飞塔防火墙的防火墙策略bjpv

,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,防火墙策略,Course 301,二层协议的穿越,基于接口控制,非,ip,的二层协议的穿过,FortiGate,本身不能够参与,STP,协议，但是可以设置其通过,控制,vlan,数据包是否直接放过,控制,arp,广播包穿过,config system interface,edit interface_name,set l2forward enable,set stpforward enable,set vlanforward enable,set arpforward enable,end,多播流量的控制,多播流量在缺省状态下不能透明穿越防火墙,部署多播策略允许多播流量,可以对多播流量进行,nat,在透明模式下，也可以不通过策略方式，而直接设置全局选项,multicast-forward enable,是否更改多模的,ttl,基于,RADIUS,的防火墙认证,FortiGate,作为,network access server (NAS),用户信息被送到,RADIUS server,用户的认证取决于服务器的响应,对象识别识别,IP,地址和共享密钥，最多支持两个,RADIUS servers,RADIUS,对象可以用来所有的服务的认证,Admin,用户的,Radius,认证,软交换接口,(1),概念,软交换接口模式,在物理接口之间创建桥连接,每个软交换接口可以指定一个逻辑,IP,地址,MR6,中只能使用命令方式配置,不能用于,HA monitor,或心跳接口,软交换接口,(2),配置,在,MR7,加入,GUI,支持,config system switch-interface,edit switch-1,set member port4 port5,next,end,config system interface,edit switch-1,set vdom root,set ip 10.166.0.204 255.255.254.0,set allowaccess ping https,set type switch,next,end,软交换接口,(3),GUI,视图,GUI,视图,Ports 4 & 5,被从接口列表中删除,只有空接口可以被加入到软交换接口,已有任何配置的接口（如,DNS,转发、静态路由、防火墙策略等）的接口都不能加入软交换接口组,软交换接口,(4),数据包行为,软交换接口组中各接口之间的流量无需防火墙策略控制,软交换接口被视为一个物理接口，就像链路聚合接口一样,可以在软交换接口上配置,VLAN,接口,软交换接口,(5),注意事项,所有的物理接口都可以加入到软交换接口中,标准接口,FA2,接口,NP2,接口,无线接口,(,Forti,WiFi),以上接口可以在软交换接口中混合存在,Forti,G,ate,不参与,spanning tree,不发送,STP,包,不接收,S,TP,包,因此需要注意,LOOPS,可能产生,!,软交换接口,(6),NAT/Route,方案,L2 switch,L2 switch,交换机所有接口上都启用,Spanning tree,IP broadcast,软交换接口,(7),避免,L,oop,为了避免,loop,，需要开启,FortiGate,接口上的,stpforward,配置软交换组中的物理接口,=,Port Stg,=,ENABLE FORWARD CHANGE,SID PORT_NUM PRIO STATE STP FASTSTART PATHCOST TRANSITION DETECTION,-,1 2/12 128 forwarding true false 10 12 true,1 2/13 128 blocking true false 10 12 true,config system interface,edit port3,set vdom root,set stpforward enable,软交换接口,(8),Troubleshooting,Sniffing,可以在物理或软交换接口上使用,如果在软交换接口上使用,sniffer,命令，内部的交换流量不会捕获,# diag sniff packet switch-1,interfaces=switch-1,filters=none,软交换接口,(9),转发表,(,FDB,),检查软交换接口的,FDB,# diag netlink brctl list,list bridge information,switch-1 fdb: size=256 used=6 num=6 depth=1 simple=yes,# diag netlink brctl name host switch-1,show bridge control interface switch-1 host.,fdb: size=256, used=6, num=6, depth=1, simple=yes,Bridge switch-1 host table,port no device devname mac addr ttl attributes,3 13 AMC-SW1/2 00:03:4b:4f:ac:b8 1,3 13 AMC-SW1/2 00:09:0f:67:75:15 0 Local Static,3 13 AMC-SW1/2 00:0c:29:f1:de:2a 0,1 5 port4 00:09:0f:67:69:f9 0 Local Static,1 5 port4 00:0c:29:1e:12:be 0,1 5 port4 00:15:c6:c9:5b:87 29,14,TACACS,概要,TACACS,协议组,Terminal Access Controller Access Control System,TACACS, XTACACS, TACACS+,TACACS+ RFC,由,Cisco,起草,AAA,结构,TACACS,与,RADIUS,比较,15,TACACS+,Radius,TCP/49,UDP,认证,/,授权可分离,认证授权结合,完全加密,仅密码部分加密,可用于路由器管理,会话授权,TACACS,与,RADIUS,比较,16,TACACSFortiOS,TACACS+,认证,(MR6),所有可以使用用户认证的功能,(firewall policy, administrator accounts, VPNs),GUI,视图,17,TACACS+ Server - Cisco Secure ACS,19,TACACS,配置,CLI,config user tacacs+,edit tac+router1,set key fortinet,set server 192.168.183.1,next,End,FGT100-1 (tac+router1) # set,authen-type choose which authentication type to use,*key key to access the server,port port number of the TACACS+ server,*server server domain name or ip,20,TACACS,Troubleshooting,diag deb app fnambd 7,diag test authserver tacacs+ ,FGT100-1 #,diag test authserver tacacs+ tac+router1 user1 fortinet,fnbamd_fsm.c846 handle_req-Rcvd auth req 0 for user1 in tac+router1 opt=15 prot=8,fnbamd_tac_plus.c326 build_authen_start-building authen start packet to send to 192.168.183.1: authen_type=2(pap),fnbamd_tac_plus.c417 tac_plus_result-waiting authen reply packet,fnbamd_fsm.c269 fsm_tac_plus_result-Continue pending for req 0,fnbamd_tac_plus.c381 parse_authen_reply-authen result=1(pass),fnbamd_comm.c129 fnbamd_comm_send_result-Sending result 0 for req 0,authenticate user user1 on server tac+router1 succeeded,Zone,将多个接口组织起来简化防火墙策略,使用区域可以将相关联的接口与,VLAN,子接口划分为组进行管理。将接口与子接口分组管理简化了策略的创建。可以直接配置防火墙策略控制往来于区域的连接，而不是对区域中每个接口。,您可以在区域列表中添加区域，更改区域的名称、编辑及删除区域。添加区域时，选择添加到该区域的接口与,VLAN,子接口的名称。,区域可以添加到虚拟域中。如果,FortiGate,配置中添加了多个虚拟域，在添加或编辑区域之前确认已经配置了正确的虚拟域。,区域内是否允许相互通讯，缺省状态是允许,实验一 基于,Radius,的管理员认证,设置管理员,ccadmin,，基于,Radius,服务器,192.168.3.1,进行认证,实验二 软交换接口,将,internal,和,wan2,接口设置为交换接口，,ip,为,10.0.X.254,，设置策略允许内网访问,Internet,