教程篇(6.4) 11. FortiManager SD-WAN和安全结构 ❀ Fortinet 网络安全专家 NSE5

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(6.4) 11. FortiManager SD-WAN和安全结构 ❀ Fortinet 网络安全专家 NSE5相关的知识,希望对你有一定的参考价值。

 在本课中,你将学习SD-WAN、全局ADOM和安全结构。

 在这节课中,你将学习这张幻灯片上显示的主题。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  现在,你将了解SD-WAN及其功能设置。

 配置SD-WAN时,必须至少指定两个成员接口。在FortiGate的初始设置阶段,应该尽早配置SD-WAN,因为如果接口已经被防火墙策略引用,则不能将其作为成员接口使用。如果需要使用某个接口作为SD-WAN成员,且该接口正在被防火墙策略引用,必须先删除关联的防火墙策略,才能将该接口分配为SD-WAN成员。SD-WAN除支持物理接口外,还支持VLAN、聚合、IPsec接口。

  FortiManager将所有成员接口组合成一个虚拟接口:SD-WAN接口。使用SD-WAN可以简化配置,管理员只需配置一组路由和防火墙策略,并将它们应用到所有成员接口上。每个VDOM只能有一个SD-WAN接口。

  使用FortiManager创建SD-WAN的第一步是在ADOM中启用SD-WAN中央管理。

 配置用于SD-WAN模板和性能SLA的健康检查服务器。

  健康检查服务器是一种检测路径上的路由器何时停止或降级的机制。FortiGate通过周期性地通过每个成员链路向充当信标的服务器发送探测信号,可以检查参与性能SLA的每个SD-WAN成员接口的状态(或健康)。你可以指定多个服务器作为信标。这是为了防止服务器出错,而不是链接出错。

  配置SD-WAN时,必须至少指定两个成员接口及其关联网关。

 SD-WAN模板允许你将SD-WAN组件添加到单个模板中。可以添加接口成员、性能SLA和SD-WAN规则。

  你可以创建新的SD-WAN规则,也可以使用默认的隐式规则。隐式规则的目的是在所有可用的SD-WAN成员链路之间均衡流量。SD-WAN规则允许你指定希望通过哪个接口路由的流量。你可以根据在性能SLA中配置的链路时延、抖动或丢包百分比,配置SD-WAN规则来选择出接口。规则的评估方式与防火墙策略相同:从上到下,使用第一个匹配。

 你必须在“指定的设备”一节中为SD-WAN配置指定设备。选择设备和SD-WAN模板后,将看到所有的SD-WAN成员接口。

 使用SD-WAN接口时,不需要为单个成员接口配置多条防火墙策略。使用SD-WAN接口创建的防火墙策略允许流量从任意成员接口转发。

  安装SD-WAN策略前,必须配置正确的动态接口和映射端口。在本幻灯片的示例中,Local-Fortigate是一个新导入的设备,没有防火墙策略或正确的端口映射,因为SD-WAN配置不需要策略与其成员接口关联。你必须正确地使用动态映射将port3映射到Local-FortiGate port3,如本幻灯片所示。

 现在可以在FortiGate设备上安装SD-WAN设置。在实现SD-WAN时,仍然需要配置缺省路由。使用SD-WAN接口的缺省路由配置不需要网关地址,因为FortiGate会根据成员接口网关信息将报文转发到适当的网关。可以使用设备管理器或脚本创建静态路由。如果使用直接CLI脚本创建静态路由,必须在FortiGate上运行脚本之前安装SD-WAN设置。

 成功安装所有设置后,可以在FortiManager SD-WAN监控器或被管理的FortiGate设备上查看SD-WAN的状态。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  现在,你将了解SD-WAN协调器及其特性集。

 SD-WAN协调器允许客户显著简化集中式部署,并通过直观的工作流实现自动化,从而节省时间并提供以业务为中心的策略。

  FortiGate设备必须同时添加到FortiManager和SD-WAN协调器中。

 SD-WAN协调器使用以下方法与FortiManager一起在FortiGate上安装配置:

  1. SD-WAN协调器自动生成配置的CLI脚本。

  2. SD-WAN协调器将CLI脚本安装到FortiManager上的Device Manager数据库中。

  3. FortiManager接收CLI脚本,并将配置安装到FortiGate。

  SD-WAN协调器为生成的隧道接口创建动态接口。动态接口使用每个设备的接口映射,在创建策略时可以在FortiManager上使用它们。

 开始使用SD-WAN协调器的第一步是在FortiManager上启用它。SD-WAN协调器是FortiManager上管理扩展的一部分,只有具有Super_User配置文件的管理员才能启用管理扩展。

  在本课中,你将学习其他步骤。

 当将FortiGate设备添加到其相应的区域时,FortiGate设备必须能够连接FortiManager。

  SD-WAN协调器自动在所有中心之间建立覆盖。每个中心还建立到同一区域内每个边缘设备的隧道。

 你可以定义一次资源,然后通过使用共享资源树菜单在多个配置文件中选择它们。你可以创建以下共享资源:

  ● 内网地址

  ● 网络资源,如DHCP服务器

  ● SLA质量级别和服务器

  ● SD-WAN协调器使用的服务器,如NTP服务器、FortiGuard服务器、邮件服务器

  ● 健康阈值

  建议创建一个内网IP池,供SD-WAN协调器为所选设备创建SD-WAN网络时使用。使用此IP池,SD-WAN协调器将为局域网段中的设备提供IP地址。SD-WAN协调器将基于此分配自动创建地址对象和地址组。可在“内网地址”中查看。

 创建配置文件将创建一个模板,定义SD-WAN网络中设备的一般系统、网络和业务策略。

  业务规则定义了SD-WAN网络中各个子网之间的路由策略,或者定义了来自SDWAN子网的流量如何访问internet。SD-WAN协调器在配置文件中包含预定义的业务规则。你还可以创建自定义业务规则。

 建议先将FortiGate设备添加到FortiManager中,然后再添加到SD-WAN协调器中。但是,在某些情况下,可以先将FortiGate设备添加到SD-WAN协调器。你可以首先使用它的序列号将离线FortiGate设备添加到SD-WAN协调器,这称为添加型号设备。当你将型号设备添加到SD-WAN协调器时,型号设备也将添加到FortiManager中。

  添加设备后,可以通过编辑分配的配置文件或覆盖每个设备的设置来更改设置。

  在“First Online Action”下拉列表中有三个选项可供选择:

  ● NONE:将设备加入SD-WAN协调器后,手动启动配置安装。

  ● RETRIEVE_CONFIG:当设备第一次联机时,从设备中导入一些配置设置。引入主机名、WAN端口、LAN/DMZ端口、静态路由等配置。

  ● SYNC_CONFIG:选择在设备第一次联机时安装与配置文件相关联的SD-WAN协调器配置。

  在所有设备上配置SD-WAN网络后。你可以使用FortiManager定义和安装防火墙策略到SD-WAN网络中的FortiGate。

  SD-WAN协调器还在FortiManager上创建两个策略块:一个用于中心设备(SD-WAN_Overlay_PB_HUB)和一个边缘设备(SD-WAN_Overlay_PB_EDGE)。安装防火墙策略前,建议将策略块插入到策略包中,并将策略块移到顶部。策略块包括允许VPN隧道的健康检查流量和协商流量所必需的防火墙策略。在FortiManager上单击“policy”,可以查看策略和对象>策略包。

 知识检查

 知识检查

 非常好!现在你了解了SD-WAN。

  接下来,你将研究全局ADOM。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  接下来,你将了解全局ADOM及其特性集。

 全局策略和对象允许管理员通用地推送防火墙策略。所有ADOM。全局策略包必须显式地分配给管理员希望在其上安装类似策略的特定ADOM。

  这张幻灯片上的插图显示了不同的ADOM可以使用不同的全局策略。创建全局策略包时,可以选择要将特定策略应用于的ADOM。此外,你甚至可以在希望将全局策略应用到的单个ADOM中选择特定的策略包。

  你可以根据所管理的网络环境类型创建全局策略包,并应用页眉或页脚策略来满足安全需求。

 你可以使用页眉和页脚策略将策略包装到每个单独的ADOM中。一个使用页眉和页脚策略的例子是在运营商环境中,在这种环境中,运营商允许客户流量通过他们的网络,但不允许客户访问运营商的网络资产。

  这张幻灯片上的插图展示了如何将全局策略和对象分配给ADOM策略包。

  在本节中,你将学习如何应用全局头策略,以拒绝所有TELNET流量到一个公共IP地址,然后将其分配给一个ADOM。

 输入全局数据库ADOM来访问全局策略数据库。页首策略是位于单个ADOM中策略包顶部的策略。页脚策略是位于单个ADOM中策略包底部的策略。

 在本幻灯片所示的示例中,我们创建了一个头策略来阻止TELNET流量通过被管理防火墙。下一步是将这个策略分配给单个ADOM中的一个策略包。

 选择你想要添加到单个ADOM策略包的全局策略包,然后单击Assignment> Add ADOM。

  在本幻灯片所示的示例中,默认全局策略包被添加到四个策略包中,除了MyADOM ADOM中的默认和克隆的策略包。添加全局策略包后,状态显示为Pending更改,因为它没有分配给单个ADOM策略包。ADOM policy Packages列只显示了从MyADOM ADOM中可用的五个包中选择的三个策略包。要将全局策略包分配给单个ADOM策略包,请单击assign或assign Selected。

  Assign选项将全局策略包和使用的对象提交给单个ADOM策略包。

  Assign Selected,另一方面,提供了更高级的选项,包括:

  ● 只分配使用过的对象

  ● 分配所有对象

  ● 自动在ADOM设备上安装策略

  安装完成后,状态变为“Up to date”。

 所有全局对象都以“g”开头,并且只在全局ADOM中被编辑或删除。

  在本幻灯片的示例中,头策略被添加到Local-FortiGate。只能将一个全局策略包分配给单个ADOM策略包。将一个额外的全局策略包分配给同一个单独的ADOM策略包将删除以前分配的策略。同样,标题和页脚策略也不能在单个ADOM策略包中的规则之间进行编辑和移动。

  策略包必须安装在被管理设备上,新规则才能工作。头策略安装在目标设备上防火墙规则列表的顶部。

 知识检查

 知识检查

 非常好!现在你了解了全局ADOM。

  接下来,你将研究安全结构及其特性。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示理解安全结构及其特性集的能力,你将能够在你的网络中有效地使用安全结构。

 FortiManager可以识别设备的安全结构组,并在设备管理器窗格中显示该组中的所有设备。可以像管理单个设备一样管理安全结构组中的设备。你可以在FortiManager上查看你的网络拓扑。拓扑中的任何更改都会自动更新到FortiManager上。你还可以通过结构视图和安全评级来查看安全结构数据。

 在FortiManager上,可以添加现有的Security Fabric组,也可以为管理的FortiGate设备创建新的Security Fabrio设置。如果要添加现有的Security Fabric组,必须将Security Fabric组的根FortiGate添加到FortiManager中。添加根FortiGate后,Security Fabric组中的所有设备都会自动添加到“未授权设备”中。

  在本课中,你将学习如何在FortiManager上创建安全结构设置,并安装设置到管理的FortiGate设备。首先,你需要通过全局显示选项启用安全结构特性。启用安全Fabric特性后,可以在“系统>安全Fabric设置”中为每个设备配置所有安全Fabric设置。

 实现Security Fabric的第二步是配置根和下游FortiGate设备。在根和下游FortiGate设备中,必须选择“启用安全结构”复选框。此时,需要为两台设备配置相同的组名和密码。对于下游的FortiGate设备,必须在“与上游FortiGate连接”中配置上行的FortiGate IP地址。

 实现安全结构的第三步是在面向任何下游或上游FortiGate设备的接口上启用安全结构连接。

 在配置了所有的Security Fabric设置之后,可以使用install Wizard安装两个设备上的所有更改。为了完成完整的安全结构过程,您需要在根FortiGate上配置FortiAnalyzer设置,并授权FortiAnalyzer上的所有设备。在FortiAnalyzer上授权所有设备后,可以在“被管设备”区域查看FortiManager上安全Fabric组的成功。如果你没有看到Security Fabric组名,你可能必须右键单击根FortiGate设备并刷新它。

 通过“Fabric Vicw”窗格,你可以查看FortiGate安全Fabric组配置的安全Fabric等级。可以查看多个FortiGate安全Fabric组的查看结果。

 Security Rating特性包括新的安全检查,可以帮助您改进组织的网络,例如加强密码安全性、应用推荐的登录尝试阈值、鼓励双因素身份验证,等等。您可以查看安全结构组中所有FortiGate设备配置的安全结构评级,或安全结构组中单个FortiGate设备的安全结构评级。

  不能使用FortiManager生成安全结构评级;你必须使用Fortios为FortiGate安全结构组生成安全结构评级,然后你可以在FortiManager看到安全结构评级。

  安全评级页面分为三个主要的记分卡:

  ● 安全状况

  ● 结构覆盖

  ● 优化

  这些记分卡提供了安全结构中三个最大的安全重点领域的执行摘要。

  记分卡显示了整体的字母等级和细分的表现在子类别。单击记分卡将深入到详细的结果报告和遵从性建议分数代表该区域所有通过和不通过项目的净分数。该报告包括测试的安全控制,链接到特定的FSBP或PCI合规策略。你可以单击FSBP和PCI按钮来参考相应的标准。

 FortiManager识别设备的Security Fabric组,并允许您显示Security Fabric拓扑。单击“Fabric View > Physical Topology”。“逻辑拓扑”,或右键单击“安全Fabric”设备,选择“Fabric Topology”,在“安全Fabric”组中查看整个设备拓扑。

 知识检查

 知识检查

 恭喜你!你已经完成了这一课。

  现在,你将回顾你在本课中涉及到的目标。

 这张幻灯片显示了你在本课中涉及的目标。

  通过掌握本课中涉及的目标,你学习了SD-WAN、全局ADOM和安全结构。

 

以上是关于教程篇(6.4) 11. FortiManager SD-WAN和安全结构 ❀ Fortinet 网络安全专家 NSE5的主要内容,如果未能解决你的问题,请参考以下文章

教程篇(6.4) 08. 额外的配置 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5

教程篇(6.4) 10. FortiManager 策略和对象 ❀ Fortinet 网络安全专家 NSE5

教程篇(6.4) 08. FortiManager 设备注册 ❀ Fortinet 网络安全专家 NSE5

教程篇(6.4) 07. FortiManager 实施和管理 ❀ Fortinet 网络安全专家 NSE5

教程篇(6.4) 07. 诊断和故障排除 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5

教程篇(6.4) 09. FortiManager 设备级配置和安装 ❀ Fortinet 网络安全专家 NSE5