在本课中,你将了解FortiOS的体系结构。
通过展示Fortinet网络安全架构的能力,你将能够了解企业防火墙解决方案和网络安全参考架构,以及它所包含的Fortinet产品。你还将能够了解防火墙的作用及其在网络中的位置。
在本节中,你将在高层次上了解Fortinet企业防火墙解决方案。
通过保护周边来保护网络的传统方式已成为过去。如今,网络和安全管理员必须抵御各种威胁,如零日攻击、APT、多态恶意软件等。他们还必须保护网络免受任何潜在的内部威胁。
恶意软件可以轻松绕过任何入口点防火墙并进入网络。这可以通过受感染的U盘或员工受损的个人设备连接到公司网络来实现。此外,网络管理员不能再理所当然地认为网络内的一切和每个人都可以被信任。现在攻击可以来自网络内部。要保护如此庞大的网络,你必须应用零信任模式。攻击可以来自任何地方,使用任何方法,并影响任何东西。
在家办公、BYOD、移动用户、远程劳动力和不断发展的云技术正在创建无边界网络,这进一步加剧了保护此类复杂网络的挑战。
此外,网络管理员不能再理所当然地认为网络内的一切和每个人都可以被信任。现在攻击可以来自网络内部。要保护如此庞大的网络,你必须应用零信任模式。攻击可以来自任何地方,使用任何方法,并影响任何东西。
Fortinet企业防火墙采用灵活的部署模式,通过设备(安全处理单元)、虚拟机、容器和SaaS融合了网络和安全功能。
该愿景还包括一个统一的操作系统,所有网络边缘都原生集成了NGFW、SWG、SD-WAN和ZTNA。
Fortinet企业防火墙解决方案可以应对网络和安全挑战。它通过整合的操作系统FortioS提供有效和快速的端到端安全性。该解决方案的核心是安全结构,它可以实现企业网络中所有安全设备的通信。Fortinet企业防火墙解决方案提供了有关在哪里安装网络安全设备以及它们在企业网络的每个部分中将扮演什么角色的指南。你可以分别使用FortiManager和FortiAnalyzer为整个企业的所有部署提供单窗格管理和报告。
在本节中,你将了解高水平的Fortinet网络安全参考架构。
你可以使用IPS和高级安全服务检查所有流量以获得完全可见性,并防止已知、零日和未知的安全威胁,以防止业务中断。
为了防止威胁的横向移动,你可以使用内部分割来管理内部风险。为任何用户对任何应用程序的零信任网络访问强制启用应用程序的显式使用。
你可以扩大和缩小业务规模,以满足日益增长的业务需求,例如更高的性能、并发连接和数据中心保护的高可用性。自动化所有企业工作流程。
在整个企业网络中添加分割可以增加成本,降低灵活性,并阻碍性能。网络分割架构有助于采用深度分割架构。
为了保护企业业务免受外部攻击并保护用户免受外部威胁,你可以使用边缘防火墙实现简单的网络分割。防火墙将网络的外部与内部分隔开来。
你可以使用网络地址,或者在NGFW的情况下,使用身份和应用程序来确定谁拥有信任和访问权限。IPS、AV和Web内容过滤等高级安全性可以保护业务。
但所有这些都集中在互联网边缘。网络内部是平坦的,没有安全性来保护业务资产免受攻击者攻击。由于网络内部没有可见性,关于谁正在访问网络的事实仍然令人担忧。如果仅为企业网络部分计划简单的细分,则妥协的风险非常高。
你可以通过消除平坦网络以及提高可见性和安全性来减少企业网络的攻击面。在上图中,有许多内部分割防火墙作为网络的实施点。这些实施点创建了多个可以根据需要进行细粒度划分的隔离区域。
与边界安全不同,减少攻击面侧重于保护网络的内部部分,因此不需要一些安全措施,如网络内容过滤器。然而,由于恶意软件可能隐藏在加密会话中,因此必须进行深度SSL检查,并对零日威胁使用高级威胁保护。
你可以通过保护保持业务运行的关键业务应用程序来改善安全态势。处理所有应用程序不再那么简单了。云和移动性也带来了你必须应对的挑战。
网络分割利用网络的灵活性来处理多个用例,但也包括其他安全产品,这些产品可以合作改善企业的安全态势。基于云的电子邮件是最常见的攻击载体。安全的电子邮件网关势在必行。暴露于互联网的服务器需要Web应用程序防火墙的保护。内部应用程序,如HR使用的应用程序,可以成为攻击的目标,这使得使用SSL来检查交易密钥。有这么多东西需要保护,确保安全信息在所有解决方案之间共享有助于保持关键基础设施的安全。
许多企业必须以这种或那种形式处理合规问题,这带来了某些挑战。通常,所需的策略不遵循标准的网络边界。物联网(loT)设备可能并非都能启用端点强制执行。如果只有相同颜色的元素可以相互通信,则无法创建遵循这些要求的网络策略。这意味着你必须使用业务逻辑、用户身份和设备身份来实现强制合规性的策略。每当出现新的合规性要求时,重新设计网络是不可行的。
为了使业务细分与网络可以提供的安全性保持一致,有时需要与外部来源集成。大多数防火墙无法查看云提供商的元数据,这意味着如果没有服务后计费,成本是未知的。影子IT和其他未经批准的云实例可以为企业网络提供你可能不知道的渠道。你必须通过与应用程序编程接口(API)一起使用的云服务来协调网络安全。
这保持了高网络可见性,即使在云内部,而数据是安全的。一旦集成,可以从云提供商本身检索到的云使用量,可以监控用户或整个组,以将你的云置于你的控制之下。
在本节中,你将高层次地了解Fortinet企业防火墙解决方案。
在企业防火墙解决方案中,每个FortiGate设备都有一个特定的角色,这取决于它安装的位置以及它正在保护的资产。在本课中,你将了解分布式企业防火墙(DEFW)、下一代防火墙(NGFW)、数据中心防火墙(DCFW)和内部分割防火墙(ISFW)。
● DEFW通常是安装在分支机构和远程站点的小型设备。分布式企业通常不遵循标准化的企业网络设计,因此多层被折叠成一个或两个层。他们使用VPN连接到公司总部。DEFW是多合一的安全设备,可以进行防火墙、应用程序控制、IPS、网络过滤和反病毒检查。
● NGFW通常用于防火墙、应用程序可见性、入侵预防、恶意软件检测和VPN。NGFW可以发挥入口点防火墙的传统作用,或者根据网络基础设施的不同部署在核心。
● DCFW保护公司服务器。它们专注于检查传入的流量,通常安装在分发层。由于高性能要求,在大多数情况下,安全功能被保持在最低限度:防火墙、应用程序控制和IPS。
● ISFW将你的网络拆分为多个安全段。它们充当来自内部的攻击的突破容器。防火墙、应用程序控制、Web过滤和IPS是这些防火墙中通常启用的功能。
下一代防火墙。
你可以主动管理攻击向量和风险,并使用具有成本效益的执行点深入实施防御。
你可以通过保护关键应用程序来改善安全态势,并利用与信任管理和广泛安全平台的开放式APl集成。
你可以实施监管策略来保护合规性资产、安全评估和业务逻辑驱动的安全策略。
DCFW提供边缘威胁保护,以处理风险管理,并以完全可见性和高级安全性防止业务中断。
DCFW还允许你通过高可用性和自动化来满足不断增长的业务需求。
它还使你能够使用一致和自动化的安全策略呈现强大的安全状态。
DCFW还对环境负责,这有助于客户实现可持续发展目标。
在本节中,你将了解FortiOS工作区模式。
工作区模式允许管理员进行一批更改,这些更改在提交事务之前不会实现。在提交之前,管理员可以根据需要恢复或编辑更改,而不会影响当前操作。
当管理员在工作区模式下编辑对象时,它将被锁定,阻止其他管理员编辑该对象。显示一条警告消息,让管理员知道该对象目前正在另一个工作区事务中配置。
所有管理员都可以使用工作区模式;他们在工作区模式下的权限与其帐户配置文件中定义的权限相同。
如果没有活动,工作区模式事务会在五分钟内过时。当交易过时时,所有更改都会被丢弃。显示一条警告消息,让管理员知道超时迫在眉睫,或已经发生。
工作区模式只能通过FortiGate命令行开启。
命令config-transaction status显示当前管理员是否正在处理待提交的工作区。如果是这种情况,输出会显示工作区的事务ID。
要查看有关所有活动工作区事务(来自多个并发管理员)的信息,请使用命令config-transaction show txn-info。输出显示每笔交易的标识符及其到期时间。它还显示了在每个工作区上工作的管理员的用户名,以及有关这些管理员如何以及从哪里连接的信息。
你可以使用命令config-transaction show txn-cli-commands列出工作区中待提交的CLI更改。
通过掌握本课程所涵盖的目标,你将了解企业防火墙解决方案和网络安全参考架构及其包含的Fortinet产品。你还了解了防火墙的作用及其在网络中的位置。
595
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
