教程篇(6.0) 01. FortiGate及其Security Fabric介紹 ❀ 飛塔 (Fortinet) 網路安全專家 NSE4

在本課中，你將瞭解 FortiGate 管理基礎知識和 FortiGate 中可以擴充套件功能的元件。這一課還包括如何以及在哪裡將 FortiGate 安裝到你現有的網路體系結構和 Security Fabric 中。

在本次課程中，我們將探討以下主題：

• 高階功能
• 策略設定
• 基礎管理
• 內建伺服器
• 基礎維護
• FortiGate 在 Security Fabric 內 

在完成這節課程之後，你應該能夠：

• FortiGate 識別平臺設計特點
• FortiGate 在虛擬網路和雲中的特徵識別

　　通過展示識別 FortiGate 的平臺設計特徵的能力，以及 FortiGate 在虛擬網路和雲中的特徵，你將能夠描述 FortiGate 的基本元件，並解釋 FortiGate 可以執行的任務型別。

在過去，保護網路的常用方法是保護邊界，並在入口處安裝防火牆。網路管理員信任邊界裡面的所有每件事和每個人。

　　現在，惡意軟體可以輕易繞過任何入口處防火牆並進入網路。這可能通過受感染的 U 盤發生，或者員工個人裝置連線到公司網路而發生。此外，由於攻擊可能來自網路內部，因此網路管理員不再堅定地信任內部使用者和裝置。

　　更重要的是，今天的網路是高度複雜的環境，其邊界是不斷變化的。網路從區域網垂直執行到因特網，從物理網路水平執行到專用虛擬網路和雲。移動辦公和多樣化的勞動力（員工、合作伙伴和客戶）訪問網路資源、公共雲和私有云、物聯網（IoT）以及自帶裝置程式都大大增加對網路攻擊的數量。

　　為了應對這種高度複雜的環境，防火牆已經成為一種強大的多功能裝置，能夠應對一系列對網路的威脅。因此，FortiGate 可以以不同的模式或角色來處理不同的需求。例如，可以將 FortiGate 部署為資料中心防火牆，其功能是監視對伺服器的入站請求並保護它們，而不增加請求者的延遲。或者，FortiGate 可以部署為內部分段防火牆，可作為控制網路入侵的一種手段。

　　FortiGate 還可以充當 DNS 和 DHCP 伺服器，並被配置為提供 Web 過濾、反病毒和 IPS 服務。

在這張幻燈片所示的體系結構圖中，你可以看到 FortiGate 平臺如何在不影響靈活性的情況下增加強度。像單獨的、專用的安全裝置一樣，FortiGate 的內部仍然是模組化的。

• 新增裝置。有時候，疊加並不意味著效率。如果系統過載，一個裝置可以借用其他九個裝置的記憶體嗎？要在十個單獨的裝置上配置策略、日誌記錄和路由嗎？十個裝置疊加給你帶來十倍的利益還是麻煩？對於中小型企業或企業分支機構，與單獨的專用裝置相比，統一威脅管理（UTM）通常是一個更好的解決方案。
• FortiGate 硬體不僅僅是現成的。這是運營商級別的。大多數 FortiGate 型號有一個或多個專用晶片，稱為ASIC，由 Fortinet 設計。例如，CP 或 NP 晶片，可以更有效地處理密碼和分組轉發。與僅使用 CPU 的單一用途裝置相比，FortiGate 可以具有更好的效能。這對於資料中心和運營商來說至關重要，因為吞吐量和業務量是至關重要的。當然也有例外，虛擬化平臺 VMware、Citrix Xen、微軟或 Oracle 虛擬箱都具有通用的 VCPU。但是，虛擬化可能是值得的，因為其他好處，例如分散式計算和基於雲的安全性。
• FortiGate 是靈活的。如果你只需要快速防火牆和防病毒，那麼 FortiGate 不會要求你在其他功能上浪費 CPU、RAM 和電力。在每個防火牆策略中，可以啟用或禁用 UTM 和下一代防火牆模組。此外，你以後不會支付更多的附加 VPN 功能授權。
• FortiGate 是合作的。對開放標準而不是私有協議的偏好意味著更少的供應商鎖定和更多的系統整合商的選擇。而且，隨著網路的增長，FortiGate 可以利用其他 Fortinet 產品，如 FortiSandbox 和 FortiWeb，來分發處理過程，以實現更深的安全性和最佳的效能——總體 Security Fabric 方法。

除了硬體加速之外，FortiGate 虛擬機器（VM）具有與物理裝置相同的功能。為什麼會這樣？首先，虛擬機器監控程式的硬體抽象層軟體是由 VMware、Xen 和其他虛擬機器監控程式製造商而不是 Fortinet 製造的。那些其他製造商不製造 Fortinet 專有的 FortiASIC 晶片。但還有另外一個原因。對於虛擬機器監控程式來說，通用虛擬 CPU 和其他虛擬晶片的用途是抽象硬體細節。這樣，所有 VM 客戶機 OS 都可以執行在一個公共平臺上，而不管管理程式安裝在什麼不同的硬體上。與 vCPU 或 vGPU 使用通用的、非最優的 RAM 和 vCPU 進行抽象不同，FortiASIC 晶片是專門的優化晶片。因此，虛擬化 ASIC 晶片將不具有與物理 ASIC 晶片相同的效能優點。

• FortiGate VMX 和 Cisco ACI 的 FortiGate Connector 是 FortiOS 和 API 的專用版本，它允許你通過標準（如用於軟體定義網路（SDN）的 OpenStack）來協調快速的網路變化。FortiGate 允許虛擬機器在託管程式中作為客戶機 VM 部署。
• FortiGate 虛擬機器部署在虛擬機器管理程式的虛擬網路之間，在客戶 VM 之間。
• Cisco Access 聯結器允許 ACI 為南北資料流部署物理或虛擬 FortiGate VM。

知識測驗。

現在你已經可以理解 FortiGate 的一些高階特徵了。接下來，你將學習如何完成 FortiGate 的初始設定，並瞭解為什麼可能決定使用一種配置而不是另一種配置。

在完成這一節之後，你應該能夠：

• 識別預設出廠配置
• 選擇操作模式
• 瞭解 FortiGate 與 FortiGuard 的關係，區分實時查詢和包更新

　　通過演示設定 FortiGate 的能力，你將能夠在自己的網路中有效地使用該裝置。

網路架構如何？FortiGate 適合用在哪裡？

　　當你部署 FortiGate 時，可以在兩種操作模式間選擇：NAT 模式或 Transparent（透明）模式。

• 在 NAT 模式中，FortiGate 路由基於 OSI 三層的資料包，像路由器一樣。它的每個邏輯網路介面都有一個 IP 地址，並且 FortiGate 根據目的 IP 地址和路由表中的條目確定出站或出站介面。
• 在 Transparent 模式中，FortiGate 在 OSI 二層轉發資料包，像交換機一樣。它的介面沒有 IP 地址，並且 FortiGate 根據目的 MAC 地址確定出站或出站介面。透明模式下的裝置具有用於管理業務的 IP 地址。

網路地址轉換（NAT）模式是預設的操作模式。其他出廠預設設定是什麼？現在你來看看是如何設定 FortiGate 的。

　　將計算機的網路電纜連線到 port1 或內部交換埠（取決於你的型號）。在大多數型號中，該介面上有一個 DHCP 伺服器，因此，如果計算機的網路設定啟用了 DHCP，則計算機應該能自動獲得 IP，並且可以開始設定。

　　訪問 FortiGate 或 FortiWifi 上的圖形介面，請開啟 Web 瀏覽器並轉到 https://192.168.1.99。預設登入資訊是眾所周知的。永遠不要保留預設空白密碼。你的網路和你的 FortiGate 管理賬戶一樣安全。在將 FortiGate 連線到網路之前，應該設定一個複雜的密碼。

　　所有的 FortiGate 型號都有控制檯埠或 USB 管理埠。該埠提供 CLI 訪問而無需網路。CLI 能通過圖形介面上的 CLI Console 控制檯或者從仿終端程式登入，例如 PuTTY 或 Tera Term。

  【提示】FortiGate 防火牆預設登入地址 https://192.168.1.99，預設登入帳號 admin ，預設登入密碼 空。

一些 FortiGate 服務可以連線到其他伺服器（例如 FortiGuard）以便工作。FortiGuard 訂閱服務提供最新的威脅情報。 FortiGate 使用 FortiGuard：

• 週期性地請求包含新的引擎和簽名的資料包
• 在個人 URL 或主機名上查詢 FDN

　　查詢是實時的，也就是說，FortiGate 每次掃描垃圾郵件或過濾網站時都會詢問 FDN。由於資料庫發生更改的大小和頻率，FortiGate 查詢可代替下載資料庫。此外，查詢使用 UDP 進行傳輸；它們是無連線的，並且協議不是為了容錯而設計的，而是為了速度。因此，查詢要求你的 FortiGate 具有可靠的 Internet 連線。軟體包（如反病毒和 IPS）資料包較小，不會頻繁改變，因此它們在大多數情況下每天只下載一次。它們使用 TCP 下載以實現可靠的傳輸。在下載資料庫之後，即使 FortiGate 沒有可靠的 Internet 連線，它們的相關 FortiGate 功能仍繼續發揮作用。但是，如果 FortiGate 必須反覆嘗試下載更新，那麼你應該避免在下載過程中中斷，在更新時不能檢測到新的威脅。

  【提示】Web 過濾 和 防垃圾郵件 功能需要實時查詢 FortiGuard，要求有可靠的 Internet 連線。

知識測驗。

現在你已經瞭解瞭如何執行 FortiGate 的初始設定，以及為什麼你可能決定使用一個配置而不是另一個配置。接下來，你將學習基礎管理。

完成該課程課後，你應該能夠：

• 管理管理員配置檔案
• 管理使用者管理
• 定義管理使用者的配置方法
• 控制對 FortiGate 從 GUI 和 CLI 的管理訪問
• 管理網路介面的特定方面

　　通過展示基礎管理能力，你將能夠更好地管理管理使用者並圍繞管理訪問實現更強的安全實踐。

大多數功能在 GUI 和 CLI 上都可用，但也有一些例外。不能在 CLI 上檢視報告。此外，通常在 GUI 上高階使用者的高階設定和診斷命令不可用。

　　隨著你對 FortiGate 越來越熟悉，特別是如果你想編寫其配置的指令碼，除了 GUI 之外，你可能還想使用 CLI。你可以通過名為 CLI 控制檯的 GUI 中的 JavaScript 小部件或者通過仿終端軟體，如 Tera Term（http://ttssh2.sourceforge.jp/index.html.en
）或者 PuTTY（http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html）訪問 CLI。你的終端程式可以通過網路 SSH、Telnet 或本地控制檯埠連線。

　　FortiGate 還支援 SNMP 和其他一些管理協議，但它們是隻讀的。它們不能用於基本設定。

這裡顯示了一些基本的 CLI 命令，你可以使用它們列出命令集下的命令、檢查系統狀態以及列出介面的屬性及其值。

無論你使用哪種方法，都要以管理員身份登入。首先為其他管理員建立單獨的帳戶。為了安全和跟蹤目的，每個管理員都有自己的帳戶是最好的做法。

　　在新建的下拉選單中，你可以選擇【管理員】或【REST API Admin】。通常你將選擇【管理員】然後分配管理員配置檔案，它指定了該使用者的管理許可權。

　　你可以選擇【REST API Admin】來新增管理使用者，該使用者使用自定義應用程式 REST API 來訪問 FortiGate。該應用程式允許你登入到 FortiGate，並執行你所指定的管理員配置檔案允許的任何任務。

　　此處未顯示的其他選項：

• 你可以配置 FortiGate 來查詢遠端身份驗證伺服器，而不是在 FortiGate 本身上建立帳戶。
• 管理員可以使用內部證照頒發機構伺服器頒發的數字證照進行身份驗證，而不是使用密碼。

　　如果你確定使用密碼，請確保它們是強的和複雜的。例如，可以使用具有不同大寫的多個交錯字，並隨機插入數字和標點符號。不要使用包含任何字典中的名稱、日期或單詞的密碼，這些容易受到暴力攻擊。要檢查密碼的強度，使用工具如 L0phtcrack（http://www.l0phtcrack.com/ 或 http://www.openwall.com/john/）。如果將管理埠連線到 Internet，則增加了暴力攻擊的風險。

　　為了限制對特定功能的訪問，可以分配許可權。

當將許可權分配給管理員配置檔案時，可以指定對每個區域的讀寫、只讀或無。

　　預設情況下，有一個名為 super_admin 的特殊配置檔案，它被名為 admin 的使用者使用。它不能改變。它提供了對所有內容的完全訪問，使得管理員帳戶類似於 root superuser 帳戶。

　　prof_admin 是另一個預設配置檔案。它還提供完全訪問，但是與 super_admin 不同，它只適合於它的虛擬域，而不是 FortiGate 的全域性設定。此外，它的許可權也可以更改。

　　你不需要使用預設配置檔案。例如，你可以建立具有隻讀許可權的 auditor_access 配置檔案。將某人的許可權限制於他的工作所必需的許可權是最佳方法，因為即使該帳戶被破壞，對 FortiGate（或網路）的危害也不大。為此，建立管理員配置檔案，然後在配置帳戶時選擇適當的配置檔案。

　　【覆蓋空閒超時時間】功能允許配置系統賬戶下的管理員超時值在每個訪問配置檔案中被覆蓋。管理員配置檔案可以配置為增加非活動超時，並方便使用 GUI 進行中央監控。

　　請注意，這可以在每個配置檔案的基礎上實現，以防止選項在全域性上被無意地設定。

管理員配置檔案的影響是什麼？

　　它實際上不僅僅是讀或寫訪問。

　　根據分配的管理員配置檔案的型別，管理員可能無法訪問整個 FortiGate。例如，你可以配置一個只能檢視日誌訊息的帳戶。管理員可能無法訪問其指定虛擬域之外的全域性設定。虛擬域（VDOM）是一種將資源和配置細分為單個 FortiGate 的方法。

　　許可權較小的管理員無法建立、甚至檢視具有更多許可權的帳戶。因此，例如使用 prof_admin 或自定義配置檔案的管理員不能看到或重置使用 super_admin 配置檔案的帳戶的密碼。

為了進一步確保對網路安全性的訪問，請使用雙因子身份驗證。

　　雙因子身份驗證是指使用兩種方法來驗證你的身份，而不是使用一種方法（通常是密碼或數字證照）。在這個示例中，雙因子身份驗證包括密碼加上來自與 FortiGate 同步的 FortiToken 的 RSA 隨機生成的數字。

如果忘記管理員帳戶的密碼，或者惡意員工更改密碼，會發生什麼情況？

　　這種恢復方法適用於所有的 FortiGate 裝置，甚至一些非 FortiGate 裝置，如 FortiMail。它是一個臨時帳戶，只能通過本地控制檯埠獲得，並且只有在通過拔掉或關閉電源，然後恢復電源來重啟中斷電源之後。FortiGate 必須物理關閉，然後回過頭來操作，而不是簡單地通過 CLI 重新啟動。

　　在啟動完成後，maintainer 帳號登入只可用於啟動約 60 秒內（舊版本的時間更少）。

　　如果無法確保物理安全性和有符合要求，則可以禁用維護帳戶。使用警告：如果禁用維護程式，然後丟失管理員密碼，則無法恢復對你的 FortiGate 的訪問。為了在這種情況下重新獲得訪問權，你需要重新載入裝置。這將重置為工廠預設值。

  【提示】在忘記密碼的情況下可以使用帳號 maintainer，密碼 bcpb+大寫的序列號，通過 CLI 登入 FortiGate 防火牆。

另一種確保不被攻擊的方法是定義主機或子網，只有這些主機或子網才能登入FortiGate。

　　在這個例子中，我們已經配置了 10.0.1.10 作為 admin1 帳號登入的唯一可信 IP。如果 admin1 嘗試從任何其他 IP 的機器登入，則它們將接收到驗證失敗訊息。

　　注意：如果在所有管理員上配置了受信任的主機，並且管理員試圖從沒有為任何管理員在任何受信任的主機上設定的 IP
地址登入，那麼管理員將不會獲得登入頁面，而是將收到訊息〖Unable to contact server〗。

　　如果你將 IPv4 地址保留為 0.0.0.0/0，則意味著將允許來自任何源IP的連線。預設情況下，0.0.0.0/0 是管理員的配置，儘管你可能希望更改此配置。

　　請注意，每個帳戶可以以不同的方式定義其管理主機或子網。如果要在 FortiGate 上設定 VDOM，則這尤其有用，因為 VDOM 的管理員甚至可能不屬於同一個組織。你可以很容易地阻止管理員從所需的 IP 地址登入，如果在到達 FortiGate 之前，它將被 NAT 轉移到另一個地址，從而破壞了可信主機的目的。

你還可能需要自定義管理協議的埠號。

　　你可以選擇是否允許併發會話。這可以用於防止意外地覆蓋設定，如果通常保持多個瀏覽器選項卡開啟，或者意外地讓 CLI 會話開啟而不儲存設定，則開始 GUI 會話，並意外地以不同的方式編輯相同的設定。

　　為了更好的安全性，只使用安全協議，並強制密碼複雜性和更改。

　　 【空閒時間超時】是非活動管理員會話超時之前的分鐘數（預設為5分鐘）。更短的空閒超時更安全，但是增加計時器數字可以幫助減少管理員在測試更改時登出的機會。

　　你可以按管理員配置檔案覆蓋此空閒超時。

　　Override Idle Timeout——管理員配置檔案可以配置為增加非活動超時並促進使用 GUI 進行集中監控。此新功能允許在配置系統訪問檔案下的管理超時時間值在每個訪問配置檔案中被重寫。

　　請注意，這可以在每個配置檔案的基礎上實現，以避免選項被無意地設定為全域性。

你已經定義了管理子網，即每個管理員帳戶的管理主機。如何啟用或禁用管理協議？

　　這對每個介面都是特定的。例如，如果你的管理員僅從 port3 連線到 FortiGate，那麼應該禁用所有其他埠上的管理訪問。這可以防止暴力嘗試和不安全訪問。你的管理協議是 HTTPS、HTTP、Ping、SSH。預設情況下，Telnet 選項在 GUI 上不可見。

　　考慮網路上介面的位置。在內部介面上啟用 ping 對於故障排除是有用的。然而，如果它是一個外部介面（換句話說，暴露於網際網路），那麼 PING 協議可能使 FortiGate 受到 DoS 攻擊。不禁用資料流的協議，如 HTTP 和 Telnet，應禁用。IPv4 和 IPv6 協議是分開的。在 IPv6 上可以同時擁有 IPv4 和IPv6 地址，此時能響應 IPv6 上的 Ping。

　　注意，一些協議，如 FortiTelemetry，不是用於管理訪問，如 GUI 和 CLI 訪問，而是它們是將 FortiGate 作為目的地 IP，而不僅將 FortiGate 用作下一跳或橋的協議。FortiTelemetry 協議專門用於管理 FortiClient 和 Security Fabric。FMG-Access 協議專門用於當伺服器管理多個 FortiGate 裝置時與 FortiManager 通訊。CAPWAP 協議在 FortiGate 管理時用於FortiAP、FortiSwitch 和 FortiExtender。當 FortiGate 需要偵聽和處理 RADIUS Accounting 分組以進行單點登入身份驗證時，使用 RADIUS 計費協議。FTM 或 FortiToken Mobile 推送，支援來自 FortiToken Mobile 推送應用程式的雙因子認證請求。推送服務由蘋果（APN）和 谷歌（GCM）分別為 iPhone 和 Android 智慧手機提供。此外，當 FortiAuthenticator 認證為身份驗證伺服器時，FortiOS 支援 FTM 推送。

FortiGate 有數百個功能。如果你不使用它們，隱藏你不使用的功能會使你更容易專注於你的工作。

　　在圖形介面上隱藏的一個功能並沒有被禁用。它仍然是功能性的，並且仍然可以使用 CLI 配置。

　　某些高階或不常用的功能，如 IPv6，預設是隱藏的。

　　若要顯示隱藏的功能，請單擊 系統管理 > 可見功能。

記住，當 FortiGate 處於 NAT 模式時，處理流量的每一個介面都必須有一個 IP 地址。當處於 NAT 模式時，如果需要開始或應答會話，則可以使用 IP 地址來獲取源流量，並且可以作為一個目標地址，用來連線那些嘗試聯絡 FortiGate 或路由流量通過的裝置。獲取 IP 地址的方法有多種：

• 手動分配
• 自動分配，使用 DHCP 或 PPPoE

　　IP地址要求有兩個例外：【單臂嗅探】 和【專用於FortiSwitch】介面型別。這些介面沒有分配地址。

• 當選擇【單臂嗅探】作為定址模式時，介面不與業務流內聯，而是從交換機上的映象埠接收業務流量的副本。該介面在混合模式中操作，掃描它看到的流量，但是由於交換機已經處理了原始資料包，因此無法進行更改。因此，【單臂嗅探】主要用於概念驗證（POC）或在企業需求宣告不能更改流量（僅記錄流量）的環境中。

• 當選擇【專用於FortiSwitch】作為定址模式時，FortiGate 自動向該介面分配 IP 地址。【專用於FortiSwitch】是一個用於從 FortiGate 管理 FortiSwitch 的介面設定。

在 WAN 介面上，你見過多少次由 DHCP 伺服器引起的網路問題而不是客戶端啟用的網路問題？

　　你可以配置介面的角色。在 GUI 中顯示的角色通常是拓撲的那部分的介面設定。不適用於當前角色的設定隱藏在 GUI 中（不管角色如何，CLI 上的所有設定總是可用的）。這防止意外錯誤配置。

　　例如，當角色被配置為 WAN 時，沒有 DHCP 伺服器和裝置檢測配置可用。裝置檢測通常用於檢測區域網上的裝置。

　　如果出現異常情況，並且需要使用當前角色隱藏的選項，則始終可以將角色切換到 Undefined 這顯示所有選項。

　　為了幫助你記住每個介面的使用，你可以給它們取名。例如，你可以將 port3 稱為 internal_network。這有助於使你的策略列表更容易理解。

在將 FortiGate 整合到網路之前，應該配置預設閘道器。

　　如果 FortiGate 通過動態方法（例如 DHCP 或 PPPoE）獲取 IP 地址，那麼它也應該獲取預設閘道器。否則，必須配置靜態路由。沒有預設閘道器，FortiGate將不能響應直接連線到它自己的介面的子網之外的資料包。它可能也無法連線到 FortiGuard 進行更新，並且可能無法正確地路由流量。

　　在另一課中包含路由細節。現在，你應該確保 FortiGate 有一個匹配所有包（目的地是 0.0.0.0/0）的路由，稱為預設路由，並通過連線到 Internet 的網路介面轉發給下一個路由器的 IP 地址。

　　到目前為止，已經完成在配置防火牆策略之前所需的基本網路設定。

鏈路聚合邏輯上將多個物理介面繫結到單個通道中。鏈路聚合增加頻寬並在兩個網路裝置之間提供冗餘。

知識測驗。

你現在有了一些基本的管理知識。接下來，你將瞭解內建伺服器。

在完成這一節之後，你應該能夠：

• 在 FortiGate 上啟用 DHCP
• 在 FortiGate 上啟用 DNS 服務
• 瞭解配置的可能性和它們的一些含義

　　通過演示實現 DHCP 和 DNS 內建伺服器的能力，你將知道如何通過 FortiGate 提供這些服務。

無線客戶端並不是唯一可以使用 FortiGate 作為其 DHCP 伺服器的使用者。

　　對於介面（如 port3），選擇 Manual 選項，輸入靜態 IP，然後啟用 DHCP Server 選項。內建 DHCP 伺服器的選項將出現，包括提供功能，如 DHCP 選項和 MAC 保留。還可以從接收 IP 地址阻止特定的 MAC 地址。注意，在右側的螢幕截圖中，在 MAC Reservation + Access Control 選項中，在 Action or IP 列，下拉選單提供三種選項：

• 保留 IP：允許你將特定的 IP 繫結到 MAC 地址。
• 分配 IP：允許 DHCP 伺服器從其地址池分配到識別的 MAC 地址。接收到IP地址的裝置將始終接收相同的地址，前提是其租約尚未過期。
• 阻斷：具有識別的 MAC 地址和 Block 選項的計算機將不接收 IP 地址。

對於內建的 DHCP 伺服器，你可以為具有特定 MAC 地址的裝置保留特定的 IP 地址。

　　對於 Unknown MAC Addresses 的操作定義了當它從沒有明確列出的 MAC 地址中獲得一個請求時，它的 DHCP 伺服器將會做什麼。

與 DHCP 一樣，你也可以配置 FortiGate 作為本地 DNS 伺服器。你可以在每個介面上單獨啟用和配置 DNS。

　　本地 DNS 伺服器可以提高你的 Fortimail 或經常使用 DNS 查詢的其他裝置的效能。如果 FortiGate 向本地網路提供 DHCP，則可以使用 DHCP 配置這些主機以使用 FortiGate 作為閘道器和 DNS 伺服器。

　　FortiGate 可用以下三種方式之一回答 DNS 查詢：

• 轉發：將所有查詢中繼到單獨的 DNS 伺服器（你已經在 Network > DNS 中配置過）；也就是說，充當 DNS 中繼而不是 DNS 伺服器。
• 非遞迴：對 FortiGate DNS 資料庫中的專案的查詢的答覆；不轉發不可解析查詢。
• 遞迴：對 FortiGate 的 DNS 資料庫中項查詢的回覆；將所有其他查詢轉發到單獨的 DNS 伺服器進行解析。

　　你可以在 GUI 或 CLI 上配置所有模式。

如果選擇遞迴，FortitGate 查詢自己的資料庫，然後將未解析的請求轉發到外部 DNS 伺服器。

　　如果選擇 DNS 轉發選項，則可以在自己的網路中控制 DNS 查詢，而不必在 FortiGate 的 DNS 伺服器中輸入任何 DNS 名稱。

如果你選擇讓 DNS 伺服器解析查詢，或者選擇拆分 DNS，則必須在你的 FortiGate 上設定 DNS 資料庫。

　　這定義了 FortiGate 將解析查詢的主機名。請注意，FortiGate 目前只支援上圖列出的 DNS 記錄型別。

知識測驗。

  你現在知道如何在 FortiGate 中啟用 DHCP 和 DNS 服務，並且對配置的可能性有了一些瞭解。接下來，你將學習基本的維護。

 

​​  在完成這一節之後，你應該能夠：

• 備份和恢復系統配置檔案
• 瞭解純文字和加密配置檔案的恢復要求
• 識別當前韌體版本
• 升級韌體
• 降級韌體

　　通過展示實現 FortiGate 基本維護的能力，你將能夠執行備份和恢復、升級或降級韌體的重要活動，並確保 FortiGate 在其整個生命週期中保持可靠的服務。

​​  我們已經知道 FortiGate 具有基本的網路設定和管理帳戶，你將瞭解如何備份配置。除了選擇備份檔案的目的地之外，還可以選擇加密或不加密備份檔案。即使你選擇不對預設的檔案進行加密，檔案中儲存的密碼也會被雜湊，因此會被混淆。儲存在配置檔案中的密碼將包括管理使用者和本地使用者的密碼，以及 IPSec VPN 的預共享金鑰。它還可以包括 FSSO 和 LDAP 伺服器的密碼。

　　另一種選擇是用密碼加密配置檔案。除了確保配置的隱私，它也有一些你可能不期望的效果。加密後，沒有密碼以及不是同一個型號和韌體，配置檔案都不能被解密。這意味著，如果你向 Fortinet 技術支援傳送加密的配置檔案，即使你向他們提供密碼，他們也不能載入你配置，直到他們訪問相同的 FortiGate 型號。這在解決你的問題時，可能會導致不必要的延時。

　　如果啟用虛擬域（VDOM），對 FortiGate 的資源和配置進行細分，則每個 VDOM 管理員都可以備份和恢復自己的配置。你不必備份整個 FortiGate 配置，但是它仍然是推薦的。

　　備份是必要的，可以幫助快速返回生產狀態。如果發生了不可預見的災難，損害了 FortiGate，必須從頭重新建立數百個策略和物件需要大量的時間，而在新裝置上載入配置檔案則需要更少的時間。

　　恢復配置檔案的動作與備份非常類似，並且會重新啟動 FortiGate。

​​  如果在文字編輯器中開啟配置檔案，你將看到加密和未加密的配置檔案都包含一個包含有關裝置的一些基本資訊的明文標題。要恢復加密的配置，必須將它上傳到相同型號和韌體的 FortiGate，然後提供密碼。

　　若要還原未加密的配置檔案，則只需匹配 FortiGate 型號。如果韌體不同，FortiGate 將嘗試升級配置。這類似於在升級韌體時如何在現有配置上使用升級指令碼。但是，仍然建議將 FortiGate 上的韌體與配置檔案中列出的韌體進行匹配。

　　通常，配置檔案只包含非預設設定，加上很少的預設但重要的設定。這就最小化了備份的大小，否則可能會有幾個 MB 大小。

​​  你可以在 FortiGate GUI 中的多個位置檢視當前韌體版本。當你第一次登入到 FortiGate 時，登陸頁面就是儀表板。你將在系統子視窗中看到韌體版本。此資訊也在 系統 > 韌體 中可以找到。當然，你可以使用命令 get system status 檢索 CLI 上的資訊。

　　如果新版本的韌體可用，你將在韌體頁面上得到通知。

　　請記住閱讀發行說明，以確保瞭解所支援的升級路徑。發行說明還提供可能影響升級的相關資訊。

​​  升級 FortiGate 上的韌體很簡單。單擊 系統 > 韌體，然後在瀏覽器上從 support.fortinet.com 下載韌體檔案，或者選擇線上升級。

　　如果希望通過覆蓋現有韌體及其當前配置來完成乾淨的安裝，可以在重新啟動 FortiGate 時使用引導載入器選單中的本地控制檯 CLI 進行此操作。然而，這不是常用的方法。

​​  你也可以降級韌體。因為每個韌體版本的設定都會改變，所以你應該具有與韌體相容的語法配置檔案。

　　記得閱讀發行說明。有時，儲存配置的韌體版本之間的降級是不可能的，例如當作業系統從 32 位更改為 64 位時。在這種情況下，降級的唯一方法是格式化磁碟，然後重新安裝。

　　在你確認可以降級之後，再次驗證一切，然後開始降級。在降級完成後，還原與該版本相容的配置備份。

　　為什麼要保持緊急韌體和物理訪問？

　　早期韌體版本不知道如何轉換成後期的配置。通常，當通過路徑進行升級時，不支援配置轉換指令碼，可能會丟失除了基本訪問設定之外的所有設定，例如管理員帳戶和網路介面 IP 地址。另一種罕見但可能的情況是，當你上傳韌體時，韌體可能會損壞。由於所有這些原因，在升級過程中應該始終具有本地控制檯訪問許可權。然而，在實踐中，如果你閱讀發行說明並與 GUI 或 CLI 有可靠的連線，則不必如此。

​​  知識測驗。

​​  你現在知道如何在一個基本的層面上維護 FortiGate 了，接下來，你將瞭解 Security Fabric 中的 FortiGate。

​​  在完成本章節後 ，你應該能夠：

• 定義 Fortinet Security Fabric
• 確認為什麼需要 Security Fabric
• 識別參與 Security Fabric 的 Fortinet 裝置，特別是最基本的裝置
• 瞭解如何在高階別上配置 Security Fabric

　　通過展示 Fortinet Security Fabric 的高階概念中的能力，你將更好地理解 Security Fabric 的價值、組成它的伺服器以及如何部署它。

​​  什麼是 Fortinet Security Fabric?

　　它是一個 Fortinet 企業解決方案，它支援一種全面的網路安全方法，通過一個控制檯可以看到網路環境，所有的網路裝置都整合到集中管理和自動化防禦中。

　　網路裝置包括所有元件，從物理端點到雲中的虛擬裝置。由於裝置是集中管理的，並且正在實時地智慧共享威脅，並且在巨集觀級別上接收來自 Fortinet 的更新，你的網路可以快速識別、隔離和消除出現的威脅。

　　Security Fabric 具有以下屬性：

• 無縫：它覆蓋了從物聯網到雲的整個攻擊面。
• 協同：部署安全處理器以確保高網路效能，同時提供全面的安全性。
• 智慧：在網路元件之間實時交換威脅情報，以實現對威脅的自動響應。

　　我們可以新增 Security Fabric 的第四個屬性，具有開放性。API 和協議可用於其他供應商的加入和合作夥伴的整合。這允許 Fortinet 和第三方裝置之間的通訊。

​​  為什麼 Fortinet 認為 Security Fabric 是一個強大的網路防禦的基本解決方案？

　　隨著網路的發展和各種新型威脅的出現，部署了端點安全產品來應對這些新出現的威脅。通常，這些零碎的解決方案是有效的，但是使用不同的標準和協議部署產品常常意味著不能有效地協調防禦資產。

　　上圖右側的圖示講述了一個網路的故事，該網路部署了來自四個不同供應商的安全解決方案。中心的管理員，從安全控制檯工作，只對一些安全解決方案有可見性。這種缺乏可見性的整個網路防禦是一個嚴重的缺陷，並允許外國滲透者在未被察覺的情況下突破網路防禦。

　　當今網路的複雜性使這個問題更加複雜。此外，越來越複雜的惡意軟體有一個不斷擴大的攻擊面，因為網路已經突破了傳統網路的範圍，並擴充套件到虛擬網路和公共雲。除此之外，由於自帶裝置的程式，越來越多的無人管理裝置的數量不斷增加，而且你擁有完美的安全風暴。

　　最可行的解決方案是構建一種集中管理的、整體的安全方法，從而對所有潛在的滲透點有清晰的視線，並且可以協調防禦以遏制和中和網路破壞。

​​  兩個或兩個以上的 FortiGate 裝置加 FortiAnalyzer 的產品是解決方案的核心。為了增加更多的可視性和控制，Fortinet 推薦新增 FortiManager、FortiAP、FortiClient、FortiSandbox、FortiMail。可以通過新增其他網路安全裝置來擴充套件該解決方案。

​​  FortiManager 和 FortiCloud 中央管理的配置可以在 Security Fabric 設定中執行。

　　可以在 Security Fabric 設定中新增 FortiＭail。FortiＭail 統計資料使用 REST API 顯示在 FortiOS 儀表板小部件上。

　　可以在 Security Fabric 設定中新增無線AP。可以使用 REST API 來設定端點和 SSID 可見性。

　　可以在 Security Fabric 設定中新增 FortiCache 和 FortiWeb，這允許 FortiGate 使用 FortiCache 的磁碟作為本地儲存進行快取，而不是使用WCCP。

　　FortiClient EMS 配置已被納入 Security Fabric 設定。如果客戶端由所指示的 EMS 伺服器之一管理，則被認為是相容的。你最多可以新增三個 EMS 伺服器。

​​  管理員定義的自動化工作流（稱為拼接）使用 if/then 語句使 FortiOS 以預先程式設計的方式自動響應事件。因為該工作流是 Security Fabric 的一部分，你可以為 Security Fabric 中的任何裝置設定 if/then 語句。

　　觸發器：觸發器屬性定義事件的型別。如果 FortiAnalyzer 提供了一個 IOC 訊息來觸發 FortiGate，則觸發妥協指標（IOC）。此訊息將由 Security Fabric 中的根節點接收。

　　動作：如果配置 IOC 觸發器，則可以從 Action 部分中的幾個選項中選擇，例如 Quarantine 和 IP Ban。這兩個選項阻止來自 IOC 標記的源地址的所有流量。隔離裝置在 Security Fabric 拓撲中被標記。

　　你還可以單擊 Monitor > Quarantine Monitor 檢視隔離和禁用的 IP 地址。隔離地址在可配置的時間段後自動從隔離中移除。只有通過管理員干預才能將禁止的 IP 地址從列表中刪除。

　　事件日誌為使用者提供了基於特定日誌 ID 定義觸發器的靈活性。

​​  Fabric 聯結器允許你整合多雲支援，如 ACI、AWS 等。

　　以應用程式為中心的基礎設施（ACI）：SDN 聯結器充當連線 SDN 控制器和 FortiGate 裝置的閘道器。SDN 聯結器將自己註冊到 Cisco ACI 結構中的 APIC，對感興趣的物件進行投票，並將它們轉換為地址物件。被翻譯的地址物件和相關的端點填充在 FortiGate 上。

　　微軟 Azure 的 FortiGate 虛擬機器也支援雲初始化和自引導。

​​  在這個簡單的網路中，只有一個 Security Fabric 的核心裝置，我們有一個 FortiGate 和一個下一代防火牆 （NGFW）。這個實現示例僅僅是一個高階檢視。要了解更多細節，請參見 docs.fortinet.com。被命名為〖External〗的FortiGate充當了邊緣防火牆，也將被配置為 Security Fabric 中的根防火牆。在根防火牆的下游，我們有三個內部分割防火牆，將 WAN 劃分為包含一個分支，並控制對各種區域網的訪問。在本例中，我們有財務部、市場部和銷售部本地區域網路。

​​  首先，在根 FortiGate 上，必須在面對任何下游 ForiGate 的介面中啟用 FortiTelemetry。然後，你需要為 Security Fabric 配置組名和密碼。你還需要配置 FortiAnalyzer 的 IP 地址。這個 FortiAnalyzer 配置將被推送到所有下游的 FortiGate 裝置。

　　其次，在下游的 FortiGate 裝置中，必須啟用面向下游 FortiGate 裝置的介面的 FortiTelemetry 和 Device Detection 。然後，需要在 Security Fabric > Settings 部分配置上游 FortiGate 的相同組名、密碼和 IP 地址。

​​  安全評級是需要安全評級許可的訂閱服務。此服務允許你：

• 動態地從 FortiGuard 接收更新。
• 在 Security Fabric 中執行每個授權裝置的安全評級檢查。
• 在後臺或按需執行安全評級檢查。
• 向 FortiGuard 提交評級，並從 FortiGuard 接收評級分數，按百分位數對客戶進行排名。

　　Fabric Security 評級服務現在擴充套件並執行最佳實踐專案，以便在整個網路中進行審計——密碼檢查、最佳實踐，以及進一步加強網路安全。

• 用安全審計（FortiGuard 資料）對客戶百分比進行排序：安全評級現在支援將結果傳送到 FortiGuard，並從 FortiGuard 接收統計資料。以百分位數的形式顯示給客戶。
• 安全審計現在在後臺執行，而不僅僅是在管理員登入到 GUI 時按需進行。當檢視安全審計頁時，載入最新儲存的安全審計資料。從 GUI 中，你可以按需執行審計，並檢視 Security Fabric 中不同裝置的結果。你還可以檢視所有結果或只是失敗的測試結果。
• 安全評級功能（以前稱為 Security Fabric 審計）包括新的安全檢查，這些檢查可以幫助你改進組織的網路，例如強制密碼安全、應用推薦的登入嘗試閾值、鼓勵雙因子身份驗證等等。

​​  知識測驗。

​​  你已經完成了本次課程。現在，你將回顧你在課程中所涵蓋的目標。

​​  本課程包含以下目標：

• 識別關鍵的 FortiGate 功能、服務和內建伺服器
• 確定兩種 FortiGate 的操作模式的區別，以及 FortiGate 和 FortiGuard 之間的關係
• 識別出廠預設值、基本網路設定和控制檯端
• 執行基本管理，例如建立管理使用者和管理員配置檔案
• 執行配置的備份和恢復，並討論恢復加密配置檔案的要求
• 啟動韌體升級和降級
• 識別 Fortinet 的 Security Fabric 的功能、FortiGate 在其中的角色以及高階安裝

 

---