教程篇(5.4) 02. FortiManager 配置和管理 ❀ Fortinet 网络安全专家 NSE5

　在本章中，我们将向你展示如何设置和管理FortiManager。我们还将向你展示如何使用日常中使用的至关重要的功能，如ADOM、事件监控、备份和恢复。

　在本课中，我们将探讨以下主题：

• ADOM
• 管理员账户
• 管理员并发访问
• ADOM 最佳实践和故障排除
• 备份和恢复
• 事件监视

　　我们先学习ADOM。

　完成本节后，你应该能够：

• 描述ADOM的目的
• 描述ADOM模式之间的差异
• 确定ADOM设备模式的用途以及何时可以使用它们

　　通过展示ADOM的能力，你将能够在FortiManager中有效地组织FortiGate设备。

　ADOM使管理员能够创建用于管理员监视和管理的设备分组。例如，管理员可以管理特定于其地理位置或业务部门的设备。ADOM的目的是通过ADOM划分设备的管理，并控制（限制）管理员访问。 ADOM在默认情况下是不启用的，只能由管理员或具有超级用户配置文件的管理员启用（或禁用）。一旦你改变了ADOM模式，你就会被注销，这样系统就可以用新的设置重新初始化。当你启用ADOM时，你必须选择你想要从配置的ADOM列表中查看的ADOM。通过单击GUI右上角的ADOM列表，你可以轻松地在ADOM之间切换。

　　请记住，ADOM的最大数量因其物理模型或VM许可而异。

　你配置ADOM时，你可以在两种模式之间进行选择：标准或备份。在标准模式下，你可以对ADOM和托管设备进行配置更改。备份模式的主要目的是备份直接在托管设备上进行的配置更改。

　默认情况下，ADOM处于标准模式，所有窗格都可用。ADOM在读写中，允许你对存储在ADOM数据库中的托管设备进行配置更改，然后将这些更改安装到托管设备上。如果你需要在托管设备上直接进行配置更改，该怎么办？

　　你可以通过FortiGate的CLI或GUI直接对每个托管设备进行配置更改。这将触发它自动更新FortiGate的历史版本订阅。

　如果受管理的设备配置变更总是需要直接在设备上进行，并且你希望仅将FortiManager用于版本控制和追踪目的？

　　在这种情况下，你可以在备份模式下配置ADOM。

　　在备份模式下，ADOM是只读的，因此设备管理器窗格受到限制。 你可以添加和删除设备，但设备级别的设置不适用于配置和安装。出于同样的原因，其他窗格（如策略和对象、AP管理器和VPN管理器）不可用。

　　但是，你可以使用FortiManager上的脚本功能对受管设备进行配置更改。如果直接在受管设备上进行更改，那些更改需要满足特定条件才能触发设备将其配置备份到FortiManager。

　ADOM有两种设备模式：标准模式（它是默认的模式）和高级模式。 在标准模式下，你不能将不同的FortiGate虚拟域（VDOM）分配给不同的FortiManager ADOM。

　　如果你是一个MSSP，你有不同的客户使用FortiGate VDOM，并且想要将这些VDOM分离到不同的ADOM中？

　　在高级模式下，你可以将同一个FortiGate设备的不同VDOM分配给不同的ADOM。此设置适用于全部ADOM。这会导致更复杂的管理方案。它仅推荐给高级用户。

　每个ADOM应该装哪些设备？

　　使用简化管理的方案。例如，你可以通过以下方式组织你的设备：

　　固件版本：你可以在同一个ADOM中将具有相同固件版本的所有设备分组。例如，如果FortiGate设备运行的是固件版本5.4，则可以将这些设备分组到5.4版本的ADOM中。

　　地理区域：你可以将特定地理区域的所有设备分组到一个ADOM中，并将不同区域的设备分组到另一个ADOM中。

　　分配的管理员：你可以将设备分组到不同的ADOM中，并将其分配给特定的管理员。

　　客户：你可以将一个客户的所有设备分组到一个ADOM中，并将另一个客户的设备分组到另一个ADOM中。

　　设备类型：你可以为每种设备类型创建一个单独的ADOM。非FortiGate设备会自动位于特定的ADOM中以用于其设备类型。他们不能移动到其他ADOM。

　　组织需求：你可以将生产和测试网络FortiGate设备分离为单独的ADOM。

　　在组织管理的FortiGate设备时，应首先根据FortiOS固件版本进行分组。有效的命令语法因固件版本而异，这会影响脚本兼容性和其他功能。例如，如果你是基于地理区域进行分组，并且FortiGate设备在同一区域运行FortiOS 5.2和5.4固件，则应根据该地理区域的固件版本创建两个ADOM。然后，你可以将两个ADOM分配给该地区的管理员。

　启用ADOM后，具有Super_User配置文件的管理员可以访问所有ADOM页面，其中管理员创建的所有默认ADOM和自定义ADOM都会显示。其他管理员可以被限制只能访问一个或多个特定的ADOM。

　　FortiGate ADOM组合在一起。如果默认的ADOM不符合你的要求，你可以创建自己的。虽然你可以编辑这些默认ADOM，但不能编辑设备的设备类型或固件版本。这是因为内部数据库的结构取决于FortiManager需要为该设备类型或固件存储哪些类型的数据。

　　你创建的ADOM类型必须与你添加的设备类型相匹配。例如，如果你想为FortiGate创建一个ADOM，你必须选择FortiGate作为ADOM类型。特别是FortiGate ADOM，你还必须选择FortiGate设备的固件版本。

　　不同的固件版本具有不同的功能，因此具有不同的CLI语法。你的ADOM设置必须与设备的固件相匹配。

　　默认的ADOM模式是“标准”。在集中管理下，你可以启用VPN来集中管理IPsec VPN，或者启用WAN链路负载平衡，该功能允许你监视该ADOM中所有受管设备的负载平衡配置文件。

　　你可以创建的ADOM的最大数量因FortiManager模型而异。

　本章节学习“管理员账户”。

　完成本节后，你应该能够：

• 区分系统管理员和受限管理员
• 使用管理员配置文件，可信主机和ADOM控制或限制管理访问
• 验证使用外部服务器的管理员

　　通过演示使用管理访问控制的能力，你将能够更好地保护FortiManager设备和受管设备的管理和管理。

　为了有效管理你的系统，FortiManager附带了四个预先安装的默认管理员配置文件，你可以将其分配给其他管理用户。

　　管理员配置文件定义了每个管理帐户的管理员权限。 四个默认配置文件是：

• Package_User：提供对策略程序包和对象权限的读/写访问权限，但提供对系统和其他权限的只读访问权限
• Restricted_User：提供对设备权限的只读访问权限，但不提供系统权限　　
• Standard_User：提供对设备权限的读写权限，但没有系统权限
• Super_User：提供对所有设备和系统权限的访问，如FortiGate

　　你可以将默认配置文件分配给管理帐户，也可以修改与每个默认配置文件关联的单个权限。或者，你可以创建自己的自定义配置文件。

　你可以自定义两种管理员配置文件类型：系统管理员和受限管理员

　　对于系统管理员类型，你可以修改其中一个预定义的配置文件，或者创建一个自定义配置文件。 只有拥有完整系统权限的管理员才能修改管理员配置文件。根据管理员的工作性质、访问级别或资历，你可以允许他们根据需要查看和配置尽可能多或最少的配置。

　　对于受限制的管理员，你可以创建一个新的受限管理员配置文件，以允许委派管理员更改与其ADOM关联的Web过滤配置文件、IPS传感器和应用程序传感器。

　根据你的部署，你可能希望通过创建其他管理帐户来将FortiManager管理任务划分为多个员工。

　　为了保护你的网络，你可以使用以下方法控制和限制管理访问：

• 管理员配置文件
• ADOM
• 可信主机

　除了通过管理员配置文件控制管理访问外，你还可以通过为每个管理用户设置可信主机来进一步控制访问。这限制了管理员只能从特定的IP或子网登录。如果你只定义一个可信主机IP地址，你甚至可以将管理员限制为单个IP地址。

　　你定义的可信主机在通过SSH访问时适用于GUI和CLI。

　你可以通过ADOM控制管理访问的另一种方式。这使得设备管理更加有效，因为管理员只需要在其分配的ADOM中监视和管理设备。它还使网络更加安全，因为管理员仅限于他们应该访问的设备。

　　拥有Super_User配置文件的管理员可以完全访问所有ADOM，而具有其他配置文件的管理员只能访问分配给他们的那些人员 ，可以是一个或多个。

　你可以配置外部服务器来验证你的管理员登录，而不是创建本地管理员时登录由FortiManager进行验证。RADIUS、LDAP、TACACS +和PKI都可以用作验证管理员凭证的手段。

 

　　要配置双因素认证，你还需要FortiAuthenticator和FortiToken。有关更多详细信息，请参见“FortiManager管理指南”。

　要跟踪管理员用户会话，包括当前登录的用户和通过可信主机，请选择系统设置>管理员>管理员。

　　只有具有Super_User配置文件的管理员才能看到完整的管理员列表。

　本章节学习“管理员并发访问”。

　完成本节后，你应该能够：

• 确定并发ADOM访问可能导致的潜在问题
• 描述ADOM锁定的用途以及何时使用它

　　通过展示使用ADOM锁定的能力你将能够更好地保护你的FortiManager设备和受管设备的管理和管理。

　默认情况下，多个管理员可以在工作区模式设置为禁用时同时访问同一个ADOM。

　　通常，这是可以的，特别是如果你使用了具有不重叠权限的管理员配置文件。两个人在数百个复杂设备的网络中更改同一设置的概率很小，但仍然有可能。

　如果多个管理员同时尝试更换相同的设备，但做出了不同的更改会怎么样？

　　这可能导致冲突：一个管理员的更改将被其他管理员的更改覆盖。如果你可能发生冲突，则可以使用CLI启用工作区模式并防止并发ADOM访问。

　　这允许管理员锁定他们的ADOM。此外，只有一个管理员具有对ADOM的读/写访问权限，而所有其他管理员拥有只读权限。

　当启用工作区时，你如何使用它？

　　在进行更改之前，管理员A锁定ADOM。出现绿色锁定图标。管理员A现在具有读写访问权限，可以更改该ADOM中的受管设备。

　　在此期间，管理员B在ADOM上看到一个红色锁定图标。管理员B具有对该ADOM的只读访问权限，并且无法进行更改。

　　当管理员A完成更改后，他们保存更改并解锁ADOM。该图标变为灰色解锁图标。管理员B发现ADOM现在可供使用。

　　现在，管理员B锁定ADOM，并再次锁定图标变为绿色。管理员B现在具有读写访问权限，并且可以安全地进行更改而不会有冲突风险。

　当启用工作区时，ADOM最初只能读取。要启用读写权限并能够更改ADOM，你必须锁定ADOM。

　　你可以从GUI的右上角锁定ADOM。一旦你锁定了ADOM，你就可以安全地更改该ADOM中的受管设备的设置，而不必担心冲突。如果你对受管设备配置或策略包进行了更改，则在尝试安装之前必须保存更改。其他管理员不能对ADOM进行更改，因为他们具有只读权限。

　　有三个锁状态图标：

• 灰色锁定图标：ADOM当前已解锁。要进行更改，你必须先锁定ADOM。
• 绿色锁图标：ADOM由你锁定。你可以在该ADOM中进行更改。
• 红色锁定图标：ADOM被另一位管理员锁定。你必须等待他们完成并解锁ADOM。

　本章学习ADOM最佳实践和故障排除。

　完成本节后，你应该能够：

• 识别ADOM支持的并发固件及其使用案例
• 确定何时升级ADOM
• 诊断ADOM升级问题
• 升级ADOM或设备或两者的最佳实践

　　通过展示ADOM最佳实践和故障排除的能力，你将能够在FortiManager中更有效地组织和管理你的FortiGate设备。

　在FortiManager的数据库中，每个ADOM都与特定的FortiGate固件版本相关联，基于该ADOM中设备的固件版本。固件版本确定适当的数据库模式。

　　如果你使用版本5.2创建了ADOM，添加了运行FortiOS 5.2的FortiGate设备，但是需要将FortiGate设备升级到FortiOS 5.4吗？

　　ADOM可以同时管理运行两个FortiGate固件版本的FortiGate设备？例如FortiOS 5.2和5.4。因此，运行固件版本5.2和5.4的设备可以共享一个通用的FortiManager数据库。

　　尽管同一个ADOM中可能存在多个FortiOS版本，但如果你使用的是旧版本的ADOM，则可能会限制较新固件版本的某些功能。这是因为新固件版本的CLI命令语法可能因新功能而发生变化，因此配置不同。确保FortiGate设备添加到基于FortiOS固件版本的ADOM中非常重要。

　　建议此功能仅用于帮助升级到新固件，并且ADOM通常不会运行混合固件。在这种情况下，请使用单独的ADOM。

　多个FortiOS版本可以存在于同一个ADOM中，但只有升级包含在其中的所有设备后才能升级ADOM。

　　注意：如果有很多ADOM版本，FortiManager需要更多的系统资源，并且ADOM升级可能需要更多时间才能完成。

　如果ADOM中的所有设备未升级，你将收到警告消息，并且将不允许升级ADOM版本。在升级ADOM版本之前，你必须升级ADOM中的所有设备。

　　你可以从系统设置>所有ADOM这个选项来升级ADOM。

　　如果ADOM已经升级到最新版本，则此选项将不可用。

　你可以使用CLI命令执行实时ADOM升级调试。当ADOM升级时，会生成事件日志，指出ADOM升级成功。任务监视器还会为ADOM升级生成一个条目。

　如果你需要升级一些FortiGate设备，但不是所有设备都包含在同一个ADOM中，怎么处理？

　　混合FortiGate版本的ADOM升级，使用另一种方法。首先升级原始ADOM中的FortiGate，然后将它们移动到新的匹配的固件版本的ADOM中。

　　如果设备从一个ADOM移动到另一个，策略和对象不会导入到ADOM数据库中。 你必须运行“导入策略”向导才能将策略和对象导入到新的ADOM数据库中。

　设备在ADOM上注册后，你可以在ADOM之间移动设备。通过编辑计划将设备移动到的目标ADOM，然后选择要添加到设备的此目标ADOM。

　一旦升级了设备或ADOM，建议你手动检索FortiGate配置，然后重新导入设备的策略包。这通常可以让你解决FortiGate和FortiManager之间的冲突。你可以选择允许FortiGate或FortiManager设置优先。

　　如果你使用的是共享策略包，则可以采取两种不同的方法来解决问题：

　　ADOM升级：尝试为策略包执行安装预览。使用CLI脚本修复问题或更正单个对象。

　　设备迁移到不同的ADOM：共享的策略包和对象不会移动到新的ADOM。 执行检索功能以检索新ADOM中的完整配置，然后运行导入策略向导以导入策略和对象。

　本章节学习：备份和恢复。

　完成本节后，你应该能够：

• 了解如何备份、恢复和制作系统检查点
• 了解离线模式的用途
• 将FortiManager重置为出厂默认值

　　通过备份和恢复的功能，你将能够确保，如果出现严重的硬件故障，你可以快速将FortiManager恢复到原始状态，而不会影响网络。毕竟，这是你的中央网络管理系统，你可能会投入大量时间和资源来构建和维护防火墙策略。 那么，让我们学习如何保持数据安全。

　在任何时候，你都可以从GUI中的System Information小部件备份FortiManager配置。当你使用GUI进行备份时，默认启用加密。如果你使用加密，则必须设置用于加密备份文件的密码。除非你提供相同的密码，否则无法恢复备份文件。

　　备份包含除FortiManager上保存的日志，FortiGuard缓存和固件映像以外的所有内容。

　　你还可以使用CLI定期安排备份。

　　如果对FortiManager进行了更改，并在对你的网络产生负面影响时，你可以从执行的任何备份中恢复配置。

　你可以从GUI或CLI恢复FortiManager配置。当你执行恢复时，FortiManager重新启动并且更改生效。当你恢复备份文件时，请确保FortiManager的固件版本和型号与备份文件相匹配。

　　还原系统弹出窗口中还有其他几个可选项：

• 覆盖当前IP、路由和HA设置：默认情况下启用此选项。如果FortiManager具有现有配置，则恢复备份将覆盖所有内容，包括当前的IP、路由和HA设置。如果你禁用此选项，FortiManager仍将恢复与设备信息和全局数据库信息相关的配置，但将保留基本的HA和网络设置。
• 在离线模式下恢复：默认情况下，此功能已启用并呈灰色显示 - 你无法禁用它。在恢复时，FortiManager临时禁用FortiManager与所有受管设备之间的通信通道。这是一种安全措施，以防任何设备由另一台FortiManager管理。

　你可以在一个FortiManager上备份配置，并在不同的FortiManager上恢复该配置。这可以用于：

• 通过将配置恢复到不同的FortiManager来排除故障
• 将FortiManager升级到更高的型号，因为它会保留已配置的设备

　　迁移配置所需的步骤很简单。你需要在一台FortiManager上备份配置，然后在第二台FortiManager上运行CLI 迁移命令。
FortiManager支持FTP、SCP和SFTP协议，将配置从一个FortiManager迁移到另一个FortiManager。

　系统检查点本质上是FortiManager管理的网络系统的快照。这种类型的备份提供了FortiManager和FortiGate设备完全同步的历史记录。

　　你可以使用仪表板的“系统信息”小部件手动创建系统检查点。所有系统检查点都保存在系统检查点表中。此表提供详细信息，例如系统检查点何时生成，管理员是谁，以及该管理员提出的意见。它还提供了恢复到以前的检查点的选项。当恢复到系统检查点时，FortiManager需要重新启动。

　　你可以在设备上安装新固件或对网络进行重大配置更改之前进行系统检查点备份。如果安装或更改无法按预期工作，则可以将FortiManager和设备还原到最后已知的功能状态。

　　系统检查点并未广泛使用，因为它们将所有受管设备的配置恢复为其先前的状态，从而一次对整个系统进行多项更改。必要时，许多管理员都倾向于在每台设备上回滚。此外，所有系统检查点都保存在本地FortiManager上，不能用于灾难恢复。出于这个原因，你应该定期执行备份，或配置定时备份。

　默认情况下，允许FortiManager管理设备，离线模式被禁用。 当执行配置恢复时，FortiManager禁用FGFM协议。该协议使用TCP端口541在FortiManager和FortiGate设备之间进行通信。可以从系统设置>高级>高级设置手动启用或禁用它。

　　什么时候应该启用离线模式？

　　你可以启用离线模式来解决问题。离线模式允许你更改FortiManager设备设置而不影响受管设备，或者在第二台FortiManager上加载备份以进行测试。 这样，第二个FortiManager不能自动连接到你的FortiGate并开始管理它们。

　如果需要重置FortiManager，请使用控制台端口连接到FortiManager。

　　reset all-settings命令将FortiManager返回到出厂默认设置并重新启动FortiManager。

　　reset all-except-ip命令将FortiManager返回到出厂默认设置（除接口和路由配置以外）并重新启动FortiManager。这方便远程初始化设备。

　　format disk命令会清除所有设备设置和图像，FortiGuard数据库以及FortiManager硬盘上的日志数据。

　　要完全擦除所有配置数据库，请重置所有设置，然后使用CLI格式化磁盘。

　　即使你格式化磁盘，这也只会破坏文件系统表。文件仍然存在，攻击者可以使用工具来恢复数据。如果未能擦除配置数据库可能危及整个网络的安全。因此，如果你将销售FortiManager硬盘或更换硬盘，强烈建议你使用安全（深度擦除）磁盘重新格式化，以彻底擦除所有数据。

　本章节学习“事件监视”。

　完成本课程后，你应该能够：

• 解释事件日志
• 跟踪并对任务监视器中的任务执行操作
• 了解Web服务定义语言（WSDL）文件

　　通过理解监控FortiManager事件的能力，你将能够诊断和排除与FortiManager和受管设备相关的问题。

　要监视所有任务（如导入和系统检查点）的状态，请转至系统设置>任务监视器。你可以从视图下拉列表中筛选任务类别，或保留默认的全部。

　　例如，你可以过滤运行、挂起、取消或中止任务，并可以确定它们是否长时间处于处理状态。你可以取消或删除长时间停留并已停止进度的任务，因为它们可能会阻止处理其他待处理任务。

　日志提供有关FortiManager上发生的事件的重要故障排除信息。

　　你可以查看日志，下载，以原始格式查看日志，或从系统设置>事件日志查看历史日志。

　　默认情况下，事件日志严重性设置为信息级别。你可以使用CLI更改级别（增加或减少）。信息级别的日志严重性提供了有关日志消息调查问题的足够详细信息。如果你需要使用Fortinet技术支持，则可以将其增加到调试级别以获取有关事件日志的更多详细信息。

　　根据所管理的FortiGate的数量，类型和日常活动量，建议在将磁盘（I / O等待状态）和CPU活动增加到调试级别之后对其进行监控，以确保不会显著增加CPU或磁盘使用情况。

　如果你需要关注特定类型的日志消息，请使用过滤器。例如，你可以在级别、管理员、子类型和消息上进行筛选。要应用过滤器，请点击添加过滤器，然后选择你想要优化的参数。

　　接下来，选择一个级别，如果需要，选择一个事件子类型。 NOT和OR操作符也在动态列表中可用。你可以使用添加过滤器添加和组合其他过滤器。

　　FortiManager的事件记录有几个子类型。有关更多详细信息，请参阅FortiManager日志消息参考指南。

　如果你想使用API来监控系统，或者使用第三方设备来获取数据，则可以使用JSON，XML和SDK API。FortiManager API是一个非常强大的工具，可为客户提供管理门户网站，自动部署和配置系统。

　　如果你想使用Web服务来执行此操作，你可以在高级设置中从FortiManager下载WSDL接口定义。

　　Web服务是一种基于标准的，独立于平台的访问方法。文件本身定义了FortiManager将接受的命令格式，以及预期的响应。

　回顾本章节的目标。