教程篇(7.4) 01. 系统和网络设置 & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4

 在本课中，你将了解FortiGate上的系统和网络设置。

 完成本课后，你应该能够实现上图所示的目标。

　　通过展示基本系统和网络管理能力，你将能够将FortiGate安装到你的网络中并配置基本的网络设置。你还将能够更好地管理管理员用户，以围绕管理员访问实施更强大的安全实践。

 网络地址转换（NAT）模式是默认操作模式。其他工厂默认设置是什么？在你从盒子里取出FortiGate后，你接下来会怎么做？

　　现在，你将看看你是如何设置FortiGate的。

　　将你的计算机网络电缆连接到端口1或内部交换机端口（在入门级型号上）。

　　对于高端和中端型号，请连接到MGMT管理接口。

　　在大多数入门级型号中，该接口上都有一个DHCP服务器。因此，如果你的计算机的网络设置启用了DHCP，你的计算机应该会自动获得一个IP，你可以开始设置。

　　要在FortiGate或FortiWiFi上访问GUI，请打开网页浏览器并访问https://192.168.1.99。

　　默认帐号为admin，默认密码为空。默认的登录信息是公开的。切勿将默认密码留空。你的网络仅与你的FortiGate管理员帐户一样安全。

　　使用默认登录详细信息登录后，你将看到一条消息，以更改管理员用户密码的默认空白密码。在将FortiGate连接到网络之前，你应该设置一个复杂的密码。你还将被要求应用其他配置，如主机名、仪表板设置、在FortiCare注册等。

　　所有FortiGate型号都有一个控制台端口或USB管理端口。该端口在没有网络的情况下提供CLI访问。你可以使用GUl上的CLI控制台小部件或从终端模拟器（如PuTTY或Tera Term）访问CLI。

 当FortiGate在网络地址转换（NAT）模式下运行时，每个处理流量的接口都必须有一个IP地址。在NAT模式下，如果需要启动或回复会话，FortiGate可以使用IP地址来获取流量，并作为试图联系FortiGate或通过它路由流量的设备的目标地址。

　　有多种方法可以获得IP地址：

　　● 手动

　　● 自动，使用DHCP或以太网点对点协议(PPPoE)(在CLI上可用)

  你见过多少次由于在WAN接口上没有启用DHCP服务器而导致的网络问题?

　　你可以配置接口角色。GUI上显示的角色是该拓扑部分的常规界面设置。不适用于当前角色的设置在GUl上被隐藏。（无论角色如何，所有设置在CLI上始终可用。）这可以防止意外错误配置。

　　例如，当角色配置为WAN时，没有可用的DHCP服务器和设备检测配置。设备检测通常用于在局域网内部检测设备。

　　如果出现异常情况，并且你需要使用当前角色隐藏的选项，你始终可以将角色切换到未定义的。这显示所有选项。

　　为了帮助你记住每个接口的使用，你可以给它们别名。例如，你可以叫port3为 internal_network。这有助于使你的策略列表更容易理解。

 无线客户端不是唯一可以使用FortiGate作为DHCP服务器的客户端。

　　对于接口（如端口3），选择静态选项，输入静态IP，然后启用DHCP服务器选项。出现内置DHCP服务器的选项，包括配置功能，如DHCP选项和IP地址分配规则。

 VLAN将你的物理局域网拆分为多个逻辑局域网。在NAT操作模式下，每个VLAN形成一个单独的广播域。多个VLAN可以共存于同一个物理接口中，前提是它们具有不同的VLAN ID。通过这种方式，物理接口被拆分为两个或多个逻辑接口。每个以太网帧都会添加一个标签，以识别其所属的VLAN。

 要使用GUI创建VLAN，请单击新建，选择接口，然后在类型字段中选择VLAN。

　　你必须指定VLAN ID和VLAN绑定的物理接口。属于该类型接口的框架总是被标记。另一方面，物理接口段发送或接收的帧永远不会被标记。它们属于所谓的本机VLAN（VLAN ID 0）。

　　请注意，在多VDOM环境中，物理接口及其VLAN子接口可以分开。

 在将FortiGate集成到你的网络之前，你应该配置一个默认网关。

　　如果FortiGate通过DHCP或PPPoE等动态方法获取其IP地址，那么它也应该获取默认网关。

　　否则，你必须配置静态路由。没有这一点，FortiGate将无法响应直接连接到自己接口的子网之外的数据包。它可能也无法连接到FortiGuard（对于FortiGate访问很重要）进行更新，并且可能无法正确路由流量。

　　你应该确保FortiGate有一个匹配所有数据包的路由（目的地为0.0.0.0/0），称为默认路由，并通过连接到互联网的网络接口将它们转发到下一个路由器的IP地址。

　　路由完成配置防火墙策略之前所需的基本网络设置。

　　你可以展开高级选项并输入优先级值。当两条路线距离相等时，优先级较低的路线优先。

 如果除了分割网络外，你还想将策略和管理员细分为多个安全域呢？

　　在这种情况下，你可以启用FortiGate VDOM，它将FortiGate拆分为多个逻辑设备。每个VDOM都有独立的安全策略和路由表。此外，默认情况下，来自一个VDOM的流量不能转到不同的VDOM。这意味着不同VDOM中的两个接口可以共享相同的IP地址，没有任何重叠的子网问题。

　　当你使用VDOM时，单个FortiGate设备将成为网络安全、统一威胁管理（UTM）检查和安全通信设备的虚拟数据中心。 

  大多数功能在GUI和CLI上都可用，但也有一些例外。你无法在CLI上查看报告。此外，超级用户的高级设置和诊断命令通常在GUI上不可用。

　　随着你越来越熟悉FortiGate，特别是如果您想编写其配置脚本，你可能希望在GUI之外使用CLI。你可以通过名为CLI控制台的GUl上的JavaScript小部件或通过Tera Term或PuTTY等终端模拟器访问CLI。你的终端模拟器可以通过网络（SSH或Telnet）或本地控制台端口进行连接。

　　SNMP和其他一些管理协议也受支持，但它们是只读的。你不能使用它们进行基本设置。

  无论你使用哪种方法，从以管理员身份登录开始。首先为其他管理员创建单独的帐户。出于安全和跟踪目的，每个管理员都有自己的帐户是最佳做法。

　　在新建字段中，你可以选择管理员或REST API管理员。通常，你将选择管理员，然后分配一个管理员配置文件，该配置文件指定该用户的管理权限。你可以选择REST API管理员来添加一个管理用户，该用户将使用自定义应用程序使用REST API访问FortiGate。该应用程序将允许你登录FortiGate并执行你分配的管理员配置文件允许的任何任务。

　　此处未显示的其他选项包括：

　　● 你可以配置FortiGate查询远程身份验证服务器，而不是在FortiGate上创建帐户。 

　　● 管理员可以使用由内部认证机构服务器颁发的数字证书来代替密码进行身份验证。

　　如果你使用密码，请确保它们强大且复杂。例如，你可以使用多个大小写的交错单词，并随机插入数字和标点符号。不要使用短密码或包含任何字典中存在的名称、日期或单词的密码。这些容易受到蛮力攻击。要审核密码的强度，请使用LOphtcrack（http://www.lOphtcrack.com/）或John the Ripper（http://www.openwall.com/john/）等工具。如果你将管理端口连接到互联网，暴力攻击的风险会增加。

　　为了限制对特定功能的访问，你可以分配权限。

  在为管理员配置文件分配权限时，你可以向每个区域指定读写、只读或无。

　　默认情况下，有一个名为super_admin的特殊配置文件，由名为admin的帐户使用。你不能改变它。它提供对所有内容的完全访问权限，使admin帐户类似于根超级用户帐户。prof_admin是另一个默认配置文件。它还提供完全访问权限，但与super_admin不同，它仅适用于其虚拟域，而不是FortiGate的全局设置，你可以更改其权限。

　　你不需要使用默认配置文件。你可以创建一个名为auditor_access的配置文件，具有只读权限。将一个人的权限限制在他或她工作所需的权限是最佳做法，因为即使该帐户被泄露，对你的FortiGate设备（或网络）的泄露也不是完全的。为此，请创建管理员配置文件，然后在配置帐户时选择适当的配置文件。

　　覆盖空闲超时选项允许在config system accprofile下覆盖每个访问配置文件下的admintimeout值。你可以配置管理员配置文件，以增加不活动超时，并方便使用GUI进行集中监控。请注意，你可以在每个配置文件的基础上执行此设置，以防止该选项被意外全局设置。那么，管理员配置文件有什么影响呢？

　　它实际上不仅仅是读取或写入访问。根据你分配的管理员配置文件类型，管理员可能无法访问整个FortiGate设备。例如，你可以配置一个只能查看日志消息的帐户。管理员可能也无法访问其分配的虚拟域之外的全局设置。虚拟域（VDOM）是在单个FortiGate上细分资源和配置的一种方式。权限范围较小的管理员无法创建甚至查看具有更多权限的帐户。

 保护FortiGate的另一种方法是定义作为登录的信任来源的主机或子网。

　　在本例中，10.0.1.10被配置为管理员登录的唯一受信任的IP。如果管理员尝试使用任何其他IP从机器登录，他们将收到身份验证失败消息。 

　　请注意，如果所有管理员都配置了信任主机，并且管理员正在尝试从未在任何信任主机上为任何管理员设置的IP地址登录，则管理员将不会获得登录页面。相反，管理员将收到以下消息：“无法联系服务器”。

　　如果你将任何IPv4地址保留为0.0.0.0/0，这意味着将允许来自任何源IP的连接。默认情况下，0.0.0.0/0是管理员的配置，尽管你可能想更改此设置。

　　请注意，每个帐户可以以不同的方式定义其管理主机或子网。注意所需设备和FortiGate之间发生的任何NAT。如果管理员后来在到达FortiGate之前被NAT到另一个地址，你可以轻松地阻止管理员从所需的IP地址登录，从而破坏了信任主机的目的。

　　配置管理员帐户的另一个选项，以限制仅提供来宾用户帐户的访问。通过启用此选项，鉴于来宾用户组可用于配置来宾用户，管理员帐户将能够配置来宾用户帐户。

  你可能还想自定义管理协议端口号。

　　你可以选择是否允许并发会话。你可以使用并发会话来避免意外覆盖设置，如果你通常保持多个浏览器选项卡打开，或者在不保存设置的情况下意外地保持CLI会话打开状态，然后开始GUI会话并意外地以不同的方式编辑相同的设置。

　　为了提高安全性，请仅使用安全协议，并强制执行密码复杂性和更改。

　　空闲时间超时设置指定非活动管理员会话超时前的分钟数（默认为五分钟）。较短的空闲时间更安全，但增加计时器有助于减少管理员在测试更改时被注销的可能性。

　　你可以使用覆盖空闲超时设置覆盖每个管理员配置文件的空闲超时设置。

　　你可以配置管理员配置文件，以增加不活动超时，并方便使用GUl进行中央监控。覆盖空闲超时设置允许在config system accprofile下重写每个访问配置文件下的admintimeout值。

　　请注意，你可以在每个配置文件的基础上执行此设置，以避免该选项意外地在全局范围内设置。

  你已经为每个管理员帐户定义了管理子网，即信任主机。如何启用或禁用管理协议？

　　这是特定于每个接口的。例如，如果你的管理员仅从port3连接到FortiGate，那么你应该禁用所有其他端口的管理访问。这可以防止暴力尝试，也可以防止不安全的访问。你的管理协议是HTTPS、HTTP、PING和SSH。默认情况下，HTTP和TELNET选项在GUI上不可见。

　　考虑接口在网络上的位置。在内部接口上启用PING对故障排除很有用。然而，如果它是一个外部接口（换句话说，暴露在互联网上），那么PING协议可能会使FortiGate暴露在DoS攻击中。你应该禁用不加密数据流的协议，例如HTTP和TELNET。IPv4和IPv6协议是分开的。接口上可以同时拥有IPv4和IPv6地址，但只能响应IPv6上的ping。

　　安全Fabric连接包括CAPWAP和FortiTelemetry。像FortiTelemetry这样的协议不用于管理访问，但与GUI和CLI访问一样，它们是数据包将FortiGate作为目标IP的协议。使用FortiTelemetry协议专门用于管理FortiClient和安全Fabric。当FortiAP、FortiSwitch和FortiExtender由FortiGate管理时，请使用CAPWAP协议。当服务器管理多个FortiGate设备时，使用FMG-Access协议专门与FortiManager通信。当FortiGate需要监听和处理RADIUS计费数据包进行单点登录身份验证时，请使用RADIUS计费协议。FTM，或FortiToken移动推送，支持来自FortiToken移动应用程序的二阶身份验证请求。

　　当你将接口角色LAN或WAN分配给适当的接口时，你的FortiGate使用链路层发现协议（LLDP）来检测你的网络中是否有上游FortiGate。如果FortiGate发现上游FortiGate，系统会提示你配置上游FortiGate设备以加入安全Fabric。

  现在FortiGate拥有基本的网络设置和管理帐户，你将学习如何备份配置。

　　除了选择备份文件的目的地外，你还可以选择加密或不加密备份文件。即使你选择不加密文件（这是默认情况），存储在文件中的密码也会被散列，因此被混淆。存储在配置文件中的密码将包括管理用户和本地用户的密码，以及IPSec VPN的预共享密钥。它还可能包括FSSO和LDAP服务器的密码。

　　另一种选择是用密码加密配置文件。除了保护配置的隐私外，它还会产生一些你可能意想不到的影响。加密后，如果没有相同型号和固件的密码和FortiGate，则无法解密配置文件。这意味着，如果你将加密的配置文件发送给Fortinet技术支持，即使你向他们提供密码，在访问相同的FortiGate型号之前，他们也无法加载你的配置。在解决你的ticket时，这可能会导致不必要的延迟。相反，你可以在创建新备份文件时启用密码屏蔽选项，以替换配置文件中的所有密码和机密，并防止与第三方共享备份文件时意外数据泄露。

　　如果你启用虚拟域（VDOM），细分FortiGate设备的资源和配置，每个VDOM管理员都可以备份和恢复自己的配置。你不必备份整个FortiGate配置，但是，仍然建议这样做。

　　在发生不可预见的灾难，损坏FortiGate时，需要备份来帮助加快恢复生产。从头开始重新创建数百个策略和对象需要花费大量时间，而在新设备上加载配置文件所需的时间要少得多。

　　恢复配置文件与备份配置文件非常相似，并重新启动FortiGate。

  如果你在文本编辑器中打开配置文件，你将看到加密和未加密的配置文件都包含一个明文标头，其中包含有关设备的一些基本信息。

　　上图的示例显示了包含哪些信息。要恢复加密配置，你必须将其上传到相同型号和固件的FortiGate设备，然后提供密码。

　　要恢复未加密的配置文件，你只需要匹配FortiGate型号。如果固件不同，FortiGate将尝试升级配置。这类似于它在升级固件时在现有配置上使用升级脚本的方式。然而，仍然建议将FortiGate上的固件与配置文件中列出的固件相匹配。

　　通常，配置文件仅包含非默认设置，以及一些默认但至关重要的设置。这最大限度地减少了备份的大小，否则备份的大小可能是几兆字节。

  YAML格式变得越来越流行，经常用于创建配置文件。

　　FortiOS现在支持YAML格式，你可以使用GUI进行备份和恢复YAML配置文件。

　　上图显示了示例配置，以了解默认文件格式和YAML格式之间的区别。

 你可以在FortiGate GUl上的多个位置查看当前固件版本。

　　当你首次登录FortiGate时，登陆页面是仪表板。你可以在系统信息小部件中看到固件版本。

　　此信息也可以在系统管理>Firmware&Registration中找到。当然，你也可以使用get system status命令在CLI中检索信息。

　　如果新版本的固件可用，你将在仪表板和Firmware&Registration页面上收到通知。Firmware&Registration页面允许管理员管理安全Fabric中每个FortiGate、FortiAP和FortiSwitch上运行的固件，并授权和注册这些Fabric设备。

　　你可以使用升级选项来升级所选设备的固件。Fabric升级选项升级了根FortiGate以及Fabric设备的固件。你还可以使用此选项升级带有托管FortiSwitch和FortiAP设备的非安全Fabric FortiGate的固件。Fabric升级选项使用FortiGuard发布的固件映像。

　　你还可以使用注册选项将所选设备注册到FortiCare，并使用授权选项授权所选设备用于安全Fabric。

　　请记住阅读发布说明，以确保你了解受支持的升级路径。发布说明还提供了可能影响升级的相关信息。 

 一些FortiGate服务连接到其他服务器，如FortiGuard，以便工作。FortiGuard订阅服务为FortiGate提供最新的威胁情报。FortiGate通过以下方式使用FortiGuard：

　　● 定期请求包含新引擎和签名的软件包

　　● 在单个URL或主机名上查询FDN

　　默认情况下，FortiGuard服务器位置设置为FortiGate根据服务器负载从世界任何地方选择服务器的任何地方。但是，你可以选择将FortiGuard服务器位置更改为美国。在这种情况下，FortiGate选择了基于美国的FortiGuard服务器。

　　查询是实时的；也就是说，FortiGate每次扫描垃圾邮件或过滤网站时都会询问FDN。FortiGate查询，而不是下载数据库，因为数据库发生更改的大小和频率。此外，你可以选择使用UDP或HTTP进行传输的查询；协议不是为容错而设计的，而是为速度而设计的。因此，查询要求你的FortiGate设备具有可靠的互联网连接。

　　当将FortiGuard服务器用于DNS时，FortiOS默认使用DNS over TLS（DoT）来保护DNS流量。新的FortiGuard DNS服务器已添加为主服务器和辅助服务器。

  现在，已为所有FortiGuard服务器实施了第三方SSL证书验证和OCSP装订检查。默认情况下，FortiGuard访问模式在FortiGate上任意广播，以优化对FortiGuard服务器的路由性能。FortiGuard服务器有一个IP地址来匹配其域名。FortiGate连接到单个服务器地址，无论FortiGate设备位于何处。

　　每个FortiGuard服务的域名是该服务证书中的通用名称。该证书由第三方中间CA签署。FortiGuard服务器使用在线证书状态协议（OCSP）装订技术，因此FortiGate始终可以有效地验证FortiGuard服务器证书。FortiGate将仅使用为其证书提供良好OCSP状态的FortiGuard服务器完成TLS握手。任何其他状态都会导致SSL连接失败。

　　FortiGuard服务器每四小时查询一次CA的OCSP响应器，并更新其OCSP状态。如果FortiGuard无法联系到OCSP响应者，它将最后已知的OCSP状态保留七天。

　　在以下的情况下，FortiGate会中止与FortiGuard服务器的连接：

　　● 服务器证书中的CN与从DNS解析的域名不匹配。

　　● OCSP状态不好。

　　● 颁发者CA被根CA撤销。

　　FortiGuard访问模式任意广播设置强制评级过程使用协议HTTPS和端口443。

   上图的表格显示了一些FortiGuard服务器及其域名和IP的列表。

  你可以在FortiGate GUI上检查FortiGuard许可证的状态以及与FortiGuard的通信。

　　你还可以检查每个FortiGuard服务的本地安装数据库的版本。

  上图显示的命令列出了所有已安装的FortiGuard数据库和引擎。信息包括版本、合同到期日期、更新时间以及上次更新期间发生的事情。

　　该列表包括但不限于反病毒、IPS、应用程序、移动恶意软件定义和其他安全服务，FortiGate使用FortiGuard服务获得许可和更新。

  答案：B

  答案：A

 答案：B

  上图显示了你在本课中涵盖的目标。

　　通过掌握本课中涵盖的目标，你了解了FortiGate如何以及在哪里融入你的网络，以及如何执行基本的FortiGate管理。

---