教程篇(7.2) 08. 附加配置 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE5

  在本课中，你将学习如何设置FortiManager高可用性（HA）集群，以及如何将FortiManager用作设备的本地FortiGuard服务器。

 在本课中，你将了解上图显示的主题。

 通过展示在HA集群中实施和配置FortiManager的能力，你将能够使用此FortiManager解决方案来提高网络中的容错性和可靠性。

 FortiManager HA集群由最多五个具有相同FortiManager型号和固件的FortiManager设备组成。集群中的一个设备作为主设备运行，其他设备（最多四个）作为辅助设备运行。HA心跳数据包使用TCP端口5199。FortiManager HA提供地理冗余，每个FortiManager都有自己的IP地址。

　　在集群上执行固件升级时，请始终安排维护窗口，因为升级主FortiManager上的固件也会升级所有辅助设备上的固件，并重新启动集群中的所有设备。在固件升级过程中，你连接到主设备GUI或CLI以升级固件。

 对FortiManager数据库的所有更改都保存在主FortiManager上，然后这些更改与辅助FortiManager设备同步。主设备的配置、设备和策略数据库也与辅助设备同步。

　　有一些配置设置、FortiGuard数据库和日志在主设备和辅助设备之间没有同步。FortiGuard数据库和软件包是单独下载的，每个设备都可以向托管设备提供FortiGuard服务。

　　集群具有主动-被动集群的功能；但是，你可以将集群成员配置为独立的活动本地FortiGuard服务器。

 HA故障切换模式有两种：

　　1. 手动

　　2. VRRP (自动)

　　在手动模式下，FortiManager HA不支持在HA状态过渡对管理员透明的情况下进行IP接管。如果主故障发生，管理员必须采取纠正措施来解决问题。这些更正可能包括调用状态转换。如果主设备出现故障，管理员必须执行以下操作，才能将FortiManager HA恢复到工作状态：

　　1.手动重新配置其中一个辅助设备，使其成为主要设备。

　　2. 重新配置所有其他辅助设备，以指向新的主设备。

　　你不需要重新启动从辅助设备升级到主设备的设备。

　　如果辅助FortiManager失败，管理员可以重新配置主设备以删除辅助配置。或者，管理员可以在HA设置中保留辅助配置，并在辅助设备上线后，与主设备重新同步。

　　你可以选择VRRP来配置自动故障转移。当主FortiManager的监控界面无法到达或停机时，会发生HA自动故障转移，辅助FortiManager会自动成为主。你还必须配置虚拟IP（VIP）、VRRP接口、优先级和监控IP。单播是可选的。

 在故障转移模式字段中选择手动后，你可以选择主要作为一个集群成员的角色，然后将最多四个辅助设备添加到集群中。

　　还有其他一些设置值得一提，你只能在主FortiManager上配置，包括：

　　● 心跳间隔：集群成员在发送心跳数据包和期望从另一个集群成员收到心跳数据包之间等待的时间（以秒为单位）。

　　● 故障转移阈值：在FortiManager假设其他集群成员失败之前，在没有响应的情况下可以发生的心跳间隔的最大数量。

　　配置HA集群后，它会显示集群成员的角色。

 虚拟路由器冗余协议（VRRP）配置可以用作高可用性解决方案，以确保连接。当主FortiManager的监控界面停机时，将发生HA自动故障转移，辅助FortiManager将自动成为新的主功能。优先级设置确定在HA配置中哪个设备将是主要和次要的。

　　上图显示了基本的VRRP拓扑。两个FortiGate设备都连接到FortiManager的虚拟IP，而不是实际的端口2 IP地址。当主设备出现故障时，MAC地址会在设备上的arp表中更新虚拟IP地址172.16.0.245到新的主端口2 MAC地址。

 你可以在故障转移模式字段中选择VRRP，然后将最多四个辅助设备添加到集群中。在此故障转移模式下需要以下设置：

　　● 虚拟IP（VIP）：是FortiManager HA所必需的。一般来说，它是FortiGate设备用于与FortiManager通信的子网中的IP地址之一。

　　● VRRP接口：是绑定到VIP的接口。

　　● 优先级：确定FortiManager设备在HA中的作用。优先级较高的设备尽可能作为主设备运行。1是最低值，253是最高值。

　　● 单播：是一个可选设置。如果需要，你可以启用它（对于第3层）。默认情况下，FortiManager HA VRRP使用多播来宣传数据包。

　　● 监控IP：允许你配置IP地址和接口来监控HA故障转移。你可以通过单击+来添加其他受监控的IP地址。

 配置FortiManager集群后，你可以在仪表板、HA设置或CLI上查看系统信息小部件，以了解HA集群的当前状态。

　　你还可以在仪表板上查看事件日志或警报消息控制台小部件中的日志。

　　配置FortiManager集群后，在辅助FortiManager上会打开一条消息。它声明你无法在辅助设备上进行任何设备配置更改。它还指出，你只能在主FortiManager上对配置数据库进行更改，该FortiManager将将其更改与所有辅助设备同步。

  托管FortiGate设备由主FortiManager更新，其中包含所有集群成员的序列号。同样，如果你从HA配置中删除辅助成员，主FortiManager将从FortiGate的中央管理配置中删除辅助序列号，并立即更新托管的FortiGate设备。

  如果你在使用FortiManager HA时遇到问题，你可以检查以下内容：

　　● HA心跳数据包使用TCP端口5199。在TCP端口5199上运行嗅探器，以确保集群成员能够发送和接收HA心跳数据包。

　　● 检查事件和警报消息控制台，以获取与HA相关的消息。

　　● 运行实时调试以验证HA同步。

　　● 检查HA状态以确认HA已完全同步。

　　要解决HA问题，你可以强制从主FortiManager重新同步，该主FortiManager将其数据库与所有辅助设备重新同步。如果你在辅助FortiManager上运行重新同步的命令，则只有该辅助FortiManager与主FortiManager重新同步。

  你应该在HA集群中查看的第一件事是，集群成员之间是否有任何需要同步的待处理数据。待处理模块数据字段中的值表示必须在辅助设备上同步更新。值应该是0，这表示同步工作正常。

　　要进行故障排除，你可以在所有集群成员的HA守护进程上运行实时调试。

  你可以使用实时调试命令来检查同步问题和保持消息。

　　在上图显示的示例中，配置了一个新的辅助FortiManager，并向主FortiManager发送请求以加入集群。主FortiManager接受请求，并将数据库发送到辅助FortiManager。然后，辅助FortiManager保存这些数据库并更新主FortiManager。在主要和次要设备完全同步后，集群成员交换keepealive消息，这确认集群已启动并运行。

　　在主FortiManager的HA设置中配置心跳间隔乘以故障转移阈值后，会检测到故障。

  答案：A

  答案：A

  非常好！你现在了解了如何实施、配置和排除HA集群的故障。接下来，你将了解FortiGuard服务。

  通过展示在FortiManager上使用FortiGuard服务的能力，你将能够有效地将你的FortiManager用作本地FDS。

  作为本地FortiGuard的FortiManager设备将FortiGuard更新和软件包与公共FortiGuard分发网络（FDN）同步，然后向你的专用网络支持的Fortinet设备提供更新。本地FortiGuard提供了更快的连接，这减少了互联网连接负载和向许多设备应用更新（如IPS签名）所需的时间。

 FortiManager可以作为本地FortiGuard分发服务器（FDS）。它持续连接到公共FDN服务器，以获取托管设备许可证信息并检查固件可用性更新（除非配置为闭网操作）。

　　FortiManager可以提供反病毒、IPS签名更新、网络过滤和反垃圾邮件服务。

　　FortiGuard信息不会在FortiManager集群之间同步。在集群中，每个设备单独下载，并可以独立提供这些服务。

　　FortiManager支持来自已注册（托管）和未注册（未托管）设备的请求。

　　在FortiManager上使用FortiGuard服务可能是资源密集型的，此外，你可以将FortiManager专门用于此任务。

  FortiGuard服务代表反病毒、IPS、网络过滤和反垃圾邮件更新服务。

　　过去，反病毒和IPS服务被称为FDS服务，网络过滤器和电子邮件过滤器服务被称为FortiGuard服务。

　　目前，FortiGuard一词涵盖了所有服务；然而，特定的FortiManager GUl或CLI配置部分仍然继续使用上图显示的术语来引用它们。

 FortiManager需要使用TCP端口443进行互联网访问，以便从公共FDN服务器下载软件包和数据库，并验证FortiGate服务许可证。

　　FortiManager使用四个主要的FortiGuard服务为FortiGate和FortiClient创建公共FDN服务器的副本。

  为了启用内置FDS，你必须在FortiManager界面和FortiGuard服务上启用服务访问设置。

　　你必须为每个接口在FortiManager上配置服务访问设置。当不同的FortiGate设备在不同的接口上与FortiManager通信时，这很有用。FortiGate设备使用FortiGuard服务从FortiManager查询和获取更新。FortiGate更新服务用于反病毒、IPS和许可证验证。网络过滤服务用于网络过滤和反垃圾邮件。

　　第二个配置步骤是在FortiManager上启用服务。默认情况下，与公共FDN的通信是启用的，这允许FortiManager持续连接到FDN服务器，以获取托管设备信息和同步包。但是，你必须启用反病毒和IPS、网络过滤器和电子邮件过滤器等服务，以便FortiManager可以从公共FDN下载这些服务的更新。

　　你可以选择只位于美国的服务器，以限制与位于美国的FortiGuard服务器的通信。选择全局服务器与任何地方的服务器通信。

　　当你在封闭网络中使用FortiManager时，请禁用与FortiGuard的通信。当通信被禁用时，你必须手动上传反病毒、IPS、许可证包、网络过滤器和电子邮件过滤器数据库，因为它们不再从公共FDN服务器自动检索。

　　在首次设置期间，FortiManager仍在接收来自公共FDN的更新，你应该在接口级别禁用服务访问。这是因为FortiManager仍在下载更新，可能无法为FortiGate提供准确的评级或更新。你可以在FortiManager下载软件包和数据库后启用服务访问。

  反病毒和IPS服务一起启用，并使用TCP端口443从公共FDN获取更新。你可以通过启用要下载更新的固件版本来启用受支持产品的更新。

　　默认情况下，FortiManager首先尝试通过TCP端口443连接到公共FDS服务器fds1.fortinet.com，以下载它将从中下载AV/IPS软件包的辅助FDS服务器列表。

 保持内置FDS的最新状态对于提供最新的FDS更新包很重要。通过启用计划定期更新，你可以保证拥有相对较新版本的签名和软件包更新。在以下情况下，作为FDS的FortiManager系统将其FortiGuard更新包的本地副本与FDN同步：

　　● FortiManager计划轮询或更新其更新包的本地副本

　　● 启用推送更新（它接收来自FDN的更新通知）

　　如果FortiManager下载大文件时网络中断，FortiManager会在网络恢复时再次下载所有文件。你可以按每小时、每天或每周的时间表配置计划更新。

　　默认情况下，FortiManager每十分钟安排一次更新，因为反病毒更新经常发生。

　　如果公共FortiGuard上有重要的IPS更新怎么办？你如何确保FortiManager始终收到新的更新？

  如果你启用允许推送更新，一旦FortiGuard公开发布新的签名更新，FDN就可以将更新通知推送到FortiManager内置的FDS。然后，FortiManager会立即下载更新。

　　通常，当你启用推送更新时，FortiManager会将其IP地址发送到FDN。FDN使用此IP地址作为推送消息的目标。

　　如果FortiManager在NAT设备后面怎么办?

　　如果FortiManager在NAT设备后面，则发送其IP地址进行推送更新会导致推送更新失败，因为这是来自FDN的不可路由IP地址。你必须配置以下内容：

　　● 在FortiManager上，配置用于推送更新的NAT设备IP地址和端口。默认情况下，推送更新的端口是UDP 9443，但你可以配置不同的端口号。

　　● 在NAT设备上，配置转发到FortiManager的虚拟IP和端口。如果NAT设备的外部IP地址发生变化，FortiManager可能不会收到推送更新。

　　如果任何中间NAT设备的外部IP地址是动态的（例如来自PPPoE或DHCP的IP地址），则内置FDS可能不会收到推送更新。当NAT设备的外部IP地址发生变化时，FortiManager推送IP地址配置将过时。

  接收状态显示收到的软件包、最新版本、大小、待部署版本以及从FortiGuard收到的反病毒和IPS签名软件包的更新历史记录。

　　更新历史记录显示更新时间、发生的事件、更新状态和下载的版本。

　　你还可以更改要部署的版本。

  FortiGate设备有五个主要状态，配置为接收来自FortiManager的更新：

　　● 最新：FortiGate设备已收到最新的数据包。

　　● 从未更新：设备从未请求或收到数据包。

　　● 待定：由于可接受的原因（例如计划的更新时间待定），FortiGate设备具有较旧版本的数据包。

　　● 问题：FortiGate设备错过了预定的查询，或者没有正确接收最新的数据包。

　　● 未知：FortiGate设备状态目前未知。

　　你还可以将挂起的更新单独或同时推送到设备。

  你必须单独启用网络过滤器和电子邮件过滤器服务。默认情况下，FortiManager首先尝试通过TCP端口443连接到公共FortiGuard服务器，以下载辅助FortiGuard服务器的列表，然后从中下载网络和反垃圾邮件包。默认情况下，FortiManager计划每十分钟检查一次更新。

 当你首次启用网络和反垃圾邮件服务时，下载和合并数据库可能需要几个小时。在此期间，你会注意到更高的I/O等待时间，以及与FortiManager上网络和电子邮件进程相关的CPU使用率激增。

 从FortiGuard收到的网络和反垃圾邮件数据库列在接收状态下。还显示了从服务器接收的日期和时间更新、更新版本、更新大小以及更新历史记录。你可以单击更新历史记录以查看有关下载的单个软件包的更多信息。

　　查询状态显示从所有托管设备向充当本地FDS的FortiManager设备的查询数量。

  默认情况下，服务器覆盖模式设置为松散，这是推荐的模式。如果FortiManager无法与覆盖服务器地址列表中的配置服务器之一通信，此设置允许FortiManager回退到其他FDN服务器。

　　你可以将服务器覆盖模式更改为严格，以防止发生回退。此设置允许FortiManager仅与覆盖服务器地址列表中配置的服务器进行通信。

 你可以配置覆盖服务器地址，该地址允许FortiManager与覆盖服务器中列出的服务器进行通信。你可以为FortiGate、FortiMail和FortiClient配置反病毒、IPS、网络过滤器和电子邮件过滤器的覆盖服务器地址。

　　配置覆盖服务器地址的一个好情况示例是，如果你有一个专用的上游FortiManager，用于下载反病毒和IPS更新。在这种情况下，你可以通过配置上游FortiManager使用的IP地址和端口来配置下游FortiManager，以从专用的上游FortiManager获取更新。

  FortiManager尝试从Use Override Server Address for FortiGate/FortiMail部分中配置的服务器获取更新。根据服务器覆盖模式配置，如果FortiManager无法从配置的服务器列表中通信和接收更新，你可以限制FortiManager从配置的覆盖服务器列表中接收更新，或允许回退到其他公共FDS服务器。

　　在上图显示的示例中，配置了两个覆盖服务器地址。当服务器覆盖模式设置为严格时，FortiManager仅从这两台服务器获取更新。如果这两个配置的服务器不可用，则不会回退到其他公共服务器。

　　如果你将服务器覆盖模式设置为宽松，FortiManager首先会尝试从配置的服务器列表中获取更新；如果它们不可用，FortiManager会回退到其他公共FDS服务器以获取更新。

 你可以配置FortiGuard事件的日志记录，例如FortiManager内置FDS更新，以及使用FortiManager作为FDS的FortiGate设备。

　　你可以在事件日志中查看日志，这有助于诊断或排除与FortiGuard更新相关的问题。

 FortiManager包括一个许可概述页面，允许你查看所有托管FortiGate设备的许可信息。你可以快速验证FortiGate许可证是否已过期。

　　如果你正在ADOM中管理许多FortiGate设备，你可以使用过滤器来检查状态。例如，你可以检查未来30天内到期的FortiGate设备的服务许可证。这有助于你采取积极主动的措施来续订许可证。

  FortiManager可以从FDN下载图像，或者你可以从管理计算机上传固件图像。如果最新的固件不符合你的需求，你可以更改最新的固件，也可以从管理计算机导入固件映像。这允许你使用FortiManager设备更改设备固件。

　　你可以根据受支持的产品类型查看可用的固件，并过滤所有设备或仅对托管设备进行过滤。

  你可以通过几种方式升级FortiGate固件：

　　● 对于每台设备，使用系统信息小部件

　　● 对于多个设备，在ADOM的固件选项卡上。你可以升级组中所有FortiGate设备、选定的FortiGate设备或FortiGate设备的固件版本。

　　FortiManager允许你立即升级固件，或使用固件模板安排升级。

 你还可以将非托管的FortiGate设备配置为将FortiManager用作本地FDS。你必须在FortiGate的central-management设置中配置server-list，其中包括：

　　● FortiManager的IP地址用作FortiGate设备的本地FDS

　　● 服务器类型，包括：

　　更新—用于反病毒、IPS更新和FortiGate许可证验证

　　评级—用于网络过滤器或反垃圾邮件评级

　　默认情况下，启用include-default-servers，如果专用服务器（在服务器列表中配置）不可用，则允许FortiGate设备与公共FortiGuard服务器通信。你可以启用或禁用在覆盖服务器列表中包含公共FortiGuard服务器。

 默认情况下，当FortiGate由FortiManager管理时，它使用公共FortiGuard服务器。这是因为并非每个组织都将FortiManager用于本地FDS。

　　有多种方法可以将FortiGate配置为将FortiManager用作本地FDS。你可以：

　　● 在FortiGuard小部件中配置FortiGuard设置，你可以将其分配给托管设备上并安装在托管设备上。覆盖默认FDS服务器并使用FortiManager的决定是一个设备级设置。请记住在FortiManager界面上启用服务访问设置。

　　● 为中央管理服务器列表配置和安装脚本。

  在对FortiGuard问题进行故障排除时，你应该执行的第一步是验证FortiManager上的配置。你应该确认：

　　● 你可以按域名解析公共FDN服务器。例如，检查你是否能够ping fds1. fortinet.com 反病毒和 IPS FortiGate或FortiMail。

　　● 在FortiManager上启用与公共网络和服务的通信

　　● 在FortiManager上启用了服务

  验证配置后，检查FortiManager是否与上游FortiGuard服务器通信。

　　如果FortiManager无法连接到公共FDN服务器，则只有主FDN服务器出现在服务器列表中。这可能是由FortiManager在FortiManager上无法连接或禁用服务造成的。

　　FortiManager连接到公共FDN服务器后，它会下载二级FDN服务器列表，从中下载更新和软件包。

  你还可以检查与公共FDN的连接状态。如果FortiManager无法连接到公共FDN，或服务被禁用，则当前状态的UpullStat为空，并且没有关于日期、时间、下载大小和软件包的信息。

　　当FortiManager能够与公共FDN通信后，FortiManager会显示下载的大小、包和FDN服务器的IP地址。

　　UpullStat有四个主要状态：

　　● 已连接：与FDN的FortiManager连接最初成功，但尚未发生同步连接。

　　● 同步中：内置FDS已启用，FortiManager正在下载和同步FDN上可用的软件包。

　　● 已同步：内置FDS已启用，FDN软件包已成功下载。

　　● 异步：初始FDN连接成功，但内置FDS被禁用。

  FortiGate设备必须具有有效且有效的服务合同，才能接收来自FortiManager的更新。

　　你可以在FortiManager CLl上查看所有FortiGate设备的合同信息。过期或试用版FortiGate许可证显示为99，这意味着FortiGate无法接收来自FortiManager的更新。

 在FortiGate CLI上，你可以查看版本、上次更新的时间以及FortiGate的合同信息。

　　你还可以与更新命令一起运行实时调试，该命令尝试从FDS服务器（或在中央管理配置中配置的本地FDS服务器）下载最新的定义和软件包。

  答案：B

  答案：B

  恭喜！你已经完成了本课。接下来，你将复习本课中涵盖的目标。

  通过掌握本课中涵盖的目标，你学习了如何设置FortiManager HA集群，以及如何将FortiManager用作设备的本地FortiGuard服务器。

---