Всем хорошего дня! Fortigate это фаервол/межсетевой экран (далее МСЭ) энтерпрайз уровня, один из лидеров в этом секторе наряду с Checkpoint и Palo Alto так что вероятность что встретите его в работе большая.
Одно из его преимуществ дружелюбность и интуитивность работы для администратора. Поэтому для новичков в МСЭ будет особенно интересен как первый опыт. В данной статье я покажу как:
- Зарегистрироваться на официальном сайте производителя
- Выбрать и скачать нужный виртуальный образ. В статье я использую VMware Workstation/ESXi
- Выполнить первичную конфигурацию для последующего доступа к GUI
Регистрация и выбор виртуального образа
Первый вопрос - “А где скачать?”. И хотя в Интернете можно найти образы Fortigate VM, особенно в торрентах, все они имеют следующие недостатки:
- Как правило все они устаревшие, что имеет значение - зачем изучать версию которая нигде в реальных условиях уже не используется?
- Все они имеют ту же 15 дневную ознакомительную лицензию как и официальный образ с оф.сайта. Если увидите другое, знайте - вам пытаются подсунуть что-то нехорошее.
Генераторов лицензий нет кроме как у самой компании Фортинет. - Часто они выкладываются уже в обработанной версии - для EVE-NG или GNS и не подходят для других сред виртуализации.
Итак, для регистрации, идем на сайт
Ссылка скрыта от гостей
. Находим кнопку Register и создаем учетную запись. Подойдет любая почта к которой у вас есть доступ чтоб позже подтвердить создание аккаунта.Ниже картинки всего процесса регистрации, как видно данные ставим любые.
Все, у нас есть аккаунт на сайте Фортинет. Зайдем в меню Support -> VM Images:
Выберем образы для ESXi:
И в открывшемся окне жмем на версию образа МСЭ которая нас интересует. Сайт не даст скачать с бесплатным аккаунтом самую последнюю, но предпоследнюю версию-две да возможно скачать.
Каждая такая виртуальная машина имеет встроенную лицензию для ознакомления на 15 дней. Для стенда/лаб этого вполне хватает.
Все же эта лицензия ограничивает некоторые возможности - я привел список в конце статьи.
Установка в среде виртуализации VMWare Workstation
Скачанный zip архив имеет следующее содержание:
Для импорта в VMWare Workstation нам нужен один из образов Fortigate-VM64. Разные варианты имеют некоторые отличия в компоновке - количествo сетевых карт, поддерживаемая версия ESXi (6.5, 7 ..).
Для не совсем древней версии VMWare Workstation подойдет образ FortiGate-VM64.ovf - просто двойной клик мыши на нем и это откроет VMWare Workstation Import Wizard:
Укажем имя для машины, например Fortigate-7.0.5, и директорию где сохранить ее на диске.
Следующий шаг конфигурация интерфейсов под вашу среду виртуализации и топологию. По умолчанию первый интерфейс (port1) МСЭ сконфигурирован получить адрес IP по DHCP.
В моем случае имеется сервер DHCP и делать ничего не требуется. При отсутствии DHCP установить адрес можно вручную после первого запуска (см. далее).
Советую остальные интерфейсы кроме первого перевести в статус “not connected” или хотя бы поменять тип с Bridged на Host.
Первичная настройка для обеспечения административного доступа
Итак, запустим виртуальную машину:
Первичный аккаунт/пароль - admin/<Enter>, то есть поле пароля пустое. Сразу же Fortigate потребует установить новый пароль.
Чтобы узнать какой адрес Fortigate получил от сервера DHCP, вводим команду:
diagnose ip address list
Как видим, Fortigate получил 192.168.13.190.
(Опция) Если у вас нет DHCP раздать Фортигейту адрес, остаемся в консоли и вводим следующие команды изменив адрес на нужный.
Например, если моя сеть 192.168.13.0/24 и я хочу дать Фортигейту адрес 192.168.13.190 на интерфейсе port1:
config sys int
edit port1
set mode static
set ip 192.168.13.190/24
set allow ping http ssh
end
Если для вашей сети требуется указать Фортику маршрут по умолчанию, добавляем его опять же в виртуальной консоли. Например, если мой маршрутизатор имеет адрес 192.168.13.1:
config router static
edit 0
set device port1
set gateway 192.168.13.1
end
Ну вот и все - теперь мы можем зайти в GUI для конфигурации остальных параметров.
В моем случае в браузере адрес
Ссылка скрыта от гостей
. Обратите внимание - протокол http а не httpS. Это одно из ограничений лицензии для ознакомления.
Пропускаем предлагаемую настройку нажав “Later”:
И мы в административном GUI Fortigate:
Список ограничений при работе Fortigate на 15-дневной лицензии для ознакомления:
- Максимум 1 CPU, не проблема на самом деле.
- Память: максимум 1024 Мб, тоже - в условиях стенда не почувствуете.
- 5 правил политики безопасности одновременно. Немного раздражает - если создали 5 правил и хочется еще, то вынуждены удалить одно из существующих.
- Крипто пакет - только низкого уровня шифрования, т.е один DES и доступен. VPN site-to-site еще можно собрать, а вот SSL Inspection для трафика пользователей в сети
уже невозможен (ну только если найдете Windows Me/XP SP1 с браузером 2002 года). Соответственно Web Filtering/IPS/AppControl тоже работать с протоколом https не будут , только с http. - Доступ администратора к GUI только по http, не https (см. выше почему).
- Кластер из 2-х или более МСЭ невозможен - просто не соберется.
- Все подписные сервисы работающие в режиме реального времени с серверами FortiGuard в Интернете не доступны.
- VDOMs - не поддерживается. VDOM это виртуальный МСЭ внутри самого Fortigate. Эта фича позволяет разделить один Fortigate на несколько виртуальных.
На этом все, если тема МСЭ энтерпрайз уровня заинтересовала - пишите в комментариях о чем конкретно хотели бы почитать, постараюсь выполнить.
N.B. Если вам просто интересно увидеть (read-only) GUI Fortigate - это можно всегда сделать по адресу
Ссылка скрыта от гостей
demo/demo . На сегоднящний деньэто Fortigate 2000E с версией FortiOS 7.2 и постоянно обновляется.
Последнее редактирование:
