Статья Fortigate - собираем виртуальный стенд для практики

3035664726_30ae00deda_b.jpg


Всем хорошего дня! Fortigate это фаервол/межсетевой экран (далее МСЭ) энтерпрайз уровня, один из лидеров в этом секторе наряду с Checkpoint и Palo Alto так что вероятность что встретите его в работе большая.
Одно из его преимуществ дружелюбность и интуитивность работы для администратора. Поэтому для новичков в МСЭ будет особенно интересен как первый опыт. В данной статье я покажу как:
  • Зарегистрироваться на официальном сайте производителя
  • Выбрать и скачать нужный виртуальный образ. В статье я использую VMware Workstation/ESXi
  • Выполнить первичную конфигурацию для последующего доступа к GUI


Регистрация и выбор виртуального образа

Первый вопрос - “А где скачать?”. И хотя в Интернете можно найти образы Fortigate VM, особенно в торрентах, все они имеют следующие недостатки:
  • Как правило все они устаревшие, что имеет значение - зачем изучать версию которая нигде в реальных условиях уже не используется?
  • Все они имеют ту же 15 дневную ознакомительную лицензию как и официальный образ с оф.сайта. Если увидите другое, знайте - вам пытаются подсунуть что-то нехорошее.
    Генераторов лицензий нет кроме как у самой компании Фортинет.
  • Часто они выкладываются уже в обработанной версии - для EVE-NG или GNS и не подходят для других сред виртуализации.

Итак, для регистрации, идем на сайт https://support.fortinet.com . Находим кнопку Register и создаем учетную запись. Подойдет любая почта к которой у вас есть доступ чтоб позже подтвердить создание аккаунта.
Ниже картинки всего процесса регистрации, как видно данные ставим любые.



codeby-pic1.png





codeby-pic2.png





codeby-pic3.png




codeby-pic4.png




codeby-pic5.png



codeby-pic6.png



Все, у нас есть аккаунт на сайте Фортинет. Зайдем в меню Support -> VM Images:


codeby-pic8.png



Выберем образы для ESXi:

codeby-pic9.png



И в открывшемся окне жмем на версию образа МСЭ которая нас интересует. Сайт не даст скачать с бесплатным аккаунтом самую последнюю, но предпоследнюю версию-две да возможно скачать.


codeby-pic10.png



Каждая такая виртуальная машина имеет встроенную лицензию для ознакомления на 15 дней. Для стенда/лаб этого вполне хватает.
Все же эта лицензия ограничивает некоторые возможности - я привел список в конце статьи.


Установка в среде виртуализации VMWare Workstation

Скачанный zip архив имеет следующее содержание:


codeby-pic11.png



Для импорта в VMWare Workstation нам нужен один из образов Fortigate-VM64. Разные варианты имеют некоторые отличия в компоновке - количествo сетевых карт, поддерживаемая версия ESXi (6.5, 7 ..).
Для не совсем древней версии VMWare Workstation подойдет образ FortiGate-VM64.ovf - просто двойной клик мыши на нем и это откроет VMWare Workstation Import Wizard:


codeby-pic12.png



Укажем имя для машины, например Fortigate-7.0.5, и директорию где сохранить ее на диске.

Следующий шаг конфигурация интерфейсов под вашу среду виртуализации и топологию. По умолчанию первый интерфейс (port1) МСЭ сконфигурирован получить адрес IP по DHCP.
В моем случае имеется сервер DHCP и делать ничего не требуется. При отсутствии DHCP установить адрес можно вручную после первого запуска (см. далее).

Советую остальные интерфейсы кроме первого перевести в статус “not connected” или хотя бы поменять тип с Bridged на Host.


Первичная настройка для обеспечения административного доступа

Итак, запустим виртуальную машину:


codeby-pic14.png



Первичный аккаунт/пароль - admin/<Enter>, то есть поле пароля пустое. Сразу же Fortigate потребует установить новый пароль.

Чтобы узнать какой адрес Fortigate получил от сервера DHCP, вводим команду:

diagnose ip address list


codeby-pic15.png


Как видим, Fortigate получил 192.168.13.190.

(Опция) Если у вас нет DHCP раздать Фортигейту адрес, остаемся в консоли и вводим следующие команды изменив адрес на нужный.
Например, если моя сеть 192.168.13.0/24 и я хочу дать Фортигейту адрес 192.168.13.190 на интерфейсе port1:


config sys int
edit port1
set mode static
set ip 192.168.13.190/24
set allow ping http ssh
end



Если для вашей сети требуется указать Фортику маршрут по умолчанию, добавляем его опять же в виртуальной консоли. Например, если мой маршрутизатор имеет адрес 192.168.13.1:


config router static
edit 0
set device port1
set gateway 192.168.13.1
end



Ну вот и все - теперь мы можем зайти в GUI для конфигурации остальных параметров.

В моем случае в браузере адрес http://192.168.13.190. Обратите внимание - протокол http а не httpS. Это одно из ограничений лицензии для ознакомления.


codeby-pic16.png



Пропускаем предлагаемую настройку нажав “Later”:


codeby-pic17.png



И мы в административном GUI Fortigate:


codeby-pic18.png




Список ограничений при работе Fortigate на 15-дневной лицензии для ознакомления:
  • Максимум 1 CPU, не проблема на самом деле.
  • Память: максимум 1024 Мб, тоже - в условиях стенда не почувствуете.
  • 5 правил политики безопасности одновременно. Немного раздражает - если создали 5 правил и хочется еще, то вынуждены удалить одно из существующих.
  • Крипто пакет - только низкого уровня шифрования, т.е один DES и доступен. VPN site-to-site еще можно собрать, а вот SSL Inspection для трафика пользователей в сети
    уже невозможен (ну только если найдете Windows Me/XP SP1 с браузером 2002 года). Соответственно Web Filtering/IPS/AppControl тоже работать с протоколом https не будут , только с http.
  • Доступ администратора к GUI только по http, не https (см. выше почему).
  • Кластер из 2-х или более МСЭ невозможен - просто не соберется.
  • Все подписные сервисы работающие в режиме реального времени с серверами FortiGuard в Интернете не доступны.
  • VDOMs - не поддерживается. VDOM это виртуальный МСЭ внутри самого Fortigate. Эта фича позволяет разделить один Fortigate на несколько виртуальных.


На этом все, если тема МСЭ энтерпрайз уровня заинтересовала - пишите в комментариях о чем конкретно хотели бы почитать, постараюсь выполнить.

N.B. Если вам просто интересно увидеть (read-only) GUI Fortigate - это можно всегда сделать по адресу https://fortigate.fortidemo.com demo/demo . На сегоднящний день
это Fortigate 2000E с версией FortiOS 7.2 и постоянно обновляется.
 
Последнее редактирование:

qwe123xcv

Green Team
16.11.2019
44
16
Имеют ли межсетевые экраны этой конторки какие-либо преимущества по сравнению с аналогичными девайсами других конторок ?
 

Polyglot

Green Team
25.02.2020
27
40
Конечно имеются (как и свои недостатки) - вот уже много лет Фортинет в квадрате Ганта как лидер. Но опять же - наряду с CheckPoint и Palo Alto. Сделать сравнение с другими МСЭ
заняло бы очень много страниц и все равно было бы не обьективно. Поэтому могу только неоригинально сказать - они разные, нет МСЭ из 3-ки ведущих который был бы "лучше" или "хуже" других.
Из сильных сторон Fortigate -
  • быстро появляются новые фичи, быстрее остальных вендоров
  • дружелюбный интерфейс админа
  • проприетарное железо со своей прошивкой - меньше шансов на поломки, в отличие от Чека
  • дешевле при первой покупке
Из недостатков:
  • Нестабильность новых версий прошивки
  • Немалое кол-во уязвимостей, включая удаленно используемых (например против 0 таковых у Чека)
  • Дорого продление подписок после первых 3 лет - так Фортинет подталкивают клиентов к обновлению зоопарка
 
Мы в соцсетях:

1 августа стартует курс «Основы программирования на Python» от команды The Codeby

Курс будет начинаться с полного нуля, то есть начальные знания по Python не нужны. Длительность обучения 2 месяца. Учащиеся получат методички, видео лекции и домашние задания. Много практики. Постоянная обратная связь с кураторами, которые помогут с решением возникших проблем.

Запись на курс до 10 августа. Подробнее ...