教程篇(7.0) 02. FortiGate安全 安全架构 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解Fortinet安全架构。
通过展示在部署Fortinet安全架构、使用和扩展安全架构功能以及了解其拓扑结构方面的能力,你将能够在你的网络中有效地使用Fortinet安全架构。
通过展示理解Fortinet安全架构关键概念的能力,你将更好地理解安全架构的价值、组成它的服务器以及如何部署它。
什么是Fortinet安全架构?
这是一个Fortinet企业解决方案,实现了网络安全的整体方法,通过单个控制台可以看到网络和场景,所有网络设备都集成到一个集中管理的自动化防御系统中。
网络设备包括从物理端点到云中的虚拟设备的所有组件。由于设备是集中管理的,并且彼此实时共享威胁情报,并且在宏级别接收来自Fortinet的更新,因此你的网络可以在威胁出现时快速识别、隔离和中和威胁。
安全架构有以下几种属性:
● 广泛的:它提供了整个数字攻击表面的可见性,以更好地管理风险
● 集成的:它提供了一种解决方案,降低了支持多点产品的复杂性
● 自动化:网络组件之间实时交换威胁情报,从而自动响应威胁
第四个属性可以添加到安全架构的描述中:开放。该API和协议可用于其他供应商的加入和合作伙伴集成。这允许Fortinet和第三方设备之间的通信。
为什么Fortinet认为安全架构是一个强大的网络防御的基本解决方案?
随着网络的发展和各种新类型的威胁的出现,部署了点安全产品来解决这些新出现的威胁。这些零碎的解决方案往往是有效的,但部署产品使用不同标准和协议,意味着无法有效协调。
上图右侧的讲述了一个网络故事,该网络部署了来自四个不同供应商的安全解决方案。中心的管理员从安全控制台工作,只能看到一部分安全解决方案。这种对整个网络防御的不可见性是一个严重的缺陷,可能会让外国入侵者在不被发现的情况下破坏网络防御。
当今网络的复杂性使这个问题更加复杂。此外,越来越复杂的恶意软件有一个不断扩大的攻击面可以利用,因为网络已经突破了传统网络边界的限制,已经扩展到虚拟网络和公共云。此外,由于BYOD程序的结果,非托管设备的数量不断增加,你就拥有了完美的安全风暴。
最可行的解决方案是建立一个集中管理的、整体的安全方法,这样你就可以清楚地看到所有潜在的渗透点,并可以协调防御来遏制和中和网络入侵。
正如上图所示,Fortinet安全架构提供了八种解决方案:网络接入、安全WLAN/LAN、公共和私有云基础设施、应用程序、端点、安全操作、开放架构生态系统和架构管理中心。这些解决方案都基于特定的用例,并涉及特定Fortinet产品的集成。
Fortinet安全架构提供FortiGate、IPS、VPN、SD-WAN网络安全。它还提供跨公共云、私有云、混合云和软件即服务(SaaS)的多云策略。它还提供了相当复杂的端点产品,从Fabric Agent一直到全端点保护、电子邮件安全、web应用程序安全、跨分布式企业和SDWAN环境的安全访问、高级威胁保护、管理和分析、以及安全信息和事件管理(SIEM)。
所有这些都得到了FortiGuard服务的强调和支持,该服务为整个安全架构提供了Al-powered情报和保护。
FortiGate和FortiAnalyzer创建了安全架构的核心。为了增加更多的可见性和控制,Fortinet建议添加FortiManager、FortiAP、FortiClient、FortiSandbox、FortiMail、FortiWeb、FortiAl和FortiSwitch。该解决方案可以通过增加其他网络安全设备进行扩展。
答案:B
答案:A
现在你已经了解了Fortinet安全架构的基本知识。接下来,你将了解如何在你的网络环境中部署安全架构。
通过展示Fortinet安全架构的部署能力,你将更好地理解安全架构的价值,以及它如何帮助你更有效地管理所有网络设备。
在这个只包含安全架构核心设备的简单网络中,有一个FortiAnalyzer和一个下一代防火墙(NGFW) FortiGate。此实现示例仅用于高级视图。要了解更多细节,请参阅docs.fortinet.com。名为External的FortiGate设备充当边缘防火墙,也将被配置为安全架构中的根防火墙。在根防火墙的下游有三个内网分段防火墙,它们安顺序划分了WAN,以包含一个漏洞并控制对各种LAN的访问。在本例中,有Accounting、Marketing和Sales局域网。
首先,在根FortiGate上,必须在面向任何下游FortiGate的接口中启用Security Fabric Connection。
点击菜单Security Fabric>Fabric连接器,选择Security Fabric设置,点击编辑。
如果选择作为Fabric Root提供服务,还需要配置FortiAnalyzer的IP地址。然后,你需要为安全架构配置一个结构名称。这个FortiAnalyzer配置将被推送到所有下游的FortiGate设备。所有下游FortiGate设备都将日志直接发送到FortiAnalyzer。
实现安全架构的第二步是配置下游Fortinet设备。
在FortiGate下游设备上,你必须在面向下游的FortiGate设备的接口上开启Security Fabric连接和设备探测功能。
在Security Fabric设置页面,选择加入现有Fabriclks架构,并添加根(上游)FortiGate IP地址。根FortiGate将其FortiAnalyzer配置推送到所有下游FortiGate设备。
实现安全架构的第三步是在根FortiGate和FortiAnalyzer上授权下游FortiGate设备。单击下游FortiGate下游的序号,选择授权。几秒钟后,下游FortiGate将加入安全架构。为了完成完整的安全架构过程,你将需要授权FortiAnalyzer上的所有设备。从FortiAnalyzer设备管理器部分,选择安全架构中的所有设备,然后单击授权。几秒钟后,你将注意到你所有的授权设备都加入了安全架构。
当启用安全架构时,默认情况下启用从上游FortiGate设备到所有下游FortiGate设备同步各种对象的设置,例如地址、服务、时间表。同步总是从根FortiGate设备发生到下游FortiGate设备。在同步之后,任何可以同步的对象都可以在下游FortiGate设备上使用。
CLI命令set fabric-object-unification只能在根FortiGate上使用。当设置为local时,全局对象不会同步到安全架构的下游设备。默认值为default。
当下游FortiGate不需要参与对象同步时,使用CLI命令set configuration-sync local。当下游FortiGate设置为local时,设备不会从根节点同步对象,但仍会参与向下游发送同步对象。
你还可以在安全架构中启用或禁用每个对象的同步。此选项对于在下游FortiGate上创建的对象不可用。默认情况下,支持的架构对象禁用架构同步,这些架构对象作为本地创建的对象保存在安全架构中的所有FortiGate设备上。如果在根FortiGate上禁用了对象同步,使用命令set fabricobject disable,防火墙地址和地址组将不会同步到下游FortiGate设备。
如果在同步过程中存在对象冲突,你将获得一个解决冲突的通知。在拓扑树中,Remote-FortiGate以琥珀色突出显示,因为存在冲突。
在上图所示的示例中,你将研究如何解决同步冲突。
1. 通知图标显示这条消息:防火墙对象与架构中的其他FortiGates冲突。单击查看防火墙对象冲突。
2. 在防火墙对象同步界面,可以看到FortiGate根设备和FortiGate下游设备都包含synn add 1对象(每个设备的IP地址/子网模式不一致),导致内容不匹配的状态。在Strategy字段中,有两个解决冲突的选项:Automatic和Manual。如果选择Automatic(自动),如本例所示,则可以单击重命名所有对象。
3.Remote-FortiGate附加在下游FortiGate设备的sync_Add_1地址对象后面,状态变为Resolved。
4. 在拓扑树中,FortiGate设备均不突出显示。
VDOM有两种模式:split-vdom和multi-vdom。在split-vdom模式下,FortiGate总共有两个VDOM,分别是root和FG-traffic VDOM。不能使用split-vdom模式添加VDOM。
1. split-vdom模式:
a) split-vdom模式下的根VDOM是管理VDOM,只做管理工作。以下导航栏条目和页面隐藏在根VDOM中:
● 所有策略和对象条目
● 用户和设备,安全配置文件
● 流量相关的FortiView条目
● VPN条目
● 系统下的结构连接器、声誉、可见功能、对象标签条目
● Wan-Opt条目
● 大多数路由条目
● 大多数日志事件条目
● 监控条目
b) FG-traffic VDOM可以提供单独的安全策略,允许流量通过FortiGate。
2. 在multi-vdom模式下,可以创建多个VDOM,这些VDOM可以作为多个独立的单元。默认情况下,根是管理VDOM,可以用来执行管理任务和允许其他流量。可以选择任意一个VDOM作为管理VDOM。
在split-task VDOM模式下,可以启用FortiGate安全架构。如果在上游FortiGate设备上开启split-task VDOM模式,则可以允许下游FortiGate设备加入安全架构根和和FG-traffic VDOM。如果下游的FortiGate开启了split-task VDOM模式,则只能通过根VDOM的下游FortiGate接口连接上游的FortiGate。
Telemetry设置在全局和VDOM上下文中都显示,但在VDOM上下文中,只显示拓扑和启用FortiTelemetretry的接口字段。
你可以点击全局 > 物理拓扑来查看根FortiGate和所有下游FortiGate设备,它们与根FortiGate处于相同的安全架构中。点击根 > 物理拓扑或FGTraffic > 物理拓扑,可以看到根FortiGate,并且在根FortiGate上只能看到连接到当前选择的VDOM的下游FortiGate设备。
当你在多VDOM模式下配置FortiGate设备并将其添加到安全架构时,当检测到一个或多个设备时,将显示每个VDOM及其分配的端口。只有被发现的和连接的设备的端口出现在安全架构视图中,因此,你必须在你想要在安全架构中显示的端口上启用设备发现功能。没有连接设备端口的VDOM不显示。所有已配置的VDOM必须是单个安全架构的一部分。在上图示例中,Local-FortiGate以多VDOM模式配置,有三个VDOM (root、VDOM1和VDOM2),每个都有连接设备的端口。
设备识别是安全架构中的一个重要组成部分。FortiGate检测网络中的大多数第三方设备,并将其添加到安全结构的拓扑视图中。有两种设备识别技术:有代理和没有代理(无代理)。
无代理身份识别使用来自设备的流量。设备是根据它们的MAC地址建立索引的,有各种各样的方法来识别设备,例如HTTP user-Agent报头、TCP指纹、MAC地址OUI和FortiOS-VM检测方法,举几个例子。只有当FortiGate与工作站直接连接的网段,流量直接发送到FortiGate网段,并且在FortiGate与工作站之间没有中间路由器或三层设备时,无代理设备识别才有效。
请注意,FortiGate使用先到先服务的方法来确定设备标识。例如,如果一个设备被HTTP用户代理检测到,FortiGate用检测到的MAC地址更新它的设备表,一旦确定了该MAC地址的类型,就停止扫描。
基于代理的设备识别使用FortiClient。FortiClient将信息发送给FortiGate,设备由其唯一的FortiClient用户ID (UID)跟踪。
默认情况下,FortiGate使用设备探测(被动扫描),它根据流量到达运行扫描。
答案:A
答案:B
现在你已经知道如何部署Security Fabric了。接下来,你将了解安全架构功能,以及如何在你的网络环境中扩展安全架构。
通过在扩展Fortinet安全架构中展示能力,你将更好地理解安全架构的价值,以及它如何帮助你从一个设备点管理所有网络设备。
Fortinet建议使用FortiManager来集中管理安全架构中的所有ForitGate设备和访问设备。你可以集成FortiSwitch和FortiAP设备,将安全架构向下扩展到访问层。你也可以通过安全结构整合FortiMail、FortiWeb、FortiCache、FortiSandbox和FortiClient EMS。
管理员定义的自动化工作流(称为针)使用if / then语句使FortiOS以预编程的方式自动响应事件。因为这个工作流是安全架构的一部分,所以你可以为安全架构中的任何设备设置if / then语句。然而,安全架构不需要使用针。
每个自动化针对应一个事件触发器和一个或多个动作。自动化针允许你监视你的网络,并在安全架构检测到威胁时采取适当的行动。你可以使用自动化针来检测来自安全架构中的任何源的事件,并将操作应用到任何目的地。
你可以配置最小内部(秒)设置,以确保你不会收到关于相同事件的重复通知。有预定义的针、触发器和动作可用。
但是,你可以基于可用的选项创建自定义自动化。
你可以配置Compromised Host触发器来创建自动化威胁响应针。
这个触发器使用来自FortiAnalyzer的妥协指示器(loC)事件报告。
基于威胁级别阈值设置,你可以配置针采取不同的补救步骤:
● 在FortiSwitch或FortiAP隔离被破坏的主机
● 使用FortiClient EMS在受损主机上隔离FortiClient
● 禁止IP
还可以点击 监控 > 隔离监控 查看隔离和禁止的IP地址。隔离的地址将在可配置的一段时间后自动从隔离中删除。被禁止的IP地址只能通过管理员的干预从列表中删除。
你还可以在FortiGate GUl上查看被破坏的主机,并以各种方式获得输出通知,比如iOS推送。该特性与IFTT集成。
外部连接器允许你集成多云支持,例如ACl和AWS,等等。
在以应用为中心的基础设施(ACI)中,SDN连接器充当网关桥接SDN控制器和FortiGate设备。SDN连接器将自己注册到Cisco ACI fabric中的APIC,轮询感兴趣的对象,并将它们转换为地址对象。FortiGate上填充转换后的地址对象和关联的端点。
FortiGate VM for Microsoft Azure也支持cloud-init和bootstrapping。
安全架构状态小部件显示了一个在安全架构里多个设备的可视总结,你可以将鼠标悬停在小部件顶部的图标上,以快速查看安全架构的状态。包括FortiTelemetry的状态和安全架构中的设备。你可以点击授权FortiAP和FortiSwitch设备连接到已经授权的FortiGate。
图标表示可以在安全架构中使用的其他Fortinet设备:
● 蓝色的设备连接到你的网络中。
● 灰色的设备是连接在你的网络中的未经授权的设备。
● 红色的设备在你的网络中没有被检测到,但推荐用于安全架构。
● 注意图标表示FortiGate或FortiWiFi正在等待授权。
答案:A
答案:A
现在你已经知道了如何扩展安全架构及其特性。接下来,你将了解安全架构评级服务和拓扑视图。
通过在Fortinet安全评级服务和拓扑视图中展示能力,你应该能够清楚地看到你的网络设备。
安全评级是一种订阅服务,它需要安全评级许可。该服务现在提供了执行许多最佳实践(包括密码检查)的能力,以审计和加强你的网络安全性。
安全等级网页分为三个主要的记分卡:
● 安全态势
● Fabric覆盖
● 优化
这些记分卡提供了安全架构中三个最大的安全重点领域的执行摘要。
该记分卡显示整体字母等级和分项表现。单击记分卡可以向下钻取详细的结果报告和遵从性建议。
分数代表该区域所有通过和不通过项目的净分数。该报告包括经过测试的安全控制,链接到特定的FSBP或PCI合规策略。可单击“FSBP”和“PCI”参考相应标准。
在多VDOM模式下,可以在全局VDOM中生成设备上所有VDOM的安全评级报告。具有读写权限的管理员可以在全局VDOM中运行安全评级报告。具有只读权限的管理员只能查看报表。
在记分卡上,Scope列显示了运行检查的VDOM或VDOM。对于支持Easy Apply的检查,可以在所有关联的VDOM上运行修正。
在根VDOM上有安全评级事件日志。
单击安全评级页面上的安全态势记分卡,展开记分卡并查看更多详细信息。
安全态势服务现在支持以下内容:
● 使用安全审计(FortiGuard数据)按百分比进行客户排名:安全评级现在支持向FortiGuard发送结果,并从FortiGuard接收统计数据。结果以百分比的形式显示给客户。
● 当管理员登录到GUI时,安全审计在后台运行,而不仅仅是按需运行。在查看安全审计页面时,会加载最新保存的安全审计数据。在GUI中,你可以根据需要运行审计,并查看安全架构中不同设备的结果。你还可以查看所有结果或只是失败的测试结果。
● 新的安全检查,可以帮助你改进组织的网络。这些结果包括加强密码安全性、应用推荐的登录尝试阈值、鼓励双因子身份验证等。
安全等级提供关于FortiGate设置的建议。这些建议以通知的形式显示在设置页面上,该页面显示由安全级别确定的配置问题。管理员可以打开建议,查看需要修复哪些配置设置。这有助于管理员在安全架构 > 安全评级页面和各种设置页面之间来回切换。
在上图所示的示例中,FortiGate使用默认的HTTPS和SSH端口,并且没有启用管理员密码策略。另一个建议是通过配置可信任主机来限制登录访问。
通知要么出现在装订线中,要么出现在页脚中,要么以可变的形式出现。通知也可以被驳回。
安全评级服务报告每个安全架构组的安全态势得分。FortiGuard安全评级服务是一种基于订阅的服务,它获取生成的报告并由FortiGuard进行分析。它比较了该架构组所属行业的安全评分结果。组内所有FortiGate设备都需要配置FortiGuard安全架构评级服务,评分只能在安全架构根目录FortiGate上获取。生成安全评级报告后可获取该评分。分数以数字形式表示,并基于行业、组织规模和地区。
你可以在FortiGate界面的安全架构菜单中查看安全结构拓扑。可以选择物理拓扑或逻辑拓扑。要查看完整的网络,必须访问安全架构中FortiGate根节点的拓扑视图。
物理拓扑视图将网络显示为连接设备的气泡图。这些设备根据它们所连接的上游设备进行分组。根据流量的大小,气泡看起来更小或更大。你可以双击任何气泡来调整它的大小,并查看有关设备的更多信息。
逻辑拓扑视图与物理拓扑视图类似,但它显示了用于连接安全架构中的设备的网络接口,包括逻辑的或物理的。
上图展示了物理拓扑视图和逻辑拓扑视图的区别。
答案:B
答案:A
恭喜你!你已经学完了这一课。现在,你将回顾你在这一课中涉及的目标。
上图展示了你在这节课中涉及的目标。
通过掌握本课所涉及的目标,你了解了如何配置和使用Fortinet安全架构。
教程篇(7.0) 02. FortiGate安全 安全架构 ❀ Fortinet 网络安全专家 NSE 4相关推荐
- 教程篇(7.0) 09. FortiGate安全 应用控制 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何监视和控制可能使用标准或非标准协议和端口的网络应用程序,而不仅仅是简单地阻止或允许协议.端口号或IP地址. 本节课,你将学习上图显示的主题. 通过展示应用控制基础知识,你将 ...
- 教程篇(7.0) 08. FortiGate安全 Web过滤 ❀ Fortinet 网络安全专家 NSE 4
在本节课中,你将学习如何在FortiGate上配置web过滤来控制网络中的web流量. 本节课,你将学习上图显示的主题. 通过展示理解检测模式的能力,你将能够实现适当的检测模式,以支持所需的安全 ...
- 教程篇(7.0) 03. FortiGate安全 防火墙策略 ❀ Fortinet 网络安全专家 NSE 4
在本课中你将了解防火墙策略,以及如何应用它们来允许和拒绝通过FortiGate的流量.FortiGate的核心是一个防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联. 本节课你将 ...
- 教程篇(7.0) 05. FortiGate安全 防火墙认证 ❀ Fortinet 网络安全专家 NSE 4
在本节中,你将学习如何在FortiGate的防火墙策略中使用身份验证. 本节课,你将学习上图显示的主题. 通过展示防火墙身份验证方法的能力,你将能够描述和识别FortiGate上可用的受支持的防 ...
- 教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
在本课中,你将学习如何部署FortiClient,以及如何使用FortiClient EMS管理部署包. 通过展示FortiClient部署能力,你将能够准备Windows Active Dire ...
- 教程篇(5.4) 06. FortiAnalyzer SQL和数据集 ❀ Fortinet 网络安全专家 NSE5
本补充材料的目的是提供SQL和数据集的概述.SQL是在FortiAnalyzer 培训范围之外的, 本课程的目标是提供 信息,实现改变或创建数据集,为报告提取数据. 这些是我们将在课程中学习的标题,先 ...
- 考题篇(7.0) 11 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4
To complete the final step of a Security Fabric configuration, an administrator must authorize all ...
- 教程篇(7.0) 01. FortiGate安全 简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解FortiGate管理基础知识,以及你可以启用的用于扩展功能的FortiGate组件.这一课还包括关于FortiGate如何以及在何处适合你现有的网络架构的细节. 在本课中,你将 ...
- 教程篇(6.0) 01. FortiGate及其Security Fabric介绍 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解 FortiGate 管理基础知识和 FortiGate 中可以扩展功能的组件.这一课还包括如何以及在哪里将 FortiGate 安装到你现有的网络体系结构和 Security Fa ...
最新文章
- 尽快卸载这两款恶意浏览器插件!已有近50万用户安装
- PHP7扩展开发(二):配置项与全局数值
- jsp连接mysql显示404,SpringBoot+jsp项目启动出现404的解决方法
- 使用FlashFXP V3.8烈火汉化绿色版软件连接Linux
- python如何写生日快乐图片_Python 生活第一周母校生日快乐
- 《学习OpenCV3》第2章 OpenCV初探
- spark根据key输出到多个目录
- 利用Mahout实现在Hadoop上运行K-Means算法
- 实证研究的步骤_本科生毕业论文设计可以用到的研究方法有哪些
- CC2652RB硬件I2C读取FXOS8700CQ加速度传感器
- com.android.provision基本介绍
- 单位篮球比赛结束,感想很多
- 交通大学计算机科学考研_选择计算机科学作为大学专业之前需要知道的事情
- 解决ValueError: bad input shape (xxxx, x)
- 一个网站SEO优化主管必须具备的能力
- Chrome Google绿色便携制作(可更新自定义模式)
- 《疯狂Android讲义》学习笔记 -- 手势(Gesture)
- Revit插件建模助手和蜘蛛侠,两款插件功能介绍!
- 自学Python可以找到工作吗?
- 【thinkphp5商城系统】01项目框架搭建