者在未被察觉的情况下突破网络防御。
当今网络的复杂性使这个问题更加复杂。此外,越来越复杂的恶意软件有一个不断扩大的攻击面,因为网络已经突破了传统网络的范围,并扩展到虚拟网络和公共云。除此之外,由于自带设备的程序,越来越多的无人管理设备的数量不断增加,而且你拥有完美的安全风暴。
最可行的解决方案是构建一种集中管理的、整体的安全方法,从而对所有潜在的渗透点有清晰的视线,并且可以协调防御以遏制和中和网络破坏。
两个或两个以上的 FortiGate 设备加 FortiAnalyzer 的产品是解决方案的核心。为了增加更多的可视性和控制,Fortinet 推荐添加 FortiManager、FortiAP、FortiClient、FortiSandbox、FortiMail。可以通过添加其他网络安全设备来扩展该解决方案。
FortiManager 和 FortiCloud 中央管理的配置可以在 Security Fabric 设置中执行。
可以在 Security Fabric 设置中添加 FortiMail。FortiMail 统计数据使用 REST API 显示在 FortiOS 仪表板小部件上。
可以在 Security Fabric 设置中添加无线AP。可以使用 REST API 来设置端点和 SSID 可见性。
可以在 Security Fabric 设置中添加 FortiCache 和 FortiWeb,这允许 FortiGate 使用 FortiCache 的磁盘作为本地存储进行缓存,而不是使用WCCP。
FortiClient EMS 配置已被纳入 Security Fabric 设置。如果客户端由所指示的 EMS 服务器之一管理,则被认为是兼容的。你最多可以添加三个 EMS 服务器。
管理员定义的自动化工作流(称为拼接)使用 if/then 语句使 FortiOS 以预先编程的方式自动响应事件。因为该工作流是 Security Fabric 的一部分,你可以为 Security Fabric 中的任何设备设置 if/then 语句。
触发器:触发器属性定义事件的类型。如果 FortiAnalyzer 提供了一个 IOC 消息来触发 FortiGate,则触发妥协指标(IOC)。此消息将由 Security Fabric 中的根节点接收。
动作:如果配置 IOC 触发器,则可以从 Action 部分中的几个选项中选择,例如 Quarantine 和 IP Ban。这两个选项阻止来自 IOC 标记的源地址的所有流量。隔离设备在 Security Fabric 拓扑中被标记。
你还可以单击 Monitor > Quarantine Monitor 查看隔离和禁用的 IP 地址。隔离地址在可配置的时间段后自动从隔离中移除。只有通过管理员干预才能将禁止的 IP 地址从列表中删除。
事件日志为用户提供了基于特定日志 ID 定义触发器的灵活性。
Fabric 连接器允许你集成多云支持,如 ACI、AWS 等。
以应用程序为中心的基础设施(ACI):SDN 连接器充当连接 SDN 控制器和 FortiGate 设备的网关。SDN 连接器将自己注册到 Cisco ACI 结构中的 APIC,对感兴趣的对象进行投票,并将它们转换为地址对象。被翻译的地址对象和相关的端点填充在 FortiGate 上。
微软 Azure 的 FortiGate 虚拟机也支持云初始化和自引导。
在这个简单的网络中,只有一个 Security Fabric 的核心设备,我们有一个 FortiGate 和一个下一代防火墙 (NGFW)。这个实现示例仅仅是一个高级视图。要了解更多细节,请参见 docs.fortinet.com。被命名为〖External〗的FortiGate充当了边缘防火墙,也将被配置为 Security Fabric 中的根防火墙。在根防火墙的下游,我们有三个内部分割防火墙,将 WAN 划分为包含一个分支,并控制对各种局域网的访问。在本例中,我们有财务部、市场部和销售部本地区域网络。
首先,在根 FortiGate 上,必须在面对任何下游 ForiGate 的接口中启用 FortiTelemetry。然后,你需要为 Security Fabric 配置组名和密码。你还需要配置 FortiAnalyzer 的 IP 地址。这个 FortiAnalyzer 配置将被推送到所有下游的 FortiGate 设备。
其次,在下游的 FortiGate 设备中,必须启用面向下游 FortiGate 设备的接口的 FortiTelemetry 和 Device Detection 。然后,需要在 Security Fabric > Settings 部分配置上游 FortiGate 的相同组名、密码和 IP 地址。
安全评级是需要安全评级许可的订阅服务。此服务允许你:
Fabric Security 评级服务现在扩展并运行最佳实践项目,以便在整个网络中进行审计——密码检查、最佳实践,以及进一步加强网络安全。
知识测验。
你已经完成了本次课程。现在,你将回顾你在课程中所涵盖的目标。
本课程包含以下目标: