- 高可用性 (HA)
- FortiGuard 服务
- FortiMeter
- 在HA集群中实施和配置FortiManager
- 排除FortiManager HA故障
FortiManager ha 通过演示实现和配置 FortiManager 的能力来解决问题, 你将能够使用此 FortiManager 解决方 案来增强网络中的容错能力和可靠性。
在群集上执行固件升级时, 请始终安排维护窗口, 因为升级主 FortiManager 上的固件还将升级所有辅助设备上 的固件, 并重新启动群集中的所有设备。
有一些配置设置、防御数据库和日志,这些日志在主设备和辅助设备之间不同步。防御系统的数据库和包被单独下载,每个设备都可以为托管设备提供防御服务。
集群功能是一个主动被动集群;但是,您可以配置集群成员作为独立的活动本地防御服务器。
- 手动重新配置其中一个辅助设备, 使其成为主设备。
- 重新配置所有其他辅助设备以指向新的主设备。
你不需要重新启动从辅助到主升级的设备。
如果辅助 FortiManager 设备出现故障, 管理员可以重新配置主设备以删除辅助配置。或者, 管理员可以将辅助 配置保留在 HA 设置中, 并且在辅助设备联机后, 它将与主设备重新同步。
还有一些其他设置值得一提, 你只能在主 FortiManager 上进行配置, 包括:
- 心跳间隔: 群集成员在发送心跳数据包和期望接收来自其他群集成员的心跳数据包之间等待的时间 (以秒为 单位)。默认情况下, 心跳间隔为5秒。
- 故障转移阈值: 在 FortiManager 假定其他群集成员已失败之前, 可以在没有响应的情况下发生的最大心跳间 隔数。默认情况下, 故障转移阈值为3。
根据默认设置, 故障检测时间为15秒 (5 秒心跳间隔 x 3 故障转移)。
配置 HA 群集后, 它将显示群集成员的角色。
你还可以检查仪表板上的事件日志或警报消息控制台构件中的日志。
配置 FortiManager 群集后, 将在辅助 FortiManager 上显示一个弹出对话框。它指出不能在辅助设备上进行任 何设备配置更改。 它还指出, 只能对主 FortiManager 进行配置数据库的更改, 这将使其更改与所有辅助设备同 步。
- HA 心跳数据包使用 TCP 端口5199。在 TCP 端口5199上运行嗅探, 以确保群集成员能够发送和接收 HA 心跳数据包。
- 检查事件和警报消息控制台是否有与 HA 相关的消息 • 运行实时调试以验证 HA 同步
- 检查 ha 状态以确认 ha 已完全同步
要解决 HA 问题, 你可以强制从主 FortiManager 重新同步, 这将使其数据库与所有辅助设备重新同步。如果运 行该命令以在辅助 FortiManager 上重新同步, 则只有辅助 FortiManager 将与主 FortiManager 重新同步。
要解决问题, 你可以在所有群集成员上对 HA 守护程序运行实时调试。
在本幻灯片所示的示例中, 配置了一个新的辅助 FortiManager, 并向主 FortiManager 发送一个请求以加入群集。 主 FortiManager 接受请求并将数据库发送到辅助 FortiManager。然后, 辅助 FortiManager 保存这些数据库并 更新主 FortiManager。在将主设备和辅助装置完全同步后, 群集成员交换 keepalive 消息, 确认群集已在运行。
在配置心跳间隔乘以主 FortiManager 上 HA 设置中的故障转移阈值后, 检测到故障。
现在, 让我们来检查 FortiGuard 服务。
- 配置和使用 FortiManager 作为你的本地 FortiGuard, 用于防病毒、入侵预防服务 (IPS)、web 筛选和反垃圾邮件
- 描述服务器覆盖模式的用途
- 描述覆盖服务器地址的目的
- 使用 FortiManager 升级 FortiGate 固件
- 配置 FortiGate 以使用 FortiManager 作为本地 FortiGuard 分发服务器 ()
- 诊断和疑难解答 FortiGuard 问题
通过演示在 FortiManager 上使用 FortiGuard 服务的能力, 你将能够有效地使用你的 FortiManager 作为本地的 服务器。
FortiManager 可以为支持的设备提供防病毒、IPS 签名更新、web 筛选和反垃圾邮件服务。
FortiGuard 信息不是通过 FortiManager 群集进行同步的。在群集中, 每个设备分别下载并可以独立提供这些服 务。
FortiManager 支持来自已注册 (托管) 和未注册 (非托管) 设备的请求。
在 FortiManager 上使用 FortiGuard 服务可能是资源密集型的, 而且, 你可以将 FortiManager 用于此任务。
历史上, 防病毒和 IPS 服务被称为 "FortiGuard 服务", web 筛选器和电子邮件筛选器服务作为 "服务"。
目前, "FortiGuard" 一词涵盖了所有服务, 但是, 特定的 FortiManager GUI 或 CLI 配置节仍继续使用此幻灯片上 显示的术语引用它们。
FortiManager 使用四主要 FortiGuard 服务来创建 FortiGate 和 FortiClient 的公共国防军服务器副本。
必须在每个接口的 FortiManager 上配置服务访问设置。当不同的 FortiGate 设备在不同接口上与 FortiManager 通信时, 这一点很有用。FortiGate 设备使用 FortiGuard 服务从 FortiManager 查询和获取更新。FortiGate 更新 服务用于防病毒、IPS 和许可证验证。web 筛选服务用于 web 筛选和反垃圾邮件。
第二个配置步骤是在 FortiManager 上启用服务。默认情况下, 启用了对公共国防军的通信, 允许 FortiManager 持续连接到国防军服务器以获取托管设备信息和同步包。但是, 你必须启用诸如防病毒和 IPS、web 筛选器和 电子邮件筛选等服务, 以便 FortiManager 可以从公共国防军下载这些服务的更新。
在关闭的网络中使用 FortiManager 时, 请禁用与 FortiGuard 的通信。当禁用通信时, 必须手动上载防病毒程序、 IPS、许可证包、web 筛选器和电子邮件筛选数据库, 因为它们不再自动从公共国防军服务器中检索。
在首次安装期间, FortiManager 仍然收到来自公共国防军的更新, 你应该在接口级别禁用服务访问。这是因为 FortiManager 仍在下载更新, 可能无法提供对 FortiGate 的准确评级或更新。你可以在 FortiManager 下载软件 包和数据库后启用服务访问。
默认情况下, FortiManager 将首先尝试通过 TCP 端口443连接到公共的 fds1.fortinet.com 服务器, 以下载它将 从其下载 AV/IPS 包的辅助服务器列表。
- 计划对更新包的本地副本进行轮询或更新
- 如果启用了推送更新 (它收到来自国防军的更新通知)
如果网络在 FortiManager 下载大文件时中断, 则 FortiManager 在网络恢复时再次下载所有文件。你可以按小 时、每日或每周计划配置计划更新。
默认情况下, FortiManager 计划每小时更新一次, 因为防病毒更新经常发生。
如果公共 FortiGuard 上有重要的 IPS 更新, 如何确保 FortiManager 始终接收新的更新?
通常, 当启用推送更新时, FortiManager 将其 IP 地址发送到国防军;该 IP 地址被国防军用作推送消息的目的地。
如果 FortiManager 在 NAT 设备后面怎么办?
如果 FortiManager 位于 NAT 设备后面, 则发送其 IP 地址进行推送更新将导致推送更新失败, 因为这是来自国 防军的不可路由的 IP 地址。必须配置以下内容:
- 在 FortiManager 上, 配置用于推送更新的 NAT 设备 IP 地址和端口。默认情况下, 推送更新的端口为 UDP 9443, 但你可以配置其他端口号。
- 在 NAT 设备上, 配置转发到 FortiManager 的虚拟 IP 和端口。如果 NAT 设备的外部 IP 地址发生更改, FortiManager 可能不会收到推送更新。
如果任何中间 NAT 设备的外部 IP 地址都是动态的 (如 PPPoE 或 DHCP 的 ip 地址), 内置的 "内建" 可能无法接 收推送更新。当 NAT 设备的外部 ip 地址发生变化时, FortiManager 的推送 ip 地址配置就会过时。
更新历史记录显示更新时间、发生的事件、更新的状态和下载的版本。
也可以更改要部署的版本。
- 最新版本: FortiGate 设备已收到最近的软件包
- 从未更新: 设备从未请求或接收过包
- 待定: FortiGate 设备具有较旧版本的软件包, 原因是可以接受 (如计划的更新时间待定)
- 问题: FortiGate 设备错过了计划的查询, 或者没有正确接收最新的软件包
- 未知: FortiGate 设备的状态当前不已知
也可以将挂起的更新逐个或全部推送到设备。
查询状态显示从所有受管理的设备到作为本地 FortiManager 的设备进行的查询的数量。
使用量激增。从中下载 web 和反垃圾邮件包。默认情况下, FortiManager 计划每10分钟检查一次更新。
你可以将服务器覆盖模式更改为 "严格", 从而防止回退发生。此设置允许 FortiManager 仅与在 "覆盖服务器地 址" 列表中配置的服务器进行通信。
配置替代服务器地址的良好情况的一个示例是, 你使用的是用于下载防病毒和 IPS 更新的专用上游 FortiManager。在这种情况下, 你可以配置下游 FortiManager, 以便通过配置上游 FortiManager 使用的 IP 地址 和端口, 从专用的上游 FortiManager 获取更新。
在本幻灯片所示的示例中, 配置了两个替代服务器地址。当服务器覆盖模式设置为 "严格" 时, FortiManager 仅 从这两台服务器获取更新。如果这两台配置的服务器不可用, 则无法回退到其他公用服务器。
如果将服务器覆盖模式设置为 "松散", FortiManager 将首先尝试从配置的服务器列表中获取更新, 如果它们不可 用, FortiManager 将退回到其他公共的服务器以获取更新。
你可以查看事件日志中的日志, 这有助于诊断或排除与 FortiGuard 更新有关的问题。
如果你只能访问你的 ADOM, 管理员可以通过单击 "设备管理器 > 许可证" 查看其 ADOM 中 FortiGate 设备的 许可证信息。如果在 ADOM 中管理许多 FortiGate 设备, 则可以使用筛选器检查状态。例如, 你可以检查在未来 30天内到期的 FortiGate 设备的服务许可证。这有助于你采取主动步骤续订许可证。
你可以根据支持的产品类型查看可用的固件, 并筛选所有设备或仅用于托管设备。
- 每个设备: 在系统信息构件中
- 多个设备: 你可以在 ADOM 的固件选项卡上升级组中所有 FortiGate 设备、选定 FortiGate 设备或 FortiGate
设备的固件版本。
FortiManager 允许你现在升级固件, 也可以安排升级。你还可以配置 FortiManager 以重试, 以防第一次升级固 件失败 (可能是由于网络中断或 FortiGate 无法与 FortiManager 通信)。
用于 FortiGate 设备的局部 FortiManager 的 IP 地址 服务器类型, 其中包括:
- 更新-用于防病毒、IPS 更新和 FortiGate 许可证验证
- 额定值-用于 web 筛选或反垃圾邮件分级
默认情况下, 包含默认服务器已启用, 如果专用服务器 (在服务器列表中配置) 不可用, 则允许 FortiGate 与公用 FortiGuard 服务器通信。可以启用或禁用 "覆盖服务器" 列表中的公用 FortiGuard 服务器的包含。
有多种方法配置 FortiGate 使用 FortiManager 作为本地的。你可以:
- 在资源调配模板中配置 FortiGuard 设置 >> 系统模板 > FortiGuard 小部件, 你可以在托管设备上分配和安装。 决定重写默认的 FortiManager 服务器并使用 "设备级别" 设置。请记住在 FortiManager 接口上启用服务访 问设置。
- 配置和安装中央管理服务器的脚本-列表
- 你可以通过域名解决公共国防军服务器。例如, 检查你是否能够为 FortiGate 或 FortiMail 的防病毒和 IPS ping fds1.fortinet.com。
- 在 FortiManager 上启用了对公共网络和服务的通信
- 已启用防病毒和 IPS 的计划更新。默认情况下, web 和反垃圾邮件的轮询间隔已启用, 无法禁用。检查间隔, 确保 FortiManager 在计划的时间轮询更新。
如果 FortiManager 无法连接到公共国防军服务器, 则只有主国防军服务器将显示在服务器列表中。这可能是由 FortiManager 上的邻居或禁用服务引起的。
在 FortiManager 连接到公共国防军服务器后, 它将下载其下载更新和包的辅助国防军服务器列表。
- 已连接: FortiManager 与国防军的连接最初成功, 但尚未发生同步连接。
- 同步: 内置的 FortiManager 已启用, 并且正在下载和同步在国防军提供的软件包
- 已同步: 内置的 "内装", 国防军包下载成功
- 不同步: 最初的国防军连接成功, 但内置的
你可以检查 FortiManager CLI 中所有 FortiGate 设备的合同信息。过期或试用 FortiGate 许可证显示为 99, 这 意味着 FortiGate 无法从 FortiManager 接收更新。
你还可以与 update 命令一起运行实时调试, 它将尝试从该服务器下载最新的定义和包 (或在中央管理配置中配 置了本地的纠错服务器)。
现在, 让我们来检查 FortiMeter。
- 描述 FortiMeter 的目的
- 了解谁应该使用 FortiMeter
- 根据需要配置和使用 FortiMeter 部署 FortiOS VM,
通过演示在 FortiManager 上使用 FortiMeter 服务的能力, 你将能够有效地使用 FortiManager 作为本地的 "服务 器"。
有秩序, 你必须在 FortiCare 注册程序, 以便使所有的设置和工作正常。
- 注册你的 FortiManager。
- 注册你的 Fortinet VM 按需程序许可证 (这将在支持门户上创建你的 FortiMeter 组)。
- 将你的 FortiManager 添加到 VM 仪表组。
- 添加 VM 仪表点包许可证。
vm 仪表服务指示 vm 仪表服务点的状态, 其中包括:
- OK - 积极平衡
- W### - 余额为负数,###是状态更改为冻结之前的天数
- FREZ - 余额为负值,宽限期过期。 FortiMeter小组被冻结,没有进一步的通行证
对于标准许可证模式, 点计算基于通过 FortiOS VM 接口传递的通信量。每个 tb 的通信量都使用点, 当你增加使 用中的 FortiGuard 服务选项时, 会增加点成本。
在配置 FortiOS VM 时, 你可以选择三个服务选项, 它们都包括24x7 支持。每个服务选项以不同的速率消耗点。
防火墙 (固件) 仅提供除安全配置文件功能之外的 FortiOS 的所有功能。仅防火墙模式每兆字节的通信量消耗四 磅。
在防火墙加上 web 筛选模式下, 除了 web 筛选服务之外, 防火墙的所有功能都是可用的。防火墙加 URL 模式每 兆字节的通信量消耗10磅。最后, 完全统一的威胁管理模式包括 FortiOS 的所有功能。 你可以在任何时候使用 GUI 或 CLI 更改服务级别。
点包是消耗的单位, 最终将耗尽。 你可以在 FortiCare 的 FortiMeter 产品信息页面上购买它们。考虑到这一点, 系统提供了一个15天的宽限期, 允许积分进入负平衡。宽限期通过后, VM 组将被冻结, 直到添加更多的点。 如果你有一个负的平衡, 比方说-1000 点, 你购买一个新的5000点包, 你将有一个平衡4000点后, 你应用新的点包 和过去的适当的平衡点被减去。
FortiOS vm 是一个专用的独立 vm, 旨在与 FortiMeter 合作。
其他 FortiOS-VM 详细信息:
- Fortinet 为 vCPU 和 RAM 值设置无限制
- FortiOS-VM 对 vCPU 和 RAM 值有标准的表大小限制 (VM-08 值) • 仅支持单个 VDOM
- 用计量模块 (Port1、Port2) 计量两个端口
- 管理端口仅用于 FortiManager FortiOS 通信和 FortiOS FortiManager 通信
注: 此序列号不能在 FortiCare 中注册。
FortiOS VM 将缓存自己的正常运行时间, 以防它与 FortiManager 断开连接。如果 FortiOS VM 断开连接, 它将 与 FortiManager 数据库同步其数据后, 它将与之重新结合。这为正确报告提供了一致性和准确性。从 FortiManager 第一次断开连接到使 FortiOS VM 实例无效, 有一段时间为7天。
为了使 VM 仪表服务正常运行, 必须确保在 FortiManager 接口上启用了服务访问选项。。
- FortiGuard 功能已启用
- IP 地址 • 主机 名
- # cpu
- RAM 数量
- 流量
在 "VM 指示器" 选项卡上, 可以通过单击 "授权" 或双击列表中的 VM 来授权 FortiOS vm。在授权实例时, 可以 为 FortiOS VM 选择许可证类型和服务。
此链接打开一个显示 VM 仪表组的页面。你可以查看程序类型可用点、运行的虚拟实例数以及分配给组的 FortiManager 设备数。几个 FortiManager 设备可以在单个 vm 按需程序许可证下测量 vm 和消耗点。
在报告中, 你可以看到 FortiOS vm 的各个序列号, 它们使用的是哪些包 (固件、固件 + URL 或 UTM)、传递了 多少通信量以及它们消耗了多少点数。 请注意, 按月划分的细目为 "总计" 一节。 从 VM 启动和授权的那一刻起, 总计显示信息。
选择 "FortiManager" 选项卡时, 可以看到组中的哪个单位。
- 在HA群集中部署FortiManager
- HA群集成员之间同步的内容
- 步骤来恢复失败的设备
- 在FortiManager上配置FortiGuard设置
- 服务器覆盖模式的用途和使用以及覆盖服务器地址
- 配置FortiGate设备使用FortiGate作为本地FortiGuard服务器
- 排除FortiGuard问题
- 使用FortiMeter按需部署FortiOS-VM
扫一扫
205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
