iT邦幫忙

1

Fortigate60D設定問題

手頭有台FGT60D
想請教幾個技術性設定問題
1.安全織網是不是一定要搭配FOrtioS6.0的Fortianalyzer FAZ-200D才能作連動?
2.安全織網能否搭配Fortianalyzer FAZ-100C FOortiOS 5.2 作連動?
https://ithelp.ithome.com.tw/upload/images/20200409/20109861PQwnVk2MhP.jpg
3.60D還要再設定什麼東西才能讓底下的擴譜正常顯示ROUTER以下的設備??
(虛擬IP之類的)
Mac Address 末 DC:20是ROUTER RT-AC88U
https://ithelp.ithome.com.tw/upload/images/20200409/20109861Uit6QrqJwa.jpg
以下是網路架構圖
https://ithelp.ithome.com.tw/upload/images/20200409/20109861PYAubwwuPr.jpg
https://ithelp.ithome.com.tw/upload/images/20200410/20109861uia2iS7akb.jpg
是不是該把AC88U的NAT關掉,用60D下去派發内網IP???
還是有另外的設定方式?
https://ithelp.ithome.com.tw/upload/images/20200410/20109861iX1pDCqUUM.jpg

拍謝,圖很鳥我知道,還麻煩各位神人解答,感激不盡,謝謝@_@

更新一下,底下是AC88U AP_MODE的截圖
https://ithelp.ithome.com.tw/upload/images/20200410/20109861dQZEApcnWj.jpg
AP 模式下的 AiMesh 路由器將透過網路線連線至另一台無線路由器。此模式下,防火牆、IP 共享 NAT 功能預設為關閉。
您可以新增 AiMesh 節點以組成 AiMesh WiFi 系統,由此而提供更廣範圍的 WiFi 覆蓋。
當 AiMesh 路由器處於 AP 模式時,DHCP 指定的 IP 位址將會改變。請安裝 Device Discovery Utility 應用程式以偵測無線路由器的 IP 位址。

預設模式
https://ithelp.ithome.com.tw/upload/images/20200410/2010986102MU6YsKOR.jpg
AiMesh 路由器模式為具有 AiMesh 功能的傳統模式,可透過 PPPoE、DHCP,PPTP、L2TP 或固定 IP 連線至網際網路。網路連線成功後,路由器將與 LAN 用戶端或裝置共享無線網絡。此模式預設啟用 NAT、防火牆和 DHCP 伺服器。同時也支援 UPnP 和動態 DNS,為 SOHO 和家庭使用者帶來便利。若您第一次使用華碩無線路由器,或者您目前沒有使用任何有線/無線路由器,請選擇此模式。
您可以新增 AiMesh 節點以組成 AiMesh WiFi 系統,由此而提供更廣範圍的 WiFi 覆蓋。

經各位神人指示
確實AC-88U設成AP_MODE後60D正常顯示拓譜,如下但也確實一堆功能消失了
https://ithelp.ithome.com.tw/upload/images/20200412/201098610clSqdTw7A.jpg
https://ithelp.ithome.com.tw/upload/images/20200412/20109861PWcyE3tvnZ.jpg
https://ithelp.ithome.com.tw/upload/images/20200412/20109861LnqLrGKeLX.jpg
那現在衍生出第二個問題.....我要怎麼設定才能讓AC88U原本的功能正常?
用預設模式關閉NAT,關閉DHCP??還是要再麻煩神人們了

CalvinKuo iT邦大師 7 級 ‧ 2020-04-10 09:45:22 檢舉
RT-AC88U 系統管理改為AP(無線存取點)模式,這樣FG-60D才可以控管連上RT-AC88U 的設備。但這樣一來RT-AC88U在AP模式下,會有一堆功能沒法用。
請參考:
https://wingphoenix.pixnet.net/blog/post/43360984-asus-rt-ac88u-%E9%9B%99%E9%A0%BB%E7%84%A1%E7%B7%9A%E8%B7%AF%E7%94%B1%E5%99%A8%E8%BB%9F%E9%AB%94%E5%8A%9F%E8%83%BD%E4%BB%8B%E7%B4%B9
CalvinKuo
那請問一下,我在AC88U正常模式下關閉NAT,應該效果是一樣的意思嗎?
我不想一堆功能被關掉><"
CalvinKuo iT邦大師 7 級 ‧ 2020-04-13 16:29:57 檢舉
關閉NAT就等於AP或稱橋接器模式,不當Gateway沒法管理...
Asus AiMesh 簡單說就一台當路由器管控,其他跑AP模式(用同一組SSID,連線自動選擇)。
FortiGate+FortiAP的組合可參考之前問答:
https://ithelp.ithome.com.tw/questions/10180529

1 個回答

1
mytiny
iT邦大師 1 級 ‧ 2020-04-10 17:20:12
最佳解答

關於樓主的詢問
先快速回答前1,2題結論
答案是:安全織網的連動確實是需要FAZ相關OS版本的配合
而且因為FAZ-100C已停產甚久,無法升級到6.0以上
所以猜想樓主已經預見到這樣的結果

只是,如果樓主只有一台FG-60D
是不需要做FortiTelemetry關聯的
在FG-60D下接的Fortiswitch及Fortiap
都可以自動完成連接拓譜圖
運用FortiLink無須額外的授權

至於想要看到網內的設備連結
在沒有FortiSwitch及FortiAP的情況下
需要在Layer2直接連結Forigate
讓所有設備的網卡可以廣播
而是不是Fortigate發IP並不是重點
同時在網路設定的介面裡,開啟設備偵測
就可以清楚看到網內所有設備了
(所以CalvinKuo大大說的是正解)

有關設備辨識的功能
在OS5.2起就有很大的作用
到了6.x會有更多配合資安鐵三角的運用
如果以上回復有任何想深入了解的
歡迎樓主再來探討

看更多先前的回應...收起先前的回應...

mytiny 那請問一下,如果我60D(6.0)在串接一台FAZ-100C(5.2)
1.是否就變成FAZ-100C獨立工作?
因為我本身是想在接一台FAZ
FAZ-200D汰換下來還蠻難找的,FAZ-100C倒是蠻多人在拋的
可能就會考慮FAZ-100C了

mytiny iT邦大師 1 級 ‧ 2020-04-11 00:27:22 檢舉

FAZ原本主要的工作就是收LOG然後做報表
為什這麼多人便宜拋FAZ-100C??有想過嗎?
當然是因為FAZ(5.2)收不到FG60D(6.0)的紀錄啦
FAZ獨立工作是想要拿來作什麼呢
FG-60D是不能存LOG
最好的搭配只能是60D(5.2)丟LOG給FAZ-100C(5.2)

mytiny
OK了解了.....so 想開FORTIOS (6.0)安全織網
最少最少要FAZ-200D(6.0).....或是直接Amazon AWS 存紀錄
免費25GB沒錯?

mytiny iT邦大師 1 級 ‧ 2020-04-11 12:40:12 檢舉

補充說明一下:
如果是想要把各台Fortigate連結成一張網
然後從這張網圖上可以直接點開各個Fortigate所形成的拓譜圖
這種連結多個分公司的做法,是必須要FAZ做相關配合的
當然,此時還可以啟動IoC做智慧大數據判別威脅的自動阻擋
可觀看FAZ6.0介紹自3:06起

至於直接Amazon AWS存紀錄??
在下猜樓主是說開FortiCloud吧
紀錄確實有七天免費,但功能比較有限

mytiny
https://ithelp.ithome.com.tw/upload/images/20200412/20109861jcEZxFxTtp.jpg
FortiAnalyzer也可以被安裝在 Amazon Web Services (AWS) .
請觀看配置 視頻 .
我看了一下AWS免費只有25GB,超過後收費

另有個資安威脅地圖功能,我看了很久圖都不會動,是要在設定什麼或是接設備嗎?如下圖
https://ithelp.ithome.com.tw/upload/images/20200412/20109861CkFUicju4O.jpg

mytiny iT邦大師 1 級 ‧ 2020-04-13 11:24:20 檢舉

資安威脅地圖應該會自己顯示攻擊情況!https://ithelp.ithome.com.tw/upload/images/20200413/20083857B3idVxQOlL.jpg
如果能設定經緯度會更好
但一般圖形會自動產生事件的
(當然另一種可能就是你沒有將機器註冊授權)

我要發表回答

立即登入回答