fortigate 01-系统

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,系统概述,OS 4.0,初始化,教室,INTERNET,Intranet,192.168.11.0 /24,192.168.10x.0 /24,192.168.20x.0 /24,Server Network,192.168.3.0 /24,Class Server,Gateway Firewall,FortiAnalyzer,Private Network,10.0.x.0 /24,Student PC,实验拓扑图,新增,UTM,菜单项,病毒检测、,IPS,、,Web,过滤器、反垃圾邮件、,DLP,、,Application Control,设置都移至,UTM,菜单下,IM/P2P/VOIP,功能并入,Application control,IM,用户控制移至设置用户,-,本地,- IM,新增,UTM,菜单项,保护内容表,保护内容表也做相应的调整,新增,UTM,菜单项,病毒检查,病毒检测由原有的主菜单变成子菜单,新增,UTM,菜单项,入侵防护,新增,UTM,菜单项,Web,过滤,新增,UTM,菜单项,DLP,新增,UTM,菜单项,Application Control,WebUI,定制化,(1),新建授权表,显示和隐藏预览,WebUI,定制化,(2),隐藏已有菜单项,隐藏后变成虚的，在使用该内容表的管理员登录后，就看不到该菜单项,WebUI,定制化,(3),新建菜单项,点击下侧的,+,，则会添加菜单项,点击菜单的右侧向下箭头，可以隐藏该菜单或者创建子菜单项,WebUI,定制化,(4),新建页面,为子菜单建立页面，该页面上可以添加各种功能模块,WebUI,定制化,(5),布局和功能模块,设计布局和内容只适用于自己定制的子菜单项，不能对内置的菜单项和子菜单项进行修改。,内置的菜单项可以掩藏。,WebUI,定制化,(6),保存和效果,保存当前的设置，然后将该保护内容表赋予某管理员,用该管理员帐号登录,实验一，定制管理界面,定制一个只有防火墙和路由功能的管理界面,检测未经许可的无线接入点（,AP,）,检测非法,AP,FortiOS v3.00,：不支持,FortiOS,v4.00,：,FWF-50B,和,FWF-60B,支持。但目前还不支持完整的,WIDS/WIPS,。,作用：发现网络中有意或无意部署的，未经许可的,AP,。,列表中的,AP,分为,2,种状态，已许可和未许可。,标识为何种状态由管理员决定。,设置,默认状态,System/Wireless/Rogue AP,菜单下，所有的,AP,默认处于未许可状态。,检测到的,AP,将被列出以下参数,检测到的时间和日期,信号强度,802.11 a/,b/g/,n,参数,Ssid/Bssid,MAC,地址,检测非法,AP,两种模式,监控模式,(Monitor),该模式下，,FWF,专注于无线信号扫描,此时,FWF,无法作为,AP,或无线客户端,无线接口被隐藏,FWF,持续扫描无线频道,后台扫描模式,(Background Scan),当,FWF,处于,AP,工作状态时，可以同时使用后台扫描模式,当无线频道空闲时，开始信号扫描,与,AP,相关的,SNMP,和日志,SNMP,可以发送“,Rogue Access Point detected” trap,信息。,此信息不会包括被发现,AP,的细节。,当发现,AP,时，会产生一条新的事件日志，该日志中包括,SSID/BSSID,信息。,如何设置,FWF50B3G07503140 # config system wireless settings,FWF50B3G07503140 (settings) # set mode,AP,AP,CLIENT,CLIENT,SCAN,SCAN,获得当前检测后状态,FWF50B3G07503140 # get system wireless detected-,ap,SSID BSSID CHAN RATE S:N INT CAPS ACT LIVE AGE,FORTINET-Pr. 06:1a:2a:01:8c:27 2 54M 19:0 100,EPSs,Y 45 0 RSN WME ATH,FORTINET-,Pu,. 00:12:bf:14:fa:86 3 54M 26:0 100,ESs,Y 392 0 WME ATH,fortinet,00:1a:2a:ad:05:3b 5 54M 70:0 100,ESs,Y 392 0 WME ATH,fortinet,00:0d:88:e5:74:cc 5 54M 54:0 100,ESs,Y 392 0,fortinet,00:12:bf:16:64:17 5 54M 70:0 100,ESs,Y 392 0 WME ATH,fortinet,00:0d:88:e7:33:03 5 54M 41:0 100,ESs,Y 391 0,fortinet,00:12:bf:2c:d6:cd 5 54M 60:0 100,ESs,Y 391 0 WME ATH,FORTINET-,Pu,. 00:1a:2a:01:8c:27 2 54M 20:0 100,ESs,Y 389 0 WME ATH,FORTINET-,Pu,. 00:c0:a8:d1:11:22 2 54M 9:0 100,ESs,Y 102 3 WME ATH,Technofi,00:1f:33:73:7a:ca 11 54M -3:0 100,EPSs,Y 5 5 WPA WME ATH,FWF50B3G07503140 #,扫描行为,当,FWF,扫描一个频道时，无线芯片将会从当前工作频道切换到被扫描频道。,FWF,广播一个探测请求，并等待,20,毫秒。,20,毫秒之后，,FWF,会切换到下一个待扫描的频道：,收到其它,AP,的响应,150ms,仍然没有收到任何响应,在监控,(Monitor),模式下（,GUI,下设置为,monitoring,），,FWF,持续扫描所有的频道。,管理员通过勾选一个复选框来将一个,AP,标识为允许状态,未经许可（非法）,AP,将显示红色背景,AP,在线与否由列前的图标显示,后台扫描模式,假设,FWF,硬件支持一下,N,个频道：,B1 B2 .,Bn,，,而,AP,当前工作频道是,Cx,，当前的扫描顺序如下：,B1,Cx,B2 B3,Cx,Cx,Cx,B4,Cx,.,Bn,Cx,Cx,Cx,.,Cx,B1 B2,Cx,B3,Cx,Cx,B4,Cx,.,Bn,Cx,Cx,Cx,| -,循环,- | FWF,只有在,Cx,频道空闲时才会开始扫描。空闲时间是根据最近收到的数据包计算出来的。,Beacon,或其他,802.11,管理包并不考虑在内。,空闲时间参数也可以设置。,bgscan,-idle,可设置为,100 - 1000 ms,，缺省值是,250ms,。如果,WLAN,非常繁忙，任何两个数据包之间的间隔都小于这个值，后台扫描就不会开始。在第一个循环中，当,B3,扫描完成后，必须等待,AP,空闲之后才能开始,B4,扫描。如果,WLAN,不是非常繁忙，,FWF,可以连续扫描多个频道，例如,B2-B3,。,如果这个参数设置得过长，有可能导致,FWF,永远没有机会进行频道扫描；如果设置得太短，会因为频繁的扫描导致更多的丢包。,当,FWF,完成对所有频道的扫描，它将等待一段时间，然后开始新一轮循环。这个时间段是根据上一次扫描,Bn,到下一次扫描,B1,的间隔计算出来的。,这个值也可以修改。,bgscan,-interval,可设置为,15-3600,秒，缺省值是,120,秒。如果参数设置过高，,FWF,有可能漏掉那些偶尔使用的非法,AP,。,虚拟,IP,的间隔式,ARP,广播,虚拟,IP,的间隔式,ARP,广播,通过配置发送,ARP,广播的方式让路由器自动地更新,ARP,表。通过命令行可以设置发送,ARP,广播的频率。间隔时间设置为,0,时，则关闭,ARP,广播,config firewall,vip,edit,new_vip,(configure the virtual IP),set gratuitous-,arp,-interval ,end,虚拟,IP,的,ARP,广播,虚拟,IP,的免费,ARP,可以设置周期性地发送免费,ARP,默认是禁用的,gratuitous-,arp,-interval=0,可以在一定程度上防御,ARP,欺骗？,config firewall,vip,edit web,set,extip,10.174.1.80,set,extintf,external,set,portforward,enable,set gratuitous-,arp,-interval 10,set,mappedip,192.168.183.1,set,extport,80,set,mappedport,80,next,end,实验,- ARP,攻击防御,Modem,拨入,Modem,拨入,TOP3 533,。只支持,FG60B,和,FWF60B,config system,dialinsvr,FGT60B3907517270 (,dialinsvr,) # set,*status enable/disable dial-in-server,*server-,ip,IP assigned to server,*client-,ip,IP assigned to client,*,usrgrp,only users in this user group can dial in,*,allowaccess,Allow management access to the interface,modem-dev choose which modem device to use,Modem,拨入,例,FG60B,端的设置,分配给,Modem,的,IP,分配给客户端的,IP,设置管理权限,设置用户,Modem,拨入,例,客户端的设置,Modem,拨入,例,拨号之后,PC,就可以获得,IP,地址，通过访问所设置的服务器,IP,，就可以对,FortiGate,进行管理,AMC Bypass,AMC Bypass,测试过,build 92,和,141,均无法支持,AMC-CX4,，无法切换到正常模式，只能停留在,Bypass,模式上,config system,amc,set sw1 asm-cx4,set watchdog-recovery enable | disable,set watchdog-recovery-period ,End,AMC,诊断工具,Diagnose,