大家好,欢迎来到IT知识分享网。
在本课中,你将了解全局管理域(ADOM)和中央管理。
在本课中,你将了解上图显示的主题。
现在,你将了解全球ADOM及其功能集。
全局策略和对象允许管理员将防火墙策略普遍推送到所有ADOM。你必须将全局策略包明确分配给管理员想要安装类似策略的特定ADOM。
上图的插图显示,不同的ADOM可以使用单独的全局策略。当你创建全局策略包时,你可以选择要应用特定策略的ADOM。此外,你甚至可以在单个ADOM中选择要应用全局策略的特定策略包。
你可以根据所管理的网络环境类型创建全局策略包,并应用页眉或页脚策略来满足安全要求。
你可以使用页眉和页脚策略在每个单独的ADOM中包装策略。使用页眉和页脚策略的一个例子是在运营商环境中,运营商将允许客户流量通过其网络,但不允许客户访问运营商网络资产。
上图的插图显示了如何将全局策略和对象分配给ADOM策略包。
在本节中,你将学习如何应用全局页眉策略,以拒绝公共IP地址的所有Telnet流量,然后将其分配给ADOM。
进入全局数据库ADOM以访问全局策略数据库。页眉策略是位于单个ADOM中策略包顶部的策略。页脚策略是位于单个ADOM中策略包底部的策略。
在上图显示的示例中,页眉策略阻止Telnet流量通过托管防火墙。下一步是将此策略分配给单个ADOM中的一个策略包。
选择要分配给单个ADOM策略包的全局策略包,然后单击分配>添加ADOM。
在上图显示的示例中,默认全局策略包被添加到四个策略包中,但MyADOM ADOM中的默认和克隆策略包除外。添加全局策略包后,状态显示为待定更改,因为它没有分配给单个ADOM策略包。ADOM策略包列仅显示从MyADOM ADOM中可用的六个包中选择的五个策略包。要将全局策略包分配给单个ADOM策略包,请单击分配或分配已选择。
分配选项将全局策略包和使用的对象提交到单个ADOM策略包。
● 只分配使用过的对象
● 分配所有对象
● 在ADOM设备上自动安装策略
安装后,状态变为最新状态。
分配全局ADOM对象后,它们会出现在该ADOM的策略和对象窗格中。所有全局对象都以“g”开头,仅在全局ADOM中编辑或删除。请注意,切勿在ADOM数据库上或直接在托管设备上创建以字母“g”开头的地址对象或安全配置文件,因为这与全局ADOM对象冲突并导致配置故障问题。
在上图显示的示例中,页眉策略被添加到Local-FortiGate中。你只能为单个ADOM策略包分配一个全局策略包。将额外的全局策略包分配给同一个单独的ADOM策略包会删除之前分配的策略。此外,你无法在单个ADOM策略包中的规则之间编辑和移动页眉和页脚策略。
你必须在托管设备上安装策略包,新规则才能正常工作。你在目标设备上的防火墙规则列表顶部安装一个页眉策略。
答案:B
答案:A
非常好!你现在了解了全局ADOM。接下来,你将学习安全架构及其功能。
通过展示理解安全架构及其功能集的能力,你将能够在网络中有效地使用安全架构。
FortiManager使你能够使用管理器窗格集中管理你的Fortinet设备。
VPN管理器:在VPN管理器窗格中,你可以配置可以在多台设备上安装的IPsec VPN设置。设置作为对象存储在对象数据库中。你通过安装策略包将IPsec VPN设置推送到一个或多个设备。为ADOM启用VPN管理器会覆盖该ADOM中托管设备的现有VPN配置。混合模式VPN允许你通过VPN管理器和设备管理器中的FortiGate设备同时配置VPN。
AP管理器:AP管理器窗格允许你管理由FortiManager管理的FortiGate设备控制的FortiAP设备。管理员可以使用Wi-Fi模板轻松管理和分发AP配置文件、SSID和无线入侵检测系统(WIDS)配置文件。管理员还可以监控所有无线客户端并检查AP健康状况。
FortiSwtich管理器:FortiSwitch管理器窗格使你能够集中管理FortiSwitch模板和VLAN,并监控连接到FortiGate设备的FortiSwitch设备。你可以为特定的FortiSwitch平台配置多个模板,这些模板可以分配给多个设备。
Extender管理器:扩展器管理器窗格允许你管理托管连接的FortiExtender。你可以使用扩展器管理器为最多两个调制解调器创建自定义模板、SIM配置文件和数据计划。
架构视图(安全架构):当FortiManager管理启用了安全架构并属于安全架构组一部分的FortiGate单元时,将显示架构视图窗格。你可以查看安全架构组配置的安全架构评级。你必须使用FortiOS生成安全架构评级,然后才能在FortiManager中查看信息。
安全评级功能包括新的安全检查,可以帮助你改进组织的网络,例如强制执行密码安全,应用推荐的登录尝试阈值,鼓励双重认证等。你可以查看安全架构组中所有FortiGate设备或安全架构组中单个FortiGate设备的配置的安全架构评级。
你不能使用FortiManager生成安全架构评级;你必须使用FortiOS为FortiGate安全架构组生成安全架构评级,然后你可以在FortiManager中看到安全架构评级。
安全评级页面分为三个主要的记分卡:
● 安全状况
● 架构覆盖
● 优化
这些记分卡提供了安全架构中三个最大安全重点领域的执行摘要。
记分卡显示了一个整体的字母等级和在子类别中的表现细分。单击记分卡可深入到逐项结果和遵从性建议的详细报告。分数表示该区域所有通过和未通过项目的净分数。该报告包括测试的安全控制,链接到特定的FSBP或PCI合规性策略。你可以点击FSBP和PCI按钮来参考相应的标准。
FortiManager识别安全架构组的设备,并允许你显示安全架构拓扑。你可以单击架构视图>物理拓扑、逻辑拓扑,或右键单击安全结构设备,然后选择架构拓扑,以在安全架构组中查看整个设备拓扑。
逻辑拓扑视图将你的网络显示为网络连接端点的气泡图。这些设备根据它们连接的上游设备接口进行分组。逻辑拓扑视图类似于物理拓扑视图,但它显示了用于连接安全架构中设备的逻辑或物理网络接口。
管理扩展应用程序允许你启用由Fortinet发布和签名的许可应用程序。请注意,这两个应用程序在FortiManager默认配置中被禁用。重要的是要了解,一些MEA需要最少的内存或最少的CPU内核数量。以下应用程序可作为FortiManager的管理扩展:
● FortiWLM MEA:你可以使用无线管理器(FortiWLM)在由FortiManager管理的FortiGate设备上监控、操作和管理无线网络。
● FortiPortal MEA:你可以使用FortiPortal MEA为客户提供自助服务管理界面,以监控和配置安全实例,而无需直接访问FortiManager。
● FortiSigConverter MEA:你可以使用FortiSigConverter MEA将Snort规则直接导入FortiManager,并将其转换为Fortinet支持的IPS签名。Snort是一个流行的开源网络入侵检测系统(NIDS)。
● FortiAuthenticator MEA:提供通过FortiManager访问FortiAuthenticator用户和身份管理解决方案。
● FortiSOAR MEA:你可以在FortiManager上使用Fortinet安全编排、自动化和响应(FortiSOAR)MEA,并使用它来管理组织内威胁或漏洞的整个生命周期。
● Policy Analyzer MEA:你可以使用策略分析器MEA从日志中了解FortiGate流量,并根据分析流量的需求为你提供几个策略选项。你可以选择一个策略选项,策略分析器MEA将策略块添加到策略中,并触发将更新的策略包安装到FortiGate。
● FortiAlOps:你可以使用FortiAIOps MEA通过分析潜在问题和基于其构建的人工智能(Al)和机器学习(ML)架构的建议补救步骤来诊断和故障排除网络问题。
● Universal Connector MEA:你可以使用通用连接器MEA来配置架构连接器到外部应用程序,如Guardicore Centra。
不可用的磁贴表示已禁用的应用程序。如图所示,FortiPortal MEA开始下载。
下载过程可能需要一些时间来安装应用程序。启用FortiPortal后,你可以使用它为客户提供自助服务管理界面,以监控和配置安全实例,而无需直接访问FortiManager。FortiPortal在多租户、多层管理框架中提供一整套安全管理和分析。FortiPortal使托管安全服务提供商(MSSP)能够让客户受控地访问配置和分析。
重要的是要了解,一些MEA需要最少的内存或最少的CPU内核数量。如果FortiManager有八个CPU和16 GB RAM,那么默认情况下只有四个CPU和八GB RAM可用于MEA,并且四个CPU和八GB RAM用于所有启用的MEA。请记住,FortiManager在MEA中使用大量资源,因此,在启用MEA之前,请务必查看FortiManager发布说明中的要求。
FortiManager使用端口TCP端口443或TCP端口4443连接到Fortinet注册表并下载MEA。确保端口在任何上游FortiGate设备上也处于打开状态。
答案:A
答案:B
恭喜!你已经完成了本课。接下来,你将复习本课中涵盖的目标。
通过掌握本课中涵盖的目标,你了解了SD-WAN、全局ADOM和安全架构。
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/131216.html
