教程篇(5.4) 01. FortiManager 产品介绍和初始化配置 ❀ Fortinet 网络安全专家 NSE5

　在本章节中，你将学习FortiManager的基础知识。这包括FortiManager如何适应你现有的网络架构。

　　FortiManager为各种Fortinet安全设备（如FortiGate、FortiWiFi、FortiCarrier和FortiSwitch设备）提供集中策略设置、配置和更新管理。

　在本章节中，我们将探讨以下主题：

• 核心功能
• 关键概念
• 初始配置

　　我们先看看核心功能。

　完成本节后，你应该能够：

• 描述FortiManager的用途
• 描述FortiManager的关键特性
• 描述FortiMeter
• 描述管理域（ADOM）的用途以及何时可以使用它们
• 确定FortiManager支持哪些设备

　　通过演示使用FortiManager的关键功能，你将能够在自己的网络中有效地使用设备。

　什么时候应该在你的网络中使用FortiManager？

　　在大型企业和托管安全服务提供商（MSSP）中，网络规模带来了小型网络所没有的挑战：批量部署、计划配置更改及下发、并对许多变化进行维护、跟踪和审计。

　　通过FortiManager集中管理可以帮助你更轻松地管理多种设备的不同部署类型，并降低操作成本。

　　FortiManager能做什么？

• 在你的网络中配置防火墙策略
• 充当配置版本控制和安全审计的中央资料库
• 部署和管理复杂的网状和星型IPsec VPN
• 充当受管设备和FortiClient安装的专用FortiGuard分发服务器（FDS）
• 使用JSON API脚本和自动化设备配置、策略更改等等

　FortiManager可以帮助你更好地组织和管理你的网络。FortiManager的主要功能包括：

　　集中管理：你可以使用FortiManager从单个控制台管理所有FortiGate，而不是单独登录数百个FortiGate。

　　管理域（ADOM）：FortiManager可以将设备分为地理或功能ADOM，如果你拥有大型网络安全管理员团队，则更加适应ADOM。

　　配置修订控制：你的FortiManager保存所有配置更改的历史记录。你可以安排FortiManager部署新的配置或将受管设备恢复到之前的配置。

　　本地FortiGuard服务供应：为了减少网络延迟并尽量减少互联网带宽使用，你的受管设备可以使用 FortiManager作为专用的FortiGuard分布式网络（FDN）服务器。

　　固件管理：FortiManager可以为受管设备安排固件升级。

　　脚本：FortiManager支持基于CLI和基于TCL语言的脚本。

　　扁平化管理窗口（包含：VPN、FortiAP和FortiClient）：FortiManager管理界面简化了VPN、FortiAP和FortiClient的部署和管理。

　　记录和报告：托管设备可以在FortiManager上存储日志。从该日志数据中，你可以生成基于SQL的报告，因为FortiManager具有与FortiAnalyzer相同的日志记录和报告功能。

　　支持Pay-as-you-go授权模式：Fortinet VM现在可以按需获得。

　Fortinet VM按需授权是一个新的授权方式，旨在为大型MSSP提供管理客户安全需求的经济高效的方法。该计划还有助于MSSP避免永久许可证所需的额外开销。

　　FortiManager中的计量模块用于注册Fortinet VM按需程序。FortiOS-VM是一个单独的独立FortiGate VM，设计用于FortiManager计量模块。FortiManager计量模块将特殊FortiOS-VM处理的流量报告给FortiGuard或 FortiCare，它们用来管理计费（计费点数，是Fortinet VM流量计费的计算单位）。

　管理域（ADOM）使管理员可以创建设备分组，供管理员监视和管理。例如，管理员可以管理特定于其地理位置或业务部门的设备。

　　ADOM的目的是通过ADOM划分设备管理并控制（限制）管理员访问。如果使用虚拟域（VDOM），则ADOM可以进一步限制仅访问来自特定设备的VDOM的数据。

　FortiManager支持哪些设备？你可以将FortiManager配置为与FortiGate、FortiAnalyzer和FortiMail等Fortinet设备配合使用。

　　虽然FortiManager可以支持多种Fortinet安全产品以及这些产品的不同固件版本，但最好检查版本发行说明以获取产品集成和支持的具体细节。

　　在下面链接查看版本发行说明：http://docs.fortinet.com/

　你现在已经了解FortiManager的主要功能。

　　现在，我们来探讨一下FortiManager的关键概念。

　完成本节后，你应该能够：

• 确定FortiManager和FortiAnalyzer之间的共同点
• 了解管理模块框架
• 描述管理任务周期

　　通过展示FortiManager关键概念的能力，你将能够更有效地在你的网络中使用FortiManager。

　FortiManager和FortiAnalyzer具有相同的硬件和软件平台。和FortiAnalyzer一样，FortiManager也可以作为日志和报告设备，但是有日志记录速率的限制。

　　FortiManager可以作为一个在少量的日志场景中使用的日志和报告设备，需要了解的是，它需要将其系统资源的一部分用于其他功能，例如配置管理等。

　　如果你的日志量很大，你应该使用专用的FortiAnalyzer。

　查看FortiManager内部架构，在GUI中，一些管理层用窗格面板来表示。例如，设备管理模块由设备管理器窗格表示，你可以使用它来执行修订历史记录和脚本。

　　接下来让我们更详细地看看这些管理层。

　为了组织和有效管理大型网络，FortiManager有多个管理层：

　　全局ADOM层有两个关键部分：全局对象数据库和所有页眉和页脚策略包。页眉和页脚策略包包含每个ADOM的策略。例如，在运营商环境中，运营商允许客户流量通过其网络，但不允许客户访问运营商的网络基础设施。

　　ADOM层是在受管设备或设备组上创建、管理和安装策略包的位置。多个策略包可以在这里创建。ADOM层为每个ADOM都有一个公共对象数据库。这些数据库包含诸如地址、服务和安全配置文件之类的信息。

　　设备管理器层记录由FortiManager设备集中管理的设备的信息，例如设备的名称和类型、型号、IP地址、当前安装的固件，修订历史记录和实时状态。

　　我们来看看这些管理层是如何关联的。

　理解FortiManager设备管理的架构很重要。

　　在全局ADOM层中，你可以创建页眉和页脚策略规则。这些策略规则可以分配给多个ADOM。如果多个ADOM策略包需要相同的策略和对象，则可以在此层创建它们，这样就不必在每个ADOM中维护副本。

　　在ADOM层中，每个ADOM中的对象和策略包共享一个公共对象数据库。可以创建策略包，也可以一次导入并安装在许多受管设备上。

　　在设备管理器图层中，可以为每个设备配置和安装设备设置。如果检测到配置更改（无论是在本地还是在FortiManager上进行更改）那么FortiManager会将当前配置修订版本与更改后的配置进行比较，并在FortiManager上创建新的配置修订版本。无论配置更改是大还是小，FortiManager都会记录它并保存新的配置 。这可以帮助管理员审核配置更改，并在需要时恢复到之前的修订版本。

　当你使用FortiManager集中管理你的Fortinet设备时，工作流程通常遵循以下模式：

　　部署：管理员在初始化网络安装后配置Fortinet设备。

　　监视：管理员监视安全基础结构中设备的状态和运行状况，包括资源监视和网络使用情况。针对你的网络基础架构的外部威胁可以受到监控，并生成警报以提供建议。

　　维护：管理员根据需要执行配置更新，以使设备保持最新状态。

　　升级：病毒定义、攻击和数据泄漏防护签名，网页和电子邮件过滤服务以及设备固件均保持最新状态，以提供持续保护。

　　FortiManager可以帮助减少每个阶段的工作量。

　你现在已经了解FortiManager的关键概念。

　　现在，我们来看看如何初始配置FortiManager。

　完成本节后，你应该能够：

• 了解FortiManager使用的TCP和UDP端口
• 访问你的FortiManager
• 确定可用于配置FortiManager的工具
• 为你的网络配置FortiManager
• 启用FortiManager上的FortiAnalyzer功能
• 识别FortiManager功能窗格以实现关键功能

　　通过FortiManager初始配置的能力，你将能够将FortiManager添加到你的网络并执行基本的管理任务。

　通常，你的首要考虑是“我应该在哪里部署FortiManager？”

　　通常，你应该将FortiManager部署在防火墙后面，如FortiGate。在外围防火墙上，仅允许FortiManager的防火墙策略中的相关端口作为安全考虑因素。如果管理员或远程FortiGate将从管理子网外（例如从Internet）到FortiManager的入站连接，则创建一个虚拟IP。

　　为防止在网络中断时丢失访问权限，请将管理计算机直接连接到FortiManager或通过交换机直连。

　FortiManager使用了许多TCP和UDP端口。此表中列出了FortiManager使用的最常见的默认端口。另外，FortiManager使用标准管理端口，例如：

　　HTTP Port 80 (TCP)

　　HTTPS Port 443 (TCP)

　　SSH Port 22 (TCP)

　　TELNET Port 23 (TCP)

　　特别是如果你的FortiManager部署在防火墙后面，那么你需要FortiManager使用什么端口进行相关的通讯。 这可以帮助你分析、诊断和解决常见的网络问题。

　在配置设备之前，有必要讨论安全性的重要性。你的FortiManager管理你所有的Fortinet网络安全设备，因此数据正确保护至关重要。

　　以下是一些安全建议：

　　将你的FortiManager部署在受保护和可信的专用网络中。它不应该直接在互联网上部署。

　　始终使用安全连接方法来执行管理：HTTPS用于基于Web的管理或SSH基于命令行的管理。不安全的方法（如HTTP或telnet）是明文，因此攻击者可以使用数据包嗅探工具来获取这些明文信息，以用于破坏网络的信息。

　　在你的用户上使用可信主机，并且只允许来自特定位置的登录。如果你确实需要打开对设备的外部访问，以便远程FortiGate或其他设备可以连接，则只需打开必要的端口即可。其他开放端口会增加你的安全风险。如果你需要从外部打开直接登录访问权限，请确保为此设置特殊用户帐户，并且只有安全的开放协议。

　　还应该使用安全密码，因为如果你开始通过任何人可能正在监听的连接（即Internet）传输流量，它们就非常重要。

　了解出厂默认设置很重要，例如默认用户名和密码、PORT1的IP地址、网络掩码和默认支持的管理访问协议，以便你可以初始连接到管理计算机并为你的网络配置FortiManager。

　　你可以在特定于型号的“快速入门指南”中找到默认设置。不同的FortiManager型号有不同数量的端口，但PORT1是管理端口，并且始终具有此默认IP。

　　要首次登录FortiManager GUI，请打开浏览器，输入https://的URL，然后输入<出厂默认IP地址>。 出现登录屏幕后，使用出厂默认管理员凭据登录，即admin（小写）和空密码。

　就像FortiGate一样，图形用户界面（GUI）和命令行界面（CLI）是你可以用来配置和管理FortiManager的两种配置工具。你可以在本地使用这两种工具，直接连接到FortiManager，并根据你的配置设置远程连接。（你可以根据IP地址来配置拒绝或允许访问）。使用CLI时，可以通过仪表板中的CLI Console微件以及终端仿真应用程序（例如PuTTY）来连接并执行命令。

　　GUI和CLI中提供的FortiManager功能取决于登录的管理员配置文件以及是否启用FortiAnalyzer功能。当禁用FortiAnalyzer功能时，GUI不包括FortiView、日志视图、事件监视器或报告。另外，如果你使用Standard_User或Restricted_User管理员配置文件登录，则不会拥有完全访问权限（如授予Super_User的权限）。CLI还包括一些通过GUI不可用的设置。

　　使用GUI和CLI进行的任何配置更改都会立即生效。

　在系统设置 > 仪表板下，你可以看到系统资源和其他小部件，其中包括：

　　“系统信息”显示关于FortiManager系统的基本信息，例如正常运行时间和固件版本。你也可以启用或禁用管理域和FortiAnalyzer功能。

　　“系统资源”显示CPU，内存和硬盘的实时和历史使用状态。

　　“许可证信息”显示FortiManager管理的设备数量和允许的最大设备数量。你还可以手动上传FortiManager VM系统的许可证。

　　“单元操作”显示FortiGate设备端口的状态和连接信息。它还使你可以关闭并重新启动FortiManager，或重新格式化硬盘。

　　“CLI控制台”打开一个终端窗口，使你可以直接从GUI使用CLI命令配置FortiManager。

　　“告警信息控制台”显示FortiManager和连接设备的基于日志的警报消息。

　请记住，默认登录信息是公开且可用的信息。 开始配置后，切勿将默认密码留空！你的网络与FortiManager的管理员帐户一样安全。

　　在将FortiManager连接到网络之前，你应该设置一个复杂的密码。 你还应限制访问权限，以便FortiManager只允许来自本地控制台或管理子网的管理连接。

　FortiManager的初始配置与FortiGate非常相似。为了为你的网络配置FortiManager，你必须设置IP地址和网络掩码，选择支持的管理访问协议并指定用于路由数据包的默认网关。你可以从网络页面执行所有操作。

　　管理接口Port1具有默认IP地址和网络掩码：192.168.1.99/24。如果你的管理子网使用不同的子网或使用IPv6，请更改这些设置。IP地址必须是唯一的静态IP地址。相关的，在默认网关中输入下一跳路由器的IP，并指定你的DNS服务器。默认情况下，FortiGuard DNS服务器在DNS服务器设置中配置，以帮助保证FortiGuard下载和查询的连接。但是，你可以改为指定本地DNS服务器。

　　通过服务访问，你可以在此接口上启用FortiManager对托管设备对FortiGuard服务请求的响应。这包括FortiGate更新和网页过滤。默认情况下，所有到托管设备的服务都在端口1上启用，并在其他端口上禁用。

　根据你的网络，你可以配置并使用其他接口。

　　并且可以配置静态路由（IPv4或IPv6）到不同的网络，以便通过不同的路由传送数据包。

　FortiManager功能窗格包括：

　　设备管理器：你可以在其中添加、配置和管理设备。

　　策略和对象：包含适用于每个ADOM的所有策略包和对象。

　　AP管理器：你可以在其中集中管理FortiAP。

　　FortiClient管理器：你可以集中管理多个FortiGate设备的FortiClient配置文件，并监视连接到这些FortiGate设备的FortiClient端点。

　　VPN 管理器：你可以在其中启用和使用中央VPN管理。

　　FortiGuard：你可以在其中将FortiManager设置为专用的FortiGuard分布式服务器（FDS）。FortiManager与Fortinet的全球FortiGuard分布式网络（FDN）同步其本地软件包副本，然后为你的受管设备提供FortiGuard更新。使用私人FDS可以更快地连接到你的安全基础设施。

　　系统设置：你可以在其中配置FortiManager系统相关配置，如网络设置、ADOM、管理员等。

　　当在FortiManager上启用FortiAnalyzer功能集时，你也将拥有这些窗格：

　　FortiView：提供了日志数据的摘要。例如，你可以查看网络的主要威胁，网络流量的主要来源和目的地等等。

　　日志查看：它提供来自受管设备的日志消息。你可以查看流量日志，事件日志或安全日志信息。

　　事件管理：你可以在其中根据日志类型和日志记录筛选器配置事件处理程序，并指定是否通知电子邮件地址，SNMP服务器或Syslog服务器。

　　报告：提供基于设备日志的报告。

　如果你希望启用FortiManager作为日志记录和报告设备，你可以在FortiManager仪表板上执行该操作，或使用 CLI。 请记住，FortiManager有日志记录的速率限制。 因为FortiManager将需要额外的资源（CPU、内存、磁盘）来处理日志和报告。

　　在启用此功能前确定网络的最大日志记录速率，以验证没有日志将被丢弃。

　　你的FortiManager将重新启动以应用这些更改。 然后，将出现以下选项卡：

• FortiView
• 日志查看
• 事件管理
• 报告

　与FortiOS类似，你可以使用此幻灯片中显示的CLI命令来检查或排除FortiManager上的常见问题。例如，你可以查看FortiManager的一般状态、界面和DNS设置。

　你可以使用此命令获取基本的FortiManager系统信息，这对于故障排除很有帮助，例如：

　　版本：确保FortiManager固件版本与你正在注册的设备兼容（请参阅FortiManager发行说明了解支持的固件版本）

　　管理域配置：如果尝试注册非FortiGate设备，请确保已启用ADOM。 此外，它还显示了FortiManager模型支持多少个ADOM。

　　当前时间：确保你的日期和时间根据你的需要进行设置。 对于许多功能的工作，包括调度、FortiManager-FortiGate隧道协商和日志功能、FortiManager系统时间必须准确。 虽然你可以手动设置日期和时间，但你应该与网络时间协议（NTP）服务器同步。

　　许可证状态：确保你拥有有效的许可证。

　你现在了解如何初始配置FortiManager。现在，我们来看看基于不同组织的FortiManager的一些用例。

　完成本节后，你应该能够：

　　根据不同的需求设计FortiManager用例。

　　通过了解FortiManager的使用案例，你将能够看到FortiManager在其他组织中常用的不同方式，并且如果有必要的话，可以使用其中的一些策略。

　一个常见的FortiManager使用案例涉及大型零售客户或分布式企业，因为他们的分支机构往往有许多较小的客户端（CPE）设备，以及远程站点和几个主要站点。 这些客户受益于集中式防火墙配置和监控。

　　在大规模企业部署中，管理员通常更喜欢安装技术人员通过USB加载的基本初始配置，或者复制并粘贴到控制台中。 这个基本配置允许FortiGate联系FortiManager，管理员可以将FortiGate添加到适当的设备组或 ADOM，然后将完整的配置发送到该FortiGate。

　另一个常见用例涉及托管安全服务提供商（MSSP）。

　　运营商通常可能有许多高性能的防火墙，并且需要严格的配置控制，这可以通过限制FortiManager的配置来实现。MSSP可以将他们的防火墙细分为虚拟防火墙，提供给客户使用，或者他们可以管理客户自有的设备。在这两种情况下，他们都需要维护客户的配置修订，并且可以提供一个管理门户，客户可以在其中查看或编辑某些设置。

　　MSSP的另一个重要用例是能够确定（或报告）哪些防火墙或配置对象正在使用中或未使用。防火墙策略随时间而改变，并且关联的对象被替换为其他新的对象。但是，管理员通常需要暂时保留旧对象，以防需要恢复更改。最终，过多未使用的对象使得FortiGate的配置变得混乱，使其更难理解和排除故障。因此，定期清理这些无用配置对象是很有用的。

　　现在能够满足对Pay-as-you-go授权模式的需求，FortiManager允许MSSP通过使用Fortinet VM按需授权来避免永久许可的开销。

　如你所见，不同的组织可能会使用不同的FortiManager ADOM和策略包。在一个零售组织中，你可能只有一个包含许多FortiGate的ADOM，或者多个带有一个FortiGate的ADOM。在MSSP中，每个客户的FortiGate设备都放置在他们的ADOM中。

　　我们将详细介绍这些主题，以便你掌握管理不同组织设备所需的实用技能。

　MSSP也需要使用API。FortiManager上有三个可用的API。

　　SDK API - 此API最初设计用于创建Web门户，或将Web门户集成到现有系统中。 JSON API - FortiManager 5.0中的新增功能，该API允许你执行许多与FortiManager GUI相同的任务。它允许 MSSP和大型企业为策略和对象管理创建自定义的Web门户。
　　XML API - 通过此API，你可以检索有关受管设备的信息，执行脚本以修改设备配置，并在设备上安装修改后的配置。它旨在允许在FortiManager上快速配置ADOM、设备和脚本。

　　当你配置API时，Fortinet开发者网络（FNDN）提供访问工具、示例代码、文档和Fortinet开发者社区。

　本章节包含以下这些内容:

• FortiManager的关键特性
• 描述ADOM的目的
• 描述FortiMeter
• FortiManager支持的设备类型
• 了解FortiManager和FortiAnalyzer之间的共同点
• 描述管理模块框架　
• 首次访问你的FortiManager
• 确定可用于配置FortiManager的工具
• 将FortiManager添加到你的网络
• 启用FortiAnalyzer功能
• FortiManager应用场景
• FortiManager API接口

　　恭喜！ 你已完成本课程。