教程篇(6.4) 03. 设备注册 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5

 在本节课中，你将了解设备管理器窗格的主要功能，以及如何使用FortiManager管理FortiGate。

 在这节课中，你将探索这张幻灯片上显示的主题。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示提供常见的设置能力，你将能够使用FortiManager为许多FortiGate配置常见的设置。

 配置模板允许你创建包含设备级设置的配置文件。这些模板有助于在许多设备上进行相同的设备级设置。你可以编辑和重新应用模板。

　　根据常见的设备设置，有三种模板：

　　● 系统模板：创建和管理被管理设备的常用系统级设置

　　● 威胁权重模板：允许你创建威胁权重，它可以通过跟踪客户端行为和报告你认为有风险或值得跟踪的活动来提供信息

　　● 证书模板：创建证书模板(CA)，添加设备，并生成选定设备的证书。生成并签署CA证书之后，就可以使用安装向导安装它们了。

　　注意，配置模板是基于特定的ADOM版本的，因此有些设置可能不可用。

 系统模板页面包含一个名为default的通用配置文件，它是模型设备配置的子集，并包含诸如DNS这样的小部件、提醒邮件、管理员设置和其他。

　　你可以创建一个新的设备配置文件，并在该配置文件中的小部件中配置设置。你可以使用Import图标从特定的管理设备导入设置，该设备继承该管理设备的系统级设置和CLl设置。

　　你可以使用Assign to Device选项卡将设备与配置文件关联，或查看已分配给配置文件的设备列表。

　　你可以将这些配置文件应用于同一个ADOM中的多个设备，这有助于跨多个设备进行相同的设备级设置。

　　在本课稍后的内容中，当你将FortiGate添加到FortiManager时，你将在系统模板中应用默认配置文件。

 如果需要将相同的系统级设置应用于不同ADOM中的许多FortiGate设备，该怎么办?

　　请记住，每个ADOM都有一个唯一的对象数据库，其中也包括模板。但是，你可以将系统模板从一个ADOM导出或导入到另一个ADOM。ADOM必须运行相同的固件版本。首先，需要将系统模板从原始的ADOM导出到FortiManager文件系统，然后可以将该配置文件导入到另一个ADOM中。

 知识检查

 知识检查

 非常好！你现在了解了常见设置的配置。

　　接下来，你将检查注册方法。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示设备注册的能力，你将能够将设备添加到FortiManager中，以便从FortiManager中管理和管理这些设备。

 设备管理器提供设备和安装向导来帮助你执行管理和维护任务。使用这些工具可以帮助你缩短完成许多常见请求所需的时间。

　　有四个主要的向导：

　　● 添加设备：将设备加入集中管理并导入配置。

　　● 安装向导：从设备管理器或策略&对象安装配置更改到被管理的设备。它允许你预览更改，如果管理员不同意更改，可以取消并修改它们。

　　● 导入策略：将接口映射、策略数据库和与管理设备关联的对象导入到 策略和对象 窗格下的策略包中。你可以使用 添加设备 向导来运行它。并在任何时候从管理设备列表中运行它。

　　● 重新安装策略：快速安装策略包。它还允许你预览将要安装在管理设备上的更改。

　　在 设备管理器 页签中右键单击管理设备，可以访问 导入策略 和 重新安装策略 向导。

 有两种方法可以使用FortiManager注册一个设备：

　　第一种方法涉及到FortiManager设备注册向导。如果支持该设备，且该设备的所有详细信息都正确，则FortiManager会注册该设备。

　　第二种方法涉及从支持的设备请求注册。当FortiManager管理员收到该请求时，请求将被接受(尽管可以拒绝)。

 使用添加设备向导，你可以使用现有配置(包括其防火墙策略)添加FortiGate设备或添加新的FortiGate设备。FortiGate通常由call home配置提供，这是到达FortiManager(中央管理服务器)所需的最低配置。这些配置通常由技术人员安装，实际的防火墙配置由管理员在FortiManager所在的安全/网络运营中心完成。

　　导入具有现有配置的设备时。FortiManager将设备的防火墙策略导入到一个新的策略包中(可以重命名)。对象共享每个ADOM的公共对象数据库。FortiManager将对象保存在ADOM数据库中，你可以在同一ADOM中的不同管理FortiGate设备之间共享或使用这些对象。FortiManager还检查重复或冲突的对象。

 你将了解的第一个注册方法是FortiManager上的设备注册向导。采用这种方式时，由FortiManager管理员主动发起并最终执行注册。采用这种方式时，管理员必须拥有要注册的设备的详细信息。

　　通过单击菜单栏上的 添加设备，可以从 设备管理器 窗格启动向导。如果你已经启用了ADOM，并希望将设备添加到特定的ADOM。从ADOM列表中选择ADOM，然后单击Add Device。

 向导包含两个添加设备的选项：发现和添加模型设备。

　　使用发现选项添加现有设备。在这里。你必须为FortiGate设备输入登录凭证——IP地址、用户名和密码。

　　为了完全发现设备并添加完全配置，你在使用发现选项时输入的登录凭证必须对FortiGate具有完全的读写访问权限。还允许FortiManager将配置安装到管理FortiGate。

　　你可以使用添加模型设备选项来提供一个没有在线审查的新设备。在本课稍后的内容中，你将了解有关此选项的更多信息。

 在这一步，FortiManager确定FortiGate设备是否可达，并发现有关设备的基本信息，包括IP地址、管理员用户名、设备型号、固件版本(构建)、序列号和高可用性模式。

　　管理员可以提前配置系统模板，并在新设备添加到FortiManager时将其应用到新设备。模板可以节省时间，因为不需要多次重复公共配置设置。

 你可以在FortiManager上执行diagnostic debug application depmanager 255和diagnose debug enable命令，获取正在添加的FortiGate设备的实时状态。

　　注意，这个命令的输出非常详细，而且还显示了来自其他管理设备的输出。

 在下一步中，FortiManager检查添加的FortiGate设备，并在修订历史中创建初始配置文件。这是完整的配置，包含所有已使用的和孤立的对象以及FortiGate上的防火墙策略。它还检查支持合同，这在FortiManager用作管理FortiGate的本地FortiGuard服务器时非常有用。

　　导入策略和对象有两种选择：

　　● 单击Import Now将在策略包中添加策略，并在公共共享ADOM数据库中添加对象。这些对象可以被同一个ADOM中的多个FortiGate设备使用。

　　● 单击Import Later只会将设备级设置添加到设备数据库中，但不会将防火墙策略和对象导入到policy & objects中。你可以稍后使用导入策略向导导入它们。

　　在本幻灯片所示的示例中，选择了Import Now选项。

 向导搜索所有要导入到FortiManager数据库的策略。在此步骤中，策略被导入到policy & Objects窗格下的新策略包中。

　　此时，你可以选择是导入所有策略还是选中的策略，以及是只导入引用的对象还是全部对象。默认情况下，添加设备时将选择Import All和Import only策略依赖对象选项。

 如果配置了VDOM，系统会提示你选择需要导入的VDOM。防火墙的大部分配置都是特定于VDOM的。因此，每个VDOM算作一个被管理的设备。

　　FortiManager探测FortiGate并在ADOM数据库中创建一个接口映射。你还可以重命名ADOM接口映射。FortiGate设备有两个接口port1和port3。分别改名为WAN和LAN。这个映射是FortiManager数据库本地的，你可以从LAN和WAN接口查看FortiManager上的策略。你可以为多个FortiGate设备使用本地ADOM接口映射。请记住，ADOM接口名称是区分大小写的。例如，如果你有一个带有接口WAN的现有设备，并且你将该接口重命名为wan，那么你将在接口列表中看到名为WAN和wan的两个接口。

　　正确的接口映射在大型部署中非常有用，管理员可以为ADOM接口使用公共名称。你还可以在ADOM级别对FortiGate设备接口使用相同的名称。它还可以帮助管理员轻松地在FortiManager上查看和跟踪防火墙策略。

　　缺省情况下，开启 为所有未使用的设备接口添加映射 设置。启用此设置将为新接口创建一个自动映射。因此，FortiManager管理员不需要创建手动映射。

 接下来，向导在FortiGate设备中搜索要导入的对象，如果存在任何冲突，它们将出现在这里。你可以查看其他详细信息，也可以下载HTML格式的冲突。

　　如果从Use Value from列中选择FortiGate，则FortiManager数据库将使用该值更新。如果你选择了FortiManager，那么下次从FortiManager安装到FortiGate的配置时，它会对FortiGate防火墙进行这些更改。默认选择FortiGate。

 一旦对象冲突被记录并解决，向导就会搜索要导入的对象。FortiManager添加新的对象并更新现有的FortiManager对象。FortiManager不会在ADOM数据库中导入重复项，因为这些对象已经存在于数据库中。

 向导的最后一个页面是Import Summary。在向导的这个页面中，将防火墙策略和对象导入到FortiManager中。

　　你还可以下载导入报告，该报告仅在此页上可用。作为最佳实践，建议你下载该报告。下一张幻灯片显示下载的导入报告。

 导入报告提供了重要的信息，比如哪个设备被导入到哪个ADOM中，以及与导入对象一起创建的策略包的名称。这些对象和策略是在该ADOM的Policy & objects窗格中创建的。

　　FortiManager导入新对象。FortiManager不会将已经存在或重复的条目导入ADOM数据库。如果检测到冲突，FortiManager会在向导的 对象冲突 步骤中更新与所选设备关联的对象。在导入报告中，该对象称为更新前一个对象。

　　正如本幻灯片上的示例所示，当你从FortiGate导入配置到FortiManager时，一个注释与设备配置中名为ALL的地址对象相关联。但是，在FortiManager数据库中没有与地址对象ALL相关联的注释。当你选择FortiGate设备值并导入地址对象ALL时，一个名为update previous object的条目将被添加到导入报告中。

　　动态对象也可以被创建，单个对象名有不同的值，这取决于它安装在哪个设备上。

 由于在向导的接口映射步骤中将port3重命名为LAN，将port1重命名为WAN，因此在FortiManager上，该策略显示为从LAN和WAN接口导入。但是，在FortiGate上，该策略显示port1和port3。这称为动态映射；在策略包中创建的防火墙策略引用这些映射。安装策略包时。接口映射转换为管理设备的本地接口。

　　当将同一个策略包安装到多个被管理的FortiGate设备时，动态映射非常有用，接口映射被转换为被管理设备上的本地接口。

 添加设备向导中的第二个选项是 添加型号设备，它允许你添加尚未在线的设备。使用此选项，可以提前创建配置。

　　你可以通过以下两种方式连接到实际设备：

　　● FortiGate序列号，添加FortiGate为型号设备时必须输入

　　● 预共享密钥，添加多个型号设备时的唯一预共享密钥

 在FortiGate端，需要将FortiGate配置为指向FortiManager。这对于最小接触部署(比如在使用FortiDeploy时)非常重要。

　　如果使用序列号添加FortiGate作为型号设备，需要在集中管理配置下在FortiGate上配置FortiManager的IP地址。

　　如果你使用预共享密钥添加型号设备，你需要执行集中管理配置，并且你需要在FortiGate命令行运行一个注册设备命令。该命令需要FortiManager序列号，以及在添加型号设备时使用的预共享密钥。

　　一旦部署了用于到达FortiManager的基本IP地址和路由配置的FortiGate设备，FortiGate设备将自动提升为已注册设备。然后可以将预先配置的配置从FortiManager安装到FortiGate。

 FortiGate管理员必须配置FortiManager的IP地址并应用这些设置。将出现一个弹出窗口，说明管理请求已发送到FortiManager。单击OK将退出FortiGate。

 那么FortiGate如何从未经授权的设备转移到托管设备呢?这发生在FortiManager一边。一旦从支持的设备发出请求，请求就会出现在FortiManager GUI中的设备管理>未授权设备下。

　　FortiManager管理员应该查看未授权设备的详细信息。如果满意则授权设备。如果你授权了未经授权的设备，那么你需要运行导入策略向导将设备的防火墙策略导入到一个新的策略包中。

　　如果启用了ADOM，设备将出现在根ADOM中，即FortiManager的管理ADOM。根ADOM基于FortiGate ADOM类型，因此只能授权FortiGate设备加入根ADOM。或者，如果你已经创建了基于FortiGate ADOM类型的自定义ADOM，那么你可以授权FortiGate加入自定义ADOM。

　　通过FortiManager命令行，可以开启对未授权设备的自动授权功能。但是，你仍然需要运行导入策略向导将设备的防火墙策略导入到一个新的策略包中。

 如果需要同时添加多个FortiGate设备，该怎么办?

　　你可以在管理设置下启用显示添加多台设备按钮，从而在设备管理器下启用添加多台设备的选项。单击添加，输入FortiGate的IP地址、用户名和密码。

　　与添加未经授权的设备类似，策略包不会自动创建。必须运行导入策略向导将设备的防火墙策略导入到新的策略包中。

 一旦注册了FortiGate设备，它们就会出现在添加它们的ADOM中的设备管理器中。

 通过设备管理器地图视图，可以查看谷歌地图上FortiGate设备的位置。你可以在设备位置设置下手动输入设备的位置，也可以拖动设备到指定的位置。如果你有许多分散在许多国家或城市的设备，这个特性非常有用。

　　地图视图显示谷歌地图上的设备位置，并以颜色(绿色、橙色、红色)表示设备的状态。

　　● 绿色：设备处于健康状态。策略包配置与设备配置同步。

　　● 橙色：警告状态。设备配置状态或策略包配置状态为不同步。或者，没有导入策略或没有安装策略包。

　　● 红色：错误状态。复制失败、安装失败或设备连接断开。

 部分FortiManager设备可以配合机架管理器管理FortiGate 5000系列机架。首先，需要在“System Settings > Advanced > Advanced Settings”中启用机架管理。启用后，可以将机架添加到默认机架ADOM中。

　　机架仪表板提供槽位号、槽位信息、刀片当前状态等各种参数信息。用户可以查看或配置刀片、电源模块、风扇框、机架管理器和SAP的相关信息。

 FortiManager物理设备或虚拟机许可证支持的设备数量有限，具体数量取决于设备大小或许可证类型。一个FortiGate高可用性(HA)集群算作一个设备，就像一个虚拟域(VDOM)一样。这是因为大部分配置与防火墙策略和对象有关，集群中的设备不会增加该配置的大小，因为集群中的设备运行相同的配置。VDOM的使用增加了配置的大小。

　　例如，如果一个HA集群中有两台FortiGate设备(主-主或主-备)，则两台FortiGate设备配置相同，视为一台设备。但是，启用VDOM会增加配置的大小，因为每个VDOM在逻辑上是一个独立的防火墙。

 FortiGate HA集群作为来自FortiManager的单个设备进行管理，并且具有唯一的ID。你可以在CLI下使用diagnose dvm device list命令查看设备成员信息。FortiManager不知道也不会验证FortiGate HA同步状态。每个设备管理接口的可选专用HA仅用于SNMP监控，不能用于FGFM管理。

　　FortiGate FortiManager上的HA配置仅在GUl上为只读。它是可检索和可见的。但不能修改。在安装期间，FortiGate HA配置也不会应用于FortiGate。这是为了避免覆盖HA配置。但是，如果FortiGate HA角色已经改变。可以使用FortiManager强制HA故障转移。关于HA参数的FortiGate配置更改不会修改校验和(get system mgmt-csum)，也不会导致不同步的情况。

 知识检查

 知识检查

 非常好！现在你理解了注册方法。

　　接下来，你将研究常见的设备发现问题以及如何解决它们。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示设备发现故障处理的能力，你将能够诊断和解决与设备发现相关的问题。

 管理协议FGFM运行在FortiGate (fafmd)和FortiManager (fafmsd)上。FortiManager和FortiGate在TCP 541端口上创建安全隧道。基于TCP。该连接与基于端口的NAT一起工作，它允许FortiGate和FortiManager在NAT设备的后面。在FortiGate侧，你可以为每个面对FortiManager的接口启动FMG-Access设置 。

　　一旦配置了管理隧道，它可以在两个方向上建立——通过FortiManager或被管理的FortiGate设备。FortiManager使用169.254.0.0/16子网保留链路级寻址。169.254.0.1为FortiManager预留IP地址，被管理的设备被分配给169.254.0.0/16范围内的其他IP地址。

　　从FortiGate设备发送keep-alive消息。keep-alive消息包括FortiGate配置的校验和、校验和计算同步状态。

　　第一次发现设备或隧道回收时需要使用FortiGate登录凭证。登录凭证用于设置序列号。一旦输入了登录凭证，序号就成为身份验证的基础。

 当FortiGate向FortiManager注册时，涉及两个步骤：

　　1. 发现：在这个步骤中，FortiManager发送一个CLI命令来获取FortiGate的最小信息。

　　2. 添加：在此步骤中，FortiManager会获取完整的FortiGate配置细节，FortiGate配置会保存在修订历史中。

　　有两种方法可以将FortiGate注册到FortiManager。安全的FGFM隧道可以由FortiGate或FortiManager发起。

　　如果隧道是由FortiGate发起的，该设备将被添加到根ADOM的FortiManager未授权设备列表中。在这一点上，它还没有被发现。一旦设备升级为授权设备，就会启动完整的发现和添加进程。

 当FortiManager发现并添加FortiGate时，它向FortiGate发送命令以获得关于FortiGate的完整信息。

　　发现和添加FortiGate时，还可以在FortiGate上执行如下命令：

　　diagnose debug CLI 8

　　diagnose debug enable

 如果你遇到了FortiGate和FortiManager之间的通信问题，首先要确保这两个设备能够相互通信。在任意一台设备上使用execute ping CLI命令来验证设备是否能够路由到彼此。(Ping必须被所有中间防火墙启用和允许。)

　　如果你在从FortiManager发现FortiGate时有问题，请检查以下内容：

　　● FortiManager具有足够的管理员权限。添加FortiGate需要足够的特权。

　　● 离线模式被禁用(默认禁用)。启用离线模式将禁用与被管理设备通信的FGFM协议(TCP端口541)。

　　● 来自FortiGate的数据包到达FortiManager，来自FortiManager的数据包到达FortiGate。在两台设备上运行嗅探器进行确认。

　　● 添加设备向导中的FortiGate凭证是正确的。

　　● 在面向FortiManager的FortiGate接口上启用了FGFM访问。

　　● FortiGate在未授权设备列表中。你可以在GUl上从根ADOM查看，也可以在CLI中使用如下命令：

　　diagnose dvm device list.

　　● FortiManager和FortiGate之间的日期和时间同步。

 知识检查

 知识检查

 恭喜你！你已经完成了这一课。

　　现在，你将回顾你在本课中涉及到的目标。

 这张幻灯片显示了你在本课中涉及的目标。

　　通过掌握本课中涉及的目标，你了解了设备管理器窗格的主要功能，以及如何使用FortiManager管理FortiGate。