[Информационная безопасность, Системное администрирование, Сетевые технологии, Сетевое оборудование] Fortinet Security Fabric на практике. Часть 4. Взаимная интеграция

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
08-Дек-2020 07:30


Доброго дня! В наших прошлых статьях мы рассказали про концепцию Fortinet Security Fabric, а также описали продукты FortiSwitchи FortiAP. Теперь пришло время рассмотреть процесс взаимной интеграции продуктов “фабрики безопасности” на практике, а также познакомиться с возможностями, которые предоставляет данная интеграция. В данной статье мы рассмотрим именно процесс интеграции - постараемся построить сеть, речь о которой велась речь здесь.  Перед тем, как начать построение сети, необходимо решить следующий вопрос - выбрать версию операционной системы для каждого продукта. Вопрос этот очень важный: если выбрать неверную версию операционной системы хотя бы у одного продукта, возможны различные проблемы при интеграции и взаимодействии данного продукта с остальными. Отталкиваться мы будем с ядра нашей “фабрики безопасности” - FortiGate. Выберем самую новую версию, на данный момент это 6.4.3. Теперь выберем версию операционной системы для FortiAnalyzer. Для этого воспользуемся данным документом. В левом столбце необходимо найти нужную версию ОС на FortiGate, в нашем случае это 6.4.3. Теперь ищем поля, отмеченные галочкой: это означает, что версия ОС FortiAnalyzer,указанная в данном столбце, совместима с версией 6.4.3 для FortiGate. В нашем случае совместимая версия только одна - 6.4.3. Соответственно, ее мы и выбираем. Для выбора операционной системы FortiSwitch необходимо воспользоваться этим документом. Из него видно, что под версию 6.4.3 FortiGate подходят две ОС FortiSwitch - 6.4.3 и 6.4.4. В таких случаях вендор рекомендует выбирать последнюю версию. Так и поступим. Теперь выберем версию операционной системы для FortiAP. В этом нам поможет следующий ресурс. У нас на тестировании находится модель FortiAP-U421EV, поэтому переходим в раздел FortiAP-U, ищем пункт FortiOS 6.4.x compatibility, и в нем ищем подходящую версию ОС FortiAP-U421EV для 6.4.3 версии FG. Это версия 6.0.4.Остался FortiClient EMS. Рассмотрим данный документ. Из него видно, что нам необходима 6.4.x версия ОС на FortiClient EMS. По традиции возьмем самую последнюю. Теперь, когда мы определились с версиями операционных систем, самое время перейти к интеграции. Начнем с самого простого этапа - интеграции FortiGate и FortiAnalyzer. Для этого со стороны FortiGate перейдем в меню Log Settings -> Remote Logging and Archiving. В этом разделе необходимо активировать отправку логов на FortiAnalyzer/FortiManager и использовать IP адрес FortiAnalyzer. Период отправки логов лучше установить в Real Time, чтобы на FortiAnalyzer в любой момент времени была актуальная информация. После того, как все настройки заданы, необходимо нажать на кнопку Test Connectivity. Таким образом, мы отправим запрос для авторизации нашего устройства на FortiAnalyzer:
 Теперь перейдем на FortiAnalyzer в меню Device Manager. В списке у нас появилось одно неавторизованное устройство:
Нажимаем на кнопку Authorize:
На этом интеграция FortiGate и FortiAnalyzer закончена. Перейдем к интеграции FortiGate и FortiSwitch. Для данной интеграции необходимо настроить интерфейс FortiLink:
В поле Interface Member необходимо выбрать интерфейсы, которые будут служить в качестве FortiLink - это может быть один или несколько интерфейсов. В FortiGate 61F для FortiLink по умолчанию выделено 2 интерфейса. В поле Address указывается адрес интерфейса FortiLink и маска подсети - к данной подсети будут относиться все подключаемые устройства FortiSwitch. Далее идут настройки раздачи IP адресов для подключаемых устройств FortiSwitch. Этих настроек нам вполне достаточно для интеграции, теперь переходим в меню Managed FortiSwitch. Если FortiSwitch физически подключен к интерфейсу, на котором заведен FortiLink, он должен автоматически появиться в списке устройств и иметь статус unauthorize. Мы рассмотрим способ ручного добавления FortiSwithc. Для этого нажимаем на кнопку Create New. В появившемся окне вводим серийный номер FortiSwitch, а также даем ему название:
Теперь в списке устройств появился наш FortiSwitch. Авторизовываем его с помощью кнопки Authorize. После этого необходимо немного подождать, чтобы FortiSwitch получил статус Online:
Из представленной информации мы видим, что FortiSwitch работает на версии ОС 6.2.3. Поэтому, нам нужно обновить его до версии 6.4.4. Образ данной версии необходимо взять с портала технической поддержки в разделе Download -> Firmware Images -> FortiSwitch. Здесь необходимо выбрать необходимую версию, а после образ для конкретной модели. Далее, возвращаемся на FortiGate, выделяем необходимый FortiSwitch и нажимаем на кнопку Upgrade. В меню Upload загружаем необходимый образ и нажимаем Upgrade. По истечении нескольких минут обновление будет установлено на FortiSwitch. Теперь перейдем к FortiAP. Она подключена к FortiSwitch по 4 порту. В соответствии со схемой, которую мы разработали здесь, нам необходимо создать для нее отдельный VLAN:
Для того, чтобы FortiAP могла управляться с помощью FG, необходимо активировать опцию Security Fabric Connection в поле Administrative Access. Остальные настройки оставляем по умолчанию. Теперь переходим в поле FortiSwitch Ports и в настройках 4 порта устанавливаем Native Vlan - WLAN:
Теперь переходим в поле Managed FortiAP. В списке появилась нужная точка доступа, авторизовываем её. Переходим в настройки точки доступа и конфигурируем параметры следующим образом:
После данных настроек статус точки доступа меняется на Online. Теперь необходимо обновить точку доступа до версии 6.0.4. Для этого в списке доступных точек доступа кликаем правой кнопкой мыши по необходимой и выбираем функцию Upgrade. В этот раз воспользуемся другим вариантом обновления - через FortiGuard. В таком случае нет необходимости скачивать образ с сайта поддержки, а потом загружать его на устройство - необходимый образ скачается автоматически при запуске обновления. 
После обновления интеграцию точки доступа в нашу фабрику безопасности можно считать завершенной. Остался последний этап - интеграция FortiClient EMS. Для этого на FortiGate переходим в меню Security Fabric -> Fabric Connector -> Create New -> FortiClient EMS. Здесь указываем название коннектора, а также IP адрес сервера, на котором установлен FortiClient EMS.
Также со стороны FortiGate необходимо авторизовать сертификат FortiClient EMS. Для этого в правой части окна напротив надписи Certificate - Not Authorized нужно нажать на кнопку Authorize и дальше нажать Accept.Теперь необходимо авторизовать FortiGate со стороны FortiClient EMS. Перейдя на FortiClient EMS мы увидим запрос с информацией о FortiGate, который пытается подключиться. Авторизуем его:
Мы установили FortiClient EMS самой последней версии - 6.4.1. Поэтому, на этом интеграцию FortiClient EMS в фабрику безопасности также можно считать завершенной. Думаю, вы заметили, что сам процесс интеграции не вызывает сложностей - это мы и хотели показать. В следующей статье мы рассмотрим работу с интегрированной фабрикой и познакомимся с возможностями, которые она предлагает. Чтобы не пропустить новые материалы, подписывайтесь на обновления наших каналов:Youtube каналГруппа ВконтактеЯндекс ДзенНаш сайтТелеграм канал
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_setevye_tehnologii (Сетевые технологии), #_setevoe_oborudovanie (Сетевое оборудование), #_fortinet, #_fortiservice, #_fortinet_security_fabric, #_fortiswitch, #_forticlient_ems, #_fortigate, #_fortianalyzer, #_fortiap, #_network_security, #_forticlient, #_blog_kompanii_fortiservice (
Блог компании FORTISERVICE
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_sistemnoe_administrirovanie (
Системное администрирование
)
, #_setevye_tehnologii (
Сетевые технологии
)
, #_setevoe_oborudovanie (
Сетевое оборудование
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 08:40
Часовой пояс: UTC + 5