《Fortigate防火墙策略.ppt》由会员分享,可在线阅读,更多相关《Fortigate防火墙策略.ppt(49页珍藏版)》请在三一文库上搜索。
1、防火墙策略 Q2642662476,创建防火墙策略的原则,策略是按照进出流量的接口部署的 流量如果没有匹配的防火墙策略的话,是不能穿过设备的 正确理解状态监测,防火墙的策略应以数据流的发起方来判断建立的方向 也就是说,当需要内部网访问外部网时,只需要建立一个从Internal到wan1的允许策略即可,防火墙策略,接口,服务,NAT / Route,保护内容表,如何创建防火墙策略 接口与IP地址,两种类型的地址: IP / IP Range FQDN域名的方式 定义IP范围的多种方式: 192.168.1.99 192.168.1.0/255.255.255.0 192.168.1.0/24 1
2、92.168.1.99-192.168.1.105 192.168.1.99-105,FQDN域名方式 防火墙本身的DNS用来解析FQDN地址对象的 FQDN解析的缓存时间是由DNS服务器决定的,如何创建防火墙策略 选择与定制服务,FortiGate本身内置了六十多个预定义的服务 用户也可以自行定义服务,以下协议可以定制: TCP/UDP ICMP IP 也可以通过组的方式将多个服务组合在一起,如何创建防火墙策略 定制时间表,防火墙的基于时间的控制,如何创建防火墙策略 选择动作,数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功后,就根据“Action”来决定操作,不再向下匹配。
3、在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。 在 NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。 有以下类型的动作: Accept Deny SSLssl vpn的策略 IPSecIpsec vpn的策略,防火墙策略使用“Any”接口,源或目的接口都可以设置为“any” 如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略全局视图 “any”接口不能用于VIP或IP-pool,两种查看方式Section或者Global,使用了Any作为接口只能支持Global view,如何创建IPv6和多播策略,所有的IPV6和多播都是通过命令行来配置
4、的 IPV6地址可以配置到任一接口 IPV6对象和策略 policy6 address6 addrgrp6 多播策略 multicast-policy,IPv6新特性,IPv6新特性 透明模式 管理访问 DNS服务 UTM 防病毒 HTTP is OK URL过滤(FortiGuard、本地分类) IPS特征 & 应用控制(DoS策略 & Sniff策略)No config firewall interface-policy6 config firewall sniff-interface-policy6 动态路由 RIPng BGP OSPF6,11,IPv6 DNS,IPv6管理,IPv6
5、 HTTP AV,IPv6动态路由,BGP config router bgp config aggregate-address6 config network6 config redistribute6 OSPF config router ospf6 RIPNG config router ripng,fec0:147:16c/119 - wan1,fec0:147:72/119 - wan1,fec0:146:72/119 - wan2,dst fec2:226:0/119 gateway fec2:146:75,dst :/0 gateway fec0:18:101,fec0:18:1
6、6c/119 - wan2,Router1,Router2,实验一,10.0.x.1只能够访问,而不能访问其他的网站 提示: 注意以下DNS的问题 没有匹配策略成功的话,那么是拒绝的。,实验二,dmz区有一个代理服务器192.168.3.1 8080,用户希望员工通过代理服务器上Internet,不允许其他的方式上网。,实验三,使用mcast.exe验证组播策略 C:mcast /GRPS:239.1.1.1 /SRCS:10.10.11.128 /NUMPKTS:1000 /INTVL:50 /SEND 其中:/GRPS 指定组播地址 /SRCS 指定组播源地址 /NUMPKTS 指定总共发
7、送组播报文的数目 /INTVL 指定发送组播报文的间隔时间,单位为毫秒 /SEND 配置为发送方 在接收端(组播成员) C:mcast /GRPS:239.1.1.1 /RECV 其中:/RECV 配置为接受方 验证IPv6的策略,如何设置防火墙认证用户,用户对象是认证的一个方法 用户组是用户对象的容器 识别组成员 保护内容表和类型实现对成员的认证属性 FortiGate基于组的方式控制对资源的访问 用户组和防火墙策略定义了对用户的认证过程,如何设置防火墙认证用户种类,支持以下类型的认证: 本地用户 建立在防火墙上的用户名和密码 RADIUS用户 取自Radius的用户名和密码 LDAP /
8、AD用户 取自LDAP服务器的用户名和密码 TACACS+ 取自TACACS服务器的用户名和密码 FSAE / NTLM (AD)用户 可以实现单点登录 PKI 基于CA证书(不需要用户名和密码),如何设置防火墙认证用户组,用户组名称 类别设为防火墙 保护内容表与用户组绑定 设置组成员,如何设置防火墙认证用户认证子策略,启用基于用户的子策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志,功能描述,所有启用用户认证的防火墙策略将成为“基于用户认证的策略” 可以将一条策略拆分成多个子项: 用户组 时间表 服务 保护内容表 流量控制 流量日志,如何设置防火墙认证用户认
9、证子策略,说明 根据不同的用户组部署不同的保护内容表和流量控制,如何设置防火墙认证免责声明,免责声明是在用户正确地输入用户名和密码后,弹出一个页面对访问Internet作出一个说明,该说明可以是免责内容,也可以作为广告使用 重定向网页是用户接受免责声明后,转向在这里输入的网址,认证的次数?,默认情况下,例如v3.0MR5+,认证是基于策略的:当一个用户已经在策略1中认证过,当他使用策略2时,需要重新认证。 有一条命令可以改变以上情况,变为全局认证 top3 777,config system global set auth-policy-exact-match disable end,默认值是
10、enable,所以所有策略都必须一一认证,认证的次数?例,以上两条策略访问不同的目的地址,而认证用户组是一个。 如果auth-policy-exact-match设置成enable,则访问dst1和dst2都分别需要认证 如果auth-policy-exact-match设置成disable,则访问dst1和dst2只需要认证一次,认证事件日志,格式化后,原始,注意:如果一个用户停留在认证界面长时间不操作,也会产生事件日志 1 2009-03-18 21:54:06 warning authenticateUser failed to authenticate within the allow
11、ed period,用户监视 - Firewall,v4.0的GUI下可以监视已认证的用户,如何设置防火墙认证认证时间与协议,当已经认证的用户在没有数据流的情况下,经过“验证超时“后,就需要重新认证 能够弹出用户名和密码的允许认证协议如上 采用证书方式认证,认证超时,与v3.0相同,config system global set auth-keepalive enable,如何设置防火墙认证自动刷新,Keepalive 命令行下设置: Config sys global Set auth-keepalive en End,实验1,设置10.0.X.1上网不需要用户认证 设置除上述ip以外,上
12、网均需要认证,并且弹出中文的保持存活页面,认证页面也为中文,地址转换,如何设置源地址转换,缺省情况下,端口地址翻译为外部接口IP地址,如何设置源地址转换不使用接口地址,地址翻译成指定范围的IP地址 防火墙虚拟IP IP池 如何来验证 Diagnose sniffer packet any icmp 4 Ping ,映射服务器设置虚拟IP,一对一映射 端口映射,绑定的外部接口,外部的IP地址,内部的IP地址,外部IP端口,内部服务器端口,映射服务器设置服务器的负载均衡,选择使用服务器负载均衡 外部的IP 分配流量的方式 外部的IP端口 内部的服务器列表,映射服务器添加允许访问服务器的策略,策略是
13、从外向内建立的 目标地址是服务器映射的虚拟IP 不需要启用NAT,实验,将内部服务器10.0.X.1映射到192.168.11.10X,让旁人ping 192.168.11.10X,然后抓包分析 Diagnose sniffer packet any icmp 4 Diagnose sys session clear,基于策略的流量控制,在防火墙策略中启动流量控制设置。如果您不对防火墙策略设置任何的流量控制,那么默认情况下,流量的优先级别设置为高级。 防火墙策略中的流量控制选项设置为三个优先级别(低、中、高)。 确定防火墙策略中所有基本带宽之和需要低于接口所承载的最大容量。,流量控制设置只有对
14、设置动作为Accept,IPSEC以及SSL-VPN的策略可用。,流量控制,当前的流量整形器 被用户共享。例如: 基于每条策略 基于引用该流量整形器的所有策略 新的流量整形器 每IP独享 每IP最大带宽限制 可指定给特定IP地址或范围 独立于原有的流量整形器 NP2接口不支持,必须关闭fast-path,每IP的流量控制,config firewall shaper per-ip-shaper edit “perip“ set bps 20 /maximum bandwidth in KB/sec (0-2097000) config iplist edit 1 set end 192.168
15、.1.255 set start 192.168.1.0 next end next end config firewall policy edit 1 set per-ip-shaper “perip“ end,流量控制,新的配额限制及记账 共享及独享的流量整形器都可以使用: 流量配额 每小时 | 天 | 周 | 月 | 超限后被隔离 产生记账日志,流量配额,将应用层的安全附加在防火墙策略上保护内容表,保护内容表 说明,可以进行更细粒度的应用层的内容检测技术 防火墙 保护内容表 保护内容表涵盖病毒、IPS、Web过滤、内容归档、IM/P2P、VoIP、与以上相关的日志,保护内容表 应用到防火墙策略,保护内容表可以被应用到允许的防火墙策略 如果使用防火墙认证的话,则将保护内容表应用到用户组 可以创建多个保护内容表: 单一的保护内容表可以被应用到多个策略上,实验,我们将DMZ 192.168.3.254 80 映射到192.168.11.1X1的80端口上 192.168.3.254 443 映射到192.168.11.1X2 443 内部用户10.0.X.1 通过公网地址192.168.11.1X3访问internet 内部用户10.0.X.2 通过公网地址192.168.11.1X4访问Internet Q2642662476,
链接地址:https://www.31doc.com/p-2999223.html