教程篇(5.4) NSE4 01. 入门 ❀ 飞塔 (Fortinet) 网络安全专家

在这节课中将介绍FortiGate管理的基本知识，包括怎样安装FortiGate到现有的网络中。

完成本课课程后你可以学习到关于FortiGate管理基础的实际操作技能和知识，掌握下列操作：

• 登录你的FortiGate

• 建立管理员帐号

• 使用FortiGate GUI（图形）与CLI（命令）配置基本网络设置

　　你也可以设置FortiGate充当本地网络的DNS、DHCP服务器。

  【提示】FortiGate：飞塔系列防火墙

首先我们来讨论一下FortiGate与其它品牌的传统防火墙有什么不同。

　　从一开始，FortiGate就成为统一威胁管理(UTM)的同义词，它是具有专用安全设备的传统防火墙，例如VPN网关和IPS传感器被绑定到了一个设备上。事实上证明，在中小型企业(SMB)和拥有许多分支机构的大型企业或校园中，UTM非常受欢迎。但是对于托管安全服务提供商(MSSPs)和数据中心来说，则需要的是最佳的性能。Fortinet的FortiASIC芯片和下一代的防火墙功能已经很受欢迎了，FortiGate怎样才能为所有这些类型的网络提供服务呢？

在这个架构图中你可以看到，在不影响灵活性的情况下，FortiGate平台是如何增加强度的。就像独立的、专用的安全设备一样，FortiGate是模块化的。这样做的好处是：

• 避免重复添置设置。有时候大量的投入并不意味着效率。如果发生过载，一个设备可以从其他九个设备中借用空闲内存吗？你想在10个独立的设备上配置策略、日志记录和路由吗？10倍的重复会给你带来10倍的好处还是麻烦呢？对于中小型企业或企业分支机构来说，UTM与单独的专用设备相比，通常是一个更好的解决方案。

• FortiGate硬件是专门设计的。电信等级以下的大部分FortiGate型号具有一个或多个由Foritnet设计被称为ASICs的专门电路。例如，CP或NP芯片可以更有效地处理密码和包转发。与只有一个CPU的单用途设备相比，FortiGate可以有更好的性能。这对于数据中心和运营商来说尤其重要，因为对于这些数据中心和运营商来说，吞吐量是至关重要的。(例外，虚拟化平台——VMware、Citrix Xen、微软或Oracle虚拟盒，具有通用的vCPU。这对于分布式计算和基于云的安全性来说，虚拟化还是值得的。）

• FortiGate是灵活的。如果你所需要的只是快速防火墙和防病毒，那么FortiGate可以对每个防火墙策略进行独立设置，不需要你浪费CPU、内存和电能。UTM和下一代防火墙模块可以被启用或禁用。而且，后面你将不用再支付更多的VPN许可费用。

• FortiGate是合作的。倾向于开放标准而不是专有协议，意味着更少的供应商独占和系统集成商的更多选择。而且随着你的网络的成长，FortiGate可以利用其他的Fortinet产品，比如FortiSanbox和FortiWeb，为更深入的安全性和最优性能作分布式处理。

如果你部署的FortiGate为虚拟设备，而不是物理设备，那么这个平台你仍然会觉得很熟悉。

　　除了硬件加速外，FortiGate虚拟机(VMs)具有与物理FortiGate相同的特性。这是为什么呢？首先，虚拟机监控程序的硬件抽象层软件是由VMware、Xen和其他管理程序制造商生产的，而不是Fortinet。其他的制造商并没有制造Fortinet的专有的FortiASIC芯片。还有另一个原因，管理程序的通用虚拟CPU和其他虚拟芯片的目的是抽象硬件细节。这样，所有的VM客户操作系统都可以在一个公共平台上运行，与管理程序安装在不同的硬件没有关系。不像使用通用的vCPU或vGPU，非优化的RAM和抽象的vCPU，FortiASIC芯片(根据定义)是专门优化的电路。因此，一个虚拟的ASIC芯片不会像物理ASIC芯片那样具有相同的性能优势。

　　如果在同等硬件上的性能更低，你可能会想，为什么会有人使用FortiGate呢？在大型网络中，可能有许多租户快速变化，用更便宜的价格、通用的硬件实现等效的处理能力和分发。另外，为了其他利益而交易一些绩效可能是值得的。所有者可以从更快的网络和设备部署和拆卸中获益。

　　考虑到FortiGate VMX和FortiGate连接到Cisco ACI扩展，它们专业FortiOS版本和API，它允许你通过标准来编排快速的网络变化。

　　例如软件定义网络(SDN)的OpenStack。所以：

• FortiGate VM作为一个客户VM部署在hypervisor。

• FortiGate VMX布署在一个hypervisor的VNetwork与客户VMs之间。

• FortiGate连接Cisco ACI到布署物理或虚拟FortiGate VMs为北/南流量。

FortiGuard订阅服务可以让你的FortiGate获得24x7的安全更新，这是由Fortinet的研究人员提供的。你的FortiGate使用FortiGuard有两种方式:

• 通过周期性地请求包含新引擎和许多签名的包。

• 通过在单个URL或主机名上查询FDN。

　　查询是实时的，也就是说，每当它扫描垃圾邮件或过滤的网站时，它就会询问FDN。另外，查询使用UDP协议进行传输，它们是无连接的，UDP协议不是为了容错而设计的，而是为了速度。因此他们要求你的FortiGate有一个可靠的网络连接。

　　FortiGate不会频繁的下载杀毒和IPS软件包，他们使用TCP进行可靠的传输。即使FortiGate没有可靠的网络连接，与FortiGate关联的特征库也会继续发挥作用。但是要记住，你还是应该避免被打断。如果你的FortiGate必须反复尝试下载更新，那它就不能在那个时候侦测到新的威胁。

  【提示】Subscription Services：订阅服务

刚才你看到的是软件架构的一个简化的概述。那么网络架构呢？FortiGate适合放在哪里？

　　当你布署一个FortiGate的时候，你可以在两种模式之间选择：NAT模式或透明模式。

• 在NAT模式下，FortiGate基于第三层转发包，就象一台路由器。每个逻辑网络接口都有一个IP地址。

• 在透明模式下，FortiGate基于第2层转发包，就像一台交换机，因此除了管理接口之外，它的接口没有IP地址。

　　然而，在个别的情况下，路由器与交换机操作模式接口可能是的例外。稍后我们将展示这些。

  【提示】NAT：网络地址转换；Transparent：透明；

从7层的OSI模型来看，这对你的流量意味着什么呢？你应该选择哪种操作模式？

　　NAT模式是最常见的选择。在NAT模式下，目标地址是FortiGate的地址。通常，在转发数据包之前，FortiGate将重写IP网络层中的目标地址、端口号和源地址，然后再转发到服务器的私有网络地址，换句话说，它将应用NAT和端口转发。根据你的描述和应用程序层协议，它可能还包括：

• 终止SSL或TLS会话，因此后端服务器不需要解密。

• 修改应用层头部地址，如HTTP头部中的主机和转发地址。

　　因此，NAT模式适用于边缘或网关安全，你可以将你的IPv4网络从外部网络中分离，比如客户的无线网络或互联网。

　　在透明模式下，目标地址是服务器的地址，而不是FortiGate的接口。因此，它通常不需要重写封装的层，除了TCP SYN相关的分析。只有在框架中的MAC地址被重写。因此，在复杂的IP环境中，如MSSP或移动电话运营商，这样简化了部署。只有管理接口需要一个IP地址。但是由于网络接口没有IP地址，所以你必须验证你的拓扑在第2层以太网中没有任何循环。

NAT模式是默认的操作模式，其他的默认设置是什么？一旦你把你的FortiGate从包装箱里拿出来，你下一步做什么？

　　让我们来看看是如何设置一台FortiGate的。

　　将你的计算机的网络电缆连接到Port1或内部交换端口(取决于你的型号)开始安装。在大多数低端型号中，在该接口上有一个DHCP服务，因此，如果你的计算机的网络设置启用了DHCP，你的计算机应该自动获得一个IP，然后你可以快速地开始设置。

　　要在FortiGate或FortiWifi上访问图形界面，打开一个web浏览器，然后访问http://192.168.1.99。

　　记住：默认登录的方法是公开的，千万不要把默认密码留空！你的网络就像你的FortiGate的管理员帐号一样安全。在将你的FortiGate连接到你的整个网络之前，你应该设置一个复杂的密码。你还应该对其进行限制，以便只能从本地控制或管理子网允许管理连接。

  【提示】默认管理IP：192.168.1.99；默认管理员帐号：admin；默认管理员密码：空

如果你忘记了你的管理员账号密码，或者一个有敌意的员工改变了密码，那会发生什么？

　　还用一种使用临时帐户恢复管理权限的方法，这种方法只有通过本地控制台端口才能使用，并且只有在经过硬启动之后，FortiGate必须在物理上被关闭，也就是通过断开或关闭电源，然后重新打开，而不是简单地通过命令重新引导。这就是硬启动和软启动之间的区别。这种恢复方法适用于所有的FortiGate设备，甚至包括一些非FortiGate，例如FortiMail。

　　即使这样，在引导完成之后，maintainer帐号仅可以在30秒钟之内登录。

　　如果你不能确保物理安全，或者有承诺要求，那么你可以禁用maintainer帐号。警告：如果你禁用了maintainer帐号，然后丢失了你的管理密码，那么你就无法恢复访问你的FortiGate的权限。

  【提示】恢复帐号：maintainer；恢复密码：bcpb+设备序列号；恢复条件：本地通过控制口登录，硬启动30秒内输入

所有的FortiGate型号都有一个控制端口，提供了没有网络的命令方式访问。

• 在老型号上，它是一个串行端口，标准的零调制解调器电缆可用于连接串行端口到计算机的串口。

• 在新型号上，它是一个RJ-45端口，使用RJ-45串口转换线，连接你的计算机串行端口和FortiGate的RJ-45端口。

• 在某些新型号上，控制口是一个USB2端口，在这种情况下，你可以插入USB线，然后打开FortiExplorer软件。

　　每台设备都配有相应的电缆。

　　计算机上的串行端口越来越少见。如果你的电脑没有串口，你可以购买一根USB串行转换线。

大多数功能都可以在GUI（图形界面）和CLI（命令界面）中使用，但是也有一些例外，例如，在CLI中不能查看报告。另外，有些很少使用的高级设置和用于高级用户的诊断命令在GUI中是无法使用的。

　　如果你不想使用GUI怎么办?

　　随着你对FortiGate越来越熟悉，特别是当你想要改写它的配置时，你可能想要使用除GUI之外的CLI。你可以通过GUI里一个叫做CLI控制台的JavaScript小部件访问CLI，或者通过类似于Tera Terma或PuTTY的终端模拟器。你的终端模拟器可以使用SSH或telnet通过网络接口连接到FortiGate，也可以通过本地控制接口连接到FortiGate。

　　另外还支持SNMP和其他一些管理协议，但是它们是只读的。它们不能用于基本的设置。

  【提示】GUI：图形界面；CLI：命令界面；

无论你使用哪种方法，开始时都要以admin帐户登录。首先为其他管理员创建帐户。

　　这里没有显示出来，你可以通过配置FortiGate来查询远程身份验证服务器，而不用在FortiGate本身创建帐户。你还可以使用通过PKI证书授权认证的个人证书来替代密码。

　　选择强状、复杂的密码。例如，你可以使用不同大小写的交错单词，并随机插入数字和标点符号。不要使用短密码或包含任何字典中存在的名称、日期或单词的密码。对于密码暴力破解攻击，这些都是非常脆弱的。使用象L0phtcrack这样的工具审核你的密码强度。如果你将管理端口连接到互联网，那么被攻击的风险将会非常高。

　　你可以分配权限，限制对特定功能的访问。

在管理配置文件中分配权限时，你可以指定读-写、只读或不访问每个区域。

　　默认情况下，有一个名为super_admin的特殊配置文件，它被admin帐号使用，它不能被改变，它提供了对所有内容的完全访问，使得可以建立与admin帐号类似的超级用户帐号。

　　prof_admin是另一个默认的配置文件。它同样提供了完整的访问权限，但与super_admin不同的是，它只适用于虚拟域，而不是FortiGate的全局设置。此外，它的权限也可以更改。

　　你不需要使用默认配置文件。例如，你可以使用只读权限创建一个名为auditor_access的配置文件。将一个人的权限限制在他或她的工作中是一个很好的做法，因为即使这个账户被盗用了，被盗的也不是全部。要做到这一点，需要创建管理员管理配置文件，然后在配置帐户时选择适当的配置文件。

管理员配置文件有什么影响？

　　它实际上不仅仅是读或写访问。

　　根据你所分配的管理配置文件的类型，每个管理员可能无法访问整个FortiGate。例如，你可以配置一个只能查看日志消息的帐户。管理员可能无法访问他们指定的虚拟域之外的全局设置。虚拟域(VDOMs)是一种将资源和配置放在一个单独的FortiGate上的方法。VDOMs在后面的课程中将会更详细地解释。

　　具有较小权限范围的管理员不能创建、甚至查看具有更多权限的帐户。因此，例如，使用prof_admin或自定义配置文件的管理员不能看到或重新设置使用super_admin配置文件帐户的密码。

使用双因子认证，可以进一步确保对你的网络安全的访问。

　　双因子认证也就是说不要只使用一种方法来验证你的身份，通常是密码或个人证书，你可以通过两种方式验证身份。在这里的示例中，双因子认证将意味着密码加上从FortiToken与FortiGate同步产生的RSA随机生成的数字。

  【提示】Two-Factor Authentication：双因子认证

如果你要使用双因子认证，FortiToken并不是唯一的选择。只要是用两种方法来验证一个人的身份，都可以叫做双因子认证。

　　如果不使用FortiToken，FortiGate还可以将电子邮件发送到管理员的地址，或者发送一条短信作为身份验证。

　　要做到这一点，你必须首先配置FortiGate设置邮件服务器(以便可以用来发送电子邮件)或SMS服务器。邮件服务器可以在GUI的高级页面或CLI中进行配置。而SMS设置仅支持CLI。

保护你的FortiGate的另一种方法是定义哪些主机或子网可以访问你的设备。

　　所有的帐户都只能定义三个地址。如果你将IPv4地址保留为0.0.0.0/0，那把所有连接的IP都可以访问，很显然这是不安全的。每个帐户都可以以不同的方式定义其管理主机或子网。如果你要在你的FortiGate上设置VDOMs，那么VDOMs的管理员甚至可能不属于同一个组织，这一点特别有用。

　　三个地址都修改为非0.0.0.0/0后，再尝试从外部IP访问FortiGate的GUI或CLI，还能正常访问吗？答案是no，如果你的连接来自一个没有在任何管理帐户中被列为受信任的IP地址，那么该FortiGate将不会应答，你的浏览器连接将超时。

你可能还想要定制管理员协议的端口号。

　　你还可以选择是否允许并发会话。这可以用来防止意外的覆盖设置，如果你经常打开多个浏览器标签，或者意外地在不保存设置的情况下离开一个CLI会话，然后开始一个GUI会话，并且不小心编辑相同的设置。

　　为了获得更好的安全性，只使用安全协议，并加强密码的复杂性和定期更改。

  【提示】Character requirements：字符要求；Allow password reuse：允许密码重用；Password expiration：密码终止；

我们前面已经为每个管理员帐户定义了管理子网，也就是受信任的主机。那么如何启用或禁用管理协议？

　　每个接口都可以启用或禁用管理协议，假如你的管理员只从port1连接到FortiGate，那么你应该禁用其他端口上的所有管理访问，这可以防止暴力破解和不安全的访问。

　　请注意，象FortiTelemetry的一些协议实际上并不用于管理者访问，但是，像GUI和CLI访问一样，它们是作为FortiGate目标IP的协议包，而不仅仅是作为下一跳或桥的使用。

　　为了加强FortiGate的安全，最好只使用安全的、加密的访问方法。象telnet、ICMP、HTTP和SNMP v1这类的协议，都没有加密或身份验证。因此他们不应该在公开的、不可信的网络上启用。

　　IPv4和IPv6协议是分开的。例如，有可能在接口上同时拥有IPv4和IPv6地址，但只能响应IPv6的ping信号。然而，默认情况下，IPv6隐藏在GUI中。如何显示IPv6设置?

FortiGate有数以百计的功能，隐藏这些不使用的功能会让你界面更简洁，更容易专注于你的工作。

　　在GUI中隐藏一个功能并不会使它失效。它仍然是具备功能的，并且仍然可以通过CLI进行配置。

　　一些高级或不太常用的特性，比如IPv6，默认是隐藏的。

　　显示隐藏的功能，请转到功能选择页面。

链路聚合是指将多个物理接口在逻辑上绑定到单个通道，可以增加带宽，并在两个网络设备之间提供冗余。

 【提示】Link Aggregation：链路聚合，FortiGate里也叫802.3ad聚合；

一旦你拥有了管理员帐户，就可以配置网络接口了。

　　需要记住的是，当FortiGate处于NAT模式时，处理流量的每个接口都必须有一个IP地址。这个规则有两个例外，我们将在后面讨论中介绍。在NAT模式下，IP地址允许包在IP层使用此接口的源和目标。有多种方法获得IP地址：

• 手动获取

• 自动获取，使用DHCP或PPPoE

　　正如我们前面提到的，IP地址需求有两个例外：单臂嗅探和Dedicate to FortiSwitch接口，这些接口没有分配地址。

• 当单臂嗅探选择为寻址模式，它以杂乱的方式运作。因此，不管每个包的目的地地址是什么，FortiGate都可以检查到达的所有流量。因此，尽管总体来说FortiGate是在NAT模式下，作为一个路由器，单臂嗅探接口并不像一个路由器。它接收流量，但不能发送。更多的注意事项会在后面的入侵防御课程里讲到。

• 当Dedicated to FortiSwitch被选为地址模式，FortiGate自动将IP地址分配给该接口，Dedicated to FortiSwitch是从FortiGate管理FortiSwitch一个接口设置。

你看到过多少次由DHCP服务引起的网络问题，没有客户端却在Wan接口上启用DHCP服务？

　　从FortiOS 5.4.0开始，你可以配置接口的角色，角色在GUI中只显示拓扑结构的标准接口设置。不适用于当前角色的设置隐藏在GUI中(无论角色如何，所有设置都可以从CLI中获得)。这可以防止意外错误配置。

　　例如，当角色被配置为WAN时，就没有可用的DHCP服务和设备检测配置，设备检测通常用于在局域网内部检测设备。也就是说，你不会向互联网上的所有主机提供IP地址等等。

　　如果在非常情况下，你需要使用当前角色隐藏的选项，你总是可以将角色切换到未定义，这样将会显示所有选项。

　　为了帮助你记住每个接口的用处，你可以给它们取名。例如，你可以叫Port3为lab_network。这可以帮助你更容易地理解你的策略列表。

 【提示】当接口设置为互联网时，不能在接口启用DHCP服务。

无线客户端并不是唯一可以使用FortiGate作为DHCP服务的用户。

　　对于一个接口(如port3)，选择手动选项，输入一个静态IP，然后启用DHCP服务器选项。内置DHCP服务器的选项将会出现，包括配置功能，比如DHCP选项和MAC占用。你还可以阻塞特定的MAC地址，就好像有二层防火墙策略一样。

对于内置的DHCP服务，你可以为带有特定MAC地址的设备保留特定的IP地址。除非设备的数量超过IP池的大小，否则这些设备将始终收到相同的租约。

 【提示】一旦MAC占用，其它MAC将不能使用这个IP地址，而此MAC在DHCP里一直分配这个地址。

与DHCP一样，你也可以配置FortiGate作为你的本地DNS服务器。你可以在每个接口上分别启用和配置DNS。

　　本地DNS服务器可以提高你的FortiMail或其他经常使用DNS查询的设备的性能。如果你的FortiGate为你的局域网提供了DHCP，DHCP可以用来配置这些主机以FortiGate作为网关和DNS服务器来使用。

　　FortiGate可以用以下三种方式回答DNS查询：

• 通过并转发所有的查询，也就是说，作为DNS中继，而不是DNS服务器

• 通过并转发那些无法解析到你的ISP的DNS服务器

• 如果无法解析查询本身，则返回null响应

　　从FortiOS 5.4开始，你可以在GUI中配置所有的模式，而不需要使用CLI。

如果你选择了DNS转发选项，你可以在你自己的网络中控制DNS查询，而不必在FortiGate的DNS服务器中输入任何DNS名称。

如果选择你的DNS服务器解析查询，或者选择一个拆分DNS，那么你必须在你的FortiGate上建立一个DNS数据库。

　　使用RFC 1034和1035所述的区域文件语法，定义FortiGate用于解析查询的主机名。

最后在将FortiGate集成到你的网络之前，FortiGate必须有一个默认的网关。

　　如果FortiGate通过像DHCP或PPPoE这样的动态方法获得它的IP地址，那么它也将检索默认网关。

　　否则你必须配置一个静态路由，如果没有，FortiGate将无法对直接连接到自己接口的子网外的包进行响应。它可能也无法连接到FortiGuard升级，也可能无法正确地路由流量。

　　在其它课程里将详细说明路由的细节。目前，你通常应该确保FortiGate有一条与所有数据包匹配的路由(目的地为0.0.0.0/0)，并通过连接到互联网的网络接口和下一个路由器的IP地址来转发它们。

　　路由完成了在配置防火墙策略之前所需要的基本网络设置。

现在，该FortiGate有了基本的网络设置和管理帐户，让我们来看看如何备份配置。

　　如果有必要的话，你可以使用密码加密配置文件。除了保护你的配置的隐私外，它还有一些你可能没有预料到的影响。一旦加密，配置文件就不能在没有密码的情况下解密，也不能用于相同型号和固件的FortiGate。这意味着，如果你将一个加密的配置文件发送到Fortinet技术支持，即使你给他们密码，就算他们能够访问相同的型号的FortiGate，他们仍然无法加载你的配置。当解决你的问题时可能会造成不必要的延误。

　　即使配置没有作为整体加密，每个密码都是单独加密的。因此，在许多情况下，可能不需要对整个配置文件进行加密。

　　如果你启用了虚拟域，将你的FortiGate的资源和配置进行细分，那么每个VDOM管理员都可以备份并恢复它们自己的配置。你不需要备份整个的FortiGate。

 【提示】配置文件加密后，只有知道密码才可以恢复配置。如果密码丢失，配置文件无法使用，即使Fortinet技术支持也无法解决。

如果在文本编辑器中打开配置文件，你将看到加密的和未加密的配置文件都包含一个明确的文本头，其中包含关于该设备的一些基本信息。这里的图表显示了包含的信息。

　　要恢复加密的配置，你必须将其上传到相同型号的FortiGate，并使用相同的固件版本，然后输入密码。

　　要恢复未加密的配置文件，你需要匹配FortiGate型号。如果固件不同，那么FortiGate将尝试升级配置，类似于升级固件时使用升级脚本的方式。

　　通常，配置文件只包含非默认设置，只加上一些关键的默认设置，这将备份文件的大小最小化，否则可能会有几MB的大小。

在FortiGate上升级固件很简单。最简单的方法是点击仪表盘上的系统信息小部件上的更新链接，然后选择一个从support.fortinet.com下载的固件文件。

　　如果你想通过重写现有固件和当前的配置来进行一个干净的安装，那么你可以使用本地控制台CLI，将FortiGate重新启动，并进入引导加载程序菜单中。当然，这种方法操作起来比较复杂。

你也可以降级固件，由于每个固件版本的设置都发生了更改，所以你应该有一个与固件语法兼容的配置文件。

　　记住要阅读发布说明。有的时候固件版本降级但要保留配置内容是不可能的，例如当操作系统从32位更改为64位时。在这种情况下，降级的唯一方法是格式化磁盘，然后重新安装。

　　一旦你确定了降级的可能性，再次核实一切，然后开始降级。降级完成后，恢复与该版本兼容的配置备份。

　　为什么要保存备用固件和物理访问？

　　旧的固件版本不知道如何转换未来的配置。另外，在通过配置转换脚本不支持的路径进行升级时，您可能会丢失除了基本访问设置之外的所有设置，比如管理员帐户和网络接口IP地址。另一种罕见但可能的情况是，当你上传固件时，可能会损坏固件。出于所有这些原因，在紧急情况下，你应该在升级过程中始终拥有本地控制台访问权限。但是在实际情况中，如果你阅读了发布说明并与GUI或CLI有可靠的连接，那么通常不需要这样做。

回顾一下我们刚刚讨论过的话题。

　　我们研究了如何能够取代多个单一用途的设备，同时提高了电能的效率和吞吐量。我们解释了FortiGate服务之间的区别，以及它们是UTM体系结构的一部分。我们展示了如何配置管理员帐户、权限以及如何加强管理访问。我们还解释了如何根据每个网络接口所需的行为选择操作模式，如何配置网络设置，以及如何备份配置和安装固件。

飞塔技术 - 老梅子   QQ：57389522

---