Carregado porJorgeDaniel822834
PPTX, PDF15 visualizações

FCP_Fortinet_FortiManager_05_Policy.pptx

Policy Fortimanager

Incorporar apresentação

Baixar para ler offline
Last Modified: June 8, 2025 © Copyright Fortinet Inc. All rights reserved. Last Modified: June 8, 2025 Policy and Objects FortiManager FortiManager 7.2
Lesson Overview 2 © Fortinet Inc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
3 Objectives Policy and Objects Management • Describe policy workflow • Create policy packages and objects • Create installation targets for policies and policy packages • Configure dynamic objects • Use the policy check feature • Clone a policy package
4 © Fortinet Inc. All Rights Reserved. Overview • Você pode executar as seguintes tarefas em cada ADOM: • Crie ou personalize pacotes ou pacotes de políticas para cada dispositivo ou VDOM • Crie pastas de políticas • Apontar um pacote de políticas para um único dispositivo, vários dispositivos, todos os dispositivos, um único VDOM, vários VDOMs ou todos os dispositivos em um único ADOM • Crie objetos que possam ser compartilhados entre pacotes de políticas em um ADOM • Copie ou clone pacotes de políticas existentes • Configurar objetos dinâmicos • Configurar opções de exibição • Configurar revisões do ADOM
5 © Fortinet Inc. All Rights Reserved. Policy Workflow ADOM 1 Objects Device 2 Device 1 Install on Managed device Import/retrieve configuration Install on managed device import/retrieve configuration ADOM 2 Device 4 Device 3 Device Manager Layer ADOM Layer Policy Package Objects Policy Package Configuration Revision (per Device) Configuration Revision (per Device)
6 © Fortinet Inc. All Rights Reserved. Policy Packages • ADOM > Policy & Objects > Policy Packages • Crie políticas de firewall em pacotes de políticas • Exibe todos os pacotes de políticas para o ADOM Mostrando políticas para o pacote de políticas de treinamento Expanda o nome do pacote de políticas e clique em Firewall Policy para visualizar as políticas que ele contém
7 © Fortinet Inc. All Rights Reserved. Object Configurations • ADOM > Policy & Objects > Object Configuration • As políticas de firewall em pacotes de políticas referem-se a objetos definidos no banco de dados ADOM
8 © Fortinet Inc. All Rights Reserved. Display Options • Policy & Objects > Display Options • Você pode personalizar as opções de exibição para visualizar ou ocultar as guias disponíveis no painel Policy & Objects no FortiManager
9 © Fortinet Inc. All Rights Reserved. Policy Folders • Gerencie e organize seus pacotes de políticas • Permite ter subpastas nas pastas de políticas Policy & Objects > Policy Packages Policy folder Nested policy folder policy packages Policy packages Policy packages
10 © Fortinet Inc. All Rights Reserved. Installation Target • Policy Package > Installation Targets • Segmente um ou mais dispositivos ou VDOMs • O assistente de instalação fornece uma mensagem de aviso com o nome do pacote de políticas anterior atribuído Adicionar destinos de instalação
11 © Fortinet Inc. All Rights Reserved. Installation Target—Per Policy • Os destinos de instalação por regra permitem exceções por dispositivo para um pacote de políticas compartilhadas • A coluna Install On permite que você direcione dispositivos para adicionar, remover ou definir como padrão Segmentação de dispositivos individuais Segmentando todos os dispositivos Click Install On column to select devices Clique na coluna Install On para selecionar dispositivos
12 © Fortinet Inc. All Rights Reserved. Dynamic Objects • Configurar mapeamentos dinâmicos de objetos no nível do dispositivo Devices without mapping are mapped to this subnet Mapeamento para Local- FortiGate Mapeamento para Remote- FortiGate
13 © Fortinet Inc. All Rights Reserved. Interface Mapping • Define regras de mapeamento para interfaces • As interfaces são mapeadas por dispositivo, por plataforma ou ambos • Quando a interface normalizada é usada em uma política, os mapeamentos por dispositivo têm prioridade mais alta do que os mapeamentos por plataforma Object Configurations > Normalized Interface
14 © Fortinet Inc. All Rights Reserved. Example—Firewall Policy • Visualização de política de Interface e Zone no FortiManager • Visualização de política de Interface e Zone no FortiGate gerenciado Trusted Zone ver no FortiGate gerenciado Confiável (inclui port6 e port7) Inside está mapeado para a porta3
15 © Fortinet Inc. All Rights Reserved. Used Objects • Você pode excluir um objeto usado • Você pode ver onde o objeto é usado antes de excluí-lo • No entanto, se você excluir um objeto referenciado em uma política de firewall, o FortiManager o substituirá por um objeto none • none object é igual a nulo, o que significa que qualquer tráfego que atenda a essa política de firewall será bloqueado
16 © Fortinet Inc. All Rights Reserved. Find Unused Objects • A ferramenta GUI integrada pode ajudar os administradores a identificar objetos de firewall não utilizados • Find Unused Objects ferramenta exibe todos os objetos de firewall que não estão sendo usados no momento • Exemplo: Endereço, serviço, IP virtual, IPPOOL e assim por diante • Exclua objetos não utilizados diretamente na janela pop-up Objetos não utilizados
17 © Fortinet Inc. All Rights Reserved. Duplicate Objects • A ferramenta Encontrar Duplicate Objects pode ajudá-lo a localizar objetos duplicados de firewall • Você pode Merge objetos duplicados
18 © Fortinet Inc. All Rights Reserved. Policy Check • Procura consistência e conflitos no pacote de políticas • Ajuda você a otimizar regras de firewall para reduzir potencialmente o tamanho do banco de dados do pacote de políticas
Lesson Progress 19 © Fortinet Inc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
20 Objectives Import and Install Wizards • Interpret the status of a device on FortiManager • Use the Import Policy wizard • Use the Install wizard • Use the Re-install wizard
21 © Fortinet Inc. All Rights Reserved. Policy Package Status FMG-VM64 # diagnose dvm device list --- There are currently 3 devices/vdoms managed --- ... TYPE OID SN HA IP NAME ADOM IPS fmgfaz-managed 252 FGVM010000065036 - 10.200.3.1 Remote-FortiGate root 6.00741 (regular) |- STATUS: dev-db: not modified; conf: in sync; cond: OK; dm: installed; conn: up |- vdom:[3]root flags:0 adom:root pkg:[modified]Remote-FortiGate ... --- End device list --- Device Manager > Managed FortiGate
22 © Fortinet Inc. All Rights Reserved. Status of Policy Package on FortiManager Policy & Objects ADOM level DB Device Manager Device level DB Revision history DB FortiGate Policy package status Imported Synchronized Never Installed Modified Out-of-sync Conflict Unknown Install Import Policy Retrieve Auto Update O administrador pode tomar medidas com base no status Install changes Import policy changes
23 © Fortinet Inc. All Rights Reserved. Import Configuration Wizard • Device Manager > Managed FortiGate • Selecione o dispositivo FortiGate e clique em Import Configuration • Cria um novo pacote de políticas ou pode substituir um existente e importa objetos • Os objetos importados são adicionados ao banco de dados de objetos ADOM Use uma das duas maneiras de abrir o assistente de Import Configuration
24 © Fortinet Inc. All Rights Reserved. Import Configuration Wizard—Interface Map and Policy • Mapeia a interface do dispositivo para a interface ADOM para criar uma referência das interfaces no banco de dados FortiManager • Cria um pacote de políticas em Policy & Objects > Policy Packages Mapeamento de interface Nota: Por padrão, a caixa de seleção Add mappings for all unused device interfaces não utilizadas está marcada e cria um mapeamento automático para a nova interface. O administrador do FortiManager não precisa criar um mapeamento manual se esta opção estiver habilitada. Esse recurso é muito útil em implantações grandes.
25 © Fortinet Inc. All Rights Reserved. Import Policy Wizard—Summary • Importa objetos para o banco de dados ADOM, políticas para o pacote de políticas • Você pode salvar o relatório de importação no formato .txt Start to import config from device(Local-FortiGate) vdom(root) to adom(root), package(Local-FortiGate) "application list",SUCCESS,"(name=wifi-default, oid=2459, update previous object)" ... "authentication setting",SUCCESS,"(name=, oid=3393, new object)" ... "firewall address",SKIPPED,"(name=all, oid=2264, DUPLICATE)" "firewall address",SKIPPED,"(name=none, oid=2265, DUPLICATE)" "firewall address",SUCCESS,"(name=REMOTE_ETH1, oid=2266, new object)" "firewall address",SUCCESS,"(name=REMOTE_SUBNET, oid=2267, new object)"
26 © Fortinet Inc. All Rights Reserved. Install Wizard • Várias maneiras de lançar • No painel Device Manager • No painel Policy & Objects • Se você fizer alterações na configuração de um pacote de políticas, o status do pacote de políticas será alterado para Modified Duas maneiras de iniciar o Install Wizard no Gerenciador de Dispositivos A configuração do pacote de políticas foi alterada Instale para aplicar alterações ao dispositivo remoto
27 © Fortinet Inc. All Rights Reserved. Install Wizard—What to Install • Install Policy Package & Device Settings permite que os administradores instalem o pacote de políticas e alterem as configurações do dispositivo • Install Wizard também oferece opções para: • Criar uma revisão de configuração • Agendar push para dispositivo remoto • Selecione o(s) dispositivo(s) para instalar as alterações Selecione um pacote de políticas
28 © Fortinet Inc. All Rights Reserved. Install Wizard—Validation • Verifica as configurações de política e dispositivo que serão instaladas e prepara uma visualização • Indica em quais dispositivos as alterações foram instaladas e o status da instalação Atualizando endereço de origem Excluindo objetos não utilizados
29 © Fortinet Inc. All Rights Reserved. Re-Install • Igual ao Install Wizard sem avisos, mas oferece uma opção para visualizar a instalação No painel Policy & Objects No painel Device Manager Clicar em Next instalará o pacote de políticas Um administrador deve executar a instalação da política primeiro antes que a opção Re-install Policy fique disponível
Lesson Progress 30 © Fortinet Inc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
31 Objectives ADOM Revision and Database Versions • Describe the purpose of ADOM revisions • Identify the database version of an ADOM • Understand how the database version of the ADOM affects the policy and objects configurations
32 © Fortinet Inc. All Rights Reserved. ADOM Revisions • Policy & Objects > ADOM Revisions • Crie um instantâneo de todas as configurações de políticas e objetos para o ADOM • Configurações fornece acesso à configuração de exclusão automática • Você pode bloquear revisões para evitar a exclusão automática Warning: As revisões do ADOM podem aumentar significativamente o tamanho do backup de configuração
33 © Fortinet Inc. All Rights Reserved. Version of the ADOM Database • A versão do banco de dados refere-se à sintaxe válida para essa versão do FortiOS Selecione a versão do ADOM para atualizar
34 © Fortinet Inc. All Rights Reserved. Moving FortiGate From One ADOM to Another • Considerações antes de mover dispositivos: • Políticas e objetos não são movidos para o novo ADOM • Se estiver usando um pacote de políticas compartilhadas, ele não será movido para o novo ADOM • Objetos não utilizados não são movidos de um ADOM para outro • Quando os dispositivos FortiGate são atualizados, é melhor mantê-los no mesmo ADOM e usar a atualização do ADOM • Depois de mover os dispositivos: • Importar um pacote de políticas • Pode usar CLI para importar objetos não utilizados, se necessário • A configuração dos painéis do gerenciador, como o gerenciador VPN, não se move • Reconfigurar toda a configuração execute fmpolicy copy-adom-object
Lesson Progress 35 © Fortinet Inc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
36 Objectives Policy Locking and Workflow Mode • Describe the purpose of and when to use policy locking and workflow mode
37 © Fortinet Inc. All Rights Reserved. Policy Lock—Workspace Normal Mode • Permite que os administradores bloqueiem um único pacote de políticas em vez de todo o ADOM • Funciona em conjunto com workspace-mode normal • Bloqueia apenas um pacote de políticas, não todo o banco de dados de objetos • Você pode editar o pacote de políticas bloqueado em um espaço de trabalho privado • Vários administradores podem bloquear e trabalhar em pacotes de políticas separados ao mesmo tempo config system global set workspace-mode normal end ADOM permanece desbloqueado O Policy package agora está bloqueado
38 © Fortinet Inc. All Rights Reserved. Per-Policy Lock—Workspace Normal Mode • Permite que os administradores bloqueiem uma única política dentro do mesmo pacote de políticas • O bloqueio de política é liberado automaticamente no tempo limite do administrador ou se a sessão for fechada normalmente sem desbloquear o pacote de política Edite a política para ver o ícone de cadeado
39 © Fortinet Inc. All Rights Reserved. Workflow Mode • As sessões só podem ser criadas no painel Policy & Objects • Outro modo global que funciona em conjunto com o bloqueio ADOM • Controla a criação, configuração e instalação de políticas e objetos de firewall • A aprovação é necessária antes que as alterações possam ser instaladas em um dispositivo • As modificações feitas durante uma sessão de fluxo de trabalho devem ser descartadas ou enviadas ao administrador de aprovação do fluxo de trabalho no final de uma sessão de fluxo de trabalho • Sessões rejeitadas podem ser reparadas e reenviadas como novas sessões para aprovação • Esses painéis são inicialmente somente leitura até que um ADOM seja bloqueado: config system global set workspace-mode workflow end Enable workflow mode from CLI or GUI Habilite o modo de fluxo de trabalho da CLI ou GUI System Settings > Admin > Workspace
40 © Fortinet Inc. All Rights Reserved. How to Use Workflow Mode Admin A ADOM Admin B Read/Write O administrador A bloqueia o ADOM e obtém acesso de leitura e gravação. Cria nova sessão, altera políticas e objetos. Admin A ADOM Admin B O administrador A altera a configuração e envia uma solicitação de aprovação ao administrador B, que desbloqueia o ADOM. Lock Submit unlocks ADOM 1 2 Admin A Admin B agora bloqueia o ADOM e tem acesso de leitura e gravação. Admin B abre a lista de sessões e pode : • Approve • Reject • Discard • View Diff ADOM Admin B Lock Read/Write 3
41 © Fortinet Inc. All Rights Reserved. Workflow Permissions • Um administrador deve fazer parte de um grupo de aprovação antes de poder aprovar uma sessão • Independentemente do perfil de administrador do qual uma conta de administrador faz parte • O administrador também precisará ter acesso ao ADOM no qual a sessão foi criada para aprová-la • Na GUI, a matriz de aprovação deve ser configurada antes que as sessões de fluxo de trabalho sejam permitidas
42 © Fortinet Inc. All Rights Reserved. Creating a New Workflow Session • Para iniciar uma sessão no modo de fluxo de trabalho: • Selecione e bloqueie ADOM • Abra a lista de sessões no painel Policy & Objects • Criar nova sessão Lock ADOM Abrir lista de sessões Crie uma nova sessão
43 © Fortinet Inc. All Rights Reserved. Submitting Workflow Sessions • Save sessão e, em seguida, envie as alterações • As alterações de sessão serão descartadas se o administrador sair sem salvá-las • As sessões salvas podem ser trabalhadas posteriormente • O menu suspenso Sessions tem três opções: • View Diff • Submit • Discard • Você pode ver uma diferença de sessão • Após enviar as alterações para aprovação, o ADOM retorna ao estado desbloqueado Salve a sessão e envie as alterações ou selecione Submit para salvar e enviar as alterações automaticamente
44 © Fortinet Inc. All Rights Reserved. Approving, Rejecting, or Repairing Workflow Sessions • Para aprovar uma sessão: • O administrador deve ter os direitos apropriados necessários para aprovar uma sessão • Deve bloquear o ADOM no qual as alterações foram feitas • Abrir Session List • Quatro opções para aprovação do administrador : • Approve • Reject • Discard • View Diff • Sessões rejeitadas podem ser reenviadas com alterações propostas Student administrador que enviou a solicitação
45 © Fortinet Inc. All Rights Reserved. Locked ADOMs • Se uma sessão não for fechada normalmente (travamento do PC ou janela do navegador fechada), o FortiManager não fechará a sessão de administração • A sessão terá que ser excluída manualmente na GUI ou CLI FMG-VM64 # diagnose sys admin-session list *** entry 1 *** session_id: 6671 (seq: 0) username: admin admin template: admin from: GUI(10.0.1.10) (type 1) profile: Super_User (type 3) adom: My_ADOM session length: 1308 (seconds) idle: 284 (seconds) ... FMG-VM64 # diagnose sys admin-session kill 6671 Click here Use session_id para encerrar a sessão anterior Selecione a sessão anterior e clique em Delete
Lesson Progress 46 © Fortinet Inc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
Review 47 © Fortinet Inc. All Rights Reserved.  Describe policy workflow  Create policy packages and objects  Create installation targets for policies and policy packages  Configure dynamic objects  Use the policy check feature and clone a policy package  Interpret the status of a device on FortiManager  Use the Import Policy wizard and the Install wizard  Use the Re-install wizard  Describe the purpose of ADOM revisions  Identify the database version of an ADOM  Understand how the database version of the ADOM affects the policy and objects configurations  Describe the purpose of and when to use policy locking and workflow mode

Mais conteúdo relacionado

PDF
2024 Trend Updates: What Really Works In SEO & Content Marketing
porSearch Engine Journal
 
PPTX
FortiManager_04_Device config and installation.pptx
porJorgeDaniel822834
 
PDF
CONSULTCORP - F-SECURE - DataSheet Policy manager português
porConsultcorp Distribuidor F-Secure no Brasil
 
PDF
Antivirus Corporativo - Consultcorp Distribuidor F-Secure - policy-manager-fl...
porConsultcorp Distribuidor F-Secure no Brasil
 
PPT
Aula GPO1.ppt
porWashinhgton
 
PPTX
Ferramentas-Essenciais-para-Administracao-de-Sistemas.pptx
porNunoRaposo17
 
ODP
Apresentação Pulse 2 e LEP
porVasco Silva
 
PDF
Gerenciamento de Segurança em Dispositivos de Rede
porVirtù Tecnológica
 
2024 Trend Updates: What Really Works In SEO & Content Marketing
porSearch Engine Journal
 
FortiManager_04_Device config and installation.pptx
porJorgeDaniel822834
 
CONSULTCORP - F-SECURE - DataSheet Policy manager português
porConsultcorp Distribuidor F-Secure no Brasil
 
Antivirus Corporativo - Consultcorp Distribuidor F-Secure - policy-manager-fl...
porConsultcorp Distribuidor F-Secure no Brasil
 
Aula GPO1.ppt
porWashinhgton
 
Ferramentas-Essenciais-para-Administracao-de-Sistemas.pptx
porNunoRaposo17
 
Apresentação Pulse 2 e LEP
porVasco Silva
 
Gerenciamento de Segurança em Dispositivos de Rede
porVirtù Tecnológica
 

Destaque

PDF
Storytelling For The Web: Integrate Storytelling in your Design Process
porChiara Aliotta
 
PDF
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
porOECD Directorate for Financial and Enterprise Affairs
 
PDF
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
porSocialHRCamp
 
PDF
2024 State of Marketing Report – by Hubspot
porMarius Sescu
 
PDF
Everything You Need To Know About ChatGPT
porExpeed Software
 
PDF
Product Design Trends in 2024 | Teenage Engineerings
porPixeldarts
 
PDF
How Race, Age and Gender Shape Attitudes Towards Mental Health
porThinkNow
 
PDF
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
pormarketingartwork
 
PDF
Skeleton Culture Code
porSkeleton Technologies
 
PDF
PEPSICO Presentation to CAGNY Conference Feb 2024
porNeil Kimberley
 
PDF
Content Methodology: A Best Practices Report (Webinar)
porcontently
 
PPTX
How to Prepare For a Successful Job Search for 2024
porAlbert Qian
 
PDF
Social Media Marketing Trends 2024 // The Global Indie Insights
porKurio // The Social Media Age(ncy)
 
PDF
Trends In Paid Search: Navigating The Digital Landscape In 2024
porSearch Engine Journal
 
PDF
5 Public speaking tips from TED - Visualized summary
porSpeakerHub
 
PDF
ChatGPT and the Future of Work - Clark Boyd
porClark Boyd
 
PDF
Getting into the tech field. what next
porTessa Mero
 
PDF
Google's Just Not That Into You: Understanding Core Updates & Search Intent
porLily Ray
 
PDF
How to have difficult conversations
porRajiv Jayarajah, MAppComm, ACC
 
PDF
Introduction to Data Science
porChristy Abraham Joy
 
Storytelling For The Web: Integrate Storytelling in your Design Process
porChiara Aliotta
 
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
porOECD Directorate for Financial and Enterprise Affairs
 
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
porSocialHRCamp
 
2024 State of Marketing Report – by Hubspot
porMarius Sescu
 
Everything You Need To Know About ChatGPT
porExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
porPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
porThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
pormarketingartwork
 
Skeleton Culture Code
porSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
porNeil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
porcontently
 
How to Prepare For a Successful Job Search for 2024
porAlbert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
porKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
porSearch Engine Journal
 
5 Public speaking tips from TED - Visualized summary
porSpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
porClark Boyd
 
Getting into the tech field. what next
porTessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
porLily Ray
 
How to have difficult conversations
porRajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
porChristy Abraham Joy
 

FCP_Fortinet_FortiManager_05_Policy.pptx

  • 1.
    Last Modified: June8, 2025 © Copyright Fortinet Inc. All rights reserved. Last Modified: June 8, 2025 Policy and Objects FortiManager FortiManager 7.2
  • 2.
    Lesson Overview 2 © FortinetInc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
  • 3.
    3 Objectives Policy and ObjectsManagement • Describe policy workflow • Create policy packages and objects • Create installation targets for policies and policy packages • Configure dynamic objects • Use the policy check feature • Clone a policy package
  • 4.
    4 © Fortinet Inc.All Rights Reserved. Overview • Você pode executar as seguintes tarefas em cada ADOM: • Crie ou personalize pacotes ou pacotes de políticas para cada dispositivo ou VDOM • Crie pastas de políticas • Apontar um pacote de políticas para um único dispositivo, vários dispositivos, todos os dispositivos, um único VDOM, vários VDOMs ou todos os dispositivos em um único ADOM • Crie objetos que possam ser compartilhados entre pacotes de políticas em um ADOM • Copie ou clone pacotes de políticas existentes • Configurar objetos dinâmicos • Configurar opções de exibição • Configurar revisões do ADOM
  • 5.
    5 © Fortinet Inc.All Rights Reserved. Policy Workflow ADOM 1 Objects Device 2 Device 1 Install on Managed device Import/retrieve configuration Install on managed device import/retrieve configuration ADOM 2 Device 4 Device 3 Device Manager Layer ADOM Layer Policy Package Objects Policy Package Configuration Revision (per Device) Configuration Revision (per Device)
  • 6.
    6 © Fortinet Inc.All Rights Reserved. Policy Packages • ADOM > Policy & Objects > Policy Packages • Crie políticas de firewall em pacotes de políticas • Exibe todos os pacotes de políticas para o ADOM Mostrando políticas para o pacote de políticas de treinamento Expanda o nome do pacote de políticas e clique em Firewall Policy para visualizar as políticas que ele contém
  • 7.
    7 © Fortinet Inc.All Rights Reserved. Object Configurations • ADOM > Policy & Objects > Object Configuration • As políticas de firewall em pacotes de políticas referem-se a objetos definidos no banco de dados ADOM
  • 8.
    8 © Fortinet Inc.All Rights Reserved. Display Options • Policy & Objects > Display Options • Você pode personalizar as opções de exibição para visualizar ou ocultar as guias disponíveis no painel Policy & Objects no FortiManager
  • 9.
    9 © Fortinet Inc.All Rights Reserved. Policy Folders • Gerencie e organize seus pacotes de políticas • Permite ter subpastas nas pastas de políticas Policy & Objects > Policy Packages Policy folder Nested policy folder policy packages Policy packages Policy packages
  • 10.
    10 © Fortinet Inc.All Rights Reserved. Installation Target • Policy Package > Installation Targets • Segmente um ou mais dispositivos ou VDOMs • O assistente de instalação fornece uma mensagem de aviso com o nome do pacote de políticas anterior atribuído Adicionar destinos de instalação
  • 11.
    11 © Fortinet Inc.All Rights Reserved. Installation Target—Per Policy • Os destinos de instalação por regra permitem exceções por dispositivo para um pacote de políticas compartilhadas • A coluna Install On permite que você direcione dispositivos para adicionar, remover ou definir como padrão Segmentação de dispositivos individuais Segmentando todos os dispositivos Click Install On column to select devices Clique na coluna Install On para selecionar dispositivos
  • 12.
    12 © Fortinet Inc.All Rights Reserved. Dynamic Objects • Configurar mapeamentos dinâmicos de objetos no nível do dispositivo Devices without mapping are mapped to this subnet Mapeamento para Local- FortiGate Mapeamento para Remote- FortiGate
  • 13.
    13 © Fortinet Inc.All Rights Reserved. Interface Mapping • Define regras de mapeamento para interfaces • As interfaces são mapeadas por dispositivo, por plataforma ou ambos • Quando a interface normalizada é usada em uma política, os mapeamentos por dispositivo têm prioridade mais alta do que os mapeamentos por plataforma Object Configurations > Normalized Interface
  • 14.
    14 © Fortinet Inc.All Rights Reserved. Example—Firewall Policy • Visualização de política de Interface e Zone no FortiManager • Visualização de política de Interface e Zone no FortiGate gerenciado Trusted Zone ver no FortiGate gerenciado Confiável (inclui port6 e port7) Inside está mapeado para a porta3
  • 15.
    15 © Fortinet Inc.All Rights Reserved. Used Objects • Você pode excluir um objeto usado • Você pode ver onde o objeto é usado antes de excluí-lo • No entanto, se você excluir um objeto referenciado em uma política de firewall, o FortiManager o substituirá por um objeto none • none object é igual a nulo, o que significa que qualquer tráfego que atenda a essa política de firewall será bloqueado
  • 16.
    16 © Fortinet Inc.All Rights Reserved. Find Unused Objects • A ferramenta GUI integrada pode ajudar os administradores a identificar objetos de firewall não utilizados • Find Unused Objects ferramenta exibe todos os objetos de firewall que não estão sendo usados no momento • Exemplo: Endereço, serviço, IP virtual, IPPOOL e assim por diante • Exclua objetos não utilizados diretamente na janela pop-up Objetos não utilizados
  • 17.
    17 © Fortinet Inc.All Rights Reserved. Duplicate Objects • A ferramenta Encontrar Duplicate Objects pode ajudá-lo a localizar objetos duplicados de firewall • Você pode Merge objetos duplicados
  • 18.
    18 © Fortinet Inc.All Rights Reserved. Policy Check • Procura consistência e conflitos no pacote de políticas • Ajuda você a otimizar regras de firewall para reduzir potencialmente o tamanho do banco de dados do pacote de políticas
  • 19.
    Lesson Progress 19 © FortinetInc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
  • 20.
    20 Objectives Import and InstallWizards • Interpret the status of a device on FortiManager • Use the Import Policy wizard • Use the Install wizard • Use the Re-install wizard
  • 21.
    21 © Fortinet Inc.All Rights Reserved. Policy Package Status FMG-VM64 # diagnose dvm device list --- There are currently 3 devices/vdoms managed --- ... TYPE OID SN HA IP NAME ADOM IPS fmgfaz-managed 252 FGVM010000065036 - 10.200.3.1 Remote-FortiGate root 6.00741 (regular) |- STATUS: dev-db: not modified; conf: in sync; cond: OK; dm: installed; conn: up |- vdom:[3]root flags:0 adom:root pkg:[modified]Remote-FortiGate ... --- End device list --- Device Manager > Managed FortiGate
  • 22.
    22 © Fortinet Inc.All Rights Reserved. Status of Policy Package on FortiManager Policy & Objects ADOM level DB Device Manager Device level DB Revision history DB FortiGate Policy package status Imported Synchronized Never Installed Modified Out-of-sync Conflict Unknown Install Import Policy Retrieve Auto Update O administrador pode tomar medidas com base no status Install changes Import policy changes
  • 23.
    23 © Fortinet Inc.All Rights Reserved. Import Configuration Wizard • Device Manager > Managed FortiGate • Selecione o dispositivo FortiGate e clique em Import Configuration • Cria um novo pacote de políticas ou pode substituir um existente e importa objetos • Os objetos importados são adicionados ao banco de dados de objetos ADOM Use uma das duas maneiras de abrir o assistente de Import Configuration
  • 24.
    24 © Fortinet Inc.All Rights Reserved. Import Configuration Wizard—Interface Map and Policy • Mapeia a interface do dispositivo para a interface ADOM para criar uma referência das interfaces no banco de dados FortiManager • Cria um pacote de políticas em Policy & Objects > Policy Packages Mapeamento de interface Nota: Por padrão, a caixa de seleção Add mappings for all unused device interfaces não utilizadas está marcada e cria um mapeamento automático para a nova interface. O administrador do FortiManager não precisa criar um mapeamento manual se esta opção estiver habilitada. Esse recurso é muito útil em implantações grandes.
  • 25.
    25 © Fortinet Inc.All Rights Reserved. Import Policy Wizard—Summary • Importa objetos para o banco de dados ADOM, políticas para o pacote de políticas • Você pode salvar o relatório de importação no formato .txt Start to import config from device(Local-FortiGate) vdom(root) to adom(root), package(Local-FortiGate) "application list",SUCCESS,"(name=wifi-default, oid=2459, update previous object)" ... "authentication setting",SUCCESS,"(name=, oid=3393, new object)" ... "firewall address",SKIPPED,"(name=all, oid=2264, DUPLICATE)" "firewall address",SKIPPED,"(name=none, oid=2265, DUPLICATE)" "firewall address",SUCCESS,"(name=REMOTE_ETH1, oid=2266, new object)" "firewall address",SUCCESS,"(name=REMOTE_SUBNET, oid=2267, new object)"
  • 26.
    26 © Fortinet Inc.All Rights Reserved. Install Wizard • Várias maneiras de lançar • No painel Device Manager • No painel Policy & Objects • Se você fizer alterações na configuração de um pacote de políticas, o status do pacote de políticas será alterado para Modified Duas maneiras de iniciar o Install Wizard no Gerenciador de Dispositivos A configuração do pacote de políticas foi alterada Instale para aplicar alterações ao dispositivo remoto
  • 27.
    27 © Fortinet Inc.All Rights Reserved. Install Wizard—What to Install • Install Policy Package & Device Settings permite que os administradores instalem o pacote de políticas e alterem as configurações do dispositivo • Install Wizard também oferece opções para: • Criar uma revisão de configuração • Agendar push para dispositivo remoto • Selecione o(s) dispositivo(s) para instalar as alterações Selecione um pacote de políticas
  • 28.
    28 © Fortinet Inc.All Rights Reserved. Install Wizard—Validation • Verifica as configurações de política e dispositivo que serão instaladas e prepara uma visualização • Indica em quais dispositivos as alterações foram instaladas e o status da instalação Atualizando endereço de origem Excluindo objetos não utilizados
  • 29.
    29 © Fortinet Inc.All Rights Reserved. Re-Install • Igual ao Install Wizard sem avisos, mas oferece uma opção para visualizar a instalação No painel Policy & Objects No painel Device Manager Clicar em Next instalará o pacote de políticas Um administrador deve executar a instalação da política primeiro antes que a opção Re-install Policy fique disponível
  • 30.
    Lesson Progress 30 © FortinetInc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
  • 31.
    31 Objectives ADOM Revision andDatabase Versions • Describe the purpose of ADOM revisions • Identify the database version of an ADOM • Understand how the database version of the ADOM affects the policy and objects configurations
  • 32.
    32 © Fortinet Inc.All Rights Reserved. ADOM Revisions • Policy & Objects > ADOM Revisions • Crie um instantâneo de todas as configurações de políticas e objetos para o ADOM • Configurações fornece acesso à configuração de exclusão automática • Você pode bloquear revisões para evitar a exclusão automática Warning: As revisões do ADOM podem aumentar significativamente o tamanho do backup de configuração
  • 33.
    33 © Fortinet Inc.All Rights Reserved. Version of the ADOM Database • A versão do banco de dados refere-se à sintaxe válida para essa versão do FortiOS Selecione a versão do ADOM para atualizar
  • 34.
    34 © Fortinet Inc.All Rights Reserved. Moving FortiGate From One ADOM to Another • Considerações antes de mover dispositivos: • Políticas e objetos não são movidos para o novo ADOM • Se estiver usando um pacote de políticas compartilhadas, ele não será movido para o novo ADOM • Objetos não utilizados não são movidos de um ADOM para outro • Quando os dispositivos FortiGate são atualizados, é melhor mantê-los no mesmo ADOM e usar a atualização do ADOM • Depois de mover os dispositivos: • Importar um pacote de políticas • Pode usar CLI para importar objetos não utilizados, se necessário • A configuração dos painéis do gerenciador, como o gerenciador VPN, não se move • Reconfigurar toda a configuração execute fmpolicy copy-adom-object
  • 35.
    Lesson Progress 35 © FortinetInc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
  • 36.
    36 Objectives Policy Locking andWorkflow Mode • Describe the purpose of and when to use policy locking and workflow mode
  • 37.
    37 © Fortinet Inc.All Rights Reserved. Policy Lock—Workspace Normal Mode • Permite que os administradores bloqueiem um único pacote de políticas em vez de todo o ADOM • Funciona em conjunto com workspace-mode normal • Bloqueia apenas um pacote de políticas, não todo o banco de dados de objetos • Você pode editar o pacote de políticas bloqueado em um espaço de trabalho privado • Vários administradores podem bloquear e trabalhar em pacotes de políticas separados ao mesmo tempo config system global set workspace-mode normal end ADOM permanece desbloqueado O Policy package agora está bloqueado
  • 38.
    38 © Fortinet Inc.All Rights Reserved. Per-Policy Lock—Workspace Normal Mode • Permite que os administradores bloqueiem uma única política dentro do mesmo pacote de políticas • O bloqueio de política é liberado automaticamente no tempo limite do administrador ou se a sessão for fechada normalmente sem desbloquear o pacote de política Edite a política para ver o ícone de cadeado
  • 39.
    39 © Fortinet Inc.All Rights Reserved. Workflow Mode • As sessões só podem ser criadas no painel Policy & Objects • Outro modo global que funciona em conjunto com o bloqueio ADOM • Controla a criação, configuração e instalação de políticas e objetos de firewall • A aprovação é necessária antes que as alterações possam ser instaladas em um dispositivo • As modificações feitas durante uma sessão de fluxo de trabalho devem ser descartadas ou enviadas ao administrador de aprovação do fluxo de trabalho no final de uma sessão de fluxo de trabalho • Sessões rejeitadas podem ser reparadas e reenviadas como novas sessões para aprovação • Esses painéis são inicialmente somente leitura até que um ADOM seja bloqueado: config system global set workspace-mode workflow end Enable workflow mode from CLI or GUI Habilite o modo de fluxo de trabalho da CLI ou GUI System Settings > Admin > Workspace
  • 40.
    40 © Fortinet Inc.All Rights Reserved. How to Use Workflow Mode Admin A ADOM Admin B Read/Write O administrador A bloqueia o ADOM e obtém acesso de leitura e gravação. Cria nova sessão, altera políticas e objetos. Admin A ADOM Admin B O administrador A altera a configuração e envia uma solicitação de aprovação ao administrador B, que desbloqueia o ADOM. Lock Submit unlocks ADOM 1 2 Admin A Admin B agora bloqueia o ADOM e tem acesso de leitura e gravação. Admin B abre a lista de sessões e pode : • Approve • Reject • Discard • View Diff ADOM Admin B Lock Read/Write 3
  • 41.
    41 © Fortinet Inc.All Rights Reserved. Workflow Permissions • Um administrador deve fazer parte de um grupo de aprovação antes de poder aprovar uma sessão • Independentemente do perfil de administrador do qual uma conta de administrador faz parte • O administrador também precisará ter acesso ao ADOM no qual a sessão foi criada para aprová-la • Na GUI, a matriz de aprovação deve ser configurada antes que as sessões de fluxo de trabalho sejam permitidas
  • 42.
    42 © Fortinet Inc.All Rights Reserved. Creating a New Workflow Session • Para iniciar uma sessão no modo de fluxo de trabalho: • Selecione e bloqueie ADOM • Abra a lista de sessões no painel Policy & Objects • Criar nova sessão Lock ADOM Abrir lista de sessões Crie uma nova sessão
  • 43.
    43 © Fortinet Inc.All Rights Reserved. Submitting Workflow Sessions • Save sessão e, em seguida, envie as alterações • As alterações de sessão serão descartadas se o administrador sair sem salvá-las • As sessões salvas podem ser trabalhadas posteriormente • O menu suspenso Sessions tem três opções: • View Diff • Submit • Discard • Você pode ver uma diferença de sessão • Após enviar as alterações para aprovação, o ADOM retorna ao estado desbloqueado Salve a sessão e envie as alterações ou selecione Submit para salvar e enviar as alterações automaticamente
  • 44.
    44 © Fortinet Inc.All Rights Reserved. Approving, Rejecting, or Repairing Workflow Sessions • Para aprovar uma sessão: • O administrador deve ter os direitos apropriados necessários para aprovar uma sessão • Deve bloquear o ADOM no qual as alterações foram feitas • Abrir Session List • Quatro opções para aprovação do administrador : • Approve • Reject • Discard • View Diff • Sessões rejeitadas podem ser reenviadas com alterações propostas Student administrador que enviou a solicitação
  • 45.
    45 © Fortinet Inc.All Rights Reserved. Locked ADOMs • Se uma sessão não for fechada normalmente (travamento do PC ou janela do navegador fechada), o FortiManager não fechará a sessão de administração • A sessão terá que ser excluída manualmente na GUI ou CLI FMG-VM64 # diagnose sys admin-session list *** entry 1 *** session_id: 6671 (seq: 0) username: admin admin template: admin from: GUI(10.0.1.10) (type 1) profile: Super_User (type 3) adom: My_ADOM session length: 1308 (seconds) idle: 284 (seconds) ... FMG-VM64 # diagnose sys admin-session kill 6671 Click here Use session_id para encerrar a sessão anterior Selecione a sessão anterior e clique em Delete
  • 46.
    Lesson Progress 46 © FortinetInc. All Rights Reserved. Policy and Objects Management Import and Install Wizards ADOM Revision and Database Versions Policy Locking and Workflow Mode
  • 47.
    Review 47 © Fortinet Inc.All Rights Reserved.  Describe policy workflow  Create policy packages and objects  Create installation targets for policies and policy packages  Configure dynamic objects  Use the policy check feature and clone a policy package  Interpret the status of a device on FortiManager  Use the Import Policy wizard and the Install wizard  Use the Re-install wizard  Describe the purpose of ADOM revisions  Identify the database version of an ADOM  Understand how the database version of the ADOM affects the policy and objects configurations  Describe the purpose of and when to use policy locking and workflow mode

Notas do Editor

  • #1 In this lesson, you will learn how to manage policy and objects on FortiManager for FortiGate. You will also learn how to configure policy and objects on FortiManager, and then install them on FortiGate.
  • #2 In this lesson, you will learn about the topics shown on this slide.
  • #3 After completing this section, you should be able to achieve the objectives shown on this slide. By demonstrating competence in understanding, configuring, and using policies and objects, you will be able to create customized access and policies based on the needs of your organization.
  • #4 Você pode criar vários pacotes de políticas em um único ADOM. O FortiManager permite personalizar pacotes de políticas para cada dispositivo ou VDOM em um ADOM específico. Você pode apontar esses pacotes de políticas para um único dispositivo, vários dispositivos, todos os dispositivos, um único VDOM, vários VDOMs ou todos os dispositivos em um único ADOM. O FortiManager ajuda a simplificar o provisionamento de novos dispositivos, ADOMs ou VDOMs, permitindo copiar ou clonar pacotes de políticas existentes. Você também pode criar a revisão do ADOM, que permite manter uma revisão dos pacotes de políticas e configurações de objetos em um ADOM.
  • #5 Os pacotes de políticas simplificam o gerenciamento centralizado de políticas de firewall, fornecendo um contêiner útil para seu conjunto de regras de firewall. Os pacotes de políticas contêm políticas de firewall que, por sua vez, vinculam-se aos objetos definidos no painel Object Configuration. Os objetos compartilham o banco de dados de objetos comum para cada ADOM. Você pode compartilhar objetos entre vários pacotes de políticas no ADOM. Você pode gerenciar um pacote de políticas comum para vários dispositivos em um ADOM ou ter um pacote de políticas separado para cada dispositivo. Os pacotes de políticas permitem manter diversas versões do conjunto de regras. Por exemplo, você pode clonar um pacote de políticas antes de fazer alterações, o que permite preservar o conjunto de regras anterior. Uma palavra de cautela: embora os pacotes de políticas permitam múltiplas versões de um conjunto de regras de política de firewall, os objetos referenciados nesses pacotes não têm múltiplas versões – eles usam apenas um valor atual. Por exemplo, digamos que você clona um pacote de políticas, adiciona uma nova regra e depois altera o valor de um objeto compartilhado. Se você retornar para uma versão anterior do pacote de políticas, você desistirá da regra que adicionou, mas não da modificação no objeto compartilhado. A única maneira de retornar a uma versão anterior do pacote de políticas, incluindo a retirada da regra que você adicionou e a modificação no objeto compartilhado, é usar revisões do ADOM, que tiram um instantâneo do banco de dados de Policy & Objects para esse ADOM. .
  • #6 Em um único ADOM, os administradores podem criar vários pacotes de políticas. O FortiManager permite personalizar os pacotes de políticas para cada dispositivo ou VDOM em um ADOM específico, ou aplicar um único pacote de políticas para vários dispositivos em um ADOM. Ao definir o escopo de um pacote de políticas, um administrador pode modificar ou editar as políticas desse pacote, sem alterar outros pacotes de políticas.
  • #7 Todos os objetos em um ADOM são gerenciados por um único banco de dados exclusivo desse ADOM. Os objetos dentro do banco de dados incluem objetos de firewall, perfis de segurança, usuários e dispositivos. Os objetos são compartilhados no ADOM e podem ser usados entre vários pacotes de políticas. Isso simplifica o trabalho do administrador. Por exemplo, você pode criar um perfil de segurança uma vez e anexá-lo a vários pacotes de políticas para instalação em vários dispositivos FortiGate. Para criar ou editar o objeto existente, em Object Configurations, selecione o tipo de objeto no menu do lado esquerdo da tela.
  • #8 O recurso Display Options permite exibir recursos específicos na GUI. As opções de exibição disponíveis dependem da versão do ADOM e variam de um ADOM para outro. Por padrão, quando você abre Display Options, as caixas de seleção das opções mais comuns são marcadas. Você pode mostrar ou ocultar um recurso em Display Options marcando ou desmarcando a caixa de seleção ao lado do recurso. Você pode mostrar todas as opções em uma categoria marcando a caixa de seleção ao lado do nome da categoria ou mostrar todas as categorias selecionando Check All na parte inferior da janela Display Options. Você também pode ativar tipos de política de firewall adicionais, como NAT64, IPv6 e políticas de interface em Display Options.
  • #9 As pastas de políticas ajudam você a gerenciar seus pacotes de políticas. Você pode personalizar políticas com base na organização, localização geográfica, requisitos de segurança ou requisitos legais e organizar políticas em pastas de políticas específicas. Você pode criar novas subpastas de políticas em pastas de políticas para ajudá-lo a organizar melhor seus pacotes de políticas.
  • #10 Um pacote de políticas possui um destino de instalação em um ou mais dispositivos ou VDOMs. Os pacotes de políticas podem compartilhar o mesmo destino de instalação; no entanto, apenas um pacote de políticas pode estar ativo em um dispositivo ou VDOM. O pacote de políticas ativo está listado no painel Device Manager. Você pode adicionar, editar ou excluir um destino de instalação no painel Installation Targets. Depois de adicionar um destino de instalação, ele aparecerá na lista de Installation Targets. Ao instalar um pacote de políticas recém-designado em um destino, o assistente de instalação exibe uma mensagem de aviso que contém o nome do pacote de políticas atribuído anteriormente. Depois de instalar o novo pacote de políticas, ele aparece como o pacote de políticas ativo para esses dispositivos ou VDOMs no painel Device Manager, na coluna Policy Package Status.
  • #11 E se você precisar compartilhar um pacote de políticas entre vários dispositivos, com exceção de apenas algumas políticas para dispositivos FortiGate específicos? Você pode executar metas de instalação granulares por regra na política real clicando na coluna Install On. Isso permite que você direcione dispositivos para adicionar, remover ou definir os padrões. Assim, ao usar um destino de instalação, você pode compartilhar um pacote de políticas entre vários dispositivos e definir regras por dispositivo na política. Os pacotes de políticas compartilhadas são úteis em ambientes onde muitos dispositivos precisam compartilhar políticas comuns (com exceção de algumas políticas que podem ser direcionadas por dispositivo) e eliminam a necessidade de vários pacotes de políticas.
  • #12 Todos os objetos em um ADOM são gerenciados por um único banco de dados exclusivo do ADOM. Muitos objetos agora incluem a opção de ativar o mapeamento dinâmico. Você pode usar objetos dinâmicos para mapear um único objeto lógico para uma definição exclusiva por dispositivo. Você pode mapear dinamicamente recursos comuns, como endereços, interfaces, IPs virtuais e pools de IP. Um exemplo comum é um endereço de firewall. Você pode ter um nome comum para um objeto de endereço, mas ter um valor diferente dependendo do dispositivo no qual ele está instalado. No exemplo mostrado neste slide, o objeto de endereço dinâmico Internal refere-se ao endereço de rede interno dos firewalls gerenciados. O objeto tem um valor padrão de 10.0.0.0/8. As regras de mapeamento são definidas por dispositivo. Para Remote-FortiGate, o objeto de endereço Internal refere-se a 10.0.2.0/24, enquanto para Local-FortiGate o mesmo objeto refere-se a 10.0.1.0/24. Os dispositivos no ADOM que não possuem mapeamento dinâmico para Internal possuem o valor padrão de 10.0.0.0/8. Para adicionar dispositivos para mapeamento dinâmico, selecione a seta Per-Device Mapping e, na seção Per-Device Mapping, clique em Create New. Na janela pop-up que é aberta, selecione o dispositivo e defina o intervalo/sub-rede de IP.
  • #13 Interfaces normalizadas padrão são criadas quando os ADOMs são criados. As interfaces normalizadas padrão contêm uma série de regras de mapeamento por plataforma para todos os modelos FortiGate. No exemplo mostrado neste slide, a interface internal1 é mapeada para internal1 para plataformas destacadas. As regras de mapeamento padrão por plataforma permitem instalar políticas em dispositivos FortiGate sem primeiro criar regras de mapeamento personalizadas. Você pode mapear nomes de interfaces normalizadas para diferentes nomes de interfaces físicas em diferentes modelos FortiGate. No exemplo mostrado neste slide, a interface normalizada chamada Inside é mapeada para a porta3 para Local-FortiGate e para a porta6 para Remote-FortiGate. Você também pode selecionar interfaces normalizadas ao criar pares de fios virtuais.
  • #14 Inside está mapeado para port3 no Local-FortiGate. Portanto, após a instalação de uma política de firewall no FortiGate gerenciado, a interface Inside aparecerá como port3. Trusted, porém, permanece intacto, pois você o instalou no dispositivo como uma zona e as interfaces port6 e port7 fazem parte dela.
  • #15 No FortiManager é possível deletar um objeto utilizado. O FortiManager exibirá uma mensagem de aviso informando que o objeto está sendo usados atualmente por outras políticas ou objetos de firewall. Para visualizar as referências deste objeto, clique em Where Used (Onde é usado). No entanto, se você excluir um objeto usado, o FortiManager irá substituí-lo por um objeto none. O objeto none é igual a null, o que significa que qualquer tráfego que atenda a essa política de firewall será bloqueado. A menos que exista uma política mais ampla que ainda atenda aos requisitos de tráfego ou uma política definida para permitir todo o tráfego (capturar tudo). Você deve verificar todas as referências a objetos antes de excluí-los, para evitar comportamento não intencional da política de firewall.
  • #16 Find Unused Objects é uma ferramenta GUI integrada disponível para administradores para ajudá-lo a localizar todos os objetos de firewall não utilizados no banco de dados de objetos ADOM do FortiManager. Find Unused Objects pesquisa todos os tipos de objetos de firewall e exibe os resultados em uma janela pop-up. Você pode excluir objetos não utilizados diretamente na janela pop-up Unused Objects. Isso remove o objeto selecionado do banco de dados de objetos ADOM do FortiManager.
  • #17 Semelhante a Find Unused Objects, a ferramenta Find Duplicate Objects pesquisa o banco de dados de objetos do firewall FortiManager e exibe todos os objetos que possuem valores duplicados atribuídos a eles. No exemplo mostrado neste slide, a ferramenta descobriu que os objetos de serviço personalizado FTP, FTP_GET e FTP_PUT têm o mesmo valor. Depois que os objetos duplicados forem encontrados, você poderá usar o mesmo assistente para mesclar objetos, se necessário.
  • #18 Policy Check fornece recomendações apenas sobre quais melhorias podem ser feitas – não realiza nenhuma alteração. Ele usa um algoritmo para avaliar objetos de política com base em: Objetos de política de interface de origem e destino Objetos de política de endereço de origem e destino Objetos de política de serviço e agendamento Policy Check verificações para: Duplicação, onde dois objetos têm definições idênticas Sombreamento, onde um objeto sombreia completamente outro objeto do mesmo tipo Sobreposição, onde um objeto se sobrepõe parcialmente a outro objeto do mesmo tipo Órfão, onde um objeto foi definido, mas não foi usado em lugar nenhum Para executar uma verificação de política, selecione um pacote de políticas e, na lista suspensa Policy Package, clique em Policy Check. Na caixa de diálogo Policy Check, você pode selecionar uma das seguintes opções: Perform Policy Check: Isso executa uma verificação de consistência da política e fornece quaisquer conflitos que possam impedir que seus dispositivos passem tráfego. View Last Policy Check Result: Isso permite visualizar os resultados da verificação de consistência mais recente. No exemplo mostrado neste slide, os IDs de política 2 e 1 têm a mesma origem e destino em termos de interface e objetos, mas possuem serviços diferentes. Você pode combinar essas duas políticas adicionando os serviços a uma política. É importante notar que a verificação da política apenas fornece recomendações sobre quais melhorias podem ser feitas – na verdade, não faz quaisquer alterações.
  • #19 Good job! You now understand policy and objects management. Now, you will learn about import and install wizards.
  • #20 After completing this section, you should be able to achieve the objectives shown on this slide. By demonstrating competence in understanding the options for configuring and managing firewall policies on the Policy & Objects pane, you will examine the Import Policy wizard and the Install wizard, which you can use to manage devices on FortiManager.
  • #21 A captura de tela na parte superior do slide mostra a saída da lista de dispositivos diagnostic dvm, na qual o pacote de políticas é modificado enquanto o status da configuração está sincronizado. Isto indica que apenas o pacote de políticas é modificado, e não as configurações no nível do dispositivo. As mesmas informações também estão disponíveis na GUI, conforme mostrado na captura de tela deste slide.
  • #22 Após cada operação de recuperação, atualização automática e instalação, o FortiManager armazena a configuração do FortiGate no histórico de revisões. A ilustração neste slide mostra a situação do pacote de políticas: Imported: Indica que um pacote de políticas foi importado com êxito para um dispositivo gerenciado. Synchronized: Indica que políticas e objetos estão sincronizados entre o FortiManager e o dispositivo gerenciado. Never Installed: O pacote de políticas nunca foi criado e, portanto, nunca foi importado para um dispositivo gerenciado. Modified: A configuração do pacote de políticas foi alterada no FortiManager e as alterações ainda não foram enviadas para o dispositivo gerenciado. Out-of-sync: O pacote de políticas mais recente não corresponde à configuração de políticas e objetos no histórico de revisão mais recente devido a alterações de configuração feitas localmente no FortiGate ou a uma falha parcial de instalação anterior. Você deve realizar uma recuperação e depois importar políticas do FortiManager. Conflict: Se você fizer alterações na configuração da política localmente no FortiGate e não importar as alterações para o pacote de políticas, e também fizer as alterações no FortiManager, o status entrará em estado de conflito. Dependendo das alterações na configuração, você pode importar um pacote de políticas ou instalar as alterações do FortiManager. Unknown: O FortiManager não consegue determinar o status do pacote de políticas. Você pode resolver a maioria dos problemas de status de política importando um pacote de políticas ou instalando um pacote de políticas.
  • #23 É comum que o FortiGate já tenha uma configuração em execução. O assistente de Import Configuration orienta você na importação de políticas e objetos para o FortiManager. Ao importar um dispositivo, você cria um novo pacote de políticas que não interfere em outros pacotes. No entanto, os objetos importados serão adicionados ou atualizados aos objetos existentes. Talvez você queira criar uma nova revisão do ADOM antes de realizar uma importação. Se você adicionar um dispositivo não registrado ao FortiManager, deverá executar o assistente de Import Configuration após promover o dispositivo. Os próximos slides exploram os estágios pelos quais o assistente o orienta.
  • #24 Por padrão, existem mapeamentos de interface para interfaces configuradas no firewall. Isto permite que as interfaces do dispositivo sejam referenciadas em pacotes de políticas. Você pode renomear o mapeamento da interface ADOM no assistente. No exemplo mostrado neste slide, a port1 foi renomeada como External e a port3 foi renomeada como Internal. As políticas no Local-FortiGate estão na port1 e na port3, mas no FortiManager elas são referenciadas localmente como External e Internal. Observe que, por padrão, a caixa de seleção Add mappings for all unused device interfaces não utilizadas está marcada e cria um mapeamento automático para a nova interface. O assistente realiza uma pesquisa de políticas para encontrar todas as políticas em preparação para importação no banco de dados FortiManager. Você pode optar por importar todas as políticas de firewall ou selecionar políticas específicas para importar. Se você optar por importar apenas políticas específicas para o pacote de políticas e posteriormente instalar alterações nas políticas, as políticas que não foram importadas serão excluídas localmente no FortiGate. Isso ocorre porque o FortiManager não possui essas políticas no pacote de políticas. Além disso, você pode escolher se deseja importar todos os objetos configurados ou apenas os objetos referenciados pelas políticas de firewall atuais. Independentemente de você optar por importar apenas objetos dependentes de políticas ou todos os objetos, o sistema excluirá objetos órfãos (não utilizados) que não estejam vinculados a políticas localmente no FortiGate na próxima instalação. Mas se você optar por importar todos os objetos, o sistema importará todos os objetos usados e não utilizados no banco de dados de objetos ADOM do FortiManager e poderá usá-los posteriormente, referenciando as políticas no FortiManager e instalando-as nos dispositivos gerenciados. Por padrão, Import All e Import only policy dependent objects são selecionados quando você executa o assistente Import Policy. Como advertência, se você estiver gerenciando muitos dispositivos em um ADOM e selecionar Import all objects para todos os dispositivos, o banco de dados de objetos ficará muito cheio de objetos não utilizados, o que pode ser complicado para um administrador.
  • #25 Após a conclusão da importação, o assistente fornece o Policy Import Summary e o Download Import Report. Você pode baixar o relatório de importação, que está disponível apenas na página Import Device. Você pode visualizar o relatório usando qualquer editor de texto. Como prática recomendada, você deve baixar o relatório. O relatório de importação fornece informações sobre o FortiGate, o nome do ADOM no FortiManager e o nome do pacote de políticas. O relatório também fornece informações adicionais, como os objetos que foram adicionados como novos objetos. Objetos existentes que possuem os mesmos valores localmente no FortiGate e FortiManager são chamados de DUPLICATE. Se o valor de um objeto existente for alterado, o FortiManager o atualiza em seu banco de dados e mostra a atualização do objeto anterior no relatório de importação.
  • #26 Depois de fazer alterações na configuração do pacote de políticas, o Policy Package Status será sinalizado como Modified no painel Device Manager. Existem várias maneiras de iniciar o Install Wizard no painel Device Manager, bem como no painel Policy & Objects. Se você estiver usando ADOMs, certifique-se de selecionar primeiro o ADOM na lista suspensa ADOM. Agora, você explorará o processo de instalação de alterações na configuração de política usando o Install Wizard. Durante esse processo, os itens de configuração da política e do dispositivo são instalados no dispositivo gerenciado. Após a conclusão da instalação, o FortiManager e o FortiGate estarão sincronizados e o Policy Package Status mudará de Modified para Installed (Synchronized).
  • #27 Quando você seleciona Install Policy Package & Device Settings, o Install Wizard instala o pacote de políticas e quaisquer alterações pendentes no nível do dispositivo. O pacote de políticas selecionado é exibido e você tem a opção de criar uma nova revisão do ADOM para esta instalação. Observe que uma revisão do ADOM é um instantâneo de todo o ADOM e não das alterações específicas deste pacote de políticas. Você também pode ativar Schedule Install, que permite especificar a data e a hora para instalar as alterações mais recentes do pacote de políticas. A próxima etapa é a Device Selection. Nesta etapa, o assistente exibe os dispositivos selecionados no destino de instalação do pacote de políticas específico.
  • #28 A próxima etapa do assistente é a validação. Nesta etapa, o assistente verifica se o pacote de políticas selecionado é adequado para os destinos de instalação selecionados, como se a referência de mapeamento de interface no pacote de políticas está configurada nos destinos de instalação. Se a validação falhar, a instalação será interrompida. Antes de realizar a instalação, como prática recomendada, sempre visualize e verifique as alterações que serão submetidas ao FortiGate. Se esta for a primeira instalação, você poderá ver muitas alterações, pois os objetos podem ter sido renomeados durante o processo de importação e os objetos não utilizados podem ter sido removidos da configuração do dispositivo. Se não quiser prosseguir com a instalação, você pode cancelar a instalação nesta etapa do assistente. A última etapa é Install, que é a instalação real. O assistente lista os dispositivos nos quais as alterações de configuração foram instaladas. Quaisquer erros ou avisos que ocorram durante a instalação também aparecem aqui. Se a instalação falhar, o histórico de instalação indicará o estágio em que a instalação falhou. Você também pode verificar o histórico de instalação para uma instalação bem-sucedida. No exemplo mostrado neste slide, o assistente indica que as alterações de configuração foram instaladas com sucesso no FortiGate e que o FortiManager criou um novo histórico de revisões para esta instalação.
  • #29 O FortiManager também oferece uma opção de Re-install Policy. Uma reinstalação é igual a uma instalação, exceto que não há prompts e fornece a capacidade de visualizar as alterações que serão instaladas no dispositivo gerenciado. A Re-install Policy criará um novo histórico de revisões e o aplicará a todos os destinos de instalação selecionados. A opção Re-install Policy funciona somente após a primeira instalação da política. A opção fica esmaecida ou indisponível se o Policy Package Status no painel Device Manager for exibido como Never Installed para o dispositivo gerenciado.
  • #30 Good job! You now understand FortiManager policy and objects management, as well as the Import wizard and Install wizard. Now, you will learn about ADOM revision and database versions.
  • #31 After completing this section, you should be able to achieve the objectives shown on this slide. By demonstrating competence in understanding ADOM revisions and database versions, you will understand their effect on policy and objects configurations.
  • #32 A revisão do ADOM salva o pacote de políticas e os objetos localmente no FortiManager. Você pode criar uma nova revisão na ADOM, visualizar diferenças entre as revisões ou reverter para uma revisão específica do ADOM. Como advertência, se você optar por reverter para uma revisão específica do ADOM, você reverterá todos os pacotes de políticas e objetos baseados nessa revisão. Warning: lembre-se de que as revisões ds ADOM podem aumentar significativamente o tamanho do backup da configuração. Você pode excluir revisões automaticamente com base em determinadas variáveis e pode bloquear revisões individuais para evitar que sejam excluídas automaticamente. Clique em Settings para acessar as configurações de exclusão automática.
  • #33 Cada ADOM está associado a uma versão específica do FortiOS, com base na versão do firmware dos dispositivos gerenciados nesse ADOM. A versão selecionada determina a sintaxe CLI usada para configurar os dispositivos. Selecione esta versão ao criar um novo ADOM. Recomenda-se atualizar todos os dispositivos FortiGate em um ADOM para a versão mais recente do firmware FortiOS antes de atualizar a versão ADOM.
  • #34 Quando você move um dispositivo de um ADOM para outro, as políticas e os objetos (usados e não usados) não são movidos para o novo ADOM. Se você precisar mover um dispositivo de um ADOM para outro, execute o assistente de importação de política para importar o pacote de política para o novo ADOM. E se você precisar usar objetos não utilizados de um ADOM anterior no novo ADOM? Você pode copiar objetos de um ADOM para outro usando a CLI do FortiManager. Quando os dispositivos FortiGate são atualizados, é melhor mantê-los no mesmo ADOM e usar a atualização do ADOM. Mover dispositivos FortiGate para um novo ADOM introduz trabalho adicional e certas complicações. Além disso, os painéis do gerenciador, como o gerenciador VPN, não se movem e o administrador do FortiManager deve reconfigurar todas as configurações da VPN no dispositivo gerenciado.
  • #35 Good job! You now understand ADOM revision and database versions. Now, you will learn about policy locking and workflow mode.
  • #36 After completing this section, you should be able to achieve the objective shown on this slide. By demonstrating competence in understanding the purpose and use of policy locking and workflow mode on FortiManager, you will be able to understand how they impact your network.
  • #37 O bloqueio de política está disponível apenas no modo normal do espaço de trabalho. O bloqueio de políticas permite que os administradores trabalhem e bloqueiem um único pacote de políticas em vez de bloquear todo o ADOM. Para usar o bloqueio de política, você deve definir o modo de espaço de trabalho como normal. Você pode bloquear todo o ADOM ou um pacote de políticas específico. O bloqueio de políticas é uma extensão do bloqueio ADOM, que permite que vários administradores trabalhem em pacotes de políticas separados no mesmo ADOM ao mesmo tempo.
  • #38 No modo de espaço de trabalho, os administradores podem bloquear políticas individuais, exceto políticas usadas por bloqueios de políticas. Você não pode bloquear uma política individual quando a política é usada em um bloqueio de política. Se desejar modificar uma política, não será necessário bloquear todo o pacote de políticas. Depois de bloquear uma política, um ícone de cadeado aparece ao lado da política. Outros administradores agora não conseguem modificar sua política ou bloquear o pacote de políticas onde a política bloqueada está contida e não conseguem bloquear o ADOM. O bloqueio de política é liberado automaticamente no tempo limite do administrador ou se o administrador fechar uma sessão normalmente sem desbloquear o pacote de política ou a política.
  • #39 Em vez de Workspace mode, você pode usar o Workflow. Antes de ativar o modo de fluxo de trabalho, notifique outros administradores logados no FortiManager para salvar seu trabalho: isso encerrará todas as sessões de gerenciamento. Você pode usar o modo de fluxo de trabalho para controlar a criação, configuração e instalação de políticas e objetos de firewall. A aprovação é necessária antes que as alterações possam ser instaladas em um dispositivo. Todas as modificações feitas em uma sessão no modo workflow deverão ser descartadas ou submetidas para aprovação ao final da sessão. As sessões rejeitadas podem ser reparadas e reenviadas para aprovação como novas sessões. Todas as sessões devem ser aprovadas na mesma ordem em que foram criadas para evitar conflitos. No modo de fluxo de trabalho, os painéis relacionados à configuração do FortiGate são inicialmente somente leitura. Para criar uma nova sessão no modo de fluxo de trabalho, você deve primeiro bloquear o ADOM, semelhante aos espaços de trabalho. Você deve ativar o modo de fluxo de trabalho na CLI ou na GUI. Ativar o modo de fluxo de trabalho desconectará todos os administradores.
  • #40 O gráfico neste slide mostra como usar o modo de fluxo de trabalho. Quando o Admin A bloqueia o ADOM, um ícone de cadeado verde aparece. O administrador A tem acesso de leitura/gravação e cria uma nova sessão no painel Policy & Objects no ADOM. O administrador A faz alterações na configuração dos dispositivos gerenciados e envia a solicitação de aprovação ao administrador B. Esse envio de aprovação desbloqueia automaticamente o ADOM. O administrador B deve ter permissão de leitura/gravação para aprovação do fluxo de trabalho. Admin B então bloqueia o ADOM e tem acesso de leitura e gravação. O Administrador B abre a lista de sessões e tem a opção de aprovar, rejeitar, descartar ou visualizar diferenças nas alterações enviadas pelo Administrador A.
  • #41 Um administrador deve fazer parte de um grupo de aprovação e ter direitos sobre o ADOM no qual a sessão foi criada para poder aprovar uma sessão. Fazer parte do perfil Super_Admin não é suficiente para aprovar uma sessão. No painel Workflow Approval, configure a matriz de aprovação de fluxo de trabalho usando os seguintes valores: ADOM: Selecione o ADOM ao qual deseja aplicar o modo de fluxo de trabalho. Approval Group #1: Adicione os administradores que aprovarão as alterações no ADOM. Send email notification to: Enviar notificações por e-mail aos administradores quando outro administrador fizer alterações e enviar as alterações para aprovação. Mail server: Selecione o servidor de e-mail que o FortiManager usará para enviar suas notificações no painel Mail Server.
  • #42 O administrador deve bloquear o ADOM antes de poder criar uma nova sessão. Depois que o ADOM for bloqueado, o administrador terá a opção de criar uma nova sessão e começar a fazer alterações no pacote de políticas. Observe que o administrador não pode fazer alterações nos pacotes de políticas até criar uma nova sessão.
  • #43 Depois de editar políticas ou objetos de firewall, clique em Save para salvar sua sessão e envie suas alterações. Alternativamente, você pode clicar em Submit, que salva e envia as alterações automaticamente. Você pode visualizar uma diferença de sessão antes de enviá-la para aprovação. Depois de enviar suas alterações para aprovação ou descartá-las, o ADOM retornará automaticamente ao estado desbloqueado.
  • #44 Após o envio da solicitação de fluxo de trabalho, os administradores com as permissões apropriadas poderão aprovar ou rejeitar a solicitação pendente. O administrador de aprovação deve bloquear o ADOM durante o processo de decisão. Depois que o ADOM for bloqueado, eles poderão abrir a lista de sessões. A lista de sessões mostra o administrador que enviou a solicitação e outras informações, como data de envio, total de solicitações e comentários do administrador remetente. O administrador aprovador tem quatro opções: Approve: A sessão está aguardando para ser revisada e aprovada. Se a sessão for aprovada, nenhuma ação adicional será necessária. Reject: Se a sessão for rejeitada, o sistema envia uma notificação ao administrador que enviou a sessão. O administrador aprovador tem a opção de reparar as alterações. Uma sessão rejeitada deve ser corrigida antes que a próxima sessão possa ser aprovada. Discard: O administrador de aprovação não concorda com as alterações e as descarta. Não é necessária nenhuma ação adicional. View Diff: O administrador de aprovação pode visualizar as diferenças entre o pacote de políticas original e as alterações feitas pelo administrador responsável pelo envio. No exemplo mostrado neste slide, o usuário administrador student enviou a solicitação de aprovação ao usuário administrador admin.
  • #45 Se uma conexão com o FortiManager fechar inesperadamente (PC travado ou navegador fechado) enquanto um ADOM estiver bloqueado, ele permanecerá bloqueado até que a sessão do administrador expire ou a sessão seja excluída. Você pode excluir sessões de administrador na GUI ou CLI. Após a exclusão da sessão anterior, o ADOM será desbloqueado imediatamente.
  • #46 Congratulations! You have completed this lesson. Now, you will review the objectives that you covered in this lesson.
  • #47 This slide shows the objectives that you covered in this lesson. By mastering the objectives covered in this lesson, you learned how to manage policy and objects on FortiManager for FortiGate. You also learned how to configure policy and objects on FortiManager, and then install them on FortiGate.