教程篇(6.4) 07. FortiManager 实施和管理 ❀ Fortinet 网络安全专家 NSE5

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(6.4) 07. FortiManager 实施和管理 ❀ Fortinet 网络安全专家 NSE5相关的知识,希望对你有一定的参考价值。

 在这节课中,你将学习如何设置和管理FortiManager。你还将学习如何使用对日常使用至关重要的特性,如ADOM、事件监视、备份和恢复。

 在这节课中,你将学习这张幻灯片上显示的主题。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过在ADOM中展示能力,你将能够在FortiManager中有效地组织FortiGate设备。

 ADOM允许admin管理员创建设备组,供管理员监控和管理。例如,管理员可以根据自己的地理位置或业务部门来管理设备。ADOM的目的是通过ADOM划分设备管理,并控制(限制)管理员的访问。

  ADOM默认不启用,只能由admin管理员或具有超级用户配置文件的管理员启用(或禁用)。一旦你更改了ADOM模式,你将被注销,以便系统可以使用新设置重新初始化。当你在启用ADOM的情况下登录时,你必须从已配置的ADOM列表中选择要查看的ADOM。你可以通过单击GUI右上角的ADOM列表轻松地在ADOM之间切换。

  请记住,ADOM的最大数量随FortiManager物理型号或VM许可证的不同而不同。

 在配置ADOM时,可以选择两种模式:标准模式或备份模式。

  在标准模式下,可以对ADOM和被管理设备进行配置更改。

  备份模式的主要目的是将配置更改直接备份到被管理设备上。

 默认情况下,ADOM以标准模式运行,并且所有的窗格都是可用的。ADOM是可读写的,它允许你对存储在ADOM数据库中的托管设备进行配置更改,然后将这些更改安装到托管设备上。

  你还可以通过FortiGate CLI或GUI直接对每个被管理设备进行配置更改。这将触发被管理设备在FortiManager上自动更新FortiGate修订历史。但是,自动更新有一个限制,它只更新设备管理器的更改,而不更新策略和对象的更改。

 如果管理的设备配置总是需要直接在设备上进行更改,并且希望仅用于修订控制和跟踪目的而使用FortiManager,该怎么办?此时,可以在备份模式下配置ADOM。

  在备份模式下,ADOM是只读的,因此设备管理器窗格是受限制的。你可以添加和删除设备,但设备级设置不可用于配置和安装。由于同样的原因,其他窗格如AP Manager、VPN Manager、FortiClient Manager、FortiSwitch Manager不可用。备份方式下,可以将防火墙地址和服务对象导入到FortiManager中,FortiManager将这些对象存储在设备管理器数据库中。你可以在Policy & Objects窗格中查看这些对象。尽管你可以在Policy & Objects窗格中查看对象,但对象并不存储在中央数据库中。这允许你在独立于中央数据库的备份ADOM中维护所有设备使用的对象存储库。

  你可以使用FortiManager上的脚本特性对所管理的设备进行配置更改。如果直接在被管理设备上进行更改,则这些更改需要满足特定的条件,以便触发设备将其配置备份到FortiManager。

 ADOM有两种设备模式:默认的标准模式和高级模式。在标准模式下,不能将不同的FortiGate虚拟域(VDOM)分配给不同的FortiManager ADOM。

  如果你是一个托管安全服务提供商(MSSP),拥有针对不同客户的FortiGate VDOM,并且希望在不同的ADOM中分离这些VDOM,该怎么办?

  在高级模式下,可以将来自同一FortiGate设备的不同VDOM分配给不同的ADOM。该设置将全局应用于所有ADOM。这将导致更复杂的管理场景。建议仅适用于高级用户。

 每个ADOM中应该包含哪些设备?

  使用简化管理的方案。例如,你可以通过以下方式来组织你的设备:

  ● 固件版本:可以在同一个ADOM中对具有相同固件版本的所有设备进行分组。例如,如果FortiGate设备运行的是固件版本5.6,你可以将这些设备分组到一个5.6版本ADOM中。

  ● 地理区域:可以将特定地理区域的所有设备分组到一个ADOM中,将不同区域的设备分组到另一个ADOM中。

  ● 指定管理员:你可以将设备分组到单独的ADOM中,并将它们分配给特定的管理员。

  ● 客户:你可以将一个客户的所有设备分组到一个ADOM中,将另一个客户的设备分组到另一个ADOM中。

  ● 设备类型:你可以为每个设备类型创建单独的ADOM。非FortiGate设备根据其设备类型自动位于特定的ADOM中。它们不能移动到其他ADOM。

  ● 组织需求:你可以将生产和测试网络FortiGate设备分离到单独的ADOM中。

  在组织管理的FortiGate设备时,总是先根据设备类型进行分组,然后再根据Fortios固件版本进行分组。不同固件版本的命令格式不同,会影响脚本的兼容性和其他特性。例如,如果你基于地理区域进行分组的,并且在同一个区域中有运行FortiOS 5.6和6.2固件的FortiGate设备,那么应该基于该地理区域的固件版本创建两个ADOM。然后,将这两个ADOM分配给该区域的管理员。然而,最佳实践是使用FortiManager ADOM升级特性并升级所有。设备固件版本相同。

 启用ADOM后,具有Super_User配置文件的管理员可以访问所有ADOM页面,其中显示管理员创建的所有默认ADOM和自定义ADOM。你可以限制其他管理员对一个或多个特定ADOM的访问。

  FortiGate ADOM被分组在一起。如果默认的ADOM不符合你的需求,你可以创建自己的ADOM。虽然你可以编辑这些默认的ADOM,但你不能编辑设备类型或设备的固件版本。这是因为,在内部,数据库结构取决于FortiManager需要为该设备类型或固件存储什么类型的数据。

  创建的ADOM类型必须与添加的设备类型匹配。例如,如果你想为FortiGate创建一个ADOM,你必须选择FortiGate作为ADOM类型。对于FortiGate ADOM,还必须选择FortiGate设备的固件版本。

  不同的固件版本具有不同的特性。因此不同的CLI语法。你的ADOM设置必须与设备的固件匹配。

  ADOM模式默认为标准。在“集中管理”下,可以启用VPN对IPsec VPN进行集中管理,也可以启用SD-WAN,对该ADOM中所有被管理设备进行SD-WAN管理。缺省情况下,FortiAP集中管理功能处于开启状态。

  自动推送策略:如果启用了自动推送,当设备恢复联机时,策略包和设备设置将被安装到脱机设备。

  可以创建的最大ADOM数量因FortiManager模式而异。

 知识检查

 知识检查

 非常好!现在你了解了ADOM。

  接下来,你将检查FortiManager上的管理员帐户。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示使用管理访问控制的能力,你将能够更好地保护FortiManager和被管理设备的实施和管理。

 为了有效地管理你的系统,FortiManager提供了四个预先安装的缺省配置文件,你可以将它们分配给其他管理用户。管理员配置文件定义管理员权限,是每个管理员帐户所必需的。这四个默认配置文件是:

  ● Package_User:对策略包和对象提供读写权限,对系统和其他权限提供只读权限

  ● Restricted_User:对设备具有只读权限,但不具有系统权限

  ● Standard_User:对设备具有读写权限,但没有系统权限

  ● Super_User:提供对所有设备和系统的访问权限,如FortiGate

  你可以将缺省配置文件分配给管理帐户,也可以修改与每个缺省配置文件相关联的各个权限。或者,你可以创建自己的自定义配置文件。

 你可以自定义两种管理员配置文件类型:系统管理员和受限管理员。

  对于系统管理员类型,你可以修改其中一个预定义配置文件,或创建一个自定义配置文件。只有具有完全系统权限的管理员才能修改管理员配置文件。根据管理员的工作性质、访问级别或资历,你可以允许他们根据需要查看和配置更多或更少的内容。

  对于受限管理员类型,你可以创建一个新的受限管理员配置文件,允许被授权的管理员修改与其ADOM关联的web过滤配置文件、IPS传感器和应用传感器。

 根据你的部署情况,你可能希望通过创建其他管理员帐户将FortiManager管理任务分配给多个员工。

  为了保护你的网络,你可以使用以下方法控制和限制管理员的访问:

  ● 管理配置文件

  ● 管理域

  ● 可信主机

 除了通过管理员配置文件控制管理访问之外,还可以通过为每个管理用户设置可信主机来进一步控制访问。这受限管理员只能从特定的IP地址或子网登录。如果只定义一个可信主机IP地址,甚至可以将管理员限制为单个IP地址。

  当通过SSH访问时,你定义的可信主机应用于GUI和CLI。

 控制管理访问的另一种方法是通过ADOM。这使得设备管理更加有效,因为管理员只需要在其分配的ADOM中监视和管理设备。它还使网络更加安全,因为管理员只能访问那些他们应该访问的设备。

  拥有超级用户配置文件的管理员可以完全访问所有ADOM,而拥有任何其他配置文件的管理员只能访问被分配给他们的那些ADOM,可以是一个或多个。

 你可以配置外部服务器来验证你的管理员登录,而不是创建由FortiManager验证登录的本地管理员。你可以使用RADIUS、LDAP、TACACS+和PKI来验证管理员凭据。

  要配置双因素身份验证,还需要FortiAuthenticator和FortiToken。有关更多细节,请参阅FortiManager管理指南。

 要跟踪管理员用户会话,包括当前登录的用户以及通过哪个受信主机登录的用户,请单击系统设置  >管理员>管理员。只有默认管理员admin或管理员与超级用户配置文件可以看到完整的管理员列表。

  要跟踪来自FortiManager用户的安装更改,单击被管理的FortiGate设备上的日志和报告>事件。

 知识检查

 知识检查

 非常好!你现在了解了管理员帐户。

  接下来,你将研究FortiManager上的并发管理员。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示使用ADOM、设备或策略包锁定的能力,你将能够更好地保护FortiManager和被管理设备的管理。

 默认情况下,多个管理员可以同时访问同一个ADOM,因为工作区模式被设置为禁用。

  通常这是可以的,特别是如果你使用了具有非重叠权限的管理员配置文件。在一个拥有数百个复杂设备的网络中,两个人改变同一环境的可能性很小,但仍然是有可能的。

 如果多个管理员试图在同一时间更改相同的设备,但做出了不同的更改,该怎么办?

  这可能会导致冲突:一个管理员的更改将被另一个管理员的更改覆盖。如果你很可能发生冲突,你可以使用CLI或GUI来启用工作区模式并防止并发的ADOM访问。

  这允许管理员锁定他们的ADOM、设备或策略包。此外,只有一个管理员对ADOM具有读写访问权限,而其他所有管理员都具有只读访问权限。锁定ADOM会自动删除锁定在该ADOM中的设备和策略包上的锁。

 当工作区模式被启用时,你如何使用它?

  1. 在进行更改之前,管理员A锁住ADOM。一个绿色的锁图标出现。管理员A现在具有读写访问权限,可以对该ADOM中的被管理设备进行更改。

  2. 在此期间,管理员B在ADOM上看到一个红色的锁定图标。管理员B对该ADOM具有只读访问权限,不能进行更改。

  3. 当管理员A完成更改后,他们保存更改,然后解锁ADOM。图标变为灰色解锁图标。管理员B看到ADOM现在可用了。

  4. 现在管理员B锁定ADOM,锁图标再次变为绿色。管理员B现在具有读写权限,可以安全地进行更改,而不会有冲突的风险。

 当工作区被启用时,ADOM最初是只读的。若要开启读写权限,并对ADOM进行更改,必须锁定ADOM、设备或策略包。

  你可以将ADOM锁定在GUI的右上角。一旦锁定了ADOM,你就可以在该ADOM中安全地更改被管理设备的设置,而无需担心冲突。如果你更改了被管理的设备配置或策略包,在尝试安装它们之前必须保存更改。其他管理员不能更改ADOM,因为他们有只读权限。

  有三个锁定状态图标:

  ● 灰色锁定图标:ADOM当前处于解锁状态。要进行更改,你必须首先锁定ADOM。

  ● 绿色锁定图标:ADOM被你锁定。你可以在ADOM中进行修改。

  ● 红色锁定图标:表示ADOM已被其他管理员锁定。你必须等待他们完成并解锁ADOM。

 在标准工作空间模式下,必须先锁定设备或策略包,然后才能对其进行更改。其他管理员在锁定设备或策略包所在的ADOM之前,将无法对该设备或策略包进行更改,直到解锁它、注销FortiManager或在锁定设备或包所在的ADOM时强制断开连接。

  锁定ADOM会自动删除锁定在该ADOM中的设备和策略包上的锁。

  如果ADOM处于高级模式,则无法锁定单个设备。

 知识检查

 知识检查

 非常好!你现在了解并发管理员了。

  接下来,你将研究ADOM最佳实践和故障排除。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示ADOM最佳实践和故障排除的能力,你将能够在FortiManager中更有效地组织和管理你的FortiGate设备。

 在FortiManager数据库中,基于ADOM中设备的固件版本,每个ADOM都与特定的FortiGate固件版本相关联。固件版本决定了适当的数据库模式。

  如果你使用版本6.2创建了一个ADOM,添加了运行FortiOS 6.2的FortiGate设备,但是需要将FortiGate设备升级到FortiOS 6.4,该怎么办?一个ADOM可以同时管理运行两个FortiGate固件版本的FortiGate设备;例如FortiOS 6.2和6.4。因此,运行6.2和6.4固件版本的设备可以共享一个通用的FortiManager数据库。

  尽管在同一个ADOM中可以存在多个FortiOS版本,但如果你使用的是较老的ADOM版本,则较新的固件版本的一些特性可能会受到限制。这是因为新固件版本的CLI命令语法可能会因为新特性而发生变化,因此配置方式不同。确保将FortiGate添加到基于其FortiOS固件版本的ADOM中是非常重要的。你不应该将高版本的FortiGate添加到低版本的ADOM中。另外,请记住,升级FortiManager固件版本不会升级ADOM版本。

  你应该只使用此功能来方便升级到新的固件。ADOM通常不与混合固件一起运行。在这种情况下,使用单独的ADOM代替。

 同一个ADOM中可以存在多个FortiOS版本,但只有升级了ADOM中包含的所有设备后,才能升级该ADOM。

  注意:如果有许多ADOM修订,FortiManager需要更多的系统资源,ADOM升级可能需要更多的时间来完成。

 如果一个ADOM中的所有设备都没有升级,你将会收到一条警告消息,并且不允许升级ADOM版本。升级ADOM版本前,必须先升级ADOM中的所有设备。

  可以在 系统设置>所有ADOM 中升级ADOM。你可以将一个ADOM升级到一个更高的版本。例如,可以先运行6.0到6.2的ADOM升级,然后再升级到6.4。

  如果ADOM已经升级到最新版本,那么这个选项将不可用。

 你可以使用本幻灯片中显示的CLI命令执行实时ADOM升级调试。升级ADOM时,系统会生成一条升级成功的事件日志。任务监视器还为ADOM升级生成一个条目。

 如果需要升级一些FortiGate设备,但并非所有设备都包含在同一个ADOM中,该怎么办?

  处理ADOM中混合FortiGate版本的另一种方法是首先升级原始ADOM中的设备。然后将它们转移到使用匹配固件版本的新ADOM中。

  如果你将一个设备从一个ADOM移动到另一个ADOM,策略和对象不会导入到ADOM数据库中。必须运行Import Policy向导将策略和对象导入到ADOM数据库中。不推荐将设备从一个ADOM移动到另一个。例如,如果你使用VPN Manager配置了复杂的IPsec VPN,将IPsec VPN从一个ADOM移动到另一个ADOM后,需要重新配置VPN设置。

 在 所有ADOM 页面注册完成后,可以在ADOM之间移动设备。通过编辑要将设备添加到的自定义ADOM,然后选择要添加到其中的设备,你可以在ADOM之间移动设备。

 在升级ADOM之前,你应该在被管理的设备上安装任何挂起的设备设置或策略包更改,并同步所有设备和策略包。

  升级设备和ADOM后,应该执行安装预览。安装预览会显示升级过程中发生的任何更改。你将需要检查所有要安装的更改是否在升级过程中发生,并在需要时进行纠正。

  当你将设备从一个ADOM移动到另一个ADOM时,共享策略包和对象不会移动到新的ADOM。你需要从被管理设备导入策略包。

 知识检查

 非常好!现在你了解了ADOM最佳实践和故障排除。

  接下来,你将在FortiManager上检查备份和恢复。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示备份和恢复能力,你将能够确保在出现严重的硬件故障时,可以快速地将FortiManager恢复到原始状态,而不影响网络。毕竟,这是你的中心网络管理系统,你可能将花费大量的时间和资源来构建和维护你的防火墙策略。因此,你将学习如何保护数据安全。

 在任何时候,你都可以在GUI上的System Information小部件中备份FortiManager配置。缺省情况下,使用GUl备份时启用加密功能。如果使用加密方式,需要设置备份文件加密时使用的密码。除非你提供相同的密码,否则无法恢复备份文件。Fortinet技术支持通常请求不加密格式的FortiManager备份。

  备份包含除了日志、FortiGuard缓存和固件映像之外的所有内容FortiManager。

  你还可以使用CLI定期安排备份。

  如果对FortiManager所做的更改最终会对你的网络产生负面影响,那么你可以从执行的任何备份中恢复配置。

 恢复FortiManager配置可以通过GUI和CLI两种方式进行。当你执行恢复时,FortiManager将重新启动并使更改生效。当你恢复备份文件时,请确保FortiManager的固件版本和型号与备份文件匹配。

  在弹出的Restore System中有几个选项值得讨论:

  ● 覆盖当前IP、路由、HA设置:默认为开启。如果FortiManager有一个现有的配置,恢复备份将覆盖所有内容,包括当前IP地址、路由和HA设置。如果禁用此选项,FortiManager仍将恢复与设备信息和全局数据库信息相关的配置,但将保留基本的HA和网络设置。

  ● 在脱机模式还源:默认情况下,这里的启用是灰色的,你不能禁用它。在恢复过程中,FortiManager暂时禁用了FortiManager与所有被管理设备之间的通信通道。这是一种安全措施,以防任何设备被其他FortiManager设备管理。

 你可以备份一个FortiManager型号上的配置,并在另一个FortiManager型号上恢复此配置。这对以下情况很有用:

  ● 故障排除目的,通过将配置恢复到不同的FortiManager模型

  ● 将FortiManager升级到更大的型号,因为它将保留已配置的设备和任务管理器数据库

  ● 系统设置不被保留

  迁移配置所需的步骤很简单。你需要备份一个FortiManager型号上的配置,然后在第二个FortiManager上运行CLI迁移命令。

  FortiManager支持FTP、SCP和SFTP协议来将配置从一个FortiManager型号迁移到另一个FortiManager型号。

 默认情况下,离线模式是关闭的,允许FortiManager管理设备。当你执行配置恢复时,FortiManager禁用FGFM协议。FortiManager和FortiGate设备之间使用TCP端口541进行通信。你可以在 系统设置>高级>高级设置 中手动启用或禁用。

  什么时候应该启用离线模式?你可以使用离线模式进行故障排除。离线模式允许你更改FortiManager设备设置而不影响被管理的设备,或者在第二个FortiManaqer上加载备份以进行测试。这样,第二个FortiManager就不能自动连接到你的FortiGate设备并开始管理它们。

 如果需要出厂重置FortiManager,请通过console口连接。

  reset all-settings命令返回FortiManager的出厂默认设置并重新启动FortiManager。

  format disk命令会擦除FortiManager硬盘上的所有设备设置和图像、FortiGuard数据库和日志数据。

  如果需要完全擦除所有配置数据库,请先重置所有设置,然后使用命令行对磁盘进行格式化。

  即使格式化磁盘,这也只会破坏文件系统表,文件仍然存在,攻击者可以使用取证工具恢复数据。如果不能覆盖配置数据库,将危及整个网络的安全性。因此,如果你将更换或出售你的FortiManager,或更换硬盘,你应该使用安全(深度擦除)磁盘重新格式化,以随机数据覆盖硬盘。通常,深度擦除功能需要更长的时间才能完成,并且在大多数情况下是不必要的。

 知识检查

 知识检查

 非常好!现在你了解了备份和恢复。

  接下来,你将检查监视事件。

 完成此部分后,你应该能够实现此幻灯片上显示的目标。

  通过展示监视FortiManager事件的能力,你将能够诊断和排除与FortiManager和被管理设备相关的问题。

 可以单击 系统设置>任务监控,监控所有任务的状态,如导入、设备巡检等。你可以在 显示状态 下拉列表中过滤某个任务类别,也可以保留默认的 全部。

  例如,你可以通过运行、挂起、取消或中止任务进行筛选,并可以确定任务是否长时间处于停滞状态。你可以取消或删除长时间滞留并停止进展的任务,因为它们可能会阻止处理其他未决的任务。

  系统将任务存储在单独的任务数据库中。在特殊情况下,可以重置该数据库(从而清除所有任务项)。系统在配置备份中包含这些任务,并且在执行配置恢复时可见。

 日志提供关于FortiManager上发生的事件的重要故障排除信息。你可以通过单击 系统设置>事件日志 查看日志、下载日志、查看原始日志或查看历史日志。

  缺省情况下,事件日志级别设置为信息级别。你可以通过CLI修改级别(增加或减少)。信息级别的日志严重性提供了关于日志消息的足够详细信息来调查问题。如果需要与Fortinet技术支持合作,可以将日志级别提高到调试级别,以获得事件日志的更多细节。

  根据管理的FortiGate设备的数量和类型以及日常活动的数量,你应该在将磁盘(输入和输出等待状态)和CPU活动增加到debuq级别后监视磁盘(输入和输出等待状态)和CPU活动,以确保CPU或磁盘使用没有显著增加。

 如果需要关注特定类型的日志消息,请使用过滤器。例如,可以按级别管理员、子类型和消息进行过滤。要应用过滤器,单击Add filter,然后选择要细化的参数。

  接下来,选择一个级别,如果需要,选择一个事件子类型。在动态列表中也可以使用NOT和OR操作符。你可以使用Add Filter来添加和组合其他过滤器。

  FortiManager的事件日志记录有几个子类型。更多详细信息,请参见《FortiManager日志消息参考指南》

 如果你想使用API来监视你的系统,或者使用第三方设备来设置或获取数据,你可以使用JSON和XML API。FortiManager API是一个非常强大的工具,它向客户提供管理web门户、自动部署和供应系统。

   如果你想使用web服务来监视你的系统,你可以从高级设置中的FortiManager下载WSDL接口定义。

   Web服务是基于标准的,与平台无关的访问方法。该文件本身定义了FortiManager将接受的命令格式,以及期望的响应。

知识检查

​​​​​​​ 知识检查

​​​​​​​ 恭喜你!你已经完成了这一课。

  现在你要回顾一下你在本课中涉及到的目标。

 这张幻灯片显示了你在本课中涉及的目标。

  通过掌握本课中涉及的目标,你学习了如何设置和管理FortiManager。你还学习了如何使用对日常使用至关重要的特性,如ADOM、事件监视、备份和恢复。

以上是关于教程篇(6.4) 07. FortiManager 实施和管理 ❀ Fortinet 网络安全专家 NSE5的主要内容,如果未能解决你的问题,请参考以下文章

教程篇(6.4) 06. FortiManager 简介和初始配置 ❀ Fortinet 网络安全专家 NSE5

教程篇(6.4) 08. 额外的配置 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5

教程篇(6.4) 10. FortiManager 策略和对象 ❀ Fortinet 网络安全专家 NSE5

教程篇(6.4) 08. FortiManager 设备注册 ❀ Fortinet 网络安全专家 NSE5

教程篇(6.4) 09. FortiManager 设备级配置和安装 ❀ Fortinet 网络安全专家 NSE5

教程篇(6.4) 11. FortiManager SD-WAN和安全结构 ❀ Fortinet 网络安全专家 NSE5