默认情况下,ADOM未启用,只能由admin管理员或具有Super_User配置文件的管理员启用(或禁用)。更改ADOM模式后,你将退出登录,以便系统可以使用新设置重新初始化。当你在启用ADOM的情况下登录时,你必须从已配置的ADOM列表中选择要查看的ADOM。你可以通过单击GUI右上角的ADOM列表在ADOM之间轻松切换。
请记住,ADOM的最大数量因FortiManager物理型号或虚拟机许可证而异。
在标准模式下,你可以对ADOM和托管设备进行配置更改。
备份模式的主要目的是备份直接在托管设备上进行的配置更改。
你还可以通过FortiGate CLI或GUI直接对每个托管设备进行配置更改。这将触发托管设备在FortiManager上自动更新FortiGate修订历史记录。然而,自动更新有一个限制,因为它只更新设备管理器更改,而不是策略和对象更改。
当处于备份模式时,ADOM是只读的,因此设备管理器窗格受到限制。你可以添加和删除设备,但设备级设置不适用于配置和安装。出于同样的原因,其他窗格,如AP管理器、VPN管理器、FortiSwitch管理器不可用。在备份模式下,你可以将防火墙地址和服务对象导入FortiManager,FortiManager将对象存储在设备管理器数据库中。你可以在策略和对象窗格上查看对象。虽然你可以在策略和对象窗格上查看对象,但这些对象不会存储在中央数据库中。这使你能够维护备份ADOM中所有设备使用的对象存储库,该存储库与中央数据库分开。
你可以使用FortiManager上的脚本功能对托管设备进行配置更改。如果你直接在托管设备上进行更改,这些更改需要满足特定条件,以触发设备将其配置备份到FortiManager。
如果你是托管安全服务提供商(MSSP),为不同的客户提供FortiGate VDOM,并希望在不同的ADOM中分离这些VDOM呢?
在高级模式下,你可以将来自同一FortiGate设备的不同VDOM分配给不同的ADOM。系统将此设置全局应用于所有ADOM。这会导致更复杂的管理场景。仅建议高级用户使用。
使用简化管理的方案。例如,你可以通过以下方式组织你的设备:
● 固件版本:你可以将具有相同固件版本的所有设备分组到同一个ADOM中。例如,如果FortiGate设备运行固件版本7.0,你可以将这些设备分组到版本7.0 ADOM中。
● 地理区域:你可以将特定地理区域的所有设备分组到一个ADOM中,将不同区域的设备分组到另一个ADOM中。
● 指定管理员:你可以将设备分组到单独的ADOM中,并为其分配特定的管理员。
● 客户:你可以将一个客户的所有设备分组到一个ADOM中,将另一个客户的设备分组到另一个ADOM中。
● 设备类型:你可以为每种设备类型创建一个单独的ADOM。非FortiGate设备根据其设备类型自动位于特定的ADOM中。它们不能移动到其他ADOM。
● 组织需求:你可以将生产和测试网络FortiGate设备分离为单独的ADOM。
在组织托管FortiGate设备时,请始终根据设备类型对其进行分组,然后根据FortiOS固件版本进行分组。有效的命令语法因固件版本而异,这会影响脚本兼容性和其他功能。例如,如果你根据地理区域进行分组,并且在同一地区有FortiGate设备运行FortiOS 7.0和7.2固件,你应该根据该地理区域的固件版本创建两个ADOM。然后,你将把两个ADOM分配给该地区的管理员。然而,最佳做法是使用FortiManager ADOM升级功能,并将所有设备升级到相同的固件版本。
FortiGate ADOM被组合在一起。如果默认的ADOM不符合您的要求,您可以创建自己的。虽然你可以编辑这些默认ADOM,但你无法编辑设备的设备类型或固件版本。这是因为,在内部,数据库结构取决于FortiManager需要为该设备类型或固件存储哪些类型的数据。
你创建的ADOM类型必须与你要添加的设备类型匹配。例如,如果你想为FortiGate创建ADOM,你必须选择FortiGate作为ADOM类型。具体使用FortiGate ADOM,你还必须选择FortiGate设备的固件版本。
不同的固件版本具有不同的功能,因此具有不同的CLI语法。你的ADOM设置必须与设备的固件匹配。
默认的ADOM模式是标准。在中央管理字段中,你可以选择VPN来集中管理该ADOM中所有托管设备的IPsec VPN。默认情况下,选择FortiAP和FortiSwitch中央管理。
自动推送策略:如果启用自动推送,当它们重新联机时,策略包和设备设置将安装到离线设备上。
你可以创建的ADOM的最大数量因FortiManager型号而异。
● Package_User:提供对策略包和对象权限的读/写访问权限,但对系统和其他权限提供只读访问
● Restricted_User:提供对设备权限的只读访问,但不提供系统权限
● Standard_User:提供对设备权限的读/写访问,但没有系统权限
● Super_User:提供对所有设备和系统权限的访问,例如FortiGate
● No_Permission_User:未启用系统或设备权限
你可以将默认配置文件分配给管理帐户,也可以修改与每个默认配置文件关联的单个权限。或者,你可以创建自己的自定义配置文件。
对于系统管理类型,你可以修改预定义的配置文件之一,或创建自定义配置文件。只有具有完整系统权限的管理员才能修改管理员配置文件。根据管理员的工作性质、访问级别或资历,你可以允许他们根据需要查看和配置或多或少。
对于受限管理员类型,你可以创建一个新的受限管理员配置文件,以允许受委托的管理员更改与他们的ADOM关联的Web过滤配置文件、IPS传感器和应用程序传感器。
● 读取但不编辑或安装IPS对象
● 在不安装IPS相关对象的情况下安装防火墙策略
● 在策略包中分配IPS配置文件
具有读写配置文件的管理员除了拥有只读权限外,还可以编辑和安装IPS对象。
IPS管理员配置文件对FortiManager上的每个IPS配置文件都有可见性,包括使用情况、状态、安装与修改和配置差异,而受限管理员配置文件仅对与其ADOM关联的IPS配置文件具有可见性。这使管理员能够将多个ADOM分配给IPS管理员,包括全局ADOM。
此功能对于拥有专用IPS管理员进行IPS管理的大型企业或金融机构非常有用。
管理配置文件
为了保护你的网络,你可以使用以下方法控制和限制管理员访问:
● 管理配置文件
● ADOM
● 信任主机
受信任的主机限制管理员仅从特定的IP地址或子网登录。如果你只定义一个受信任的主机IP地址,你甚至可以将管理员限制为单个IP地址。当通过SSH访问时,你定义的可信主机同时适用于GUl和CLI。
本地策略控制到FortiManager接口的流量,并可用于限制管理访问。此策略允许你定义操作、目标端口、目标IP、传入接口、协议和源IP地址等设置。此功能只能使用FortiManager CLI进行配置,并支持IPv4和IPv6流量。
拥有Super_User配置文件的管理员可以完全访问所有ADOM,而具有任何其他配置文件的管理员只能访问分配给他们的ADOM——这可以是一个或多个。
你还可以为每个ADOM将不同的管理员配置文件分配给同一管理员。如上图所示,为管理员Training分配了两个ADOMS,并为配置文件选择Per-ADOM。管理员配置文件设置显示你为管理员指定访问权限的ADOM列表,其中包含你为每个ADOM选择的不同配置文件。
如果选择Single,管理员将只为所有ADOM拥有一个管理员配置文件。
要配置双重身份验证,你还需要FortiAuthenticator和FortiToken。有关更多详细信息,请参阅FortiManager管理指南。
要跟踪FortiManager用户的安装更改,请单击托管FortiGate设备上的日志和报告>事件。
通常这是可以的,特别是如果你使用了具有非重叠权限的管理员配置文件。两个人在拥有数百个复杂设备的网络中更改相同设置的概率很小,但仍然是可能的。
这可能会导致冲突:一个管理员的更改将被另一个管理员的更改覆盖。如果你可能发生冲突,你可以使用CLI或GUI来启用工作区模式并防止并发ADOM访问。
这允许管理员锁定他们的ADOM、设备或策略包。此外,只有一个管理员对ADOM有读/写访问权限,而所有其他管理员都有只读访问权限。锁定ADOM会自动删除你在该ADOM中锁定的设备和策略包的锁。
1. 在进行更改之前,Admin A会锁定ADOM。出现一个绿色锁图标。管理员A现在具有读/写访问权限,并且可以对该ADOM中的托管设备进行更改。
2. 此期间,管理员B在ADOM上看到一个红色锁图标。管理员B对该ADOM具有只读访问权限,并且无法进行更改。
3. 当管理员A完成更改后,他们会保存更改,然后解锁ADOM。图标变为灰色解锁图标。管理员B看到ADOM现在可以使用了。
4. 现在,管理员B锁定ADOM,锁图标再次变为绿色。管理员B现在拥有读写访问权限,并且可以安全地进行更改,而没有冲突的风险。
你可以将ADOM锁定在GUl的右上角。锁定ADOM后,你可以在该ADOM中安全地更改托管设备设置,而不必担心冲突。如果你对托管设备配置或策略包进行更改,则必须在尝试安装之前保存更改。其他管理员无法更改ADOM,因为他们有只读权限。
有三个锁定状态图标:
● 灰色锁图标:ADOM目前已解锁。要进行更改,你必须首先锁定ADOM。
● 绿色锁图标:ADOM由你锁定。你可以在该ADOM中进行更改。
● 红色锁图标:ADOM由另一位管理员锁定。你必须等待他们完成并解锁ADOM。
锁定ADOM会自动删除你在该ADOM中锁定的设备和策略包的锁。
如果ADOM处于高级模式,则无法锁定单个设备。
如果你使用7.0版本创建了ADOM,添加了运行FortiOS 7.0的FortiGate设备,但随后需要将FortiGate设备升级到FortiOS 7.2,该怎么办?ADOM可以同时管理运行两个FortiGate固件版本的FortiGate设备;例如,FortiOS 7.0和7.2。因此,运行固件版本7.0和7.2的设备可以共享一个共同的FortiManager数据库。
虽然同一ADOM中可以存在多个FortiOS版本,但如果你使用较旧的ADOM版本,较新固件版本的一些功能可能会受到限制。这是因为较新固件版本的CLI命令语法可能因新功能而发生变化,因此配置不同。确保将FortiGate添加到基于其FortiOS固件版本的ADOM中非常重要。你不应该将更高版本的FortiGate添加到较低版本的ADOM中。此外,请记住,升级FortiManager固件版本不会升级ADOM版本。
你应该仅使用此功能来促进升级到新固件。ADOM通常不使用混合固件运行。在这种情况下,请改用单独的ADOM。
注意:如果有许多ADOM修订版,FortiManager需要更多的系统资源,ADOM升级可能需要更多时间才能完成。
请注意,如果ADOM使用全局ADOM对象,那么你还必须将全局数据库ADOM升级到同一版本,否则你将失去配置。升级过程只会更新所选ADOM的数据库。例如,如果FortiGate配置使用SDN连接器,那么你必须升级全局ADOM,因为连接器是全局设置。你将在课程的后面了解有关全局ADOM的更多信息。
处理ADOM中混合FortiGate版本的另一种方法是首先升级原始ADOM中的设备,然后将它们移动到使用匹配固件版本的新ADOM。
如果你将设备从一个ADOM移动到另一个ADOM,则策略和对象不会导入ADOM数据库。你必须运行导入策略向导才能将策略和对象导入ADOM数据库。不建议将设备从一个ADOM移动到另一个ADOM。例如,如果你使用VPN管理器配置了复杂的IPsec VPN,则在将IPsec VPN从一个ADOM移动到另一个ADOM后,你需要重新配置VPN设置。
升级设备和ADOM后,你应该执行安装预览。安装预览会显示升级过程中发生的任何更改。你需要检查所有待安装的更改是否发生在升级过程中,并根据需要进行更正。
当你将设备从一个ADOM移动到另一个ADOM时,共享策略包和对象不会移动到新的ADOM。你需要从托管设备导入策略包。
备份包含除日志、FortiGuard缓存和保存在FortiManager上的固件映像以外的所有内容。
你还可以使用CLI定期安排备份。
如果对FortiManager所做的更改最终对你的网络产生负面影响,你可以从你执行的任何备份中恢复配置。
还原系统弹出窗口中还有其他一些选项值得了解:
● 覆盖当前IP、路由和HA设置:默认情况下,此选项已启用。如果FortiManager有现有的配置,恢复备份将覆盖所有内容,包括当前IP地址、路由和HA设置。如果你禁用此选项,FortiManager仍将恢复与设备信息和全局数据库信息相关的配置,但将保留基本的HA和网络设置。
● 在离线模式下恢复:默认情况下,这是启用并显示为灰色的——你无法禁用它。在恢复时,FortiManager暂时禁用FortiManager与所有托管设备之间的通信通道。这是一项安全措施,以防任何设备由另一个FortiManager管理。
● 故障排除目的,通过将配置恢复到不同的FortiManager型号。
● 将FortiManager升级到更大的型号,因为它将保留你已配置的设备和任务管理器数据库。系统设置未保留。
迁移配置所需的步骤很简单。你需要在第一个FortiManager型号上备份配置,然后在第二个FortiManager上运行CLI迁移命令。
FortiManager支持FTP、SCP和SFTP协议,将配置从一个FortiManager型号迁移到另一个FortiManager型号。
你应该何时启用离线模式?你可以启用离线模式来解决问题。离线模式允许你在不影响托管设备的情况下更改FortiManager设备设置,或在第二个FortiManager上加载备份进行测试。这样,第二个FortiManager就无法自动连接到你的FortiGate设备并开始管理它们。
reset all-settings命令将FortiManager恢复为出厂默认设置,并重新启动FortiManager。
格式化磁盘命令会擦除FortiManager硬盘驱动器上的所有设备设置和图像、FortiGuard数据库和日志数据。
要完全擦除所有配置数据库,请重置所有设置,然后使用CLI格式化磁盘。
即使你格式化磁盘,这也只会破坏文件系统表。文件仍然存在,攻击者可以使用法医工具来恢复数据。未能覆盖你的配置数据库将危及整个网络的安全性。因此,如果你要更换或出售FortiManager,或更换硬盘,你应该使用安全(深度擦除)磁盘重新格式化,用随机数据覆盖硬盘。通常,深度擦除功能需要更长时间才能完成,在大多数情况下没有必要。
例如,你可以通过运行、挂起、取消或中止任务进行筛选,并可以确定任务是否长期处于该卡住状态。你可以取消或删除长时间卡住并已停止进度的任务,因为它们可能会阻止处理其他待处理的任务。
系统将任务存储在单独的任务数据库中。在特殊情况下,可以重置此数据库(从而清除所有任务条目)。系统在配置备份中包含这些任务,当你执行配置恢复时是可见的。
任务详细信息页面上的查看进度报告对于解决FortiManager任务问题非常有用。
默认情况下,事件日志严重性设置为information级别。你可以使用CLI更改级别(增加或减少)。信息级日志严重性提供了有关日志消息的足够详细信息,以调查问题。如果你需要与Fortinet技术支持合作,你可以将日志严重性提高到调试级别,以获取事件日志的更多详细信息。
根据管理的FortiGate设备的数量和类型以及每日活动量,你应该在将磁盘(输入和输出等待状态)和CPU活动提高到调试级别后对其进行监控,以确保CPU或磁盘使用量不会显著增加。
接下来,选择一个级别,如果需要,选择一个事件子类型。NOT和OR运算符在动态列表中也可用。你可以单击添加过滤器来添加和组合其他过滤器。
FortiManager的事件日志记录有几种子类型。有关更多详细信息,请参阅FortiManager日志消息参考指南。
如果你想使用Web服务来监控你的系统,你可以在高级设置中从FortiManager下载WSDL接口定义。
Web服务是一种基于标准、独立于平台的访问方法。文件本身定义了FortiManager将接受的命令格式,以及预期的响应。
854
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
