iT邦幫忙

1
鐵人賽 神助攻 Fortinet

Fortigate免費又好用的功能

常常發現有許多Fortigate的使用者,將防火牆當IP分享器用,可惜了許多免費又好用的功能,不免替大家心疼起來,一直想找個時間來分享自己知道的一些實際應用(不談技術設定),以下共計列出八項,供大家參考,細節設定或許可在”IT幫幫忙”提問,另外深入研究。

以下八項都無需花錢購買UTM授權即可以使用

  1. 設備辨識
  2. SSLVPN
  3. SDWAN
  4. 應用程式控制
  5. 雲端識別
  6. 交換器控制器
  7. 無線網路控制器
  8. 訪客系統

一、設備辨識:又稱BYOD (Bring Your Own Device)
這個功能主要在網路第二層做識別設備之用,在OS5.2.x就已經非常好用,通常因為可以將設備的MAC地址直接收集,從而可以定義名稱及群組,直接放入防火牆的政策來做管理之用,舉例來說,當記錄全公司設備後,防火牆自然可以讓不是公司的設備接入網路,從而進行准入控制,這樣就可以避免私接設備。
這裡舉幾個不同的應用實例:

  1. 有許多的學校使用無線網路需要頻繁的輸入帳號密碼,有時忘記又要重設,不然要另外花錢買帳號密碼的管理系統,確實讓資訊組老師很頭大,如此採用FortiAP,就可以將接入學校的無線設備,按不同的SSID做老師設備與教具(如iPad)的分類並給予權限管理,只要登記一次以後,下次自動驗證,不需要每次重複輸帳號及密碼,非常易於管理及實際使用。
  2. 當功能延伸到FortiSwitch之後,有線網路設備也可以做同樣的設備管控方式,只要將設備拿去IT部門登記以後,方能存取公司網路,即使在自己電腦私接小米無線,也無法讓自己手機偷偷接入公司網路
  3. 目前釋出的OS 6.4.x,還支援NoC的自動化准入控制功能,經由設備MAC、廠牌、帳號身分等等,接入及自動分派Vlan等作用,會直接套用到防火牆政策

二、SSL-VPN:虛擬私人網路(Fortigate免費且無人數限制)
有許多其他的防火牆廠牌,SSL-VPN的使用人數是有限制的,同時還需要另外收費計算,就別說還有一些專屬的SSLVPN設備了,如果擔心帳號密碼的安全性不夠,還可以跟OTP(一次性密碼)結合,
以下是一些參考的應用場合:

  1. 替代伺服器對外,大符降低資安風險,也就不需要將server直接開對應網際網路的端口了
  2. 當台資企業的網路跳板,許多大陸台商要看的資訊可經由此方式跳板,只要設定得當,都是可以跳回台灣再前往Internet,只是網速比較難說
  3. 防疫辦公室,可多人同時登入,在下在FG-100D有經驗百人以上同時登入作業,在高一點的機種有同時300人左右同時作業的紀錄,而防火牆可以同時正常運作。

三、SD-WAN:軟體定義聯外網路
如果在OS6.0以前,該功能會非常難用,通常要控制多條對外線路的使用,非得使用政策路由,但一旦使用 Route Policy,就會破壞原來靜態路由的規則性,卡東卡西讓IT人員吃足苦頭,但現在對外連線只要使用SDWAN以後就沒有這種煩惱,把流量指去哪條線,就去哪條線,根本不用設路由,非常的好使用。
更進化的使用,以前政策路由只能用IP,遇到應用程式網路走向就傻眼,更別說是雲端服務(如:office365),根本沒有固定的IP位置,現在這些Fortigate都會提供,而且全部都是免費的功能,
所以應用舉例如下:

  1. 如果連外線路有A,B,C三條,自然可以分配上網走A,郵件走B,迅雷BT下載走C,也可以郵件走A,老闆單獨走B,然後剩餘任何服務走A,及C負載平衡,看需要怎麼配就怎麼配,很直覺而好用
  2. 如果有好幾個辦公室那就更棒了,以前只能用VPN串聯,然後分公司(外點)還要用政策路由在設備上做設定,現在可以把原本一條上網的線路分成兩條(IPsecVPN跟聯外),然後又合併到SDWAN裡面,做分配不同的使用,比如全部的流量都要回總公司,以便集中控管(總部買UTM就好),其他保全、安控或網路電話可以直接出網,達到分流管控的目的,總公司可以因為流量的集中,在帳號身分集資安全線等控管上統一管理,不用分別各辦公室各自管理,可說是省時省力又省錢還方便管理。這就是所謂的SD-Branch
  3. 當線路使用專線、MPLS、VPN線路等等,線路費用十分昂貴,透過網路架構的設計與調整,可以改採交便宜的線路取代,或者做更好流量的分配,精密的將流量分配在不同的線路之上

四、應用程式控制:
Fortigate的應用程式控制是很早就具備的功能,只是以前是需要付費才能不斷更新辨識Application的Database,同時這個資料庫費用是合併在IPS資料庫的費用中,到了FortiOS 6.0,Fortigate可以直接開啟NGFW模式,在此情況下,可以持續自動更新應用程式資料庫,以作為辨識Application之用。

  1. 至於對於封鎖遊戲是否靠應用程式就足夠,恐怕對一些網頁遊戲還是不足的,仍然需要配合網頁過濾功能。
  2. 特別要注意QUIC的封鎖,對於DNS辨識及網頁過濾效果會很有用,至於QUIC是什麼,請再自行上網查詢用途。OS 6.4.x目前對QUIC的使用還有一點小狀況,我想是為了對應HTTP/3的使用,大家可以再留意一下。

五、雲端識別:(此為在下自己的說法)
其實這原本是要在SD-WAN功能中做說明的,但是SD-WAN已經太多用途要說了,所以單獨列一項來敘述。常使用Fortigate訂防火牆政策的朋友都知道,如果政策的目的地走向,是要去某個固定位置都還好處理,就怕是某種應用服務(多個服務端口),但其實有了應用服務控制也算好解決,但萬一是要去那種雲端主機,或類似那種CDN服務的雲端位置,那就很不好搞了。可能要在網上查一堆IP要設定,比如說針對Office365的使用,就會很麻煩。
目前在Fortigate的政策中,可以發現當選擇目的地時,右側選項已經可以選用網際網路服務,裡面約1千500多項,即使是Naver-Line都可以選用,猜想是跟隨OS版本免費更新的,大家可以活化公司的防火牆政策。

六、交換器控制器:僅限於控制自己品牌的交換機FortiSwitch
很多人不知道Fortinet有出產Switch,也很多人沒想到它是產品生命週期終身保固,大概更多人不知道即使是10G介面的光模組核心交換器,也採同樣的保固機制,光這一點就TCO太值了。
然後很多技術人員開始犯渾了,拿了某C牌的觀念就硬往上套,其實也不是不行啦,就是實在太可惜了點,因為Fortigate明明就有交換器控制器,用它,可以所有FortiSwitch不用先設IP,只管接網線就好,不管光或電口,只要插對接口,網路就會通,拓譜圖就會自動幫你畫好,還會告訴你是哪個接口連到哪個接口,連付費的網管軟體都沒有的功能,Switch Controller免費不用太可惜了。
接著更神奇的事就來了,如果自己定義好切的網段用途,可以直接在交換器畫面上選接口去指派,派在哪一台哪個口隨便,高興就好,然後配合上網火牆的政策設定,網段之間可以做防毒及IPS,所以內網資安隔離防護就完成了。
如果再高興點,配合前面講的設備辨識(免費),還可控制設備那些可以接入網路,直接就達成現在最夯的零信任網路控制。忘了說,進步到OS6.4.x,設備一接到網口就可以自動把它派到預定好的網段VLAN,功能叫Fortiswitch NoC Policy。

七、無線網路控制器:僅限於控制自己品牌的AP
還有人不知道Fortinet有出產ThinAP,也很多人沒想到它是產品生命週期終身保固,也不知道它有支援Remote AP功能,而且還不用授權費。簡單的說吧,就是只要買FortiAP的硬體費用就好,其他雜七雜八功能授權等費用,全免。
在下使用的經驗,發現網路建置會非常容易,隨插即用,不用太費腦子。不需要考慮通道模式,網路流量要進還是不進controller,也不需要考慮橋接模式,switch上要不要設VLAN,基本上就是在公司內網,插上就能用,然後按需求派SSID來分使用者。如果是在家用,告訴基地台controller在哪裡,然後插上就會跟在辦公室一樣使用,連拿到的IP都一樣,很神奇吧!
Fortinet是一間美商資安公司,產品很重視效能,當然更重視資安,身分認證可以支援多種方式及系統,包括前述所說的設備辨識,相信有人會把帳密交給旁人代登,但很少人會把手機交給他人使用,怕不夠嚴謹就加一層OTP吧。
由於各個SSID都有不同的分類與用途,感覺用起來就好像交換機切VLAN一樣,沒錯,可以跟Fortiswitch有類似的用法哦。至於訪客,下一段會說到。

八、訪客系統:免費使用
什麼時候要用訪客系統,最早是在推廣FortiAP的年代,發現很多公司常常只用在會議室,接了一台FatAP(就是無線路由器),資安觀念好一點的,這個訪客還給獨立的防火牆上的網段與公司隔開,糟一點的就跟公司網路泡一起,大概連總經理電腦都連的到。然後客戶如果到產線參觀,或到總經理室聊天,就得要靠自己的4G,在台灣,4G越來越便宜,可是在國外來台參訪,4G漫遊的費用可是很驚人的。
話說回來,給誰用還事小,主要是有時候無線網路是要安全,使用只是暫時的,總不要開個帳號一直放在上面,所以Fortigate訪客系統可以做到以下兩點,A,可以讓前台(櫃台)開帳號及密碼,但是使用幾小時就停用。B,也可以建好帳號,不管用不用,到某日某時就會停止。相信很多MIS都沒找到在哪開啟訪客系統,以及要如何使用,這些以後再另開專題討論好了。

結語:
其實越寫到後面發現想說的越多,還給自己挖了不少坑,但是字數實在太多,猜想很多人看多(廢話)就沒興趣,這樣就失去在下想分享的心願了。這篇文章其實很早以前就想寫,但思緒雜沓,手邊工作也多,鐵人賽是不可能參加了,更別說其實並沒有網路硬體基礎建設的主題,雖然真的很多人常發問也佔很大比例。
在下無意想講一些技術說明,向來關注的是如何發揮產品的運用,花經費並不可怕,可怕的是買的設備連三成的功力都沒有發揮,高科技淪落到搬盒子是何等的悲哀,不能創造功能,至少發揮功能吧!期待與大家共勉!


1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2020-10-19 04:53:27

感謝分享。最近在學FortiNAC,也覺得頗有趣。

看更多先前的回應...收起先前的回應...
mytiny iT邦大師 1 級 ‧ 2020-10-19 10:33:21 檢舉

歡迎分享及轉傳
FortiNAC與FortiSwitch NAC不太一樣
在下也是在學習中,歡迎大大分享

真的!FortiNAC和之前用過的NAC不同,幸好現在NSE可以免費線上學習。慢慢研究中。

想請問這篇文章提到的功能,都是授權停止後仍然能用的嗎?最近想入手一台二手Fortigate搭配NSE課程學習

mytiny iT邦大師 1 級 ‧ 2020-11-22 18:56:08 檢舉

確實可以的,只是每個OS版本會有點不同
特別是在OS6.4.x中
有關於"設備辨識清單"
整個被併入物件地址
使用上會不太一樣

好的,謝謝指教,我會注意版本

我要留言

立即登入留言