在本課中，你將瞭解FortiGate管理基礎知識和FortiGate中可以擴充套件功能的元件。這一課還包括如何以及在哪裡將FortiGate安裝到你現有的網路體系結構和Security Fabric中。

在本次課程中，你將探討以下主題：

• 高階功能
• 策略設定
• 基礎管理
• 內建伺服器
• 基礎維護
• FortiGate在Security Fabric內 

在完成這節課程之後，你應該能夠：

• FortiGate識別平臺設計特點
• FortiGate在虛擬網路和雲中的特徵識別

　　通過展示識別FortiGate的平臺設計特徵的能力，以及FortiGate在虛擬網路和雲中的特徵，你將能夠描述FortiGate的基本元件，並解釋FortiGate可以執行的任務型別。

在過去，保護網路的常用方法是保護邊界，並在入口處安裝防火牆。網路管理員信任邊界裡面的所有每件事和每個人。

　　現在，惡意軟體可以輕易繞過任何入口處防火牆並進入網路。這可能通過受感染的U盤發生，或者員工個人裝置連線到公司網路而發生。此外，由於攻擊可能來自網路內部，因此網路管理員不再堅定地信任內部使用者和裝置。

　　更重要的是，今天的網路是高度複雜的環境，其邊界是不斷變化的。網路從區域網垂直執行到因特網，從物理網路水平執行到專用虛擬網路和雲。移動辦公和多樣化的勞動力（員工、合作伙伴和客戶）訪問網路資源、公共雲和私有云、物聯網（IoT）以及自帶裝置程式都大大增加對網路攻擊的數量。

　　為了應對這種高度複雜的環境，防火牆已經成為一種強大的多功能裝置，能夠應對一系列對網路的威脅。因此，FortiGate可以以不同的模式或角色來處理不同的需求。例如，可以將FortiGate部署為資料中心防火牆，其功能是監視對伺服器的入站請求並保護它們，而不增加請求者的延遲。或者，FortiGate可以部署為內部分段防火牆，可作為控制網路入侵的一種手段。

　　FortiGate還可以充當DNS和DHCP伺服器，並被配置為提供Web過濾、反病毒和IPS服務。

在這張幻燈片所示的體系結構圖中，你可以看到FortiGate平臺如何在不影響靈活性的情況下增加強度。像單獨的、專用的安全裝置一樣，FortiGate的內部仍然是模組化的。

• 新增裝置。有時候，疊加並不意味著效率。如果系統過載，一個裝置可以借用其他九個裝置的記憶體嗎？要在十個單獨的裝置上配置策略、日誌記錄和路由嗎？十個裝置疊加給你帶來十倍的利益，還是麻煩？對於中小型企業或企業分支機構，與單獨的專用裝置相比，統一威脅管理（UTM）通常是一個更好的解決方案。
• FortiGate硬體不僅僅是現成的。這是運營商級別的。大多數FortiGate型號有一個或多個專用晶片，稱為ASICS，由FortiNet設計。例如，CP或NP晶片，可以更有效地處理密碼和分組轉發。與僅使用CPU的單一用途裝置相比，FortiGate可以具有更好的效能。這對於資料中心和運營商來說至關重要，因為吞吐量和業務量是至關重要的。當然也有例外，虛擬化平臺VMware、Citrix Xen、微軟或Oracle虛擬箱都具有通用的VCPU。但是，虛擬化可能是值得的，因為其他好處，例如分散式計算和基於雲的安全性。
• FortiGate是靈活的。如果你只需要快速防火牆和防病毒，那麼FortiGate不會要求你在其他功能上浪費CPU、RAM和電力。在每個防火牆策略中，可以啟用或禁用UTM和下一代防火牆模組。此外，你以後不會支付更多的附加VPN功能授權。
• FortiGate是合作的。對開放標準而不是私有協議的偏好意味著更少的供應商鎖定和更多的系統整合商的選擇。而且，隨著網路的增長，FortiGate可以利用其他Fortinet產品，如FortiSandbox和FortiWeb，來分發處理過程，以實現更深的安全性和最佳的效能——總體Security Fabric方法。

除了硬體加速之外，FortiGate虛擬機器（VMS）具有與物理裝置相同的功能。為什麼？首先，虛擬機器監控程式的硬體抽象層軟體是由VMware、Xen和其他虛擬機器監控程式製造商而不是Fortinet製造的。那些其他製造商不製造Fortinet專有的FortiASIC晶片。但還有另外一個原因。對於虛擬機器監控程式來說，通用虛擬cpu和其他虛擬晶片的用途是抽象硬體細節。這樣，所有VM客戶機OS都可以執行在一個公共平臺上，而不管管理程式安裝在什麼不同的硬體上。與vCPU或vGPU使用通用的、非最優的RAM
和vCPU進行抽象不同，FortiASIC晶片是專門的優化晶片。因此，虛擬化ASIC晶片將不具有與物理ASIC晶片相同的效能優點。

• FortiGate VMX和Cisco ACI的FortiGate Connector是FortiOS和API的專用版本，它允許你通過標準（如用於軟體定義網路（SDN）的OpenStack）來協調快速的網路變化。FortiGate允許虛擬機器在託管程式中作為客戶機VM部署。
• FortiGate虛擬機器部署在虛擬機器管理程式的虛擬網路之間，在客戶VMS之間。
• Cisco Access聯結器允許ACI為南北資料流部署物理或虛擬FortiGate VM。

送分題。

現在你可以理解FortiGate的一些高階特徵了。

　　接下來，您將學習如何完成FortiGate的初始設定，並瞭解為什麼可能決定使用一種配置而不是另一種配置。

在完成這一節之後，你應該能夠：

• 識別默認出廠配置
• 選擇操作模式
• 瞭解FortiGate與FortiGuard的關係，區分實時查詢和包更新

　　通過演示設定FortiGate的能力，你將能夠在自己的網路中有效地使用該裝置。

網路架構如何？FortiGate適合用在哪裡？

　　當你部署FortiGate時，可以在兩種操作模式間選擇：NAT模式或Transparent（透明）模式。

• 在NAT模式中，FortiGate路由基於OSI三層的資料包，像路由器一樣。它的每個邏輯網路介面都有一個IP地址，並且FortiGate根據目的IP地址和路由表中的條目確定出站或出站介面。
• 在Transparent模式中，FortiGate在OSI二層轉發資料包，像交換機一樣。它的介面沒有IP地址，並且FortiGate根據目的MAC地址確定出站或出站介面。透明模式下的裝置具有用於管理業務的IP地址。

網路地址轉換（NAT）模式是預設的操作模式。其他出廠預設設定是什麼？現在你來看看是如何設定FortiGate的。

　　將計算機的網路電纜連線到port1或內部交換埠（取決於你的型號）。在大多數型號中，該介面上有一個DHCP伺服器，因此，如果計算機的網路設定啟用了DHCP，則計算機應該能自動獲得IP，並且可以開始設定。

　　訪問FortiGate或FortiWifi上的圖形介面，請開啟Web瀏覽器並轉到https://192.1681.99。預設登入資訊是眾所周知的。永遠不要保留預設空白密碼。你的網路和你的FortiGate管理賬戶一樣安全。在將FortiGate連線到網路之前，應該設定一個複雜的密碼。

　　所有的FortiGate型號都有控制檯埠或USB管理埠。該埠提供CLI訪問而無需網路。CLI能通過圖形介面上的CLI Console控制檯或者從仿終端程式登入，例如PuTTY或Tera Term。

一些FortiGate服務可以連線到其他伺服器，如FortiGuard，以便工作。FortiGuard訂閱服務提供最新的威脅情報。FortiGate使用FortiGuard：

• 週期性地請求包含新的引擎和簽名的資料包
• 在個人URL或主機名上查詢FDN

　　查詢是實時的，也就是說，FortiGate每次掃描垃圾郵件或過濾網站時都會詢問FDN。由於資料庫發生更改的大小和頻率，FortiGate查詢可代替下載資料庫。此外，查詢使用UDP進行傳輸；它們是無連線的，並且協議不是為了容錯而設計的，而是為了速度。因此，查詢要求你的FortiGate具有可靠的Internet連線。軟體包（如反病毒和IPS）資料包較小，不會頻繁改變，因此它們在大多數情況下每天只下載一次。它們使用TCP下載以實現可靠的傳輸。在下載資料庫之後，即使FortiGate沒有可靠的Internet連線，它們的相關FortiGate功能仍繼續發揮作用。但是，如果FortiGate必須反覆嘗試下載更新，那麼你應該避免在下載
過程中中斷，在更新時不能檢測到新的威脅。

送分題。

現在，你瞭解如何執行FortiGate的初始設定，以及為什麼你可能決定使用一個配置而不是另一個配置。接下來，你將學習基本的管理。

完成該課程課後，你應該能夠：

• 管理管理員配置檔案
• 管理使用者管理
• 定義管理使用者的配置方法
• 控制對FortiGate從GUI和CLI的管理訪問
• 管理網路介面的特定方面

　　通過展示基本的管理能力，你將能夠更好地管理管理使用者並圍繞管理訪問實現更強的安全實踐。

大多數功能在GU和CLI上都可用，但也有一些例外。不能在CLI上檢視報告。此外，通常在GUI上高階使用者的高階設定和診斷命令不可用。

　　隨著你對FortiGate越來越熟悉，特別是如果你想編寫其配置的指令碼，除了GUI之外，你可能還想使用CLI。你可以通過名為
CLI控制檯的GUI中的JavaScript小部件或者通過仿終端軟體，如Tera Term（http://ttssh2.sourceforge.jp/index.html.en
）或者PuTTY（http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html）訪問CLI。你的終端程式可以通過網路SSH、Telnet或本地控制檯埠連線。

　　FortiGate還支援SNMP和其他一些管理協議，但它們是隻讀的。它們不能用於基本設定。

這裡顯示了一些基本的CLI命令，你可以使用它們列出命令集下的命令、檢查系統狀態以及列出介面的屬性及其值。

無論你使用哪種方法，都要以管理員身份登入。首先為其他管理員建立單獨的帳戶。為了安全和跟蹤目的，每個管理員都有自己的帳戶是最好的做法。

　　在新建的下拉列表中，你可以選擇Administrator或REST API Admin。通常你將選擇Administrator然後分配Administrator　Profile，它指定了該使用者的管理許可權。你可以選擇REST API Admin來新增管理使用者，該使用者使用自定義應用程式REST API來訪問FortiGate。該應用程式允許你登入到FortiGate，並執行你所指定的Administrator Profile允許的任何任務。

　　此處未顯示的其他選項：

• 你可以配置FortiGate來查詢遠端身份驗證伺服器，而不是在FortiGate本身上建立帳戶。
• 管理員可以使用內部證書頒發機構伺服器頒發的數字證書進行身份驗證，而不是使用密碼。

　　如果你確定使用密碼，請確保它們是強的和複雜的。例如，可以使用具有不同大寫的多個交錯字，並隨機插入數字和標點符號。不要使用包含任何字典中的名稱、日期或單詞的短密碼或密碼。這些容易受到暴力攻擊。要檢查密碼的強度，使用工具如L0phtcrack（http://www.l0phtcrack.com/或http://www.openwall.com/john/）。如果將管理埠連線到Internet，則增加了暴力攻擊的風險。

　　為了限制對特定功能的訪問，可以分配許可權。

當將許可權分配給管理員配置檔案時，可以指定對每個區域的讀寫、只讀或無。

　　預設情況下，有一個名為super_admin的特殊配置檔案，它被名為admin的使用者使用。它不能改變。它提供了對所有內容的完全訪問，使得管理員帳戶類似於root superuser帳戶。

　　prof_admin是另一個預設配置檔案。它還提供完全訪問，但是與super_admin不同，它只適合於它的虛擬域，而不是FortiGate的全域性設定。此外，它的許可權也可以更改。

　　你不需要使用預設配置檔案。例如，你可以建立具有隻讀許可權的auditor_access配置檔案。將某人的許可權限制於他的工作所必需的許可權是最佳方法，因為即使該帳戶被破壞，對FortiGate（或網路）的危害也不大。為此，建立管理員配置檔案，然後在配置帳戶時選擇適當的配置檔案。

　　Override Idle Timeout功能允許在配置系統賬戶下的管理員超時值在每個訪問配置檔案中被覆蓋。管理員配置檔案可以配置為增加非活動超時，並方便使用GUI進行中央監控。

　　請注意，這可以在每個配置檔案的基礎上實現，以防止選項在全域性上被無意地設定。

管理員配置檔案的影響是什麼？

　　它實際上不僅僅是讀或寫訪問。

　　據你分配的管理員配置檔案的型別，管理員可能無法訪問整個FortiGate。例如，你可以配置一個只能檢視日誌訊息的帳戶。管理員可能無法訪問其指定虛擬域之外的全域性設定。虛擬域（VDOM）是一種將資源和配置細分為單個FortiGate的方法。

　　許可權較小的管理員無法建立、甚至檢視具有更多許可權的帳戶。因此，例如使用prof_admin或自定義配置檔案的管理員不能看到或重置使用super_admin配置檔案的帳戶的密碼。

為了進一步確保對網路安全性的訪問，請使用雙因子身份驗證。

　　雙因子身份驗證是指使用兩種方法來驗證你的身份，而不是使用一種方法（通常是密碼或數字證書）。在這個示例中，雙因子身份驗證包括密碼加上來自與FortiGate同步的FortiToken的RSA隨機生成的數字。

如果忘記管理員帳戶的密碼，或者惡意員工更改密碼，會發生什麼情況？

　　這種恢復方法適用於所有的FortiGate裝置，甚至一些非FortiGate裝置，如FortiMail。它是一個臨時帳戶，只能通過本地控制檯埠獲得，並且只有在通過拔掉或關閉電源，然後恢復電源來重啟中斷電源之後。FortiGate必須物理關閉，然後回過頭來操作，而不是簡單地通過CLI重新啟動。

　　在啟動完成後，maintainer帳號登入只可用於啟動約60秒內（舊版本的時間更少）。

　　如果無法確保物理安全性和有符合要求，則可以禁用維護帳戶。使用警告：如果禁用維護程式，然後丟失管理員密碼，則無法恢復對你的FortiGate的訪問。為了在這種情況下重新獲得訪問權，你需要重新載入裝置。這將重置為工廠預設值。

另一種確保不被攻擊的方法是定義主機或子網，只有這些主機或子網才能登入FortiGate。

　　在這個例子中，我們已經配置了10.0.1.10作為admin1帳號登入的唯一可信IP。如果admin1嘗試從任何其他IP的機器登入，則它們將接收到驗證失敗訊息。

　　注意：如果在所有管理員上配置了受信任的主機，並且管理員試圖從沒有為任何管理員在任何受信任的主機上設定的IP
地址登入，那麼管理員將不會獲得登入頁面，而是將收到訊息“Unable to contact server”。

　　如果你將IPv4地址保留為0.0.0.0/0，則意味著將允許來自任何源IP的連線。預設情況下，0.0.0.0/0是管理員的配置，儘管你可能希望更改此配置。

　　請注意，每個帳戶可以以不同的方式定義其管理主機或子網。如果要在FortiGate上設定VDOM，則這尤其有用，因為VDOM的管理員甚至可能不屬於同一個組織。你可以很容易地阻止管理員從所需的IP地址登入，如果在到達FortiGate之前，它將被NAT轉移到另一個地址，從而破壞了可信主機的目的。

你還可能需要自定義管理協議的埠號。

　　你可以選擇是否允許併發會話。這可以用於防止意外地覆蓋設定，如果通常保持多個瀏覽器選項卡開啟，或者意外地讓CLI會話開啟而不儲存設定，則開始GUI會話，並意外地以不同的方式編輯相同的設定。

　　為了更好的安全性，只使用安全協議，並強制密碼複雜性和更改。

　　Idle timeout是非活動管理員會話超時之前的分鐘數（預設為5分鐘）。更短的空閒超時更安全，但是增加計時器可以幫助減少管理員在測試更改時登出的機會。

　　你可以按管理員配置檔案覆蓋此空閒超時，請參閱“管理配置檔案”下的新功能“Override Idle Timeout”。

　　Override Idle Timeout——管理員配置檔案可以配置為增加非活動超時並促進使用GUI進行集中監控。此新功能允許在配置系統訪問檔案下的管理超時時間值在每個訪問配置檔案中被重寫。

　　請注意，這可以在每個配置檔案的基礎上實現，以避免選項被無意地設定為全域性。

你已經定義了管理子網，即每個管理員帳戶的管理主機。如何啟用或禁用管理協議？

　　這對每個介面都是特定的。例如，如果你的管理員僅從埠3連線到FortiGate，那麼應該禁用所有其他端 口上的管理訪問。這可以防止暴力嘗試和不安全訪問。你的管理協議是HTTPS、HTTP、Ping、SSH。預設情況下，Telnet選項在GUI上不可見。

　　考慮網路上介面的位置。在內部介面上啟用ping對於故障排除是有用的。然而，如果它是一個外部介面 （換句話說，暴露於網際網路），那麼PING協議可能使FortiGate受到DoS攻擊。不禁用資料流的協議，如 HTTP和telnet，應禁用。IPv4和IPv6協議是分開的。在IPv6上可以同時擁有IPv4和IPv6地址，此時能響應 IPv6上的Ping。

　　注意，一些協議，如FortiTelemetry ，不是用於管理訪問，如GUI和CLI訪問，而是它們是將FortiGate 作為目的地IP，而不僅將FortiGate用作下一跳或橋的協議。FortiTelemetry協議專門用於管理FortiClient和Security Fabric。FMG-Access協議專門用於當伺服器管理多個FortiGate裝置時與FortiManager通訊。 CAPWAP協議在FortiGate管理時用於FortiAP、FortiSwitch和FortiExtender。當FortiGate需要偵聽和處理 RADIUS Accounting分組以進行單點登入身份驗證時，使用RADIUS計費協議。FTM，或FortiToken Mobile推送，支援來自FortiToken Mobile 推送應用程式的雙因子認證請求。推送服務由蘋果（APN）和 谷歌（GCM）分別為iPhone和Android智慧手機提供。此外，當FortiAuthenticator 認證為身份驗證伺服器時，FortiOS支援FTM推送。

FortiGate有數百個功能。如果你不使用它們，隱藏你不使用的功能會使你更容易專注於你的工作。

　　在圖形介面上隱藏的一個功能並沒有被禁用。它仍然是功能性的，並且仍然可以使用CLI配置。

　　某些高階或不常用的功能，如IPv6，預設是隱藏的。

　　若要顯示隱藏的功能，請單擊 System > Feature Visibility。

記住，當FortiGate處於NAT模式時，處理流量的每一個介面都必須有一個IP地址。當處於NAT模式時，當在NAT模式下，如果需要開始或應答會話，則可以使用IP地址來獲取源流量，並且可以作為一個目標地址，用來連線那些嘗試聯絡FortiGate或路由流量通過的裝置。獲取IP地址的方法有多種：

• 手動分配
• 自動分配，使用DHCP 或 PPPoE

　　IP地址要求有兩個例外：One-Arm Sniffer和專用於Dedicated to FortiSwitch介面型別。這些介面沒有分配地址。

• 當選擇單臂嗅探器作為定址模式時，介面不與業務流內聯，而是從交換機上的映象埠接收業務量的副本。該介面在混合模式中操作，掃描它看到的流量，但是由於交換機已經處理了原始資料包，因此無法進行更改。因此，One-Arm Sniffer主要用於概念驗證（POC）或在企業需求宣告不能更改流量（僅記錄流量）的環境中。
• 當選擇Dedicated to FortiSwitch作為定址模式時，FortiGate自動向該介面分配IP地址。Dedicated to  FortiSwitch是一個用於從FortiGate管理FortiSwitch的介面設定。

在WAN介面上，你見過多少次由DHCP伺服器引起的網路問題而不是客戶端啟用的網路問題？

　　你可以配置介面的角色。在GUI中顯示的角色通常是拓撲的那部分的介面設定。不適用於當前角色的設定隱藏在GUI中（不管角色如何，CLI上的所有設定總是可用的）。這防止意外錯誤配置。

　　例如，當角色被配置為WAN時，沒有DHCP伺服器和裝置檢測配置可用。裝置檢測通常用於檢測區域網上的裝置。

　　如果出現異常情況，並且需要使用當前角色隱藏的選項，則始終可以將角色切換到Undefined這顯示所有選項。

　　為了幫助你記住每個介面的使用，你可以給它們取名。例如，你可以將port3稱為internal_network。這有助於使你的策略列表更容易理解。

在將FortiGate整合到網路之前，應該配置預設閘道器。

　　如果FortiGate通過動態方法（例如DHCP或PPPoE）獲取IP地址，那麼它也應該獲取預設閘道器。否則，必須配置靜態路由。沒有預設閘道器，FortiGate將不能響應直接連線到它自己的介面的子網之外的資料包。它可能也無法連線到FortiGuard進行更新，並且可能無法正確地路由流量。

　　在另一課中包含路由細節。現在，你應該確保FortiGate有一個匹配所有包（目的地是0.0.0.0/0）的路由，稱為預設路由，並通過連線到Internet的網路介面轉發給下一個路由器的IP地址。

　　到目前為止，已經完成在配置防火牆策略之前所需的基本網路設定。

鏈路聚合邏輯上將多個物理介面繫結到單個通道中。鏈路聚合增加頻寬並在兩個網路裝置之間提供冗餘。

送分題。

你現在有了一些基本的管理知識。接下來，你將瞭解內建伺服器。

在完成這一節之後，你應該能夠：

• 在FortiGate上啟用DHCP
• 在FortiGate上啟用DNS服務
• 瞭解配置的可能性和它們的一些含義

　　通過演示實現DHCP和DNS內建伺服器的能力，你將知道如何通過FortiGate提供這些服務。

無線客戶端並不是唯一可以使用FortiGate作為其DHCP伺服器的使用者。

　　對於介面（如port3），選擇Manual選項，輸入靜態IP，然後啟用DHCP Server選項。內建DHCP伺服器的選項將出現，包括提供功能，如DHCP選項和MAC保留。還可以從接收IP地址阻止特定的MAC地址。注意，在右側的螢幕截圖中，在MAC Reservation + Access Control選項中，在Action or IP 列，下拉列表提供三種選項：

• Reserve IP：允許你將特定的IP繫結到MAC地址。
• Assign IP：允許DHCP伺服器從其地址池分配到識別的MAC地址。接收到IP地址的裝置將始終接收相同的地址，前提是其租約尚未過期。
• Block：具有識別的MAC地址和Block選項的計算機將不接收IP地址。

對於內建的DHCP伺服器，你可以為具有特定MAC地址的裝置保留特定的IP地址。

　　對於Unknown MAC Addresses的操作定義了當它從沒有明確列出的MAC地址中獲得一個請求時，它的DHCP伺服器將會做什麼。

與DHCP一樣，你也可以配置FortiGate作為本地DNS伺服器。你可以在每個介面上單獨啟用和配置DNS。

　　本地DNS伺服器可以提高你的Fortimail或經常使用DNS查詢的其他裝置的效能。如果FortiGate向本地網路提供DHCP，則可以使用DHCP配置這些主機以使用FortiGate作為閘道器和DNS伺服器。

　　FortiGate可用以下三種方式之一回答DNS查詢：

• Forward：將所有查詢中繼到單獨的DNS伺服器（你已經在Network>DNS中配置過）；也就是說，充當DNS中繼而不是DNS伺服器。
• Non-Recursive：對FortiGate DNS資料庫中的專案的查詢的答覆；不轉發不可解析查詢。
• Recursive：對FortiGate的DNS資料庫中項查詢的回覆；將所有其他查詢轉發到單獨的DNS伺服器進行解析。

　　你可以在GUI或CLI上配置所有模式。

如果選擇遞迴，FortitGate查詢自己的資料庫，然後將未解析的請求轉發到外部DNS伺服器。

　　如果選擇DNS轉發選項，則可以在自己的網路中控制DNS查詢，而不必在FortiGate的DNS伺服器中輸入任何DNS名稱。

如果你選擇讓DNS伺服器解析查詢，或者選擇拆分DNS，則必須在你的FortiGate上設定DNS資料庫。

　　這定義了FortiGate將解析查詢的主機名。請注意，FortiGate目前只支援上圖列出的DNS記錄型別。

送分題。

  你現在知道如何在FortiGate中啟用DHCP和DNS服務，並且對配置的可能性有了一些瞭解。接下來，你將學習基本的維護。

 

​​  在完成這一節之後，你應該能夠：

• 備份和恢復系統配置檔案
• 瞭解純文字和加密配置檔案的恢復要求
• 識別當前韌體版本
• 升級韌體
• 降級韌體

　　通過展示實現FortiGate基本維護的能力，你將能夠執行備份和恢復、升級或降級韌體的重要活動，並確保 FortiGate在其整個生命週期中保持可靠的服務。

​​  我們已經知道FortiGate具有基本的網路設定和管理帳戶，你將瞭解如何備份配置。除了選擇備份檔案的目的地之外，還可以選擇加密或不加密備份檔案。即使你選擇不對預設的檔案進行加密，檔案中儲存的密碼也會被雜湊，因此會被混淆。儲存在配置檔案中的密碼將包括管理使用者和本地使用者的密碼，以及IPSec VPN的預共享金鑰。它還可以包括FSSO和LDAP伺服器的密碼。

　　另一種選擇是用密碼加密配置檔案。除了確保配置的隱私，它也有一些你可能不期望的效果。加密後，沒有密碼以及不是同一個型號和韌體，配置檔案都不能被解密。這意味著，如果你向Fortinet技術支援傳送加密的配置檔案，即使你向他們提供密碼，他們也不能載入你配置，直到他們訪問相同的FortiGate型號。這在解決你的問題時，可能會導致不必要的延時。

　　如果啟用虛擬域（VDOM），對FortiGate的資源和配置進行細分，則每個VDOM管理員都可以備份和恢復自己的配置。你不必備份整個FortiGate配置，但是它仍然是推薦的。

　　備份是必要的，可以幫助快速返回生產狀態。如果發生了不可預見的災難，損害了FortiGate，必須從頭重新建立數百個策略和物件需要大量的時間，而在新裝置上載入配置檔案則需要更少的時間。

　　恢復配置檔案的動作與備份非常類似，並且會重新啟動FortiGate。

​​  如果在文字編輯器中開啟配置檔案，你將看到加密和未加密的配置檔案都包含一個包含有關裝置的一些基本資訊的明文標題。要恢復加密的配置，必須將它上傳到相同型號和韌體的FortiGate，然後提供密碼。

　　若要還原未加密的配置檔案，則只需匹配FortiGate型號。如果韌體不同，FortiGate將嘗試升級配置。這類似於在升級韌體時如何在現有配置上使用升級指令碼。但是，仍然建議將FortiGate上的韌體與配置檔案中列出的韌體進行匹配。

　　通常，配置檔案只包含非預設設定，加上很少的預設但重要的設定。這就最小化了備份的大小，否則可能會有幾個MB大小。

​​  你可以在FortiGate GUI中的多個位置檢視當前韌體版本。當你第一次登入到FortiGate時，登陸頁面就是儀表板。你將在系統子視窗中看到韌體版本。此資訊也在 系統 > 韌體 中可以找到。當然，你可以使用命令get system status檢索CLI上的資訊。

　　如果新版本的韌體可用，你將在韌體頁面上得到通知。

　　請記住閱讀發行說明，以確保瞭解所支援的升級路徑。發行說明還提供可能影響升級的相關資訊。

​​  升級FortiGate上的韌體很簡單。單擊 系統 > 韌體，然後在瀏覽器上從support.fortinet.com下載韌體檔案，或者選擇線上升級。

　　如果希望通過覆蓋現有韌體及其當前配置來完成乾淨的安裝，可以在重新啟動FortiGate時使用引導載入器選單中的本地控制檯CLI進行此操作。然而，這不是常用的方法。

​​  你也可以降級韌體。因為每個韌體版本的設定都會改變，所以你應該具有與韌體相容的語法配置檔案。

　　記得閱讀發行說明。有時，儲存配置的韌體版本之間的降級是不可能的，例如當作業系統從32位更改為64 位時。在這種情況下，降級的唯一方法是格式化磁碟，然後重新安裝。

　　在你確認可以降級之後，再次驗證一切，然後開始降級。在降級完成後，還原與該版本相容的配置備份。

　　為什麼要保持緊急韌體和物理訪問？

　　早期韌體版本不知道如何轉換成後期的配置。通常，當通過路徑進行升級時，不支援配置轉換指令碼，可能會丟失除了基本訪問設定之外的所有設定，例如管理員帳戶和網路介面IP地址。另一種罕見但可能的情況是，當你上傳韌體時，韌體可能會損壞。由於所有這些原因，在升級過程中應該始終具有本地控制檯訪問許可權。然而，在實踐中，如果你閱讀發行說明並與GUI或CLI有可靠的連線，則不必如此。

​​  送分題。

​​  你現在知道如何在一個基本的層面上維護FortiGate了，接下來，您將瞭解Security Fabric中的FortiGate。

​​  在完成本章節後 ，你應該能夠：

• 定義FortinetSecurity Fabric
• 確認為什麼需要Security Fabric
• 識別參與Security Fabric的Fortinet裝置，特別是最基本的裝置
• 瞭解如何在高級別上配置Security Fabric

　　通過展示Fortinet Security Fabric的高階概念中的能力，你將更好地理解Security Fabric的價值、組成它的伺服器以及如何部署它。

​​  什麼是Fortinet Security Fabric?

　　它是一個Fortinet企業解決方案，它支援一種全面的網路安全方法，通過一個控制檯可以看到網路環境，所有的網路裝置都整合到集中管理和自動化防禦中。

　　網路裝置包括所有元件，從物理端點到雲中的虛擬裝置。由於裝置是集中管理的，並且正在實時地智慧共享威脅，並且在巨集觀級別上接收來自Fortinet的更新，你的網路可以快速識別、隔離和消除出現的威脅。

　　Security Fabric具有以下屬性：

• 無縫：它覆蓋了從物聯網到雲的整個攻擊面。
• 協同：部署安全處理器以確保高網路效能，同時提供全面的安全性。
• 智慧：在網路元件之間實時交換威脅情報，以實現對威脅的自動響應。

　　我們可以新增Security Fabric的第四個屬性，具有開放性。API和協議可用於其他供應商的加入和合作夥伴的整合。這允許Fortinet和第三方裝置之間的通訊。

​​  為什麼Fortinet認為Security Fabric是一個強大的網路防禦的基本解決方案？

　　隨著網路的發展和各種新型威脅的出現，部署了端點安全產品來應對這些新出現的威脅。通常，這些零碎的解決方案是有效的，但是使用不同的標準和協議部署產品常常意味著不能有效地協調防禦資產。

　　上圖右側的圖示講述了一個網路的故事，該網路部署了來自四個不同供應商的安全解決方案。中心的管理員，從安全控制檯工作，只對一些安全解決方案有可見性。這種缺乏可見性的整個網路防禦是一個嚴重的缺陷，並允許外國滲透者在未被察覺的情況下突破網路防禦。

　　當今網路的複雜性使這個問題更加複雜。此外，越來越複雜的惡意軟體有一個不斷擴大的攻擊面，因為網路已經突破了傳統網路的範圍，並擴充套件到虛擬網路和公共雲。除此之外，由於自帶裝置的程式，越來越多的無人管理裝置的數量不斷增加，而且你擁有完美的安全風暴。

　　最可行的解決方案是構建一種集中管理的、整體的安全方法，從而對所有潛在的滲透點有清晰的視線，並且可以協調防禦以遏制和中和網路破壞。
 

​​  兩個或兩個以上的FortiGate裝置加FortiAnalyzer 的產品是解決方案的核心。為了增加更多的可視性和控制，Fortinet 推薦新增 FortiManager、FortiAP、FortiClient、FortiS。可以通過新增其他網路安全裝置來擴充套件該解決方案。

​​  FortiManager和FortiCloud中央管理的配置可以在Security Fabric設定中執行。

　　可以在Security Fabric設定中新增FortiＭail。FortiＭail統計資料使用REST API顯示在FortiOS儀表板小部件上。

　　可以在Security Fabric設定中新增無線AP。可以使用REST API來設定端點和SSID可見性。

　　可以在Security Fabric設定中新增FortiCache和FortiWeb，這允許FortiGate使用FortiCache的磁碟作為本地儲存進行快取，而不是使用WCCP。

　　FortiClient EMS配置已被納入Security Fabric設定。如果客戶端由所指示的EMS伺服器之一管理，則被認為是相容的。你最多可以新增三個EMS伺服器。

​​  管理員定義的自動化工作流（稱為拼接）使用if/then語句使FortiOS以預先程式設計的方式自動響應事件。因為該工作流是Security Fabric的一部分，你可以為Security Fabric中的任何裝置設定if/then語句。

　　觸發：觸發器屬性定義事件的型別。如果FortiAnalyzer提供了一個IOC訊息來觸發FortiGate，則觸發妥協指標（IOC）。此訊息將由Security Fabric中的根節點接收。

　　動作：如果配置IOC觸發器，則可以從Action部分中的幾個選項中選擇，例如Quarantine和IP Ban。這兩個選項阻止來自IOC標記的源地址的所有流量。隔離裝置在Security Fabric拓撲中被標記。

　　你還可以單擊 Monitor > Quarantine Monitor 檢視隔離和禁用的IP地址。隔離地址在可配置的時間段後自動從隔離中移除。只有通過管理員干預才能將禁止的IP地址從列表中刪除。

　　事件日誌為使用者提供了基於特定日誌ID定義觸發器的靈活性。

​​  Fabric聯結器允許你整合多雲支援，如ACI、AWS等。

　　以應用程式為中心的基礎設施（ACI）：SDN聯結器充當連線SDN控制器和FortiGate裝置的閘道器。SDN聯結器將自己註冊到Cisco ACI結構中的APIC，對感興趣的物件進行投票，並將它們轉換為地址物件。被翻譯的地址物件和相關的端點填充在FortiGate上。

　　微軟Azure的FortiGate虛擬機器也支援雲初始化和自引導。

​​  在這個簡單的網路中，只有一個Security Fabric的核心裝置，我們有一個FortiGate和一個下一代防火牆 （NGFW）。這個實現示例僅僅是一個高階檢視。要了解更多細節，請參見docs.fortinet.com。被命名為＂External＂的FortiGate充當了邊緣防火牆，也將被配置為Security Fabric中的根防火牆。在根防火牆的下游，我們有三個內部分割防火牆，將WAN劃分為包含一個分支，並控制對各種區域網的訪問。在本例中，我們有財務部、市場部和銷售部本地區域網路。

​​&nbs