- 高级功能
- 策略设置
- 基础管理
- 内置服务器
- 基础维护
- FortiGate在Security Fabric内
- FortiGate识别平台设计特点
- FortiGate在虚拟网络和云中的特征识别
通过展示识别FortiGate的平台设计特征的能力,以及FortiGate在虚拟网络和云中的特征,你将能够描述FortiGate的基本组件,并解释FortiGate可以执行的任务类型。
现在,恶意软件可以轻易绕过任何入口处防火墙并进入网络。这可能通过受感染的U盘发生,或者员工个人设备连接到公司网络而发生。此外,由于攻击可能来自网络内部,因此网络管理员不再坚定地信任内部用户和设备。
更重要的是,今天的网络是高度复杂的环境,其边界是不断变化的。网络从局域网垂直运行到因特网,从物理网络水平运行到专用虚拟网络和云。移动办公和多样化的劳动力(员工、合作伙伴和客户)访问网络资源、公共云和私有云、物联网(IoT)以及自带设备程序都大大增加对网络攻击的数量。
为了应对这种高度复杂的环境,防火墙已经成为一种强大的多功能设备,能够应对一系列对网络的威胁。因此,FortiGate可以以不同的模式或角色来处理不同的需求。例如,可以将FortiGate部署为数据中心防火墙,其功能是监视对服务器的入站请求并保护它们,而不增加请求者的延迟。或者,FortiGate可以部署为内部分段防火墙,可作为控制网络入侵的一种手段。
FortiGate还可以充当DNS和DHCP服务器,并被配置为提供Web过滤、反病毒和IPS服务。
- 添加设备。有时候,叠加并不意味着效率。如果系统过载,一个设备可以借用其他九个设备的内存吗?要在十个单独的设备上配置策略、日志记录和路由吗?十个设备叠加给你带来十倍的利益,还是麻烦?对于中小型企业或企业分支机构,与单独的专用设备相比,统一威胁管理(UTM)通常是一个更好的解决方案。
- FortiGate硬件不仅仅是现成的。这是运营商级别的。大多数FortiGate型号有一个或多个专用芯片,称为ASICS,由FortiNet设计。例如,CP或NP芯片,可以更有效地处理密码和分组转发。与仅使用CPU的单一用途设备相比,FortiGate可以具有更好的性能。这对于数据中心和运营商来说至关重要,因为吞吐量和业务量是至关重要的。当然也有例外,虚拟化平台VMware、Citrix Xen、微软或Oracle虚拟箱都具有通用的VCPU。但是,虚拟化可能是值得的,因为其他好处,例如分布式计算和基于云的安全性。
- FortiGate是灵活的。如果你只需要快速防火墙和防病毒,那么FortiGate不会要求你在其他功能上浪费CPU、RAM和电力。在每个防火墙策略中,可以启用或禁用UTM和下一代防火墙模块。此外,你以后不会支付更多的附加VPN功能授权。
- FortiGate是合作的。对开放标准而不是私有协议的偏好意味着更少的供应商锁定和更多的系统集成商的选择。而且,随着网络的增长,FortiGate可以利用其他Fortinet产品,如FortiSandbox和FortiWeb,来分发处理过程,以实现更深的安全性和最佳的性能——总体Security Fabric方法。
和vCPU进行抽象不同,FortiASIC芯片是专门的优化芯片。因此,虚拟化ASIC芯片将不具有与物理ASIC芯片相同的性能优点。
- FortiGate VMX和Cisco ACI的FortiGate Connector是FortiOS和API的专用版本,它允许你通过标准(如用于软件定义网络(SDN)的OpenStack)来协调快速的网络变化。FortiGate允许虚拟机在托管程序中作为客户机VM部署。
- FortiGate虚拟机部署在虚拟机管理程序的虚拟网络之间,在客户VMS之间。
- Cisco Access连接器允许ACI为南北数据流部署物理或虚拟FortiGate VM。
接下来,您将学习如何完成FortiGate的初始设置,并了解为什么可能决定使用一种配置而不是另一种配置。
- 识别默认出厂配置
- 选择操作模式
- 了解FortiGate与FortiGuard的关系,区分实时查询和包更新
通过演示设置FortiGate的能力,你将能够在自己的网络中有效地使用该设备。
当你部署FortiGate时,可以在两种操作模式间选择:NAT模式或Transparent(透明)模式。
- 在NAT模式中,FortiGate路由基于OSI三层的数据包,像路由器一样。它的每个逻辑网络接口都有一个IP地址,并且FortiGate根据目的IP地址和路由表中的条目确定出站或出站接口。
- 在Transparent模式中,FortiGate在OSI二层转发数据包,像交换机一样。它的接口没有IP地址,并且FortiGate根据目的MAC地址确定出站或出站接口。透明模式下的设备具有用于管理业务的IP地址。
将计算机的网络电缆连接到port1或内部交换端口(取决于你的型号)。在大多数型号中,该接口上有一个DHCP服务器,因此,如果计算机的网络设置启用了DHCP,则计算机应该能自动获得IP,并且可以开始设置。
访问FortiGate或FortiWifi上的图形界面,请打开Web浏览器并转到https://192.1681.99。默认登录信息是众所周知的。永远不要保留默认空白密码。你的网络和你的FortiGate管理账户一样安全。在将FortiGate连接到网络之前,应该设置一个复杂的密码。
所有的FortiGate型号都有控制台端口或USB管理端口。该端口提供CLI访问而无需网络。CLI能通过图形界面上的CLI Console控制台或者从仿终端程序登录,例如PuTTY或Tera Term。
- 周期性地请求包含新的引擎和签名的数据包
- 在个人URL或主机名上查询FDN
查询是实时的,也就是说,FortiGate每次扫描垃圾邮件或过滤网站时都会询问FDN。由于数据库发生更改的大小和频率,FortiGate查询可代替下载数据库。此外,查询使用UDP进行传输;它们是无连接的,并且协议不是为了容错而设计的,而是为了速度。因此,查询要求你的FortiGate具有可靠的Internet连接。软件包(如反病毒和IPS)数据包较小,不会频繁改变,因此它们在大多数情况下每天只下载一次。它们使用TCP下载以实现可靠的传输。在下载数据库之后,即使FortiGate没有可靠的Internet连接,它们的相关FortiGate功能仍继续发挥作用。但是,如果FortiGate必须反复尝试下载更新,那么你应该避免在下载
过程中中断,在更新时不能检测到新的威胁。
- 管理管理员配置文件
- 管理用户管理
- 定义管理用户的配置方法
- 控制对FortiGate从GUI和CLI的管理访问
- 管理网络接口的特定方面
通过展示基本的管理能力,你将能够更好地管理管理用户并围绕管理访问实现更强的安全实践。
随着你对FortiGate越来越熟悉,特别是如果你想编写其配置的脚本,除了GUI之外,你可能还想使用CLI。你可以通过名为
CLI控制台的GUI中的JavaScript小部件或者通过仿终端软件,如Tera Term(http://ttssh2.sourceforge.jp/index.html.en
)或者PuTTY(http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)访问CLI。你的终端程序可以通过网络SSH、Telnet或本地控制台端口连接。
FortiGate还支持SNMP和其他一些管理协议,但它们是只读的。它们不能用于基本设置。
在新建的下拉列表中,你可以选择Administrator或REST API Admin。通常你将选择Administrator然后分配Administrator Profile,它指定了该用户的管理权限。你可以选择REST API Admin来添加管理用户,该用户使用自定义应用程序REST API来访问FortiGate。该应用程序允许你登录到FortiGate,并执行你所指定的Administrator Profile允许的任何任务。
此处未显示的其他选项:
- 你可以配置FortiGate来查询远程身份验证服务器,而不是在FortiGate本身上创建帐户。
- 管理员可以使用内部证书颁发机构服务器颁发的数字证书进行身份验证,而不是使用密码。
如果你确定使用密码,请确保它们是强的和复杂的。例如,可以使用具有不同大写的多个交错字,并随机插入数字和标点符号。不要使用包含任何字典中的名称、日期或单词的短密码或密码。这些容易受到暴力攻击。要检查密码的强度,使用工具如L0phtcrack(http://www.l0phtcrack.com/或http://www.openwall.com/john/)。如果将管理端口连接到Internet,则增加了暴力攻击的风险。
为了限制对特定功能的访问,可以分配权限。
默认情况下,有一个名为super_admin的特殊配置文件,它被名为admin的用户使用。它不能改变。它提供了对所有内容的完全访问,使得管理员帐户类似于root superuser帐户。
prof_admin是另一个默认配置文件。它还提供完全访问,但是与super_admin不同,它只适合于它的虚拟域,而不是FortiGate的全局设置。此外,它的权限也可以更改。
你不需要使用默认配置文件。例如,你可以创建具有只读权限的auditor_access配置文件。将某人的权限限制于他的工作所必需的权限是最佳方法,因为即使该帐户被破坏,对FortiGate(或网络)的危害也不大。为此,创建管理员配置文件,然后在配置帐户时选择适当的配置文件。
Override Idle Timeout功能允许在配置系统账户下的管理员超时值在每个访问配置文件中被覆盖。管理员配置文件可以配置为增加非活动超时,并方便使用GUI进行中央监控。
请注意,这可以在每个配置文件的基础上实现,以防止选项在全局上被无意地设置。
它实际上不仅仅是读或写访问。
据你分配的管理员配置文件的类型,管理员可能无法访问整个FortiGate。例如,你可以配置一个只能查看日志消息的帐户。管理员可能无法访问其指定虚拟域之外的全局设置。虚拟域(VDOM)是一种将资源和配置细分为单个FortiGate的方法。
权限较小的管理员无法创建、甚至查看具有更多权限的帐户。因此,例如使用prof_admin或自定义配置文件的管理员不能看到或重置使用super_admin配置文件的帐户的密码。
双因子身份验证是指使用两种方法来验证你的身份,而不是使用一种方法(通常是密码或数字证书)。在这个示例中,双因子身份验证包括密码加上来自与FortiGate同步的FortiToken的RSA随机生成的数字。
这种恢复方法适用于所有的FortiGate设备,甚至一些非FortiGate设备,如FortiMail。它是一个临时帐户,只能通过本地控制台端口获得,并且只有在通过拔掉或关闭电源,然后恢复电源来重启中断电源之后。FortiGate必须物理关闭,然后回过头来操作,而不是简单地通过CLI重新启动。
在启动完成后,maintainer帐号登录只可用于启动约60秒内(旧版本的时间更少)。
如果无法确保物理安全性和有符合要求,则可以禁用维护帐户。使用警告:如果禁用维护程序,然后丢失管理员密码,则无法恢复对你的FortiGate的访问。为了在这种情况下重新获得访问权,你需要重新加载设备。这将重置为工厂默认值。
在这个例子中,我们已经配置了10.0.1.10作为admin1帐号登录的唯一可信IP。如果admin1尝试从任何其他IP的机器登录,则它们将接收到验证失败消息。
注意:如果在所有管理员上配置了受信任的主机,并且管理员试图从没有为任何管理员在任何受信任的主机上设置的IP
地址登录,那么管理员将不会获得登录页面,而是将收到消息“Unable to contact server”。
如果你将IPv4地址保留为0.0.0.0/0,则意味着将允许来自任何源IP的连接。默认情况下,0.0.0.0/0是管理员的配置,尽管你可能希望更改此配置。
请注意,每个帐户可以以不同的方式定义其管理主机或子网。如果要在FortiGate上设置VDOM,则这尤其有用,因为VDOM的管理员甚至可能不属于同一个组织。你可以很容易地阻止管理员从所需的IP地址登录,如果在到达FortiGate之前,它将被NAT转移到另一个地址,从而破坏了可信主机的目的。
你可以选择是否允许并发会话。这可以用于防止意外地覆盖设置,如果通常保持多个浏览器选项卡打开,或者意外地让CLI会话打开而不保存设置,则开始GUI会话,并意外地以不同的方式编辑相同的设置。
为了更好的安全性,只使用安全协议,并强制密码复杂性和更改。
Idle timeout是非活动管理员会话超时之前的分钟数(默认为5分钟)。更短的空闲超时更安全,但是增加计时器可以帮助减少管理员在测试更改时注销的机会。
你可以按管理员配置文件覆盖此空闲超时,请参阅“管理配置文件”下的新功能“Override Idle Timeout”。
Override Idle Timeout——管理员配置文件可以配置为增加非活动超时并促进使用GUI进行集中监控。此新功能允许在配置系统访问文件下的管理超时时间值在每个访问配置文件中被重写。
请注意,这可以在每个配置文件的基础上实现,以避免选项被无意地设置为全局。
这对每个接口都是特定的。例如,如果你的管理员仅从端口3连接到FortiGate,那么应该禁用所有其他端 口上的管理访问。这可以防止暴力尝试和不安全访问。你的管理协议是HTTPS、HTTP、Ping、SSH。默认情况下,Telnet选项在GUI上不可见。
考虑网络上接口的位置。在内部接口上启用ping对于故障排除是有用的。然而,如果它是一个外部接口 (换句话说,暴露于互联网),那么PING协议可能使FortiGate受到DoS攻击。不禁用数据流的协议,如 HTTP和telnet,应禁用。IPv4和IPv6协议是分开的。在IPv6上可以同时拥有IPv4和IPv6地址,此时能响应 IPv6上的Ping。
注意,一些协议,如FortiTelemetry ,不是用于管理访问,如GUI和CLI访问,而是它们是将FortiGate 作为目的地IP,而不仅将FortiGate用作下一跳或桥的协议。FortiTelemetry协议专门用于管理FortiClient和Security Fabric。FMG-Access协议专门用于当服务器管理多个FortiGate设备时与FortiManager通信。 CAPWAP协议在FortiGate管理时用于FortiAP、FortiSwitch和FortiExtender。当FortiGate需要侦听和处理 RADIUS Accounting分组以进行单点登录身份验证时,使用RADIUS计费协议。FTM,或FortiToken Mobile推送,支持来自FortiToken Mobile 推送应用程序的双因子认证请求。推送服务由苹果(APN)和 谷歌(GCM)分别为iPhone和Android智能手机提供。此外,当FortiAuthenticator 认证为身份验证服务器时,FortiOS支持FTM推送。
在图形界面上隐藏的一个功能并没有被禁用。它仍然是功能性的,并且仍然可以使用CLI配置。
某些高级或不常用的功能,如IPv6,默认是隐藏的。
若要显示隐藏的功能,请单击 System > Feature Visibility。
- 手动分配
- 自动分配,使用DHCP 或 PPPoE
IP地址要求有两个例外:One-Arm Sniffer和专用于Dedicated to FortiSwitch接口类型。这些接口没有分配地址。
- 当选择单臂嗅探器作为寻址模式时,接口不与业务流内联,而是从交换机上的镜像端口接收业务量的副本。该接口在混合模式中操作,扫描它看到的流量,但是由于交换机已经处理了原始数据包,因此无法进行更改。因此,One-Arm Sniffer主要用于概念验证(POC)或在企业需求声明不能更改流量(仅记录流量)的环境中。
- 当选择Dedicated to FortiSwitch作为寻址模式时,FortiGate自动向该接口分配IP地址。Dedicated to FortiSwitch是一个用于从FortiGate管理FortiSwitch的接口设置。
你可以配置接口的角色。在GUI中显示的角色通常是拓扑的那部分的接口设置。不适用于当前角色的设置隐藏在GUI中(不管角色如何,CLI上的所有设置总是可用的)。这防止意外错误配置。
例如,当角色被配置为WAN时,没有DHCP服务器和设备检测配置可用。设备检测通常用于检测局域网上的设备。
如果出现异常情况,并且需要使用当前角色隐藏的选项,则始终可以将角色切换到Undefined这显示所有选项。
为了帮助你记住每个接口的使用,你可以给它们取名。例如,你可以将port3称为internal_network。这有助于使你的策略列表更容易理解。
如果FortiGate通过动态方法(例如DHCP或PPPoE)获取IP地址,那么它也应该获取默认网关。否则,必须配置静态路由。没有默认网关,FortiGate将不能响应直接连接到它自己的接口的子网之外的数据包。它可能也无法连接到FortiGuard进行更新,并且可能无法正确地路由流量。
在另一课中包含路由细节。现在,你应该确保FortiGate有一个匹配所有包(目的地是0.0.0.0/0)的路由,称为默认路由,并通过连接到Internet的网络接口转发给下一个路由器的IP地址。
到目前为止,已经完成在配置防火墙策略之前所需的基本网络设置。
- 在FortiGate上启用DHCP
- 在FortiGate上启用DNS服务
- 了解配置的可能性和它们的一些含义
通过演示实现DHCP和DNS内置服务器的能力,你将知道如何通过FortiGate提供这些服务。
对于接口(如port3),选择Manual选项,输入静态IP,然后启用DHCP Server选项。内置DHCP服务器的选项将出现,包括提供功能,如DHCP选项和MAC保留。还可以从接收IP地址阻止特定的MAC地址。注意,在右侧的屏幕截图中,在MAC Reservation + Access Control选项中,在Action or IP 列,下拉列表提供三种选项:
- Reserve IP:允许你将特定的IP绑定到MAC地址。
- Assign IP:允许DHCP服务器从其地址池分配到识别的MAC地址。接收到IP地址的设备将始终接收相同的地址,前提是其租约尚未过期。
- Block:具有识别的MAC地址和Block选项的计算机将不接收IP地址。
对于Unknown MAC Addresses的操作定义了当它从没有明确列出的MAC地址中获得一个请求时,它的DHCP服务器将会做什么。
本地DNS服务器可以提高你的Fortimail或经常使用DNS查询的其他设备的性能。如果FortiGate向本地网络提供DHCP,则可以使用DHCP配置这些主机以使用FortiGate作为网关和DNS服务器。
FortiGate可用以下三种方式之一回答DNS查询:
- Forward:将所有查询中继到单独的DNS服务器(你已经在Network>DNS中配置过);也就是说,充当DNS中继而不是DNS服务器。
- Non-Recursive:对FortiGate DNS数据库中的项目的查询的答复;不转发不可解析查询。
- Recursive:对FortiGate的DNS数据库中项查询的回复;将所有其他查询转发到单独的DNS服务器进行解析。
你可以在GUI或CLI上配置所有模式。
如果选择DNS转发选项,则可以在自己的网络中控制DNS查询,而不必在FortiGate的DNS服务器中输入任何DNS名称。
这定义了FortiGate将解析查询的主机名。请注意,FortiGate目前只支持上图列出的DNS记录类型。
- 备份和恢复系统配置文件
- 了解纯文本和加密配置文件的恢复要求
- 识别当前固件版本
- 升级固件
- 降级固件
通过展示实现FortiGate基本维护的能力,你将能够执行备份和恢复、升级或降级固件的重要活动,并确保 FortiGate在其整个生命周期中保持可靠的服务。
另一种选择是用密码加密配置文件。除了确保配置的隐私,它也有一些你可能不期望的效果。加密后,没有密码以及不是同一个型号和固件,配置文件都不能被解密。这意味着,如果你向Fortinet技术支持发送加密的配置文件,即使你向他们提供密码,他们也不能加载你配置,直到他们访问相同的FortiGate型号。这在解决你的问题时,可能会导致不必要的延时。
如果启用虚拟域(VDOM),对FortiGate的资源和配置进行细分,则每个VDOM管理员都可以备份和恢复自己的配置。你不必备份整个FortiGate配置,但是它仍然是推荐的。
备份是必要的,可以帮助快速返回生产状态。如果发生了不可预见的灾难,损害了FortiGate,必须从头重新创建数百个策略和对象需要大量的时间,而在新设备上加载配置文件则需要更少的时间。
恢复配置文件的动作与备份非常类似,并且会重新启动FortiGate。
若要还原未加密的配置文件,则只需匹配FortiGate型号。如果固件不同,FortiGate将尝试升级配置。这类似于在升级固件时如何在现有配置上使用升级脚本。但是,仍然建议将FortiGate上的固件与配置文件中列出的固件进行匹配。
通常,配置文件只包含非默认设置,加上很少的默认但重要的设置。这就最小化了备份的大小,否则可能会有几个MB大小。
如果新版本的固件可用,你将在固件页面上得到通知。
请记住阅读发行说明,以确保了解所支持的升级路径。发行说明还提供可能影响升级的相关信息。
如果希望通过覆盖现有固件及其当前配置来完成干净的安装,可以在重新启动FortiGate时使用引导加载器菜单中的本地控制台CLI进行此操作。然而,这不是常用的方法。
记得阅读发行说明。有时,保存配置的固件版本之间的降级是不可能的,例如当操作系统从32位更改为64 位时。在这种情况下,降级的唯一方法是格式化磁盘,然后重新安装。
在你确认可以降级之后,再次验证一切,然后开始降级。在降级完成后,还原与该版本兼容的配置备份。
为什么要保持紧急固件和物理访问?
早期固件版本不知道如何转换成后期的配置。通常,当通过路径进行升级时,不支持配置转换脚本,可能会丢失除了基本访问设置之外的所有设置,例如管理员帐户和网络接口IP地址。另一种罕见但可能的情况是,当你上传固件时,固件可能会损坏。由于所有这些原因,在升级过程中应该始终具有本地控制台访问权限。然而,在实践中,如果你阅读发行说明并与GUI或CLI有可靠的连接,则不必如此。
- 定义FortinetSecurity Fabric
- 确认为什么需要Security Fabric
- 识别参与Security Fabric的Fortinet设备,特别是最基本的设备
- 了解如何在高级别上配置Security Fabric
通过展示Fortinet Security Fabric的高级概念中的能力,你将更好地理解Security Fabric的价值、组成它的服务器以及如何部署它。
它是一个Fortinet企业解决方案,它支持一种全面的网络安全方法,通过一个控制台可以看到网络环境,所有的网络设备都集成到集中管理和自动化防御中。
网络设备包括所有组件,从物理端点到云中的虚拟设备。由于设备是集中管理的,并且正在实时地智能共享威胁,并且在宏观级别上接收来自Fortinet的更新,你的网络可以快速识别、隔离和消除出现的威胁。
Security Fabric具有以下属性:
- 无缝:它覆盖了从物联网到云的整个攻击面。
- 协同:部署安全处理器以确保高网络性能,同时提供全面的安全性。
- 智能:在网络组件之间实时交换威胁情报,以实现对威胁的自动响应。
我们可以添加Security Fabric的第四个属性,具有开放性。API和协议可用于其他供应商的加入和合作伙伴的集成。这允许Fortinet和第三方设备之间的通信。
随着网络的发展和各种新型威胁的出现,部署了端点安全产品来应对这些新出现的威胁。通常,这些零碎的解决方案是有效的,但是使用不同的标准和协议部署产品常常意味着不能有效地协调防御资产。
上图右侧的图示讲述了一个网络的故事,该网络部署了来自四个不同供应商的安全解决方案。中心的管理员,从安全控制台工作,只对一些安全解决方案有可见性。这种缺乏可见性的整个网络防御是一个严重的缺陷,并允许外国渗透者在未被察觉的情况下突破网络防御。
当今网络的复杂性使这个问题更加复杂。此外,越来越复杂的恶意软件有一个不断扩大的攻击面,因为网络已经突破了传统网络的范围,并扩展到虚拟网络和公共云。除此之外,由于自带设备的程序,越来越多的无人管理设备的数量不断增加,而且你拥有完美的安全风暴。
最可行的解决方案是构建一种集中管理的、整体的安全方法,从而对所有潜在的渗透点有清晰的视线,并且可以协调防御以遏制和中和网络破坏。
可以在Security Fabric设置中添加FortiMail。FortiMail统计数据使用REST API显示在FortiOS仪表板小部件上。
可以在Security Fabric设置中添加无线AP。可以使用REST API来设置端点和SSID可见性。
可以在Security Fabric设置中添加FortiCache和FortiWeb,这允许FortiGate使用FortiCache的磁盘作为本地存储进行缓存,而不是使用WCCP。
FortiClient EMS配置已被纳入Security Fabric设置。如果客户端由所指示的EMS服务器之一管理,则被认为是兼容的。你最多可以添加三个EMS服务器。
触发:触发器属性定义事件的类型。如果FortiAnalyzer提供了一个IOC消息来触发FortiGate,则触发妥协指标(IOC)。此消息将由Security Fabric中的根节点接收。
动作:如果配置IOC触发器,则可以从Action部分中的几个选项中选择,例如Quarantine和IP Ban。这两个选项阻止来自IOC标记的源地址的所有流量。隔离设备在Security Fabric拓扑中被标记。
你还可以单击 Monitor > Quarantine Monitor 查看隔离和禁用的IP地址。隔离地址在可配置的时间段后自动从隔离中移除。只有通过管理员干预才能将禁止的IP地址从列表中删除。
事件日志为用户提供了基于特定日志ID定义触发器的灵活性。
以应用程序为中心的基础设施(ACI):SDN连接器充当连接SDN控制器和FortiGate设备的网关。SDN连接器将自己注册到Cisco ACI结构中的APIC,对感兴趣的对象进行投票,并将它们转换为地址对象。被翻译的地址对象和相关的端点填充在FortiGate上。
微软Azure的FortiGate虚拟机也支持云初始化和自引导。
其次,在下游的FortiGate设备中,必须启用面向下游FortiGate设备的接口的FortiTelemetry和Device Detection 。然后,需要在 Security Fabric > Settings 部分配置上游FortiGate的相同组名、密码和IP地址。
- 动态地从FortiGuard接收更新。
- 在Security Fabric中运行每个授权设备的安全评级检查。
- 在后台或按需运行安全评级检查。
- 向FortiGuard提交评级,并从FortiGuard接收评级分数,按百分位数对客户进行排名。
Fabric Security评级服务现在扩展并运行最佳实践项目,以便在整个网络中进行审计——密码检查、最佳实践,以及进一步加强网络安全。
- 用安全审计(FortiGuard数据)对客户百分比进行排序:安全评级现在支持将结果发送到FortiGuard,并从FortiGuard接收统计数据。以百分位数的形式显示给客户。
- 安全审计现在在后台运行,而不仅仅是在管理员登录到GUI时按需进行。当查看安全审计页时,加载最 新保存的安全审计数据。从GUI中,你可以按需运行审计,并查看Security Fabric中不同设备的结果。你还可以查看所有结果或只是失败的测试结果。
- 安全评级功能(以前称为Security Fabric审计)包括新的安全检查,这些检查可以帮助您改进组织的网络,例如强制密码安全、应用推荐的登录尝试阈值、鼓励双因子身份验证等等。
- 识别关键的FortiGate功能、服务和内置服务器
- 确定两种FortiGate的操作模式的区别,以及FortiGate and FortiGuard之间的关系
- 识别出厂默认值、基本网络设置和控制台端
- 执行基本管理,例如创建管理用户和管理员配置文件
- 执行配置的备份和恢复,并讨论恢复加密配置文件的要求
- 启动固件升级和降级
- 识别Fortinet的Security Fabric的功能、FortiGate在其中的角色以及高级安装
