教程篇(5.4) 03. FortiManager 设备注册 ❀ Fortinet 网络安全专家 NSE5
在本课中,我们将学习设备管理器窗格的主要功能,以及如何从FortiManager管理FortiGate。
本课程中,主要包含以下三个部分:
- 部署设备的通用设置
- 设备注册的方式
- 设备发现的故障排除
开始吧!
完成本节后,你应该能够:
- 描述使用配置模板
- 配置设备模板
- 将系统模板配置文件从一个ADOM复制到另一个ADOM
通过学习配置通用设置的能力,你将能够使用FortiManager为许多FortiGate配置通用设置。
配置模板允许你创建包含设备级设置的配置文件。这些模板有助于跨许多设备进行相同的设备级设置。他们可以编辑并重新应用。
有三种基于常见设备设置的模板类型:
- 系统模板:允许你创建和管理受管设备的常用系统级设置
- 威胁权重模板:允许你创建威胁权重,这可以通过跟踪客户行为并报告你确定风险或其他值得追踪的活动来提供信息
- 证书模板:允许你创建证书颁发机构(CA)证书模板,向它们添加设备,并为选定设备生成证书。生成并签署CA证书后,你可以使用安装向导进行安装。
请注意,供应模板基于特定的ADOM版本,因此某些设置可能不可用。
系统模板页面包含一个名为default的通用配置文件,它是Model设备配置的子集,并包含微件,如DNS、警报电子邮件、管理设置等。
你可以创建一个新的设备配置文件并配置该配置文件的微件中的设置。 “从设备创建”配置文件用于从特定受管设备导入设置,该设备继承该受管设备的系统级设置。
分配的设备将设备关联到配置文件或查看已分配给配置文件的设备列表。
这些配置的配置文件可以应用于同一ADOM中的多个设备,这有助于在许多设备上实现相同的设备级设置。
在本演示文稿的下一部分将FortiGate添加到FortiManager时,我们将在系统模板中应用默认配置文件。
如果你需要将相同的系统级设置应用于不同ADOM中的许多FortiGate设备,该怎么办?
请记住,每个ADOM都有其自己的独特对象数据库,其中也包含模板。但是,你可以将系统模板从一个ADOM 导出并导入到另一个ADOM。ADOM必须运行相同的固件版本。首先,你需要将系统模板从原始ADOM导出到FortiManager文件系统,然后你可以将该配置文件导入到其他ADOM中。
我们开始下一个章节:注册设备的方式。
完成本节后,你应该能够:
- 描述FortiManager向导
- 描述设备注册的两种方法
- 了解导入报告
- 配置FortiGate进行零接触安装
- 从FortiManager同时添加多个设备
- 将设备添加到FortiManager
通过学习设备注册的能力,你将能够将设备添加到FortiManager中,以便从FortiManager管理这些设备。
设备管理器提供设备和安装向导,以帮助你执行各种管理和维护任务。使用这些工具可以帮助你缩短执行许多常见任务所需的时间。
有四个主要的向导:
- 添加设备:用于将设备添加到中央管理并导入其配置。
- 安装向导:用于将设备管理器或策略和对象的配置更改安装到受管设备。它允许你预览更改,如果管理员不同意更改,请取消并修改它们。
- 导入策略:用于将接口映射、策略数据库和与受管设备关联的对象导入策略和对象窗格下的策略包中。你可以使用设备注册向导运行它,并可以随时从受管设备列表中运行。
- 重新安装策略:用于执行策略包的快速安装。它还提供了预览将安装到受管设备的更改的功能。
通过右键单击设备管理器中的受管设备,可以调用导入策略和重新安装策略向导。
有两种方法可以使用FortiManager注册设备:
第一种方法是FortiManager设备注册向导。如果设备支持并且设备的所有细节都正确,则设备将被注册。
第二种方法是来自受支持设备的注册请求。当FortiGate管理员接收到该请求时,该请求被接受(尽管它可以被拒绝)。
通过设备注册向导,你可以添加一个现有配置(包括防火墙策略)的FortiGate设备或添加一个新的FortiGate设备。 FortiGate设备通常配置一个达到FortiManager所需的最低配置,通常由技术人员预先配置,其它的防火墙配置由管理员在FortiManager所在的安全/网络操作中心完成。
当具有现有配置的设备被导入时,其防火墙策略被导入到新的策略包(可以被重命名)。对象共享每个ADOM的公共对象数据库并保存在ADOM数据库中,ADOM数据库可以在同一个ADOM中的不同受管FortiGate设备之间共享或使用。它还检查重复或冲突的对象。
第一种注册方法是使用FortiManager上的设备注册向导。在这里,FortiManager管理员主动发起并最终执行注册。通过这种方法,管理员必须具有关于要注册的设备的具体细节。
你可以通过单击菜单栏中的添加设备从设备管理器窗格启动向导。如果你已启用ADOM并希望将设备添加到特定的ADOM,请在单击添加设备之前从ADOM列表中选择ADOM。
在向导中有两个添加设备的选项:发现和添加设备。
发现选项用于添加现有设备。在这里,你必须输入FortiGate设备的登录凭证:IP地址、用户名和密码。
为了充分发现设备并添加完整配置,此处输入的登录凭证必须在FortiGate上具有完整的读写访问权限。这也允许FortiManager将配置安装到托管的FortiGate。
添加设备选项用于配置尚未联机的新设备。我们将在本课中学习。
在这一步中,FortiManager确定FortiGate设备是否可达,并且还发现有关设备的基本信息,包括:IP地址、管理用户名、设备型号、固件版本(版本)、序列号和高可用性模式。
你还可以在FortiManager上运行以下CLI命令来获取FortiGate设备的实时状态。
请注意,此命令的输出非常冗长,并显示其他受管设备的输出。
下一步,你可以配置刚刚发现的设备的相应配置,例如设备权限,FortiClient管理和应用系统模板。
管理员可以预先配置系统模板,并将它们添加到FortiManager的新设备中。使用模板,可通过删除多次重复常见的配置的操作来节省时间。
默认情况下,FortiGate设备具有完整的日志记录权限。
下一步,FortiManager会检查添加的FortiGate设备,并在修订历史记录中创建初始配置文件。这是完整的配置 ,其中包含所有已使用和独立的对象以及FortiGate上的防火墙策略。它还检查服务合同,在FortiManager被用作托管FortiGate的本地FortiGuard服务器时这很有用。
关于导入策略和对象有两个选项:
单击“现在导入”将在策略包中添加策略,并在公共共享ADOM数据库中添加对象。这些对象可以被同一个ADOM中的多个FortiGate设备使用。
单击“稍后导入”只会将设备级别设置添加到设备数据库,但防火墙策略和对象不会导入到策略和对象中。这可以稍后使用导入策略向导导入。
在这个例子中,选择了现在导入选项。
如果配置了虚拟域(VDOM),则会提示你选择要导入的VDOM。大多数防火墙配置都是针对VDOM的,因此每个VDOM都被视为一个受管设备。
FortiManager探测FortiGate并在ADOM数据库中创建接口映射。你也可以重命名ADOM接口映射。FortiGate设备的接口port1和port3分别被重新命名为WAN和LAN。这个映射是FortiManager数据库的本地映射,策略可以在 FortiManager上从LAN和WAN界面查看。这些本地ADOM接口映射可用于多个FortiGate。
这在大型部署中很有用,管理员可以使用ADOM接口的通用名称。你也可以在ADOM级别为FortiGate设备接口使用相同的名称。它还可以帮助管理员在FortiManager上轻松查看和跟踪防火墙策略。
为所有未使用的设备接口添加映射默认情况下处于启用状态。这会为新的接口创建自动映射。因此,FortiManager管理员不需要创建手动映射。
该向导搜索所有导入到FortiManager数据库的策略。这里,策略将导入到策略和对象窗格下的新策略包中。
此时,你可以选择是导入所有策略还是选择策略,以及是否只导入引用的对象或所有对象。 添加设备时默认选择 “全部导入”和“仅导入策略相关对象”选项。
接下来,它在FortiGate设备中搜索要导入的对象,如果存在任何冲突,它们将显示在此处。你可以查看其他详细信息,并以HTML格式下载冲突。
如果你从“使用值由”列中选择FortiGate,FortiManager数据库将使用该值进行更新。 如果你选择FortiManager,下次你将配置从FortiManager安装到FortiGate时,它将对FortiGate防火墙进行这些更改。默认选择是 FortiGate。
一旦出现对象冲突,向导将搜索要导入的对象。FortiManager添加新的对象并更新现有的FortiManager对象。
FortiManager不会在ADOM数据库中导入重复条目,因为这些对象已经存在于数据库中。
向导中的最后一步是导入摘要。这时防火墙策略和对象将被导入FortiManager。
你也可以下载导入报告,该报告仅在此页面上提供。作为最佳做法,建议你下载报告。下一张幻灯片显示下载的导入报告。
导入报告提供重要信息,例如将哪个设备导入ADOM中,以及与导入的对象一起创建的策略包的名称。这些对象和策略在该ADOM的策略和对象窗格中创建。
FortiManager导入新的对象,重复的对象被跳过,因为FortiManager不会在ADOM数据库中导入重复的条目。如果检测到冲突,则FortiGate将更新你在向导的“对象冲突”步骤中选择的设备对象,并在导入报告中将其称为“更新先前对象”。
也可以创建动态对象,其中单个对象名称根据安装的设备具有不同的值。
由于我们在向导的接口映射步骤中将port3更名为LAN,将port1更名为WAN,你可以看到在FortiManager上,策略是从LAN和WAN接口导入的。但是,在FortiGate上它显示了port1和port3。这称为动态映射:在策略包中创建的防火墙策略引用这些映射。安装策略包后,接口映射将转换为受管设备上的本地接口。
在将接口映射转换为受管设备上的本地接口的多个托管FortiGate设备上安装相同的策略包时,这很有用。
添加设备向导中的第二个选项是添加Model设备,它允许你添加尚未联机的设备。你可以通过序列号和预共享密钥链接到真实设备。
使用此选项,你可以预先创建配置。
在添加FortiGate作为Model设备时是强制性的预共享密钥,是添加多个Model设备的唯一预共享密钥。
在FortiGate设备上,你需要配置FortiGate将其指向FortiManager。
如果你使用序列号添加FortiGate作为Model设备,则需要在中央管理配置下在FortiGate上配置FortiManager IP地址。
如果你使用预共享密钥添加Model设备,则需要配置中央管理配置,此外还需要从FortiGate CLI运行注册设备命令。
该命令需要FortiManager序列号以及添加Model设备时使用的预共享密钥。
一旦部署FortiGate的基本IP和路由配置到达FortiManager,FortiGate设备会自动升级为注册设备。 然后,你可以将预配置的配置从FortiManager安装到FortiGate设备上。
FortiGate管理员必须配置FortiManager的IP地址并向FortiManager发送请求。
出现一个弹出窗口,说明管理请求已发送至FortiManager。点击确定即可退出FortiGate。
那么FortiGate如何从未注册的设备转移到注册设备?
这发生在FortiManager端。一旦从支持的设备发出请求,请求将显示在FortiManager GUI中的设备管理器>未注册设备下。
FortiManager管理员应查看未注册设备的详细信息,如果确认无误,请添加设备。如果添加未注册的设备,则需要运行“导入策略”向导以将设备的防火墙策略导入新的策略包。
如果启用了ADOM,设备将出现在根ADOM中,该ADOM是FortiManager的管理ADOM。根ADOM基于FortiGate ADOM类型,因此你只能将FortiGate添加到根ADOM。或者,如果你已经创建了基于FortiGate ADOM类型的自定义ADOM,则可以将FortiGate添加到自定义ADOM中。
从FortiGate CLI中,你可以启用未注册设备的自动注册。但是你仍然需要运行“导入策略”向导将设备的防火墙策略导入到新的策略包中。
如果你需要同时添加多个FortiGate设备会怎么样?
你可以在管理设置下启用显示添加多个按钮,从而启用在设备管理器下添加多个设备的选项。你可以点击加号(+)图标并输入FortiGate的IP地址,用户名和密码。
类似于添加未注册的设备,策略包不会自动创建。你必须运行“导入策略”向导以将设备的防火墙策略导入新的策略包。
一旦你注册了FortiGate设备,它们就会出现在添加了它们的ADOM的设备管理器中。
某些FortiManager设备可以与机框管理器一起工作来管理FortiGate 5000系列机箱。首先,你需要在“系统设置”窗格中启用机箱管理。一旦启用,你可以将机箱添加到默认机箱ADOM中。
机箱管理器仪表板上提供有关插槽号、插槽信息、刀片当前状态以及各种其他参数的信息。在仪表板中,可以配置或查看与刀片、PEM、风扇托架、货架管理器和SAP相关的信息。
FortiManager物理设备或虚拟机(VM)许可证支持有限数量的设备,具体取决于设备型号或许可证类型。FortiGate高可用性(HA)群集与虚拟域(VDOM)一样,被视为单个设备。这是因为大部分配置与防火墙策略和对象相关,并且群集中的设备不会增加该配置的大小,因为群集中的设备运行的配置相同。使用VDOM会增加配置的大小。
例如,如果HA群集中有两个FortiGate(主动—主动或主动—被动),则两个FortiGate具有相同的配置并计为一个设备。但是,启用VDOM会增加配置的大小,因为每个VDOM在逻辑上都是单独的防火墙。
FortiGate HA集群作为来自FortiManager的单个设备进行管理,并具有唯一的ID。你可以在CLI中执行diagnose dvm device list查看设备成员。FortiManager不获取(也不会验证)FortiGate HA同步状态。每个设备配置的独立管理接口仅用于SNMP监控,不可用于FGFM管理。
FortiManager上的FortiGate HA配置是只读的。它是可检索和可见的,但不能修改。它也不会在安装过程中应用于FortiGate。这是为了避免覆盖高可用性配置,如果FortiGate HA角色发生改变;但是,你可以强制从FortiManager进行HA故障切换。有关HA参数的FortiGate配置更改不会修改校验和(get system mgmt-csum )并且不会导致不同步的情况。
在本章节中,我们将探讨设备发现的故障及排除。
完成本节后,你应该能够:
- 确定设备发现和添加设备所涉及的步骤
- 检查并验证可能导致发现失败的配置
- 通过学习设备发现故障排除,你将能够诊断和解决与设备发现相关的问题。
管理协议FGFM在FortiGate(fgfmd)和FortiManager(fgfmsd)上运行。 FortiManager和FortiGate在端口TCP 541上创建一个安全通道。基于TCP,该连接与基于端口的NAT协同工作,FortiGate和FortiManager都支持NAT设备。在FortiGate侧,每个接口启用FMG-Access,并且面向FortiManager的接口启用。
一旦配置了管理隧道,就可以通过FortiManager或托管的FortiGate设备在任一方向建立隧道。FortiManager使用169.254.0.0/16子网保留链路级寻址。169.254.0.1 IP地址为FortiManager保留,被管理设备分配给169.254.0.0/16范围内的其他IP地址。
Keep-alive消息从FortiGate设备发送。Keep-alive消息包含FortiGate配置的校验和,用于计算同步状态。
首次发现设备或回收隧道时,FortiGate登录凭证是必需的。登录凭证将设置序列号。一旦输入了登录凭证,序列号就成为认证的基础。
FortiGate注册到FortiManager时有两个步骤:
- 发现:在这一步中,FortiManager发送一个CLI命令来获取FortiGate的最低信息。
- 添加:在此步骤中,FortiGate获取FortiGate的完整配置细节,FortiGate配置存储在修订历史记录中。
有两种方法可以将FortiGate注册到FortiManager。 安全的FGFM隧道可以由任一设备启动:FortiGate或 FortiManager。
如果隧道由FortiGate启动,则该设备被添加到根ADOM中FortiManager的未注册设备列表中。在这一点上,它还没有被发现。一旦设备被提升为注册设备,即可开始完整的发现和添加过程。
当FortiManager发现并添加FortiGate时,它会向FortiGate发送命令以获取有关FortiGate的完整信息。
你也可以在发现并添加FortiGate时运行以下CLI命令:
diagnose debug cli 8
diagnose debug enable
如果你遇到FortiGate与FortiManager之间的通信问题,请首先确保两台设备可以互相访问。使用任一设备的execute ping 命令验证设备是否能够路由到对方。(Ping必须由所有中间防火墙启用和允许。)
如果你在从FortiManager发现FortiGate时遇到问题,请检查以下内容:
- FortiManager拥有足够的管理员权限。需要足够的权限才能添加FortiGate。
- 脱机已禁用(默认情况下禁用)。启用离线模式将禁用用于与受管设备进行通信的FGFM协议(TCP端口 541)。
- 来自FortiGate的数据包到达FortiManager,FortiManager的数据包到达FortiGate。在两台设备上运行sniffer进行确认。
- FortiGate凭证在设备注册向导过程中是正确的。
- 在面向FortiManager的FortiGate接口上启用FGFM访问。
- FortiGate在未注册的设备列表中。你可以从GUI中的根ADOM或CLI诊断dvm设备列表中进行检查。
- FortiManager和FortiGate之间的日期和时间是同步的。
回顾本章节内容!