Поглиблена конфігурація і налаштування брандмауера FortiGate

НЕОБХІДНА ПІДГОТОВКА:

Успішне закінчення курсу “Основи конфігурування та налаштування брандмауера FortiGate” або еквівалентна підготовка.

Необхідні навички:

• Знання моделі OSI
• Розуміння роботи міжмережевих екранів в мережах IPv4

ПРОГРАМА КУРСУ

Модуль 1. Маршрутизація

• Таблиця маршрутизації
• Перевірка цілісності маршрутів за допомогою моніторингу лінків
• Балансування трафіку за маршрутами дорівнює вартості
• Агрегування лінків
• Боротьба з підміною адреси шляхом реверсивної перевірки маршруту
• Заміщення статичних маршрутів маршрутами на основі правил
• Дозвіл петель за допомогою тупикових маршрутів
• Діагностування і корекція проблем маршрутизації
• Лабораторна робота: Налагодження та налагодження маршрутизації

Модуль 2. Віртуальні домени

• Використання VLAN для поділу мереж рівня 2 на сегменти
• Використання віртуальних доменів для поділу пристрою FortiGate на кілька віртуальних пристроїв
• Обмеження виділення ресурсів глобально і для окремого віртуального домену
• Створення облікових записів адміністратора з правами, обмеженими віртуальним доменом
• Маршрутизація трафіку між віртуальними доменами через внутрішні зв’язки
• Лабораторна робота: Віртуальні домени

Модуль 3. Прозорий режим

• Вибір найкращого режиму роботи пристрою
• Сегментування мережі на кілька доменів
• Запобігання широкомовних штормів і перескоку MAC-адрес з використанням пар портів
• Використання пристрою FortiGate мережах з протоколом STP
• Моніторинг таблиці MAC-адрес
• Лабораторна робота: Прозорий режим

Модуль 4. Отказоустойчивость

• Вибір відповідного режиму відмовостійкості
• Розгортання та налаштування отказоустойчивого рішення
• Налаштування синхронізації сесій
• Налаштування протоколу підтримки цілісності сесій (FortiGate Session Life Support Protocol, FGSP)
• Оновлення програмного забезпечення відмов кластеру
• Використання віртуальної кластеризації для забезпечення відмовостійкості віртуальних доменів
• Перевірка правильності роботи відмов кластеру
• Лабораторна робота: Отказоустойчивость

Модуль 5. Поглиблена настройка IPsec VPN

• Вибір відповідної технології VPN
• Режими роботи IKE
• Побудова DialUP VPN між двома пристроями FortiGate
• Побудова DialUP VPN між FortiClient і FortiGate
• Налаштування надлишкових тунелів між двома пристроями FortiGate
• Діагностика побудованих тунелів, по яких не проходить трафік
• Лабораторна робота: Поглиблена настройка IPsec VPN

Модуль 6. Система запобігання вторгнень (IPS)

• Вибір відповідних сигнатур IPS
• Визначення доступності сервісів оновлення сигнатур
• Створення власних сигнатур
• Налаштування сенсорів DoS
• Моніторинг відомих атак
• Поліпшення продуктивності IPS
• Лабораторна робота: Cистема IPS

Модуль 7. Єдина аутентифікація Fortinet (Fortinet Single Sign-On, FSSO)

• Вибір відповідного методу для визначення подій єдиної аутентифікації користувачів
• Налаштування агентів-колекторів і пристроїв FortiGate для прозорої аутентифікації користувачів із застосуванням FSSO
• Моніторинг працездатності і стану системи FSSO
• Лабораторна робота: Єдина аутентифікація Fortinet

Модуль 8. Робота з сертифікатами

• Формування запиту на отримання сертифіката
• Імпорт списку відкликаних сертифікатів
• Аутентифікація користувачів персональними сертифікатами
• Налаштування браузера для довіреної використання сертифікатів в SSL / SSH сесіях
• Діагностика проблем шифрування
• Опис високорівневою шифрування і властивостей зашифрованих даних
• Реалізація інспекції SSL трафіку в FortiGate
• Лабораторна робота: Робота з сертифікатами

Модуль 9. Запобігання витоку даних (Data Leak Prevention, DLP)

• Опис завдань і роботи системи DLP
• Фільтрація файлів і повідомлень
• Різні типи фільтрів для файлів і повідомлень
• Зняття «відбитків пальців» з документів
• Архівне зберігання файлів і повідомлень
• Лабораторна робота: Запобігання витоку даних

Модуль 10. Діагностика

• Визначення нормального режиму функціонування мережі
• Моніторинг відхилень від норми: сплесків трафіку, нестандартних протоколів і т.д.
• Налагодження роботи фізичних і логічних інтерфейсів
• Робота з таблицею сесій
• Використання команди diagnose debug flow для налагодження проходження трафіку
• Діагностика проблем з ресурсами, наприклад із завантаженням процесора і пам’яті, при використанні ресурсномістких процесів
• Тестування образів програмного забезпечення без збереження їх на флеш-диск

Модуль 11. Апаратне прискорення

• Поняття мережевого процесора (NP), процесора контенту (CP), процесора безпеки (SP) і системи на чіпі (SoC)
• Визначення сесій, які можуть бути оброблені мережевим процесором
• Налаштування детектора аномалій на мережевому процесорі
• Налаштування технології Syn Proxy, прискорення роботи IPS і антивіруса на процесорі безпеки

Модуль 12. IPv6

• Протокол IPv6: формат заголовків, адреси, типи адрес, пошук сусідів і автонастройка
• Функціонал FortiOS для IPv6
• Різні варіанти переходу на IPv6 – трансляція, туннелирование, спільне використання
• Активація IPv6 і налаштування інтерфейсів, анонсування префікса
• Порівняння SLAAC і DHCPv6