Fortigate防火墙策略课件

《Fortigate防火墙策略课件》由会员分享，可在线阅读，更多相关《Fortigate防火墙策略课件（49页珍藏版）》请在装配图网上搜索。

1、防火墙策略 Q2642662476Fortigate防火墙策略创建防火墙策略的原则创建防火墙策略的原则 策略是按照进出流量的接口部署的流量如果没有匹配的防火墙策略的话，是不能穿过设备的正确理解状态监测，防火墙的策略应以数据流的发起方来判断建立的方向 也就是说，当需要内部网访问外部网时，只需要建立一个从Internal到wan1的允许策略即可Fortigate防火墙策略防火墙策略防火墙策略接口服务NAT/Route保护内容表Fortigate防火墙策略如何创建防火墙策略如何创建防火墙策略 接口与接口与IP地址地址两种类型的地址:IP/IP RangeFQDN域名的方式定义IP范围的多种方式:19

2、2.168.1.99192.168.1.0/255.255.255.0192.168.1.0/24192.168.1.99-192.168.1.105192.168.1.99-105FQDN域名方式防火墙本身的DNS用来解析FQDN地址对象的FQDN解析的缓存时间是由DNS服务器决定的Fortigate防火墙策略如何创建防火墙策略如何创建防火墙策略 选择与定制服务选择与定制服务FortiGate本身内置了六十多个预定义的服务用户也可以自行定义服务，以下协议可以定制:TCP/UDPICMPIP也可以通过组的方式将多个服务组合在一起Fortigate防火墙策略如何创建防火墙策略如何创建防火墙策略

3、定制时间表定制时间表防火墙的基于时间的控制Fortigate防火墙策略如何创建防火墙策略如何创建防火墙策略 选择动作选择动作数据包是根据接口、地址、协议、时间四项进行匹配的，一旦匹配成功后，就根据“Action”来决定操作，不再向下匹配。在建立防火墙策略是，应尽可能范围小的放在前面，范围大的放在后面。在 NAT/Route模式下，防火墙策略还需要判断是否对数据流进行NAT。有以下类型的动作：AcceptDenySSLssl vpn的策略IPSecIpsec vpn的策略Fortigate防火墙策略防火墙策略使用防火墙策略使用“Any”接口接口源或目的接口都可以设置为“any”如果任何一条防火墙

4、策略使用了“any”接口，则只能使用防火墙策略全局视图“any”接口不能用于VIP或IP-poolFortigate防火墙策略两种查看方式两种查看方式Section或者或者Global使用了Any作为接口只能支持Global viewFortigate防火墙策略如何创建如何创建IPv6和多播策略和多播策略所有的IPV6和多播都是通过命令行来配置的IPV6地址可以配置到任一接口IPV6对象和策略 policy6address6addrgrp6多播策略multicast-policyFortigate防火墙策略11IPv6新特性新特性IPv6新特性透明模式管理访问DNS服务UTM防病毒 HTTP

5、is OKURL过滤（FortiGuard、本地分类）IPS特征&应用控制（DoS策略&Sniff策略）Noconfig firewall interface-policy6config firewall sniff-interface-policy6动态路由RIPngBGPOSPF6Fortigate防火墙策略IPv6 DNSFortigate防火墙策略IPv6管理管理Fortigate防火墙策略IPv6 HTTP AVIPv6动态动态路由路由BGPconfig router bgpconfig aggregate-address6config network6config redistri

6、bute6OSPFconfig router ospf6RIPNGconfig router ripngfec0:147:16c/119-wan1fec0:147:72/119-wan1fec0:146:72/119-wan2dst fec2:226:0/119gateway fec2:146:75dst:/0gateway fec0:18:101fec0:18:16c/119 -wan2Router1Router2Fortigate防火墙策略实验一实验一 10.0.x.1只能够访问，而不能访问其他的网站提示：注意以下DNS的问题 没有匹配策略成功的话，那么是拒绝的。Fortigate防火墙策

7、略实验二实验二dmz区有一个代理服务器192.168.3.1 8080，用户希望员工通过代理服务器上Internet，不允许其他的方式上网。Fortigate防火墙策略实验实验三三使用mcast.exe验证组播策略 C:mcast/GRPS:239.1.1.1/SRCS:10.10.11.128/NUMPKTS:1000/INTVL:50/SEND 其中：/GRPS 指定组播地址 /SRCS 指定组播源地址 /NUMPKTS 指定总共发送组播报文的数目 /INTVL 指定发送组播报文的间隔时间，单位为毫秒 /SEND 配置为发送方 在接收端（组播成员）C:mcast/GRPS:239.1.1.

8、1/RECV 其中：/RECV 配置为接受方验证IPv6的策略Fortigate防火墙策略如何设置防火墙认证如何设置防火墙认证用户用户用户对象是认证的一个方法用户组是用户对象的容器 识别组成员 保护内容表和类型实现对成员的认证属性FortiGate基于组的方式控制对资源的访问 用户组和防火墙策略定义了对用户的认证过程Fortigate防火墙策略如何设置防火墙认证如何设置防火墙认证用户种类用户种类支持以下类型的认证:本地用户建立在防火墙上的用户名和密码RADIUS用户取自Radius的用户名和密码LDAP/AD用户取自LDAP服务器的用户名和密码TACACS+取自TACACS服务器的用户名和密码

9、FSAE/NTLM(AD)用户可以实现单点登录PKI基于CA证书(不需要用户名和密码)Fortigate防火墙策略如何设置防火墙认证如何设置防火墙认证用户组用户组用户组名称类别设为防火墙保护内容表与用户组绑定设置组成员Fortigate防火墙策略如何设置防火墙认证如何设置防火墙认证用户认证子策略用户认证子策略启用基于用户的子策略可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志Fortigate防火墙策略功能描述功能描述 所有启用用户认证的防火墙策略将成为“基于用户认证的策略”可以将一条策略拆分成多个子项：用户组 时间表 服务 保护内容表 流量控制 流量日志 Fort

10、igate防火墙策略如何设置防火墙认证如何设置防火墙认证用户认证子策略用户认证子策略说明根据不同的用户组部署不同的保护内容表和流量控制Fortigate防火墙策略如何设置防火墙认证如何设置防火墙认证免责声明免责声明免责声明是在用户正确地输入用户名和密码后，弹出一个页面对访问Internet作出一个说明，该说明可以是免责内容，也可以作为广告使用重定向网页是用户接受免责声明后，转向在这里输入的网址Fortigate防火墙策略认证的次数？认证的次数？默认情况下，例如v3.0MR5+，认证是基于策略的：当一个用户已经在策略1中认证过，当他使用策略2时，需要重新认证。有一条命令可以改变以上情况，变为全局

11、认证 top3 777config system globalset auth-policy-exact-match disableend默认值是enable，所以所有策略都必须一一认证Fortigate防火墙策略认证的次数？例认证的次数？例以上两条策略访问不同的目的地址，而认证用户组是一个。如果auth-policy-exact-match设置成enable，则访问dst1和dst2都分别需要认证如果auth-policy-exact-match设置成disable，则访问dst1和dst2只需要认证一次Fortigate防火墙策略认证事件日志认证事件日志格式化后原始注意：如果一个用户停留在

12、认证界面长时间不操作，也会产生事件日志1 2009-03-18 21:54:06 warning authenticateUser failed to authenticate within the allowed periodFortigate防火墙策略用户监视用户监视-Firewallv4.0的GUI下可以监视已认证的用户Fortigate防火墙策略如何设置防火墙认证如何设置防火墙认证认证时间与协议认证时间与协议当已经认证的用户在没有数据流的情况下，经过“验证超时“后，就需要重新认证能够弹出用户名和密码的允许认证协议如上采用证书方式认证Fortigate防火墙策略认证超时认证超时与v3.0

13、相同config system global set auth-keepalive enableFortigate防火墙策略如何设置防火墙认证如何设置防火墙认证自动刷新自动刷新Keepalive命令行下设置：Config sys globalSet auth-keepalive enEndFortigate防火墙策略实验实验1设置10.0.X.1上网不需要用户认证设置除上述ip以外，上网均需要认证，并且弹出中文的保持存活页面，认证页面也为中文Fortigate防火墙策略地址转换地址转换Fortigate防火墙策略如何设置源地址转换如何设置源地址转换缺省情况下，端口地址翻译为外部接口IP地址Fo

14、rtigate防火墙策略如何设置源地址转换如何设置源地址转换不使用接口地址不使用接口地址地址翻译成指定范围的IP地址防火墙虚拟IP IP池如何来验证Diagnose sniffer packet any icmp 4Ping Fortigate防火墙策略映射服务器映射服务器设置虚拟设置虚拟IP一对一映射端口映射绑定的外部接口外部的IP地址内部的IP地址外部IP端口内部服务器端口Fortigate防火墙策略映射服务器映射服务器设置服务器的负载均衡设置服务器的负载均衡选择使用服务器负载均衡外部的IP分配流量的方式外部的IP端口内部的服务器列表Fortigate防火墙策略映射服务器映射服务器添加允许

15、访问服务器的策添加允许访问服务器的策略略策略是从外向内建立的目标地址是服务器映射的虚拟IP不需要启用NATFortigate防火墙策略实验实验将内部服务器10.0.X.1映射到192.168.11.10X，让旁人ping 192.168.11.10X，然后抓包分析Diagnose sniffer packet any icmp 4Diagnose sys session clearFortigate防火墙策略基于策略的流量控制基于策略的流量控制在防火墙策略中启动流量控制设置。如果您不对防火墙策略设置任何的流量控制，那么默认情况下，流量的优先级别设置为高级。防火墙策略中的流量控制选项设置为三个优

16、先级别（低、中、高）。确定防火墙策略中所有基本带宽之和需要低于接口所承载的最大容量。流量控制设置只有对设置动作为Accept，IPSEC以及SSL-VPN的策略可用。Fortigate防火墙策略流量控制流量控制当前的流量整形器 被用户共享。例如：基于每条策略基于引用该流量整形器的所有策略新的流量整形器 每IP独享每IP最大带宽限制可指定给特定IP地址或范围独立于原有的流量整形器NP2接口不支持，必须关闭fast-pathFortigate防火墙策略每每IP的流量控制的流量控制config firewall shaper per-ip-shaper edit perip set bps 20 /

17、maximum bandwidth in KB/sec(0-2097000)config iplist edit 1 set end 192.168.1.255 set start 192.168.1.0 next end nextendconfig firewall policy edit 1 set per-ip-shaper peripendFortigate防火墙策略流量控制流量控制新的配额限制及记账 共享及独享的流量整形器都可以使用：流量配额 每小时|天|周|月|超限后被隔离产生记账日志Fortigate防火墙策略流量配流量配额额Fortigate防火墙策略将应用层的安全附加在防火墙

18、策略上将应用层的安全附加在防火墙策略上保护内容表保护内容表Fortigate防火墙策略保护内容表保护内容表 说明说明可以进行更细粒度的应用层的内容检测技术防火墙 保护内容表保护内容表涵盖病毒、IPS、Web过滤、内容归档、IM/P2P、VoIP、与以上相关的日志Fortigate防火墙策略保护内容表保护内容表 应用到防火墙策略应用到防火墙策略 保护内容表可以被应用到允许的防火墙策略 如果使用防火墙认证的话，则将保护内容表应用到用户组 可以创建多个保护内容表:单一的保护内容表可以被应用到多个策略上Fortigate防火墙策略实验实验我们将DMZ 192.168.3.254 80 映射到192.168.11.1X1的80端口上 192.168.3.254 443 映射到192.168.11.1X2 443内部用户10.0.X.1 通过公网地址192.168.11.1X3访问internet内部用户10.0.X.2 通过公网地址192.168.11.1X4访问Internet Q2642662476