在本课中,你将学习FortiManager的基础知识。这包括FortiManager如何融入你现有的网络架构。
FortiManager为各种Fortinet安全设备提供集中的策略配置、配置和更新管理。
在本课中,你将了解上图显示的主题。
通过展示使用FortiManager主要功能的能力,你将能够在自己的网络中有效地使用该设备。
你何时应该在网络中使用FortiManager?
在大型企业和托管安全服务提供商 (MSSP) 中,网络的规模带来了小型网络所没有的挑战:大规模配置;配置更改的调度推广;以及维护、跟踪和审计许多更改。
通过FortiManager的集中管理可以帮助你更轻松地使用许多设备管理许多部署类型,并降低运营成本。
FortiManager能做什么?
● 跨网络配置防火墙策略
● 充当配置修订控制和安全审计的中央存储库
● 部署和管理复杂的网格和星型IPsec VPN
● 充当托管设备的专用FortiGuard分发网络 (FDN) 服务器
● 使用JSON APls编写脚本并自动执行设备配置、策略更改等
FortiManager可以帮助你更好地组织和管理你的网络。FortiManager的主要功能包括:
● 集中管理:你可以使用FortiManager从单个控制台管理它们,而不是单独登录数百台FortiGate设备。
● ADOM:FortiManager可以将设备分组为地理或功能性ADOM,如果你有大型网络安全管理员团队,这是理想的选择。
● 配置修订控制:你的FortiManager保留所有配置更改的历史记录。你可以安排FortiManager部署新配置或将托管设备恢复到以前的配置。
● 本地FortiGuard服务配置:为了减少网络延迟并最大限度地减少互联网带宽使用,你的托管设备可以将FortiManager用作专用FDN服务器。
● 固件管理:FortiManager可以为托管设备安排固件升级。
● 脚本:FortiManager支持基于CLI和基于TCL的脚本进行配置部署。
● 窗格管理器(VPN、FortiAP、FortiSwitch、Fabric View):FortiManager管理窗格简化了VPN、FortiAP、FortiSwitch和Fabric View的部署和管理。
● 日志记录和报告:托管设备可以在FortiManager上存储日志。从该日志数据中,你可以生成基于SQL的报告,因为FortiManager具有许多与FortiAnalyzer相同的日志记录和报告功能。
● FortiMeter:为大型MSSP提供具有成本效益的方式来管理客户的安全需求。FortiManager计量模块将特殊FortiOS-VM处理的流量报告给FortiGuard或FortiCare,后者管理点计算。
ADOM使管理员能够创建设备分组,供管理员监控和管理。例如,管理员可以管理特定于其地理位置或业务部门的设备。
ADOM的目的是通过ADOM划分设备管理,并控制(限制)管理员访问。如果使用VDOM,ADOM可以进一步限制仅访问来自特定设备VDOM的数据。
答案:B
答案:A
非常好!你现在了解FortiManager的主要功能。接下来,你将了解FortiManager的主要概念。
通过展示理解FortiManager主要概念的能力,你将能够在网络中更有效地使用FortiManager。
FortiManager和FortiAnalyzer在同一个硬件和软件平台上运行。与FortiAnalyzer一样,FortiManager也可以充当日志记录和报告设备,但有日志记录速率限制。此外,FortiManager需要额外的资源(CPU、内存、磁盘)来处理日志和报告。
FortiManager可以用作功能齐全的日志记录和报告设备,用于少量日志,但它需要将其一些系统资源用于其他功能,例如配置管理。
如果你的日志量很高,你应该使用专用的FortiAnalyzer。
FortiManager提供了FortiAnalyzer上日志的可见性,在FortiManager上提供了一个单一的窗格。当FortiManager管理FortiAnalyzer设备时,所有配置和数据都保存在FortiAnalyzer上,以支持以下FortiAnalyzer功能:
● FortiView
● 日志视图
● 事件&事件
● 报告
在FortiManager内部,有管理层在GUl中表示为窗格。例如,设备管理模块由设备管理器窗格表示,你使用该窗格执行修订历史记录和脚本。
为了组织和高效管理大规模网络,FortiManager有多个层:
● 全局ADOM层有两个主要部分:全局对象数据库,以及所有页眉和页脚策略包。页眉和页脚策略包包含每个ADOM的策略。这将被使用的一个例子是在运营商环境中,运营商允许客户流量通过他们的网络,但不允许客户访问运营商的网络基础设施。
● ADOM层是在托管设备或设备组上创建、管理和安装策略包的地方。可以在这里创建多个策略包。ADOM层为每个ADOM有一个公共对象数据库。数据库包含地址、服务和安全配置文件等信息。
● 设备管理器层记录由FortiManager设备集中管理的设备上的信息,例如设备名称和类型、型号、IP地址、当前安装的固件、修订历史记录和实时状态。
现在看看这些层是如何关联的。
了解FortiManager设备管理模型的层次很重要。
● 在全局ADOM层中,你创建页眉和页脚策略规则。你可以将这些策略规则分配给多个ADOM。如果多个ADOM策略包需要相同的策略和对象,你可以在此层中创建它们,这样您就不必在每个ADOM中维护副本。
● 在ADOM层中,每个ADOM中的对象和策略包共享一个公共对象数据库。策略包,或者你可以一次从许多托管设备上导入并安装它们。
● 在设备管理器层中,你可以配置设备设置并按设备进行安装。如果检测到配置更改(无论是在本地还是在FortiManager上进行更改),那么FortiManager都会将当前配置修订版与更改的配置进行比较,并在FortiManager上创建新的配置修订版。无论配置更改是大是小,FortiManager都会记录并保存新配置。这可以帮助管理员审计配置更改,并在需要时恢复到之前的修订版。
答案:A
答案:B
非常好!你现在了解了FortiManager的主要概念。接下来,你将学习如何初步配置FortiManager。
通过在FortiManager的初始配置中展示能力,你将能够将FortiManager添加到你的网络中并执行基本的管理任务。
通常,你首先考虑的是应该将FortiManager放在网络中的位置。
通常,你应该在防火墙(如FortiGate)后部署FortiManager。在外围防火墙上,作为安全考虑,仅允许FortiManager的防火墙策略中的相关端口。如果管理员或远程FortiGate设备将从你的管理子网外部(例如从互联网)与FortiManager进行入站连接,请创建一个虚拟IP。
为了防止在网络停机时失去访问权限,请将管理计算机直接连接到FortiManager或通过交换机。
FortiManager使用许多TCP和UDP端口来执行任务。本表仅列出FortiManager使用的最常见的默认端口。此外,FortiManager使用标准管理端口,例如:
HTTP Port 80 (TCP)
HTTPS Port 443 (TCP)
SSH Port 22 (TCP)
特别是如果你的FortiManager部署在防火墙后面,知道正在使用哪些端口总是好的。这可以帮助你分析、诊断和解决常见的网络问题。
FortiManager级联模式:FortiGuard服务的可选上游(级联模式)服务器。
在审查配置设置之前,有必要讨论安全性的重要性。你的FortiManager管理你的所有Fortinet网络安全设备,因此数据保护至关重要。
以下是一些安全建议:
● 在受保护和可信的专用网络中部署你的FortiManager。它永远不应该直接部署在互联网上。
● 始终使用安全连接方法进行管理:基于Web的管理使用HTTPS或CLI使用SSH。像HTTP这样的不安全方法是纯文本,因此攻击者可以使用数据包嗅探工具来获取可用于破坏网络的信息。
● 在你的用户上使用受信任的主机,并仅允许从特定位置登录。如果你确实需要打开对设备的外部访问,以便远程设备可以连接,请仅打开所需的端口。额外的开放端口会增加你的安全风险。如果你需要从外部打开直接登录访问,请务必为此设置特殊用户帐户,并仅打开安全的协议。还应使用安全密码,强烈建议使用密码策略。
● 检查事件日志,配置外部系统日志或邮件服务器以获得快速通知。
● 你可以启用和配置以下密码策略:
最小长度:指定密码必须的最小字符数,从8到32。默认值是8。
必须包含:指定密码必须包含的字符类型:大写和小写字母、数字或特殊字符。
管理员密码过期后:指定密码的有效天数。当时间到期时,系统会提示管理员输入新密码。
重要的是要知道出厂默认设置,例如默认用户名和密码、端口1 IP地址、网络掩码和默认支持的管理访问协议,以便你可以最初连接到管理计算机并为你的网络配置FortiManager。
你可以在特定于型号的快速入门指南中找到默认设置。不同的FortiManager型号有不同的端口数量,但port1是管理端口,将始终具有此默认IP。
要首次登录FortiManager GUl,请打开浏览器并输入URL https: // <工厂默认IP地址>。登录屏幕出现后,使用出厂默认管理员凭据登录。默认凭据是用户名管理员和空白密码。
当你登录FortiManager时,会显示FortiManager设置向导,通过执行以下操作来帮助你设置FortiManager:
● 注册FortiCare并启用FortiCare单点登录
● 更改你的密码
● 设置时区
● 指定主机名
你可以选择是现在完成还是以后完成向导。当你完成并进行操作时,向导中旁边会显示一个绿色勾号,在你登录FortiManager后,向导将不再显示。
FortiManager的初始配置与FortiGate非常相似。为了为你的网络配置FortiManager,你必须设置IP地址和网络掩码,选择支持的管理访问协议,并为路由数据包指定默认网关。你可以从网络页面完成所有这些。
管理接口Port1具有默认IP地址和网络掩码:192.168.1.99/24。如果你的管理子网使用不同的子网,或使用IPv6,请更改这些设置。IP地址必须是唯一的静态IP地址。相关地,在网关中输入下一跳路由器的IP地址,并指定你的DNS服务器。默认情况下,FortiGuard DNS服务器在DNS服务器设置中配置,以帮助保证FortiGuard下载和查询的连接。但你可以指定本地DNS服务器。
服务访问允许你在此接口上启用FortiManager对来自托管设备的FortiGuard服务请求的响应。这包括FortiGate更新和网络过滤。默认情况下,对托管设备的所有服务在端口1上启用,在其他端口上禁用。
与FortiOS类似,你可以使用上图显示的CLI命令来检查或排除FortiManager上的一般问题。例如,你可以查看FortiManager的一般状态、界面和DNS设置。
你可以使用此命令获取基本的FortiManager系统信息,这些信息对故障排除很有用。你可以使用该命令获取信息,例如:
● 版本:确保FortiManager固件版本与你正在注册的设备兼容。(有关支持的固件版本,请参阅FortiManager发布说明。)
● 管理域配置:如果尝试注册非FortiGate设备,请确保启用ADOM。此外,它还显示了FortiManager型号上支持的ADOM数量。
● 当前时间:确保你的日期和时间根据你的需求设置。要使许多功能发挥作用,包括调度、FortiManager-FortiGate隧道协商和日志记录功能,FortiManager系统时间必须准确。虽然你可以手动设置日期和时间,但你应该与网络时间协议(NTP)服务器同步。
● 许可证状态:确保你拥有有效的许可证。
答案:A
答案:A
非常好!你现在了解如何最初配置FortiManager。接下来,你将根据不同的组织检查FortiManager的一些用例。
通过了解FortiManager的用例,你将能够看到FortiManager在其他组织中常用的不同方式,并在适用的情况下使用其中一些策略。
一个常见的FortiManager用例涉及大型零售客户或分布式企业,因为他们的分支机构中往往有许多较小的客户场所设备(CPE)设备,以及远程站点和几个主要站点。这些客户受益于集中的防火墙配置和监控。
在大规模企业部署中,管理员通常更喜欢安装技术人员通过USB加载的基本初始配置,或复制并粘贴到控制台中。此基本配置允许FortiGate联系FortiManager,管理员可以将其添加到适当的设备组或ADOM,然后将完整配置发送到该FortiGate。
另一个常见的用例涉及到MSSP。
运营商通常可能拥有许多强大的防火墙,并需要严格的配置控制,这可以通过限制FortiManager的配置来实现。MSSP可能会将其防火墙细分为向客户提供的虚拟防火墙,或者他们可以管理客户场所的设备。在这两种情况下,他们都需要为客户维护配置修订,并且可以选择提供一个门户,客户可以在其中查看或编辑他们的一些设置。
MSSP的另一个重要用例是能够确定(或报告)哪些防火墙或配置对象正在使用或未使用。防火墙策略随着时间的推移而变化,相关对象被替换为其他新对象。然而,管理员通常希望暂时保留旧对象,以防他们需要恢复更改。最终,未使用的对象扰乱了FortiGate配置,使其更难理解和故障排除。因此,对这些孤立的配置对象进行定期清理是有用的。
FortiManager现在能够满足对现收现付服务模式的需求,允许MSSP通过使用Fortinet VM按需计划来避免永久许可证的开销。
如你所见,不同的组织可能会以不同的方式使用FortiManager ADOM和策略包。在零售组织中,你可能拥有多个FortiGate设备的单个ADOM,或一个FortiGate的多个ADOM。在MSSP中,每个客户的FortiGate设备都放置在他们的ADOM中。
我们将详细介绍这些主题,以便你能够掌握为不同组织管理设备所需的实用技能。
FortiManager JSON API允许你在FortiManager设备或虚拟机上执行配置和监控操作。JSON API基于JSON-RPC,这是一个用JSON编码的远程过程调用协议。API允许你使用FortiPortal或其他第三方应用程序执行许多与FortiManager GUl相同的任务。它允许MSSP和大型企业为FortiManager管理创建定制的品牌门户网站,而无需直接登录FortiManager。这种方法在MSSP环境中非常有用,许多MSSP客户需要自己的门户来访问FortiManager。
FortiPortal使用REST API与FortiManager通信并收集设备详细信息。RESTful API使用标准HTTP方法(GET、POST、DELETE)进行客户端-服务器交互。当FortiPortal(客户端)发出HTTP请求时,FortiManager或FortiAnalyzer(服务器)通过以XML或JSON格式返回请求的数据来响应。这个过程类似于网络浏览器从服务器请求网页,然后服务器以HTML格式响应网页时发生的情况。当使用REST APl时,应用程序(FortiPortal)无法以HTML格式解析数据。该应用程序仅适用于XML或JSON格式。
FNDN提供访问工具、示例代码、文档,并在你订阅时访问Fortinet开发人员社区。你还可以从Fortinet文档库中获取更多详细信息。
如本表所示,API返回一个HTTP状态代码来指示请求的状态。
上图的API示例展示了如何使用ID为客户创建新网站。
上图的API示例展示了如何更改客户策略选项卡权限。
元字段允许管理员在配置、添加或维护FortiGate设备或添加新管理员时添加额外信息。你可以使元字段为必填或可选。当需要元字段时,管理员在创建关联对象时必须提供其他信息。例如,如果你为设备对象创建所需的元字段,管理员必须为设备的元字段定义一个值。
当你创建元字段时,会自动为元字段创建变量:
对象:允许你选择对象类型,例如管理域、防火墙地址组、防火墙策略、中央NAT、管理员等。这决定了元字段在配置中的使用位置。
重要性:允许你在具有元字段选项的对象上强制设置元字段。例如,要创建新管理员,如果联系人电子邮件元字段设置为必填,FortiManager管理员必须提供此信息以创建新管理员,否则选择可选。
状态:决定在对象中选择的元字段的可用性。如果禁用,你将无法看到或选择元字段。此选项仅适用于非防火墙对象。
在FortiManager中,ADOM级元变量也可以在脚本、模板和模型设备中普遍使用。上图显示了系统和ADOM级别的元变量。在系统元字段中,你还必须选择对象类型,如设备、系统管理员等。
当企业拥有全球办事处或分支机构,而FortiManager管理员需要创建具有相同逻辑名称但不同值的多个对象时,元字段非常有用。管理员可以创建几个逻辑对象,然后映射每个对象,为每个FortiGate创建特定的地址对象,而不是在FortiManager ADOM数据库中创建数百个单独的地址对象或IPPools。
在上图显示的示例中,元变量branch_id用于防火墙地址对象和IPPool。每个分支FortiGate的branch_id值都是唯一的。
在分配防火墙对象并安装策略包后,FortiGate上的防火墙策略显示,变量(branch_id)已根据其per-device值3替换。
在本例中,CLI模板被分配给并安装在FortiGate fgt_vm64上。执行安装时,安装预览显示变量(主机名)已根据其per-device的值Remote-FortiGate被替换。
1. 创建或编辑元变量以映射设备并键入值。在这里,你使用Remote-FortiGate作为值。
2. 在脚本中使用元变量。
3. 将脚本分配给目标FortiGate。
4. 安装以应用设备级配置。
5. 设备主机名更改为定义的元变量值。
答案:B
答案:A
恭喜!你已经完成了这节课。接下来,你将回顾你在本课中涵盖的目标。
上图展示了本课所涵盖的目标。通过掌握本课中涵盖的目标,你学习了FortiManager的基础知识以及如何在网络中使用它。
扫一扫
251
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
