【简介】学习NSE4,如果只看文章而不动手做实验,就象耍流氓。为了有效的巩固学习到的内容,建议经常动手做实验。实验不怕出错,身经百战后,再在生产环境部署和配置FortiGate防火墙,就会做到胸有成竹。
FortiGate防火墙有虚拟机版本,在support.fortinet.com支持官网上可以下载到各种虚拟环境所需的文件。
点击【Login Now】登录网站,输入用户名和密码,如果没有,可以点击【Register】注册一个。
点击子菜单【Support】,弹出菜单选择【Firmware Download】,即可以进入固件下载页面。注意:能否下载取决于必须至少注册一台FortiGate防火墙,并且至少一台FortiGate防火墙的保修服务没有过期。否则会出现提示并且无法进入下载固件页面。
默认下载FortiGate固件,选择7.2最新版本,可以看到有多个虚拟平台的VM文件。点击文件右边【HTTPS】,即可以下载FortiGate-VM文件。
要想使用下载的FortiGate-VM,还必须安装对应的虚拟机平台。通常我们会选择VMware虚拟机平台。具体安装配置方法,可以查看blog.csdn.net/meigang2012博客分类【FortiGate - 高级篇】-【FortiGate VM】。注意:如果没有FortiGate-VM没有授权,只能试用15天,过期就不能再用了。
除了授权问题外,还有一个问题需要考虑,就是做两台防火墙互联,或复杂一些的三台防火墙互联实险,那么对虚拟机和电脑硬件的要求就变得比较高了。普通笔记本可能就卡死不动了。
虚拟实验环境相对来说成本低,无需购买FortiGate防火墙硬件,如果参与厂家集中的NSE4培训,可以申请测试许可。在一台笔本记本上就可以完成所有实验。
对自学FortiGate技术的人员或电脑操作能力比较差的人来说不是很友好,无法得到FortiGate-VM文件,或得到文件但可用时间也很短。相对复杂一些的实验则对电脑硬件有较高的要求,还需要熟练使用和配置虚拟机软件。另外,VM版本和硬件版本虽然绝大多数内容是一样的,但是还是有部分区别。
FortiGate防火墙硬件分为桌面式和机架式两种。
机架式防火墙价格昂贵,通常部署在访问量大的中心点,比如公司总部,服务器所在地。
FortiGate防火墙桌面式体积小,通常用于人数不多的分公司、分店等场景。主要的目地之一,就是远程访问公司总部服务器。
除了FortiGate防火墙硬件是需要花钱购买的话,其中的高级功能,如反病毒、侵防防御、Web过滤等,也都是需要单独购买的,而且有服务期限,需要每年购买服务,才能起作用。
如果你有一台FortiGate防火墙硬件,你可以直观的了解功能与作用,虽然有桌面式和机架式之分,但是差异很小,在桌面式练习好后可以直接上手配置机架式。在很多实际场景中,会用到两台甚至更多的防火墙。
物理实验环境相对来说成本较高,需要购买FortiGate防火墙硬件,特别是很多实验场景中,会用到两台甚至更多的防火墙。
对自学FortiGate技术的人员或电脑操作能力比较差的人来说比较友好,所见即所得,所有的配置方法和结果,最终都能完美的在生产环境中实现。
通过前面的介绍,相信大家对虚拟实验环境和物理实验环境都有了一定的了解,至于哪种更适合自己,可以做出选择了。但是在做出选择之前,我们还是要多了解一下物理实验环境中的设备。
即然我们学习的是FortiOS 7.2,就要选择可以运行FortiOS 7.2的设备,目前最高版本是7.2.4。
在所有可用FortiOS 7.2的设备中,售价最低的设备就是60E。怎么看出来的?前面数字越大,性能就越好,价格就越高。另外,还可以看到有E系列和F系列,前面数字相同的情况下,F系列比E系列性能更强,价格也就越高。
即然能够运行FortiOS 7.2版本固件的最便宜的设备是60E,那么我们推荐选择带无线功能的FortiWiFi 60E,这是因为在后期实验过程中,需要频繁登录不同的FortiGate防火墙,通过切换WiFi,就可以很轻松的做到,而不需要去频繁的插拨网线。
学习和实验,我们可以选择性价比非常高的二手产品,一是价格能够承受,二是学习完后也可以处理回血。至于二手设备的授权和许可,也可以不用在意有没有。因为FortiGate防火墙绝大多数功能都是免费的,像上网、VPN、SDWAN、映射等等。即使反病毒、入侵防御、Web过滤部分功能等,实验效果也是可以实现的,区别仅仅是库版本较低。
很多自学FortiGate技术的人员,通常的做法是接入家庭宽带,然后再通过公司宽带练习和检验SSL VPN的效果。更需要设备条件和宽带条件的IPsec VPN和SDWAN,则无法实现。其实我也一样,为了验证SDWAN效果,甚至在家里安装了两条宽带。那我们有没有办法,在一张办公桌上,在没有宽带的环境下就能完成远程访问实验呢?
我们用一个最简单的远程访问实验来举例,假设公司FortiGate防火墙后有一台AD服务器,我需要在家中通过SSL VPN远程访问。
换成我们比较容易理解的接口方式,Windows PC要想访问AD Server,首先必须能够访问FortiGate防火墙的外网接口,也就是说,PC的100.64.10.1一定要能够访问防火墙的218.253.83.146这个IP。如果PC和防火墙都接入互联网,那这个问题就不存在了。但是,在没有互联网的情况下,可以实现吗?实际上,这就是一个简单的网关IP互相访问问题,任何路由器都可以解决。
将拓扑图中的互联网当成一台路由器,我们也可以用低端的FortiGate防火墙代替,一个接口配置IP地址100.64.100.254,接入Windows PC,另一个接口配置IP地址218.253.83.145,接入连接服务器的防火墙的Wan1口。然后创建策略,即可以让它们单向访问,也可以让它们互相访问。这样一来,我们只需要一台FortiGate防火墙(推荐ForitWiFi 60E)和另一台当作路由器的防火墙,就能够在不需要宽带的环境下完成远程访问实验了。
同样的原理,增加一台防火墙,即两台防火墙加一台路由器(防火墙代替),即可以完成IPsec VPN等所有实验。并且所有实验都在一张桌上就可以搞定,不需要宽带。
本着举一反三的原则,我们也可以配置两边各二到三条宽带,这样就可以创建SDWAN,通过SDWAN实验,看到SDWAN的工作原理及效果了。
由于充当路由器的防火墙只需要简单的端口互相访问功能,不需要FortiOS 7.2,这里推荐最具性价比的FortiWiFi 60D,推荐原因:接口数量够多,可以支持更多防火墙更复杂的实验,无线方便切换登录不同的防火墙。
终上所述,我们认为学习FortiGate防火墙,物理实验更具操作性和直观性。唯一的成本较高问题可以通过购买并使用二手设备,并且可以学成后卖出回血。
练习用防火墙推荐FortiWiFi 60E(shop35299024.taobao.com),技持FortiOS 7.2(甚至支持刚出来的FortiOS 7.4),自带无线功能,访问不同防火墙快速切换访问。
可以用低端防火墙代替互联网,实现在不需互联网的情况完成所有远程访问实验。低端防火墙推荐FortiWiFi 60D(shop35299024.taobao.com),接口多,同样无线功能可以快速切换访问。
后面我们会通过这两种防火墙,组建远程访问实验平台,模拟真实的业务需求,实时看到配置产生的变化。
