教程篇(7.0) 02. 安装和许可 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5

  在本课中，你将学习如何安装FortiClient和FortiClient EMS。你还可以了解FortiClint版本和FortiClient EMS的运行方式。

  在这节课中，你将学习上图显示的主题。

  通过识别和理解FortiClient的安装选项、工具和功能，你将能够选择适当的选项、版本和工具在你的网络中安装FortiClient。

  上述文件可以在Fortinet支持门户网站的固件映像文件文件夹中找到。

 　　FortiClient工具包包含各种工具，你可以使用这些工具定制你的FortiClient安装。FortiClientVirusCleaner工具用于识别和清除系统中的病毒。

　　SupportUtils文件夹包含各种工具：

　　● RemoveFCTID.exe：用于删除唯一标识符的工具

　　● FCRemove.exe：是一个清理工具，仅当添加或删除程序小程序无法删除FortiClient时使用

　　● ReinstallNIC.exe：Windows 7操作系统下，DHCP分配地址速度较慢时使用的工具

　　● FortiClient_Diagnostic_Tool.exe：用于收集信息，如FortiClient连接到FortiGuard Distribution Server (FDS)、一般系统信息、已安装的特性信息等，这些信息对故障诊断非常有用

　　VPNAutomation包括FCCOMIntDLL.tlb，是构建使用FortiClient IPsec VPN COM接口的应用程序所需的一种库，SSLVPNcmdline包含FortiSSLVPNClient.exe，它是一个控制SSL-VPN隧道的命令行工具。

　　Mac OS X FortiClient tools文件包含一个在线安装程序，可以从公共FDS下载并安装最新的FortiClient文件，以及RemoveFCTID.exe，以消除唯一标识符。

　　对于Linux文件夹中的文件，请参考上图。

  在7.0.0或更高版本中，EMS上可以使用FortiClient (Windows和MacOS)安装程序。你可以在网管上配置和选择已安装的功能和选项。管理员在网管系统中配置FortiClient部署包，包含EXE和MSI文件。管理员指定要在部署包中安装哪些模块。EMS管理员将提供FortiClient安装文件的下载链接。

 　　MSI安装程序仅在Microsoft Windows环境中支持。

　　FortiClientSetup_7.0.X.zip：包含FortiClient.msi的zip包和32位Windows的语言转换。MSI包的一些属性可以用自定义安装程序自定义。

　　FortiClientSetup_7.0.X_x64.zip：包含FortiClient.msi的zip包和64位Windows的语言转换。MSI包的一些属性可以用自定义安装程序自定义。

　　ZIP文件包中的MSI安装程序是可定制的，以便在组织中的许多计算机上进行更大的部署。

  在继续完成安装之前，FortiClient安装程序总是在目标主机系统上运行快速的反病毒扫描。如果系统已清理干净，则可以正常安装。在此步骤中发现的任何病毒将在继续安装之前隔离。如果被感染系统上的病毒阻止你下载新的FortiClient软件包，请使用以下过程：

　　1、引导到网络安全模式。这是FortiClient安装程序从Fortinet分发网络下载最新签名包所必需的。

　　2、运行FortiClient安装程序。

　　安装程序扫描整个文件系统。如果发现病毒，则将其隔离。当扫描完成后，重新引导到正常模式，并运行FortiClient安装程序来完成安装(Windows不允许在安全模式下完成FortiClient安装)。

　　如果你使用克隆的硬盘映像配置计算机，则必须从FortiClient应用程序中删除惟一标识符。如果你部署多个具有相同标识符的FortiClient应用程序，你将会遇到FortiGate的问题。你必须使用以下步骤：

　　1、安装FortiClient应用程序。

　　2、右键单击系统托盘中的FortiClient图标，选择Shutdown FortiClient。

　　3、在你展开FortiClientTools.zip文件的文件夹中，运行RemoveFCTID.exe。RemoveFCTID工具需要管理权限。不要将RemoveFCTID工具包含在登录脚本中。

　　4、关掉电脑。在创建硬盘镜像之前，请不要重新启动计算机上的Windows操作系统。登录前已创建FortiClient标识符。

　　5、创建硬盘映像并根据需要部署它。

　　你也可以通过CLI方式安装FortiClient。上图的表格总结了使用CLI时可用的安装选项。例如，FortiClientSetup_7.0.0.1131_x64.exe /quiet /log“log”以quiet模式安装FortiClient 7.0.0 build 1131，创建一个名为log的日志文件。

  你可以通过Microsoft AD服务器部署FortiClient。在域控制器上，创建分发点和共享网络文件夹，以分发从FortiClient EMS中获得的FortiClient MSI安装程序文件。设置共享文件夹上的文件权限，以允许访问分发包。现在复制FortiClient MSI安装程序和MST包到这个共享文件夹。

　　在你的域中，添加一个新的组织单元(OU)，并将希望分发FortiClient软件的所有计算机移动到新创建的OU中。创建一个组策略对象(GPO)，然后创建FortiClient安装包。强制GPO更新。该软件将在客户端计算机下次重新启动时安装。你还可以等待客户机计算机轮询域控制器以查看GPO更改，然后安装软件。

　　卸载FortiClient可以通过GPO方式，也可以通过手动方式。手动卸载时，请断开FortiClient与EMS的连接。该终端不再由FortiClient EMS管理。单击“解锁”可以解锁配置，然后关闭FortiClient。关闭FortiClient后，请通过Windows的“添加/删除程序”程序卸载FortiClient。

　　管理员将为你控制FortiClient的升级。当管理员将FortiClient升级从FortiClient EMS部署到运行Windows操作系统的终端时，终端上会打开“升级计划”对话框，让终端用户安排升级和强制重启。如果终端上没有安装FortiClient软件，安装过程中不需要重新启动，也不会打开“升级计划”对话框。终端用户最多可以将重启延迟24小时。在强制重启发生之前，会打开一个FortiClient对话框，给出15分钟的警告。

  FortiClient 7.0.0提供了一个免费的仅支持VPN的版本，你可以使用持VPN连接到FortiGate。你可以从www.fortinet.com上下载仅VPN应用程序。你不能使用仅VPN客户端来使用FortiClient单点登录移动代理（SSOMA）。同时使用VPN和SSOMA时，需要购买FortiClient EMS许可。

  答案：A

  答案：B

  现在你已经了解了FortiClient安装文件和工具。接下来，你将了解FortiClient EMS的安装。

  通过演示FortiClient EMS的安装和许可能力，你可以了解系统需求，识别许可类型、服务和端口。了解如何使用ForitClient EMS安装文件分别通过图形界面和命令行方式安装FortiClient EMS。

  通过阅读《FortiClient EMS版本说明》，你可以熟悉相关软件组件以及产品的重要信息。

　　安装过程中需要上网。安装完成后，这变成可选的。FortiClient EMS通过访问internet获取FortiGuard引擎和签名更新信息。

　　注意服务器上只需要安装FortiClient EMS和操作系统默认服务。你不应该在与FortiClient EMS相同的服务器上安装其他服务。

  以下是最新的许可证包：

　　● EPP是一个完整的许可证，提供所有FortiClient功能。包括ZTNA许可证的所有详细功能，以及反病毒(AV)、反勒索软件、反利用、基于云的恶意软件检测、应用程序防火墙、软件库存和通过FortiClient云沙箱的高级威胁保护。

　　● ZTNA包括支持架构代理终端遥测，通过ZTNA标记的安全姿态检查，远程访问(SSL和IPsec VPN)，漏洞扫描，web过滤器，通过沙箱(仅设备)的威胁保护和USB设备控制。每个购买的ZTNA许可证允许管理一个FortiClient Windows, macOS, Linux, iOS, Android，或Chromebook终端。

　　你必须购买至少25个终端许可证。

　　Chromebook许可证支持管理一个谷歌Chromebook用户。你必须购买至少25个谷歌的Chromebook用户许可。

　　Fortinet还提供FortiClient管理服务，以简化配置、部署和监控云中的FortiClient代理。服务包括初始FortiClient云供应、终端登机、安全架构设置和集成以及终端漏洞监控。这还包括BPS(最佳实践服务)，这是一种基于帐户的年度订阅服务，提供对提供远程部署、升级和操作指导的专门团队的访问。

　　FortiClient EMS对每个登录用户使用一个许可证座位。如果用户注销，则会导致许可证座位超时(默认超时时间为30天)，许可证被释放。此时，其他用户可以使用这个许可证席位。

  上图的表格展示了FortiClient EMS与运行相关应用程序的端点和服务器通信所需的端口和服务。安装FortiClient EMS时，服务器上不需要打开8013和10443端口。

  上图表格展示了FortiClient EMS与Chromebook终端或Chromebook终端与FortiClient EMS通信所需的端口和服务。

  上图表格展示了FortiClient EMS与FortiGuard通信下载反病毒和漏洞扫描引擎及特征码更新所需的端口和服务。FortiClient EMS可以连接到传统的FortiGuard或FortiGuard Anycast。

  FortiClient EMS可以从Fortinet Support网站下载。你还可以从销售代表那里接收安装文件。上图展示了FortiClient EMS可用的安装文件。

 　　注意FortiClient EMS需要具备本地管理员权限和上网权限。

 

 

 

  你可以通过命令行方式安装FortiClient EMS。

　　AllowedWebHostnames命令用来设置主机名。默认值是localhost, 127.0.0.1。要清除该值，首先输入AllowedWebHostnames=*，然后输入所需的AllowedWebHostnames值。否则，输入的值将被追加到localhost 127.0.0.1。

　　在ApacheserverAdminEmail选项中，可以配置Apache服务器管理员的电子邮件地址。默认为admin@yourcompany.com。通过“BackupDir”选项，你可以输入SQL server的备份目录路径。类似地，ClientDownloadPort允许你输入自定义的HTTP端口号，RemoteManagementPort允许你输入HTTPS端口号。默认值为80 (HTTP)和443。

　　如图所示，通过CLI方式安装FortiCllient EMS，使用自定义端口(端口22443)进行远程访问。

　　其他命令请参见《FortiClient EMS管理指南》。

  使用CLI进行安装允许你在安装期间启用特定的选项，例如定制SQL Server Express安装目录、使用定制端口号等等。

　　看一下在CLI安装期间的自定义配置示例，如上图所示。这里，我们为FortiClient下载(11443)和管理(22443)使用不同的端口，因为默认端口(10443和443)由运行在Windows服务器上的现有服务使用。

  你可以在以下情况下卸载FortiClient EMS：

　　● 如果将一个EMS内部环境迁移到另一个新的服务器

　　● 如果与服务器上运行的其他应用程序或服务冲突

　　● 如果重新安装以解决升级或兼容性引起的问题

　　FortiClient EMS支持通过Windows操作系统的“添加或删除程序”卸载。FortiClient EMS安装依赖项。如果在同一计算机上的其他应用程序没有使用FortiClient EMS，请在卸载FortiClient EMS后，手动卸载该应用程序。上图显示了依赖关系的列表。

  答案：B

  答案：A

  现在你已经了解了安装FortiClient EMS的系统要求，了解了许可证类型、服务、FortiClient EMS安装文件，以及通过GUI和CLI方式安装FortiClient EMS。接下来，你将了解FortiClient EMS的运行模式。

  通过对FortiClient EMS操作模式和ForitClient云的理解，你将能够在你的网络中有效地使用它。

  FortiClient EMS单机模式，提供FortiClient终端发放功能。FortiClient终端将FortiClient遥测连接到FortiClient EMS，以接收终端配置文件中的配置信息，作为FortiClient EMS的终端策略的一部分。同时，FortiClient EMS还向FortiClient发送符合性验证规则，并根据符合性验证结果对EMS内的终端进行动态分组。只有网管可以控制FortiClient与网管的连接。对连接的任何更改都必须从EMS进行，而不是从FortiClient进行。现象描述在连接EMS时，FortiClient设置被锁定，终端用户不能修改配置。

  你可以将FortiGate与FortiClient EMS集成。在此场景中，FortiClient零信任遥测连接到FortiClient EMS以接收配置信息配置文件，作为终端策略的一部分，而FortiClient EMS连接到FortiGate以参与安全结构。FortiClient EMS向FortiGate发送ForitClient终端信息。

　　同时，FortiClient也支持从FortiClient EMS获取设备证书。FortiClient可以使用设备证书对TCP和HTTPS协议的流量进行安全加密和隧道化，通过HTTPS协议传输到FortiGate。该功能需要FortiClient 7.0.0及以上版本，FortiOS 7.0.0及以上版本。

　　FortiGate还从FortiClient EMS接收动态终端组列表，并使用它们来构建动态防火墙策略。FortiClient EMS将组更新信息发送给FortiOS，FortiOS根据组更新信息调整策略。该功能需要FortiOS版本6.2.0或更高版本。

　　注意，FortiGate不提供FortiClient和终端的配置信息。管理员必须通过FortiClient EMS终端策略对FortiClient进行配置。

  有一个基于云的SaaS终端管理服务，称为FortiClient Cloud。这是一个Fortinet-hosted EMS解决方案。你可以在基于云的FortiClient EMS中执行网管功能。你必须完成以下步骤，在你的FortiCloud用户帐户下创建一个基于云的EMS实例：

　　1、注册FortiClient云订阅到你的FortiCloud帐户。

　　2、在你的FortiCloud账户上注册FortiClient证可证合同，由FortiClient云进行管理。

　　FortiCloud云是FortiSASE SIA的一个组件，FortiSASE是一种基于云的SaaS服务，为远程、离网的终端提供保护。FortiSASE SIA只适用于一个新的FortiClient云实例。不能向已存在的FortiClient云实例申请FortiSASE SIA许可证。

　　启动一个FortiClient Cloud实例需要以下准备项：

　　● 一个订阅FortiClient云的FortiCloud帐户

　　● 创建FortiClient云实例的权限

　　● 用于访问FortiClient云图形界面的浏览器

　　注意，每个FortiCloud帐户只能创建一个FortiClient云实例。你可以管理以下终端：

　　● Windows

　　● macOS

　　● Linux

　　● iOS

　　● Android

  当从FortiClient云中创建的部署包在Windows终端上安装FortiClient时，管理员执行一些操作，而终端用户执行其他操作，如上图所示。由于FortiClient的Linux、iOS、Android终端不支持创建部署包，所以必须使用管理员提供的邀请码加入FortiClient Cloud。你可以在FortiClient的零信任遥测选项卡上的Join forclient Cloud字段中键入代码。

　　FortiGate可以作为安全Fabric设备连接到FortiClient云。你必须授权来自FortiGate的连接请求，以允许在FortiGate云和FortiGate之间建立架构连接。

　　虽然FortiClient云的功能与内部部署的FortiClient EMS相同，但有一些限制：

　　● FortiClient云最多支持20000个终端。超过20000个终端时，需要使用本地部署的FortiClient EMS。

　　● 支持活动域(AD)集成，但FortiClient云暂不支持初始部署到AD设备。

  上图的表格展示了FortiClient云和本地FortiClient EMS的比较。

  上图展示了比较表的延续。

  答案：B

  答案：B

  恭喜你！你已经完成了这一课。现在，你将回顾你在本课中涉及的目标。

  通过掌握本课涉及的目标，你学习了如何安装FortiClient和FortiClient EMS。你还了解了FortiClient版本、FortiClient EMS云以及运行方式。

---