教程篇(5.4) 06. FortiManager 管理界面 ❀ Fortinet 网络安全专家 NSE5

　在本课中，我们将研究 FortiManager 如何使你能够使用管理器窗格集中管理 Fortinet 设备。

　在本课中, 我们将探讨以下主题：

• VPN 管理器
• AP 管理器
• FortiClient管理器

　完成本节后, 你应该能够描述配置 IPsec VPN 的两种方法。

　默认情况下, FortiManager 在 "每设备 IPsec 配置" 模式下运行。必须为 "设备管理器" 窗格上的每个受控设备配 置 IPsec 阶段1和2。必须为策略包中的每个受控设备配置防火墙策略。

　　默认情况下, VPN 选项隐藏在 FortiManager 中。为了配置 IPsec 阶段1和 2, 必须在 "设备管理器" 窗格上启用 VPN 选项。启用所需的显示选项后, 可以为所选 FortiGate 配置 IPsec 阶段1和2。

 　在 "设备管理器" 窗格上, 可以将 IPsec 阶段1和2配置为与在 FortiGate 上本地配置的方式相同。配置 ipsec 阶 段1和2以及路由后, 可以在策略包中为 "策略和对象" 窗格上的 ipsec VPN 配置防火墙策略。

　　这种方法对于不管理或包含大量设备的小型组织很有效。这种方法是不可伸缩的, 因为它是根据设备需要的。 对于大型网络, 你应该使用 VPN 管理器, 因为你可以创建 IPsec 阶段1和 2, 并同时在数以百计的托管 FortiGates 设备上安装它们。

　在 "VPN 管理器" 窗格上, 可以配置可以在多个设备上安装的 IPsec VPN 设置。这些设置存储为对象数据库中 的对象。通过安装策略包, 可以将 IPsec VPN 设置推送到一个或多个设备。为 ADOM 启用 vpn 管理器将重写 该 ADOM 中托管设备的现有 VPN 配置。

　　要在 VPN 管理器上配置 IPsec vpn, 请执行以下操作:

1. 创建 VPN 社区。
2. 向社区添加网关 (成员)。
3. 安装 VPN 社区和网关配置。
4. 添加防火墙策略。
5. 安装防火墙策略。

　要创建 vpn 社区, 请单击 vpn 管理器 > IPsec vpn-vpn 社区, 然后单击 "新建"。

　　根据你要安装的 VPN 拓扑, 有三种类型的社区:

• 全网格：每个网关都有一个通向所有其他网关的隧道
• 星：每个网关都有一个通向中心枢纽网关的隧道。每个 FortiGate 都定义为集线器或分支。
• 拨号：某些网关 (通常用于移动用户) 具有动态 IP 地址, 并与主网关联系以建立隧道。与星型拓扑类似, VPN  网关被定义为集线器或分支。对等选项配置类似于在 FortiGate 上直接配置拨号隧道的方式。

　使用 vpn 管理器创建 IPsec VPN 的第一步是定义创建 vpn 连接。vpn 连接包含所有作为同一 VPN 连接一部分的网关将使用的所有设置。vpn 连接包含与 VPN 连接的所有网关共有的 IPsec 阶段1和2设置。在任何时候都 可以很容易地将新网关添加到连接设置中。

　使用 vpn 管理器创建 IPsec VPN 的第一步是定义创建 vpn 连接。vpn 连接包含所有作为同一 VPN 连接一部分 的网关将使用的所有设置。vpn 连接包下一步是向社区中添加网关。有两种类型的网关:

• 托管网关是由 FortiManager 管理的 FortiGate 设备
• 外部网关是不由 FortiManager 管理的 VPN 网关, 如其他供应商所做的设备, 或者可以在另一个进销存中管  理 FortiGates

　　在 vpn 网关中, 根据所选的 vpn 拓扑配置节点类型 (集线器、分支等)。例如, 集线器和分支选项仅在星型和拨号 拓扑中可用。

　　对于每个网关, 还可以配置受保护的子网、接口和某些高级设置。

　　受保护的子网是要允许通过 IPsec VPN 访问的设备后面的子网。

　　含与 VPN 连接的所有网关共有的 IPsec 阶段1和2设置。在任何时候都可以很容易地将新网关添加到连接设置中。

　使用 VPN 管理器配置 vpn 时, 你不能使用 FortiManager 为 ipsec 创建防火墙策略, 直到首先在设备上安装 ipsec 社区和网关配置之后。VPN 管理器默认创建区域, 并自动将 VPN 接口分配给区域。管理员可以禁用在 vpn 社区设置中自动创建 vpn 区域的选项, 并手动创建自己的 vpn 区域来映射逻辑 VPN 接口。否则, IPsec 接 口尚未创建 (VPN 管理器始终创建基于接口的 vpn)。在你推送 IPsec 配置后, FortiGate 和 FortiManager 显示 创建防火墙策略所需的 IPsec 接口。

　干得好！你现在了解 VPN 管理器。

　　现在, 我们来检查 AP 管理器。

　完成本节后, 你应该能够：

• 描述 AP 管理器功能
• 使用 wi-fi 模板配置无线网络
• 监视无线客户端解决与 AP 相关的常见问题。

　AP 管理器面板允许管理员:

• 集中管理 FortiAPs
• 使用 wi-fi 模板轻松管理和分发 AP 配置文件、SSIDs 和 WIDS 配置文件
• 组 ap, 便于部署和监视 • 发现、授权和升级 ap
• 检测流氓 ap
• 监视无线客户端
• 使用 Google 地球在地理地图视图中集中监视 ap 的健康显示 ap

　在具有 FortiAP 设备的无线解决方案中, FortiManager 集中管理 FortiAPs, 提供了一个集中的配置位置, 然后你 可以使用它将 AP 配置文件和设备设置推送到连接的 FortiGate 设备。FortiGate 设备依次将设备设置和策略应 用于网络中的 FortiAP 设备。

　ap 管理器允许管理员使用 FortiManager 的 AP 管理器窗格轻松地部署和管理无线网络。所有与无线网络或 ap 配置相关的更改都被视为设备级别。需要将更改推送到托管设备。FortiGates 从 FortiManager 接收到这些更改 后, 将其安装到 FortiAPs。

　　直接在 FortiGates 上进行的所有更改都将自动更新到设备级数据库。但是, 直接在 AP 上进行的更改不会同步 回 FortiGate, 因此 FortiManager 将仍然不知道这些更改。

　　任何与无线防火墙策略相关的更改都需要导入回 ADOM 级数据库, 如果它们是直接在 FortiGate 上进行的。

　你可以快速查看 "AP 管理器" 窗格上设备的状态, 其中包括托管 ap、联机、脱机、未经授权的 ap、连接的客户 端数和检测到的流氓 ap。

　　"托管 AP" 窗格将在列表中显示 ap, 其中包含 ap 的名称、IP 地址、配置的 SSIDs、使用的无线电通道、每台 广播的客户端数、OS 版本和分配的 AP 配置文件。

　　在窗格左侧的菜单中, FortiManager 列出所有 ap, 并按连接到的 FortiGate 对其进行分组, 以及是否配置了 AP 组。。

　在 "快速状态" 栏上, 可以单击 "流氓 ap" 图标以查看检测到的无管理 ap 的列表。还可以使用此接口筛选表, 然 后选择 APs 对其执行可用操作。

　　单击 "快速状态" 栏中的 "客户端连接" 图标将显示 "客户端监视器" 对话框, 允许你一目了然地查看连接的客户端。 此表显示 SSID 以及无线客户端连接到的 AP。该表还显示客户端的 IP 地址、MAC 地址、使用的通道和当前 带宽消耗。

　　最后, 你可以查看信号强度和强度-噪声比, 客户端和关联时间。也可以使用 "搜索" 框筛选无线客户端列表。

　在使用 FortiManager 管理 ap 之前, 必须先授权 ap。可以在 "AP 管理器" 窗格的 "托管 ap" 窗格中授权或取消 检测到的 ap。为此, 请首先选择要授权或取消的 AP, 然后右键单击以显示该 ap 可能的操作的菜单。 然后, 选 择 "授权" 或 "取消"。

　　注意: 对 ap 状态 (授权或取消) 的更改不需要安装。这些变化将自发进行。

　要使用 FortiManager 配置 ap, 请首先创建所需的 SSIDs 和 WIDS 配置文件, 并在创建 ap 配置文件时使用它们。 然后, 将 AP 配置文件分配给所需的 FortiAP 设备。确保选择了与 FortiAPs 模型匹配的正确平台。最后, 在设备 上安装 FortiAP 配置文件。

　必须在 AP 配置文件中定义和应用 SSIDs, 以便选定的 ap 可以广播无线网络。为了节省时间, 你还可以克隆 SSIDs, 或者从连接的 FortiGate 中导入 SSIDs。。

　无线入侵检测系统 (WIDS) 通过检测和报告可能的入侵尝试, 监视无线通信的各种安全威胁。检测到攻击时, FortiGate 单元记录日志消息。WIDS 配置文件可以在 AP 配置文件中选择。你可以克隆 WIDS 配置文件, 从连 接的 FortiGate 设备导入它们, 或者使用预定义的 WIDS 配置文件之一并修改所需的选项。WIDS 配置文件也用 于流氓 AP 检测。

　AP 配置文件定义了无线电设置, 例如波段 (802.11g) 和频道选择。AP 配置文件为应用无线电设置的 SSIDs 命 名。托管 ap 可以使用自动配置文件设置, 也可以创建 AP 配置文件。有许多默认 AP 配置文件可供管理员在配 置其 FortiAP 设备时使用。也可以通过单击 "导入" 从连接的 FortiGate 设备导入配置文件。你甚至可以克隆现 有的配置文件, 以利用该 AP 平台的默认设置, 并进一步对其进行自定义。最佳做法是保留所有默认配置文件的 完整性, 并对其进行克隆, 以便进一步对其进行自定义。

　默认情况下, 在创建或编辑 AP 配置文件时, 高级选项折叠且不可见。要显示高级选项, 请在 AP 配置文件中单击 "高级选项"。

　创建 ap 配置文件后, 可以将其分配给 "ap 管理器" 窗格中 "托管 ap" 窗格中的 FortiAP 设备。对话框提供与你可 以从中选择的平台兼容的配置文件列表。如果愿意, 可以将每个 AP 配置为不同的配置文件。

　将 AP 配置文件分配给 FortiAP 设备后, 可以使用 "托管 ap" 窗格上的 "安装向导", 通过 ap 连接的 FortiGate 设 备传播设置。安装向导允许你预览设置, 还可以选择要安装这些设置的 FortiGate 设备。

　配置 ap 后, 管理员的焦点经常转移到监视解决方案。你可以监视监视器窗格上已连接的无线客户端。

　你还可以监视连接的 FortiAP 设备的运行状况。健康监视器提供五种不同的小部件:

• AP 状态显示一个条形图, 显示的 FortiAPs 数超过24小时, 在过去24小时内重新启动, 或已关闭
• 随时间推移的客户端计数显示在指定时间段内连接的客户端数的图表, 即1小时、1天或30天
• 每个 ap 的顶级客户端计数 (2.4 ghz 或 5 ghz 波段) 列出了每个 ap 的 2.4 GHz 和5GHz 频带中的客户端数  量。
• 顶部无线干扰 (2.4 ghz 或 5 ghz 波段) 列出了每个 FortiAP 的2.4GHz 和5GHz 波段中干扰 ap 的数量。
• 登录失败信息列出登录失败的时间、所涉及的 SSID、主机名/MAC 地址和用户名

　　你可以通过单击并将其标题栏拖动到屏幕上的其他位置来移动小部件。你可以通过单击小部件标题栏中的刷新 图标来刷新小部件中的信息。通过单击列名, 可以按任意列对小部件中的表进行排序。

　"地图视图" 窗格显示了 Google 地球提供的交互式世界地图上的所有 FortiGate 控制器。每个 FortiGate 都由地 图引脚在地图上的地理位置指定。连接到 FortiGate 的 ap 数列在 pin 上。

　　单击地图针脚将打开连接到该 FortiGate 的 ap 的列表。单击列表中 AP 的名称可放大地图上的该位置, 并提供 有关 AP 的详细信息, 包括序列号、IP 地址、客户端数量、使用情况, 以及上次在脱机时看到 ap 的时间。

　　单击客户端的数量以打开 "查看 WiFi 客户端" 窗口。要编辑 ap 设置, 请单击 ap 序列号以打开配置 FortiAP 窗 口。

　你可以配置每个 ap 以覆盖所选 ap 配置文件提供的设置。为此, 必须首先编辑 AP, 然后启用重写设置。然后, 你可以选择将该 AP 配置为与分配的配置文件不同。必须注意, 重写设置不提供对 AP 配置文件中所有可用设置 的访问权限。

　你还可以使用 FortiManager 升级 FortiAP 设备固件。为此, 请右键单击 AP, 然后选择 "升级"。这将显示该设备 可用固件的列表。单击 "立即升级" 以触发 FortiAP 固件升级。此过程可能需要几分钟时间, 包括设备重新启动。 将出现一个弹出式确认, 通知你固件已成功上载到 FortiAP 设备。

　可以使用 AP 管理器根据其平台和连接到的 FortiGate 对 FortiAPs 进行分组。一个组只能包含一个平台上的 FortiAP 设备, AP 只能属于一个组。创建 ap 组后, ap 将在树菜单中列出它们所连接的 FortiGate。

　　可以在托管 ap 下创建 AP 组. 单击 FortiAP 组 > 创建新的。将打开 "创建新 FortiAP 组向导"。给组一个名称,。

　疑难解答 FortiAPs 常见问题:

　　问题 1: 无法验证 FortiAP

• 确保 FortiGate 和 FortiAP 之间的连接是 FortiManager 和 FortiGate 之间的稳定检查连接
• 确保 FortiGate 的配置与 FortiManager 同步

　　问题 2: FortiAP 不会出现在 FortiManager 上

• 在 AP 连接到的 FortiGate 端口上启用了检查 CAPWAP 访问权限
• 检查 FortiGate 上是否存在 FortiAP 模型配置文件
• 验证 FortiGate GUI 是否显示 AP
• 测试 FortiManager 和 FortiGate 之间的连接
• 确保 ap 已正确分配 IP, 或在 ap 连接到的 FortiGate 接口上启用了 DHCP

　　问题 3: FortiAP 不广播 SSID

• 检查 FortiManager 上的修订历史记录, 以确保设备上安装了所有必需的配置
• 验证是否将 SSID 推送到适当的 AP

　干得好！你现在了解 AP 管理器

　　现在, 让我们来检查 FortiClient 管理器。

　完成本节后, 你应该能够:

• 描述 FortiClient 管理器功能
• 描述 FortiManager 如何适应端点遵从性
• 部署终结点控制
• 监视器端点客户端。

　FortiClient 管理器面板允许管理员集中管理多个 FortiGate 设备的 FortiClient 配置文件。它允许你创建一个或 多个可分配给多个 FortiGate 设备的 FortiClient 配置文件, 以满足安全要求。还可以使用端点控制来强制在连接 到 FortiGate 的终端设备上使用 FortiClient。

　FortiManager 中提供的 FortiClient 设置旨在补充 FortiClient EMS 和 FortiGate 提供的 FortiClient 支持。每个 产品都执行特定的功能:

• FortiManager 用于管理 FortiClient 合规和检疫
• FortiClient EMS 用于管理整个 FortiClient 配置文件, 包括 SSL/IPsec VPN
• FortiGate 设备为网络访问控制提供法规遵从性规则。它们还对连接的 FortiClient 端点实施网络遵从性, 并  在 FortiClient 端点和 FortiManager 之间进行通信。

　要配置 FortiClient 管理器, 首先可以在所需的 FortiGate 设备接口上启用 FortiTelemetry 和端点控制。然后, 你 可以创建 FortiClient 配置文件和配置文件包, 并将这些配置文件包分配给设备接口。最后, 在所需的 FortiGate 设备上安装配置更改。

　在 FortiTelemetry 窗格上, 你可以添加 FortiGate 接口, 这将允许 FortiTelemetry 访问接口。你还可以在此窗格 中配置 "强制 FortiClient" 选项。这将强制连接到 FortiGate 的设备强制 FortiClient 使用。还可以选择将被推送 到 FortiTelemetry 窗格上 FortiGate 设备的 FortiClient 配置文件。并将这些配置文件包分配给设备接口。最后, 在所需的 FortiGate 设备上安装配置更改。

　在接口上配置 FortiTelemetry 并启用端点控制后, 可以创建 FortiClient 配置文件包。在 FortiClient 配置文件包 中, 可以创建新的 FortiClient 配置文件或使用默认包。FortiClient 配置文件包可以包含一个或多个 FortiClient 配置文件。

　你可以从受控设备创建、编辑、删除和导入 FortiClient 配置文件。FortiClient 配置文件具有许多不同的设置, 可为管理员提供高度自定义其 FortiClient 部署和 FortiClient 行为的能力。配置文件分配目标使用 FortiGate 设 备组、用户组、用户和地址, 这允许采用粒状配置文件。

　如果 FortiGate 检测到不符合端点控制的客户端, 则执行遵从性操作。管理员可以配置以下操作: 选择 "块" 以提 供符合性规则, 但不向 FortiClient 终结点配置信息。当 FortiClient 终结点无法遵守遵守规则时, 对网络的端点访 问将被阻止。

• 选择 "警告" 可提供符合性规则, 但没有 FortiClient 端点的配置信息。
• 当 FortiClient 终结点无法遵守符合性规则时, 将警告端点用户, 但允许继续访问网络。

　　对于阻止和警告操作, 不遵从性信息将显示在 FortiClient 控制台中。管理员或终结点用户负责读取不遵从性信 息, 并更新端点上的 FortiClient 软件以遵守遵守规则。

• 选择 "自动更新" 以提供来自 FortiGate 的法规遵从性规则和配置信息。FortiGate 提供的配置信息有助于  FortiClient 端点保持兼容。不符合性信息显示在 FortiClient 控制台中。

　　客户端上的端点漏洞扫描允许管理员选择触发将设备置于隔离中的漏洞级别。关键、高、中、低级别可用。启 用系统遵从性允许将最低 FortiClient 版本和 FortiAnalyzer 日志上载设置包含在配置文件中。

　配置完所有其他内容后, FortiClient 配置文件允许你打开或关闭防病毒实时保护和签名更新, 包括 FortiSandbox 扫描。必须注意的是, 配置文件还可以验证 Windows 终结点上是否安装了第三方防病毒产品。但是, 只有禁用 实时保护时, 此选项才可用。还可以启用默认或自定义创建的 web 筛选器和应用程序控制传感器。可以在 "策 略和对象" 窗格中配置自定义 web 筛选器和应用程序控件传感器。

　创建 FortiClient 配置文件包后, 可以将配置文件包分配给所选的托管 FortiGates。只要设备是同一 ADOM 的一 部分, 就可以将 FortiClient 配置文件包分配给所有受管理的设备。也可以从一个 FortiGate 导入 FortiClient 配 置文件包, 并将其分配给另一个 FortiGate。

　既然配置文件包已分配给设备, 则必须使用安装向导将新设置推送到 FortiGate 设备。该向导还允许你预览和下 载对设备所做的详细更改。请确保在安装之前预览配置更改。

　在托管 FortiGate 设备上安装更改后, 设备将在安装 FortiClient 后自动注册其各自的 FortiGate 设备。你可以监 视监视器窗格上的端点。在列表中选择托管 FortiGate 可以监视其端点。当新端点与 FortiGate 注册时, 端点列 表将自动更新。配置文件中配置的不符合性选项适用于 FortiClient 设备 (如果其配置文件不符合)。可以阻止或 取消阻止单个设备。你还可以从隔离中隔离和释放设备。将设备置于隔离中将禁止端口 TCP 8013 连接以外的 所有连接 FortiGate。TCP 8013 用于 FortiGate 和托管 FortiClient 之间的通信。但是, 注销设备会中止对该设 备的端点遵从性强制执行。如果要对配置的法规遵从性规则进行异常, 甚至可以免除单个设备或免除该类型的 所有设备。

　本课介绍了以下主题：

• 中央 VPN 控制台
• 使用 "策略和设备 VPN 模式" ap 管理器配置 IPsec vpn 使用 ap 管理器配置 SSID、WIDS 和 AP 配置文件
• 使用 AP 管理器监视无线网络
• 常见 FortiAP 问题疑难解答
• FortiClient 特点
• 使用 FortiClient 管理器启用端点控制配置 FortiClient 配置文件包
• 监视端点