admin 管理员组文章数量: 887021
在本课中,你将了解FortiGate管理基础知识,以及你可以启用的用于扩展功能的FortiGate组件。这一课还包括关于FortiGate如何以及在何处适合你现有的网络架构的细节。
在本课中,你将探索上述主题。
通过展示识别FortiGate平台设计功能、虚拟化网络和云中的FortiGate功能以及FortiGate安全处理单元的能力,你将能够描述FortiGate的基本组件,并解释FortiGate可以执行的任务类型。
在过去,保护网络的常见方法是确保周边安全,并在入口点安装防火墙。网络管理员过去常常信任边界内的一切人和事。
现在,恶意软件可以很容易地绕过任何入口防火墙进入网络内部。这可能是通过一个被感染的u盘发生的,也可能是员工被泄露的个人设备连接到公司网络。此外,由于攻击可能来自网络内部,网络管理员不再天生地信任内部用户和设备。
更重要的是,今天的网络是高度复杂的环境,其边界不断变化。网络垂直地从LAN运行到internet,水平地从物理网络运行到私有虚拟网络,并运行到云。移动和多样化的工作人员(员工、合作伙伴和客户)访问网络资源、公共和私有云、loT和BYOD程序共同增加了对网络的攻击向量的数量。
为了应对这种高度复杂的环境,防火墙已经成为强大的多功能设备,可以对抗对你的网络的一系列威胁。因此,FortiGate可以以不同的模式或角色来满足不同的需求。例如:FortiGate可以部署为数据中心防火墙,其功能是监视到服务器的入站请求,并在不增加请求者延迟的情况下保护它们。又或者:FortiGate可以作为内部分段防火墙部署,作为一种手段,以遏制网络漏洞。
FortiGate还可以作为DNS服务器和DHCP服务器,提供web过滤、反病毒和IPS服务。
在上面显示的架构图中,你可以看到FortiGate平台如何在不影响灵活性的情况下增加强度。像独立的专用安全设备一样,FortiGate内部仍然是模块化的。优势:
● 重复添加设备。有时,奉献并不意味着效率。如果是超载,一个设备能从其他9个设备借用免费RAM吗?你想要在10台独立设备上配置策略、日志记录和路由吗?10倍的重复会给你带来10倍的好处吗?还是会带来麻烦?对于中小型企业或企业分支机构来说,统一威胁管理(UTM)相比单独的专用设备,通常是一个更好的解决方案。
● FortiGate的硬件不是现成的。它是电信等级。大多数FortiGate型号都有一个或多个由Fortinet设计的专用电路,称为ASIC。例如,CP或NP芯片可以更有效地处理加密和包转发。与只有一个CPU的单用途设备相比,FortiGate可以有更好的性能。这对于吞吐量对业务至关重要的数据中心和运营商尤其重要。
(有例外吗?虚拟化平台—vmware、Citrix Xen、Microsoft或Oracle Virtual box,都有通用的vCPU。但是,虚拟化可能是值得的,因为它还有其他好处,比如分布式计算和基于云的安全。)
● FortiGate是灵活的。如果你所需要的只是快速防火墙和反病毒,FortiGate将不需要你在其他功能上浪费CPU、RAM和电力。在每个防火墙策略中,都可以启用或禁用UTM和下一代防火墙模块。而且,以后添加VPN席位许可证也不用花更多的钱。
● FortiGate合作。对开放标准而不是专有协议的偏好意味着更少的供应商锁定和更多的系统集成商选择。而且,随着网络的增长,FortiGate可以利用其他Fortinet产品(如FortiSandbox和FortiWeb)分布式处理以获得更深层次的安全性和最优性能——一种全面的安全结构方法。
FortiGate虚拟机(VM)具有与物理FortiGate设备相同的特性,除了硬件加速。为什么?首先,VMware制作了hypervisor的硬件抽象层软件。Xen和其他hypervisor制造商,而不是Fortinet。其他制造商不生产Fortinet的专利SPU芯片。但还有另一个原因。用于管理程序的通用虚拟CPU和其他虚拟芯片的目的是抽象硬件细节。这样,所有VM任务操作系统都可以运行在一个共同的平台上,而不管hypervisor安装在哪个不同的硬件上。不像vCPU或vGPU使用通用的、非优化的RAM和vCPU进行抽象。SPU芯片是专门的优化电路。因此,一个虚拟化的ASIC芯片不会具有与物理SPU芯片相同的性能优势。
如果在同等硬件上的性能较差,你可能会想,为什么还要使用FortiGate虚拟机呢?在变化迅速且可能有许多租户的大规模网络中,使用大量更便宜的通用硬件可以实现同等的处理能力和分布。此外,用一些性能换取其他好处可能是值得的。你可以从更快的网络和设备部署和关闭中获益。
FortiGate VMX和FortiGate Connector for Cisco ACI是FortiOS的专用版本和一个API,它允许你通过标准(如软件定义的OpenStack)来协调快速的网络变化网络(SDN)。
● FortiGate VM作为guest VM部署在虚hypervisor中。
● FortiGate VMX部署在hypervisor的虚拟网络中,在guest VM之间。
● FortiGate Connector for Cisco ACI允许ACI为部署物理或虚拟FortiGate VM南-北流量。
所有Fortinet硬件加速硬件已重新命名为安全处理单元(SPU)。这包括NPx和CPx处理器。
大多数FortiGate型号都有专门的加速硬件,称为SPU,可以从主处理(CPU)资源中卸载资源密集型处理。大多数FortiGate设备都包含专门的内容处理器(CP),可加速各种重要的安全进程,如病毒扫描、攻击检测、加密和解密。(只有选定的入门级FortiGate型号不包含CP处理器。)
SPU和nTurbo数据现在可以在GUI的许多地方看到。例如,防火墙策略列表和会话仪表板小部件中的Active Sessions列弹出。每会话记帐是一种日志功能,它允许FortiGate报告会话卸载到NP7、NP6或NP6 lite处理器的每会话每个数据包的正确字节数。
上面的例子显示了跟踪SPU和nTurbo会话的Sessions仪表盘小部件。当前会话数显示会话总数,SPU显示这些会话占SPU会话的百分比,nTurbo表示nTurbo会话的百分比。
nTurbo将包含基于流的安全配置文件的防火墙会话卸载到NP6或NP7网络处理器,而不使用nTurbo或者禁用nTurbo时,所有包含基于流的安全配置文件的防火墙会话都由FortiGate CPU处理。
Fortinet内容处理器(CP9)工作在直接流量之外,提供高速加密和内容检查服务。这使得企业可以在任何需要的时候部署高级安全措施,而不会影响网络功能。CP8和CP9为IPS流量检测提供了快速路径,包括基于流的会话检测。
CP处理器还可以加速密集的基于代理的任务:
● 加密和解密(SSL)
● 反病毒
FortiSPU网络处理器在接口级工作,通过从主CPU卸载流量来加速流量。支持FortiOS 6.4及以上版本的型号包括NP6、NP6 lite和NP7网络处理器。
Fortinet将内容和网络处理器以及基于RISC的CPU集成到一个称为SoC4的单处理器中,用于入门级FortiGate安全设备,用于分布式企业。这简化了设备的设计,在不损害安全性的情况下实现突破性的性能。
答案:B
答案:A
现在你了解了FortiGate的一些高级功能。接下来,你将学习如何执行FortiGate的初始设置,并了解为什么你可能决定使用一种配置而不是另一种配置。
通过展示安装FortiGate的能力,你将能够在你自己的网络中有效地使用该设备。
网络架构如何? FortiGate部署在哪里?
部署FortiGate时,有两种运行模式可供选择:NAT模式或透明模式。
● 在NAT模式下,FortiGate基于三层路由,就像路由器一样。FortiGate的每个逻辑网络接口都有一个IP地址,FortiGate根据目的IP地址和路由表中的条目确定输出或出接口。
● 在透明模式下,FortiGate像交换机一样在二层进行数据包转发。该设备的接口没有IP地址,FortiGate通过目的MAC地址识别出该设备的输出或出接口。透明模式下的设备有管理流量的IP地址。
接口对于路由器和交换机的操作模式来说可能是例外,以个人为基础。
在FortiGate上启用虚拟域(VDOM)时,无论其他VDOM的操作模式如何,都可以将每个VDOM配置为NAT模式或透明模式。默认情况下,FortiGate设备上的VDOM是禁用的,但仍然有一个VDOM处于活动状态:根VDOM,它总是运行在后台。禁用VDOM时,NAT模式或透明模式与根VDOM相关。
VDOM是一种将FortiGate设备划分为两个或多个虚拟设备的方法,这些虚拟设备的功能是多个独立的设备。VDOM可以提供单独的防火墙策略,在NAT模式下,可以为每个连接的网络或组织提供完全独立的路由和VPN业务配置。在透明模式下,VDOM对流量进行安全扫描,安装在内部网络和外部网络之间。
默认情况下,VDOM在创建时处于NAT模式。如果需要,可以将其切换到透明模式。
默认的操作方式为网络地址转换(NAT)模式。其他的出厂默认设置是什么?在你把FortiGate从包装盒里拿出来之后,接下来你要怎么做?
现在,你将了解如何设置FortiGate。
将计算机网线连接到port1或internal端口(入门级型号)。高端和中端设备连接MGMT接口。在大多数入门级型号中,该接口上有一个DHCP服务器,因此,如果你的计算机的网络设置启用了DHCP,你的计算机应该自动获得一个IP。你可以开始设置了。
要访问FortiGate或FortiWifi的GUI,请打开浏览器并访问https://192.168.1.99。默认帐号admin,默认密码为空。
默认登录信息为公共知识。不要将默认密码设置为空。你的网络的安全性取决于你的FortiGate管理帐户。使用默认登录信息登录之后,你将看到一条消息,更改admin用户密码的默认空密码。在将FortiGate连接到网络之前,你应该设置一个复杂的密码。你还将被要求应用其他配置,如主机名、仪表板设置、FortiCare注册等。
所有FortiGate型号都有一个控制台端口和USB管理端口。该端口提供命令行访问,无需网络。你可以使用GUl上的CLI控制台小部件,或从终端仿真器(如PuTTY或Tera Term)访问CLI。
一些FortiGate服务连接到其他服务器(如FortiGuard)才能工作。FortiGuaro订阅服务为FortiGate提供最新的威胁情报。FortiGate通过以下方式使用FortiGuard:
● 定期请求包含新引擎和签名的数据包
● 根据单个URL或主机名查询FDN
默认情况下,FortiGuard服务器位置设置为FortiGate根据服务器负载选择服务器的位置,来自世界各地。但是你也可以选择将FortiGuard服务器位置更改为USA。在这种情况下,FortiGate选择了一个位于美国的FortiGuard服务器。
像杀毒软件和IPS这样的数据包体积更小,也不像以前那么更新频繁,所以(在很多情况下)每天只下载一次。它们使用TCP进行下载,以实现可靠的传输。在下载数据库之后,它们的相关FortiGate功能将继续发挥作用,即使FortiGate没有可靠的互联网连接。不过,你还是应该尽量避免在下载过程中被打断,如果你的FortiGate设备必须反复尝试下载更新,它在这段时间内无法检测到新的威胁。
在FortiOS 6.4及以上版本中,已经对所有FortiGuard服务器进行了第三方SSL证书验证和OCSP装钉检查。默认情况下,FortiGuard的访问方式为在FortiGate上进行anycast,以优化到FortiGuard服务器的路由性能。FortiGuard服务器只有一个IP地址来匹配它的域名。FortiGate与单个服务器地址连接,而不管FortiGate设备本地在哪里。
每个FortiGuard服务的域名是该服务证书中的公共名称。FortiGuard服务器采用OCSP (在线证书状态协议)装订技术。因此FortiGate总是能够有效地验证FortiGuard服务器证书。FortiGate将只与提供TLS握手的FortiGuard服务器为其证书提供良好的OCSP状态,任何其他状态都会导致SSL连接失败。
FortiGuard服务器每4小时查询CA的OCSP响应器,并更新CA的OCSP状态。如果FortiGuard无法到达OCSP响应器,它会将最后一次知道的OCSP状态保持7天。
如果出现以下情况,FortiGate会终止与FortiGuard服务器的连接:
● 服务器证书中的CN与DNS解析的域名不匹配。
● OCSP状态不好。
● 发行者CA被根CA吊销。
FortiGuard访问模式的anycast设置强制评级过程使用HTTPS协议和443端口。上图的表格显示了一些FortiGuard服务器及其域名和IP地址的列表。
答案:B
答案:A
现在你了解了如何执行FortiGate的初始设置,以及为什么你可能决定使用一种配置而不是另一种配置。接下来,你将学习基本管理。
通过展示基本管理能力,你将能够更好地管理用户,并围绕管理访问实现更强的安全实践。
大多数功能在GUl和CLI上都是可用的,但也有一些例外。你无法在CLI下查看报表。此外,超级用户的高级设置和诊断命令通常在GUI上不可用。
随着你对FortiGate越来越熟悉,特别是当你想要编写它的配置脚本时,你可能希望除了使用GUI之外还使用CLI。你可以通过GUI上名为CLI Console的JavaScript小部件访问CLI,或通过终端模拟器,如Tera Term或PuTTY,你的终端仿真器可以通过网络连接SSH或telnet或本地控制台端口。
也支持SNMP和其他一些管理协议,但它们是只读的,你不能用它们做基本的设置。
上图展示了一些基本的CLI命令。
你可以使用它们列出命令集下的命令、检查系统状态、列出接口的属性和它们的值。
无论使用哪种方法,必须以admin身份登录。首先为其他管理员创建单独的帐户,出于安全性和跟踪目的,最好让每个管理员拥有自己的帐户。
在新建下拉列表中,可以选择管理员或REST API管理员。通常,你将选择管理员,然后分配一个管理员配置,它指定该用户的管理权限。你可以选择REST API管理员来添加一个管理用户,该用户将使用自定义应用程序使用REST API访问FortiGate。该应用程序将允许你登录到FortiGate并执行指定的管理员配置文件允许的任何任务。
这里没有显示的其他选项包括:
● 你可以将FortiGate配置为查询远程身份验证服务器,而不是在FortiGate本身上创建帐户。
● 你的管理员可以使用内部证书颁发机构服务器颁发的数字证书来代替密码进行身份验证。
如果你确实使用密码,请确保它们是强大的和复杂的。例如,你可以使用多个大小写不同的交错单词,并随机插入数字和标点符号。不要使用简短的密码,或者包含任何字典中存在的名称、日期或单词的密码。这些很容易受到蛮力攻击。要审计你的密码强度,使用工具,如LOphtcrack或Ripper。如果将管理端口连接到internet,将增加被暴力破解的风险。
为了限制对特定功能的访问,你可以分配权限。
在为管理员配置文件分配权限时,可以为每个区域指定读写、只读或无权限。
默认情况下,有一个名为super_admin的特殊配置文件,由名为admin的帐户使用。你不能改变它。它提供了对所有内容的完全访问,使管理员帐户类似于根超级用户帐户。
prof_admin是另一个默认配置文件。它还提供完全访问,但与超级管理员不同的是,它只应用于虚拟域——而不是FortiGate的全局设置。此外,你还可以更改其权限。
你不需要使用默认配置文件。例如,你可以创建一个具有只读权限的名为auditor_access的配置文件。将一个人的权限限制为他或她工作所需的权限是一种最佳实践,因为即使该帐户受到损害,对你的FortiGate设备(或网络)的损害也不会完全消失。为此,创建管理员配置文件,然后在配置帐户时选择适当的配置文件。
覆盖空闲超时时间功能允许config system accprofile下的admintimeout值在每个访问配置文件中被覆盖。你可以配置管理员配置文件以增加不活动超时,并方便使用GUl进行中央监控。
管理员配置文件的作用是什么?
它实际上不仅仅是读写访问。
根据你分配的管理员配置文件的类型,管理员可能无法访问整个FortiGate设备。例如,你可以配置一个只能查看日志消息的帐户。管理员也可能无法访问他们所分配的虚拟域之外的全局设置。虚拟域(VDOM)是在单个FortiGate上细分资源和配置的一种方法。
权限范围较小的管理员无法创建、甚至无法查看权限更大的帐户。因此,例如,使用prof_admin或自定义配置文件的管理员无法看到或重置使用super_admin配置文件的帐户的密码。
为了进一步保护对网络的访问,请使用双因子身份验证。
双因子身份验证意味着不使用一种方法验证你的身份(通常是密码或数字证书),而是使用两种方法验证你的身份。在上图所示的示例中,双因子身份验证包括一个密码和一个从与FortiGate同步的FortiToken中随机生成的RSA数字。
如果你忘记了admin帐户的密码,或者恶意的员工更改了密码,会发生什么?
这种恢复方法适用于所有FortiGate设备,甚至一些非FortiGate设备,如FortiMail。虚拟机中没有维护过程。管理员需要恢复到快照或重新发放虚拟机并恢复配置。这是一个临时帐户,只能通过本地控制台端口使用,而且只能在硬重启中断电源(拔掉或关闭电源,然后恢复电源)之后使用。你必须在物理上关闭FortiGate,然后再打开它,而不是通过CLI重新启动它。
在重启完成后,maintainer登录只能持续大约60秒(旧型号的登录时间更短)。
当你无法保证物理安全或对维护帐号的符合性有要求时,可以禁用maintainer帐号。如果你禁用了maintainer帐号,然后丢失了管理员密码,请谨慎使用,因为你无法恢复对FortiGate设备的访问。在这种情况下,为了重新获得访问权限,你需要重新加载设备。将重置到设备的出厂默认设置。
另一种保护FortiGate的方法是定义可从其中登录的可信源的主机或子网。
在本例中,我们将10.0.1.10配置为admin登录的唯一可信IP。如果管理员尝试使用任何其他IP从机器登录,他们将收到一个身份验证失败消息。
注意,如果在所有管理员和受信任的主机配置管理员正试图从IP地址登录,没有设置任何可信主机的管理员,管理员将不能登录页面,而是将收到的消息:无法联系服务器。
如果你保留任何IPv4地址为0.0.0.0/0,这意味着将允许任何源IP的连接。默认情况下,0.0.0.0/0是管理员的配置,尽管你可能希望对此进行更改。
注意,每个帐户可以定义不同的管理主机或子网。这对于在FortiGate上设置VDOM特别有用,因为VDOM管理员可能不属于同一个组织。注意所需设备和FortiGate之间发生的任何NAT。如果该IP地址在到达FortiGate之前被NAT转换到其他地址,那么可以很容易地阻止管理员从该IP地址登录,从而破坏了信任主机的目的。
你可能还想自定义管理协议端口号。
你可以选择是否允许并发会话。如果你经常打开多个浏览器选项卡,或者不小心让CLI会话打开而没有保存设置,那么你可以使用并发会话来避免意外地覆盖设置,然后开始GUI会话,并意外地以不同的方式编辑相同的设置。
为了更好的安全性,只使用安全的协议,并加强和更改密码复杂度。
空闲时间超时设置指定不活动管理员会话超时前的分钟数(默认为5分钟)。更短的空闲超时更安全,但是增加计时器可以帮助减少管理员在测试更改时注销的机会。
可以使用每个管理员配置文件的覆盖空闲超时时间设置覆盖空闲时间超时设置。
你可以配置管理员配置文件以增加不活动超时,并方便使用GUl进行集中监控。覆盖空闲超时时间设置允许config system accprofile下的admintimeout值在每个访问配置文件中被覆盖。
请注意,你可以在每个配置文件的基础上进行此操作,以避免无意中全局设置该选项。
你已经为每个管理员帐户定义了管理子网—即可信任主机。如何启用或禁用管理协议?
这是特定于每个接口的。例如,如果你的管理员仅从port3连接到FortiGate,那么你应该禁用对所有其他端口的管理访问。这可以防止暴力破解尝试和不安全的访问。你的管理协议是HTTPS、HTTP、PING和SSH。默认情况下,在GUl上不可见HTTP和TELNET选项。
考虑接口在网络中的位置。在内部接口上启用PING功能对故障处理非常有用。但是,如果它是一个外部接口(换句话说,暴露在互联网上),那么PING协议可能会使FortiGate遭受DoS攻击。你应该禁用不加密数据流的协议,如HTTP、TELNET等。IPv4和IPv6是独立的协议。接口可以同时拥有IPv4和IPv6地址,但只能响应IPv6的ping。
安全结构连接包括CAPWAP和FortiTelemetry。像FortiTelemetry这样的协议不是用于管理访问,但是,像GUI和CLI访问一样,它们是将FortiGate作为目的IP的包的协议。当FortiGate管理FortiAP、FortiSwitch和FortiExtender时,使用CAPWAP协议。当服务器管理多个FortiGate设备时,使用专门用于与FortiManager通信的FMG-Access协议。当FortiGate需要侦听和处理RADIUS计费报文进行单点登录认证时,需要使用RADIUS计费协议。FTM或FortiToken移动推送,支持来自FortiToken移动应用程序的双因子认证请求当你将接口角色LAN或WAN分配给适当的接口时,FortiGate使用链路层发现协议(LLDP)来检测你的网络中是否存在上游FortiGate。如果FortiGate发现了上游的FortiGate设备,则会提示你配置上游的FortiGate设备以加入安全结构。
FortiGate有数百个功能。如果你不使用所有的功能,隐藏你不使用的功能会让你更容易专注于你的工作。
在GUI上隐藏一个特性并不会禁用它。它仍然是可用的,仍然可以使用CLI配置。
一些高级或不太常用的特性,如IPv6,默认情况下是隐藏的。
要显示隐藏的功能,请单击系统管理>可见功能。
当FortiGate在NAT模式下运行时,每个处理流量的接口都必须配置一个IP地址。在NAT模式下,FortiGate可以使用该IP地址作为流量的源,如果需要发起或应答会话,FortiGate可以将该IP地址作为设备试图联系FortiGate的目的地址,或者将流量路由到FortiGate。
获取IP地址有多种方法:
● 手动
● 自动,通过DHCP或PPPoE方式(CLI方式)
FortiGate可以使用FortilPAM根据为FortiGate接口配置的网络大小自动分配IP地址。在将网络资源与FortiGate集成时,FortilPAM提供了一种本地IP地址管理解决方案,并自动为FortiGate分配子网,以防止在同一安全结构中重复的IP地址重叠。注意,FortilPAM是一个付费服务。
IP地址要求有一个例外:单臂嗅探接口类型。该接口没有被分配地址。
在CLI下启用嗅探器,选择单臂嗅探时,表示该接口与流量不一致。相反,它正在从交换机上的镜像端口接收流量的副本。该接口以混杂模式运行,扫描它看到的流量,但无法做出改变,因为原始数据包已经被交换机处理。因此,单臂嗅探器模式主要用于概念证明(POC),或者在企业需求声明流量不能更改、只能记录的环境中。一旦它被启用,一个单臂嗅探选项出现在一个接口的地址模式设置。
你见过多少次由DHCP服务器引起的网络问题?没有客户端,却在WAN接口启用DHCP。
可以配置接口角色。在GUl上显示的角色是拓扑中该部分的通常界面设置。在GUI上隐藏不应用于当前角色的设置。(无论角色如何,CLI上的所有设置都是可用的。)这可以防止意外的错误配置。
例如,当角色配置为WAN时,没有DHCP服务器和设备检测的配置。设备检测通常用于检测局域网内部的设备。
如果有一个不寻常的情况,你需要使用一个被当前角色隐藏的选项,你总是可以将角色切换到未定义。这将显示所有选项。
为了帮助你记住每个接口的用法,你可以为它们提供别名。例如,你可以叫port3为internal_network。这可以帮助你的策略列表更容易理解。
在将FortiGate集成到你的网络之前,你应该配置一个默认网关。
如果FortiGate通过动态方法(如DHCP或PPPoE)获得它的IP地址,那么应该启动自动网关检索。
否则,必须配置静态路由。如果不这样做,FortiGate将无法对直接连接到自己接口的子网之外的数据包作出响应。它也可能无法连接到FortiGuard进行更新,并且可能无法正确路由流量。
你应该确保FortiGate有一条与所有数据包匹配的路由(目的地址是0.0.0.0/0),称为默认路由,并将它们通过连接到internet的网络接口转发到下一个路由器的IP地址。
在配置防火墙策略之前,需要先完成网络的基本配置。
链路聚合在逻辑上将多个物理接口绑定为一个通道。
链路聚合可以增加带宽,并在两台网络设备之间提供冗余。
答案:B
答案:A
现在你已经掌握了执行一些基本管理任务所需的知识。接下来你将了解内置服务器。
通过展示实现DHCP和DNS内置服务器的能力。你将知道如何通过FortiGate提供这些服务。
无线客户端并不是唯一可以使用FortiGate作为其DHCP服务器的客户端。
对于接口(如port3),选中手动,输入静态IP地址后,启用DHCP服务器选项。内置DHCP服务器的选项出现了,包括提供功能,如DHCP选项和IP地址分配规则。你还可以阻止特定MAC地址接收IP地址。
请注意,上图的屏幕截图显示,你可以在IP地址分配规则部分创建IP地址分配规则。
对于内置DHCP服务器,可以为具有特定MAC地址的设备预留特定的IP地址。
对于未知MAC地址所选择的动作定义了FortiGate DHCP服务器在收到未明确列出的MAC地址的请求时所做的事情。默认的动作是分配IP;但是,你可以更改默认的动作类型为分配IP或阻止。
● 分配IP:允许DHCP服务器从地址池中分配MAC地址。当设备收到IP地址时,只要IP地址的租期没有到期,设备就会一直收到相同的IP地址。
● 阻止:是具有识别出的MAC地址的计算机,并且阻止选项将不会接收到一个IP地址。
● 保留IP:将指定IP地址与MAC地址绑定。
你可以将FortiGate配置为本地DNS服务器。各接口可以分别启用和配置DNS。
本地DNS服务器可以提高FortiMail设备或其他频繁使用DNS查询的设备的性能。如果你的FortiGate设备向你的本地网络提供DHCP,你可以使用DHCP将这些主机配置为使用FortiGate作为网关和DNS服务器。
FortiGate可以通过以下三种方式之一回答DNS查询:
● 转发至系统DNS:将所有查询转发到一个单独的DNS服务器(你已经在网络> DNS中配置);即充当DNS中继而不是DNS服务器。
● 非递归:对FortiGate DNS数据库中条目的查询进行应答,不转发不可解析的查询。
● 递归:对FortiGate DNS数据库中条目的查询进行应答,并将所有其他查询转发到单独的DNS服务器进行解析。
你可以通过GUl或CLI配置所有模式。
如果选择递归,FortiGate在将无法解析的请求转发到外部DNS服务器之前,会查询自己的数据库。
如果选择转发至系统DNS,则可以在自己的网络中控制DNS查询,而无需在FortiGate DNS服务器中输入任何DNS名称。
如果选择让DNS服务器解析查询,或者选择拆分DNS,则必须在FortiGate设备上设置DNS数据库。
它定义FortiGate解析查询的主机名。注意,FortiGate目前只支持上图中列出的DNS记录类型。
答案:B
答案:A
现在你已经知道如何在FortiGate上启用DHCP和DNS服务,并对配置的可能性有了一些了解。接下来你将学习基本的维护。
通过展示FortiGate的基本维护能力,你将能够执行备份和恢复配置、升级和降级固件等重要活动,并确保FortiGate在其整个生命周期中保持可靠的服务。
现在FortiGate已经有了基本的网络设置和管理帐户,你将学习如何备份配置。
除了选择备份文件的目标,还可以选择加密或不加密备份文件。即使你选择不加密文件(这是默认值),存储在文件中的密码也会被散列处理,因此会被混淆。存储在配置文件中的密码将包括管理用户和本地用户的密码,以及你的IPSec VPN的预共享密钥。它还可能包括FSSO和LDAP服务器的密码。
另一种方法是使用密码加密配置文件。除了保护你的配置的隐私外,它还具有一些你意想不到的效果。配置文件加密后,如果没有密码和相同型号、相同固件的FortiGate,则无法解密。这意味着,如果你向Fortinet技术支持发送加密的配置文件,即使你给他们密码,他们也无法加载你的配置,直到他们访问相同型号的FortiGate。这可能会在解决你的ticket时造成不必要的延误。
如果启用虚拟域(VDOM),细分FortiGate设备的资源和配置,每个VDOM管理员都可以备份和恢复自己的配置。但是,你不需要备份整个FortiGate配置,仍然建议这样做。
在FortiGate发生不可预见的灾难时,需要备份以帮助加速恢复生产。从头创建数百个策略和对象需要花费大量的时间,而在新设备上加载配置文件所需的时间要少得多。
恢复配置文件与备份配置文件并重启FortiGate非常相似。
如果你在文本编辑器中打开配置文件,你将看到加密和未加密的配置文件都包含一个包含一些关于设备的基本信息的明文头。
上图的例子显示了包含哪些信息。要恢复加密的配置,必须将其上传到相同型号和固件的FortiGate设备,然后提供密码。
要还原未加密的配置文件,只需要匹配FortiGate型号。如果固件不同,FortiGate将尝试升级配置。这类似于升级固件时在现有配置上使用升级脚本的方式。但是,仍然建议将FortiGate上的固件与配置文件中列出的固件匹配。
通常,配置文件只包含非默认设置,外加少量的默认但至关重要的设置。这将使备份的大小最小化,否则备份的大小可能是几兆字节。
在FortiGate GUI上,你可以在多个位置查看当前的固件版本。当你第一次登录到FortiGate时,登录页面就是仪表板。你可以在System小部件中看到固件版本。此信息也可在系统管理>固件中找到。当然,你还可以使用get system status命令在CLI中检索信息。
如果新版本的固件可用,你会在仪表板和固件页面上收到通知。
请记住阅读版本说明,以确保你理解支持的升级路径。发布说明还提供了可能影响升级的相关信息。
在FortiGate上升级固件很简单。单击系统设置>固件,然后浏览到你从support.fortinet中下载的固件文件,选择在线升级。
如果你想通过覆盖现有固件及其当前配置来进行干净的安装,可以在FortiGate重新启动时,在引导加载程序菜单中使用本地控制台CLI。然而,这不是通常的方法。
你也可以降级固件。因为每个固件版本的设置都会改变,所以应该有一个语法与固件兼容的配置文件。
记住阅读发行说明。有时,保存配置的固件版本之间的降级是不可能的。在这种情况下,降级的唯一方法是格式化磁盘,然后重新安装。
在你确认降级是可能的之后,再次验证一切,然后开始降级。降级完成后,恢复与该版本兼容的配置备份。
为什么要保留紧急固件和物理访问?
以前的固件版本不知道如何转换以后的配置。此外,当通过配置转换脚本不支持的路径升级时,你可能会丢失除基本访问设置(如管理员帐户和网络接口IP地址)以外的所有设置。另一种罕见但可能的情况是,固件可能在上传时损坏。由于所有这些原因,在升级期间,你应该始终能够访问本地控制台。然而,在实践中,如果你阅读了发布说明并与GUl或CLI有一个可靠的连接,那么它应该不是必要的。
答案:A
答案:B
恭喜你!你已经学完了这一课。下面你将回顾你在这一课中涉及的目标。
这张图片展示了你在这节课中涉及的目标。
通过掌握本课所涵盖的目标,你了解了FortiGate如何以及在何处适合你的网络,以及如何执行基本的FortiGate管理。
版权声明:本文标题:教程篇(7.0) 01. FortiGate安全 & 简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1726804298h1031513.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论