學校的FortiGate110C使用至今已12年,在產品生命週期到達後韌體版本停在v5.2就沒機會往上升了,且因無法再購買UTM授權,許多資安防護的功能只好捨棄,剩下的功用大概就僅存針對學校內外網做開門關門的動作、看看流量與行為是否有異狀而已。
不過最近李老師提供機會讓我能體驗到新款的FortiGate防火牆,12年來110C在學校從沒出過問題,操作容易上手之外,Web Filter內容過濾讓我可以專心上課再也不用想方設法去阻擋學生偷玩遊戲與連上不當網頁的問題,IPS入侵偵測在第一時間就能把危機阻斷,AV搭配校內的ApexOne防毒伺服器也讓學校即使之前在自管校網與DNS時期都幾乎沒遇過甚麼資安事件,歷年來的弱點掃描也都是完全pass,在舊版校網時甚至很高比例學校會被掃出的弱點,我們校網弱掃的報告中依舊是連一條資安風險都沒有,這些原因都讓我對Forti的產品印象大大加分,能夠試用當然是求之不得的。
在與原廠洽談過程中得知Forti要提供測試的是一整套解決方案而並非只有防火牆,內容就是有在與電信商合作的企業方案資安鐵三角,內容包含從防火牆(FortiGate)-L2交換器(FortiSwitch)-無線網路基地台(FortiAP),而且可以直接把L3負責的路由工作交給FortiGate來處理,最終敲定到校驗證性測試(POC)的設備型號為FortiGate-101F、FortiSwitch-124F、FortiAP-231F這三款。
本次POC測試架構經Forti顧問Marty及代理商聯達的William一行專家團隊到校場勘後決定將校園網路既有的110C防火牆與L3 Switch都by pass改由FG-101F取代,由於既有110C防火牆是採通透模式的架構,WAN端的中華電信光纖做在L3身上,所有進出流量都得在進入L3之後先送到上一層110C防火牆過濾後再將封包丟回L3才決定往內的L2或WAN端進出。
而這次測試的FG-101F本身自帶光纖埠,所以中華電信進到學校的光纖可以直接放到防火牆上,原本的通透模式改成了NAT模式,所有進出過濾在防火牆上處理完就能直將將流量往L2內送或WAN端外丟,路徑上可以少走一層省去為了過濾繞來繞去的時間,簡化了流量反覆在L3進出的路線,在架構上也更容易理解。
架構做好之後陸續增加了一些policy,記錄幾項個人覺得很棒的地方,跟既有的110C相比有些是全新功能,有的算是溫故知新…
一、安全織網 (Security Fabric)
學校既有的110C使用了12年,所以基本上對FortiGate的操作並不算太陌生,但新架構上線後也還是需要花一點時間摸索新介面與功能,其中第一個覺得很棒的新功能是安全織網(Security Fabric),進入Physical Topology後會自動畫出校內網路架構拓樸圖。以下圖為例,在FG-101F底下有串一台FS-124F以及FAP-231F上來,目前從FS-124F交換器連線上來的設備數量有282個裝置,而FAP-231F基地台連線的用戶端有4個。
將滑鼠游標移到不同色塊上會顯示裝置類型、數量、占比等資訊
直接展開+字號呈現的就是各種連線上來的設備資訊
點入其中一台電腦就能清楚知道台設備的使用者帳號、電腦名稱、IP位址、mac、vlan、作業系統版本、網路拓樸路徑與網路用量等實用資訊,很棒的是校內老師登入電腦都須使用個人的AD帳號,所以萬一被通報資安事件時,是誰用的想賴都賴不掉。
無線網路的用戶連線情形一樣能抓到
也能撈出校務系統認證過的使用者帳號
假設有需要尋找特定裝置時,不論是輸入裝置IP、設備名稱、mac等資訊都能透過安全織網迅速找出設備連接的端點位置,非裝置所在的拓譜會反白,僅裝置所在的連線端點能顯示正常色彩
一樣展開+字號後,非查找的裝置會全數反白,讓你一眼就能辨識裝置所在。
實際點選裝置後就能取得更多資訊…
離開Physical Topology進入 Logical Topology 可以呈現出校內各vlan連線上來的裝置數目,一樣點進各vlan可以取得線上裝置相關資訊
展開後一樣可以看到裝置資訊
另外在安全織網中可以得知安全評比(security Rating)等資訊,雖然我不太瞭解這邊的資訊所代表的意義,但其實應不難得知目前在安全防護的評分上並不太理想,因為一方面我沒有在Policy帶上太多或嚴格的AV、APP、WEB、IPS、DNS、SSL…等過濾機制,另一方面因為是POC所以Security Profile是處於沒有License的狀態。
小結:
試用過安全織網(Security Fabric)之後, 會感覺很像是在操作一套智慧網管的資安系統,體驗感受就是快、狠、準,不像另一套是在培養耐心用的(~閃人)。
二、取代L3 Switch
1.路由設定
101F支援靜態路由與政策路由,靜態路由可以做得很單純,全部向外丟到WAN端Gateway即可
2.DHCP Relay
原本做在L3裡頭的 DHCP Relay 在Forti裏頭是L2的功能,在Forti Switch VLANs新增VLAN時,即可順手將各網段指向各自的DHCP Relay Servers,基本上L3對學校而言,除此之外也沒有什麼其他多重要非存在不可的功能了。
小結:
兩個重要的L3小功能,在Forti設定上也並不繁瑣,好處是可以免去管理一台L3 switch的設備,這樣想想倒是挺美好的。
三、FortiLink (802.3ad Aggregate)
因為原廠POC帶了一整套資安鐵三角解決方案的設備進來,因此有機會見識到Fortilink的厲害之處,以往在網路設備接電腦或網路設備串接希望做到頻寬堆疊或負載平衡時,需要在伺服器端做Teaming或在交換器上設定好要綁在一起的port做LACP或Trunk,現在只要預先在Fortilink成員上定義好連接介面例如第17、18埠,就可以跟要對接的交換器達到擴充頻寬的效果,非常的簡單與方便。
設備串接後,在Forti Switch上看到的第23、24埠的Native VLAN就是FG-101F了
四、WiFi and Switch Controller
原本就知道FortiGate可以當作AP控制器,學校舊的110C也支援此功能,只是當初看過Forti AP的價位後就讓我打退堂鼓了,而且110C當初能支援到Giga的也就只有WAN1與WAN2兩個介面,其餘都只能支援到100M,因此長久以來從沒考慮過要為了這個控制器的功能去買Forti AP。這回藉由POC的機會總算是讓我等到了。
1.AP Controller
FortiGate可以列出納管在其中的Forti-AP,目前環境中只有一台FAP-231F,位置在R215電腦中心
透過WiFi Clients可以查詢目前連上線的許多設備資訊,包含IP、MAC、AP名稱、VLAN、驗證方式、SSID、頻譜、radius驗證的帳號、裝置名稱…等
WiFi MAPs可以放上學校平面圖,然後可以將AP裝置拉到平面圖位置,同時裝置上會顯示目前連上線的WiFi Client數
經過測試,幾個新北無線網路架構中的SSID都能正常介接上來
vlan30、31的安全模式要使用Captive Portal,Portal type選擇External Authentication,然後要輸入瀏覽器驗證網址,驗證完成後重新導回就輸入學校網址,下方要記得指定vlan id。
Radius寫入兩組連線IP與通關密語
WPA2和eduroam向來是比較推薦老師們個人使用的網段,安全驗證就是WPA2 Enterprise,一樣要使用前面新增的Ntpc-Radius去驗證教師個人校務系統帳號。
最後在新增SSID過程中,須要透過mac驗證的vlan32、34、36這幾個網段我一直做不出來,但是神奇的Derek幫我解密,告知驗證與vlan不用綁在一起,以及acom驗證mac需要的Radius跟我原先做給WPA2 Enterprise驗證教師帳密的Radius是一樣的,所以只要拿其他vlan來給Mobile使用就一樣能做到去跟acom驗證mac的結果。 哦 ,傑克,這真是太神奇了!哦,不是傑克,是德瑞克~
2.Switch Controller
先前有提到FortiGate可以管理FortiSwitch,當我們透過Fortilink與FortiSwitch接上線後在左側Managed FortiSwitch選項中就會看到能管理的交換器,本次POC帶來的設備型號是FS-124F,在此可以看到韌體版本
點選進入可管理的交換器後,如有新版韌體可更新也會出現提示通知,但更新前記得去官網做功課,確認好Upgrade Path等資訊才能避免發生悲劇。
校內需要的vlan寫在FortiSwitch VLANs
設定VLAN時跟以往設定L2 vlan的方式有一點不同,差別在於目前L3 switch拿掉了,所以每個vlan原本在L3內網LAN的interface ip要在這邊寫入,正常來說就是各校原本的各vlan的gateway ip。
需要設定納管的FortiSwitch時,進入左側FortiSwitch Ports,這邊會列出這台FS-124F所有的介面,例如下圖這台FS-124F第20埠是校內L2串上來的路徑,就設定Native VLAN為default,Allowed VLANs帶上校內全部vlan id即可。
小結:
看到Controller就嗨了,FortiGate除了是防火牆,現在不但兼任L3的工作,還充當起交換器與無線網路基地台的控制器,不但能從FG上管理L2交換器的設定之外,同時還能進行AP的設定,感覺真是一兼二顧,摸蜊仔兼洗褲的概念,買一台設備可以換來這麼多的用途…真是好棒棒~