教程篇(5.4) 05. FortiManager 策略与对象 ❀ Fortinet 网络安全专家 NSE5

最新推荐文章于 2023-12-18 18:18:27 发布

飞塔老梅子

最新推荐文章于 2023-12-18 18:18:27 发布

阅读量1k

点赞数 1

分类专栏： # NSE5 FortiManager 5.4 教程文章标签： FortiManager NSE5 策略对象教程

NSE5 FortiManager 5.4 教程专栏收录该内容

8 篇文章 2 订阅

订阅专栏

　在这节课中，我们将研究如何管理策略和对象。你将对FortiManager配置政策和对象，然后在FortiGate安装他们。

　在这节课中，我们将探讨下列主题：

策略和对象管理
导入与安装向导
ADOM修订和数据库的版本
修订和数据库的版本
全局ADOM

　完成本节后，你应该能够：

描述策略工作流
创建策略包和对象
为策略和策略包创建安装目标配置动态对象
使用策略检查功能
克隆策略包

　　在FortiManager可以管理安全设备的策略和对象之前，你必须了解 "策略＆对象" 窗格的功能，你可以使用它来自定义组织中的策略。通常，管理员可能希望基于诸如地理、安全或法律要求等因素来自定义访问和策略。

　　让我们浏览FortiManager上的 "策略＆对象" 窗格。

　可以在单个ADOM中创建多个策略包。FortiManager允许你为特定ADOM中的每个设备或VDOM自定义策略包。在单个 ADOM中, 可以在单个设备、多个设备、所有设备、单个VDOM、多个VDOM或所有设备上指向这些策略包。FortiManager通过允许你复制或克隆现有的策略包，帮助简化新设备、进销存或VDOM的资源调配。你还可以创建ADOM修订版，它允许你在 ADOM中维护策略包和对象设置的修订版本。

　策略包通过为防火墙规则集提供有用的容器来简化集中式防火墙策略管理。策略包中包含防火墙策略，而这反过来又链接到你在 "对象配置" 窗格中定义的对象。对象共享每个ADOM的公共对象数据库。你可以在ADOM中的多个策略包之间共享对象。

　　你可以为ADOM中的许多设备管理通用策略包，或者为每个设备都设置单独的策略包。策略包允许你维护规则集的多个版本。例如，你可以在进行更改之前克隆策略包，这允许你保留上一个规则集。

　　警告：虽然策略包允许多个版本的防火墙策略规则集，但这些包中引用的对象没有多个版本，它们只使用当前值。

　　例如，假设你克隆一个策略包，添加一个新规则，然后更改共享对象的值。如果返回到策略包的早期版本，你将退出所添加的规则，而不是对共享对象的修改。返回到策略包的以前版本的唯一方法，包括从你添加的规则和对共享对象的修改中进行备份，是使用ADOM修订，它采用了该ADOM的Policy & Objects数据库的快照。

　在单个ADOM中，管理员可以创建多个策略包。FortiManager允许你为特定ADOM中的每个设备或VDOM自定义策略包，或者为ADOM中的多个设备应用单个策略包。通过定义策略包的范围，管理员可以在不更改其他策略包的情况下修改或编辑该包中的策略。

　ADOM中的所有对象都由该ADOM唯一的单个数据库管理。数据库中的对象包括防火墙对象、安全配置文件、用户和设备。

　　对象在ADOM中共享，可以在多个策略包中使用。这简化了管理员的工作。例如，你可以创建一次安全配置文件，并将其附加到多个策略包中，以便在多个FortiGate设备上进行安装。

　　若要创建或编辑现有对象，请在 "Object Configurations" 中，从屏幕左侧的菜单中选择对象类型。

　"Display Options" 功能允许你在GUI中显示特定的功能。可用的Display Options取决于ADOM版本，并且从一个ADOM变化到另一个。

　　默认情况下，打开Display Options时，将选中最常用选项的复选框。通过选中或清除功能旁边的复选框，可以显示或隐藏显示选项中的功能。你可以通过选中类别名称旁边的复选框来显示类别中的所有选项，或者通过选中 "Display Options" 窗口底部的 "Check All" 来显示所有类别。

　　还可以在Display Options中启用其他防火墙策略类型，如NAT64、IPv6和接口策略。

　策略文件夹可帮助你管理策略包。你可以根据组织、地理、安全要求或法律要求自定义策略，并在特定策略文件夹中组织策略。

　　要创建新的策略文件夹，请单击 "Policy Package > New Folder"。还可以在策略文件夹中创建子文件夹，以帮助你更好地组织策略包。

　若要创建或编辑策略，在策略包中选择IPv4 Policy。你可以创建新策略或编辑现有策略。右键单击现有策略的序列号，以查看更多选项，如克隆、剪切、粘贴、移动等。

　若要向防火墙策略中添加对象或从中删除对象，请单击 "Object Selection" 列。当前使用的对象以黄色突出显示。当你选择列表中的其他对象时，它们将以黄色突出显示。

　在策略包中，可以搜索或筛选策略。有两种类型的搜索可用：

简单搜索：默认情况下选择此选项，并突出显示与在搜索框中输入的字符串匹配的文本。
列筛选器：你可以在下拉列表中切换到列筛选器。它允许你按列搜索防火墙。你可以添加多个筛选器，并对搜索应用 or 条件。

　策略包在一个或多个设备或VDOM上具有安装目标。策略包可以共享相同的安装目标，但是，在设备或VDOM上只能有一个策略包处于活动状态。活动策略包在 "Device Manager" 窗格中列出。

　　要添加、编辑或删除安装目标，请单击 "Policy Package > Installation Targets"。

　　添加安装目标后，它将显示在安装目标列表中。在目标上安装新分配的策略包时，安装向导将显示一条警告消息，其中包含先前分配的策略包的名称。

　　安装新的策略包后，它将显示为这些设备的活动策略包，或在 "Policy Package Status" 列中的 "Device Manager" 窗格上的 VDOM。

　如果你需要在许多设备之间共享一个策略包，但只有少数特定FortiGate设备的策略例外，该怎么办？

　　通过单击 "在列上安装"，可以在实际策略中执行每个规则的粒度安装目标。这使你可以将设备目标添加、删除或设置为默认值。

　　因此，通过使用安装目标，你可以在多个设备之间共享策略包，并在策略中定义每个设备的规则。共享策略包在许多设备需要共享公共策略的环境中很有用 (除了几个可以针对每个设备设定的策略之外)，并消除了对多个策略包的需要。

　ADOM中的所有对象都由ADOM唯一的单个数据库管理。许多对象现在包括启用动态映射的选项。可以使用动态对象将单个逻辑对象映射到每个设备的唯一定义。可以动态映射公用功能，如地址、接口、虚拟IP和IP池。

　　一个常见的例子是防火墙地址。你可能有一个地址对象的公用名称，但它的值不同，这取决于它安装的设备。

　　在本幻灯片所示的示例中，动态地址对象LocalLan引用托管防火墙的内部网络地址。该对象的默认值为192.168.1.0/24。映射规则是根据设备定义的。对于远程FortiGate，地址对象LocalLan引用10.10.11.0/24，而对于本地FortiGate设备，同一对象引用 10.10.10.0/24。ADOM中没有LocalLan动态映射的设备的默认值为192.168.1.0/24。

　　若要添加用于动态映射的设备，请打开 "Per-Device Mapping" 开关，然后在 "Per-Device Mapping" 部分中单击 "Add"。在出现的弹出窗口中，选择该设备并设置IP范围/子网。

　"Policy & Objects "窗格上的接口映射Dynamic Interface到受控设备上的接口。在策略包中创建的防火墙策略引用这些映射。安装策略包后，接口映射将转换为受控设备上的本地接口。

　　在区域/接口中定义的接口映射有两种类型：Zone/Interface。该类型定义如何将规则转换为设备。选择动态接口时，它将成为接口类型，接口名称将一对一映射到受控设备上配置的接口。如果选择 "Zone"，则该区域在FortiGate上本地创建。

　　在此幻灯片上显示的示例中，外部映射到 wan2。在 FortiGate上安装策略包时，外部转换为FortiGate上本地的wan2。

　　TrustedZone 映射到 dmz1 和 dmz2。在 FortiGate 上安装策略包时，它会在包含 dmz1 和 dmz2 接口的 FortiGate 设备上本地创建 TrustedZone。

　　可以使用这些动态接口或区域来映射在同一 ADOM 中具有不同接口的多个 FortiGates。

　接上一张幻灯片，External映射到托管 FortiGate 上的 wan2。因此，在托管 FortiGate 上安装了防火墙策略后，External接口将显示为 wan2。

　　但是，TrustedZone 仍未触及，因为你将其作为区域安装在设备上，并且 dmz1 和 dmz2 接口是其中的一部分。

　在 FortiManager 上，可以删除已使用的对象。FortiManager 将显示一条警告消息，指出该对象当前被其他防火墙策略或对象使用。若要查看此对象的引用，请单击所用的位置。但是，如果删除已使用的对象，FortiManager 将用 none 对象替换它。none 对象等于 null，这意味着任何符合该防火墙策略的通信都会被阻止。除非，还有一个更广泛的政策，仍然符合要求流量或定义的政策，以允许所有的流量 (捕获所有)。

　　强烈建议在删除对象之前对其进行双倍检查，以避免意外的防火墙策略行为。

　Find Unused Objects是管理员可用的内置 GUI 工具，可帮助你查找 FortiManager ADOM 对象数据库中所有 Find Unused Objects 。Unused Objects搜索所有类型的防火墙对象，并在弹出窗口中显示结果。未使用的对象可以直接从未使用的对象弹出窗口中删除。这将从 FortiManager 的 ADOM 对象数据库中删除选定的地址对象。

　类似于Find Unused Objects，"Find Duplicate Objects " 工具会搜索 FortiManager 的防火墙对象数据库，并显示分配给它们的重复值的所有对象。在本幻灯片中显示的示例中，该工具发现地址对象 LAN 和 localLAN 具有相同的子网。找到重复的对象后，如果需要，管理员可以使用相同的向导合并对象。

　检查仅提供了可以进行哪些改进的建议，它不执行任何更改。它使用一个算法来评估策略对象，其基础是：

源和目标接口策略对象
源和目标地址策略对象
服务和计划策略对象

　　策略检查检查：

重复，其中两个对象具有相同的定义
阴影，其中一个对象完全隐藏同一类型的另一个对象
重叠，其中一个对象与同一类型的另一个对象部分重叠
孤立，其中已定义对象, 但未在任何位置使用

　　若要执行策略检查，请选择一个Policy Package , 然后在 "Policy Package " 下拉列表中，单击 "Policy Check"。在 "Policy Consistency Chec" 对话框中，可以选择以下两个选项之一：

Perform Policy Consistency Check：这将执行策略检查以确保一致性, 并提供任何可能阻止设备通过通信的冲突
View Last Policy Consistency Check Result：这允许你查看最近的一致性检查的结果。

　　在本幻灯片所示的示例中，策略 ID 2 和1在接口和对象方面具有相同的源和目标，但具有不同的服务。你可以通过将服务添加到一个策略来组合这两个策略。

　　重要的是要注意，政策检查只提供了可以改进的建议，它实际上并没有做出任何改变。

　要克隆策略包，请选择策略包，然后在 "Policy Package " 下拉列表中，单击 "Clone Package"。因为策略包是克隆, 所以它与原始策略包具有相同的安装目标，但你可以对此进行编辑。

　　在本幻灯片中显示的示例中，现有的策略包Local-FortiGate被克隆并命名为 Clone_of_Local FortiGate。新创建的策略包与Local-FortiGate具有相同的安装目标设备。

　　Warning：你不应在目标上指向多个策略包，因为这会增加用户错误的几率。

　干得好！你现在了解策略和对象管理。

　　现在，让我们检查导入和安装向导。

　完成本节后，你应该能够：

解释设备在 FortiManager 上的状态
使用导入策略向导
使用安装向导
使用重新安装向导

　　既然你已经了解了在 "策略和对象" 窗格上配置和管理防火墙策略的选项，让我们来检查 "Import Policy" 和 "Install wizard"，你可以使用它来管理 FortiManager 上的设备。

　每次检索、自动更新和安装操作后，FortiManager 都会在修订历史记录中存储 FortiGate 配置。此幻灯片上的插图显示了策略包的状态：

导入：指示已成功为托管设备导入策略包
已安装：指示未安装的托管设备上安装了策略包: 从不创建策略包, 因此从未为托管设备导入过
已修改：策略包配置在 FortiManager 上更改，并且尚未将更改推送到受控设备
不同步：最新的策略包与最新修订历史记录中的策略和对象配置不匹配，因为在 FortiGate 上本地进行的配置更改或以前的部分安装失败。你应该执行检索，然后从 FortiManager 导入策略。
冲突：如果在 FortiGate 上对策略配置进行本地更改，而不将更改导入策略包中, 并且你也对 FortiManager 进行了更改，则状态将进入冲突状态。根据配置更改，你可以导入策略包或从 FortiManager 安装更改。
未知：FortiManager 无法确定策略包状态。

　　通过导入策略包或安装策略包，可以解决大多数策略状态问题。

　幻灯片顶部的屏幕截图显示了诊断 dvm 设备列表的输出，其中在配置状态同步时修改了策略包。这表明只修改了策略包，而不是设备级别设置。GUI 中也有相同的信息，如幻灯片底部的屏幕截图所示。

　FortiGate 有一个运行的配置已经很常见了。导入策略向导将指导你将策略和对象导入 FortiManager。导入设备时，将创建一个不干扰其他包的新策略包。但是，导入的对象将添加到或更新现有对象。在执行导入之前，你可能需要创建新的 ADOM 修订版本。

　　如果将未注册的设备添加到 FortiManager，则必须在升级设备后运行 "导入策略向导"。

　　接下来的几张幻灯片将探讨向导引导你完成的阶段。

　向导中的第一步是接口映射。接口映射是为在防火墙上配置的接口创建的。这允许在策略包中引用设备接口。可以在向导中重命名 ADOM 接口映射。在本幻灯片所示的示例中，我们将 port1 重命名为外部和 port3 到内部。本地 FortiGate 的策略在 port1 和 port3 上, 但在 FortiManager 上，它们将在本地作为外部和内部引用。注意：默认情况下，选中了 "为所有未使用的设备接口添加映射" 复选框，并为新接口创建自动映射。

　　向导中的下一个步骤是策略包。在此步骤中，向导执行策略搜索以查找准备导入 FortiManager 数据库的所有策略。你可以选择导入所有防火墙策略，或者选择要导入的特定策略。如果选择只将特定策略导入到策略包中并在以后安装策略更改，则未导入的策略将在 FortiGate 的本地删除。这是因为 FortiManager 在策略包中没有这些策略。

　　此外，你还可以选择是导入所有已配置的对象，还是只有当前防火墙策略引用的对象。无论你选择只导入与策略相关的对象还是所有对象，在下一个安装过程中，与本地 FortiGate 上的策略关联的孤立 (未使用) 对象将被删除。但是，如果你选择导入所有对象，则将导入 FortiManager ADOM 对象数据库中的所有已使用和未使用的对象，以后可以通过引用 FortiManager 上的策略并在托管设备上安装它们来使用。

　　默认情况下，在运行 "导入策略向导" 时，将选择 "全部导入" 和 "仅导入策略相关对象"。请注意，如果你在 ADOM 中管理许多设备，并选择 "导入所有设备的所有对象"，则对象数据库将变得太满未使用的对象，这对于管理员来说可能是压倒性的。

　导入完成后，向导将提供导入摘要和下载导入报告。你可以下载导入报告，该报表仅在 "导入设备" 页上可用。可以使用任何文本编辑器查看报表。

　　作为最佳实践，你应该下载报告。

　　导入报告提供有关 FortiGate、FortiManager 上的 ADOM 名称和策略包名称的信息。报告还提供了其他信息，如作为新对象添加的对象。在 FortiGate 和 FortiManager 本地具有相同值的现有对象称为 "重复"。如果已更改现有对象的值，FortiManager 将更新其数据库中的内容，并在导入报告中显示更新以前的对象。

　对策略包进行配置更改后，策略包状态将在 "设备管理器" 窗格上标记为 "已修改"。启动安装向导的方法有多种：在 "设备管理器" 窗格以及 "策略和对象" 窗格中。如果你使用的是进销存，请确保首先从 ADOM 下拉列表中选择 ADOM。

　　现在，让我们来完成使用安装向导安装策略配置更改的过程。在此过程中，将在受控设备上安装策略和设备配置项。安装完成后，FortiManager 和 FortiGate 同步，策略包状态将从修改更改为已安装 (已同步)。

　选择 "安装策略包和设备设置" 时，它将安装策略包和任何挂起的设备级别更改。

　　将显示你选择的策略包，你可以选择为此安装创建新的 ADOM 修订版本。请注意，ADOM 修订版是整个 ADOM 的快照，而不是特定于此策略包的更改。

　　你还可以启用计划安装，这允许你指定安装最新策略包更改的日期和时间。

　　将显示要安装挂起的更改的设备。

　　下一步是设备选择。在此步骤中，向导将显示在特定策略包的安装目标中选择的设备。

　向导中的下一个步骤是验证。在此步骤中，向导将检查所选的策略包是否适合选定的安装目标，例如是否在安装目标上配置了策略包中的接口映射引用。如果验证失败，安装将停止。

　　在执行安装之前，作为最佳做法，始终预览并验证将提交给 FortiGate 的更改。如果这是第一次安装，你可能会看到许多更改，因为对象可能在导入过程中被重命名，并且从设备配置中删除了未使用的对象。如果不想继续安装，可以在向导的此步骤中取消安装。

　　最后一步是安装，即实际安装。该向导列出了安装了配置更改的设备。在安装过程中出现的任何错误或警告也会出现在此处。如果安装失败，安装历史记录将指示安装失败的阶段。你还可以检查安装历史记录是否成功安装。

　　在此幻灯片上显示的示例中，向导指示在 FortiGate 上成功安装了配置更改，并且 FortiManager 为此安装创建了新的修订历史记录。

　FortiManager 还提供了重新安装策略选项。重新安装与安装相同，除非没有提示，而且它提供了预览将安装在受控设备上的更改的功能。重新安装策略将创建新的修订历史记录并将其应用于所有选定的安装目标。

　干得好！现在你可以了解 FortiManager 策略和对象管理，以及导入和安装向导。

　　现在, 让我们来检查 ADOM 修订版和数据库版本。

　完成本节后，你应该能够：

描述 ADOM 修订的目的
标识 ADOM 的数据库版本并了解它如何影响策略和对象配置

　　既然我们已经结束了导入和安装向导，让我们来看看 ADOM 的修订及其对策略和对象配置的影响。

　ADOM 修订在 FortiManager 上本地保存策略包和对象。

　　你可以创建新的 ADOM 修订版、查看修订之间的差异或恢复到特定的 ADOM 修订版本。作为一个谨慎的字眼，如果你选择恢复到特定的 ADOM 修订版，你将根据该修订还原所有的策略包和对象。

　　警告：请记住，ADOM 修订可以显著增加配置备份的大小。

　　你可以根据给定的变量自动删除修订，并且可以锁定单个修订以防止自动删除。单击 "设置" 以访问自动删除设置。

　每个 ADOM 都与特定的 FortiOS 版本关联，基于该 ADOM 中管理的设备的固件版本。所选版本确定用于配置设备的 CLI 语法。在创建新的 ADOM 时选择此版本。

　　你必须将 ADOM 中的所有 FortiGate 设备更新为最新的 FortiOS 固件版本，然后才能升级 ADOM 版本。

　此幻灯片上的示例显示 FortiOS 5.2 中可用的安全配置文件较少。

　　在版本5.4 中，CLI 命令语法已更改，因为添加了更多的安全配置文件，从而更改了配置。因此，确保将 FortiGate 添加到基于其特定 FortiOS 固件版本的 ADOM 中是非常重要的。

　将设备从一个 ADOM 移动到另一个时，策略和对象 (使用和未使用) 不会移动到新的 ADOM。

　　如果需要将设备从一个 ADOM 移动到另一个，请确保在将设备移动到新 ADOM 后检索配置，然后运行 "导入策略向导" 将策略包导入到新的 ADOM 中。

　　如果你需要使用新 ADOM 中以前 ADOM 中未使用过的对象，该怎么办？你可以使用 FortiManager CLI 将对象从一个 ADOM 复制到另一个。

　干得好！现在你可以理解 ADOM 修订版和数据库版本。

　　接下来，让我们检查策略锁定和工作流模式。

　完成本节后，你应该能够：

　　描述的目的，并了解何时使用策略锁定和工作流模式。

　　让我们来看看策略锁定和工作流模式在 FortiManager 中的用途和使用。

　策略锁定仅在工作区正常模式下可用。策略锁定允许管理员处理和锁定单个策略包，而不是锁定整个 ADOM。为了使用策略锁定，必须将工作区模式设置为 "正常"。你可以锁定整个 ADOM 或特定的策略包。策略锁定是 ADOM 锁定的扩展，它允许多个管理员同时在同一 ADOM 上处理不同的策略包。策略锁将在管理员超时时自动释放，或者如果管理员在不打开策略包的情况下优雅地关闭会话。

　你可以使用工作流模式而不是工作区。启用工作流模式之前，请通知登录到 FortiManager 的其他管理员保存其工作：它将终止所有管理会话。你可以使用工作流模式来控制防火墙策略和对象的创建、配置和安装。在设备上安装更改之前，必须进行审批。在工作流模式会话中进行的所有修改都必须丢弃或提交，以便在会话结束时进行审批。可以修复被拒绝的会话，并重新提交以作为新会话进行审批。所有会话都必须按照创建它们的顺序进行审批，以防止发生任何冲突。

　　在工作流模式中，与 FortiGate 配置相关的窗格首先是只读的。若要创建新的工作流模式会话，必须首先锁定 ADOM，类似于工作区。必须在 CLI 中启用工作流模式。启用工作流模式将注销所有管理员。

　此幻灯片上的此插图演示如何使用工作流模式。

　　当管理员锁定 ADOM 时, 将出现一个绿色锁图标。Admin A 具有读写访问权限, 并在 ADOM 的 "策略和对象" 窗格中创建一个新会话。管理员 A 对受控设备进行配置更改, 并将审批请求提交给 Admin B。此审批提交将自动解锁 ADOM。

　　管理员 B 必须具有工作流审批的读/写权限。然后, 管理员 B 锁定 ADOM 并具有读写访问权限。admin B 打开会话列表, 并可选择批准、拒绝、丢弃或查看 Admin A 提交的更改中的差异。

　管理员必须是审批组的一部分, 并且对创建会话的 ADOM 具有权限, 以便批准会话。作为 Super_Admin 配置文件的一部分并不足以批准会话。

转到系统设置 > 管理 > 工作流审批并使用以下值配置工作流审批矩阵:
ADOM: 选择要应用工作流模式的 ADOM
审批组 #1: 添加将批准 ADOM 中更改的管理员
发送电子邮件通知: 当另一个管理员进行更改并提交更改以供审批时, 向管理员发送电子邮件通知
邮件服务器: 选择 FortiManager 将用于发送其通知的电子邮件服务器。要配置邮件设置, 请单击系统设置 > 高级 > 邮件服务器

　管理员必须先锁定 ADOM，然后才允许他们创建新会话。一旦 ADOM 被锁定，管理员就可以选择创建一个新的会话并开始对策略包进行更改。必须注意，在创建会话之前，不能对策略包进行任何更改。

　编辑防火墙策略或对象后，单击 "保存" 以保存会话，然后提交更改。或者，你可以单击 "提交"，以自动保存和提交更改。

　　提交更改以供审批或已丢弃它们后，ADOM 将自动返回到未锁定状态。

　提交工作流请求后，具有相应权限的管理员可以批准或拒绝挂起的请求。

　　审批管理员必须在决策过程中锁定 ADOM。ADOM 锁定后，可以打开会话列表。"会话" 列表显示提交请求的管理员和其他信息, 如提交日期、请求总数和提交管理员的评论。

　　审批者管理员有四选项：

批准: 该会话等待审阅和批准。如果会话被批准, 则不需要进一步的操作。
拒绝: 如果会话被拒绝, 系统将向提交会话的管理员发送通知。审批者管理员可以选择修复更改。在可以批准下一会话之前, 必须修复被拒绝的会话。
放弃: 审批管理员不同意更改并丢弃它们。不需要采取进一步的行动。
视图差异: 审批管理员可以查看原始策略包与提交管理员所做更改之间的差异。

　　对策略包进行更改。必须注意, 在创建会话之前, 不能对策略包进行任何更改。

　如果连接到 FortiManager 意外关闭 (PC 崩溃或浏览器关闭)，而 ADOM 被锁定，它将保持锁定，直到管理员会话超时或会话被删除。管理员会话可以在 GUI 或 CLI 中删除。删除上一会话后，ADOM 将立即解锁。

　干得好！现在你可以了解策略锁定和工作流模式。

　　现在，让我们来看看全球 ADOM。

　完成本节后, 你应该能够：

了解共享的全局策略和对象
描述如何使用全局 ADOM
配置全局策略

　　让我们来看看全局 ADOM 及其功能集。

　全局策略和对象允许管理员将防火墙策略通用地推送到所有进销存。必须将全局策略包显式分配到特定的进销存，管理员才需要安装类似的策略。

　　此幻灯片上的插图显示不同的进销存可以使用单独的全局策略。创建全局策略包时，可以选择要将特定策略应用到的进销存。此外，你甚至可以选择要应用全局策略的单个进销存中的特定策略包。

　　你可以基于所管理的网络环境类型创建全局策略包，并应用页眉或页脚策略来满足安全要求。

　可以使用页眉和页脚策略在每个单独的 ADOM 中包装策略。在承运人环境中将使用这一示例，承运人将允许客户通信通过其网络，但不允许客户访问承运人的网络资产。

　　此幻灯片上的插图显示如何将全局策略和对象分配给 ADOM 策略包。

　　在本节中，你将学习如何应用全局标头策略，以拒绝所有到公共 IP 地址的 TELNET 通信，然后将其分配给 ADOM。

　输入全局数据库 ADOM 以访问全局策略数据库。标题策略是位于单个 ADOM 中策略包顶部的策略。页脚策略是位于单个 ADOM 中的策略包底部的策略。

　在本幻灯片所示的示例中，我们创建了一个标题策略，以阻止 TELNET 通信通过托管防火墙。下一步是将此策略分配给单个 ADOM 中的一个策略包。

　选择要分配给单个 ADOM 策略包的全局策略包, 然后单击 "工作分配 > 添加 ADOM"。你可以在单个 ADOM 上指定目标策略包。

　　在本幻灯片中显示的示例中, 默认全局策略包将添加到 MyADOM1 ADOM 中的本地 FortiGate 和远程 FortiGate 策略包中。添加全局策略包后, 状态将显示为挂起的更改, 因为它未分配给单个 ADOM 策略包。"ADOM 策略包" 列仅显示从 MyADOM1 ADOM 中选择的四个包中选定的两个策略包。要将全局策略包分配给单个 ADOM 策略包, 请单击 "分配" 或 "分配选定"。

　　"分配" 选项提交全局策略包, 并将对象用于单个 ADOM 策略包。

　　另一方面, 选定的分配提供了更高级的选项, 包括: