教程篇(6.4) 10. FortiManager 策略和对象 ❀ Fortinet 网络安全专家 NSE5

Posted 2021-05-20 meigang2012

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了教程篇(6.4) 10. FortiManager 策略和对象 ❀ Fortinet 网络安全专家 NSE5相关的知识，希望对你有一定的参考价值。

在这节课中，你将学习如何在FortiManager上为FortiGate管理策略和对象。你还将学习如何在FortiManager上配置策略和对象，然后在FortiGate上安装它们。

在这节课中，你将学习这张幻灯片上显示的主题。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　在FortiManager为被管理安全设备管理策略和对象之前，你必须了解策略和对象窗格的特性，用于在组织中定制策略。通常，管理员可能希望根据地理、安全或法律需求等因素定制访问和策略。

　　在这节课中，你将探索FortiManager上的策略和对象窗格。

你可以在单个ADOM中创建多个策略包。FortiManager允许你在特定的ADOM中为每个设备或VDOM定制策略包。你可以将这些策略包指向单个设备、多个设备、所有设备、单个VDOM、多个VDOM或单个ADOM中的所有设备。通过允许你复制或克隆现有的策略包，FortiManager有助于简化新设备、ADOM或VDOM的供应。你还可以创建ADOM修订，它允许你在ADOM中维护策略包和对象设置的修订。

策略包为你的防火墙规则集提供了一个有用的容器，从而简化了集中的防火墙策略管理。策略包包含防火墙策略，这些策略链接到你在对象配置窗格中定义的对象。对象共享每个ADOM的公共对象数据库。你可以在ADOM中的多个策略包之间共享对象。

　　你可以在一个ADOM中为许多设备管理一个通用的策略包，或者为每个设备拥有一个单独的策略包。策略包允许你维护规则集的多个版本。例如，你可以在进行更改之前克隆策略包，这允许你保留以前的规则集。

　　注意：尽管策略包允许防火墙策略规则集的多个版本，但这些包中引用的对象没有多个版本，它们只使用当前值。

　　例如，假设你克隆了一个策略包，添加了一个新规则，然后更改一个共享对象的值。如果返回到策略包的前一个版本，你将退出添加的规则，但不会退出对共享对象的修改。返回到策略包以前版本的唯一方法是使用ADOM修订，它获取该ADOM的policy & Objects数据库的快照，包括退出添加的规则和对共享对象的修改。

在单个ADOM中，管理员可以创建多个策略包。FortiManager允许你在特定的ADOM中为每个设备或VDOM定制策略包，或者在一个ADOM中为多个设备应用单个策略包。通过定义策略包的范围，管理员可以修改或编辑该包中的策略，而不需要更改其他策略包。

一个ADOM中的所有对象都由该ADOM唯一的一个数据库管理。数据库中的对象包括防火墙对象、安全配置文件、用户和设备。

　　对象在ADOM中共享，可以在多个策略包中使用。这简化了管理员的工作。例如，你可以一次性创建一个安全配置文件，并将其附加到多个策略包上，以便在多个FortiGate设备上安装。

　　要创建或编辑现有的对象，在object Configurations中，从屏幕左侧的菜单中选择对象类型。

显示选项功能允许你在GUI中显示特定的功能。可用的显示选项取决于ADOM版本，并因ADOM不同而有所不同。

　　默认情况下，当你打开显示选项时，会选中最常用选项的复选框。通过选择或清除功能旁边的复选框，可以在显示选项中显示或隐藏功能。你可以通过选择类别名称旁边的复选框来显示类别中的所有选项，或者通过选择显示选项窗口底部的全部勾选来显示所有类别。

　　你还可以在显示选项中启用其他防火墙策略类型，如NAT64、IPv6和接口策略。

策略文件夹帮助你管理策略包。你可以根据组织、地理、安全需求或法律需求定制策略，并将策略组织到特定的策略文件夹中。

　　你可以在策略文件夹中创建新的策略子文件夹，以帮助你更好地组织策略包。

要创建或编辑策略，请在策略包中选择Firewall policy。你可以创建新策略或编辑现有策略。右键单击现有策略的序列号，可以查看更多选项，如克隆、剪切、粘贴、移动等。

单击对象选择列，可以向防火墙策略中添加或移除对象。当前使用的对象用黄色突出显示。当你选择列表中的其他对象时，它们将以黄色突出显示。

在策略包中，可以搜索或过滤策略。你可以执行以下搜索：

　　● 简单搜索：默认选择此选项，并突出显示与你在搜索框中输入的字符串匹配的文本。

　　● 列过滤器：单击列筛选器图标可以切换到列筛选器。它允许你按列搜索防火墙。你可以添加多个筛选器，并将Or或Not条件应用于搜索。

　　● 查找和替换：你可以查找和替换多个策略和策略包中使用的对象。右键单击一个对象，选择查找和替换。搜索所有策略包中的所有策略，并在查找和替换对话框中显示发现的对象。你可以用多个对象替换一些对象。

策略包在一个或多个设备或VDOM上有一个安装目标。策略包可以共享相同的安装目标，但是，在设备或VDOM上只能有一个策略包是活动的。活动的策略包会在设备管理器窗格中列出。

　　可以在安装目标窗格中添加、编辑或删除安装目标。

　　添加安装目标后，它将出现在安装目标列表中。在目标上安装新分配的策略包时，安装向导会显示一条警告消息，其中包含以前分配的策略包的名称。

　　安装新策略包后，它将显示为这些设备或VDOM的活动策略包，在设备管理器窗格的策略包状态列中。

如果需要在多个设备之间共享策略包(除了针对特定FortiGate设备的少数策略之外)，该怎么办?

　　通过单击Install On列，可以为实际策略中的每个规则执行粒度安装目标。这允许你添加、删除目标设备，或设置为默认值。

　　因此，通过使用安装目标，你可以在多个设备之间共享策略包，并在策略中为每个设备定义规则。共享策略包在许多设备需要共享公共策略(可以针对每个设备的少数策略除外)的环境中很有用，并且消除了对多个策略包的需要。

一个ADOM中的所有对象都由一个唯一的ADOM数据库管理。许多对象现在都包含了启用动态映射的选项。你可以使用动态对象将单个逻辑对象映射到每个设备的唯一定义。可以动态映射地址、接口、虚拟IP、IP池等常用特性。一个常见的例子是防火墙地址。地址对象可能有一个通用名称，但根据安装它的设备有不同的值。

　　在本幻灯片所示的示例中，动态地址对象LocalLan指的是被管理防火墙的内部网络地址。缺省值为192.168.1.0/24。映射规则为每个设备定义。Remote-FortiGate的地址对象LocalLan是10.10.11.0/24,Local-FortiGate的地址对象是10.10.10.0/24。ADOM中没有LocalLan动态映射的设备的默认值是192.168.1.0/24。

　　要添加用于动态映射的设备，请打开“Per-Device Mapping”开关，然后在“Per-Device Mapping”区域单击“Create New”。在打开的弹出窗口中，选择设备并设置IP范围/子网。

在创建ADOM时将创建缺省的规范化接口。默认的规范化接口包含许多针对所有FortiGate型号的平台映射规则。

　　在本幻灯片显示的示例中，接口internal1被映射到突出显示的平台的internal1。默认的每个平台映射规则允许你在FortiGate设备上安装策略，而无需首先创建自定义映射规则。

　　你可以将规范化接口名称映射到不同FortiGate型号上的不同物理接口名称。在本幻灯片显示的示例中，名为LAN的规范化接口被映射到LocalFortiGate的port3和Remote-FortiGate的port6。

　　在创建虚拟连线对时，还可以选择规范化接口。

如前所述，LAN被映射到Local-FortiGate上的port3。因此，在被管理FortiGate上安装防火墙策略后，LAN接口将显示为port3。

　　但是，可信仍然未被触及，因为你将它作为一个区域安装在设备上，而port5和port6接口是它的一部分。

在FortiManager上，可以删除已使用的对象。FortiManager将显示一条警告消息，说明该对象目前正在被其他防火墙策略或对象使用。要查看该对象的引用，请单击“使用位置”。但是，如果你删除一个已使用的对象，FortiManager将用一个none对象替换它。none对象等于null，这意味着任何符合该防火墙策略的流量都将被阻塞。除非有一个更广泛的策略仍然满足流量需求，或者定义了一个允许所有流量(捕获所有流量)的策略。

　　在删除对象之前，应该仔细检查所有对对象的引用，以避免意外的防火墙策略行为。

Find Unused Objects是一个内置的GUI工具，管理员可以使用它来帮助你定位FortiManager ADOM对象数据库中所有未使用的防火墙对象。Find Unused Objects搜索所有类型的防火墙对象，并将结果显示在一个弹出窗口中。你可以在“未使用的对象”弹出窗口中直接删除未使用的对象。这将从FortiManager ADOM对象数据库中删除所选对象。

与“查找未使用的对象”类似，“查找重复对象”工具搜索FortiManager防火墙对象数据库，并显示分配给它们的重复值的所有对象。在本幻灯片所示的示例中，该工具发现自定义服务对象FTP、FTP_GET和FTP_PUT具有相同的值。找到重复的对象后，如果需要，你可以使用相同的向导来合并对象。

策略检查只提供可以进行哪些改进的建议，它不执行任何更改。它使用一种算法来评估基于以下的策略对象：

　　● 源和目的接口策略对象

　　● 源地址和目的地址策略对象

　　● 服务和调度策略对象

　　策略检查检查：

　　● 复制，两个对象具有相同的定义

　　● 阴影，一个物体完全遮蔽另一个相同类型的物体

　　● 重叠，一个对象部分重叠另一个相同类型的对象

　　● 孤立，定义了一个对象，但没有在任何地方使用过

　　选择策略包，在“策略包”下拉列表框中单击“策略检查”。在“策略一致性检查”对话框中，你可以选择以下选项之一：

　　● 执行策略一致性检查：执行策略一致性检查，并提供任何可能阻止你的设备通过流量的冲突

　　● 查看策略一致性检查结果：查看最近一次的一致性检查结果

　　在本幻灯片显示的示例中，就接口和对象而言，策略ID 2和1具有相同的源和目标，但具有不同的服务。你可以通过将服务添加到一个策略来组合这两个策略。

　　需要注意的是，策略检查只提供可以改进的建议，它实际上不做任何更改。

选择需要克隆的策略包，然后在“策略包”下拉列表框中单击“克隆包”。因为策略包是克隆的，所以它将具有与原始策略包相同的安装目标，但是你可以对此进行编辑。还可以将策略从一个策略包复制到同一ADOM中的另一个策略包。

　　在本幻灯片显示的示例中，克隆了现有的策略包Local-FortiGate，并命名为clone_of_Local-FortiGate。新创建的策略包具有相同的安装目标设备Local-FortiGate。

　　警告：你不应该将多个策略包指向一个目标，因为这会增加用户出错的机会。

知识检查

非常好！现在你了解了策略和对象管理。

　　接下来，你将检查导入和安装向导。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示在策略和对象窗格上理解配置和管理防火墙策略选项的能力，你将检查导入策略向导和安装向导，你可以使用它们来管理FortiManager上的设备。

在每次检索、自动更新和安装操作之后，FortiManager将FortiGate配置存储在修订历史中。

　　这张幻灯片上的插图显示了政策包的状态：

　　● 导入：表示被管理设备导入策略包成功

　　● 已安装：表示策略包已安装在被管理设备上

　　● 未安装：策略包从未被创建，因此从未为被管理设备导入

　　● 已修改：在FortiManager上修改了策略包配置，且未推送到被管理设备

　　● 不同步：由于本地FortiGate上的配置更改或以前的部分安装失败，最新的策略包与最新修订历史上的策略和对象配置不匹配。你应该执行检索，然后从FortiManager导入策略。

　　● 冲突：如果你在FortiGate上进行了本地策略配置更改，但没有将更改导入到策略包中，并且你也在FortiManager上进行了更改，则状态将进入冲突状态。根据配置更改，你可以导入策略包或从FortiManager安装更改。

　　● 未知：FortiManager无法确定策略包状态。

　　你可以通过导入策略包或安装策略包来解决大多数策略状态问题。

幻灯片顶部的屏幕截图显示了diagnose dvm device list的输出，其中策略包被修改，而配置状态是同步的。这表明只有策略包被修改，而不是设备级设置。同样的信息也可以在GUI中获得，如幻灯片底部的屏幕截图所示。

FortiGate通常已经有一个正在运行的配置。导入策略向导指导你将策略和对象导入到FortiManager中。导入设备时，创建一个新的策略包，该策略包不会与其他策略包相互干扰。但是，导入的对象将添加或更新现有的对象。你可能想在执行导入之前创建一个新的ADOM修订。

　　如果在FortiManager中添加未注册的设备，提升设备后必须运行导入策略向导。

　　接下来的几张幻灯片将探索向导引导你完成的阶段。

缺省情况下，防火墙上配置的接口存在对应的接口映射。这允许在策略包中引用设备接口。你可以在向导中重命名ADOM接口映射。在本幻灯片所示的示例中，port1被重命名为External，而port3被重命名为Internal。策略在Local-FortiGate是port1和port3，但在FortiManager上，它们被本地引用为External和Internal。注意，默认情况下，为所有未使用的设备接口添加映射复选框被选中，并为新接口创建一个自动映射。

　　向导将执行策略搜索，以查找准备导入FortiManager数据库的所有策略。你可以选择导入所有防火墙策略，也可以选择导入特定的策略。如果你选择只将特定的策略导入到策略包中，然后再安装策略更改，那么未导入的策略将在FortiGate上本地删除。这是因为FortiManager在策略包中没有这些策略。

　　也可以选择是导入所有已配置的对象，还是只导入当前防火墙策略引用的对象。无论你选择只导入依赖于策略的对象还是导入所有对象，系统都将在下一次安装中删除未绑定到FortiGate本地策略的孤立(未使用)对象。但是，如果选择导入所有对象，那么系统将导入FortiManager ADOM对象数据库中所有已使用和未使用的对象，以后可以通过引用FortiManager上的策略并将它们安装到被管理设备上来使用它们。

　　默认情况下，当你运行导入策略向导时，将选择Import All和Import Only策略依赖对象。需要注意的是，如果你在一个ADOM中管理多个设备，并选择为所有设备导入所有对象，对象数据库将充满未使用的对象，这可能会让管理员不堪重负。

导入完成后，向导提供了Policy import Summary和Download import Report。你可以在设备导入页面下载导入报告。你可以使用任何文本编辑器查看报表。

　　作为最佳实践，你应该下载该报告。

　　导入报告提供了关于FortiGate、FortiManager上的ADOM名称和策略包名称的信息。报告还提供了其他信息，例如作为新对象添加的对象。在FortiGate和FortiManager上本地具有相同值的现有对象称为DUPLICATE。如果更改了现有对象的值，FortiManager将更新其数据库中的该对象，并在导入报告中显示更新前一个对象。

对策略包进行配置更改后，策略包状态被标记为在设备管理器窗格中修改。有多种方式可以启动安装向导：在设备上管理器窗格，以及策略和对象窗格。如果你正在使用ADOM，请确保选择首先是ADOM下拉列表中的ADOM。

　　现在。你将了解使用安装向导安装策略配置更改的过程。在此过程中，策略和设备配置项会安装在被管理设备上。安装完成后，FortiManager和FortiGate同步，策略包状态由Modified变为Installed (Synchronized)。

当你选择安装策略包和设备设置时，安装向导会安装策略包和任何挂起的设备级更改。

　　将显示你选择的策略包，你可以为这个安装创建一个新的ADOM修订版本。请注意，一个ADOM版本是整个ADOM的快照，而不是特定于此的更改政策方案。

　　你还可以启用计划安装，它允许你指定安装最新策略包更改的日期和时间。

　　下一步是设备选择。在此步骤中，向导将显示在特定策略包的安装目标中选择的设备。

向导的下一步是验证。在此步骤中，向导检查所选的策略包是否适合所选的安装目标，例如策略包中的接口映射引用是否配置在安装目标上。如果验证失败，安装将停止。

　　作为最佳实践，在执行安装之前，总是预览和验证将提交给FortiGate的更改。如果这是第一次安装，你可能会看到许多更改，因为对象可能在导入过程中被重命名，而未使用的对象可能从设备配置中删除。如果不想继续安装，可以在向导的这一步取消安装。

　　最后一步是安装，这是实际的安装。向导将列出安装了配置更改的设备。安装期间发生的任何错误或警告也会出现在这里。如果安装失败，安装历史将显示安装失败的阶段。你还可以检查安装历史以确保安装成功。

　　在本幻灯片所示的示例中，向导指示配置更改已成功安装在FortiGate上，并且FortiManager已为此安装创建了新的修订历史记录。

FortiManager还提供了一个重新安装策略选项。重新安装与安装相同，只是没有提示，并且能够预览将要安装在被管理设备上的更改。重新安装策略将创建新的修订历史，并将其应用于所有选定的安装目标。

知识检查

非常好！你现在了解了FortiManager策略和对象管理，以及导入和安装向导。

　　接下来，你将检查ADOM修订和数据库版本。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　现在，你将研究ADOM修订及其对策略和对象配置的影响。

ADOM修订将策略包和对象保存在FortiManager本地。

　　你可以创建一个新的ADOM修订，查看修订之间的差异，或者恢复到特定的ADOM修订。需要注意的是，如果选择恢复到特定的ADOM修订，将基于该修订恢复所有策略包和对象。

　　警告：请记住，ADOM修订会显著增加配置备份的大小。

　　你可以根据给定的变量自动删除修订，并且可以锁定单个修订以防止它们被自动删除。单击“设置”以访问自动删除设置。

每个ADOM都与一个特定的Fortios版本相关联，该版本基于在该ADOM中管理的设备的固件版本。所选版本决定了配置设备时使用的CLI语法。创建新ADOM时选择这个版本。

　　在升级ADOM版本之前，必须将ADOM中的所有FortiGate设备更新为最新的FortiOS固件版本。

当你将设备从一个ADOM移动到另一个ADOM时，策略和对象(已使用和未使用)不会移动到新的ADOM。

　　如果需要将设备从一个ADOM移动到另一个ADOM，请运行导入策略向导将策略包导入到新的ADOM中。

　　如果需要在新的ADOM中使用以前的ADOM中未使用的对象，该怎么办?可以使用FortiManager CLI将对象从一个ADOM复制到另一个ADOM。

　　在升级FortiGate设备时，最好将它们保持在相同的ADOM中，并使用ADOM升级。将FortiGate设备移动到新的ADOM中会带来额外的工作和某些复杂性。

知识检查

非常好！现在你了解了ADOM修订和数据库版本。

　　接下来，你将研究策略锁定和工作流模式。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　现在，你将了解FortiManager上策略锁定和工作流模式的用途和使用。

策略锁定仅在工作空间标准模式下可用。策略锁定允许管理员处理并锁定单个策略包，而不是锁定整个ADOM。为了使用策略锁定，你必须将工作区模式设置为标准模式。你可以锁定整个ADOM或特定的策略包。策略锁定是ADOM锁定的扩展，它允许多个管理员同时在同一个ADOM上处理不同的策略包。当管理员超时时，或者管理员安全关闭会话而不解锁策略包时，策略锁将自动释放。

你可以使用工作流模式，而不是工作空间。在启用工作流模式之前，通知其他登录到FortiManager的管理员保存他们的工作：它将终止所有管理会话。通过工作流方式，可以控制防火墙策略和对象的创建、配置和安装。设备上安装变更需要经过审批。在工作流模式会话中所做的所有修改都必须丢弃或在会话结束时提交审批。被拒绝的会话可以被修复，并作为新的会话重新提交审批。所有会话都必须按照创建时的顺序被批准，以防止任何冲突。

　　在工作流模式中，与FortiGate配置相关的窗格最初是只读的。创建一个新的工作流模式会话。你必须先锁定ADOM，类似于工作空间。必须在CLI或GUI中启用工作流模式。启用工作流模式将注销所有管理员。