教程篇(7.2) 05. 策略和对象 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE5

  在本课中，你将学习如何在FortiGate的FortiManager上管理策略和对象。你还将学习如何在FortiManager上配置策略和对象，然后在FortiGate上安装它们。

 在本课中，你将了解上图显示的主题。

 通过展示理解、配置和使用策略和对象的能力，你将能够根据组织的需求创建自定义访问和策略。

 你可以在单个ADOM中创建多个策略包。FortiManager允许你为特定ADOM中的每个设备或VDOM自定义策略包。你可以将这些策略包指向单个设备、多个设备、所有设备、单个VDOM、多个VDOM或单个ADOM中的所有设备。FortiManager通过允许你复制或克隆现有策略包，帮助简化新设备、ADOM或VDOM的配置。你还可以创建ADOM修订版，该修订版允许你维护ADOM中策略包和对象设置的修订版。

 策略包通过为你的防火墙规则集提供有用的容器来简化集中式防火墙策略管理。策略包包含防火墙策略，这些策略反过来会链接到你在对象配置窗格上定义的对象。对象共享每个ADOM的公共对象数据库。你可以在ADOM中的多个策略包之间共享对象。

　　你可以在ADOM中管理许多设备的通用策略包，或者为每个设备有一个单独的策略包。策略包允许你维护规则集的多个版本。例如，你可以在进行更改之前克隆策略包，这允许你保留之前的规则集。

　　警告：虽然策略包允许防火墙策略规则集的多个版本，但这些包中引用的对象没有多个版本，它们只使用当前值。

　　例如，假设你克隆一个策略包，添加一个新规则，然后更改共享对象的值。如果你返回到策略包的先前版本，你将退出你添加的规则，但不会退出对共享对象的修改。返回策略包的先前版本，包括退出你添加的规则和对共享对象的修改的唯一方法是使用ADOM修订，该修订版为该ADOM获取策略和对象数据库的快照。

 在单个ADOM中，管理员可以创建多个策略包。FortiManager允许你为特定ADOM中的每个设备或VDOM自定义策略包，或为ADOM中的多个设备应用单个策略包。通过定义策略包的范围，管理员可以修改或编辑该包中的策略，而无需更改其他策略包。

  ADOM中的所有对象都由该ADOM独有的单个数据库管理。数据库内的对象包括防火墙对象、安全配置文件、用户和设备。

　　对象在ADOM中共享，可以在多个策略包中使用。这简化了管理员的工作。例如，你可以创建一次安全配置文件，并将其附加到多个策略包中，以便安装在多个FortiGate设备上。

　　要创建或编辑现有对象，在对象配置中，从屏幕左侧的菜单中选择对象类型。

 显示选项功能允许你在GUl中显示特定功能。可用的显示选项取决于ADOM版本，并且因ADOM而异。

　　默认情况下，当你打开显示选项时，会选中最常见选项的复选框。你可以通过选择或清除功能旁边的复选框，在显示选项中显示或隐藏功能。你可以通过选择类别名称旁边的复选框来显示类别中的所有选项，或者通过选择显示选项窗口底部的选择全部来显示所有类别。

　　你还可以在显示选项中启用其他防火墙策略类型，如NAT64、IPv6和接口策略。

 策略文件夹可帮助你管理策略包。你可以根据组织、地理位置、安全要求或法律要求自定义策略，并在特定策略文件夹中组织策略。

　　你可以在策略文件夹中创建新的策略子文件夹，以帮助你更好地组织策略包。

 策略包在一个或多个设备或VDOM上具有安装目标。策略包可以共享相同的安装目标，但是，在设备或VDOM上只能激活一个策略包。活动策略包列在设备管理器窗格中。

　　你可以在安装目标窗格上添加、编辑或删除安装目标。

　　添加安装目标后，它会出现在安装目标列表中。当你在目标上安装新分配的策略包时，安装向导会显示一条警告消息，其中包含之前分配的策略包的名称。

　　安装新策略包后，它作为这些设备或VDOM的活动策略包显示在设备管理器窗格的策略包状态列中。

  如果你需要在许多设备之间共享策略包，但特定FortiGate设备的少数策略除外，该怎么办？

　　你可以通过单击安装列，在实际策略中按规则执行粒度安装目标。这允许你添加、删除或设置为默认的目标设备。

　　因此，通过使用安装目标，你可以在多个设备之间共享策略包，并在策略中为每个设备定义规则。共享策略包在许多设备需要共享公共策略（你可以针对每个设备的几个策略除外）的环境中很有帮助，并且不需要多个策略包。

  ADOM中的所有对象都由ADOM独有的单个数据库管理。许多对象现在包括启用动态映射的选项。你可以使用动态对象将单个逻辑对象映射到每个设备的唯一定义。你可以动态映射常见功能，如地址、接口、虚拟IP和IP池。一个常见的例子是防火墙地址。你可能有一个地址对象的通用名称，但根据其安装的设备，其值不同。

　　在上图显示的示例中，动态地址对象内部是指托管防火墙的内部网络地址。该对象的默认值为10.0.0.0/8。映射规则是按设备定义的。对于Remote-FortiGate，地址对象 Internal 指的是 10.0.2.0/24，而对于 LocalFortiGate，同一对象指的是10.0.1.0/24。ADOM中没有内部动态映射的设备默认值为10.0.0.0/8。

　　要添加用于动态映射的设备，请选择每设备映射箭头，然后在每设备映射部分中，单击新建。在打开的弹出窗口中，选择设备并设置IP范围/子网。

  创建ADOM时会创建默认的标准化接口。默认标准化接口包含许多适用于所有FortiGate模型的每平台映射规则。

　　在上图显示的示例中，对于突出显示的平台，接口internal1被映射到internal1。默认的每平台映射规则允许你在FortiGate设备上安装策略，而无需首先创建自定义映射规则。

　　你可以将规范化接口名称映射到不同FortiGate模型上的不同物理接口名称。在上图所示的示例中，名为Inside的规范化接口映射到LocalFortiGate的port3和Remote-FortiGate的port6。

　　你还可以在创建虚拟线对时选择标准化接口。

  Inside映射到Local-FortiGate上的port3。因此，在被管理的FortiGate上安装防火墙策略后，Inside接口将显示为port3。

　　但是，Trusted保持不变，因为你将其作为区域安装在设备上，并且port6和port7接口是其中的一部分。

  在FortiManager上，可以删除已使用的对象。FortiManager将显示一条警告消息，说明该对象当前被其他防火墙策略或对象使用。要查看此对象的引用，请单击使用位置。但是，如果你删除一个使用过的对象，FortiManager会将其替换为none对象。none对象等于空，这意味着任何满足该防火墙策略的流量都将被阻止。除非有一个更广泛的策略，仍然满足流量要求，或者定义了允许所有流量（全部抓住）的策略。

　　在删除对象之前，你应该仔细检查所有对对象的引用，以避免意外的防火墙策略行为。

 查找未使用的对象是一个内置的GUl工具，可供管理员使用，可帮助你在FortiManager ADOM对象数据库中定位所有未使用的防火墙对象。查找未使用对象搜索所有类型的防火墙对象，并在弹出窗口中显示结果。你可以直接在未使用的对象弹出窗口中删除未使用的对象。这将从FortiManager ADOM对象数据库中删除所选对象。

  与查找未使用对象类似，查找重复对象工具搜索FortiManager防火墙对象数据库，并显示所有分配给它们的重复值的对象。在上图显示的示例中，该工具发现自定义服务对象FTP、FTP_GET和FTP_PUT具有相同的值。找到重复对象后，如果需要，你可以使用相同的向导来合并对象。

  策略检查仅就可以进行哪些改进提供建议，它不执行任何更改。它使用算法来评估策略对象，基于：

　　● 源和目标接口策略对象

　　● 源和目标地址策略对象

　　● 服务和计划策略对象

　　策略检查检查：

　　● 复制，其中两个对象具有相同的定义

　　● 阴影，一个物体完全遮蔽了另一个相同类型的物体

　　● 重叠，其中一个对象部分重叠另一个相同类型的对象

　　● 孤儿，对象已被定义，但尚未在任何地方使用

　　要执行策略检查，请选择一个策略包，然后在策略包下拉列表中，单击策略检查。在策略检查对话框中，你可以选择以下选项之一：

　　● 执行策略检查：这执行策略检查的一致性，并提供任何可能阻止你的设备通过流量的冲突。

　　● 查看上次策略检查结果：这允许你查看最新一致性检查的结果。

　　在上图显示的示例中，策略ID 2和1在接口和对象方面具有相同的来源和目的地，但具有不同的服务。你可以通过将服务添加到一个策略中来合并这两个策略。

　　重要的是要注意，策略检查只提供了关于可以改进的建议——它实际上并没有做出任何改变。

  答案：B

 答案：A

 非常好！你现在了解了策略和对象管理。接下来，你将了解导入和安装向导。

  通过展示了解在策略和对象窗格上配置和管理防火墙策略选项的能力，你将检查导入策略向导和安装向导，你可以使用它们来管理FortiManager上的设备。

  上图顶部的屏幕截图显示了diagnose dvm device list的输出，其中在配置状态同步时修改策略包。这表明只修改了策略包，而不是设备级设置。GUl上也有相同的信息，如上图的屏幕截图所示。

  每次检索、自动更新和安装操作后，FortiManager都会将FortiGate配置存储在修订历史记录中。

　　上图的插图显示了策略包的状态：

　　● 导入：表示已成功为托管设备导入策略包。

　　● 已同步：表示策略和对象在FortiManager和托管设备之间同步。

　　● 从未安装：策略包从未创建，因此从未为托管设备导入。

　　● 修改：在FortiManager上更改了策略包配置，更改尚未推送到托管设备。

　　● 不同步：由于在FortiGate上进行本地配置更改或之前的部分安装失败，最新策略包与最新修订历史记录上的策略和对象配置不匹配。你应该执行检索，然后从FortiManager导入策略。

　　● 冲突：如果你在FortiGate上本地进行策略配置更改，并且没有将更改导入策略包，并且你还在FortiManager上进行了更改，则状态将进入冲突状态。根据配置更改，你可以导入策略包或从FortiManager安装更改。

　　● 未知：FortiManager无法确定策略包状态。

　　你可以通过导入策略包或安装策略包来解决大多数策略状态问题。

  FortiGate已经有一个正在运行的配置是很常见的。导入配置向导指导你将策略和对象导入FortiManager。当你导入设备时，你将创建一个不干扰其他软件包的新策略包。但是，你导入的对象将添加到或更新现有对象。在执行导入之前，你可能需要创建一个新的ADOM修订版。

　　如果你将未注册的设备添加到FortiManager，则必须在推广设备后运行导入配置向导。

　　接下来的几图将探索向导引导你完成的阶段。

  默认情况下，在防火墙上配置的接口存在接口映射关系。这样可以在策略包中引用设备接口。你可以在向导中重命名ADOM接口映射。在上图所示的示例中，port1被重命名为External, port3被重命名为Internal。Local-FortiGate上的策略位于port1和port3上，但在FortiManager上，它们被本地引用为External和Internal。注意，默认情况下，选中为所有未使用的设备接口添加映射复选框，并为新接口创建一个自动映射。

　　向导执行策略搜索，以查找准备导入FortiManager数据库的所有策略。你可以选择导入所有防火墙策略，或选择要导入的特定策略。如果你选择仅将特定策略导入策略包，然后稍后安装策略更改，未导入的策略将在FortiGate上本地删除。这是因为FortiManager在策略包中没有这些策略。

　　此外，你可以选择是导入所有配置的对象，还是仅导入当前防火墙策略引用的对象。无论你是选择只导入策略相关对象还是所有对象，系统都会在下次安装中删除未与FortiGate本地策略绑定的孤儿（未使用）对象。但是，如果你选择导入所有对象，那么系统会导入FortiManager ADOM对象数据库中所有使用过和未使用的对象，稍后可以通过引用FortiManager上的策略并将其安装在托管设备上来使用它们。

　　默认情况下，当你运行导入策略向导时，会选择导入所有和仅导入策略相关对象。谨此提醒，如果你在ADOM中管理许多设备，并选择为所有设备导入所有对象，对象数据库将变得充满未使用的对象，这对管理员来说可能会让人不知所措。

 导入完成后，向导提供策略导入摘要和下载导入报告。你可以下载导入报告，该报告仅在导入设备页面上可用。你可以使用任何文本编辑器查看报告。

　　作为最佳做法，你应该下载报告。

　　导入报告提供了有关FortiGate、FortiManager上的ADOM名称和策略包名称的信息。该报告还提供了其他信息，例如作为新对象添加的对象。在FortiGate和FortiManager上本地具有相同值的现有对象被称为DUPLICATE。如果现有对象的值被更改，FortiManager会在其数据库中更新该值，并在导入报告中显示update previous object。

  对策略包进行配置更改后，策略包状态在设备管理器窗格上标记为已修改。有多种方法可以在设备管理器窗格以及策略和对象窗格上启动安装向导。如果你使用的是ADOM，请确保先在ADOM下拉列表中选择ADOM。

　　现在，你将探索使用安装向导安装策略配置更改的过程。在此过程中，策略和设备配置项安装在托管设备上。安装完成后，FortiManager和FortiGate同步，策略包状态从修改更改为已安装（同步）。

  当你选择安装策略包和设备设置时，安装向导会安装策略包和任何待处理的设备级更改。

　　显示你选择的策略包，你可以选择为此安装创建新的ADOM修订版。请注意，ADOM修订版是整个ADOM的快照，而不是特定于此策略包的更改。

　　你还可以启用计划安装，这允许你指定安装最新策略包更改的日期和时间。

　　下一步是设备选择。在此步骤中，向导显示在特定策略包的安装目标中选择的设备。

 向导的下一步是验证。在此步骤中，向导检查所选策略包是否适合所选的安装目标，例如策略包中的接口映射引用是否在安装目标上配置。如果验证失败，安装将停止。 

　　在执行安装之前，作为最佳实践，请始终预览和验证将提交给FortiGate的更改。如果这是第一次安装，你可能会看到许多更改，因为对象可能在导入过程中被重命名，并且从设备配置中删除了未使用的对象。如果你不想继续安装，你可以在向导的此步骤中取消安装。

　　最后一步是安装，这是实际安装。向导列出了安装配置更改的设备。安装期间发生的任何错误或警告也会出现在这里。如果安装失败，安装历史记录会显示安装失败的阶段。你还可以检查安装历史记录以成功安装。

　　在上图显示的示例中，向导表明配置更改已在FortiGate上成功安装，并且FortiManager已为此安装创建了新的修订历史记录。

  FortiManager还提供了重新安装策略选项。重新安装与安装相同，只是没有提示，并且它提供了预览将在托管设备上安装的更改的功能。重新安装策略将创建新的修订历史记录，并将其应用于所有选定的安装目标。

　　重新安装策略选项仅在第一次策略安装后才有效。如果设备管理器窗格上的策略包状态显示为管理设备从未安装，则该选项将显示为灰色或不可用。

 答案：A

  答案：A

  非常好！你现在了解FortiManager策略和对象管理，以及导入向导和安装向导。接下来，你将了解ADOM修订版和数据库版本。

  通过展示理解ADOM修订和数据库版本的能力，你将了解它们对策略和对象配置的影响。

  ADOM修订将策略包和对象保存在FortiManager本地。

　　你可以创建新的ADOM修订，查看修订之间的差异，或恢复到特定的ADOM修订。谨此提醒，如果你选择恢复到特定的ADOM修订，你将根据该修订恢复所有策略包和对象。

　　警告：请记住，ADOM修订可以显著增加配置备份的大小。

　　你可以根据给定的变量自动删除修订，并且可以锁定单个修订以防止它们被自动删除。单击设置以访问自动删除设置。

  每个ADOM都与特定的FortiOS版本相关联，基于该ADOM中管理的设备的固件版本。所选版本决定了用于配置设备的CLI语法。创建新ADOM时选择此版本。

　　建议在升级ADOM版本之前，先将ADOM中的所有FortiGate设备更新到最新的FortiOS固件版本。

 当你将设备从一个ADOM移动到另一个ADOM时，策略和对象（使用和未使用）不会移动到新的ADOM。

　　如果你需要将设备从一个ADOM移动到另一个ADOM，请运行导入策略向导，将策略包导入新的ADOM。

　　如果你需要在新的ADOM中使用以前ADOM中未使用的对象怎么办？你可以使用FortiManager CLI将对象从一个ADOM复制到另一个ADOM。

　　当FortiGate设备升级时，最好将它们保留在相同的ADOM中，并使用ADOM升级。将FortiGate设备移动到新的ADOM会带来额外的工作和某些复杂功能。此外，像VPN管理器这样的管理器窗格不会移动，FortiManager管理员必须重新配置托管设备上的所有VPN配置。

  答案：A

  答案：A

  非常好！你现在了解了ADOM修订和数据库版本。接下来，你将了解策略锁定和工作流模式。

  通过展示理解FortiManager上策略锁定和工作流模式的目的和使用的能力，你将能够了解它们如何影响你的网络。

  策略锁定仅在工作空间正常模式下可用。策略锁定允许管理员处理和锁定单个策略包，而不是锁定整个ADOM。为了使用策略锁定，必须将workspace-mode设置为norma1。你可以锁定整个ADOM或特定策略包。策略锁定是ADOM锁定的扩展，它允许多个管理员同时在同一个ADOM上处理不同的策略包。

  在工作区模式下，管理员可以锁定单个策略，但策略块使用的策略除外。当策略在策略块中使用单个策略时，你无法锁定该策略。如果你想修改策略，则无需锁定整个策略包。锁定策略后，策略旁边会出现一个挂锁图标。其他管理员现在无法修改你的策略或锁定锁定策略所在的策略包，也无法锁定ADOM。

　　策略锁在管理员超时时自动释放，或者如果管理员在不解锁策略包或策略的情况下优雅地关闭会话。

  你可以使用工作流模式，而不是工作区。在启用工作流模式之前，通知登录FortiManager的其他管理员保存他们的工作：它将终止所有管理会话。你可以使用工作流模式来控制防火墙策略和对象的创建、配置和安装。在设备上安装更改之前，需要获得批准。在工作流模式会话中进行的所有修改必须在会话结束时丢弃或提交批准。被拒绝的会话可以修复并作为新会话重新提交以供批准。所有会议必须按照创建时的相同顺序获得批准，以防止任何冲突。

　　在工作流模式下，与FortiGate配置相关的窗格首先是只读的。要创建新的工作流模式会话，你必须先锁定ADOM，类似于工作区。你必须在CLI或GUI中启用工作流模式。启用工作流模式将注销所有管理员。

  上图的图形显示了如何使用工作流程模式。

　　当管理员A锁定ADOM时，会出现一个绿色锁图标。管理员A具有读/写访问权限，并在ADOM的策略和对象窗格上创建新会话。管理员A对托管设备进行配置更改，并向管理员B提交批准请求。此批准提交会自动解锁ADOM。

　　管理员B必须具有工作流批准的读/写权限。然后，管理员B锁定ADOM并具有读写访问权限。管理员B打开会话列表，并可以选择批准、拒绝、丢弃或查看管理员A提交的更改的差异。

  管理员必须是批准组的一部分，并对创建会话的ADOM拥有权限，才能批准会话。成为super_Admin配置文件的一部分不足以批准会话。

　　在工作流批准窗格上，使用以下值配置工作流批准矩阵：

　　● ADOM：选择要应用工作流模式的ADOM。

　　● 批准组#1：添加将批准ADOM中更改的管理员。

　　● 发送电子邮件通知至：当其他管理员进行更改并提交更改以供批准时，向管理员发送电子邮件通知。

　　● 邮件服务器：选择FortiManager将在邮件服务器窗格上发送通知的电子邮件服务器。

  管理员必须先锁定ADOM，然后才能创建新会话。ADOM锁定后，管理员可以选择创建新会话并开始更改策略包。请注意，在创建新会话之前，管理员不能对策略包进行任何更改。

  编辑防火墙策略或对象后，单击保存以保存会话，然后提交更改。或者，你可以单击提交，这会自动保存并提交更改。在提交会话以供批准之前，你可以查看会话差异。

　　在你提交更改以供批准或丢弃它们后，ADOM会自动返回到解锁状态。

 提交工作流请求后，具有适当权限的管理员可以批准或拒绝挂起的请求。

　　审批管理员必须在决策过程中锁定ADOM。ADOM锁定后，他们可以打开会话列表。会话列表显示提交请求的管理员和其他信息，如提交日期、请求总数和提交管理员的评论。

　　审批人管理员有四个选项：

　　● 审批：会议正在等待审查和批准。如果会议获得批准，则无需采取进一步行动。

　　● 拒绝：如果会话被拒绝，系统会向提交会话的管理员发送通知。批准人管理员可以选择修复更改。被拒绝的会议必须先修复，然后才能批准下届会议。

　　● 丢弃：审批管理员不同意这些更改并丢弃它们。无需采取进一步行动。

　　● 查看差异：审批管理员可以查看原始策略包与提交管理员所做的更改之间的差异。

　　在上图显示的示例中，管理员用户student向管理员用户admin提交了批准请求。

  如果在ADOM锁定时，与FortiManager的连接意外关闭（PC崩溃或浏览器关闭），它将保持锁定状态，直到管理员会话暂停或会话被删除。你可以在GUI或CLI上删除管理员会话。删除上一个会话后，ADOM将立即解锁。

  答案：A

  答案：A

 恭喜！你已经完成了本课。接下来，你将复习本课中涵盖的目标。

  通过掌握本课中涵盖的目标，你学会了如何在FortiGate的FortiManager上管理策略和对象。你还学习了如何在FortiManager上配置策略和对象，然后在FortiGate上安装它们。

---