Fortigate dns server настройка

Обновлено: 06.07.2024

С помощью этого учебника по развертыванию вы узнаете, как настроить и использовать брандмауэр следующего поколения Fortinet FortiGate, развернутый в виртуальной машине Azure. Кроме того, здесь рассматривается настройка приложения коллекции FortiGate SSL VPN Azure AD для обеспечения проверки подлинности VPN с помощью Azure Active Directory.

Активация лицензии FortiGate

Брандмауэр следующего поколения Fortinet FortiGate доступен в виде виртуальной машины в инфраструктуре как услуге (IaaS) Azure. Для этой виртуальной машины существует два режима лицензирования: с оплатой по мере использования и с использованием собственной лицензии (BYOL).

Скачивание встроенного ПО

На момент написания статьи виртуальная машина Azure Fortinet FortiGate не поставляется с версией встроенного ПО, необходимой для проверки подлинности SAML. Последняя версия должна быть получена из Fortinet.

Развертывание FortiGate VM

Перейдите на портал Azure и войдите в подписку, в которой будет развернута виртуальная машина FortiGate.

Создайте или откройте группу ресурсов, в которой вы хотите развернуть виртуальную машину FortiGate.

Нажмите Добавить.

В поле Search the Marketplace (Поиск в Marketplace), введите Forti. Выберите Fortinet FortiGate Next-Generation Firewall (Брандмауэр Fortinet FortiGate следующего поколения).

Выберите план программного обеспечения (с использованием собственной лицензии, если она есть, или с оплатой по мере использования в случае ее отсутствия). Выберите Создать.

Заполните конфигурацию виртуальной машины.

Задайте для параметра Authentication type (Тип аутентификации) значение Password (Пароль) и укажите учетные данные администратора для виртуальной машины.

Выберите Просмотреть и создать > Создать.

Дождитесь завершения развертывания виртуальной машины.

Установка статического общедоступного IP-адреса и назначение полного доменного имени

Чтобы обеспечить единообразное взаимодействие с пользователем, установите общедоступный IP-адрес, назначенный виртуальной машине FortiGate статически. Кроме того, сопоставьте его с полным доменным именем (FQDN).

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

На экране Overview (Обзор) выберите общедоступный IP-адрес.

Выберите Static > Save (Статический > Сохранить).

Если вы владеете общедоступным доменным именем с маршрутизацией для среды, в которой развертывается виртуальная машина FortiGate, создайте запись узла (A) для виртуальной машины. Эта запись сопоставляется с общедоступным IP-адресом статически.

Создание входящего правила группы безопасности сети для TCP-порта 8443

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

В меню слева выберите Сеть. Будет показан список с сетевым интерфейсом, а также правила входящих портов.

Выберите Добавить правило входящего порта.

Создайте правило входящего порта для TCP 8443.

Нажмите Добавить.

Создание второго виртуального сетевого адаптера для виртуальной машины

Чтобы сделать доступными для пользователей внутренние ресурсы, необходимо добавить второй виртуальный сетевой адаптер в виртуальную машину FortiGate. Виртуальная сеть в Azure, в которой находится виртуальный сетевой адаптер, должна иметь подключение с возможностью маршрутизации к этим внутренним ресурсам.

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

Если виртуальная машина FortiGate еще не остановлена, выберите команду Остановить и дождитесь завершения работы виртуальной машины.

В меню слева выберите Сеть.

Выберите Подключить сетевой интерфейс.

Выберите команду Create and attach network interface (Создать и присоединить сетевой интерфейс).

Настройте свойства нового сетевого интерфейса, а затем выберите команду Создать.

Запустите виртуальную машину FortiGate.

Настройка FortiGate VM

В следующих разделах описано, как настроить виртуальную машину FortiGate.

Установка лицензии

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

Если в развертывании используется модель с собственной лицензией, вы увидите запрос на ее отправку. Выберите созданный ранее файл лицензии и отправьте его. Нажмите ОК и перезапустите виртуальную машину FortiGate.

После перезагрузки опять войдите в систему с учетными данными администратора, чтобы проверить лицензию.

Обновление встроенного ПО

Пропустите все ошибки сертификата.

В меню слева выберите System > Firmware (Система > Встроенное ПО).

На странице Firmware Management (Управление встроенным ПО) нажмите Browse (Обзор) и выберите скачанный ранее файл встроенного ПО.

Игнорируйте предупреждение и выберите Backup config and upgrade (Резервное копирование конфигурации и обновление).

Выберите Continue (Продолжить).

При появлении запроса на сохранение конфигурации FortiGate (в формате файла CONF) нажмите кнопку Save (Сохранить).

Дождитесь отправки и применения встроенного ПО. Дождитесь перезагрузки виртуальной машины FortiGate.

После перезагрузки виртуальной машины FortiGate опять войдите в систему с учетными данными администратора.

Когда появится запрос на настройку панели мониторинга, выберите Later (Позже).

После запуска учебного видео нажмите кнопку ОК.

Изменение порта управления на TCP 8443

Пропустите все ошибки сертификата.

В меню слева выберите System (Система).

Отправка сертификата для подписи SAML в Azure AD

Пропустите все ошибки сертификата.

В меню слева выберите System > Certificates (Система > Сертификаты).

Выберите Импорт > Remote Certificate (Удаленный сертификат).

Перейдите к сертификату, скачанному из развертывания пользовательского приложения FortiGate в клиенте Azure. Выберите его и нажмите кнопку ОК.

Отправка и настройка пользовательского SSL-сертификата

При необходимости можно настроить виртуальную машину FortiGate с помощью собственного SSL-сертификата, который поддерживает используемое полное доменное имя. Если у вас есть доступ к SSL-сертификату, упакованному с помощью закрытого ключа в формат PFX, то его можно использоваться для этой цели.

Пропустите все ошибки сертификата.

В меню слева выберите System > Certificates (Система > Сертификаты).

Перейдите к PFX-файлу, содержащему SSL-сертификат и закрытый ключ.

В меню слева выберите System > Settings (Система > Параметры).

Для входа укажите учетные данные администратора FortiGate. Теперь должен использовать правильный SSL-сертификат.

Настройка превышения времени ожидания аутентификации

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

В меню слева выберите Последовательная консоль.

Войдите в последовательную консоль с учетными данными администратора виртуальной машины FortiGate.

В последовательной консоли запустите выполнение таких команд:

Убедитесь, что сетевые интерфейсы получают IP-адреса.

В меню слева выберите Сеть.

В разделе "Сеть" выберите Интерфейсы.

Убедитесь, что виртуальная машина FortiGate имеет правильный маршрут к локальным корпоративным ресурсам.

Виртуальные машины Azure с несколькими сетевыми интерфейсами содержат все сетевые интерфейсы в одной виртуальной сети (но, возможно, отдельные подсети). Это часто означает, что оба сетевых интерфейса имеют подключение к локальным корпоративным ресурсам, публикуемым через FortiGate. По этой причине необходимо создать пользовательские записи маршрутов, обеспечивающие движение трафика от правильного интерфейса при создании запросов к локальным корпоративным ресурсам.

В меню слева выберите Сеть.

В разделе "Сеть" выберите Статические маршруты.

Щелкните Создать.

Для параметра "Назначение" выберите Подсеть.

В разделе подсеть укажите сведения о подсети, в которой находятся локальные корпоративные ресурсы (например, 10.1.0.0/255.255.255.0).

Для параметра "Адрес шлюза" укажите шлюз в подсети Azure, к которой подключен интерфейс port2 (например, это обычно адрес, который заканчивается на 1, например 10.6.1.1).

Для параметра "Интерфейс" выберите внутренний сетевой интерфейс port2.

Советы и хитрости

Вы не увидите настройки DynDNS DDNS от Fortigate FortiOS 5 до последних версий. Только вы заметите Fortinet DDNS, который обращается к устройству через графический интерфейс. Fortinet сообразила, что удалила эту опцию из своего веб-интерфейса и подтолкнула пользователей использовать свою службу динамического DNS с подпиской Fortinet. Если вы пользуетесь услугами сторонних поставщиков DDNS, таких как DynDNS, вы не найдете возможности настроить других поставщиков в веб-интерфейсе. Это не означает, что мы не можем настроить сторонний DDNS, это простое руководство показывает, как настроить DynDNS DDNS на Fortigate FortiOS в режиме CLI (интерфейс командной строки).

Fortigate известен своими функциональными межсетевыми экранами для обеспечения безопасности нескольких сетей, мощным UTM и удобным веб-интерфейсом. Они продолжают обновлять свою ОС, чтобы соответствовать требованиям конкурентов и добавлять новые функции, исправлять ошибки и повышать удобство работы пользователей.

Это еще одно изменение, которое вы заметите после обновления серии FortiOS 5.x, например, как нам пришлось изменить режим переключения на режим интерфейса с помощью интерфейса командной строки. Как показано ниже, только FortiGuard DDNS указан для интерфейса WAN в серии FortiOS 6.x. Вы найдете аналогичную настройку в других последних версиях.

Единственный доступный способ настроить DynDNS или других поставщиков в Fortigate 5 или более поздних версиях — использовать командную строку.

Способы настройки DynDNS DDNS на Fortigate FortiOS

1) Подключитесь к устройству через telnet, SSH или GUI-терминал и по очереди введите следующую команду.

* edit 1 — 1 — порядковый номер настроек DDNS. Начните с 1, если это первые настройки DDNS в поле Fortigate. Этот порядковый номер следует использовать позже для изменения чего-либо, связанного с настройками порта WAN или настройками DDNS.

* wan1 — это порт, который вам нужен для настройки DDNS и, очевидно, он должен быть подключен к Интернету.

* hostname — это то, которое вы зарегистрировали у провайдера динамического DNS.

* username — имя пользователя соответствующего хоста у провайдера.

* пароль — для имени пользователя и имени хоста от провайдера.

Следующие серверы DDNS можно использовать для настройки динамического DNS в FortiOS 5 и более поздних версиях.

После того, как вы настроили службу DynDNS, как показано выше, WAN-порт устройства будет отслеживаться и изменяться в соответствии с именем и IP-адресом.

2) набор текста

показать системные ddns (show system ddns)

Он покажет настройки ddns устройства FortiGate в интерфейсе командной строки. Который обычно не отображается в режиме графического интерфейса.

3) Чтобы отредактировать ту же запись ddns, вы можете использовать

Обязательно введите правильный порядковый номер (например, 1) для изменения.

Рекомендуется сделать резервную копию конфигурации устройства. Чтобы вы могли использовать ее в будущем или при замене существующего устройства. Используя резервную копию, вам не нужно снова настраивать DynDNS через интерфейс командной строки, она включена в резервную копию.

Удалить существующий DDNS на Fortigate

Чтобы удалить существующие настройки DDNS для определенного сетевого порта, нам нужно знать номер ID. В этом примере это ID 1.

Выполните приведенную ниже команду с правильным идентификатором, чтобы удалить настройки DDNS через интерфейс командной строки.

FortiMail - быстрый старт

Коллеги, приветствуем! Сегодня мы расскажем о том, как можно протестировать решение компании Fortinet для защиты электронной почты - почтовый шлюз FortiMail. Этот процесс очень прост, и даже после минимальной конфигурации можно увидеть впечатляющие результаты. Начнем с текущего макета. Он представлен на рисунке ниже.

Cправа расположен компьютер внешнего пользователя, с которого мы будем отсылать почту пользователю в нашей внутренней сети.
Во внутренней сети расположен компьютер пользователя, контроллер домена с поднятым на нем DNS сервером и почтовый сервер.
На границе сети стоит межсетевой экран - FortiGate. Главная его особенность - на нем настроен проброс SMTP и DNS трафика.

Стоит особо обговорить DNS

Для маршрутизации электронной почты в Интернете используются две DNS записи - «A» запись и «MX» запись. Обычно данные DNS записи настраиваются на публичном DNS сервере, но из-за ограничений макетирования мы просто пробрасываем DNS через межсетевой экран (то есть у внешнего пользователя в качестве DNS сервера прописан адрес 10.10.30.210).
«MX» запись - запись, содержащая имя почтового сервера, который обслуживает его домен, а также приоритет данного почтового сервера. В нашем случае она выглядит так: test.local -> mail.test.local 10.

«A» запись - запись, преобразующая доменное имя в IP адрес, в нашем случае mail.test.local -> 10.10.30.210.

Теперь перейдем на машину внутреннего пользователя и убедимся, что письмо пришло:

Письмо действительно пришло ( оно выделено в списке). Значит макет работает. Самое время перейти к FortiMail. Дополним наш макет:

Gateway - действует как полноценный MTA, принимает всю почту на себя, проверяет её, а после пересылает на почтовый сервер; Transparent - или по другому, прозрачный режим. Устанавливается перед сервером и проверяет входящую и исходящую почту. После этого передает её на сервер. Не требует изменений в конфигурации сети.
Server - в данном случае FortiMail является полноценным почтовым сервером с возможностью заведения почтовых ящиков, приёма и отправки почты, а также с другим функционалом.
Мы будем разворачивать FortiMail в режиме Gateway. Зайдем в настройки виртуальной машины. Логин - admin, пароль не задан. При первом входе нас просят задать пароль:

Теперь сконфигурируем виртуальную машину для доступа к веб интерфейсу. Также необходимо, чтобы машина имела доступ в Интернет. Настроим интерфейс.Нам необходим только port1. С его помощью мы будем подключаться к веб интерфейсу, а также он будет использоваться для выхода в Интернет. Выход в Интернет нужен для обновления сервисов (сигнатур антивируса и т.д).

Теперь настроим маршрутизацию. Для этого необходимо ввести следующие команды:

config system route
edit 1
set gateway 192.168.1.1
set interface port1
end

Вводя команды, можно использовать табуляцию, чтобы не печатать их полностью. Также если вы забыли, какая команда должна идти следующей, можно воспользоваться клавишей “?”.

Теперь проверим подключение к Интернету. Для этого пропингуем гугловский DNS:

Как видим, Интернет у нас появился. Первоначальные настройки, характерные для всех устройств Fortinet выполнены, теперь можно переходить к настройкам через веб интерфейс. Для этого откроем страницу управления:

❗Обратите внимание, переходить нужно по ссылке в формате <ip адрес>/admin. Иначе вы не сможете попасть на страницу управления. По умолчанию страница находится в стандартном режиме конфигурирования.

Для настроек нам понадобится Advanced режим. Перейдем в меню admin->View и переключим режим на Advanced:

Теперь нам необходимо загрузить триальную лицензию. Сделать это можно в меню License Information -> VM -> Update:

Если у вас нет триальной лицензии, вы можете запросить её, обратитесь к нам.

После ввода лицензии устройство должно перезагрузиться. После этого оно начнет подтягивать обновления своих баз с серверов. Если этого не происходит автоматически, можно перейти в меню System -> FortiGuard и во вкладках Antivirus, Antispam нажать на кнопку Update Now.

Если это не помогает, можно поменять порты, используемые для обновлений. Обычно после этого все лицензии появляются. В итоге это должно выглядеть так:

Настроим верный часовой пояс, это пригодится при исследовании логов. Для этого перейдем в меню System->Configuration:

Также настроим DNS. В качестве основного DNS сервера я настрою внутренний DNS сервер, а в качестве резервного - оставлю DNS сервер, который предоставляет Fortinet.

Теперь перейдем к самому интересному

Как вы наверное заметили, по умолчанию у устройства установлен режим Gateway. Поэтому нам менять его не нужно. Перейдем в поле Domain & User -> Domain. Создадим новый домен, который необходимо защищать. Здесь нам нужно указать только название домена и адрес почтового сервера (можно также указать его доменное имя, в нашем случае mail.test.local):

Теперь нам нужно указать имя для для нашего почтового шлюза. Оно будет использоваться в «MX» и «A» записях, которые нам нужно будет поменять позже:

Из пунктов Host Name и Local Domain Name будет составлено FQDN, будет использоваться в DNS записях. В нашем случае FQDN = fortimail.test.local.

Настроим правило получения

Нам необходимо, чтобы все письма, которые приходят извне и назначаются пользователю в домене, пересылались на почтовый сервер.Для этого перейдем в меню Policy -> Access Control. Пример настройки приведен ниже:

На этом настройку на FortiMail можно считать законченной.

На самом деле возможных параметров намного больше, но если мы начнем рассматривать их все - можно будет написать книгу:) А наша цель - с минимальными усилиями запустить FortiMail в тестовом режиме.

Осталось две вещи - изменить «MX» и «A» записи, а также изменить правила проброса портов на межсетевом экране.
«MX» запись test.local -> mail.test.local 10 необходимо поменять на test.local -> fortimail.test.local 10. Но обычно во время пилотов добавляется вторая MX запись с более высоким приоритетом. Например:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Напомню, что чем меньше порядковый номер предпочтения почтового сервера в «MX» записи, тем выше её приоритет.
«A» запись изменить нельзя, поэтому просто создадим новую: fortimail.test.local -> 10.10.30.210. Внешний пользователь будет обращаться на адрес 10.10.30.210 по 25 порту, и межсетевой экран будет пробрасывать соединение на FortiMail.

Для того, чтобы поменять правило проброса на FortiGate, необходимо просто изменить адрес в соответствующем объекте Virtual IP:

Давайте проверим. Снова отправим письмо с компьютера внешнего пользователя. Теперь перейдем на FortiMail в меню Monitor -> Logs. В поле History можно увидеть запись о том, что письмо было принято. Для получение дополнительной информации можно кликнуть на запись правой кнопкой мыши и выбрать пункт Details:

Как видим, и спам, и письмо с вирусом были успешно опознаны.

Данной конфигурации достаточно для того, чтобы обеспечить базовую защиту от вирусов и от спама. Но на этом функционал FortiMail не ограничивается. Для более эффективной защиты необходимо изучить имеющиеся механизмы и настроить их под свои нужды. В дальнейшем мы планируем осветить другие, более продвинутые возможности данного почтового шлюза.

Если у вас возникли вопросы, смело обращайтесь по телефону , почте или заполняйте форму. Специалисты отдела продаж и инженеры помогут с решением задач, касающихся продуктов Fortinet.

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:

VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
WAF: Barracuda WAF;
DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx);
Реализация любых других решений: AlienVault (SIEM).

Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца!

Высокопроизводительное решение по безопасности Fortigate 40-C использует для защиты множество методов, которые позволят обеспечить надежность при работе с сетью в небольших офисах. К таким методам можно отнести гибкий и мощный Firewall, антиспам-фильтрацию, а также антивирус.

Высокая пропускная способность встроенного Firewall’а обеспечит максимально быструю работу с проходящим трафиком и его обработкой. Для Fortigate также характерна работа с VPN, чтобы обеспечить защиту и конфиденциальность данных из точки в точку.

Заключительная особенность устройств Fortigate состоит в том, что оно объединяет в себе множество дополнительных факторов. Наглядно это можно увидеть на рисунке:

В данной статье будет описана первоначальная настройка данного устройства. Управлять им можно несколькими способами: интуитивно понятным веб-интерфейсом, привычной консолью и также через программу FortiExplorer. Выбор может быть любым, главное – насколько это удобно для пользователя.

Настройка первоначальная

Управление через программу происходит посредством USB-подключения по кабелю. Предлагается произвести настройку с помощью мастера Setup Wizard. На главной странице необходимо ввести логин и пароль, стандартно – admin логин, пароль отсутствует.

Далее программа предложит удаленное управление через отдельную линейку Fortigate (FortiManager), но здесь опять же – пользователь сам решает, насколько это необходимо.

Выбираем его, указываем IP-адрес или имя, где расположен менеджер централизованного управления.

На следующем шаге, как правило, предлагается сменить пароль по умолчанию. Меняем, идем дальше.

Теперь – еще одна интересная особенность Fortigate. Пользователю предлагают подключению через двух провайдеров – основного и резервного (как правило, для резерва используется модем). Это хороший шаг для гарантии стабильного подключения.

Настройка Ethernet

Для настройки подключения к провайдеру через Ethernet необходимо выбрать один из трех пунктов: получение адреса из пула DHCP, указание статического IP-адреса или настройка PPPoE-соединения. Для DHCP ввод дополнительных данных не требуется, посмотрим на два других способа.

Подключение по статическому IP:

Подключение PPPoE

В этом основное преимущество работы с программой – необходимо только знать данные, которые требуются для ввода.

Настройка 3G/4G-модема

Здесь все еще проще. Необходимо указать номер телефона, логин и пароль провайдера.

Затем необходимо выбрать способ балансировки трафика между провайдерами. Это может быть круговая балансировка, когда трафик идет «по кругу» - сначала первый доступный линк, потом второй, и когда они заканчиваются – все начинается с первого линка.

Есть также балансировка по весу, когда назначается такой параметр, как «вес» для каждого равнозначного маршрута по умолчанию к провайдеру, на основе которого трафик и его сессии распределяются в процентном соотношении динамически в зависимости от величины (веса) маршрута. Значение по умолчанию – 50% / 50%.

И наконец – балансировка по пропускной способности. Какой вид выбрать – на совести пользователя, в зависимости от важности передаваемого трафика и параметров по его обработке.

Настройка базовая

Теперь, когда прошло ознакомление с интерфейсом ПО, можно приступать к настройке основных функций Fortigate.

Настройка LAN

На данном шаге настраивается внутренний интерфейс: указывается его IP-адрес и маска. При необходимости здесь же можно настроить DHCP-сервер для автоматического назначения адресов устройствам.

Настройка безопасности

Далее идет раздел по безопасности, который позволяет настраивать время доступа в Интернет. Это может быть как Always (всегда), либо определенные временные рамки. Например, если конкретный офис занимается выполнением большого объема задач без использования сети, можно ограничить доступ на какой-то срок. Здесь необходимо смотреть по ситуации. Но вещь достаточно удобная в использовании.

Настройка NAT

NAT – трансляция внутренних IP-адресов в один внешний, используется для выхода трафика из локальной сети в сеть Интернет. Fortigate в этом плане предлагает широкий список настроек.

Дополнительно здесь можно настроить различные фильтры, блокировки и т.п. – как раз все, чем и должно заниматься данное устройство.

Настройка VPN

И наконец – настройка удаленного доступа по VPN – виртуальной частной сети. Данные, которые передаются по VPN, защищены от посторонних глаз.

На выбор пользователю предлагаются SSL VPN и IPSec. Здесь можно сразу завести в локальную базу трёх пользователей для аутентификации по логину/паролю, ключ PSK (Pre-shared Key) для IPSec или до пяти закладок SSL VPN Bookmarks для доступа к нужным серверам из веб-портала SSL.

Все, в конце программа выдаст результат работы. Можно проверить все настройки и в случае чего – вернуться на какой-то этап и отредактировать так, как положено.

Читайте также: