大家好
因我對於Fortinet的產品乃至於防火牆設定的基礎沒有很專業
但對於一些基礎觀念例如port forwarding還知道其意思
目前家中使用Netgear RAX80 WIFI6 router也有在用一些進階設定
例如設備綁定IP, 連線允許, service阻擋等等
網路是用中華電信光世代固6IP 300M/100M
家中有不少聯網設備(包含IoT)
例如PS5, NS, LG TV, LG烘衣機, Blueair空氣清淨機, Philips空氣清淨機, Philips電子門把, iPhone手機, Sony soundbar...etc.
家中兩人使用(我跟我太太)
當然也包含了一般PC以及在工作的公司筆電
有鑑於感覺最近似乎網路被駭客盯上(尤其我又是固定IP比較容易被鎖定)
所以打算一腳踏入Fortinet的世界
目前打算都買二手的
FortiGate 50E買含有UTM授權到2024
FortiSwitch買FS-108D-POE(但我要另外買電源線, 不知道要去哪買?)
FortiAP買FAP-221C(這款有POE, 是否我直接接在FS-108D-POE上就可以供電了?)
請問這樣的組合是否適合?
又另外住家大約34坪
三間房間兩間緊鄰客廳也就是網路設備擺放地點
另一間比較遠一點在廚房旁邊(客廳到這間隔著兩道牆)
比較遠的房間平時RAX80 2.4GHz頻段手機訊號可以收的到
不知道FAP-221C雙頻的2.4GHz是否也可以?
但它本身沒有外接天線
很怕訊號到不了那邊
所以我總結一下我的問題:
1. 我上面列的搭配組合是否ok? 是否可以使用Fortinet資安鐵三角?
2. 有沒有建議的連接方式? 例如AP要接在50E還是108D上? 其餘設備怎麼接比較好?
3. 108D-POE的電源線要在哪買?
4. FAP-221C是否可以直接透過108D-POE供電不用接電源線?
5. FAP-221C的2.4G訊號強度對於34坪的房子是否ok?
先說聲謝謝啦!
lasthero wrote:
1. 我上面列的搭配組合是否ok? 是否可以使用Fortinet資安鐵三角?
2. 有沒有建議的連接方式? 例如AP要接在50E還是108D上? 其餘設備怎麼接比較好?
3. 108D-POE的電源線要在哪買?
4. FAP-221C是否可以直接透過108D-POE供電不用接電源線?
5. FAP-221C的2.4G訊號強度對於34坪的房子是否ok?
1. 搭配OK的,可以做鐵三角
2. 有,108D一定要用port9或port10去接FG50E,FG50E上要定義FortiLink口
2.1 > 221C要接在108D上,不用插電了,
2.2 > 其餘設備接108D上,接口不夠時可隨便在108D上再接SWITCH
3. 電源線不是跟一般電腦電源線一樣嗎
4. 對的,可以
5. 221C訊號很強,2.4G可打到個房間,除非是有金屬門,但會建議開5G,速度會比較快,然後設頻率自動切換,這樣會優先上5G
建議樓主可以先看YT上的影片(建議邊做邊反覆看幾次)
https://www.youtube.com/watch?v=PbbspQZaM-0
如果搞不懂的,再截圖來討論
主要現在的資安困擾來自於防範不能只靠單一入口的防護
所以內部橫向的網路流動,如終端到Server之間
並不會有任何新世代防火牆NGFW的資安檢核
而我們並不能確定各終端是安全無虞的
當然,最新的技術是做ZTNA(零信任存取)
或是最新的終端檢核EDR/XDR
不過恐怕連企業也很難有預算做足
而資安鐵三角卻在很少的費用下
可以做到跨區域流量經NGFW做資安檢核
是可負擔的基礎資安網路建置
在下猜想這是樓主之所以採用的緣故
所以不是大門有防火牆或IPS就有資安
資安鐵三角的概念雖然簡單
實做起來卻牽涉到許多重要的資安觀念與經驗
想要做到位也不是隨便廠商就能搞定
更何況50E還有SD-WAN的負載平衡與多撥系統
官方YT頻道也有許多技術影片(在下非官方)
有興趣的可以慢慢看
https://www.youtube.com/watch?v=PbbspQZaM-0
在這段教學影片上大約27:10的地方說明如何針對FortiSwtich上的VLAN開啟CAPWAP功能
但我在循著這影片一步一步做到這個地方後
卻在我的50E上沒看到CAPWAP這個選項可以讓我打開
教學影片上的60E有CAPWAP
我的50E上面沒有CAPWAP
請問是我哪邊設定上的問題導致CAPWAP沒有出現嗎?
目前設備的接法是
50E port 5 -> 108D port 10
221C -> 108D port 8 (POE)
原本以為按照影片設定是設定Switch port 1~4到VLAN_10下然而我是插AP到Switch port 8造成沒有CAPWAP
所以我自己又另外建了VLAN_20然後assign Swith port 5~8給它
但進去看VLAN_20底下管理存取也沒有出現CAPWAP
所以不知道問題是發生在哪邊
lasthero wrote:
自問自答, 那個Security Fabric Connection就包含了CAPWAP, 把它選起來後就可以讓FortiGate與FortiAP溝通了.
自問自答,
那個Security Fabric Connection就包含了CAPWAP,
把它選起來後就可以讓FortiGate與FortiAP溝通了.
只是現在又碰到另一個問題,
為何FortiGate可以偵測到並授權FortiAP,
但FortiAP顯示連線後,
卻從Managed FortiAPs列表中消失?
在Physical Topology上可顯示AP已正常連線:
但在Managed FortiAPs列表中卻消失了:
但如果我把FortiAP重開機,
在正常connected狀態之前(disconnected狀態),
它是會顯示在Managed FortiAPs列表中,
但一旦完成連線狀態後,
就會從列表中消失......
還有個問題,
為啥我的Physical Topology都不會顯示已連接的devices,
我查過所有Network Interface都有打開Device Detection功能......