Введение
В предыдущей статье мы рассмотрели линейку FortiGate и как с помощью этих решений не допустить потерю важной информации. Теперь мы рассмотрим подключение и первоначальные настройки конкретного решения, а именно FortiGate 100E.
Первые шаги - подключение FortiGate 100E
В рамках этой статьи, мы рассмотрим пример с автономным подключением от сети предприятия, где FortiGate будет являться межсетевым экраном и шлюзом для управляющего им хоста. Хотим обратить ваше внимание, что этот случай ничем не отличается от подключения FortiGate на периметре сети. Однако сейчас, мы делаем это от сети, чтобы случайно «не положить» сеть предприятия.
Для подключения нам понадобятся провод с коннектором типа RJ45. Один коннектор мы подключаем к Managment (MGMT) порту FortiGate, а другой — к разъему нашего хоста. Затем, на лицевой стороне устройства будет наклейка с данными, необходимыми для входа в web интерфейс. Обычно это адрес 192.168.1.99, логин — admin и пустое поле пароля. Переходим по указанному адресу, должно появиться окно входа (см. рис. 1).
Вводим указанные на наклейке данные и нажимаем Login. Сразу после входа всплывает окно, предлагающее задать пароль. Советуем сделать это сразу для укрепления безопасности устройства.
Обзор панели управления FortiGate 100E
После того, как мы проделали выше изложенные пункты, мы попадаем на главную панель (см. рис. 2,3 и 4).
На главной панели содержится основная информация об устройстве. Виджеты главной панели можно добавлять, удалять, перемещать, менять размер. Это позволяет держать на виду самую необходимую пользователю информацию в удобном для него виде. По умолчанию на главной панели уже установлен следующий перечень виджетов:
· Системная информация — содержит имя устройства, его серийный номер и версию прошивки, режим работы, текущую дату и время, время работы, а также IP адрес, через который осуществляется доступ в Интернет.
· Лицензии — список активных и неактивных лицензий.
· FortiCloud — показывает статус интеграции с сервисом FortiCloud.
· Security Fabric — показывает список устройств, интегрированных с фабрикой безопасности Fortinet и их статус.
· Administrators — показывает текущие администраторские сессии.
· CPU — показывает график загрузки по времени центрального процессора FortiGate.
· Memory — показывает график загрузки по времени оперативной памяти FortiGate.
· Sesions — показывает график числа сессий по времени.
Как определить или обновить текущую версию прошивки?
Для этого зайдем в меню Systems — Firmware. Версия прошивки указана в строке Current version (см. рис. 5). Этот раздел меню также позволяет пользователю проверить наличие обновления прошивки, сохранить текущую конфигурацию при обновлении прошивки, а также загрузить уже имеющуюся конфигурацию. Это помогает при непредвиденных сбоях, неправильных настройках и в ряде других случаев.
Рекомендуется периодически проверять наличие обновлений и при наличии новой прошивки обновлять устройство. Однако перед этим необходимо ознакомиться с документом Release Notes и убедиться, что обновление не «заденет» вашу текущую конфигурацию.
Теперь создадим отдельную учетную запись администратора. Это необходимо для более точного разделения обязанностей и контроля действий каждого администратора.
Для этого зайдем в меню System-Administrators. В данном окне будут показаны действующие учетные записи администраторов. На данный момент в списке один аккаунт, определенный по умолчанию (см. рис. 6).
Для создания новой учетной записи администратора нажимаем на Create New и выбираем Administrator.
В данном окне присутствуют стандартные поля для создания учетной записи, а также несколько дополнительных функций. О них мы расскажем поподробнее:
· Type — выбираем способ хранения учетной записи. В данном случае можно выбрать локальную базу данных устройства, удаленные сервера, а также можно использовать инфраструктуру открытых ключей.
· Comments — здесь можно приписать комментарий к аккаунту, который может содержать любой текст на ваше усмотрение (предназначение, кто владеет и т.д.). На работу данного аккаунта это не влияет, данная функция предназначена исключительно для вашего удобства.
· Administrator Profile — данное меню позволяет выбрать профиль администратора.
- Super_admin — имеет полный доступ ко всем параметрам устройства.
- Prof_admin — имеет полный доступ к параметрам определенного VDOMа (Технология VDOM не рассматривается в данной статье)
- Так же можно выбрать кастомный профиль, процесс его создания мы рассмотрим позже.
- Email — позволяет указать email адрес администратора для различных оповещений.
Так же ниже расположены поля, позволяющие активировать дополнительные функции, такие как: оповещения по SMS, двухфакторная ауетнтификация, возможность входа только с доверенных хостов, ограничение доступа администратора только к гостевой учетной записи.
Чтобы создать кастомный профиль администратора (не путать с аккаунтом/учетной записью, профиль применяется на каждую учетную запись как надстройка) необходимо перейти в меню System-Admin Profiles. В появившемся окне, необходимо задать названия профиля, комментарий к нему (необязательно), а также выбрать разрешения, которые вам нужны для данного профиля (см. рис. 8). Функция Override Idle Timeout позволяет переопределить значение таймаута, заданного по умолчанию.
Удаленное подключение
Подключение по ssh уже настроено по умолчанию. Необходима лишь учетная запись, которую мы создали в предыдущем разделе. Настройки административного доступа находятся в меню System-Settings. Однако в данных настройках можно лишь переопределить номера портов. Появляется логичный вопрос — как разрешить или запретить доступ определенному протоколу управления?
Для этого перейдем в меню Network-Interfaces (см. рис. 9). Видим, что у нас активен mgmt порт, через который мы выполняем конфигурацию. Предположим, что подключаться с помощью различных протоколов управления мы будем через этот порт. Заходим в его настройки двойным щелчком ПКМ.
В поле Administrative Access можно разрешить или запретить протоколы управления для конкретного интерфейса. Протокол telnet по умолчанию скрыт в GUI. Рекомендуется запрещать незащищенные протоколы, такие как telnet и http (см. рис. 10).
Как подключить устройство к интернету?
Теперь обеспечим управляющему хосту доступ в интернет. Стоит заметить, что процедура подключения сети к интернету через FortiGate абсолютно аналогична, отличие лишь в том, что в данном случае мы подключаемся к промежуточному устройству (например, к свитчу второго уровня модели OSI), а в случае установки FortiGate на периметре сети подключение осуществляется к устройству провайдера.
Для этого нам необходим еще один провод, который с одной стороны мы подключим к свитчу, а с другой в wan порт FortiGate(например в WAN1).
Заходим в настройки WAN1 интерфейса (аналогично с mgmt интерфейсом).
Обычно провайдер распределяет IP адреса с помощью DHCP протокола, поэтому в поле Address в строке Addressing mode меняем настройку с Manual на DHCP. Нажимаем ОК. Вернувшись в меню выбора интерфейса и обновив страницу, видим, что интерфейс автоматически получил IP адрес (см. рис. 11 и 12).
Теперь, настроим LAN. Это позволит так же подключить к интернету другие хосты через порты LAN. Таким же образом настраивается подключение хостов (других маршрутизаторов или свитчей) в том случае, если FortiGate находится на периметре сети.
В поле Address в строке Addressing Mode выбираем тип Manual(ручной ввод) и вводим адрес шлюза данной локальной сети и маску подсети.
Включаем DHCP сервер и назначаем Address Range — диапазон IP адресов, которые будут выдаваться хостам при подключении к данному интерфейсу (см. рис. 13).
Заключение
Проверим — подключим хост не к mgmt порту, а, например, в port1 LAN интерфейса. Сеть подключается, однако страницы в браузере не открываются. В чем причина?
А причина в политиках безопасности. По умолчанию в FG установлена политика deny any any, которая запрещает доступ в интернет.
Однако не расстраивайтесь, в нашей следующей статье мы подробно рассмотрим политики безопасности, их настройку и лучшие практики, а также разрешим себе доступ в интернет.