Fabric篇(6.0) 04. Fabric 与 ISFW FortiGate ❀ 飞塔 (Fortinet) 防火墙

时间  2020-12-28

  【简介】在中、大型企业或数据中心,为了保护重要设备和服务器,都会配置内网隔离防火墙(ISFW FortiGate),这里我们看看怎么将ISFW FortiGate加入Security Fabric。

  ISFW FortiGate

  ISFW FortiGate(内网隔离防火墙)可以是任何型号,通常布署在内网与服务器之间,用来单独保护服务器的安全。

  ① 这里我们使用FortiWiFi 90D作为内网隔离防火墙,Wan2口接入FortiSwitch,内网口接入需要保护的服务器。

  ② 内网隔离防火墙的固件版本必须和根防火墙的固件版本一致。这里都是v6.07。

  ③ 选择菜单【网络】-【接口】,选择wan2口,点击【编辑】。

  ④ 默认情况下wan2口的地址模式是DHCP,因为连接了FortiSwitch交换机,而且交换机的默认VLAN启用了DHCP,因此这里可以看到已经获取了IP地址、DNS和网关等。但是我们不希望防火墙的wan接口地址是动态获得的,这里点击【自定义】。

  ⑤ 给wan2口配置一个固定的IP地址,访问方式启用FortiTelemetry。

  ⑥ 由于是自定义,因此还要设置一个默认网关,选择菜单【网络】-【静态路由】,点击【新建】。

  ⑦ 目的默认为0.0.0.0/0.0.0.0,接口选择wan2,网关地址为FortiSwitch的VLAN地址。

  ⑧ 外网接口配置好后,需要配置内网接口,选择菜单【网络】-【接口】,选择lan接口,点击【编辑】。

  ⑨ 输入接口别名,由于是给服务器使用,接口成员去掉了WiFi,IP地址设置服务器使用的172.16.8.X网段,由于服务器都是固定IP,这里关闭了DHCP服务。

  ⑩ 内网接口IP一修改,就登录不到防火墙了,需要将电脑手动设置172.168.8.X网段的地址。

  ⑾ 用新的内网接口IP地址登录防火墙。

  ⑿ 下面要设置访问策略, 选择菜单【策略&对象】-【IPv4策略】,默认已经有一条上网策略,选择这条策略,点击【编辑】。

  ⒀ 根据现在情况,设置lan到wan2口的设备,启用NAT。

  ⒁ 由于是内网隔离防火墙,同样再建一条允许访问服务器的策略,不启用NAT。这里只是初步的全开放,具体限制根据实际情况修改。

  ⒂ 电脑(服务器)可以通过ISFW FortiGate—FortiSwitch—Root FortiGate。

  ⒃ 还可以通过ISFW FortiGate—FortiSwitch—Root FortiGate—FortiAnalyzer。

   ISFW FortiGate 加入 Security Fabric

  ISFW FortiGate 要加入 Security Fabric,Root FortiGate和ISFW FortiGate都要配置。

  ① 登录Root FortiGate,选择菜单【网络】-【接口】,选择FortiSwitch默认VLAN,点击【编辑】。

  ② 由于ISFW FortiGate是接入这个VLAN接口,因此需要启用接口FortiTelemetry专用协议,并启用设备探测,用来查找设备。

  ③ 选择菜单【Security Fabric】-【设置】,可以看到开启FortiTelemetry的接口选项自动出现了启用FortiTelemetry的接口,点击【编辑】。

  ④ 输入ISFW FortiGate的序列号,点击【确认】。

  ⑤ 拓朴里加入了指定序号的FortiGate,只是由于没有通过认证,显示红色标记。

  ⑥ 回到ISFW FortiGate,选择菜单【Security Fabric】-【设置】,启用【FortiGate Telemetry】。

  ⑦ 启用【连接到上行FortiGate】,将自动出现其它选项,默认启动FortiAnalyzer Logging。

  ⑧ 稍等片刻,就会显示拓朴信息,并提示根FortiGate授权成功。

  ⑨ 回到Root FortiGate,在【Securtiy Fabric】-【设置】菜单下,可以看到ISFW FortiGate已经加入拓朴。

  ⑩ 选择菜单【Security Fabric】-【物理拓朴】,可以看到90D接入拓扑情况。

  ⑾ 在拓扑中单击90D,可以看到防火墙的基本信息。

  ⑿ 鼠标右击90D,可以对防火墙进行登录及取消授权操作。

    ISFW FortiGate 接入 FortiAnalyzer

  ISFW FortiGate接入Securtiy Fabric后,就自动加入FortiAnalyzer了。

  ① 登录FortiAnalzyer,在设备管理器,可以看到新发现了一个未注册的设备,点击未注册设备图标。

  ② 可以看到未注册的设备是90D,选择设备,点击【添加】。

  ③ 指定新设备名称,这里保持默认,点击【确认】。

  ④ 新添加的设备日志状态刚开始显示红色,稍等一会儿显示绿色,表示日志同步成功。设备是以Security Fabric里拓朴结构排列,有星号的表示根FortiGate。

 

                                                                               飞塔老梅子   QQ: 57389522

联系我们 沪ICP备2021010478号-7