通过展示对Fortinet安全结构关键概念的熟练理解,你将更好地了解安全结构的价值,组成它的服务器,如何部署它,以及它如何帮助从单一角度更有效地管理所有网络设备。
这是一个Fortinet企业解决方案,可以实现整体的网络安全方法,通过单个控制台可以看到网络景观,所有网络设备都集成到集中管理和自动化的防御中。
网络设备包括所有组件,从物理端点到云中的虚拟设备。由于设备是集中管理的,并实时相互共享威胁情报,并在宏级别接收Fortinet的更新,因此你的网络可以快速识别、隔离和消除出现的威胁。
安全结构具有以下属性:
● 广泛:它提供整个数字攻击表面的可见性,以更好地管理风险
● 集成:它提供了一个解决方案,降低了支持多点产品的复杂性
● 自动化:威胁情报在网络组件之间实时交换,允许自动响应威胁
第四个属性可以添加到安全结构的描述中:开放。APl和协议可供其他供应商加入和合作伙伴集成。这允许Fortinet和第三方设备之间进行通信。
随着网络的发展和各种新型威胁的浮出水面,部署了点安全产品来应对这些新出现的威胁。通常,这些零敲碎打的解决方案是有效的,但使用不同的标准和协议部署产品意味着无法有效协调国防资产。
上图右侧的插图讲述了一个网络部署了来自四个不同供应商的安全解决方案的故事。中心的管理员在安全控制台上工作,只能看到一些安全解决方案。整个网络防御缺乏可见性是一个严重的缺陷,可能允许外国渗透者在未被发现的情况下破坏网络防御。
当今网络的绝对复杂性使这个问题更加复杂。此外,由于网络已经突破了传统网络的边界,并扩展到虚拟化的网络和公共云,日益复杂的恶意软件有一个扩大的攻击面可以利用。再加上BYOD程序带来的日益增多的非托管设备,就形成了一场完美的安全风暴。
最可行的解决方案是建立一个集中管理的整体安全方法,通过这种方法,你可以对所有潜在的渗透点有清晰的视线,并可以协调防御以遏制和消除网络漏洞。
Fortinet Security Fabric通过FortiGate、IPS、VPN、SD-WAN提供网络安全。它还提供跨公共云、私有云、混合云和软件即服务(SaaS)的多云策略。它还提供了相当复杂的端点产品,从Fabric Agent一直到完整的端点保护、电子邮件安全、Web应用程序安全、跨分布式企业和SDWAN环境的安全访问、高级威胁保护、管理和分析以及安全信息和事件管理(SIEM)。
所有这些都得到了FortiGuard Services的强调和支持,它在整个安全结构中提供Al-powered的情报和保护。
● 根
● 下游
根FortiGate是安全结构的主要组件。它通常位于网络边缘,并通过你的ISP将内部设备和网络连接到互联网。从根FortiGate中,你可以在GUl的物理和逻辑拓扑页面上看到有关整个安全结构的信息。
安装根FortiGate后,安全结构中的所有其他下游FortiGate设备充当内部分段防火墙(ISFW),位于内部网络的战略点,而不是网络边缘。这允许围绕关键网络组件采取额外的安全措施,例如包含宝贵知识产权的服务器。ISFW FortiGate设备通过将连接到它们的设备的流量和信息发送到根FortiGate来创建网络可见性。
为了增加更多的可见性和控制,Fortinet建议添加FortiManager、FortiAP、FortiClient、FortiClientEMS、FortiSandbox、FortiMail、FortiWeb、FortiNDR、FortiDeceptor和FortiSwitch。
该解决方案可以通过添加其他网络安全设备进行扩展,包括几个第三方产品。
名为外部的FortiGate设备充当边缘防火墙,并配置为安全结构中的根防火墙。
在根防火墙的下游,三个内部分割防火墙将广域网分隔开来,以遏制漏洞并控制对各种局域网的访问。此示例使用会计、营销和销售局域网。
首先,在根FortiGate设备上,你必须在面向任何下游FortiGate设备的接口上启用安全结构连接。然后,启用安全结构连接器,并选择服务用作结构根。你还需要配置FortiAnalyzer或云日志记录解决方案。此日志配置被推送到所有下游的FortiGate设备。
或者,你可以通过添加序列号来对下游设备进行预授权。当你将Fortinet设备的序列号添加到根FortiGate设备上的受信任列表中时,该设备可以在连接后立即加入安全结构。授权新的FortiGate后,其他连接的FortiAP和FortiSwitch设备会自动出现在拓扑树中。
实现安全结构的第三步是在根FortiGate上授权下游的FortiGate设备。
CLI命令fabric-object-unification只能在根FortiGate设备上使用。当设置为local时,全局对象不会同步到安全结构中的下游设备。默认值为default。
当下游的FortiGate设备不需要参与对象同步时,可以使用CLI命令configuration-sync local。当在下游设备上设置为local时,该设备不会从根节点同步对象,但仍然会参与向下游发送同步对象。
你还可以在安全结构中启用或禁用每个对象的同步。此选项不适用于你在下游FortiGate设备上创建的对象。默认情况下,支持的Security Fabric对象禁用Security Fabric同步,这些Security Fabric对象在Security Fabric中的所有FortiGate设备上作为本地创建的对象保留。如果在根FortiGate设备上禁用对象同步,则使用命令集结构对象禁用,防火墙地址和地址组不会同步到下游的FortiGate设备。
请注意,如果安全结构中的设备处于多VDOM模式,GUl不会显示安全结构同步选项。即使在CLI中启用了,该对象也不会同步到任何下游设备。
解决同步冲突的过程如下:
1. 单击通知消息:1个防火墙对象与结构中的其他FortiGates发生冲突。单击通知消息。
2. 在防火墙对象同步页面上,你可以看到根FortiGate和下游FortiGate设备都包含sync_add_1对象(每个设备上具有不同的IP地址/子网模式),导致内容不匹配状态。策略字段显示两个解决冲突的选项:自动和手动。选择自动,如本示例所示,然后单击重命名所有对象。
3. Remote-FortiGate附加到下游FortiGate设备sync_add_1地址对象的名称中,状态更改为Resolved。
4. 冲突信息消失了。
无代理识别使用来自设备的流量。设备按其MAC地址进行索引,有各种方法来识别设备,例如HTTP用户代理头、TCP指纹、MAC地址OUI和FortiOS-VM检测方法等。只有当FortiGate和工作站是直接连接的网络段,其中流量直接发送到FortiGate,并且FortiGate和工作站之间没有中间路由器或第3层设备时,无代理设备识别才有效。
请注意,FortiGate使用先到先得的方法来确定设备身份。例如,如果HTTP用户代理检测到设备,FortiGate会使用检测到的MAC地址更新其设备表,并在确定该MAC地址的类型后立即停止扫描。
基于代理的设备识别使用FortiClient。FortiClient将信息发送到FortiGate,该设备由其唯一的FortiClient用户ID(UID)进行跟踪。
例如,Fortinet建议使用FortiManager集中管理所有FortiGate设备,并访问安全结构中的设备。你还可以通过集成FortiSwitch和FortiAP设备,将安全结构扩展到访问层。
每个自动化针配对一个触发器和一个或多个动作。FortiOS有几个预定义的针,触发器和动作。但是,你可以根据可用选项创建自定义自动化。
自动化针允许你监控网络,并在安全结构检测到威胁时采取适当的行动。你可以使用自动化针来检测来自安全结构中任何来源的事件,并将操作应用于任何目的地。
你可以对一些可用操作配置最小内部(秒)设置,以确保它们不会比需要的更频繁地运行。.
1. FortiClient将日志发送到FortiAnalyzer。
2. FortiAnalyzer在日志中发现loC并通知FortiGate。
3. FortiGate确定FortiClient是否是连接的端点,以及它是否具有FortiClient连接的FortiClient EMS的登录凭据。有了这些信息,FortiGate会向FortiClient EMS发送通知以隔离端点。
4. FortiClient EMS搜索端点并向其发送隔离消息。
5. 端点接收隔离消息并隔离自己,阻止所有网络流量。端点将状态更改通知FortiGate和EMS。
6. FortiGate向Microsoft Teams频道发送通知,以提醒管理员该事件。
在以应用程序为中心的基础设施(ACI)中,SDN连接器充当连接SDN控制器和FortiGate设备的网关。例如,SDN连接器可以在Cisco ACl结构中将自己注册到APIC,轮询感兴趣的对象,并将其转换为地址对象。翻译后的地址对象和相关端点填充在FortiGate上。
你可以将鼠标悬停在小部件顶部的图标上,以显示其状态的快速视图。从这里,你可以单击以授权连接到授权FortiGate的FortiAP和FortiSwitch设备。
图标代表可以在安全结构中使用的其他Fortinet设备:
● 蓝色设备在你的网络中连接。
● 灰色设备未配置,或未在你的网络中检测到。
● 红色设备不再连接,或未在你的网络中授权。
安全评级页面分为三个主要记分卡:安全态势、Fabric覆盖和优化。
这些记分卡提供了安全结构中三个最大安全重点领域的执行摘要。
记分卡显示了整体字母等级和子类别中的表现明细。单击记分卡,深入到逐项结果和合规建议的详细报告。分数代表该地区所有通过和失败的项目。该报告包括经过测试的安全控制,并将其与特定的FSBP或PCI合规性政策联系起来。您可以单击FSBP和PCI来引用相应的标准。
在多VDOM模式下,具有读/写访问权限的管理员可以在全局VDOM中为设备上的所有VDOM生成安全评级报告。具有只读访问权限的管理员可以查看报告,但不能生成它。
在记分卡上,范围列显示安全评级检查的VDOM或VDOM。在支持Easy Apply的检查中,你可以在所有相关的VDOM上运行补救。
安全评级事件日志在根VDOM上可用。
安全态势服务现在支持以下内容:
● 使用安全审计(FortiGuard数据)按百分位数对客户进行排名:安全评级现在支持向FortiGuard发送结果,并从FortiGuard接收统计数据。结果以百分位数的形式显示给客户。
● 当管理员登录GUI时,安全审计在后台运行,而不仅仅是按需运行。当你查看安全审计页面时,会加载最新保存的安全审计数据。从GUI中,你可以按需运行审计,并在安全结构中查看不同设备的结果。你还可以查看所有结果或只是失败的测试结果。
● 新的安全检查可以帮助你改进组织的网络。这些结果包括强制执行密码安全、应用推荐的登录尝试阈值、鼓励双重认证等。
单击通知以显示需要修复设置的页面。这使你不必在安全结构>安全评级页面和各种设置页面之间来回走动。
通知出现在GUI的侧面或底部。你也可以关闭通知。
在上图显示的示例中,发现的一些问题是FortiGate正在使用默认的HTTPS和SSH端口,并且未启用管理员密码策略。安全评级检查还建议你配置受信任的主机和双重身份验证。
使用上图显示的命令启用或禁用安全检查,并使用CLI手动运行评级检查。
物理拓扑视图将你的网络显示为互连设备的气泡图。这些设备根据它们连接的上游设备进行分组。根据流量,气泡看起来更小或更大。你可以双击任何气泡来调整其大小,并查看有关设备的更多信息。
逻辑拓扑视图类似于物理拓扑视图,但它显示了用于连接安全结构中设备的逻辑或物理网络接口。
通过掌握本课中涵盖的目标,你学会了如何配置和使用Fortinet Security Fabric。
150
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
