教程篇(6.4) 05. 集成 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
Posted meigang2012
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(6.4) 05. 集成 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7相关的知识,希望对你有一定的参考价值。
在本节课中,你将学习有关FortiManager基础知识、SD-WAN管理器、VPN管理器、零接触配置和SD-WAN协调器。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示理解FortiManager关键特性的能力,你将能够在你的网络中有效地使用这些特性。
什么时候应该在网络中使用FortiManager ?
在大型企业和托管安全服务提供商(MSSP)中,网络的规模带来了小型网络不具备的挑战:大规模供应;调度配置更改的推出;以及维护、跟踪和审计许多更改。
通过FortiManager进行集中管理,可以帮助你更轻松地管理多种部署类型和多种设备,降低操作成本。
FortiManager可以做什么?
● 在你的网络中提供防火墙策略
● 作为配置修订控制和安全审计的中心存储库
● 部署和管理复杂的网状和星型IPsec VPN
● 作为你所管理设备的私有FortiGuard分发服务器(FDS)
● 使用JSON API脚本和自动化设备配置、策略更改等
FortiManager可以帮助你更好地组织和管理你的网络。FortiManager的主要功能包括:
● 集中管理:无需单独登录数百个FortiGate设备,你可以使用FortiManager从单个控制台管理所有设备。
● ADOM: FortiManager可以将设备分组到地理或功能ADOM中,如果你有一个大型的网络安全管理员团队,这非常理想。
● 配置修订控制:FortiManager保存所有配置更改的历史记录。你可以安排FortiManager部署新的配置或将托管设备恢复到以前的配置。
● 本地FortiGuard服务发放:为了减少网络延迟和减少互联网带宽的使用,你所管理的设备可以使用FortiManager作为私有FDN服务器。
● 固件管理:FortiManager可以为被管理的设备安排固件升级。
● 脚本:FortiManager支持基于CLI和TCL的脚本,用于配置部署。
● 管理窗格(VPN、FortiAP、FortiSwitch和Fabric View):FortiManager管理窗格简化了VPN、FortiAP、FortiSwitch和Fabric View (Security Fabric)的部署和管理。
● 日志和报告:被管理的设备可以在FortiManager上存储日志。从这些日志数据中,你可以生成基于SQL的报告,因为FortiManager具有许多和FortiAnalyzer相同的日志和报告特性。
● FortiMeter:允许你根据需要打开或关闭Fortios-VM和FortiWebOŚ VM,只支付你使用的流量。这些虚拟机有时也称为现收现付虚拟机。你必须拥有FortiMeter许可证,并且FortiMeter许可证必须使用FortiCare与FortiManager链接。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示理解FortiManager软件体系结构的能力,你将能够在你的网络中规划和设置FortiManager。
为了组织和有效地管理大型网络,FortiManager具有多个管理层。
全局ADOM层有两个关键部分:全局对象数据库和页眉和页脚策略包。页眉和页脚策略包包含了每个ADOM的策略。策略包通常在运营商环境中使用,在这种环境中,运营商允许客户流量通过其网络,但不允许客户访问其网络基础设施。
ADOM层是策略包被创建、管理和安装在被管理设备或设备组上的地方。可以在这里创建多个策略包。ADOM层为每个ADOM包含一个公共对象数据库。公共对象数据库包含地址、服务和安全配置文件等信息。
设备管理层记录FortiManager设备集中管理的设备信息,包括设备名称、设备类型、型号、IP地址、当前安装的固件、修订历史和实时状态等。
理解FortiManager管理模型的各个层非常重要。
在全局ADOM层中,创建页眉和页脚策略规则。这些策略规则可以分配给多个ADOM。如果多个ADOM策略包需要相同的策略和对象,你可以在这个层中创建它们,这样你就不必在每个ADOM中维护副本。
在ADOM层中,每个ADOM中的对象和策略包共享一个公共对象数据库。你可以一次在多个被管理设备上创建、导入和安装策略包。
在设备管理器层,你可以为每个设备配置和安装设备设置。如果检测到配置更改(在本地或在FortiManager上),则FortiManager将当前配置与更改的配置进行比较,并在FortiManager上创建新的配置修订。无论配置更改是大是小,FortiManager都会记录并保存新的配置。这可以帮助管理员审核配置更改,并在需要时恢复到以前的修订。
什么是ADOM?
ADOM允许admin帐号创建设备分组,供管理员监控和管理。例如,管理员可以根据自己的地理位置或业务部门来管理设备。ADOM默认不启用,必须由管理员启用。
ADOM的目的是根据管理标准对设备进行分组,从而对设备的管理进行划分,并控制(限制)管理访问。管理员权限是基于允许访问设备上的一个或多个ADOM的管理员配置文件分配的。如果使用虚拟域(VDOM), ADOM可以进一步限制仅从特定设备的VDOM访问数据。不同型号的ADOM可用数量不同。
设备管理器窗格提供了设备和安装向导,以帮助你完成各种管理和维护任务。使用这些向导可以减少执行许多常见任务所需的时间。在设备管理器窗格中有四个主要向导:
● 添加设备:用于将设备加入集中管理并导入配置。
● 安装向导:用于安装从设备管理器窗格或策略&对象窗格到被管理设备的配置更改。它允许你预览更改,如果管理员不同意更改,可以取消并修改它们。
● 导入策略:用于将接口映射、策略数据库和与被管设备关联的对象导入到略&对象窗格下的策略包中。默认情况下,它与添加设备向导一起运行,并且可以在被管理设备列表中的任何时间运行。
● 重新安装策略:用于执行策略包的快速安装。它提供预览将安装在被管理设备上的更改的能力。
在设备管理器中右键单击被管理设备,可以打开导入策略和重新安装策略向导。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示理解SD-WAN及其特性集的能力,你将能够安装和配置在网络中使用这些特性所需的设置。
配置SD-WAN时,必须至少指定两个成员接口。在初始设置FortiGate时,应该尽早配置SDWAN,因为如果某个接口已经被防火墙策略或静态路由引用,则不能将其作为成员接口使用。如果需要使用某个接口作为SD-WAN成员,且该接口正在被防火墙策略或静态路由引用,必须先删除关联的防火墙策略和静态路由,才能将该接口分配为SD-WAN成员。SD-WAN除支持VLAN接口、aggregate接口和IPsec接口外,还支持物理接口。
FortiManager将所有成员接口组合成一个虚拟接口:SD-WAN接口。使用SDWAN可以简化配置,管理员只需配置一组路由和防火墙策略,并应用到所有成员接口上。每个VDOM只能有一个SD-WAN接口。
使用FortiManager创建SD-WAN的第一步是在ADOM中启用SD-WAN中央管理。
配置用于SD-WAN模板的健康检查服务器和性能SLA。
健康检查服务器可以判断路径上的路由器何时停止或降级。FortiGate通过周期性地通过每个成员链路向充当信标的服务器发送探测信号,可以检查参与性能SLA的每个SD-WAN成员接口的状态(或健康)。你可以指定多个服务器作为信标。这是为了防止服务器出错,而不是链接出错。
配置SD-WAN时,必须至少指定两个成员接口及其关联网关。
SD-WAN模板允许你将SD-WAN组件添加到单个模板中。可以添加接口成员、性能SLA和SD-WAN规则。
你可以创建新的SD-WAN规则,也可以使用默认的隐式规则。隐式规则的目的是在所有可用的SD-WAN成员链路之间均衡流量。SD-WAN规则允许你指定希望通过哪个接口路由的流量。你可以根据性能SLA中配置的链路延时、抖动或丢包率,配置SD-WAN规则来选择出口接口。规则的评估方式与防火墙策略相同:从上到下,使用第一个匹配。
配置SD-WAN模板后,需要分配设备用于配置SD-WAN。
使用SD-WAN时,不需要为单个成员接口配置多个防火墙策略。使用SD-WAN接口创建的防火墙策略允许流量通过任意成员接口转发。
安装SD-WAN策略前,必须配置正确的动态接口和映射端口。
完成所有配置后,可以通过FortiManager SD-WAN Monitor或被管理的FortiGate设备查看SD-WAN的状态。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示使用FortiManager VPN管理器配置IPsec VPN的能力,你将能够安装和配置在你的网络中使用这些特性所需的设置。
在VPN管理器界面中,你可以配置IPsec VPN,并可在多个设备上安装。设置作为对象存储在对象数据库中。通过安装策略包将IPsec VPN设置推送到一个或多个设备。使用VPN管理器配置VPN的步骤如下:
1. 创建VPN团体。
2. 为团体添加网关(成员)。
3. 安装VPN团体和网关配置。
4. 添加防火墙策略。
5. 安装防火墙策略。
根据要安装的VPN拓扑,有三种类型的团体:
● 全网格
● 星状
● 拨号
VPN团体包含所有网关都通用的IPsec阶段1和阶段2设置。
下一步是向团体添加网关。网关有两种类型:
● 管理网关
● 外部网关
管理网关由当前ADOM中的FortiManager管理。不同ADOM或其他供应商设备中的设备可以被视为外部网关。VPN配置必须由该ADOM的管理员手动处理。
在VPN网关中,你可以根据选择的VPN拓扑配置节点类型(集线器、辐条等)。例如,集线器和辐条选项仅在星形和拨号拓扑中可用。
对于每个网关,你还可以配置受保护的子网、接口和一些高级设置。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过演示零接触配置的能力,你将能够理解和配置在你的网络中使用该特性所需的设置。
零接触配置允许你自动配置FortiGate和FortiAP设备。管理员可以使用Fortinet FortiDeploy特性同时配置所有设备,并通过一次单击来管理所有这些设备,而不是使用CLI一次配置一个设备。
该特性只能在FortiGate重启后使用,或者在新的FortiGate设备上使用。
要使用该特性,FortiGate必须具有上网能力,且需要DHCP服务器为FortiGate接口分配IP地址。
FortiDeploy允许管理员将FortiGate和FortiAP设备批量添加到他们的FortiGate云或FortiAP云帐户中。在此基础上,FortiDeploy的多租户特性允许管理员选择配置模板和操作系统版本(FortiOS),以便与新添加的设备一起部署。
当你在你的Fortinet设备订单中包含FortiDeploy时,你将收到一个绑定到该订单中所有支持设备的批量部署FortiCloud密钥。当你访问FortiGate云或FortiAP云管理控制台时,你可以为单个设备输入密钥,也可以为与你的订单一起发送的所有设备输入批量密钥。
当设备在各自的远程位置插入时,FortiGate会自动通过DHCP获取IP地址。当网络连接建立后,FortiGate自动向FortiGuard发送心跳,并建立管理隧道。FortiGate然后接收这些设备的预先配置的管理信息。当这个过程完成后,设备可以从选择的Fortinet管理接口进行监控和管理。
你可以使用FortiDeploy和FortiManager的零接触配置使用SD-WAN配置来配置FortiGate。
● 添加FortiGate云密钥到FortiGate云。
● 使用中央管理配置设置配置模板,将FortiGate重定向到FortiManager。
● 将FortiGate连接到DHCP服务器并打开FortiGate。
● FortiGate从DHCP服务器接收IP地址,并与FortiGate云建立管理隧道。
● FortiGate通过从FortiGate云获取中央管理配置来完成零接触配置。
● FortiGate在FortiManager根ADOM中显示为未经授权的设备。
● 授权FortiGate和分配SD-WAN模板。
● 在FortiGate上安装SD-WAN配置。
FortiGate配置的是SD-WAN配置,不需要手动配置。
当FortiGate不能访问internet时,该特性非常有用。首先,打开FortiGate的盒子并注意序列号。使用序列号将FortiGate注册到FortiManger。注册完成后,可以将新的FortiGate添加到ADOM中,然后根据需要对设备进行配置。
在FortiManager上注册并配置FortiGate设备后,需要将FortiGate连接到配置了选项240或241、具有FortiManager IP或FQDN的DHCP服务器上。现在,启动FortiGate。在FortiGate启动后,DHCP服务器将为它分配一个IP地址,还将提供FortiManager信息。FortiGate将使用该信息配置中央管理,使用从DHCP服务器接收到的FortiManager IP或FQDN。
现在,FortiGate设备已经由FortiManager连接和管理,你可以在FortiGate上安装特定的配置。
为了防止欺骗,如果以后有不同的FortiManager IP来自DHCP服务器,FortiGate不会改变中央管理配置。
完成此部分后,你应该能够实现此幻灯片上显示的目标。
通过展示SD-WAN协调器的能力,你将能够理解和配置在网络中使用此特性所需的设置。
SD-WAN协调器允许客户显著简化集中式部署,并通过直观的工作流实现自动化,从而节省时间并提供以业务为中心的策略。
FortiGate设备必须同时添加到FortiManager和SD-WAN协调器中。
SD-WAN协调器使用以下方法与FortiManager一起在FortiGate上安装配置:
1. SD-WAN协调器自动生成配置的CLI脚本。
2. SD-WAN协调器将CLI脚本安装到FortiManager上的Device Manager数据库中。
3. FortiManager接收CLI脚本,并将配置安装到FortiGate。
SD-WAN协调器为生成的隧道接口创建动态接口。动态接口使用每个设备的接口映射,在创建策略时可以在FortiManager上使用它们。
开始使用SD-WAN协调器的第一步是在FortiManager上启用它。SD-WAN协调器是FortiManager上管理扩展的一部分,只有具有超级用户配置文件的管理员才能启用管理扩展。
在本课中,你将简要学习其他步骤。
当将FortiGate设备添加到其相应的区域时,FortiGate设备必须能够连接FortiManager。
SD-WAN协调器自动在所有集线器之间建立覆盖。每个集线器还建立到同一区域内每个边缘设备的隧道。
你可以定义一次资源,然后通过使用共享资源树菜单在多个配置文件中选择它们。你可以创建以下共享资源:
● 内网地址
● 网络资源,如DHCP服务器
● SLA质量级别和服务器
● SD-WAN协调器使用的服务器。如NTP服务器、FortiGuard服务器、邮件服务器
● 健康的阈值
建议创建一个内网IP池,供SD-WAN协调器为所选设备创建SD-WAN网络时使用。使用此IP池,SD-WAN协调器将为局域网段中的设备分配IP地址。SD-WAN协调器将基于此分配自动创建地址对象和地址组。可在内网地址中查看。
创建配置文件将创建一个模板,该模板定义SD-WAN网络中设备的一般系统、网络和业务策略。
业务规则定义了SD-WAN网络中各个子网之间的路由策略,或者定义了来自SD-WAN子网的流量如何访问internet。SD-WAN协调器在配置文件中包含预定义的业务规则。你还可以创建自定义业务规则。
建议先将FortiGate设备添加到FortiManager,然后再添加到SD-WAN协调器。但是,在某些情况下,可以先将FortiGate设备添加到SD-WAN协调器。你可以首先使用它的序列号将离线FortiGate设备添加到SD-WAN协调器,这称为添加型号设备。当你将型号设备添加到SD-WAN协调器时,型号设备也将添加到FortiManager中。
添加设备后,可以通过编辑分配的配置文件或覆盖每个设备的设置来更改设置。
First Online Action有三个选项可供选择:
● NONE:将设备加入SD-WAN协调器后,手动启动配置安装。
● RETRIEVE_CONFIG:当设备第一次联机时,从设备中导入一些配置设置。引入主机名、WAN端口、LAN/DMZ端口、静态路由等配置。
● SYNC_CONFIG:选择在设备第一次联机时安装与配置文件关联的SD-WAN协调器配置。
在所有设备上完成SD-WAN组网配置后,通过FortiManager为SD-WAN组网中的FortiGate定义和安装防火墙策略。
SD-WAN协调器还在FortiManager上创建两个策略块:一个用于集线器设备(SDWAN Overlay PB HUB)和边缘设备(SDWAN Overlay PB edge)。安装防火墙策略前,建议将策略块插入到策略包中,并将策略块移到顶部。策略块包括允许VPN隧道的健康检查流量和协商流量所必需的防火墙策略。在FortiManager上单击policy & Objects>Policy Packages可以查看策略阻止。
这张幻灯片显示了你在本课中涉及的目标。
通过掌握本课的目标,你学习了如何使用FortiManager的关键特性和体系结构,安装和配置SD-WAN,以及使用VPN管理器部署IPSec。
以上是关于教程篇(6.4) 05. 集成 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7的主要内容,如果未能解决你的问题,请参考以下文章
教程篇(6.4) 11. FortiManager SD-WAN和安全结构 ❀ Fortinet 网络安全专家 NSE5
教程篇(6.4) 01. 介绍 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
教程篇(6.4) 07. 自动发现VPN ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
教程篇(6.4) 04. 流量整形 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7