教程篇(6.4) 01. 安全结构 ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE７

 在这节课中，你将了解Fortinet企业防火墙解决方案和Fortinet安全结构。

 在完成这节课之后，你应该能够达到这张幻灯片上显示的目标。

　　通过展示Fortinet安全结构方面的能力，你将能够描述Fortinet企业防火墙解决方案。你还将能够配置Fortinet安全结构，执行安全结构的安全评级审计，并配置自动化。

 在本节中，你将在较高的层次上了解Fortinet企业防火墙解决方案。

  通过保护周边地区来保护网络的传统方式已经成为过去。今天的网络和安全管理员必须保护自己免受各种各样的威胁，比如零日攻击、多态恶意软件以及更多。他们还必须保护网络免受任何潜在的内部威胁。BYOD和不断发展的云技术正在创造无边界网络，这进一步加剧了保护此类复杂网络的挑战。

  企业网络的周界已无法识别。当员工在家连接到公司网络时会发生什么?网络范围是否延伸到每个员工的家庭网络?当有服务在云中运行时，边界在哪里?那么员工的个人设备(BYOD)呢?

　　恶意软件可以很容易地绕过任何入口点防火墙从而进入网络内部。这可能通过一个被感染的U盘发生，或者员工的个人设备被连入公司网络。此外，网络管理员不能再想当然地认为网络中的所有人和事都是可以信任的。攻击现在可以来自网络内部。要保护如此庞大的网络，你必须应用零信任模型。攻击可以来自任何地方，使用任何方法，影响任何东西。

   与威胁和网络技术发展的方式一样，你的网络安全策略也必须发展。你必须应用端到端安全、从端点到云。此外，你必须部署内部分割防火墙来监视网络，以便任何来自内部的入侵可以包含在网络的一个区段中，而不触及其他区段。

　　然而，在实施这些措施方面存在挑战。你需要实现从端点到受保护服务的多层安全性。通过网络入口点，一直上升到云端。这通常意味着使用多个供应商。这意味着对网络中发生的事情没有中央管理和可见性。

 Fortinet企业防火墙解决方案解决了这些挑战。它通过一个统一的操作系统(FortiOS)提供了高效、快速的端到端安全性。解决方案的核心是安全结构。实现企业网络中所有安全设备的通信。Fortinet企业防火墙解决方案提供了关于在何处安装网络安全设备以及它们在企业网络的每个部分将扮演何种角色的指导方针。你可以使用FortiManager管理所有这些部署，并在整个企业内提供单窗口管理和报告。

  在企业防火墙解决方案中，每个FortiGate设备都有一个特定的角色，这取决于它被安装在哪里以及它要保护的资产。一般来说，有五种角色：

　　●  分布式企业防火墙

　　●  云防火墙

　　●  下一代防火墙

　　●  数据中心防火墙

　　●  内部分割防火墙

　　在本节课中，你将学习DEFW、NGFW、DCFW和ISFW。

　　请注意，这些不是不同类型的FortiGate型号。你可以根据FortiGate安装的位置定义这些角色。

  NGFW通常用于防火墙、应用程序可见性、入侵预防、恶意软件检测和VPN。NGEW可以扮演传统的入口点防火墙的角色，或者根据网络基础设施，可以部署在核心。

  DCFW保护企业服务。它们专注于检查传入的流量，通常安装在分布层。

　　DCFW的吞吐量需求是所有部署角色中最高的。这个范围从10Gbps一直到1Tbps。由于高性能需求，在大多数情况下，安全功能被保持在最低水平：防火墙、应用控制和入侵防御。 

  ISEW将你的网络分割为多个安全段。它们充当了来自内部的攻击的突破口。防火墙、应用控制、web过滤和入侵防御是这些防火墙中通常启用的特性。它也是执行反病毒的好地方，并实现沙箱检查，这样你就可以在特定的段中隔离特定的设备并防止传播。

  DFFW通常是安装在分支机构和远程站点的小型设备。分布式企业通常不遵循标准化的企业网络设计，因此多个层被分解为一个或两个层。他们通过VPN连接到公司总部。

　　DEFW是一体式的安全设备，用作防火墙、应用控制、入侵防御、web过滤和反病毒检查。

 在本节中，你将了解Fortinet安全结构。

  Fortinet安全结构将你的网络连接在一起，以提供可见性和控制。Fortinet安全结构涉及：

　　●  零信任访问

　　●  安全驱动网络

　　●  动态云安全

　　●  AI驱动安全操作

　　●  结构管理中心

 Fortinet安全结构提供了一种广泛、集成的统一方法和自动化。它通过集成的广泛可见性减少和管理攻击表面，通过集成的AI驱动漏洞预防阻止高级威胁，同时通过自动化操作和编制降低复杂性。

　　Fortinet安全结构将整个网络(从物联网到云)分割开来，提供端到端的解决方案。

 两个或两个以上的FortiGate设备和FortiAnalyzer强制性产品是解决方案的核心。添加更多的可见性和控制。Fortinet建议添加FortiManager、FortiAP、FortiClient、FortiSandbox、FortiMail、FortiSwitch。可以通过添加其他网络安全设备来扩展该解决方案。

 安全结构遵循树模型。你必须首先配置根FortiGate。这包括FortiAnalyzer注册和FortiManager注册(如果有的话)。分支FortiGate设备与上游FortiGate设备连接，形成安全结构树。

　　安全结构中的所有FortiGate设备必须具有双向FortiTelemetry连通性。FortiTelemetry使用TCP端口8013。FortiGate使用FortiTelemetry协议与其他FortiGate设备通信，并分发有关网络拓扑的信息。FortiGate还使用FortiTelemetry与FortiClient集成。

　　根FortiGate收集网络拓扑信息并通过FortiAnalyzer API转发给FortiAnalyzer使用。FortiAnalyzer将这些信息与从所有FortiGate设备接收到的日志相结合，以生成不同的拓扑视图。以及妥协的指标(loC)。当端点被破坏时。FortiAnalyzer将拓扑视图和loC事件发送到根FortiGate。你可以配置FortiGate以在任何时候从FortiAnalyzer收到loC时自动采取行动。

  如果一个FortiGate不是安全结构根，你可以使用本幻灯片中显示的命令看到它连接到哪个上游或下游的FortiGate。

  默认情况下，在安全结构中，所有FortiGate设备都向单个FortiAnalyzer发送日志。FortiAnalyzer在根FortiGate上配置，在所有下游的FortiGate设备加入安全结构时，将其推送到它们。同样，也将FortiManager配置从根推送到所有其他FortiGate设备。因此，所有安全结构成员都由同一个FortiManager管理。你可以使用configuration-sync下的config system csf来禁用此配置同步。

　　所有的FortiGate设备在安全结构维护自己的安全结构地图。安全结构地图包括所有连接的FortiGate设备及其接口的MAC地址和IP地址。

 安全结构中的FortiGate设备知道其上游和下游节点的MAC地址。如果一个FortiGate从安全结构中属于另一个FortiGate的MAC地址接收到数据包，它将不会记录该会话。这有助于消除多个FortiGate设备对会话的重复日志记录。会话总是由安全结构中处理它的第一个FortiGate记录。

　　该行为的一个例外是，如果上游FortiGate执行NAT，则会生成另一个日志。需要额外的日志来记录NAT细节，比如转换的端口和地址。

 Fortinet建议使用FortiManager对安全结构中的所有FortiGate设备和访问设备进行集中管理。你可以集成FortiSwitch设备和FortiAP设备，以将安全结构扩展到访问层。

　　你还可以通过集成FortiMail、FortiWeb和FortiClient EMS来扩展安全结构。

　　安全结构是开放的。API和协议本身可用于其他供应商的加入和合作伙伴的集成。这允许Fortinet和第三方设备之间的通信。

  结构连接器允许你集成多云支持，例如ACI和AWS。

　　在一个以应用为中心的基础设施(ACI)中，SDN连接器充当连接SDN控制器和FortiGate设备的网关。SDN连接器将自己注册到Cisco ACl结构中的APIC，轮询感兴趣的对象，并将其转换为地址对象。转换后的地址对象和关联的端点填充在FortiGate上。

　　微软Azure的FortiGate VM也支持云初始化和引导。

 你可以在根FortiGate GUI上查看安全结构拓扑。有两个选项：物理拓扑视图和逻辑拓扑视图。

　　物理拓扑视图通过显示安全结构中的设备及其之间的连接来显示网络的物理结构。逻辑拓扑视图通过显示关于安全结构中的逻辑和物理网络接口以及连接安全结构中的设备的接口的信息来显示网络的逻辑结构。

　　拓扑视图是交互式的。你可以对访问设备进行授权或取消授权，例如FortiSwitch和FortiAP。你可以禁止或解除受影响的客户端。你还可以在拓扑视图中直接执行一些设备管理任务，例如设备升级或连接到特定的设备CLI。

　　拓扑视图中只显示Fortinet设备。

 

  安全评级是需要安全评级许可证的订阅服务。此服务现在提供了执行许多最佳实践(包括密码检查)的能力，以审计和增强你的网络安全性。安全评级页面分为三个主要的记分卡：

　　●  安全状况

　　●  结构覆盖

　　●  最佳化

　　这些记分卡提供了安全结构中三个最大的安全焦点领域的执行摘要。

　　记分卡显示了整体信等级和分项表现。单击一个记分卡会深入到一个详细的报告，其中包含详细的结果和遵从性建议。分值表示该区域中所有通过和失败项目的净分数。报告包括被测试的安全控制，链接到特定的FSBP或PCI遵从性策略。点击FSBP和PCI按钮，可以参考相应的标准。

 在安全性评级页面上，单击安全状况记分卡以展开它并查看更多详细信息。

　　安全状况服务现在支持以下功能:

　　●  基于安全审计信息的客户排名。FortiGuard数据用于提供客户评级。顾客评价是用百分位数表示的。评级是基于发送给FortiGuard的结果和从FortiGuard收到的统计数据。

　　●  安全审计在后台运行，而不只是按需运行，当管理员登录到GUI时，当你查看安全审计页面时，将加载最新保存的安全审计数据。从GUI中，你可以按需运行审计，并查看安全结构中不同设备的结果。你还可以查看所有结果或只是失败的测试结果。

　　●  新的安全检查可以帮助你改进组织的网络。这些检查包括加强密码安全性、应用推荐的登录尝试阈值、鼓励双因素身份验证等等。

 管理员定义的自动化工作流(称为针)使用if/then语句使FortiOS以预先编程的方式自动响应事件。因为这个工作流是安全结构的一部分，所以你可以为安全结构中的任何设备设置if/then语句。然而，安全结构并不是使用针的必要条件。

　　每个自动化将一个事件触发器与一个或多个操作配对，从而允许你监视网络，并在安全结构检测到威胁时采取适当的操作。你可以使用自动化针来检测来自安全结构中任何来源的事件，并将操作应用到任何目的地。

　　你可以配置最小内部(秒)设置，以确保你不会收到关于同一事件的重复通知。

  你可以配置被破坏的主机触发器来创建一个自动的威胁响应针。该触发器使用来自FortiAnalyzer的妥协(loC)事件报告指示器。基于威胁等级阈值设置，你可以配置针采取不同的补救步骤：

　　●  在FortiSwitch或FortiAP隔离受损主机

　　●  在被破坏的主机上使用FortiClient EMS隔离Forticlient

　　●  禁止IP

　　还可以使用隔离区小部件查看隔离和禁止的IP地址。经过一段可配置的时间后，隔离地址将自动从隔离中删除。禁止的IP地址只能通过管理员干预从列表中删除。

 你可以使用命令测试你的自动化针以显示在这张幻灯片上。当自动针被触发时，FortiGate会创建一个事件日志。

 这张幻灯片展示了你在这一课中涵盖的目标。

　　通过掌握本课所涉及的目标，你了解了Fortinet企业防火墙解决方案和Fortinet安全结构。