在本课中,你将了解设备管理器窗格的主要功能,以及如何使用FortiManager管理FortiGate。
在本课中,你将了解上图显示的主题。
通过展示配置公共设置的能力,你将能够使用FortiManager为许多FortiGate设备配置公共设置。
配置模板允许你创建包含设备级设置的配置文件。这些模板有助于在许多设备上进行相同的设备级设置。你可以编辑和重新应用模板。基于常见设备设置的模板类型很少。它们如下:
● 系统模板:允许你为托管设备创建和管理公共系统级设置。
● IPsec隧道模板:你可以使用IPsec模板将IPsec隧道配置到FortiGate分支设备。
● SD-WAN模板:允许你为一个或多个设备配置SD-WAN。
● 静态路由模板:你可以使用静态路由模板向FortiGate设备配置静态路由。
● 证书模板:允许你创建认证机构(CA)证书模板,向其中添加设备,并为选定的设备生成证书。生成并签署CA证书后,你可以使用安装向导进行安装。
● 威胁权重模板:允许你创建威胁权重,该权重可以通过跟踪客户行为和报告你认为有风险或其他值得跟踪的活动来提供信息
● CLI模板:允许你创建命令行脚本模板或命令行脚本模板组,用于分配给被管理设备。
● NSX-T服务模板:允许你通过自动将VDOM、策略和配置设置应用于属于同一注册服务的每个虚拟机,来管理在NSX-T上运行的多个FortiGate虚拟机。
● 固件模板:固件模板定义了FortiGate设备和所有访问设备(如FortiAP、FortiSwitch和FortiExtender)上应安装的固件版本。
请注意,配置模板基于特定的ADOM版本,因此某些设置可能不可用。
系统模板页面包含一个名为默认的通用配置文件,这是模型设备配置的子集,包含DNS、警报电子邮件、管理员设置等小部件。
你可以创建一个新的设备配置文件,并在该配置文件中的小部件中配置设置。你可以使用导入图标或导入模板从特定的托管设备导入设置,该设备继承了该托管设备的系统级设置和CLI设置。
你可以使用分配到设备选项卡将设备与配置文件相关联,或查看已分配给配置文件的设备列表。
你可以将这些配置的配置文件应用于同一ADOM中的多个设备,这有助于在许多设备上进行相同的设备级设置。
在本课后面将FortiGate添加到FortiManager时,你将在系统模板中应用默认配置文件。
如你所知,CLI模板允许你创建CLI脚本模板或CLl脚本模板组,你可以将其分配给托管设备。在FortiManager 7.2中,CLI模板增加了故障排除的可见性,包括:行编号、带有行号的详细错误报告、模板名称和安装失败的原因。上图的示例显示了两个设备的策略包,该策略包遇到了名为“Branch A1”的FortiGate设备的复制失败错误。
要预览错误,请单击CLI模板日志以显示CLI内容。如果你将鼠标悬停在表示错误的标记上,你可以查看有关错误的信息。
CLI模板还包括验证和预览功能,以便在安装前对模板进行验证。你可以通过单击验证来验证模板。模板验证完成后,会显示检测到的错误,你可以检查错误以了解详细信息。例如,上图显示了模板中缺少的变量。你现在可以单击查看验证结果,在对话框中键入缺失的变量。当CLI模板通过验证时,你可以通过再次单击查看验证结果来预览脚本。
如果需要将相同的系统级设置应用于不同ADOM中的许多FortiGate设备,该怎么办?
请记住,每个ADOM都有一个独特的对象数据库,其中还包括模板。但是,你可以将系统模板从一个ADOM导出和导入另一个ADOM。ADOM必须运行相同的固件版本。首先,你需要将系统模板从原始ADOM导出到FortiManager文件系统,然后你可以将该配置文件导入另一个ADOM。
答案:A
答案:B
非常好!你现在了解了配置常见设置。接下来,你将了解注册方法。
通过展示设备注册能力,你将能够将设备添加到FortiManager中,以便从FortiManager管理这些设备。
设备管理器提供设备和安装向导,帮助你执行管理和维护任务。使用这些工具可以帮助你缩短完成许多常见任务所需的时间。
有四个主要的向导:
● 添加设备:将设备添加到中央管理中并导入其配置。
● 安装向导:从设备管理器或策略和对象安装配置更改到托管设备。它允许你预览更改,如果管理员不同意更改,请取消和修改它们。
● 导入配置:将与托管设备关联的接口映射、策略数据库和对象导入策略和对象窗格下的策略包。你可以使用添加设备向导运行它,并随时从托管设备列表中运行它。
● 重新安装策略:快速安装策略包。它还允许你预览托管设备上安装的更改。
你可以通过在设备管理器选项卡上右键单击托管设备来访问导入策略和重新安装策略向导。
有两种方法可以使用FortiManager注册设备。
第一种方法涉及FortiManager设备注册向导。如果设备受支持,并且设备的所有详细信息都正确,FortiManager将注册该设备。
第二种方法涉及从受支持的设备请求注册。当FortiManager管理员收到该请求时,该请求将被接受(尽管可以拒绝)。
使用添加设备向导,你可以添加具有现有配置(包括其防火墙策略)的FortiGate设备或添加新的FortiGate设备。FortiGate通常配备呼叫家庭配置,这是到达FortiManager(中央管理服务器)所需的最低配置。此类配置通常由技术人员安装,实际的防火墙配置由管理员在FortiManager所在的安全/网络运营中心完成。
当你导入具有现有配置的设备时,FortiManager会将设备防火墙策略导入到一个新的策略包中(你可以重命名)。对象根据ADOM共享公共对象数据库。FortiManager将对象保存在ADOM数据库中,你可以在同一ADOM中的不同托管FortiGate设备之间共享或使用这些对象。FortiManager还检查重复或冲突的对象。
你将了解的第一个注册方法是FortiManager上的设备注册向导。当使用此方法时,FortiManager管理员会主动启动并最终执行注册。使用此方法时,管理员必须有关于他们正在注册的设备的具体详细信息。
你可以通过单击菜单栏上的添加设备从设备管理器窗格启动向导。如果你已启用ADOM,并希望将设备添加到特定的ADOM,请在单击添加设备之前从ADOM列表中选择ADOM。
你可以使用添加设备向导将在线设备添加到FortiManager,并使用OAUTH协议发现模式。你键入FortiGate管理端口的IP地址,将使用遗留设备登录设置保持在默认关闭位置,然后单击下一步继续。在向导的这个阶段,会发生以下操作:
1. FortiManager连接到在线FortiGate。
2. 浏览器弹出窗口打开,允许你登录FortiGate作为授权过程的一部分。
3. 当FortiManager连接到FortiGate时,它会检索FortiOS管理IP地址和管理端口。
在某些情况下,FortiManager可以访问FortiGate,但浏览器弹出窗口无法访问。例如,如果FortiGate使用NAT,FortiManager可以访问FortiGate的内部IP地址并建立连接。然而,浏览器弹出窗口无法访问FortiGate设备的内部IP地址,并且身份验证连接失败。你可以通过在FortiOS上指定可访问的管理IP地址和端口来解决这个问题。
作为为FortiOS指定可访问的管理IP和端口的替代方案,你可以使用具有发现模式的添加设备向导的传统登录。如果你要添加运行FortiOS 6.4.x的FortiGate,则必须使用传统登录。
对于运行FortiOS 7.0.0及更高版本的FortiGate设备,你可以使用旧版登录方法,而不是使用新的授权方法。传统登录方法对于新授权方法使用的浏览器弹出窗口无法连接到在线FortiGate设备的某些拓扑非常有用。
你可以使用发现设备并使用遗留设备登录选项来添加现有设备。在这里,你必须输入FortiGate设备的登录凭据——IP地址、用户名和密码。
为了完全发现设备并添加完整配置,你在使用发现设备选项时输入的登录凭据必须在FortiGate上具有完整的读写访问权限。这也允许FortiManager在托管的FortiGate上安装配置。如果你要添加运行FortiOS 6.4.x及更早版本的FortiGate,则必须使用传统登录。
在此步骤中,FortiManager确定FortiGate设备是否可以访问,并发现有关设备的基本信息,包括IP地址、管理用户名、设备型号、固件版本(构建)、序列号和高可用性模式。
管理员可以提前配置系统模板,并在添加到FortiManager时将其应用于新设备。模板通过消除多次重复常见配置设置的需要来节省时间。
你可以在FortiManager上运行diagnose debug application depmanager 255和diagnose debug enable CLI命令,以获取正在添加的FortiGate设备的实时状态。
请注意,此命令的输出是冗长的,也显示来自其他托管设备的输出。
在下一步中,FortiManager检查FortiGate设备的添加,并在修订历史记录中创建初始配置文件。这是包含所有已使用和孤立对象的完整配置,以及FortiGate上的防火墙策略。它还检查支持合同,这在FortiManager用作托管FortiGate的本地FortiGuard服务器的情况下非常有用。
导入策略和对象有两种选择:
● 单击立即导入将策略添加到共享ADOM数据库中的策略包和对象中。这些对象可以由同一ADOM中的多个FortiGate设备使用。
● 单击稍后导入仅将设备级设置添加到设备数据库中,但防火墙策略和对象不会导入策略和对象中。你可以稍后使用导入策略向导导入这些。
在上图显示的示例中,选择了立即导入选项。
向导搜索要导入FortiManager数据库的所有策略。在此步骤中,策略被导入到策略和对象窗格下的新策略包中。
此时,你可以选择是导入所有策略还是选定的策略,以及是仅导入引用对象还是所有对象。默认情况下,在添加设备时,会选择导入全部和仅导入策略相关对象选项。
如果配置了虚拟域(VDOM),系统会提示你选择要导入的VDOM。大多数防火墙配置是特定于VDOM的,因此每个VDOM都算作一个托管设备。
FortiManager探测FortiGate,并在ADOM数据库中创建接口映射。你还可以重命名ADOM接口映射。FortiGate设备具有接口端口1和端口3,分别重命名为WAN和LAN。此映射是FortiManager数据库的本地映射,你可以从LAN和WAN接口查看FortiManager上的策略。你可以为多个FortiGate设备使用本地ADOM接口映射。请记住,ADOM接口名称区分大小写。例如,如果你有一个具有接口WAN的现有设备,并且你将接口重命名为wan,你将在接口列表中看到两个名为WAN和wan的接口。
正确的接口映射在大型部署中很有用,管理员可以为ADOM接口使用通用名称。你还可以在ADOM级别为FortiGate设备接口使用相同的名称。它还帮助管理员在FortiManager上轻松查看和跟踪防火墙策略。
默认情况下,为所有未使用的设备接口添加映射设置是启用的。启用此设置会为新界面创建自动映射。因此,FortiManager管理员不需要创建手动映射。
接下来,向导在FortiGate设备上搜索要导入的对象,如果存在任何冲突,它们会出现在这里。你可以查看其他详细信息,以及以HTML格式下载冲突。
如果你从使用值列中选择FortiGate,FortiManager数据库将以该值更新。如果您选择FortiManager,下次安装从FortiManager到FortiGate的配置时,它会对FortiGate防火墙进行这些更改。默认情况下,FortiGate被选中。
一旦注意到并解决了对象冲突,向导就会搜索要导入的对象。FortiManager添加新对象并更新现有的FortiManager对象。FortiManager不会在ADOM数据库中导入重复条目,因为这些对象已经存在于数据库中。
向导的最后一页是导入摘要。在向导的此页面上,防火墙策略和对象被导入FortiManager。
你还可以下载导入报告,该报告仅在此页面上提供。作为最佳实践,建议你下载报告。
导入报告提供了重要信息,例如将哪个设备导入哪个ADOM,以及与导入的对象一起创建的策略包的名称。这些对象和策略是在该ADOM的策略和对象窗格中创建的。
FortiManager导入新对象。FortiManager不会将已经存在或重复的条目导入ADOM数据库。如果检测到冲突,FortiManager会在向导的对象冲突步骤中更新与所选设备关联的对象。在导入报告中,该对象被称为更新之前的对象。
如上图的示例所示,当你将配置从FortiGate导入FortiManager时,注释与设备配置中名为ALL的地址对象相关联。然而,在FortiManager数据库中,没有与地址对象ALL相关联的注释。当你选择FortiGate设备值并导入地址对象ALL时,一个名为update previous对象的条目将添加到导入报告中。
也可以创建动态对象,即单个对象名称具有不同的值,具体取决于其安装在哪个设备上。
由于你在向导的接口映射步骤中将port3重命名为LAN,将port1重命名为WAN,因此在FortiManager上,该策略显示为从LAN和WAN接口导入。然而,在FortiGate上,策略显示port1和port3。这被称为动态映射:在策略包中创建的防火墙策略指的是这些映射。安装策略包时,接口映射将转换为托管设备上的本地接口。
当将相同的策略包安装到多个托管FortiGate设备时,动态映射非常有用,其中接口映射被转换为托管设备上的本地接口。
添加设备向导中的第二个选项是添加模型设备,它允许你添加尚未在线的设备。使用此选项,你可以提前创建配置。
你可以使用以下两种方法之一链接到真实设备:
● FortiGate序列号,在添加FortiGate作为模型设备时是强制性的
● 预共享密钥,如果添加多个模型设备,则为唯一的预共享密钥
在FortiManager 7.2中,你现在可以创建设备蓝图,以简化某些设备设置的配置,包括设备组、配置预运行模板、策略包、配置模板等。创建设备蓝图后,在添加模型设备或从CSV文件导入多个模型设备时,可以选择它。
你可以将其视为一个简化零触摸配置过程的软件包。根据设备型号,你将能够选择应使用哪个固件版本,需要添加FortiGate的设备组或文件夹,分配预运行CLI模板,配置模板和策略包,如上图所示。
分配蓝图的设备在添加到FortiManager时会自动配置蓝图指定的设置。例如,当使用SD-WAN叠加模板时,设备蓝图可以通过配置添加设备的默认设备组来简化SD-WAN配置中分支设备的接入。
在FortiGate一侧,你需要将FortiGate配置为指向FortiManager。这对于最小的触摸部署很重要,例如在使用FortiDeploy时。
如果你使用序列号将FortiGate添加为模型设备,则必须在中央管理配置下在FortiGate上配置FortiManager IP地址。
如果你使用预共享密钥添加模型设备,则必须执行中央管理配置,并且必须在FortiGate CLl上运行注册设备命令。此命令需要FortiManager序列号,以及添加模型设备时使用的预共享密钥。
在FortiGate使用其基本IP地址和路由配置部署以到达FortiManager后,FortiGate设备会自动升级为注册设备。然后,你可以安装从FortiManager到FortiGate的预配置。
FortiGate管理员必须配置FortiManager IP地址并应用设置。打开一个弹出窗口,声明管理请求已发送至FortiManager。单击确定以打开FortiManager状态窗口,然后您可以授权FortiGate设备。此外,你必须确保在面向FortiManager设备的FortiGate接口上启用FMG-Access。
那么,FortiGate如何从未经授权的设备移动到托管设备呢?这发生在FortiManager方面。从受支持的设备发出请求后,请求将显示在FortiManager GUI上的设备管理器>未经授权的设备下。
FortiManager管理员应查看未经授权设备的详细信息,如果满意,则对设备进行授权。如果你授权了未经授权的设备,那么你必须运行导入策略向导,以将设备防火墙策略导入到新的策略包中。
如果启用了ADOM,该设备将出现在根ADOM中,这是FortiManager的管理ADOM。根ADOM基于FortiGate ADOM类型,因此你只能授权FortiGate设备加入根ADOM。或者,如果你基于FortiGate ADOM类型创建了自定义ADOM,你可以授权FortiGate加入自定义ADOM。
在FortiManager CLI上,你可以启用未经授权设备的自动授权。但是,你仍然需要运行导入策略向导才能将设备防火墙策略导入到新的策略包中。
如果你需要同时添加多个FortiGate设备怎么办?
你可以在管理设置下启用显示添加多个按钮,这启用了在设备管理器下添加多个设备的选项。你可以单击添加并输入FortiGate IP地址、用户名和密码。
与添加未经授权的设备类似,策略包不会自动创建。你必须运行导入策略向导才能将设备防火墙策略导入到新的策略包中。
注册FortiGate设备后,它们会出现在添加它们的ADOM的设备管理器中。
一些FortiManager设备可以与货架管理器一起管理FortiGate 5000系列机箱。首先,你必须在系统设置>高级>高级设置窗格上启用机框管理。启用后,你可以在默认机框ADOM中添加机框。
机箱的仪表板提供与插槽编号、插槽信息、刀片的当前状态和其他各种参数相关的信息。在仪表板上,你可以查看或配置与刀片、PEM、风扇托盘、货架管理器和SAP相关的信息。
FortiManager物理设备或虚拟机(VM)许可证支持数量有限的设备,具体取决于设备大小或许可证类型。FortiGate高可用性(HA)集群算作单个设备,虚拟域(VDOM)也是如此。这是因为大部分配置与防火墙策略和对象有关,集群中的设备不会增加该配置的大小,因为集群中的设备运行相同的配置。使用VDOM会增加配置的大小。
例如,如果HA集群中有两个FortiGate设备(主动-主动或主动-被动),两个FortiGate设备具有相同的配置,并被视为一个设备。然而,启用VDOM会增加配置的大小,因为每个VDOM在逻辑上都是一个单独的防火墙。
FortiGate HA集群作为FortiManager的单个设备进行管理,并具有唯一的ID。你可以使用CLI上的diagnose dvm device list命令来查看设备成员。FortiManager不知道也不会验证FortiGate HA同步状态。可选的专用HA每个设备管理接口仅用于SNMP监控,不得用于FGFM管理。
FortiManager上的FortiGate HA配置仅使用GUl进行只读。它是可检索和可见的,但不能修改。FortiGate HA配置在安装期间也不适用于FortiGate。这是为了避免覆盖HA配置。但是,如果FortiGate HA角色已更改,你可以使用FortiManager强制HA故障转移。有关HA参数的FortiGate配置更改不会修改校验和(get system mgmt-csum),也不会导致异步情况。
答案:B
答案:A
非常好!你现在了解了注册方法。接下来,你将学习常见的设备发现问题以及如何解决它们。
通过展示设备发现故障排除的能力,你将能够诊断和解决与设备发现相关的问题。
管理协议FGFM同时在FortiGate(fgfmd)和FortiManager(fgfmsd)上运行。FortiManager和FortiGate在端口TCP 541上创建一个安全隧道。该连接基于TCP,适用于基于端口的NAT,这允许FortiGate和FortiManager在NAT设备后面。在FortiGate端,你可以为每个界面和面向FortiManager的界面启用FMG-Access设置。
一旦你配置了管理隧道,它可以通过FortiManager或托管FortiGate设备在任一方向建立。FortiManager使用169.254.0.0/16子网保留链路级寻址。169.254.0.1 IP地址保留给FortiManager,托管设备分配给169.254.0.0/16范围内的其他IP地址。
从FortiGate设备发送keepalive消息。keep-alive消息包括FortiGate配置的校验和,该校验和计算同步状态。
首次发现设备或回收隧道时,需要FortiGate登录凭据。登录凭据用于设置序列号。输入登录凭据后,序列号成为身份验证的基础。
FortiGate在FortiManager上注册时涉及两个步骤:
1. 发现:在此步骤中,FortiManager发送CLI命令以获取FortiGate的最低信息。
2. 添加:在此步骤中,FortiManager获取FortiGate的完整配置详细信息,FortiGate配置存储在修订历史记录中。
有两种方法可以在FortiManager上注册FortiGate。安全的FGFM隧道可以通过以下任一设备启动:FortiGate或FortiManager。
如果隧道是由FortiGate启动的,则该设备将添加到根ADOM中的FortiManager未经授权的设备列表中。在这一点上,它还没有被发现。一旦设备升级为授权设备,完整的发现和添加过程就开始了。
当FortiManager发现并添加FortiGate时,它向FortiGate发送命令以获取FortiGate中的完整信息。
你还可以在FortiGate上运行以下CLI命令,同时发现并添加它:
diagnose debug cli 8
diagnose debug enable
如果你在FortiGate和FortiManager之间遇到通信问题,请首先确保两台设备可以相互连接。使用任一设备的execute ping CLI命令来验证设备是否能够相互路由。(所有中间防火墙必须启用和允许Ping。)
如果你在从FortiManager发现FortiGate时遇到问题,请检查以下内容:
● FortiManager有足够的管理员权限。添加FortiGate需要足够的特权。
● 离线模式被禁用(默认禁用)。启用离线模式将禁用用于与托管设备通信的FGFM协议(TCP端口541)。
● 来自FortiGate的数据包正在到达FortiManager,来自FortiManager的数据包正在到达FortiGate。在两台设备上运行嗅探器来确认。
● FortiGate凭据在添加设备向导中是正确的。
● 在面向FortiManager的FortiGate界面上启用了FGFM访问。
● FortiGate在未经授权的设备列表中。你可以使用以下命令从GUl上的根ADOM或CLI进行检查:
diagnose dvm device list
● 日期和时间在FortiManager和FortiGate之间同步。
答案:A
答案:B
恭喜!您已经完成了本课。接下来,你将复习本课中涵盖的目标。
通过掌握本课程中涵盖的目标,你了解了设备管理器窗格的主要功能,以及如何使用FortiManager管理FortiGate。
1100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
