教程篇(7.6) 13. 安全架构 & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4

 在本课中,你将了解Fortinet安全架构。

 在这节课中,你将学习上图显示的主题。 

 完成本部分后,你应该能够实现上图显示的目标。

  通过展示对Fortinet安全架构关键概念的充分理解,你将更深入地了解其价值以及构成它的服务器。

 什么是Fortinet安全架构?

  这是一个Fortinet企业解决方案,可以实现网络安全的整体方法,通过单个控制台可以看到网络景观,所有网络设备都集成到集中管理和自动化的防御中。

  网络设备包括所有组件,从物理端点到云中的虚拟设备。由于设备是集中管理的,并且实时相互共享威胁情报,并在宏级别接收来自Fortinet的更新,因此你的网络可以在出现威胁时快速识别、隔离和消除它们。

  安全架构具有以下属性:

  ● 广泛:它提供了整个数字攻击表面的可见性,以更好地管理风险

  ● 集成:它提供了一个解决方案,可以降低支持多点产品的复杂性

  ● 自动化:网络组件之间实时交换威胁情报,允许自动响应威胁

  第四个属性可以添加到安全架构的描述中:开放。API和协议可供其他供应商加入和合作伙伴集成。这允许Fortinet和第三方设备之间的通信。

 为什么Fortinet认为安全架构是强大网络防御的基本解决方案?

  随着网络的发展和各种新型威胁的出现,部署了点安全产品来应对这些新出现的威胁。通常,这些零碎的解决方案是有效的,但使用不同的标准和协议部署产品意味着国防资产无法有效协调。

  上图的插图讲述了一个网络的故事,该网络部署了来自不同供应商的安全解决方案。中心的管理员在安全控制台上工作,只能看到部分安全解决方案。整个网络防御缺乏可见性是一个严重的缺陷,可能会使外国渗透者在未被发现的情况下突破网络防御。

  当今网络的复杂性加剧了这个问题。此外,日益复杂的恶意软件具有不断扩大的攻击面,因为网络已经超越了传统周边的界限,扩展到了虚拟化环境和公共云。再加上BYOD程序导致的不断增加的未托管设备数量,你就拥有了完美的安全风暴。

  最可行的解决方案是建立一种集中管理的、整体的安全方法,通过这种方法,你可以清楚地看到所有潜在的渗透点,并可以协调防御以遏制和中和网络漏洞。

 如上图所示,Fortinet安全架构提供了八个解决方案:网络访问、安全WLAN/LAN、公共和私有云基础设施、应用程序、端点、安全操作、开放结构生态系统和架构管理中心。这些解决方案中的每一个都基于特定的用例,并涉及特定Fortinet产品的集成。

  Fortinet安全架构通过FortiGate、IPS、VPN、SD-WAN提供网络安全。它还提供跨公共云、私有云、混合云和软件即服务(SaaS)的多云策略。它还提供了相当复杂的端点产品,从Fabric Agent一直到完整的端点保护、电子邮件安全、Web应用程序安全、跨分布式企业和SDWAN环境的安全访问、高级威胁保护、管理和分析以及安全信息和事件管理(SIEM)。

  所有这些都得到了FortiGuard Services的强调和支持,FortiGuard Services在整个安全架构中提供Al驱动的情报和保护。

  FortiGate设备是安全架构的核心,外加一个FortiAnalyzer或云日志记录解决方案。FortiAnalyzer云或FortiGate云可以作为云日志记录解决方案。FortiGate设备必须以NAT模式运行,并且可以具有以下角色之一:

  ● 根

  ● 下游

  根FortiGate是安全架构的主要组件。它通常位于网络的边缘,并通过你的ISP将内部设备和网络连接到互联网。从根FortiGate,你可以在GUI的物理和逻辑拓扑页面上查看有关整个安全架构的信息。

  安装根FortiGate后,安全架构中的所有其他下游FortiGate设备充当内部分割防火墙(ISFW),位于内部网络的战略点,而不是网络边缘。这允许围绕关键网络组件采取额外的安全措施,例如包含宝贵知识产权的服务器。ISFW FortiGate设备通过向根FortiGate发送有关连接到它们的设备的流量和信息来创建网络可见性。

  为了增加更多的可见性和控制,Fortinet建议添加FortiManager、FortiAP、FortiClient、FortiClient EMS、FortiSandbox、FortiMail、FortiWeb、FortiNDR、FortiDeceptor和FortiSwitch。

  该解决方案可以通过添加其他网络安全设备来扩展,包括几个第三方产品。

   非常好!你已经了解了Fortinet安全架构的基础知识。接下来你将学习如何在你的网络环境中部署安全架构。

 完成本部分后,你应该能够实现上图显示的目标。

  通过展示在部署Fortinet安全架构方面的能力,你将更好地了解它如何帮助更有效地管理你的所有网络设备。

  实施安全架构至少涉及以下步骤:

  1. 设计网络拓扑结构,包括根防火墙(上游)和其他设备(下游)、FortiAnalyzer的配置和网络实现。

  2. 配置根FortiGate设备作为架构根。

  3. 在用于设备之间连接的接口上启用安全架构。

  4. 在根FortiGate设备上配置所需的任何其他连接器(如FortiManager)。

  5. 配置下游设备以到达根FortiGate设备并授权它。

  6. 配置本地或默认值,以便跨安全架构同步对象。

  例如,上图显示了一个简单的网络,该网络仅由安全架构的核心设备组成,包括一个FortiAnalyzer和四个NGFW FortiGate设备。

  名为External的FortiGate设备充当边缘防火墙,并在安全架构中配置为根防火墙。

  从根防火墙的下游,三个内部分割防火墙将广域网分割,以遏制漏洞并控制对各种局域网的访问。这个例子使用Branch-1、Branch-2和Branch-3网络。

  要配置新的安全架构,请考虑以下一般步骤:

  你必须配置FortiAnalyzer或云日志解决方案。当所有下游FortiGate设备加入根FortiGate设备时,此日志记录配置会被推送到所有下游FortiGate设备。然后,在根FortiGate设备上,你必须启用安全架构连接器,然后选择作为架构根。你还可以确认在允许其他安全架构设备加入中配置的接口上启用了安全架构连接。这些接口面向任何下游的FortiGate设备。

  (可选)你可以通过添加下游设备的序列号来预授权你的下游设备。当你将Fortinet设备的序列号添加到根FortiGate设备上的受信任列表中时,该设备可以在连接后立即加入安全架构。授权新的FortiGate后,其他连接的FortiAP和FortiSwitch设备会自动出现在拓扑树中。

  实施安全架构的第二步是配置下游Fortinet设备。在架构连接器页面上,选择加入现有架构,并添加根(上游)FortiGate IP地址。然后,你可以确认在允许其他安全架构设备加入中配置的接口上启用了安全架构连接。在下游FortiGate设备上,你还可以在面向下游FortiGate设备的接口上启用设备检测。

  实施安全架构的第三步是在根FortiGate上授权下游FortiGate设备。

 启用安全架构后,默认情况下会启用将各种对象(如地址、服务和时间表)从上游FortiGate设备同步到所有下游FortiGate设备的设置。同步总是从根FortiGate到下游FortiGate设备。同步后,任何可以同步的对象都可以在下游的FortiGate设备上使用。

  CLI命令fabric-object-unification只能在根FortiGate设备上使用。当设置为local时,全局对象不会同步到安全架构中的下游设备。缺省值为default。

  当下游FortiGate设备不需要参与对象同步时,使用CLI命令configuration-sync local。当在下行FortiGate设备上设置为local时,设备不从根节点同步对象,但仍参与向下行发送已同步对象。当在下行FortiGate设备上设置为default时,设备将从根节点同步对象,包括FortiAnalyzer、FortiSandbox和FortiManager的配置。 

  你还可以在安全架构中启用或禁用每个对象的同步。此选项不适用于在下游FortiGate设备上创建的对象。默认情况下,受支持的安全架构对象禁用安全架构同步,这些安全架构对象在安全架构中的所有FortiGate设备上作为本地创建的对象保存。如果在根FortiGate设备上禁用对象同步,使用set fabric-object disable命令,防火墙地址和地址组不会同步到下游FortiGate设备。

  请注意,如果安全架构中的设备处于多VDOM模式,则GUl不会显示安全架构同步选项。即使在CLI中启用了该功能,该对象也不会同步到任何下游设备。

  如果在同步过程中发生对象冲突,你将在通知中心收到一条消息。

  解决同步冲突的过程如下:

  1. 单击通知消息:一个防火墙对象与架构中的其他FortiGates发生冲突。

  2. 在防火墙对象同步页面上,你可以看到根FortiGate和下游FortiGate设备都包含测试对象(每个设备上有不同的IP地址/子网架构),导致内容不匹配的状态。策略字段显示两个解决冲突的选项:自动手动。选择自动,如本例所示,然后单击重命名所有对象

  3. DCFW附加到下游FortiGate设备测试地址对象的名称上,状态更改为已解决

  4. 冲突消息消失。

  当你在多VDOM模式下配置FortiGate设备并将其添加到安全架构时,当检测到一个或多个设备时,每个VDOM及其分配的端口都会显示出来。只有已发现和连接设备的端口才会出现在安全架构视图中,因此,你必须在要在安全架构中显示的端口上启用设备检测。没有连接设备的端口的VDOM不会显示。所有配置的VDOM必须是单个安全架构的一部分。在上图显示的示例中,Local-FortiGate以多VDOM模式配置,并且有三个VDOM(根、VDOM1和VDOM2),每个端口都有连接设备的端口。

  设备识别是安全架构的重要组成部分。FortiGate检测你网络中的大多数第三方设备,并将其添加到安全架构中的拓扑视图中。有两种设备识别技术:代理和无代理。

  无代理识别使用来自设备的流量。设备按其MAC地址进行索引,有多种方式来识别设备,如HTTP用户代理标头、TCP指纹、MAC地址OUl和FortiOS-VM检测方法,仅举几例。只有当FortiGate和工作站是直接连接的网络段,其中流量直接发送到FortiGate,并且FortiGate和工作站之间没有中间路由器或第3层设备时,无代理设备识别才有效。

  请注意,FortiGate使用先到先得的方法来确定设备身份。例如,如果HTTP用户代理检测到设备,FortiGate会使用检测到的MAC地址更新其设备表,一旦确定了该MAC地址的类型,扫描就会停止。

  基于代理的设备识别使用FortiClient。FortiClient向FortiGate发送信息,设备由其唯一的FortiClient用户ID(UID)跟踪。

  默认情况下,FortiGate使用设备检测(被动扫描),根据流量到达情况运行扫描。

 非常好!你已经了解了如何部署安全架构。接下来你将了安全架构功能以及如何在你的网络环境中扩展安全架构。

 完成本部分后,你应该能够实现上图显示的目标。

  通过展示扩展Fortinet安全架构的能力,你将更好地了解其从单一角度简化所有网络设备管理的能力。

 主要的网络安全连接器包括FortiManager、FortiAnalyzer、FortiClient EMS、FortiAP、FortiSwitch和FortiExtender。上图显示了具有完整安全架构集成的其他产品列表。

  例如,Fortinet建议使用FortiManager集中管理所有FortiGate设备,并访问安全架构中的设备。你还可以通过集成FortiNAC设备,将安全架构扩展到访问层。

 外部连接器允许你集成多云支持,如Microsoft Azure和AWS等。

  在以应用程序为中心的基础设施(ACI)中,SDN连接器作为连接SDN控制器和FortiGate设备的网关。例如,SDN连接器可以在Cisco ACI结构中将自己注册到APIC,轮询感兴趣的对象,并将其转换为地址对象。翻译的地址对象和相关端点填充在FortiGate上。

  管理员定义的自动化工作流程(称为针)导致FortiOS以预先编程的方式自动响应事件。由于此工作流程是安全架构的一部分,因此你可以为安全架构中的任何设备设置自动化针。然而,安全架构不需要使用针。

  每个自动化针都配对触发器和一个或多个操作。ForiOS有几个预定义的针、触发器和操作。但是,你可以根据可用选项创建自定义自动化。

  自动化针允许你监控网络,并在安全架构检测到威胁时采取适当的行动。你可以使用自动化针来检测来自安全架构中任何来源的事件,并将操作应用于任何目的地。

  你可以在一些可用操作上配置最小内部(秒)设置,以确保它们不会比需要的更频繁地运行。

  上图展示了如何配置自动化针以在安全架构中工作的示例:

  1. FortiClient向FortiAnalyzer发送日志。

  2. FortiAnalyzer在日志中发现loC并通知FortiGate。

  3. FortiGate识别FortiClient是否是连接的端点,以及它是否具有FortiClient连接的FortiClient EMS的登录凭据。有了这些信息,FortiGate会向FortiClient EMS发送通知,以隔离端点。

  4. FortiClient EMS搜索端点并向其发送隔离消息。

  5. 端点接收隔离消息并隔离自己,阻止所有网络流量。端点通知FortiGate和EMS状态变化。

  6. FortiGate向Microsoft Teams频道发送通知,以提醒管理员有关该事件。

  安全架构状态小组件显示安全架构中设备的摘要。

  你可以将鼠标悬停在小组件顶部的图标上,以快速显示其状态。从这里,你可以单击以授权连接到授权FortiGate的FortiAP和FortiSwitch设备。

  图标表示可以在安全架构中使用的其他Fortinet设备:

  ● 显示为蓝色的设备已连接到你的网络中。

  ● 显示为灰色的设备未配置,或未在网络中检测到。

  ● 显示为红色的设备不再连接,或者未在你的网络中获得授权。

  安全评级部分提供了所有安全评级检查的执行摘要。默认情况下,它与基本免费检查集一起提供,否则许可集与需要FortiGuard安全评级服务订阅的订阅服务一起提供。

  你可以查看每个安全架构设备的记分卡,或者通过选择All FortiGates来全面查看。

 在安全评级页面上,你可以单击特定类别以查看更多详细信息。例如,你可以单击安全评级页面上的安全态势类别来展开它。

  与其他类别一样,安全态势类别提供了对特定FSBP、PCI或CIS合规性政策的引用。安全态势类别还提供安全检查,可以帮助你改进组织的网络。这些结果包括强制执行密码安全、应用推荐的登录尝试阈值、鼓励双因素身份验证等。 

  安全评级为FortiGate设置配置提供建议并突出显示问题。这些建议和问题以通知的形式显示在设置页面上。

  通知显示在图形用户界面的底部。你可以单击特定通知来显示你可以修复设置的页面。这可以防止你在安全架构>安全评级页面和各种设置页面之间来回走动。

  在上图显示的示例中,安全评级检查建议你为 port1接口分配一个角色。

  你可以在FortiGate GUI上的安全架构菜单中查看安全架构拓扑结构。你可以选择物理拓扑逻辑拓扑视图。要查看完整的网络,你必须访问安全架构中根FortiGate上的拓扑视图。

  物理拓扑视图将你的网络显示为互连设备的气泡图。这些设备根据它们所连接的上游设备进行分组。根据流量,气泡看起来更小或更大。你可以双击任何气泡来调整其大小,并查看有关设备的更多信息。

  逻辑拓扑视图与物理拓扑视图相似,但它显示了用于连接安全架构中设备的逻辑或物理网络接口。

  上图展示了物理拓扑视图和逻辑拓扑视图之间的区别。

 答案:A

  答案:A

   恭喜你!你已经完成了这节课。

  现在,你将回顾本课所涉及的目标。

  上图展示了你在本课中所涉及的目标。

  通过掌握本课中涵盖的目标,你学会了如何配置和使用Fortinet安全架构。


 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值