L’ utilizzo del FortiManager al giorno di oggi, all’interno di organizzazioni grandi, è sempre più indispensabile se si vogliono gestire più Fortinet/VDOM contemporaneamente.
Il NOC, tramite il FortiManager, ha la possibilità di gestire gli apparati, effettuare aggiornamenti, modificare e creare regole firewall da un solo punto d’accesso migliorando di molto la qualità del servizio offerto.
In questo tutorial, andremo a vedere come poter installare lo stesso policy package (lo stesso elenco di regole) su due apparati. Di solito questo metodo si utilizza quando si hanno due apparati dislocati, che però all’interno dell’architettura di rete devono avere le stesse funzioni, oppure quando un apparato deve essere il backup dell’altro e renderli sincronizzati automaticamente.
PREREQUISITI
FortiManager – al momento della stesura del tutorial la versione utilizzata è FortiOs7.2.3
2 Fortimanager/VDOM
PROCEDURA
Importare i Device all’interno del Fortimanager
Accedere al Fortimanager e recarsi in Device Manage
Selezionare Add Device -> Discover Device (tenendo in considerazione che per poterlo riconoscere il FortiManager deve raggiungere l’indirizzo IP di managment dei FortiGate che andiamo ad aggiungere)
Inserire l’indirizzo IP del Fortigate
Accedere con l’utenza di admin quindi permettere al FortiManager di gestire il FortiGate cliccando su Allow
Una volta accettato, il FortiManager raccoglierà le informazioni dell’apparato e andrà a mostrarci IP Address, Hostname, SN (del primario se apparato in HA), Modello, versione. Subito dopo verranno mostrati dei campi da compilare per poterli utilizzare e visualizzare nel FMG. Una volta impostati andremo a concludere l’importazione del Device cliccando Next
Una volta che il FortiManager avrà importato il device comunicherà che per gestire policy e oggetti dovremo importare il DB del Fortigate all’interno del FortiManager, cosa che andremo a fare in seguito dopo l’aggiunta del secondo apparato. Cliccare quindi su Import Now
Andiamo a rieffettuare i passaggi fatti fino ad ora anche per il secondo apparato.
Una volta aggiunti entrambi gli apparati li troveremo entrambi sotto l’opzione Managed FortiGate (Se gestiamo un organizzazione con molti apparati possiamo anche creare delle cartelle che li conterranno così da avere la gestione ancora più pulita)
Arrivati in questa schermata dovremo scaricare il policy package, cliccare con il tasto destro sul nostro VDOM e importare la configurazione selezionando Import Configuration come mostrato nell’immagine sovrastante
Selezionare Import Policy Package
Decidere il nome del policy package (suggerisco di lasciare neutro, togliendo nomi di città o apparati perché sarà quello che conterrà anche il policy package dell’altro apparato)
Importare tutte le policy e tutti gli oggetti per avere gli apparati perfettamente sincronizzati
Andiamo a dare un nome alle Normalized Interface.
ATTENZIONE Andiamo a dare un nome neutro, ci si aspetta che se si sta seguendo questa guida, i due apparati avranno interfacce diverse ma speculari e che andranno a rispecchiare quelle dell’altro apparato
Deselezionare l’opzione add mappings for all unused device interfaces che potrebbe solo confondere
Continuiamo e concludiamo l’importazione delle Policy
Per il secondo apparato non andremo a importare le policy package perché le andremo a sincronizzare con il primo
Andare all’interno delle impostazioni del vdom (root o il nostro VDOM dove saranno assegnate le interfacce)
Andiamo ad assegnare ad ogni interfaccia del secondo apparato, la normalized interface che abbiamo creato prima. Quindi per esempio precedentemente la NI (Normalized Interface) global l’abbiamo associata alla Vlan1303, adesso andremo ad associarla alla Vlan1302 perché sarà la stessa che all’interno della nostra architettura viene usata come global
Così facendo abbiamo dato le stesse Normalized Inteface che il Fortimanager utilizza per poter riconoscere e gestire le interfacce dei FortiGate. Inserire all’interno del policy package precedentemente installato, il secondo apparato, così che per l’NI global, per un apparato installerà la regola usando la Vlan1302 e per l’altro la Vlan1303, automatizzando il processo e rendendo sincronizzati i firewall.
In alto a sinistra selezioniamo Policy & Object, andiamo sul Policy package deciso prima e in Installation Targets aggiungiamo il VDOM di backup. Selezionare Install Wizard.
Verificare che andando avanti i due VDOM siano quelli corretti. Quindi cliccare OK
Se tutta la configurazione sarà andata a buon fine e il FMG non ci darà errori saremo pronti a installare come mostrato nell’immagine sovrastante. Cliccare Next
Cliccare su Install per far partire l’installazione
0 commenti