在这节课中,你将学习FortiGuard。你还将了解如何排除在FortiGate连接到公共FortiGuard服务以及FortiManager充当本地FortiGuard服务器时发生的问题。
完成本课后,你应该能够达到这张幻灯片上所示的目标。
通过展示FortiGuard的能力,以及FortiGuard如何连接到公共FortiGuard服务器,你将能够排除当FortiGate连接到公共FortiGuard服务以及当FortiManager充当本地FortiGuard服务器时发生的问题。
在本节中,你将了解FortiGate如何连接到公共的FortiGuard服务器。
FortiGuard分布网络(FDN)为你的FortiManager系统以及其管理的FortiGate设备和FortiClient代理提供FortiGuard服务。它提供以下更新和评级服务:
● 反病毒
● 入侵防御
● Web过滤
● 反垃圾邮件
● 应用控制
● 漏洞扫描
● 信誉评分
● 网络安全
● 数据库安全
● 地理的IP地址
FortiGate使用不同的端口对服务(如web过滤、反垃圾邮件)和更新服务(如反病毒、IPS)进行评级。
在评级服务的情况下,当与公共FortiGuard服务通信时,FortiGuard使用以下端口之一:
● UDP port 8888
● UDP port 53
● HTTPS port 8888
● HTTPS port 53
● HTTPS port 443
在服务评级的情况下,当与配置为本地FortiGuard服务器的FortiManager通信时,FortiGate使用以下端口之一:
● UDP port 8888
● UDP port 53
● HTTP port 8888
● HTTPS port 53
对于更新服务,FortiGate使用HTTPS端口443。
默认情况下,FortiGuard使用位于世界各地的公共FortiGuard服务器。你可以将FortiGuard配置为使用仅位于美国的公共FortiGuard服务器。
要学习如何排除FortiGuard问题,你需要了解FortiGuard通信如何工作。FortiGate和FortiGuard用于web过滤和反垃圾邮件的通信不同于反病毒和IPS的通信。首先,你将了解FortiGuard网络过滤和反垃圾邮件的工作原理:
1. FortiGuard联系DNS服务器解析FortiGuard服务名称。
2. FortiGate获取服务器(通常是两个或三个)的IP地址列表,可以联系这些服务器来验证FortiGuard许可。
3. FortiGate与这些服务器之一联系以检查许可证,并获得一个服务器列表,这些服务器可用于提交web过滤和反垃圾邮件评级查询。
4. FortiGate获取服务器列表。
5. FortiGate开始向列表中的服务器之一发送评级查询。(你将在本课后面学习FortiGate如何选择服务器。)
6. 如果选择的服务器在两秒内没有回复,FortiGate将联系列表中的下一个服务器。
FortiGuard服务名称依赖于FortiGate配置:
service.fortiquard.net: FortiGate配置为使用UDP并与位于世界各地的服务器通信
securewf.fortiguard.net: FortiGate被配置为使用HTTPS并与位于世界各地的服务器通信
usservice.fortiguard.net: FortiGate被配置为使用UDP并仅与位于美国的服务器通信
ussecurewf. fortiquard.net: FortiGate被配置为使用HTTPS并仅与位于美国的服务器通信
现在您将了解反病毒和IPS是如何工作的。FortiGuard在反病毒和IPS中的工作方式取决于所使用的方法:牵引法或推举法。
牵引法的步骤是:
1. FortiGate联系DNS服务器来解析名称update.fortiguard.net。
2. FortiGate获得可以联系的服务器IP地址列表(通常是两个或三个)。
3. FortiGate定期连接到其中一个服务器,以检查等待的更新。
4. 如果有更新,FortiGate下载更新。
前两个步骤用于牵引法也用于推举法:FortiGate从DNS服务器获取域名update.fortiguard.net的IP地址列表。然后,FortiGate在FortiGuard中注册它的公共IP地址。有了这些信息,FortiGuard开始在每次有新的更新时发送通知。然后FortiGate继续下载更新。
你可以在FortiGuard界面上查看FortiGuard许可证的状态以及与FortiGuard的通信情况。你还可以为每个FortiGuard服务检查本地安装的数据库的版本。
这张幻灯片上显示的命令显示了用于web过滤和反垃圾邮件查询的服务器列表。对于每个IP地址,下表显示:
● 往返延迟
● 服务器的时区
● 最近和连续没有回复的查询的数量。
● 历史上没有回复的查询总数。这些值在设备重启时重置。
这是FortiGate如何选择服务器发送评级请求:
● FortiGate最初使用服务器时区和FortiGate系统时区之间的增量乘以10。
● 这是服务器的初始权重。为了降低使用远程服务器的可能性,不允许权重低于初始权重。
● 每丢失一个数据包,权重就会增加
● 如果没有数据包丢失,权重会随着时间的推移而下降
● FortiGate使用权重最低的服务器作为评级查询的服务器。如果两台或两台以上的服务器具有相同的权重,FortiGate使用RTT (round-trip delay)最低的服务器。
diagnose debug rating命令的输出显示了一些服务器旁边的标识:
● I = 最初联系的服务器以验证许可证并获得服务器列表
● 通常,只有一台服务器具有此标志
● D = FortiGate在解析名称service.fortiguard.net时获得的IP地址。如果管理员没有覆盖FortiGuard配置中的FortiGuard FQDN或IP地址,那么通常会有2到3台服务器带有该标志。
● S = FortiGate从FortiManager获得的IP地址
● T= 服务器没有回复FortiGate查询
● F = 服务器宕机
在许多情况下,与FortiGuard有关的问题是由ISP引起的。有些ISP阻断非DNS端口的流量,或者阻断大包数据包的流量。在这些情况下,解决方案是将FortiGuard通信从port53切换到port8888。
其他ISP(或上游防火墙)阻断port8888的流量。在这些情况下,解决方案是使用port53。
也有一些ISP基于源端口阻塞流量的情况。将FortiGuard的源端口范围更改为本幻灯片中显示的范围通常可以修复这个问题。
对于反病毒和IPS, FortiGate和FortiGuard之间的通信频率要低得多。在web过滤和反垃圾邮件的情况下,FortiGate每次需要对网站或电子邮件进行评级时(如果信息不在FortiGate缓存中)都会访问FortiGuard。在反病毒和IPS的牵引法中,默认情况下FortiGuard每两小时联系FortiGuard,检查和下载任何新版本的反病毒或IPS数据库和引擎。这是使用TCP 443端口完成的。
这张幻灯片展示了在FortiGate必须通过web代理连接时使用的命令。通常情况下,通过web代理进行连接的客户端不需要联系DNS服务器进行域名解析,因为DNS服务器是web代理服务器。通过web代理连接时,FortiGate不需要解析DNS就可以访问FortiGuard。
命令diagnose test application dnsproxy 7显示反病毒和IPS升级可用的FortiGuard服务器的FQDN和IP地址。
diagnose autoupdate status命令提供了FortiGuard在FortiGate上的配置摘要。
幻灯片上显示的命令列出了所有已安装的FortiGuard数据库和引擎。这些信息包括版本、合同到期日期、更新时间以及上次更新期间发生了什么。
如果在更新反病毒或IPS时出现问题,或者在验证许可时出现问题,则可以使用FortiGuard实时调试来获取更多信息。
在启用调试之后,你可以使用execute update-now命令强制CLl进行手动更新。
请记住,FortiGuard流量总是来自管理VDOM。因此,管理VDOM(默认为root)必须能够访问internet。
从管理VDOM正确访问DNS也很重要。FortiGate必须能够解析名称:
update.fortiquard.net
service.fortiquard.net
另外,请记住,虽然在所有服务器上更新合同通常需要一到两个小时,但在某些情况下可能需要24小时。因此,如果你刚刚更改或更新了你的FortiGuard合同,而你在FortiGuard上没有看到更改,很可能你需要等待一段时间,以便FortiGuard有时间在所有服务器上同步信息。
在本节中,你将了解充当本地FortiGuard分发服务器(FDS)的FortiManager。
FortiManager可以作为本地的FDS。它不断地连接到公共的FDS服务器,以获取管理设备许可证信息并检查固件可用性更新。
所有FortiManager设备都可以对支持的设备提供反病毒、IPS、漏洞扫描和签名更新。FortiManager设备还可以提供web过滤和反垃圾邮件评级服务。
你需要为 System Settings > Network on FortiManager 下面的每个接口配置服务访问。FortiManager支持来自注册(被管理)设备和未注册(未被管理)设备的请求。启用FortiManager内置的FDS后,可以配置FortiManager设备使用FortiManager FortiGuard服务。
现在,你将了解为使用FortiManager上的FortiGuard服务需要在FortiGate上做些什么。你需要配置服务器列表。在这里定义服务器地址,它是FortiManager的IP,FortiGate将在此查询评级和数据包更新。
你还可以在服务器类型设置中定义以下选项:
● rating:Web过滤,反垃圾邮件等等
● update:反病毒、IPS等
缺省情况下,include-default-servers是启用的。如果FortiManager设备(在server-list中配置)不可用,仍将允许FortiGate与公共FortiGuard服务器通信。如果它被禁用,FortiGate设备将永远不会访问公共FDS,即使在FortiManager设备关闭时也是如此。
这张幻灯片上显示的GUI部分,以及相关的CLI命令,显示了所有FortiGate设备的FortiGuard许可证的状态。
反病毒和IPS签名包在FortiGuard > Package Management。从FortiGuard收到的数据包列在Receive Status下。它显示收到FortiGate、FortiMail、FortiAnalyzer和FortiClient的包、版本、要部署的版本、更新历史。
单击update History,打开包的更新历史页面。它显示更新时间、发生的事件、更新的状态和下载的版本。
你可以通过在To Be Deployed Version列中选择Change来更改将要部署的包的版本。
点击Package Management > Service Status,以查看所有被管理的FortiGate设备的列表、它们的最后更新时间和它们的状态。
有五种可能的状态:
● Up to Date:FortiGate设备已收到最新的包
● Never Updated:设备从未请求或接收包
● Pending:FortiGate设备由于可接受的原因(例如挂起的预定更新)而拥有较旧版本的包
● Problem:FortiGate设备错过了预定的查询,或者没有正确地收到最新的包
● Unknown:不知道原因
这张幻灯片上显示的命令包含有关已安装或将安装哪些更新的详细信息,这些更新将安装在由FortiManager管理的设备上(由S/N显示)。
FortiManager可以记录更新服务事件。它们对于故障排除非常有用。首先将日志级别设置为debug。下一张幻灯片展示了用于显示日志的命令。你也可以将日志导出到SFTP或FTP服务器上。
更新服务日志显示向FortiManager发出的FortiGate请求,以及向公共FortiGuard服务器发出的FortiManager请求。
Web过滤和反垃圾邮件数据库在FortiGuard Managemet > Query Maagement 下管理。从FortiGuard接收到的数据库列在ReceiveStatus下。
该页面显示从服务器接收更新的日期和时间、更新版本、更新大小和更新历史。
选择Update History打开包的更新历史页面。它显示更新时间、发生的事件、更新的状态、版本号和下载的大小。
你可以使用幻灯片上显示的命令查看关于FortiGate向FortiManager发出的评级请求的统计信息。默认情况下,该命令显示最近60分钟的请求速率。但是,可以使用这张幻灯片上显示的命令更改时间段。这些信息也会定期记录在事件日志中。
FortiManager可以像记录更新服务事件一样记录评级服务事件。对于故障诊断,建议首先启用调试级别。
你可以使用本幻灯片中显示的步骤重新初始化web过滤和反垃圾邮件数据库和服务。
这些是在FortiManager上可用的其他调试命令,用于排除与FortiGuard相关的问题。
这张幻灯片展示了你在这节课中所学到的目标。
通过掌握本课所涵盖的目标,你了解了FortiGuard。你还了解了如何排除在FortiGate连接到公共FortiGuard服务以及FortiManager充当本地FortiGuard服务器时发生的问题。
扫一扫
244
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
