【2020 Fortinet 線上 Solution Day】
感謝各位經銷夥伴參與「2020 Fortinet 線上 Solution Day」,對於各位經銷夥伴提出的問題整理如下:
01. 請問NP7是什麼的縮寫呢?
Network Processor 7。
02. 現有機型會逐漸下架嗎?還是併行?
現有機型不會提早下架。
03. SD-WAN zone 與 Security Zone 有何差別?
SD-WAN Zone 是參與 SD-WAN 配置介面的子集合,將要參與 SD-WAN 應用的介面加入 SDWAN Zone,可在 SD-WAN Rule 中使用 Zone 來做設定,方便管理配置。
04. NAC 可以搭配那些第三方 SWitch ? 又會有那些功能做不到?
要搭配第三方 Switch 的話,請使用 FortiNAC 產品解決方案。
05. SD-WAN license , FMG 最低之版本?
若要使用 SD-WAN Orchestrator Entitlement License (訂閱式授權),則需要 6.4 版。
06. SD-WAN集中由FortiManager 管理設定,在 6.4 版就要在 Fortigate 上購買 SD-WAN Orchestrator Entitlement License 是嗎?
FOS 6.4 版的 SD-WAN由 FortiManager 中央管理設定並不一定需要 SD-WAN Orchestrator Entitlement License。FortiManager 在 6.4 版新增 SD-WAN Orchestrator 功能,主要是在定義的 SD-WAN 架構下提供另一種便利的配置管理模組。只有在使用 SD-WAN Orchestrator 管理模組,才需要在 FortiGate 上購買 SD-WAN Orchestrator Entitlement License (訂閱式授權)。
07. SD-WAN Orchestrator Entitlement 目前在 6.4 版就要買到 360 Protection,有關 SD-WAN 的授權可以單獨搭配其它 Bundle License 嗎?
SD-WAN Orchestrator Entitlement License (訂閱式授權),可以單獨選購。
08. 請問一下,FG+FS 啟動 NAC feature on FortiSwitch 後,辨識方式是 per session? or per port?
FortiGate+FortiSwitch 啟動 NAC 功能後,是透過 FortiSwitch 介面埠來辨識終端設備。
09. FortiDemo 如果不是 NSE7/NSE8 Partner,有其它方式可以做單次性申請嗎?
FortiDemo 並不提供單次性申請,只提供給具備 NSE7/NSE8 認證並取得 Fortinet Development Network 帳號的經銷夥伴。
10. SD-WAN Orchestrator License 是 subscription 還是 Perpetual 的
FortiManager SD-WAN Orchestrator 授權為訂閱式授權 (subscription)。
11. FG 可以兼顧 兩種 profile 角色嗎 ?
FortiGate 一次只能指派一個 FortiManager SD-WAN Orchestrator Profile。
12. FortiSOC 和 Forti-SIEM 差別? 應用場景如何取捨?
FortiAnalyzer FortiSOC 功能用在 Fortinet 產品聯動協防,FortiSIEM 提供跨品牌產品聯動協防,FortiAnalyzer FortiSOC Playbook 可提供視覺化的自動化事故反應流程制定,FortiSIEM 則透過設定告警事故通報政策 (Notification Policy) 來定義自動化的事故反應流程。
13. POC 如果測試 FortiSIEM Agent ,可以只有 super 嗎?
必須要安裝 Collector來收集 FortiSIEM Windows Agent 傳回來的資訊。
14. 要看到 MITRE 的 dashboard ,需要收集那些設備的 log , firewall ? Server? or…
FortiSIEM MITRE 儀表板是依據內建的關聯規則 (rules) 的子類別來對應 MITRE 的各個階段,收集的資料則是越多種類越好,藉以觸發內建的關聯規則來對應 MITRE 的不同階段。使用者也可自訂義關聯規則來對應 MITRE 的不同階段。
15. 請問講師,FortiEDR 是否需要在終端設備裝插件,如果要,一些特別的 OS 或自帶的手機要怎麼裝
FortiEDR 需要裝 Agent,支援 Windows、Mac、Linux(RedHat、CentOs、Ubuntu),舊的 OS 也支援如下: Windows XP、Windows 2003、Windows embedded、Windows Core。 Agent 可以使用 GPO 安裝或單機安裝。FortiEDR 目前不支援行動裝置。
16. 請問講師:按照這樣的運作,在 Fortigate 開 deep scan 就可以了,有需要一定用 WSG 嗎? 請說明差異性
現在攻擊趨勢大部份來自 SSL 加密流量,所以深層控管包括解密及細緻的上網政策是必要的,FortiGate 定位在內對外或內對內所有流量安全防護控管,如果在 http/https 也像 SWG 這樣檢查,效能及 latency 會有影響;建議獨立的 SSL 解密及上網控管才能給與使用者最完整的保護及瀏覽體驗。
17. 嗨,依照 SAMPLE 的架構,FG 怎麼跟 Proxy 做串聯呢?串接後是否有 FG 的版本限制
PROXY 部署方式十分彈性,如果和 FG 整合可透過 PBR,沒有版本限制。
18. 一照第 17 頁,FG 有 LIC,SWG 是否要重複購買又或者 SWG 能夠取代 NGFW
NGFW+SWG 是 cyber security 完整的解決方案,授權需要另外買,但 SWG 主要著重在 WEB,而 NGFW 是內對外所有流量安全防護控管,並不衝突。
19. 應用程式的特徵碼是否會有不精確,最近 Line 在 FG 有不準的狀況
SWG 除了有豐富的應用程式資料庫,亦可透過 Policy 做到一些客製化控管。
20. 有幫忙轉換 config 的工具嗎 ? proxysg to forti-proxy
有 FortiConverter 可以轉 Policy 及 Object。
21. User 在 browser 上,mouse 操作的行為可以完全不改變嗎? EX : Mouse 右鍵帶出來的功能列表都可以完整呈現並正常運作
滑鼠右鍵目前未支援 Native。
22. g 甚麼時候會支援中文化的 browser ?
如果是管理介面,目前已支援。
23. 誰做檔案掃描? 檔案落地的程序與方式? 當 Web Server 會偵測來源國碼或 browser 語系來給予正確的內容,這要如何解?
Proxy 本身支援檔案掃描,如果整合 Isolator 會直接在 Isolator 掃描,不建議將所有網站導向 Isolator,建議有條件的導向,如:網站類別、Geolocation。
24. 不如跟 GIGAMON 比對跟競爭一下吧,謝謝。
GIGAMON 雖有 SSL 解密功能,但它不是 SWG,本身也無提供上網管控,無法比較。
25. FB login 會支援 SSO,所以 Isolator 也會支援這種操作嗎? 這屆不需要每次都輸入 Username/paddword
Yes,不會因為導向 Isolator 而需要每次都輸入帳號密碼,但不建議將所有網站導向 Isolator,建議有條件的導向,如:網站類別、Geolocation。
26. 請問 FortiProxy 透過 ICAP 整合 DLP 時 可以帶出 使用者登入資訊嗎? 例如: WINNT://domain/username 等例如: WINNT://domain/username 等
可以,ICAP 整合 DLP 可帶使用者名稱及群組,亦可透過設定關閉。
27. proxy 與 NGFW 有多少功能友可以互相取代的? 有哪些是 proxy j 無法被取代的?
定位不同的產品不應拿來比較,而是互補提供最佳的解決方案,現在威脅都是來自 http/https,有獨立的 SWG 才能提供最完整的保護也不會影響使用者上網。
28. 各種產品的 TAC 台灣支援那些?不希望客戶買了之後有問題 TAC 還須轉由國外作處理。
可以要求台灣 TAC,如果台灣無法支援,也會盡量安排會說華語的 TAC,或是要求 Account SE 協助處理。
29. 針對同一 IP 有多個不同 domain 的 web server 也可以做嗎?
可以。
30. 那 SSL offload 也是可以嗎?
Reverse Proxy 支援 SSL Offload。
31. 佈署模式有哪幾種 ? inline , reverse proxy , ?
Reverse Proxy、Offline Protection、True Transparent Proxy、Transparent Inspection、WCCP。
32. 可以透過 DHCP 派送 FG IP 並指定 FMG 的 IP 嗎?
可以的。DHCP 伺服器 option 240 and 241 可提供 FortiManager 的 IP 與 Domain Name 資訊。FortiGate 的介面預設 DHCP Client Mode 可以接收 DHCP 派送的 FortiGate IP 資訊以及 FortiManager 的 IP 與 Domain Name 資訊。
33. QoS monitor 可以支援 end-to-end 嗎? 也就是支援流量經過的每個 SD-WAN f 設備上的每一段 QoS monitor,而不需要去每個 Interface 看 QoS 的狀況
FortiManager QoS monitor (Monitoring traffic shaping) 是基於設備介面之 QoS 監看,詳情請參考連結。
34. 想請教 FortiTester 是否有完整功能的 Trial license for vm ?
目前 FortiTeset VM 提供的 Trial License 只有 Performance Test 功能,並無 Security Test。
35. 可以根據 MITRE ATT&CK 的方式做 test ?
根據 FortiTester 內建的 MITRE ATT&CK 攻擊技術進行測試。
36. 那會產出 MITRE ATT&CK report 顯示被測者通過或那些項目有所欠缺?
會顯示 FortiTester 內建 MITRE ATT&CK 攻擊技術項目的測試結果。
37. fortinac 需要授權嗎?
需要,客戶可選擇硬體或 VM 版本。
38. 所以需要搭配設備檢測授權一起使用嗎?
目前 FortiNAC 需要授權外還需計算 Switch 所使用的 Port 數與 AP 數量。
39. 使用者是否需要安裝 agent?
FortiNAC 也支援 Agentless。
40. 安裝 agent 與不安裝 agent 差別在哪?
請聯絡 Fortinet SE 做進一步說明。
41. 希望針對技術面的東西開課
今年因應 COVID-19 沒有開辦實體課 2021 會有線上與實體 LAB 課程,2021 也會加開收費的 NSE4567 課程,NSE 技術線上課程目前可以參考
https://training.fortinet.com/
https://partnerportal.fortinet.com/English/
42. ForiOS 6.4 新功能 "Support UTM inspection on asymmetric traffic in FGSP",如果對一般的 session (hit 沒有啟用 UTM 的 policy 的 session) 也發生 asymmetric traffic (traffic from the internal network first hits FGT_1, but the return traffic is routed to FGT_2),是否也有作用? 也就是對一般的 session 是否也會 always forwarding traffic back to the session owner for processing ?
是的,對於非 UTM policy 也可使用。
43. FortiAnalyzer soar License 怎麼計算費用?
FortiAnalyzer SOAR (FortiSOC) 新功能採每年訂閱式授權 (Appliance)。
44. SDWAN 是否支援 INBOUND MULTIHOMING
FortiGate SD-WAN 目前不支援 INBOUND MULTIHOMING,此功能可使用 FortiADC 產品解決方案。
45. 目前 6.0/6.2/6.4 哪一個版本適合在客戶端環境使用
這必須依照客戶環境來做選擇,請聯絡 Fortinet SE
46. Sdwan 新功能除了偵測 MPLS line 頻寬,ADSL line 頻寬亦可以偵測?
FortiGate SD-WAN support ADSL 線路,若已知 ADSL 之電路上下載頻寬數據,可於接取之介面上透過 Estimated Bandwidth 將其定義 https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/428376/configuring-interfaces
另外 FortiOS 6.4 版本支援 Interface speetest 功能,可執行電路頻寬測試於該接取介面之任何電路型態,並會將測試後之數值填寫入 Estimated Bandwidth 欄位。Interface speedtest 功能需另購 SD‑WAN Network Monitor license 方能啟用。
https://docs.fortinet.com/document/fortigate/6.4.0/new-features/242445/interface-speedtest
47. 考取授權的訊息?
今年因應 COVID-19 沒有開辦實體課 2021 會有線上與實體 LAB 課程,NSE 技術課程目前可以參考
https://training.fortinet.com/
https://partnerportal.fortinet.com/English/
NSE123 可在線上進行測驗,NSE45678 須透過 VUE 的考試中心進行
https://training.fortinet.com/local/staticpage/view.php?page=certifications
48. 期待 6.4 技術課程
今年因應 COVID-19 沒有開辦實體課 2021 會有線上與實體 LAB 課程,2021 也會加開收費的 NSE4567 課程,NSE 技術線上課程目前可以參考
https://training.fortinet.com/
https://partnerportal.fortinet.com/English/
49. 客戶有二台 60E FortiOS V6.4.2 但不知為何 Menu 內容不太一樣
請確認開啟的功能選單顯示配置是否一致。若開啟的功能選單顯示配置一樣,請聯絡經銷商開 TAC Case 處理。
50. 有寫 75% 製造都在台灣,那 FortiSw&WIFI TAC 為啥都是國外呢?
Fortinet 產品是全球銷售,台灣只是做產品生產,TAC 是提供產品售後技術服務與產品生產地沒有直接關係。
51. 可否提供更多的 Automation 參考資訊
請參考 FortiOS 相關手冊 – Automation Stitches
https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/139441/automation-stitches
52. 請提供考證照的資訊。謝謝
今年因應 COVID-19 沒有開辦實體課 2021 會有線上與實體 LAB 課程,2021 也會加開收費的 NSE4567 課程,NSE 技術線上課程目前可以參考
https://training.fortinet.com/
https://partnerportal.fortinet.com/English/
53. 建議提供 FortiGate 舊換新方案
目前沒有相關方案,內部將進行相關評估,感謝您的建議。
54. (1) 要看到 Mitre 的 dashboard ,需要什麼樣的資料? Firewall? Server..
FortiSIEM MITRE 儀表板是依據內建的關聯規則 (rules) 的子類別來對應 MITRE 的各個階段,收集的資料則是越多種類越好,藉以觸發內建的關聯規則來對應 MITRE 的不同階段。使用者也可自訂義關聯規則來對應 MITRE 的不同階段。
55. (2) FortiAI 要收集那些資料才能夠看到攻擊的分析鑑識報告? 每台機器裝 Agent 嗎?
FortiAI 不需要裝 Agent,可透過下列二種方法分析。
(1) FOS 6.4 可以和 FortiGate 協同,FortiGate 將檔案送到 AI 分析
(2) Mirror 網路流量給 AI 分析 (Mail、Web、SMB)
56. FAZ 的 License 銷售類別差異,FortiAI 是 VM 還是 Appliance,一直置放在客戶端,怎麼應對新的潛在威脅?
FortiAnalyzer 授權主要可分 Appliance (隨機體型式)、VM (永久授權或訂閱式授權)、Cloud (Saas 訂閱式授權),詳情請參考此次線上分享。
FortiAI 有 VM 版,也有 Appliance 版本,差異在於效能,Appliance 版本具有特製 GPU 可加速機器學習的運算。FortiAI 在出貨前會預先載入 600 萬以上的學習規則/特徵值,它的學習和判斷會按照這些預載的機器學習資料庫和模型 (MODEL),綜合判斷新的潛在威脅。
57. 還請提供 FotiSIEM 可以收集不同廠牌設備 log support list
請參考 FortiSIEM 手冊 External_Systems_Configuration_Guide.pdf 內有詳盡的清單。
58. 這和 nreport 的對比?
FortiSIEM 是次世代 SIEM 平台,遠非一般日誌 /flows 收集系統加上有限的監看和報表功能可比,請聯絡 Fortinet/ 經銷商業務做進一步說明。
59 請問,Forti AI 只有分析功能?有沒有類似防火牆的阻擋功能? Fortianalyzer V6.4 版本能向下支援 FortiGate V6.2 以下版本的 LOG 與分析嗎?
FortiAI 可作為虛擬安全分析員 (Virtual Security Analyst),提供次秒級的威脅分析偵測,可聯動 FortiGate 進行阻擋,亦可透過 SOC 維運人員進行手動或整合其他系統來聯動協防。 FortiAnalyzer 與 FortiGate 的相容性請參考
https://docs.fortinet.com/document/fortianalyzer/6.4.0/compatibility-with-fortios
60. FAZ 是否有促銷的 bundle 方案,好與 FG 搭配?
目前沒有相關方案,內部將進行相關評估,感謝您的建議。
61. FortiProxy 是用 Concurrent User 數 還是總人數?
Concurrent Users。
62. (1) edr 跟 nac 都是要裝 agent,是個別安裝? 最大差別在哪了?聽起來都可以看到終端上面使用者的一些資訊,比對異常後做封鎖。
EDR 跟 NAC Agent 是不一樣的功能,EDR 是做惡意程式防護與鑑識的解決方案。NAC 主要是作為網路存取控管。
63. (2) fortiproxy 跟 fw 好像最大差別在 catch 瀏覽跟隔離瀏覽,其他功能差不多,那這樣再買 fortiguard 授權保護部分,就要買兩份嗎?
Yes,授權要分別買,定位及保謢的深廣度不同,FW 是廣度,Prxoy 是深度,如要做到深度控管就應要有獨立的設備。
64. EDR 的 license 計算方式
EDR 主要是依 User 數來買授權。
65. Forti-Manager SOC Monitor 功能是內建還是要額外 Order License Fortinet SD-WAN 可以將 VoIP/ 視訊會議平均分散之多條線路傳送嗎?是否有啥條件或限制?
SD-WAN 可執行 per-session loadbalancing 在多條線路上傳送。 (SD-WAN Rule select Maximize bandwidth (SLA) strategy mode),建議使用 FortiOS 6.4.2 版本執行此功能。
66. 有關 FMG 及 FAZ 的授權購買,是否有更詳盡說明 Fortiauthenticator 可否與 office365 帳號做認證結合
有關 FMG 及 FAZ 的授權購買,請聯絡 Fortinet/ 經銷商業務做進一步說明。
FAC 目前沒有與 O365 的認證做結合,會將此需求提交內部。