SNMP篇(7.0) 01. FortiGate上配置SNMP ❀ 飞塔 (Fortinet) 防火墙

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SNMP篇(7.0) 01. FortiGate上配置SNMP ❀ 飞塔 (Fortinet) 防火墙相关的知识,希望对你有一定的参考价值。

  【简介】SNMP使你能够监视网络上的硬件。通过配置硬件(如FortiGate SNMP代理),向SNMP管理器上报系统信息和发送trap(告警或事件消息)。SNMP trap提醒你发生的事件,例如日志磁盘已满或检测到病毒。

 接口访问

  在远程SNMP管理器连接到FortiGate SNMP代理之前,你必须配置一个或多个FortiGate接口来接受SNMP连接。

  ① 登录防火墙,选择菜单【网络】-【接口】,编辑内网接口,这里是port5,因为SNMP管理器是通过这个接口访问的。在管理访问协议里启用【SNMP】。

  ② 也可以在命令窗口编辑接口,用append allowaccess snmp加入允许访问议协snmp,通常允许多个接口启用snmp协议,因此需要用snmp索引区分开来,索引号不冲突就可以了。

  MIB文件

  管理信息库 (MIB,Management Information Base) 是TCP/IP网络管理协议标准框架的内容之一,MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,即管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。

  ① 选择菜单【系统管理】-【SNMP】,可以看到有两个下载按钮,可分别下载FortiGate MIB文件和Fortinet Core MIB文件。

   ② FortiGate SNMP代理支持Fortinet私有MIB,以及RFC 2665和RFC 1213中适用于FortiGate单元配置的部分。你的SNMP管理器可能已经在已编译的数据库中包含了标准和私有MIB。必须将Fortinet专用MIB添加到此数据库中,才能访问Fortinet特定的信息。

   ③ 下载的MIB文件可以用写字板打开,但是很多内容无法直接查看,需要专门的MIB浏览器工具。Fortinet core MIB包括所有Fortinet产品通用的所有系统配置和trap信息。FortiGate MIB包含FortiGate单元特有的所有系统配置信息和trap信息。你的SNMP管理器需要这些信息来监视FortiGate设置并从FortiGate SNMP代理接收trap。

   SNMP代理

  SNMP代理将FortiGate上发出的SNMP trap发送给SNMP团体中定义的外部监控SNMP管理器。SNMP管理器可以监视FortiGate系统,以确定它是否正常运行,或者是否发生了任何关键事件。

  ① 此FortiGate系统的描述、位置和联系信息将是SNMP管理器接收的信息的一部分。如果SNMP管理器正在监视许多设备,则此信息非常有用,并在需要注意FortiGate系统时能够更快地响应。

  ② 也可以在命令模式下输入描述、位置及联系信息,建议不要用中文,因为有的SNMP管理器接收中文会显示乱码。

  SNMP v1/v2c

  SNMP v1是最初实施SNMP协议。SNMP v2c是v1版的演进版。SNMP v1只使用一种安全策略,团体名。团体名和密码相似。SNMP管理器只要知道团体名就可以查询数据。而团体名很容易让人截取。SNMPv2增加了不少额外的安全。所有的包信息除了目的地址,其他都被加密。在加密的数据中包括团体名和源IP地址。

  ① SNMP团体是用于网络管理目的的设备分组。一个设备可以属于多个团体。必须在FortiGate中添加SNMP团体,SNMP管理器才能接收trap和系统信息。

  ② 输入团体名称,这个会在SNMP管理器连接时用到,相当于密钥。IP地址输入SNMP管理器的IP地址。可以有多个管理器。主机类型默认为【接受查询和发送陷阱】。SNMP事件默认都启用,表示会主动发送这些信息。

  ③ 最多可以添加三个团体。

  SNMP v3

  SNMP v3通过认证来保证用户的身份。隐私允许对SNMP v3消息进行加密,以确保数据的机密性。这些协议提供了比SNMP v1和v2c更高级别的安全性。

  ① SNMP v1 v2c v3配置可以同时存在,不过推荐使用v3,因为安全性更高。点击SNMP v3下的【新建】。

  ② 输入用户名,点击【认证】,点击认证算法右边下拉箭头,显示认证算法选项,默认选择【SHA1】。

  ③ 输入认证密码,密码是自定义的,SNMP管理器连接时要用到。选择【私有】,点击加密算法右边下拉箭头,显示加密算法选择项,默认选择【AES】。

  ④ 输入私有密码,同样密码也是自定义的,SNMP管理器连接时要用到。主机输入SNMP管理器的IP地址。可以有多台SNMP管理器。这里和SNMP v1/v2c不的地方,除了多了认证外,也不用再选择【接受查询和发送陷阱】。

  ⑤ 虽然这里同时配置了SNMP v1/v2c 和SNMP v3,但是有条件的话建议只用SNMP v3,因为安全。

   防火墙的SNMP都配置完成了,但是要看到监控数据,还得看SNMP管理器的。

以上是关于SNMP篇(7.0) 01. FortiGate上配置SNMP ❀ 飞塔 (Fortinet) 防火墙的主要内容,如果未能解决你的问题,请参考以下文章

SNMP篇(7.0) 04. PRTG监控FortiGate状态(下) ❀ 飞塔 (Fortinet) 防火墙

SNMP篇(7.0) 02. iReasoning查看FortiGate MIB ❀ 飞塔 (Fortinet) 防火墙

教程篇(7.0) 01. FortiGate基础架构 & 路由 ❀ Fortinet 网络安全专家 NSE 4

升级篇(7.0) ❀ 01. FortiGate防火墙的固件有必要升级到7.0吗?

教程篇(7.0) 01. FortiGate安全&简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4

高级篇 / ZTNA(7.0) ❀ 01. FortiClient EMS 下载与安装 ❀ FortiGate 防火墙