Поиск по сайту

Мнение экспертов

23.11.2018

Обзор решения FortiGate 100E (unboxing), его подключение и первичная настройка.



Введение


В предыдущей статье мы рассмотрели линейку FortiGate и как с помощью этих решений не допустить потерю важной информации. Теперь мы обсудим подключение и первоначальные настройки конкретного решения, а именно FortiGate 100E.


Первые шаги

В рамках этой статьи мы рассмотрим пример с автономным подключением от сети предприятия, где FortiGate будет являться межсетевым экраном и шлюзом для управляющего им хоста. Хотим обратить ваше внимание, что этот случай ничем не отличается от подключения FortiGate на периметре сети. Однако сейчас мы делаем это автономно, чтобы случайно «не положить» сеть предприятия

Для подключения нам понадобится стандартный ethernet провод. Один коннектор мы подключаем к Managment (mgmt)порту FortiGate, а другой — к разъему нашего хоста. На лицевой стороне устройства можно найти наклейку с данными, необходимыми для входа в web-интерфейс. Обычно это адрес 192.168.1.99, логин — admin и пустое поле пароля. Переходим по указанному адресу, должно появиться окно входа (см. рис. 1).

Рисунок 1. Окно входа

Вводим указанные на наклейке данные и нажимаем Login. Сразу после входа всплывает окно, предлагающее задать пароль. Советуем сделать это сразу для укрепления безопасности устройства.


Обзор панели управления

После того, как мы проделали изложенные выше пункты, мы попадаем на главную панель (см. рис. 2,3 и 4).

Рисунок 2. Панель управления

Рисунок 3. Панель управления

Рисунок 4. Панель управления

На главной панели содержится основная информация об устройстве. Виджеты главной панели можно добавлять, удалять, перемещать, менять размер. Это позволяет держать на виду самую необходимую пользователю информацию в удобном для него виде. По умолчанию на ней уже установлен следующий перечень виджетов: 

• Системная информация - содержит имя устройства, его серийный номер и версию прошивки, режим работы, текущую дату и время, время работы, а также IP адрес, через который осуществляется доступ в Интернет; 
• Лицензии — список активных и неактивных лицензий; 
• FortiCloud - показывает статус интеграции с сервисом FortiCloud (облачный сервис Fortinet, предоставляющий дополнительные возможности по управлению FortiGate); 
• Security Fabric - показывает список устройств, интегрированных с фабрикой безопасности Fortinet и их статус; 
• Administrators - показывает текущие администраторские сессии; 
• CPU - показывает график загрузки по времени центрального процессора FortiGate; 
• Memory - показывает график загрузки по времени оперативной памяти FortiGate; 
• Sesions - показывает график числа сессий по времени. 


Разбираемся с прошивкой

Как определить или обновить текущую версию прошивки? Для этого зайдем в меню Systems — Firmware. Версия прошивки указана в строке Current version (см. рис. 5). Этот раздел меню также позволяет пользователю проверить наличие обновления прошивки, сохранить текущую конфигурацию при обновлении прошивки, а также загрузить уже имеющуюся конфигурацию. Это помогает при непредвиденных сбоях, неправильных настройках и в ряде других случаев.

Рисунок 5. Версия прошивки FortiOS v5.6.5 build1600(GA) и возможность обновить на версию 6.0.2.

Рекомендуется периодически проверять наличие обновлений и при наличии новой прошивки обновлять устройство. Однако некоторые обновления могут существенно изменить определенный функционал, из-за которого часть ваших настроек может стать недоступной. Поэтому перед обновлением необходимо ознакомиться с документом Release Notes соответствующей версии (например, 6.0.3) и убедиться, что обновление не «заденет» вашу текущую конфигурацию.


Учетные записи администраторов

Теперь рассмотрим создание отдельных учетных записей администраторов. Это необходимо для более точного разделения обязанностей и контроля действий каждого администратора.

Для этого зайдем в меню System-Administrators. В данном окне будут показаны действующие учетные записи администраторов. На данный момент в списке один аккаунт, определенный по умолчанию (см. рис. 6).

Рисунок 6 Окно System-Administrators

Для создания новой учетной записи администратора нажимаем на Create New и выбираем Administrator.

Рисунок 7. Окно System-Administrators

В данном окне присутствуют стандартные поля для создания учетной записи, а также несколько дополнительных функций. О них мы расскажем поподробнее: 

• Type - выбираем способ хранения учетной записи. В данном случае можно выбрать локальную базу данных устройства, удаленные сервера, а также можно использовать инфраструктуру открытых ключей; 
• Comments - здесь можно приписать комментарий к аккаунту, который может содержать любой текст на ваше усмотрение (предназначение, кто владеет и т.д.). На работу данного аккаунта это не влияет, функция предназначена исключительно для вашего удобства.
• Administrator Profile — данное меню позволяет выбрать профиль администратора.

  • –Super_admin - имеет полный доступ ко всем параметрам устройства;
  • –Prof_admin - имеет полный доступ к параметрам определенного VDOMа (Технология VDOM не рассматривается в данной статье);
  • –Также можно выбрать кастомный профиль, процесс его создания мы рассмотрим позже;
  • –Email - позволяет указать email адрес администратора для различных оповещений.

Также ниже расположены поля, позволяющие активировать дополнительные функции, такие как: оповещения по SMS, двухфакторная аутентификация, возможность входа только с доверенных хостов, ограничение администрирования до контроля определенных гостевых групп пользователей.

Рисунок 8. Окно System-Admin Profiles

Чтобы создать кастомный профиль администратора (не путать с аккаунтом/учетной записью, профиль применяется на каждую учетную запись как надстройка) необходимо перейти в меню System-Admin Profiles. В появившемся окне надо задать название профиля, комментарий к нему (не обязательно), а также выбрать разрешения, которые вам нужны для данного профиля (см. рис. 8). Функция Override Idle Timeout позволяет переопределить значение таймаута, заданного по умолчанию.


Удаленное подключение

Подключение по ssh уже настроено по умолчанию. Необходима лишь учетная запись, которую мы создали в предыдущем разделе. Настройки административного доступа находятся в меню System-Settings. Однако в данных настройках можно лишь переопределить номера портов. Появляется логичный вопрос: как разрешить или запретить доступ по определенному протоколу управления?

Для этого перейдем в меню Network-Interfaces (см. рис. 9). Видим, что у нас активен mgmt порт, через который мы выполняем конфигурацию. Предположим, что подключаться с помощью различных протоколов управления мы будем к этому порту. Заходим в его настройки двойным щелчком ПКМ.

Рисунок 9. Окно Network-Interfaces

Рисунок 10Окно Network-Interfaces

В поле Administrative Access можно разрешить или запретить протоколы управления для конкретного интерфейса. Протокол telnet по умолчанию скрыт в GUI. Рекомендуется запрещать незащищенные протоколы, такие как telnet и http (см. рис. 10).


Подключение к интернету

Теперь обеспечим управляющему хосту доступ в интернет. Стоит заметить, что процедура подключения сети к интернету через FortiGate абсолютно аналогична, отличие лишь в том, что в данном случае мы подключаемся к промежуточному устройству (например, к коммутатору), а в случае установки FortiGate на периметре сети подключение осуществляется к устройству провайдера.

Для этого нам необходим еще один провод, который с одной стороны мы подключим к коммутатору, а с другой в wan порт FortiGate(например в WAN1). Заходим в настройки WAN1 интерфейса (аналогично с mgmt интерфейсом). Обычно провайдер распределяет IP адреса с помощью DHCP протокола, поэтому в поле Address в строке Addressing mode меняем настройку с Manual на DHCP. Нажимаем ОК. Вернувшись в меню выбора интерфейса и обновив страницу, видим, что интерфейс автоматически получил IP адрес (см. рис. 11 и 12).

Рисунок 11. Окно Network-Interfaces


Рисунок 12. Окно Network-Interfaces

Теперь, настроим LAN. Это позволит подключить к интернету другие хосты через порты LAN. Таким образом настраивается подключение хостов, а также других маршрутизаторов или коммутаторов в том случае, если FortiGate находится на периметре сети.

В поле Address в строке Addressing Mode выбираем тип Manual(ручной ввод) и вводим адрес шлюза данной локальной сети и маску подсети.

Включаем DHCP сервер и назначаем Address Range — диапазон IP адресов, которые будут выдаваться хостам при подключении к данному интерфейсу (см. рис. 13).

Рисунок 13. Окно Network-Interfaces – необходимые настройки



Заключение

Проверим: подключим хост не к mgmt порту, а, например, в port1 LAN интерфейса. Интернет подключение активно, однако весь его функционал недоступен. В чем причина?

А причина в политиках безопасности. По умолчанию в FG установлена политика deny any any, которая запрещает доступ в интернет.

В нашей следующей статье мы подробно рассмотрим политики безопасности, объясним, почему доступ к Интернету отсутствует и, конечно же, обеспечим доступ к нему.