FortiGate

FortiGate

基于Fortinet专有的FortiASIC加速芯片
FortiAp

FortiAp

无线接入点的企业级、控制器管理设备
FortiWeb

FortiWeb

Web应用层防火墙
FortiMail

FortiMail

先进的反垃圾邮件和反病毒过滤功能

Fortigate与监控运维的故事

     接触飞塔4年有余,浅谈一下个人这些年来的与飞塔运维的故事。我只谈解决方案,个人的解决方案。
 
---------------------------------------------登陆篇--Jumpserver----------------------------------------
这个不多说,为了防止坏人暴力登陆设备,我将飞塔加入了开源跳板机jumpserver平台,并启用MFA认证,保证登陆设备的人员的唯一性,配置回溯准确性。

1544170402(1).jpg


1544170261(1).jpg

 
----------------------------------------------监控篇--Zabbix-------------------------------------------
这个也不用多说,大多数公司的监控解决方案,基本包含端口流量,CPU,内存,Session会话,ICMP。其中监控Session是因为有次被攻击,会话数飙到10几万,然后我却不知道,所以加入session监控与告警,了解时事情况。

1544170669(1).jpg

 
---------------------------------------------日志篇--ELK------------------------------------------------
这个是研究大头,花了不少时间。之所以选择ELK,开源,自定义强大,能达到类似功能的都是商业版的,尝试过OPM和splunk解决方案,感觉也不是我太想要的结果。飞塔日志结合ELK,难点在对于日志的切割,花了不少时间处理这个。解决完日志切割,剩下的就是处理Kibana的报表了。这里我不单独展示大的图,整体的看下效果。日志类型,百分比,登陆事件,应用时间,攻击事件,病毒时间,配置变更事件,都可以进行记录和回溯,还有很多报表可以做。

1544172296(1).jpg


1544171076(1).jpg


1544171201(1).jpg

 
---------------------------------------------告警篇--暂时Grafana--------------------------------------
飞塔实现告警的方式很多,流量,CPU,内存,Session,可以通过zabbix监控解决。
对于日志,可以通过防火墙自带的日志邮件功能解决,但是吧,自带的不能自定义,而且我到现在也没测试成功,可能是我配置问题,社区有很多人好像测试可以的。
因为我用ELK收集日志,所以优先使用ELK方案。关于ELK发送日志告警,网上解决方案较多,我目前还在测试。考虑到过度解决需要解决日志告警问题,目前我利用Grafana拉取ELK日志,在Grafana中配置告警功能,发送到钉钉。当然,这种方式的告警很机械,也不能自定义,实属过度方案。

1544172541(1).jpg


1544171919(1).jpg


1544171936(1).jpg

 
未完待续---------------------------------------------------------------------
继续阅读 »
     接触飞塔4年有余,浅谈一下个人这些年来的与飞塔运维的故事。我只谈解决方案,个人的解决方案。
 
---------------------------------------------登陆篇--Jumpserver----------------------------------------
这个不多说,为了防止坏人暴力登陆设备,我将飞塔加入了开源跳板机jumpserver平台,并启用MFA认证,保证登陆设备的人员的唯一性,配置回溯准确性。

1544170402(1).jpg


1544170261(1).jpg

 
----------------------------------------------监控篇--Zabbix-------------------------------------------
这个也不用多说,大多数公司的监控解决方案,基本包含端口流量,CPU,内存,Session会话,ICMP。其中监控Session是因为有次被攻击,会话数飙到10几万,然后我却不知道,所以加入session监控与告警,了解时事情况。

1544170669(1).jpg

 
---------------------------------------------日志篇--ELK------------------------------------------------
这个是研究大头,花了不少时间。之所以选择ELK,开源,自定义强大,能达到类似功能的都是商业版的,尝试过OPM和splunk解决方案,感觉也不是我太想要的结果。飞塔日志结合ELK,难点在对于日志的切割,花了不少时间处理这个。解决完日志切割,剩下的就是处理Kibana的报表了。这里我不单独展示大的图,整体的看下效果。日志类型,百分比,登陆事件,应用时间,攻击事件,病毒时间,配置变更事件,都可以进行记录和回溯,还有很多报表可以做。

1544172296(1).jpg


1544171076(1).jpg


1544171201(1).jpg

 
---------------------------------------------告警篇--暂时Grafana--------------------------------------
飞塔实现告警的方式很多,流量,CPU,内存,Session,可以通过zabbix监控解决。
对于日志,可以通过防火墙自带的日志邮件功能解决,但是吧,自带的不能自定义,而且我到现在也没测试成功,可能是我配置问题,社区有很多人好像测试可以的。
因为我用ELK收集日志,所以优先使用ELK方案。关于ELK发送日志告警,网上解决方案较多,我目前还在测试。考虑到过度解决需要解决日志告警问题,目前我利用Grafana拉取ELK日志,在Grafana中配置告警功能,发送到钉钉。当然,这种方式的告警很机械,也不能自定义,实属过度方案。

1544172541(1).jpg


1544171919(1).jpg


1544171936(1).jpg

 
未完待续--------------------------------------------------------------------- 收起阅读 »

FortiGate与FAC对接 MAC+Portal认证测试介绍

      Portal认证是无线网络部署时经常用到的一种认证方式, 主要用于访客对于无线网络的访问, 在实际使用过程中, 经常会遇到的一种情况,就是用户通过Portal认证后, 离开无线网络一段时间后,又再次接入无线网络时, 需要重新做Portal认证, 这样造成无线用户不方便的使用体验。
 
      针对无线用户的这种使用情况, 我们可以配置无线MAC+Portal认证, 通过后台的MAC无感知认证来代替Portal认证,提高用户无线使用体验。
 
 
继续阅读 »
      Portal认证是无线网络部署时经常用到的一种认证方式, 主要用于访客对于无线网络的访问, 在实际使用过程中, 经常会遇到的一种情况,就是用户通过Portal认证后, 离开无线网络一段时间后,又再次接入无线网络时, 需要重新做Portal认证, 这样造成无线用户不方便的使用体验。
 
      针对无线用户的这种使用情况, 我们可以配置无线MAC+Portal认证, 通过后台的MAC无感知认证来代替Portal认证,提高用户无线使用体验。
 
  收起阅读 »

FortiSwitch连接IP电话Trunk VLAN

      在FortiSwitch实际部署中, FortiSwitch经常会接入有线IP电话, 而IP电话同时工作在bridge模式下又连接一个有线电脑终端;在这种组网模式下, 有的客户需要让IP电话和有线终端工作在不同VLAN, 即有线终端工作在连接的交换机的Native VLAN, 而IP电话工作在一个Trunk VLAN, 并且不需要在IP电话上做任何配置修改。
 
     本文描述了FortiSwitch在遇到这种组网需求时的配置和调试, 对于IP电话的VLAN设置, 是通过LLDP-MED协商来实现的, 交换机端口使能了配置的lldp profile后, 会通过LLDP 报文将包括VLAN在内的相关信息组播发送给对端连接的IP电话, IP电话收到交换机LLDP报文后, 通过LLDP协商获取到相关的VLAN信息。


 
继续阅读 »
      在FortiSwitch实际部署中, FortiSwitch经常会接入有线IP电话, 而IP电话同时工作在bridge模式下又连接一个有线电脑终端;在这种组网模式下, 有的客户需要让IP电话和有线终端工作在不同VLAN, 即有线终端工作在连接的交换机的Native VLAN, 而IP电话工作在一个Trunk VLAN, 并且不需要在IP电话上做任何配置修改。
 
     本文描述了FortiSwitch在遇到这种组网需求时的配置和调试, 对于IP电话的VLAN设置, 是通过LLDP-MED协商来实现的, 交换机端口使能了配置的lldp profile后, 会通过LLDP 报文将包括VLAN在内的相关信息组播发送给对端连接的IP电话, IP电话收到交换机LLDP报文后, 通过LLDP协商获取到相关的VLAN信息。


  收起阅读 »

HA独立管理VDOM(升级版的HA独立管理口)

HA独立管理Vdom通过保留专用于管理的Vdom,提供对集群设备的直接管理访问。
MGMT VDOM的端口分配是被同步的,但是VDOM中的所有配置都不会同步。用户可以登录到每个设备上的任何端口,并为管理VDOM单独设置IP。
该特性允许备设备直接发送系统日志及trap信息到syslog或SNMP服务器等。与此类似,FortiGate具有HA储备管理接口特性。但是HA储备管理接口对于远程syslog日志记录有一些限制。在配置远程日志记录时,所有集群节点日志发送到FortiAnalyzer或其他远程日志服务器时,HA使用路由和 inter-VDOM链路将备设备日志流量通过主设备路由发送到网络当中。在配置HA独立管理Vdom时,可以验证哪些设备正在发送日志到syslog服务器。
继续阅读 »
HA独立管理Vdom通过保留专用于管理的Vdom,提供对集群设备的直接管理访问。
MGMT VDOM的端口分配是被同步的,但是VDOM中的所有配置都不会同步。用户可以登录到每个设备上的任何端口,并为管理VDOM单独设置IP。
该特性允许备设备直接发送系统日志及trap信息到syslog或SNMP服务器等。与此类似,FortiGate具有HA储备管理接口特性。但是HA储备管理接口对于远程syslog日志记录有一些限制。在配置远程日志记录时,所有集群节点日志发送到FortiAnalyzer或其他远程日志服务器时,HA使用路由和 inter-VDOM链路将备设备日志流量通过主设备路由发送到网络当中。在配置HA独立管理Vdom时,可以验证哪些设备正在发送日志到syslog服务器。 收起阅读 »

FortiGate 无线AP初始安装指南

防火墙可以直接管理FAP是Fortinet无线的一个很大的优势, 用户在已经部署了防火墙的情况下, 只需要再购买FortiAP就可以直接部署无线网络了, 不需再购买无线AP的专用控制器和AP管理的license, 非常方便,本文将详细介绍了在已经部署Fortinet防火墙的情况下, 快速部署基于FortiAP的无线网络。
 
继续阅读 »
防火墙可以直接管理FAP是Fortinet无线的一个很大的优势, 用户在已经部署了防火墙的情况下, 只需要再购买FortiAP就可以直接部署无线网络了, 不需再购买无线AP的专用控制器和AP管理的license, 非常方便,本文将详细介绍了在已经部署Fortinet防火墙的情况下, 快速部署基于FortiAP的无线网络。
  收起阅读 »

FortiGate MAC+Portal认证 测试介绍

Portal认证是无线网络部署时经常用到的一种认证方式, 主要用于访客对于无线网络的访问, 在实际使用过程中, 经常会遇到的一种情况,就是用户通过Portal认证后, 离开无线网络一段时间后,又再次接入无线网络时, 需要重新做Portal认证, 这样造成无线用户不方便的使用体验。针对无线用户的这种使用情况, 我们可以配置无线MAC+Portal认证, 通过后台的MAC无感知认证来代替Portal认证,提高用户无线使用体验。
 
继续阅读 »
Portal认证是无线网络部署时经常用到的一种认证方式, 主要用于访客对于无线网络的访问, 在实际使用过程中, 经常会遇到的一种情况,就是用户通过Portal认证后, 离开无线网络一段时间后,又再次接入无线网络时, 需要重新做Portal认证, 这样造成无线用户不方便的使用体验。针对无线用户的这种使用情况, 我们可以配置无线MAC+Portal认证, 通过后台的MAC无感知认证来代替Portal认证,提高用户无线使用体验。
  收起阅读 »

HA独立管理VDOM和独立管理口

有些场景下选择使用独立管理VDOM,有些场景下选择独立管理口
 
HA独立管理VDOM
 
HA独立口
继续阅读 »
有些场景下选择使用独立管理VDOM,有些场景下选择独立管理口
 
HA独立管理VDOM
 
HA独立口 收起阅读 »

FortiGate & IPsec VPN Troubleshooting 专题培训视频和PPT

FortiGate & IPsec VPN Troubleshooting 专题培训资料下载
 
PPT下载链接:FortiGate&IPsec_VPN_Troubleshooting
培训视频查看并可下载的链接:FortiGate&IPsec_VPN_Troubleshooting培训视频及下载链接
视频查看链接:FortiGate&IPsec_VPN_Troubleshooting培训视频链接
常用排错命令(有道笔记链接):FortiGate常用排错命令行_Sniffer_DebugFlow
VMware Workstation FGT OS 5.4.9下载链接:VMware Workstation FGT OS 5.4.9下载链接
VMware ESXi FGT OS 5.4.9 下载链接: VMware ESXi FGT OS 5.4.9 下载链接
12222.png
继续阅读 »
FortiGate & IPsec VPN Troubleshooting 专题培训资料下载
 
PPT下载链接:FortiGate&IPsec_VPN_Troubleshooting
培训视频查看并可下载的链接:FortiGate&IPsec_VPN_Troubleshooting培训视频及下载链接
视频查看链接:FortiGate&IPsec_VPN_Troubleshooting培训视频链接
常用排错命令(有道笔记链接):FortiGate常用排错命令行_Sniffer_DebugFlow
VMware Workstation FGT OS 5.4.9下载链接:VMware Workstation FGT OS 5.4.9下载链接
VMware ESXi FGT OS 5.4.9 下载链接: VMware ESXi FGT OS 5.4.9 下载链接
12222.png
收起阅读 »

FortiGate VM版本下载途径

VM
VMware Workstation FGT OS 5.4.9下载链接
FGT_VM64-v5-4-build1202-FORTINET.out.vmware.zip
 
VMware ESXi FGT OS 5.4.9 下载链接
FOS_VM64-v5-build1202-FORTINET.out.ovf.zip
 
VM OS都可以在support.fortinet.com网站进行下载,包括主流的VM平台的OS下载,只需要注册一个账号,并且绑定一个拥有正常服务的FortiGate序列号即可拥有下载权限,当然也可以找相应的SE和TAC获取VM版本,每一个VM安装后都有免费15天的许可,可以用于功能测试或学习使用。
 
wen1.png

wen2.png
继续阅读 »
VMware Workstation FGT OS 5.4.9下载链接
FGT_VM64-v5-4-build1202-FORTINET.out.vmware.zip
 
VMware ESXi FGT OS 5.4.9 下载链接
FOS_VM64-v5-build1202-FORTINET.out.ovf.zip
 
VM OS都可以在support.fortinet.com网站进行下载,包括主流的VM平台的OS下载,只需要注册一个账号,并且绑定一个拥有正常服务的FortiGate序列号即可拥有下载权限,当然也可以找相应的SE和TAC获取VM版本,每一个VM安装后都有免费15天的许可,可以用于功能测试或学习使用。
 
wen1.png

wen2.png
收起阅读 »