教程篇(7.0) 02. FortiGate安全 安全架构 ❀ Fortinet 网络安全专家 NSE 4

news/2024/11/2 11:40:39/

  在本课中,你将了解Fortinet安全架构。

  通过展示在部署Fortinet安全架构、使用和扩展安全架构功能以及了解其拓扑结构方面的能力,你将能够在你的网络中有效地使用Fortinet安全架构。

  通过展示理解Fortinet安全架构关键概念的能力,你将更好地理解安全架构的价值、组成它的服务器以及如何部署它。

  什么是Fortinet安全架构?

  这是一个Fortinet企业解决方案,实现了网络安全的整体方法,通过单个控制台可以看到网络和场景,所有网络设备都集成到一个集中管理的自动化防御系统中。

  网络设备包括从物理端点到云中的虚拟设备的所有组件。由于设备是集中管理的,并且彼此实时共享威胁情报,并且在宏级别接收来自Fortinet的更新,因此你的网络可以在威胁出现时快速识别、隔离和中和威胁。

  安全架构有以下几种属性:

  ● 广泛的:它提供了整个数字攻击表面的可见性,以更好地管理风险

  ● 集成的:它提供了一种解决方案,降低了支持多点产品的复杂性

  ● 自动化:网络组件之间实时交换威胁情报,从而自动响应威胁

  第四个属性可以添加到安全架构的描述中:开放。该API和协议可用于其他供应商的加入和合作伙伴集成。这允许Fortinet和第三方设备之间的通信。

  为什么Fortinet认为安全架构是一个强大的网络防御的基本解决方案?

  随着网络的发展和各种新类型的威胁的出现,部署了点安全产品来解决这些新出现的威胁。这些零碎的解决方案往往是有效的,但部署产品使用不同标准和协议,意味着无法有效协调。

  上图右侧的讲述了一个网络故事,该网络部署了来自四个不同供应商的安全解决方案。中心的管理员从安全控制台工作,只能看到一部分安全解决方案。这种对整个网络防御的不可见性是一个严重的缺陷,可能会让外国入侵者在不被发现的情况下破坏网络防御。

  当今网络的复杂性使这个问题更加复杂。此外,越来越复杂的恶意软件有一个不断扩大的攻击面可以利用,因为网络已经突破了传统网络边界的限制,已经扩展到虚拟网络和公共云。此外,由于BYOD程序的结果,非托管设备的数量不断增加,你就拥有了完美的安全风暴。

  最可行的解决方案是建立一个集中管理的、整体的安全方法,这样你就可以清楚地看到所有潜在的渗透点,并可以协调防御来遏制和中和网络入侵。

  正如上图所示,Fortinet安全架构提供了八种解决方案:网络接入、安全WLAN/LAN、公共和私有云基础设施、应用程序、端点、安全操作、开放架构生态系统和架构管理中心。这些解决方案都基于特定的用例,并涉及特定Fortinet产品的集成。

  Fortinet安全架构提供FortiGate、IPS、VPN、SD-WAN网络安全。它还提供跨公共云、私有云、混合云和软件即服务(SaaS)的多云策略。它还提供了相当复杂的端点产品,从Fabric Agent一直到全端点保护、电子邮件安全、web应用程序安全、跨分布式企业和SDWAN环境的安全访问、高级威胁保护、管理和分析、以及安全信息和事件管理(SIEM)。

  所有这些都得到了FortiGuard服务的强调和支持,该服务为整个安全架构提供了Al-powered情报和保护。

  FortiGate和FortiAnalyzer创建了安全架构的核心。为了增加更多的可见性和控制,Fortinet建议添加FortiManager、FortiAP、FortiClient、FortiSandbox、FortiMail、FortiWeb、FortiAl和FortiSwitch。该解决方案可以通过增加其他网络安全设备进行扩展。

  答案:B

  答案:A

  现在你已经了解了Fortinet安全架构的基本知识。接下来,你将了解如何在你的网络环境中部署安全架构。

  通过展示Fortinet安全架构的部署能力,你将更好地理解安全架构的价值,以及它如何帮助你更有效地管理所有网络设备。

  在这个只包含安全架构核心设备的简单网络中,有一个FortiAnalyzer和一个下一代防火墙(NGFW) FortiGate。此实现示例仅用于高级视图。要了解更多细节,请参阅docs.fortinet.com。名为External的FortiGate设备充当边缘防火墙,也将被配置为安全架构中的根防火墙。在根防火墙的下游有三个内网分段防火墙,它们安顺序划分了WAN,以包含一个漏洞并控制对各种LAN的访问。在本例中,有Accounting、Marketing和Sales局域网。

  首先,在根FortiGate上,必须在面向任何下游FortiGate的接口中启用Security Fabric Connection。

  点击菜单Security Fabric>Fabric连接器,选择Security Fabric设置,点击编辑

  如果选择作为Fabric Root提供服务,还需要配置FortiAnalyzer的IP地址。然后,你需要为安全架构配置一个结构名称。这个FortiAnalyzer配置将被推送到所有下游的FortiGate设备。所有下游FortiGate设备都将日志直接发送到FortiAnalyzer。

  实现安全架构的第二步是配置下游Fortinet设备。

  在FortiGate下游设备上,你必须在面向下游的FortiGate设备的接口上开启Security Fabric连接设备探测功能。

  在Security Fabric设置页面,选择加入现有Fabriclks架构,并添加根(上游)FortiGate IP地址。根FortiGate将其FortiAnalyzer配置推送到所有下游FortiGate设备。

  实现安全架构的第三步是在根FortiGate和FortiAnalyzer上授权下游FortiGate设备。单击下游FortiGate下游的序号,选择授权。几秒钟后,下游FortiGate将加入安全架构。为了完成完整的安全架构过程,你将需要授权FortiAnalyzer上的所有设备。从FortiAnalyzer设备管理器部分,选择安全架构中的所有设备,然后单击授权。几秒钟后,你将注意到你所有的授权设备都加入了安全架构。

 当启用安全架构时,默认情况下启用从上游FortiGate设备到所有下游FortiGate设备同步各种对象的设置,例如地址、服务、时间表。同步总是从根FortiGate设备发生到下游FortiGate设备。在同步之后,任何可以同步的对象都可以在下游FortiGate设备上使用。

  CLI命令set fabric-object-unification只能在根FortiGate上使用。当设置为local时,全局对象不会同步到安全架构的下游设备。默认值为default。

  当下游FortiGate不需要参与对象同步时,使用CLI命令set configuration-sync local。当下游FortiGate设置为local时,设备不会从根节点同步对象,但仍会参与向下游发送同步对象。

  你还可以在安全架构中启用或禁用每个对象的同步。此选项对于在下游FortiGate上创建的对象不可用。默认情况下,支持的架构对象禁用架构同步,这些架构对象作为本地创建的对象保存在安全架构中的所有FortiGate设备上。如果在根FortiGate上禁用了对象同步,使用命令set fabricobject disable,防火墙地址和地址组将不会同步到下游FortiGate设备。

  如果在同步过程中存在对象冲突,你将获得一个解决冲突的通知。在拓扑树中,Remote-FortiGate以琥珀色突出显示,因为存在冲突。

  在上图所示的示例中,你将研究如何解决同步冲突。

  1. 通知图标显示这条消息:防火墙对象与架构中的其他FortiGates冲突。单击查看防火墙对象冲突

  2. 在防火墙对象同步界面,可以看到FortiGate根设备和FortiGate下游设备都包含synn add 1对象(每个设备的IP地址/子网模式不一致),导致内容不匹配的状态。在Strategy字段中,有两个解决冲突的选项:Automatic和Manual。如果选择Automatic(自动),如本例所示,则可以单击重命名所有对象

  3.Remote-FortiGate附加在下游FortiGate设备的sync_Add_1地址对象后面,状态变为Resolved

  4. 在拓扑树中,FortiGate设备均不突出显示。

  VDOM有两种模式:split-vdom和multi-vdom。在split-vdom模式下,FortiGate总共有两个VDOM,分别是rootFG-traffic VDOM。不能使用split-vdom模式添加VDOM。

  1. split-vdom模式:

  a) split-vdom模式下的根VDOM是管理VDOM,只做管理工作。以下导航栏条目和页面隐藏在根VDOM中:

  ● 所有策略和对象条目

  ● 用户和设备,安全配置文件

  ● 流量相关的FortiView条目

  ● VPN条目

  ● 系统下的结构连接器、声誉、可见功能、对象标签条目

  ● Wan-Opt条目

  ● 大多数路由条目

  ● 大多数日志事件条目

  ● 监控条目

  b) FG-traffic VDOM可以提供单独的安全策略,允许流量通过FortiGate。

  2. 在multi-vdom模式下,可以创建多个VDOM,这些VDOM可以作为多个独立的单元。默认情况下,根是管理VDOM,可以用来执行管理任务和允许其他流量。可以选择任意一个VDOM作为管理VDOM。

  在split-task VDOM模式下,可以启用FortiGate安全架构。如果在上游FortiGate设备上开启split-task VDOM模式,则可以允许下游FortiGate设备加入安全架构根和和FG-traffic VDOM。如果下游的FortiGate开启了split-task VDOM模式,则只能通过根VDOM的下游FortiGate接口连接上游的FortiGate。

  Telemetry设置在全局和VDOM上下文中都显示,但在VDOM上下文中,只显示拓扑和启用FortiTelemetretry的接口字段。

  你可以点击全局 > 物理拓扑来查看根FortiGate和所有下游FortiGate设备,它们与根FortiGate处于相同的安全架构中。点击根 > 物理拓扑或FGTraffic > 物理拓扑,可以看到根FortiGate,并且在根FortiGate上只能看到连接到当前选择的VDOM的下游FortiGate设备。

  当你在多VDOM模式下配置FortiGate设备并将其添加到安全架构时,当检测到一个或多个设备时,将显示每个VDOM及其分配的端口。只有被发现的和连接的设备的端口出现在安全架构视图中,因此,你必须在你想要在安全架构中显示的端口上启用设备发现功能。没有连接设备端口的VDOM不显示。所有已配置的VDOM必须是单个安全架构的一部分。在上图示例中,Local-FortiGate以多VDOM模式配置,有三个VDOM (root、VDOM1和VDOM2),每个都有连接设备的端口。

  设备识别是安全架构中的一个重要组成部分。FortiGate检测网络中的大多数第三方设备,并将其添加到安全结构的拓扑视图中。有两种设备识别技术:有代理和没有代理(无代理)。

  无代理身份识别使用来自设备的流量。设备是根据它们的MAC地址建立索引的,有各种各样的方法来识别设备,例如HTTP user-Agent报头、TCP指纹、MAC地址OUI和FortiOS-VM检测方法,举几个例子。只有当FortiGate与工作站直接连接的网段,流量直接发送到FortiGate网段,并且在FortiGate与工作站之间没有中间路由器或三层设备时,无代理设备识别才有效。

  请注意,FortiGate使用先到先服务的方法来确定设备标识。例如,如果一个设备被HTTP用户代理检测到,FortiGate用检测到的MAC地址更新它的设备表,一旦确定了该MAC地址的类型,就停止扫描。

  基于代理的设备识别使用FortiClient。FortiClient将信息发送给FortiGate,设备由其唯一的FortiClient用户ID (UID)跟踪。

  默认情况下,FortiGate使用设备探测(被动扫描),它根据流量到达运行扫描。

  答案:A

  答案:B

  现在你已经知道如何部署Security Fabric了。接下来,你将了解安全架构功能,以及如何在你的网络环境中扩展安全架构。

  通过在扩展Fortinet安全架构中展示能力,你将更好地理解安全架构的价值,以及它如何帮助你从一个设备点管理所有网络设备。

  Fortinet建议使用FortiManager来集中管理安全架构中的所有ForitGate设备和访问设备。你可以集成FortiSwitch和FortiAP设备,将安全架构向下扩展到访问层。你也可以通过安全结构整合FortiMail、FortiWeb、FortiCache、FortiSandbox和FortiClient EMS。

  管理员定义的自动化工作流(称为针)使用if / then语句使FortiOS以预编程的方式自动响应事件。因为这个工作流是安全架构的一部分,所以你可以为安全架构中的任何设备设置if / then语句。然而,安全架构不需要使用针。

  每个自动化针对应一个事件触发器和一个或多个动作。自动化针允许你监视你的网络,并在安全架构检测到威胁时采取适当的行动。你可以使用自动化针来检测来自安全架构中的任何源的事件,并将操作应用到任何目的地。

   你可以配置最小内部(秒)设置,以确保你不会收到关于相同事件的重复通知。有预定义的针、触发器和动作可用。

  但是,你可以基于可用的选项创建自定义自动化。

  你可以配置Compromised Host触发器来创建自动化威胁响应针。

  这个触发器使用来自FortiAnalyzer的妥协指示器(loC)事件报告。

  基于威胁级别阈值设置,你可以配置针采取不同的补救步骤:

  ● 在FortiSwitch或FortiAP隔离被破坏的主机

  ● 使用FortiClient EMS在受损主机上隔离FortiClient

  ● 禁止IP

  还可以点击 监控 > 隔离监控 查看隔离和禁止的IP地址。隔离的地址将在可配置的一段时间后自动从隔离中删除。被禁止的IP地址只能通过管理员的干预从列表中删除。

  你还可以在FortiGate GUl上查看被破坏的主机,并以各种方式获得输出通知,比如iOS推送。该特性与IFTT集成。

  外部连接器允许你集成多云支持,例如ACl和AWS,等等。

  在以应用为中心的基础设施(ACI)中,SDN连接器充当网关桥接SDN控制器和FortiGate设备。SDN连接器将自己注册到Cisco ACI fabric中的APIC,轮询感兴趣的对象,并将它们转换为地址对象。FortiGate上填充转换后的地址对象和关联的端点。

  FortiGate VM for Microsoft Azure也支持cloud-init和bootstrapping。

  安全架构状态小部件显示了一个在安全架构里多个设备的可视总结,你可以将鼠标悬停在小部件顶部的图标上,以快速查看安全架构的状态。包括FortiTelemetry的状态和安全架构中的设备。你可以点击授权FortiAP和FortiSwitch设备连接到已经授权的FortiGate。

  图标表示可以在安全架构中使用的其他Fortinet设备:

  ● 蓝色的设备连接到你的网络中。

  ● 灰色的设备是连接在你的网络中的未经授权的设备。

  ● 红色的设备在你的网络中没有被检测到,但推荐用于安全架构。

  ● 注意图标表示FortiGate或FortiWiFi正在等待授权。

  答案:A

  答案:A

  现在你已经知道了如何扩展安全架构及其特性。接下来,你将了解安全架构评级服务和拓扑视图。

  通过在Fortinet安全评级服务和拓扑视图中展示能力,你应该能够清楚地看到你的网络设备。

  安全评级是一种订阅服务,它需要安全评级许可。该服务现在提供了执行许多最佳实践(包括密码检查)的能力,以审计和加强你的网络安全性。

  安全等级网页分为三个主要的记分卡:

  ● 安全态势

  ● Fabric覆盖

  ● 优化

  这些记分卡提供了安全架构中三个最大的安全重点领域的执行摘要。

  该记分卡显示整体字母等级和分项表现。单击记分卡可以向下钻取详细的结果报告和遵从性建议。

  分数代表该区域所有通过和不通过项目的净分数。该报告包括经过测试的安全控制,链接到特定的FSBP或PCI合规策略。可单击“FSBP”和“PCI”参考相应标准。

  在多VDOM模式下,可以在全局VDOM中生成设备上所有VDOM的安全评级报告。具有读写权限的管理员可以在全局VDOM中运行安全评级报告。具有只读权限的管理员只能查看报表。

  在记分卡上,Scope列显示了运行检查的VDOM或VDOM。对于支持Easy Apply的检查,可以在所有关联的VDOM上运行修正。

  在根VDOM上有安全评级事件日志。

  单击安全评级页面上的安全态势记分卡,展开记分卡并查看更多详细信息。

  安全态势服务现在支持以下内容:

  ● 使用安全审计(FortiGuard数据)按百分比进行客户排名:安全评级现在支持向FortiGuard发送结果,并从FortiGuard接收统计数据。结果以百分比的形式显示给客户。

  ● 当管理员登录到GUI时,安全审计在后台运行,而不仅仅是按需运行。在查看安全审计页面时,会加载最新保存的安全审计数据。在GUI中,你可以根据需要运行审计,并查看安全架构中不同设备的结果。你还可以查看所有结果或只是失败的测试结果。

  ● 新的安全检查,可以帮助你改进组织的网络。这些结果包括加强密码安全性、应用推荐的登录尝试阈值、鼓励双因子身份验证等。

  安全等级提供关于FortiGate设置的建议。这些建议以通知的形式显示在设置页面上,该页面显示由安全级别确定的配置问题。管理员可以打开建议,查看需要修复哪些配置设置。这有助于管理员在安全架构 > 安全评级页面和各种设置页面之间来回切换。

  在上图所示的示例中,FortiGate使用默认的HTTPS和SSH端口,并且没有启用管理员密码策略。另一个建议是通过配置可信任主机来限制登录访问。

   通知要么出现在装订线中,要么出现在页脚中,要么以可变的形式出现。通知也可以被驳回。

  安全评级服务报告每个安全架构组的安全态势得分。FortiGuard安全评级服务是一种基于订阅的服务,它获取生成的报告并由FortiGuard进行分析。它比较了该架构组所属行业的安全评分结果。组内所有FortiGate设备都需要配置FortiGuard安全架构评级服务,评分只能在安全架构根目录FortiGate上获取。生成安全评级报告后可获取该评分。分数以数字形式表示,并基于行业、组织规模和地区。

  你可以在FortiGate界面的安全架构菜单中查看安全结构拓扑。可以选择物理拓扑或逻辑拓扑。要查看完整的网络,必须访问安全架构中FortiGate根节点的拓扑视图。

  物理拓扑视图将网络显示为连接设备的气泡图。这些设备根据它们所连接的上游设备进行分组。根据流量的大小,气泡看起来更小或更大。你可以双击任何气泡来调整它的大小,并查看有关设备的更多信息。

  逻辑拓扑视图与物理拓扑视图类似,但它显示了用于连接安全架构中的设备的网络接口,包括逻辑的或物理的。

  上图展示了物理拓扑视图和逻辑拓扑视图的区别。

  答案:B

  答案:A

  恭喜你!你已经学完了这一课。现在,你将回顾你在这一课中涉及的目标。

   上图展示了你在这节课中涉及的目标。

  通过掌握本课所涉及的目标,你了解了如何配置和使用Fortinet安全架构。



http://www.ppmy.cn/news/691161.html

相关文章

Fortinet FortiOS漏洞被用于攻击政府实体

聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 未知威胁组织正在利用Fortinet FortiOS 中的一个0day漏洞 (CVE-2022-41328),攻击政府实体和大型组织机构,窃取数据并损坏操作系统和文件。 Fortinet公司的研究员 Gu…

实战!Fortinet网络与安全融合应对多云挑战

混合云、多云已经成为一种不可逆转的趋势,随之而来的是网络的全面互联,企业对全网可见性、策略一致性、且管理简便等三大需求日益迫切。然而公有云平台的网络服务不支持多云和混合云,多云架构带来多管理界面复杂挑战的同时,且需要…

教程篇(7.0) 08. FortiGate基础架构 诊断 ❀ Fortinet 网络安全专家 NSE 4

在本节课中,你将学习如何使用诊断命令和工具。 本节课,你将学习上图显示的主题。 通过展示一般诊断能力,你将能够发现有关FortiGate状态的一般信息。 为了定义任何问题,首先必须知道网络的正常行为是什么。 在这上图显示的图表中&…

教程篇(7.2) 11. 安全架构 FortiGate安全 ❀ Fortinet网络安全专家 NSE4

在本节课中,你将了解Fortinet安全架构。 通过展示部署Fortinet安全架构的能力,使用和扩展安全架构功能,并了解其拓扑结构,你将能够在你的网络里有效地使用Fortinet安全架构。 通过展示理解Fortinet安全架构关键概念的能力&#xf…

关于Fortinet 错误缺陷

黑客以可能被恶意利用在远程命令执行的FortiNAC网络服务器未经认证的文件路径操作漏洞CVE-2022-39952为目标的Exploit,以暴露在互联网上的Fortinet为目标。 该错误会影响多个版本的FortiNAC,如果恶意利用成功,则可以执行未经批准的代码或命令。 尽管去年…

Fortinet 获评 2022 年 Gartner® 端点保护平台魔力象限™远见者殊荣

全球网络与安全融合领导者 Fortinet(NASDAQ:FTNT)宣布入围《2022 年 Gartner 端点保护平台魔力象限™报告》“远见者”象限。 Fortinet 认为,获此殊荣得益于无缝集成基于行为的端点保护、端点检测和响应(EDR&#xff…

Fortinet新中文名诠释新安全体系

全球领先的高性能网络安全解决方案供应商Fortinet宣布,其中文名“飞塔”将正式变更为“防特网”。 此次Fortinet中文名称“音译”的变更,也标志着Fortinet 中国紧随全球的脚步为用户带来Security Fabric 积极防御架构。 近年来,物联网和云计算…

连续四年!Fortinet再度荣膺Gartner Peer Insights(TM)“客户之选”称号

Fortinet 始终秉承用户至上理念,注重用户体验。2023 年,我们非常自豪地连续四年获评 Gartner Peer Insights™ 网络防火墙“客户之选”荣誉称号!这一殊荣基于广大用户在 Gartner 官网上针对FortiGate NGFW发布的 500 多条真实反馈。荣获“客户…