教程篇(6.4) 06. FortiManager 简介和初始配置 ❀ Fortinet 网络安全专家 NSE5

Posted 2021-05-16 meigang2012

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了教程篇(6.4) 06. FortiManager 简介和初始配置 ❀ Fortinet 网络安全专家 NSE5相关的知识，希望对你有一定的参考价值。

在这节课中，你将学习FortiManager的基础知识。这包括FortiManager如何适应你现有的网络体系结构。

　　FortiManager为各种Fortinet安全设备提供集中的策略发放、配置和更新管理。

在这节课中，你将探索这张幻灯片上显示的主题。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示使用FortiManager关键特性的能力，你将能够在自己的网络中有效地使用该设备。

什么时候应该在网络中使用FortiManager ?

　　在大型企业和托管安全服务提供商(MSSP)中，网络的规模带来了小型网络不具备的挑战：大规模供应；调度配置更改的推出；以及维护、跟踪和审计许多更改。

　　通过FortiManager进行集中管理，可以帮助你更轻松地管理多种部署类型和多种设备，降低操作成本。

　　FortiManager可以做什么?

　　● 在你的网络中提供防火墙策略

　　● 作为配置修订控制和安全审计的中心存储库

　　● 部署和管理复杂的网状和星型IPsec VPN

　　● 作为你所管理设备的专用FortiGuard Distribution Network (FDN)服务器

　　● 使用JSON API脚本和自动化设备配置、策略更改等

FortiManager可以帮助你更好地组织和管理你的网络。FortiManager的主要功能包括：

　　● 集中管理：无需单独登录数百个FortiGate设备，你可以使用FortiManager从单个控制台管理所有设备。

　　● ADOM：FortiManager可以将设备分组到地理或功能ADOM中，如果你有一个大型的网络安全管理员团队，这是非常理想的。

　　● 配置修订控制：FortiManager保存所有配置更改的历史记录。你可以安排FortiManager部署新配置或将托管设备恢复到以前的配置。

　　● 本地FortiGuard服务发放：为了减少网络延迟和减少互联网带宽的使用，你所管理的设备可以使用FortiManager作为私有FDN服务器。

　　● 固件管理：FortiManager可以为被管理的设备安排固件升级。

　　● 脚本：FortiManager支持基于CLI和TCL的脚本，用于配置部署。

　　● 窗格管理器(VPN、FortiAP、FortiSwitch、Fabric View)：FortiManager管理窗格简化了VPN、FortiAP、FortiSwitch和Fabric View的部署和管理。

　　● 日志和报告：被管理的设备可以在FortiManager上存储日志。通过这些日志数据，你可以生成基于SQL的报告，因为FortiManager具有许多与FortiAnalyzer相同的日志和报告特性。

　　● FortiMeter：为大型MSSP提供一种具有成本效益的方式来管理其客户机的安全需求。FortiManager计量模块将特殊的Fortios-VM处理的流量报告给FortiGuard或FortiCare, 负责管理点计算。

ADOM允许admin管理员创建设备组，供管理员监控和管理。例如，管理员可以根据自己的地理位置或业务部门来管理设备。

　　ADOM的目的是通过ADOM划分设备管理，并控制(限制)管理员访问。如果使用虚拟域(VDOM)， ADOM可以进一步限制只访问来自特定设备的VDOM的数据。

FortiManager使你能够使用管理器窗格集中管理Fortinet设备。

　　Fabric View (Security Fabric)：当FortiManager管理启用了Security Fabric且属于Security Fabric组的FortiGate单元时，会显示Fabric View窗格。查看安全Fabric组配置的安全Fabric等级。在查看FortiManager中的信息之前，必须使用FortiOS生成安全结构评级。

　　VPN Manager：在VPN管理器窗格中，可以配置IPsec VPN设置，可以安装在多个设备上。设置作为对象存储在对象数据库中。通过安装策略包将IPsec VPN设置推送到一个或多个设备。为一个ADOM启用VPN Manager将覆盖该ADOM中被管理设备的现有VPN配置。混合模式VPN允许VPN同时通过VPN管理器和设备管理器中的FortiGate设备进行配置。

　　AP Manager：通过AP管理器窗格，你可以管理由FortiGate设备控制的FortiAP设备，FortiGate设备由FortiManager管理。通过Wi-Fi模板，管理员可以方便地管理和分发AP模板、SSID模板和WIDS模板。管理员还可以监控所有无线客户端，检查AP运行状况。

　　FortiSwtich Manager：通过FortiSwitch Manager，可以对FortiSwitch模板和vlan进行集中管理，并对与FortiGate设备相连的FortiSwitch设备进行监控。你可以为特定的FortiSwitch平台配置多个模板，这些模板可以分配给多个设备。

管理扩展窗格允许你启用由Fortinet发布和签名的许可应用程序。注意，在FortiManager默认配置中，这两个应用程序都是禁用的。以下应用程序可作为FortiManager的管理扩展：

　　● SD-WAN Orchestrator：可以使用SD-WAN协调器来配置、管理和监控SD-WAN网络中的FortiGate设备。

　　● Wireless Manager (FortiWLM)：你可以使用无线管理器(FortiWLM)来监视、操作和管理由FortiManager管理的FortiGate设备上的无线网络。

知识检查

非常好！现在你了解了FortiManager的关键特性。

　　接下来，你将了解FortiManager关键概念。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示理解FortiManager关键概念的能力，你将能够在你的网络中更有效地使用FortiManager。

FortiManager和FortiAnalyzer运行在相同的硬件和软件平台上。像FortiAnalyzer，FortiManager还可以充当日志记录和报告设备，但存在日志记录速率限制。FortiManager将需要额外的资源(CPU、内存、磁盘)来处理日志和报告。

　　对于低容量的日志，FortiManager可以用作功能齐全的日志记录和报告设备，但是它需要使用一些系统资源来实现其他特性，比如配置管理。

　　如果你有很高的日志量，你应该使用专用的FortiAnalyzer。

在FortiManager内部，有以GUI中的窗格形式表示的管理层。例如，设备管理模块由“设备管理器”窗格表示，你可以使用该窗格执行修订历史记录和脚本。

　　让我们更详细地看看管理层。

为了组织和有效地管理一个大型网络，FortiManager有多个层次：

　　● 全局ADOM层有两个关键部分：全局对象数据库和所有页眉和页脚策略包。页眉和页脚策略包包含了每个ADOM的策略。使用这种方法的一个例子是在运营商环境中，运营商允许客户的流量通过他们的网络，但不允许客户访问运营商的网络基础设施。

　　● ADOM层是在设备组中的被管理设备上创建、管理和安装策略包的地方。可以在这里创建多个策略包。ADOM层对于每个ADOM都有一个公共对象数据库。数据库包含地址、服务和安全配置文件等信息。

设备管理层记录FortiManager设备集中管理的设备信息，包括设备的名称、类型、型号、IP地址、当前安装的固件、修订历史和实时状态等

　　● 设备管理层记录FortiManager设备集中管理的设备信息，包括设备的名称、类型、型号、IP地址、当前安装的固件、修订历史和实时状态等。

　　现在来看看这些层是如何关联的。

理解FortiManager设备管理模型的层非常重要。

　　● 在全局ADOM层中，创建页眉和页脚策略规则。这些策略规则可以分配给多个ADOM。如果多个ADOM策略包需要相同的策略和对象，你可以在这个层中创建它们，这样你就不必在每个ADOM中维护副本。

　　● 在ADOM层中，每个ADOM中的对象和策略包共享一个公共对象数据库。策略包可以创建，也可以从多个被管理的设备中导入并同时安装。

　　● 在设备管理器层，设备设置可以针对每个设备进行配置和安装。如果检测到配置更改，无论更改是在本地还是在FortiManager上，那么，FortiManager将当前配置修订与更改后的配置进行比较，并创建一个新的配置。FortiManager修订，配置变化无论是大还是小，FortiManager记录并保存新配置。这可以帮助管理员审核配置更改，并在需要时恢复到以前的修订。

当你使用FortiManager集中管理你的Fortinet设备时，工作流通常遵循以下模式：

　　1. 部署：由管理员在网络初始安装完成后配置Fortinet设备。

　　2. 监控：管理员监控安全基础设施设备的状态和运行状况，包括资源监控和网络使用情况。可以监视网络基础设施的外部威胁，并生成警报以提供建议。

　　3. 维护：管理员根据需要更新配置，使设备保持最新状态。

　　4. 升级：病毒定义、攻击和数据丢失防护签名、web和电子邮件过滤服务以及设备固件映像都是最新的，以提供持续的保护。

　　FortiManager可以帮助减少这些阶段中的工作负载。

知识检查

非常好！你现在理解了FortiManager关键的概念。

　　接下来，你将学习如何初始化配置FortiManager。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示FortiManager初始配置的能力，你将能够将FortiManager添加到你的网络中，并执行基本的管理任务。

通常，你首先要考虑的是。我应该把FortiManager放在我的网络中的什么位置?

　　通常，你应该将FortiManager部署在防火墙后面，比如FortiGate。在周边防火墙。出于安全考虑，只允许FortiManager的防火墙策略中的相关端口。如果管理员或远程FortiGate设备将从你的管理子网外部(例如从internet)建立到FortiManager的入站连接，请创建一个虚拟IP。

　　为了防止在网络故障时失去访问权，直接将管理计算机连接到FortiManager或通过交换机。

FortiManager的任务使用许多TCP和UDP端口。只使用最常见的缺省端口。FortiManager在此表中列出。此外，FortiManager使用标准管理端口，例如：

　　HTTP　　　　Port 80 (TCP)

　　HTTPS　　　Port 443 (TCP)

　　SSH　　　　Port 22 (TCP)

　　特别是如果你的FortiManager部署在防火墙之后，最好知道正在使用哪些端口。帮助你分析、诊断和解决常见的网络问题。

　　FortiManager级联模式：可选FortiGuard服务的上游(级联模式)服务器

在检查配置设置之前。讨论安全的重要性是必要的。你的FortiManager管理你所有的Fortinet网络安全设备，因此数据得到适当保护是至关重要的。

　　以下是一些安全建议：

　　● 将你的FortiManager部署在受保护和受信任的专用网络中，它永远不应该直接部署在互联网上。

　　● 始终使用安全连接方法进行管理：HTTPS用于基于web的管理，或从CLI进行SSH访问。不安全的方法，如(HTTP)是纯文本，所以攻击者可以使用包嗅探工具获取信息，可以用来破坏你的网络。

　　● 在你的用户上使用可信的主机，并且只允许从特定位置登录。如果你确实需要打开对该设备的外部访问，以便远程设备能够连接，那么只打开为此所必需的端口。其他开放的端口会增加你的安全风险。如果你需要从外部打开直接登录访问，请确保为此设置特殊用户帐户，并且只开放安全的协议。还应该使用安全密码，并强烈建议使用密码策略。

　　● 你可以启用和配置以下密码策略：

　　　　最小长度：密码必须包含的最小字符数，从8到32，默认值：8。

　　　　必须包含：必须包含大写字母、小写字母、数字和特殊字符。

　　　　管理员密码有效期：指定密码有效期。当密码过期时，系统将提示管理员输入新密码。

重要的是了解出厂默认设置，如默认用户名和密码、端口1 IP地址、子网掩码和默认支持的管理访问协议，以便你可以初步连接到你的管理计算机并为你的网络配置FortiManager。

　　你可以在特定于型号的快速入门指南中找到默认设置。不同的FortiManager型号拥有不同数量的端口，但是端口1是管理端口，并且将始终拥有这个默认IP。

　　说明首次登录FortiManager管理界面时，在浏览器中输入https://<出厂默认IP地址>。在登录屏幕出现后，使用工厂默认的管理员凭据来登录。默认凭据是用户名admin和一个空白密码。

在系统设置>仪表板下，你可以看到系统资源和其他小窗口，包括：

　　● 系统信息：显示FortiManager系统的基本信息，如启动时间、固件版本等。你还可以启用或禁用管理域和FortiAnalyzer功能选项。

　　● 系统资源：显示CPU、内存、硬盘的实时和历史使用状态。

　　● 许可信息：显示FortiManager管理的设备数和允许的最大设备数。也可以手动上传FortiManager虚拟机系统的许可证。可以为高端FortiManager设备购买附加许可，以增加可以管理的设备数量。

　　● 单位操作：显示FortiManager设备端口的状态和连接信息。它还允许你关闭并重新启动FortiManager，或重新格式化硬盘。

　　● 警报消息控制台：显示FortiManager和连接的设备之间基于日志的警报消息。

FortiManager的初始配置与FortiGate非常相似。为了为你的网络配置FortiManager，你必须设置IP地址和网络掩码，选择支持的管理访问协议，并为路由数据包指定一个默认网关。你可以从Network页面完成所有这些操作。

　　端口1为管理接口，默认IP地址和掩码为：192.168.1.99/24。如果你的管理子网使用不同的子网，或使用IPv6，请更改这些设置。必须是唯一的静态IP地址。在“默认网关”中输入下一跳路由器的IP地址，并指定你的DNS服务器。默认情况下，在DNS服务器设置中配置了FortiGuard DNS服务器，以确保FortiGuard下载和查询的连通性。但是你可以指定一个本地DNS服务器。

　　通过服务访问功能，可以在此界面上启用FortiManager响应被管理设备对FortiGuard服务的请求。这包括FortiGate更新和网络过滤。缺省情况下，对被管理设备的所有服务在端口1上是开启的，其他端口是关闭的。

根据你的网络，你可以配置额外的接口，也可以配置到不同网关的静态路由(IPv4或IPv6)，这样数据包就可以通过不同的路由下发。抓包功能可以捕获接口上pcap格式的报文。当疑难解答FortiManager连通性问题时，此特性非常有用。

FortiManager功能窗格包括：

　　Fabric View、Device Manager、Policy & Objects、AP Manager、VPN Manager、FortiSwitch Manager、FortiGuard、SOC和系统设置窗格。

　　如果你想使FortiManager充当日志记录和报告设备，你可以在FortiManager仪表板上或使用CLI。请记住日志记录速率限制。此外，FortiManager将需要额外的资源(CPU、内存、磁盘)来处理日志和报告。

　　在启用此特性之前，确定网络的最大日志记录速率，以确保不会删除任何日志。

　　当FortiManager上启用FortiAnalyzer特性集时，FortiManager将重新启动。你也会下列窗格：

　　Log View窗格，提供来自被管理设备的日志消息。你可以查看流量日志、事件日志和安全日志信息。Incidents & Events窗格，你可以在其中配置基于日志类型和日志过滤器的事件处理程序，并指定是否通知电子邮件地址、SNMP服务器或syslog服务器。Reports窗格，提供基于设备日志的报表。

与FortiOS类似，你可以使用本幻灯片中显示的CLI命令来检查FortiManager上的常规问题或进行故障排除。例如，查看状态、接口、DNS的基本设置ortiManager。

你可以使用此命令获取基本的FortiManager系统信息，这些信息对于故障排除非常有用。你可以使用该命令获取信息，例如：

　　● Version：确保FortiManager固件版本与所注册的设备兼容。(请参阅FortiManager发布说明以获得支持的固件版本。)

　　● Admin Domain Configuration：如果试图注册非fortigate设备，确保ADOM已启用。此外，它还显示了FortiManager型号支持多少ADOM。

　　● Current Time：确保你的日期和时间设置根据你的需要。为了使许多特性能够正常工作，包括调度、FortiManager-FortiGate隧道协商和日志记录特性，FortiManager系统时间必须是准确的。虽然你可以手动设置日期和时间，但你应该与网络时间协议(NTP)服务器同步。

　　● License Status：确保你有有效的许可证。

知识检查

非常好！现在你了解了如何初始化配置FortiManager。

　　接下来，你将基于不同的组织研究FortiManager的一些用例。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过理解FortiManager用例，你将能够了解FortiManager在其他组织中常用的不同方式，如果可以的话，还可以使用其中一些策略。

一个常见的FortiManager用例涉及大型零售客户或分布式企业，因为它们的分支机构中往往有许多较小的客户前提设备(CPE)设备，以及远程站点和几个主要站点。这些客户受益于集中式防火墙配置和监控。

　　在大型企业部署中，管理员通常喜欢安装技术人员通过USB加载的基本初始配置，或者复制并粘贴到控制台中。这个基本配置允许FortiGate联系FortiManager，管理员可以将其添加到适当的设备组或ADOM中，然后将完整配置发送到该FortiGate。

另一个常见用例涉及托管安全服务提供者(MSSP)。

　　运营商通常有许多功能强大的防火墙，需要严格的配置控制，这可以通过限制FortiManager的配置来实现。MSSP可以将它们的防火墙细分为它们提供给客户的虚拟防火墙，或者它们可以管理客户场所中的设备。在这两种情况下，他们都需要为客户维护配置修订，并提供一个门户，客户可以在其中查看或编辑他们的一些设置。

　　现在能够满足现付现付服务模型的需求，FortiManager允许MSSP通过使用Fortinet VM按需程序来避免永久许可证的开销。