Установка Firewall Lab | FortiGate

В этой статье пойдет речь об установке демо-лаборатории межсетевого экрана FortiGate. Читатели также узнают о том, какие уязвимости системы можно выявить с помощью FortiGate и как усилить безопасность сети передачи данных.

Необходимые условия для установки FortiGate

Чтобы установить виртуальный межсетевой экран FortiGate, необходимо выполнить некоторые предварительные условия:

• Наличие VMWare Workstation и FortiGate Firewall VM Image
• 3 или больше сетевых карт nic (Network interface Card), совместимых с E1000
• Получение привилегий Root

Что такое межсетевой экран?

На языке специалистов межсетевой экран — это программное обеспечение для защиты системы, которое способно отслеживать и контролировать сетевой трафик (как входящий, так и исходящий). Он устанавливает своего рода барьер между надежными внутренними и неизвестными внешними сетями.

Таким образом, межсетевой экран, также известный как сетевой межсетевой экран, способен предотвратить несанкционированный доступ к частным сетям.

Сетевой межсетевой экран работает в соответствии с правилами безопасности, позволяющими принимать, отклонять или отбрасывать определенный трафик. Он разрешает или запрещает соединение или запрос в зависимости от установленных правил и политик безопасности.

Скачивание виртуального FortiGate Firewall

Во-первых, нужно загрузить виртуальный межсетевой экран FortiGate с официального портала FortiGate. Для этого пользователь перейдет по ссылке, зарегистрируется или войдет в существующую учетную запись.

Создав учетную запись или войдя в нее, пользователь перейдет по следующему пути: Download > VM Images, как показано на рисунке ниже.

Далее он выберет продукт: FortiGate и платформу: VMWare ESXi, как показано на рисунке ниже. По умолчанию у него не будет никакой лицензии, связанной с его виртуальным образом, поэтому можно продолжить пользоваться пробной версией или купить лицензию в соответствии с имеющимися требованиями.

После загрузки сжатого файла FortiGate VM нужно извлечь его с помощью любимой программы. Извлеченный Zip-файл выглядит так же, как и на рисунке ниже.

Настройка виртуальных сетевых интерфейсов FortiGate

Настало время настроить виртуальные сетевые адаптеры в соответствии с требованиями пользователя.

Для этого пользователь откроет VMware, а затем перейдет по следующему пути: Edit > Virtual Network Editor, как показано на рисунке ниже.

Далее откроется еще одно окно, в котором пользователь сможет изменить конфигурацию сети.

Чтобы внести изменения в конфигурацию сети, ему будут нужны права администратора. Чтобы предоставить права администратора, следует нажать на кнопку «Change Settings», как показано ниже на рисунке.

Или же пользователь также может напрямую получить доступ к приложению Virtual Network Editor, нажав на кнопку Пуск Windows и выполнив поиск редактора виртуальной сети. Если человек использует Linux (например, Ubuntu), он может ввести следующую команду, чтобы открыть редактор виртуальной сети:

sudo vmware-netcfg

По умолчанию существует только два виртуальных сетевых интерфейса, то есть VMNet1 и VMNet8. Итак, пользователь нажмет на кнопку «Add Network» и сделает свой виртуальный интерфейс хостом. После этого он должен предоставить уникальный IP-адрес сетевых устройств для каждого сетевого интерфейса.

К примеру, в данном случае человек собирается ввести 192.168.200.0/24 для интерфейса vmnet0.

Следует использовать IP-адрес своего сетевого устройства. Пользователь также может добавить столько сетевых интерфейсов, сколько он захочет, но нужно помнить одну вещь: вся сетевая конфигурация должна быть настроена только на хост. Человек способен включить или отключить службу DHCP в соответствии с его системными требованиями.

Развертывание образа виртуальной машины FortiGate в VMWare

Теперь пришло время провести развёртывание виртуального межсетевого экрана FortiGate в VMware Workstation. Пользователь откроет VMWare Workstation и перейдет по следующему пути: Files >> Open (Ctrl+O); или он отправится на вкладку «Home» и выберет пункт «Open a virtual machine». Далее следует выбрать файл FortiGate-VM64.ovf, который пользователь скачал с официального сайта FortiGate, как показано ниже на рисунке.

Затем после того как будет открыто «Лицензионное соглашение», нужно принять его и двигаться дальше.

В следующем окне пользователь введет имя своей новой виртуальной машины и укажет путь для ее установки, а затем выберет вариант «Import», как показано ниже на картинке.

Этот процесс займет какое-то время, так что стоит набраться терпения. После успешного завершения этого процесса пришло время настроить ресурсы виртуального межсетевого экрана. Пользователь сделает это, нажав на кнопку «Edit virtual machine settings». Ему нужно изменить назначенные виртуальные сетевые интерфейсы, память и процессор, перейдя в раздел «Edit virtual machine».

В данном случае пользователь имеет 2 ГБ оперативной памяти, 30 ГБ свободного места на жестком диске, 1 Процессор и 6 разных виртуальных сетевых интерфейсов (VMNet2, VMNet3, VMNet4, VMNet11, VMnet11, VMnet12 с непохожими сетевыми адаптерами). Читателям также стоит взглянуть на приведенное ниже изображение.

Настройка интерфейса управления

Пользователь только что завершил процесс развертывания межсетевого экрана FortiGate на рабочей станции VMWare.

Теперь нужно настроить IP-адрес для интерфейса управления. Чтобы назначить IP-адрес интерфейсу управления, во-первых, необходимо войти в систему, использовав имеющиеся учетные данные.

• Логин пользователя: – Admin
• Пароль для входа: – В этом случае пользователь не указал пароль по умолчанию, он нажмет на Enter и изменит его, как показано ниже на картинке.

Следует проверить системные интерфейсы. Пользователь сделает это, выполнив следующую команду:

show system interface

Порт номер 1 будет использоваться для интерфейса управления, поэтому пользователь назначит уникальный IP-адрес этому порту управления и установит его в статический режим. В данном примере IP-адрес будет 192.168.200.128/24, поэтому шлюз по умолчанию – 192.168.200.1. Чтобы назначить IP-адрес порту управления, нужно выполнить следующую команду, как показано ниже:

config system interface
edit port1
set mode static
set ip 192.168.200.128 255.255.255.0
set allowaccess http https telnet ssh ping
end

Кроме того, пользователь может проверить внесенные изменения в системные интерфейсы, выполнив следующую команду:

show system interface

Получение доступа к графическому интерфейсу межсетевого экрана FortiGate

Нужно проверить конфигурацию межсетевого экрана. Пользователь сделает это, обратившись к графическому интерфейсу FortiGate. Перед получением доступа к графическому интерфейсу он проверит подключение к своему межсетевому экрану с помощью утилиты Ping, выполнив следующую команду:

execute ping 192.268.200.128

Поскольку пользователь видит, что IP-адрес доступен, это означает, что теперь он работает должным образом. Он сможет получить доступ к графическому интерфейсу межсетевого экрана FortiGate, используя его IP-адрес интерфейса управления.

Нужно использовать те же учетные данные для входа, которые были введены раньше.

• Логин: – admin
• Пароль: – 123

Войдя в межсетевой экран, откроется окно настроек, где нужно будет указать имя хоста, изменить пароль, обновить прошивку и настроить панель мониторинга.

По умолчанию FortiGate будет использовать свой серийный номер/модель в качестве имени хоста. Чтобы сделать его более идентифицируемым, следует установить описательное имя хоста, как показано ниже на рисунке:

Пользователь уже изменил пароль в Firewall CLI, а также загрузил последнюю версию межсетевого экрана, поэтому он автоматически двигается дальше к последнему шагу настройки панели мониторинга. Человек выбирает оптимальные варианты, согласно его требованиям.

После выбора типа панели мониторинга пользователь нажмет на кнопку ОК и завершит настройку.

Демонстрация графического интерфейса пользователя

Графический интерфейс содержит следующие основные разделы, которые обеспечивают доступ к параметрам конфигурации для большинства функций FortiOS:

• Панель мониторинга. Она отображает различные виджеты, которые содержат важную системную информацию и позволяют настроить некоторые параметры системы.
• Security Fabric. Предоставляет доступ к физической топологии, логической топологии, аудиту и настройкам структуры безопасности Fortinet.
• FortiView. Это коллекция информационных панелей и журналов, которые дают пользователю представление о сетевом трафике, показывая, какие пользователи приносят наибольший трафик, что это за трафик, когда он возникает и какую угрозу может представлять для сети.
• Сеть. Параметры для работы в сети (включая настройку системных интерфейсов и опций маршрутизации).
• Система. Настройка системных параметров, таких как администрирование, FortiGuard и сертификаты.
• Политика. Настройка политик межсетевого экрана, параметров протокола и содержимого самих политик, включая расписания, адреса и источники трафика.
• Безопасность. Пользователь может настроить нужные ему функции безопасности FortiGate, включая антивирус, веб-фильтр и контроль приложений.
• VPN. Настройка параметров для виртуальных частных сетей IPsec и SSL (VPN).
• Пользователь и устройство. Настройка учетных записей пользователей, групп и методов аутентификации, включая внешнюю аутентификацию и единый вход (SSO).
• WiFi & Switch Controller. Настройка устройства для работы в качестве контроллера беспроводной сети. Пользователь делает это, управляя функциональностью беспроводной точки доступа (AP) блоков FortiWiFi и FortiAP. На некоторых моделях FortiGate это меню имеет дополнительные функции, позволяющие управлять блоками FortiSwitch с помощью FortiGate.
• Журнал и отчеты. Настройка методов ведения журнала и отправки оповещений по электронной почте, а также составления и внешнего вида отчетов.
• Монитор. Просмотр различных мониторов, включая монитор маршрутизации, VPN-мониторы как для IPsec, так и для SSL, мониторы, относящиеся к беспроводным сетям.

Демонстрация приборной панели

Панели мониторинга FortiGate могут иметь сетевой операционный центр (NOC) или ее адаптивный макет:

• На адаптивной панели мониторинга количество столбцов определяется размером экрана. Виджеты можно изменять только по горизонтали, но панель мониторинга будет соответствовать размерам экрана.
• На панели мониторинга NOC количество столбцов задается по факту. Виджеты можно изменять как по вертикали, так и по горизонтали, но панель мониторинга будет отображена в зависимости от размера экрана, для которого она настроена.

Можно создать несколько панелей мониторинга обоих типов как для отдельных VDOM, так и для глобальных систем:

• Виджеты являются интерактивными; щелчок или наведение курсора мыши на большинство виджетов показывает дополнительную информацию или ссылки на соответствующие страницы.
• Виджеты можно реорганизовать щелчком мыши и перетаскиванием их по экрану.

По умолчанию доступны четыре панели мониторинга: состояние, сеть, безопасность и системные события.

Панель мониторинга состояния по умолчанию включает в себя следующие виджеты:

• Информация о системе. Виджет «Информация о системе» содержит информацию, относящуюся к системе FortiGate, включая имя хоста, серийный номер и встроенное ПО. Нажатие на виджет показывает ссылки для настройки системных параметров и обновления встроенного программного обеспечения устройства.
• Лицензии. Этот виджет отображает статус различных лицензий, таких как FortiCare. Также показано количество используемых и доступных FortiTokens. При нажатии на виджет появляется ссылка на страницу настроек FortiGuard.
• Виртуальная машина. Виджет VM (по умолчанию отображается на панели мониторинга устройства FortiOS VM) включает в себя:
  • Статус лицензии и ее тип
  • Распределение и использование vCPU
  • Распределение и использование оперативной памяти
  • Информация о лицензии VMX (если виртуальная машина поддерживает VMX)

Щелчок по элементу виджета покажет пользователю ссылку на страницу лицензии FortiGate VM, где можно загрузить файлы лицензий.

• FortiGate Cloud. Этот виджет показывает состояние FortiGate Cloud и FortiSandbox Cloud.
• Security Fabric. Он отображает визуальное представление устройств.

Щелчок по значку продукта предоставит пользователю ссылку на страницу, имеющую отношение к этому продукту. Например, щелчок по FortiAnalyzer даст ему ссылку на настройки журнала.

• Рейтинг безопасности. Этот виджет показывает ваш рейтинг безопасности. Он может отображать текущий процент рейтинга или рейтинг безопасности за определённый период времени. Кроме этого, виджет способен создавать процентильные диаграммы.
• Администраторы. Этот виджет позволяет вам видеть вошедших в систему администраторов, подключенных администраторов и протоколы, используемые каждым щелчком мыши в виджете. Он предоставляет пользователю ссылки для просмотра активных сеансов администратора и открытия страницы FortiExplorer в App Store.
• Процессор. Этот виджет показывает состояние использования процессора в режиме реального времени или в течение выбранного периода времени. При наведении указателя мыши на любую точку графика отображается процент мощности процессора в конкретный момент времени.
• Память. Этот виджет показывает процесс использования памяти в реальном времени или в течение выбранного периода времени. При наведении указателя мыши на любую точку графика отображается процент памяти, используемой в конкретный момент времени.
• Сеансы. Этот виджет показывает количество сеансов за выбранный период времени. При наведении указателя мыши на любую точку графика отображается количество сеансов в конкретный момент времени.

Панель мониторинга безопасности (по умолчанию) включает в себя следующие виджеты:

• Top Compromised Hosts by Verdict. Этот виджет показывает скомпрометированные хосты. Требуется FortiAnalyzer.
• Top Threats by Threat Level. Этот виджет содержит список основных угроз, исходя из их уровня опасности.
• FortiClient Detected Vulnerabilities. Этот виджет показывает количество уязвимостей, обнаруженных FortiClient. При нажатии на виджет появляется ссылка для просмотра информации в FortiView.
• Host Scan Summary. Этот виджет отображает общее количество хостов. Нажатие на виджет предоставляет пользователю ссылки для просмотра уязвимых устройств в FortiView, FortiClient monitor и инвентаризации устройств.
• Top Vulnerable Endpoint Devices by Detected Vulnerabilities. Этот виджет перечисляет топ уязвимых конечных точек по обнаруженным уязвимостям из FortiView.

Панель мониторинга системных событий (по умолчанию) включает в себя следующие виджеты:

• Top System Events by Events. Этот виджет перечисляет топ системных событий, отсортированных по их количеству. Нужно дважды щелкнуть на событие, чтобы просмотреть конкретный журнал событий.
• Top System Events by Level. Этот виджет содержит список системных событий, отсортированных по уровням. Нужно дважды щелкнуть на событие, чтобы просмотреть конкретный журнал событий.

Автор переведенной статьи: Vijay.