在本节课中,你将了解Fortinet安全架构。
通过展示部署Fortinet安全架构的能力,使用和扩展安全架构功能,并了解其拓扑结构,你将能够在你的网络里有效地使用Fortinet安全架构。
通过展示理解Fortinet安全架构关键概念的能力,你将更好了解安全架构的价值、组成它的服务器以及如何部署它。
什么是Fortinet安全架构?
这是一个Fortinet企业解决方案,实现了一个全面的网络安全方法,通过一个单一的控制台可以看到网络景观,所有的网络设备都集成到一个集中管理和自动化的防御中。
网络设备包括所有组件,从物理端点到云中的虚拟设备。由于设备是集中管理的,并且彼此实时共享威胁情报,并在宏观层面上接收来自Fortinet的更新,所以当威胁出现时,你的网络可以快速识别、隔离和消除威胁。
安全架构具有以下属性:
● 广泛的:提供整个数字攻击面的可见性,以更好地管理风险
● 集成:它提供了一种解决方案,降低了支持多点产品的复杂性
● 自动化:威胁情报在网络组件之间实时交换,从而实现对威胁的自动化响应
第四个属性可以添加到安全架构的描述中:开放。API和协议可供其他供应商加入和合作伙伴集成。这允许Fortinet和第三方设备之间的通信。
为什么Fortinet认为安全架构是一个强大的网络防御的基本解决方案?
随着网络的发展和各种新型威胁的出现,点安全产品被部署来应对这些新出现的威胁。通常,这些零零散散的解决方案是有效的,但使用不同的标准和协议部署产品意味着无法有效协调国防资产。
上图右侧的插图讲述了一个网络的故事,该网络部署了来自四个不同供应商的安全解决方案。中心的管理员从安全控制台工作,只能看到部分安全解决方案。这种对整个网络防御的可见性缺乏是一个严重的缺陷,可能会让外国入侵者在不被发现的情况下突破网络防御。
当今网络的复杂性加剧了这个问题。此外,越来越复杂的恶意软件有一个不断扩大的攻击面可以利用,因为网络已经突破了传统网络边界的限制,已经扩展到虚拟网络和公共云。再加上BYOD程序导致的非托管设备数量的不断增长,你就拥有了完美的安全风暴。
最可行的解决方案是建立一个集中管理的、全面的安全方法,这样你就可以清楚地看到所有潜在的渗透点,并可以协调防御来遏制和抵消网络入侵。
正如上图所示,Fortinet安全架构提供了八种解决方案:网络接入、安全WLAN/LAN、公共和私有云基础设施、应用程序、端点、安全操作、开放架构生态系统和架构管理中心。这些解决方案都基于特定的用例,并涉及特定Fortinet产品的集成。
Fortinet安全架构通过FortiGate、IPS、VPN、SD-WAN提供网络安全。它还提供跨公共云、私有云、混合云和软件即服务(SaaS)的多云策略。它还提供相当复杂的端点产品,从架构代理一直到完整的端点保护、电子邮件安全、web应用程序安全、跨分布式企业和SDWAN环境的安全访问,高级威胁保护,管理和分析,以及安全信息和事件管理(SIEM)。
所有这些都得到了FortiGuard服务的强调和支持,该服务在整个安全架构中提供人工智能情报和保护。
你必须在安全架构的核心上至少有两个FortiGate设备,外加一个FortiAnalyzer或云日志解决方案。FortiAnalyzer云或FortiGate云可以作为云日志解决方案。FortiGate设备必须运行在NAT模式下。
为了增加更多的可见性和控制,Fortinet建议添加FortiManager, FortiAP,FortiClient,FortiClient EMS, FortiSandbox, FortiMail, FortiWeb, FortiNDR, FortiDeceptor, and FortiSwitch。
该解决方案可以通过添加其他网络安全设备(包括多个第三方产品)进行扩展。
答案:A
答案:A
干得漂亮!你已经了解了Fortinet安全架构的基础知识。接下来,你将了解如何在网络环境中部署安全架构。
通过展示部署Fortinet安全架构的能力,你将更好地理解安全架构的价值以及它如何帮助更有效地管理所有网络设备。
这个简单的网络只包含一个安全架构的核心设备,包括一台FortiAnalyzer和四台NGFW(下一代防火墙)FortiGate设备。
名为External的FortiGate设备充当边缘防火墙,并在安全架构中配置为根防火墙。
从根防火墙下游,三个内部分割防火墙划分广域网,以遏制漏洞和控制对各种局域网的访问。本例使用会计、市场营销和销售网络。
要配置新的安全结构,请遵循以下常规步骤:
首先,在根FortiGate上,必须在面对任何下游FortiGate的接口上启用安全Fabric连接。然后,启用安全架构连接器,并选择作为根Fabric。你还需要配置FortiAnalyzer或云日志解决方案。该日志配置将被推送到所有下游FortiGate设备。
可选地,你可以通过添加它们的序列号预先授权你的下游设备。当你将Fortinet设备的序列号添加到根FortiGate上的可信列表时,设备可以在连接时立即加入安全架构。在你授权新的FortiGate后,附加的连接FortiAP和FortiSwitch设备自动出现在拓扑树中。在拓扑树中,一键授权更加方便。
实现安全架构的第二步是配置下游的Fortinet设备。在下行FortiGate设备上,需要在面向下行FortiGate设备的接口上开启安全架构连接和设备检测功能。在架构连接页面,选择Join Existing Fabric并添加根(上游)FortiGate IP地址。
实现安全架构的第三步是对下游FortiGate设备进行授权。
启用安全结构时,默认情况下会启用将各种对象(如地址、服务和时间表)从上游FortiGate同步到所有下游FortiGate设备的设置。同步总是从根FortiGate到下游的FortiGate设备。同步后,任何可以同步的对象都将在下游的FortiGate设备上可用。
CLI命令set fabric-object-unification仅在根FortiGate上可用。当设置为local时,全局对象将不会同步到安全架构中的下游设备。默认值为default。
当下游FortiGate不需要参与对象同步时,使用CLI命令set configuration-sync local。当在下游FortiGate上设置为本地时,设备不会从根同步对象,但仍将参与向下游发送同步对象。
你还可以在安全架构中启用或禁用每个对象同步。此选项不适用于你在下游FortiGate上创建的对象。默认情况下,受支持的架造对象禁用架构同步,这些架构对象在安全架构中的所有FortiGate设备上作为本地创建的对象保存。如果在根FortiGate上禁用对象同步,使用命令set fabricobject disable,防火墙地址和地址组将不会同步到下游的FortiGate设备。
如果在同步过程中发生对象冲突,你将在拓扑树中得到通知。
同步冲突的处理流程如下:
1. 通知图标显示此消息:在架构中防火墙对象与其他对象FortiGate冲突。远程FortiGate用琥珀色突出显示。单击审查防火墙对象冲突。
2. 在防火墙对象同步页面,可以看到根FortiGate和下游FortiGate设备都包含synn_add_1对象(每个设备的IP地址/子网模式不同),导致了内容不匹配的状态。在策略字段中,有两种解决冲突的选项:自动和手动。如本例所示,如果选择自动,则可以单击重命名所有对象。
3. 远程FortiGate被附加到下游FortiGate设备sync_Add_1地址对象的名称后,状态变为Resolved。
4. 在拓扑树中,没有一个FortiGate设备被高亮显示,因为没有冲突。
当你在多VDOM模式下配置FortiGate设备并将其添加到安全架构时,当检测到一个或多个设备时,将显示每个VDOM及其分配的端口。只有具有已发现和连接设备的端口才会出现在安全架构视图中,因此,你必须在要显示在安全结构中的端口上启用设备检测。没有连接设备的端口的VDOM不会显示。所有配置的VDOM必须是单个安全架构的一部分。在上图显示的示例中,Local-FortiGate以多VDOM模式配置,并有三个VDOM(root、VDOM1和VDOM2),每个端口都有连接设备。
设备识别是安全架构中的一个重要组成部分。FortiGate检测你网络中的大多数第三方设备,并将其添加到安全架构中的拓扑视图中。有两种设备识别技术:代理和无代理。
无代理识别使用来自设备的流量。设备按其MAC地址进行索引,并且有各种方法来识别设备,例如HTTP用户代理头、TCP指纹、MAC地址OUI和FortiOS-VM检测方法,仅举几例。只有当FortiGate和工作站是直接连接的网络段,流量直接发送到FortiGate,并且FortiGate和工作站之间没有中间路由器或第3层设备时,无代理设备识别才有效。
FortiGate使用先到先得的方法来确定设备身份。例如,如果HTTP用户代理检测到设备,FortiGate会使用检测到的MAC地址更新其设备表,并在确定该MAC地址的类型后立即停止扫描。
基于代理的设备识别使用FortiClient。FortiClient将信息发送到FortiGate,该设备由其唯一的FortiClient用户ID(UID)跟踪。
默认情况下,FortiGate使用设备检测(被动扫描),根据流量的到达运行扫描。
答案:A
答案:B
干得漂亮!你已经知道如何部署安全架构。接下来,你将了解安全架构功能,以及如何在你的网络环境中扩展安全架构。
通过展示扩展Fortinet安全架构的能力,你将更好地了解安全架构的价值,以及它如何帮助从单点设备管理所有网络设备。
上图显示了Fortinet推荐用于扩展安全架构的产品列表。
Fortinet建议使用FortiManager对所有FortiGate设备进行集中管理,并访问安全架构中的设备。你还可以通过集成FortiSwitch和FortiAP设备将安全架构扩展到访问层。
管理员定义的自动化工作流(称为针)使FortiOS以预先编程的方式自动响应事件。由于该工作流程是安全架构的一部分,你可以为安全架构中的任何设备设置自动化针。然而,安全架构不需要用针。
每个自动化针配对一个触发器和一个或多个操作。FortiOS有几个预定义的针、触发器和操作。但是,你可以根据可用选项创建自定义自动化。
自动化针允许你监控你的网络,并在安全架构检测到威胁时采取适当行动。你可以使用自动化针来检测来自安全架构中任何来源的事件,并将操作应用于任何目的地。
你可以在一些可用操作上配置最小内部(秒)设置,以确保它们不会比需要更频繁地运行。
上图展示了如何在安全架构中配置自动化针:
1. FortiClient向FortiAnalyzer发送日志。
2. FortiAnalyzer在日志中发现IoC并通知FortiGate。
3. FortiGate标识FortiClient是否是一个连接的端点,以及它是否有FortiClient连接的FortiClient EMS的登录凭据。有了此信息,FortiGate将向FortiClient EMS发送通知,以隔离端点。
4. FortiClient EMS搜索端点并向其发送隔离消息。
5. 端点收到隔离消息并隔离自己,阻止所有网络流量。端点将状态变化通知FortiGate和EMS。
6. FortiGate向微软团队频道发送通知,提醒管理员有关事件。
外部连接器允许你集成多云支持,例如Microsoft Azure和AWS等等。
在以应用程序为中心的基础设施(ACI)中,SDN连接器充当网关桥接SDN控制器和FortiGate设备。例如,SDN连接器可以在Cisco ACI结构中将自己注册到APIC,轮询感兴趣的对象,并将其转换为地址对象。翻译后的地址对象和相关端点填充在FortiGate上。
安全架构状态小部件显示了安全架构中设备的可视化摘要。
你可以将鼠标悬停在小部件顶部的图标上,以显示其状态的快速视图。从这里,你可以点击授权连接到已授权FortiGate的FortiAP和FortiSwitch设备。
图标代表可以在安全架构中使用的其他Fortinet设备:
● 蓝色的设备连接到网络中。
● 灰色的设备未配置,或在网络中未检测到。
● 红色的设备不再连接,或者在你的网络中未被授权。
答案:A
答案:A
干得漂亮!你已经知道了如何扩展安全架构及其功能。接下来,你将了解安全架构评级服务和拓扑视图。
通过展示Fortinet安全评级服务和拓扑视图的能力,你应该能够清楚地看到你的网络设备。
安全评级是一种订阅服务,需要使用安全评级许可证。该服务提供了该能力执行许多最佳实践,包括密码检查,以审计和加强你的网络安全。
安全评级页面分为三个主要的记分卡:安全态势、Fabric覆盖和优化。
这些记分卡提供了安全结构中三个最大的安全重点领域的执行摘要。
记分卡显示了总体的字母等级和各子类别的表现细目。单击计分卡可深入查看分项结果和合规性建议的详细报告。分值表示该区域内所有通过和未通过的项目。该报告包括测试的安全控制,将它们与特定的FSBP或PCI合规政策联系起来。你可以点击FSBP和PCI参考相应的标准。
在多VDOM模式下,具有读写权限的管理员可以在Global VDOM中为设备上的所有VDOM生成安全评级报告。具有只读权限的管理员只能查看该报告,但不能生成报告。
在记分卡上,Scope列显示安全等级检查的VDOM或VDOM。在支持Easy Apply的检查中,你可以在所有相关的VDOM上运行补救。
根VDOM上有安全评级事件日志。
单击安全评级页面上的安全态势记分卡可展开记分卡并查看更多信息。
安全态势服务现在支持以下功能:
● 使用安全审计(FortiGuard数据)按百分位数划分的客户排名:安全评级现在支持向FortiGuard发送结果,并从FortiGuard接收统计数据,结果以百分比的形式显示给客户。
● 当管理员登录到GUI时,安全审计在后台运行,而不仅仅是按需运行。当你查看安全审计页面时,会加载最新保存的安全审计数据。从GUI中,你可以按需运行审计,并在安全架构中查看不同设备的结果。你还可以查看所有结果或只是失败的测试结果。
● 新的安全检查可以帮助你改进组织的网络。这些结果包括强制执行密码安全、应用推荐的登录尝试阈值、鼓励双重身份验证等。
安全评级提供了建议,并强调了配置FortiGate设置的问题。这些建议和问题会以通知的形式显示在设置页面上。
单击通知,将显示需要修改设置的页面。这样可以避免你在Security Fabric >Security Rating页面和各种设置页面之间来回切换。
通知显示在GUl的侧面或底部。你也可以取消通知。
在上图所示的示例中,发现的一些问题是,FortiGate正在使用默认的HTTPS和SSH端口,并且管理员密码策略未启用。安全评级检查还建议你配置可信主机和双因子身份验证。
默认情况下,安全评级检查计划任务每4小时自动运行一次。
通过命令行使用以下命令启用或禁用安全检查:
#config system global
(global)# set security-rating-run-on-schedule [enable/disable]
(global) # end
通过命令行手动执行评级检查:
#diagnose report-runner trigger
在安全架构菜单中,可以查看FortiGate GUl上的安全架构拓扑结构。你可以选择物理拓扑或逻辑拓扑视图。为了查看完整的网络,需要访问安全架构中根FortiGate上的拓扑视图。
物理拓扑视图将你的网络显示为互联设备的气泡图。这些设备根据它们连接的上游设备进行分组。根据流量,气泡看起来更小或更大。你可以双击任何气泡来调整其大小,并查看有关设备的更多信息。
逻辑拓扑视图类似于物理拓扑视图,但它展示了安全架构中连接设备的网络接口,包括逻辑接口和物理接口。
上图展示了物理拓扑视图和逻辑拓扑视图之间的区别。
答案:B
答案:A
恭喜你!你已经完成了这节课。现在,你要复习本节课中涉及到的目标。
通过掌握本课中涉及的目标,你学习了如何配置和使用Fortinet安全架构。