fortigate防火墙策略

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,防火墙策略,Course 201 v4.0,创建防火墙策略,的,的原则,策略是按照进出,流,流量的接口部署,的,的,流量如果没有匹,配,配的防火墙策略,的,的话，是不能穿,过,过设备的,正确理解状态监,测,测，防火墙的策,略,略应以数据流的,发,发起方来判断建,立,立的方向,也就是说，当需,要,要内部网访问外,部,部网时，只需要,建,建立一个从,Internal,到,wan1,的允许策略即可,防火墙策略,接口,服务,NAT/Route,保护内容表,如何创建防火墙,策,策略,接口与,IP,地址,两种类型的地址,:,IP/IPRange,FQDN,域名的方式,定义,IP,范围的多种方式,:,192.168.1.99,192.168.1.0/255.255.255.0,192.168.1.0/24,192.168.1.99-192.168.1.105,192.168.1.99-105,FQDN,域名方式,防火墙本身的,DNS,用来解析,FQDN,地址对象的,FQDN,解析的缓存时间,是,是由,DNS,服务器决定的,如何创建防火墙,策,策略,选择与定制服务,FortiGate,本身内置了六十,多,多个预定义的服,务,务,用户也可以自行,定,定义服务，以下,协,协议可以定制,:,TCP/UDP,ICMP,IP,也可以通过组的,方,方式将多个服务,组,组合在一起,如何创建防火墙,策,策略,定制时间表,防火墙的基于时,间,间的控制,如何创建防火墙,策,策略,选择动作,数据包是根据接,口,口、地址、协议,、,、时间四项进行,匹,匹配的，一旦匹,配,配成功后，就根,据,据“,Action”,来决定操作，不,再,再向下匹配。,在建立防火墙策,略,略是，应尽可能,范,范围小的放在前,面,面，范围大的放,在,在后面。,在,NAT/Route,模式下，防火墙,策,策略还需要判断,是,是否对数据流进,行,行,NAT,。,有以下类型的动,作,作：,Accept,Deny,SSLssl vpn,的策略,IPSecIpsec vpn,的策略,防火墙策略使用,“,“,Any”,接口,源或目的接口都,可,可以设置为,“any”,如果任何一条防,火,火墙策略使用了,“,“,any”,接口，则只能使,用,用防火墙策略全,局,局视图,“any”,接口不能用于,VIP,或,IP-pool,两种查看方式,Section,或者,Global,使用了,Any,作为接口只能支,持,持,Globalview,如何创建,IPv6,和多播策略,所有的,IPV6,和多播都是通过,命,命令行来配置的,IPV6,地址可以配置到,任,任一接口,IPV6,对象和策略,policy6,address6,addrgrp6,多播策略,multicast-policy,实验一,实验二,dmz,区有一个代理服,务,务器,192.168.3.1 8080,，用户希望员工,通,通过代理服务器,上,上,Internet,，不允许其他的,方,方式上网。,如何设置防火墙,认,认证,用户,用户对象是认证,的,的一个方法,用户组是用户对,象,象的容器,识别组成员,保护内容表和类,型,型实现对成员的,认,认证属性,FortiGate,基于组的方式控,制,制对资源的访问,用户组和防火墙,策,策略定义了对用,户,户的认证过程,如何设置防火墙,认,认证,用户种类,支持以下类型的,认,认证,:,本地用户,建立在防火墙上,的,的用户名和密码,RADIUS,用户,取自,Radius,的用户名和密码,LDAP/AD,用户,取自,LDAP,服务器的用户名,和,和密码,TACACS+,取自,TACACS,服务器的用户名,和,和密码,FSAE/NTLM(AD),用户,可以实现单点登,录,录,PKI,基于,CA,证书,(,不需要,用,用户名,和,和密码,),如何设,置,置防火,墙,墙认证,用户组,用户组,名,名称,类别设,为,为防火,墙,墙,保护内,容,容表与,用,用户组,绑,绑定,设置组,成,成员,如何设,置,置防火,墙,墙认证,用户认,证,证子策,略,略,启用基,于,于用户,的,的子策,略,略,可以针,对,对不同,的,的用户,组,组使用,不,不同的,时间表,服务,保护内,容,容表,流量控,制,制,流量日,志,志,功能描,述,述,所有启,用,用用户,认,认证的,防,防火墙,策,策略将,成,成为“,基,基于用,户,户认证,的,的策略,”,”,可以将,一,一条策,略,略拆分,成,成多个,子,子项：,用户组,时间表,服务,保护内,容,容表,流量控,制,制,流量日,志,志,如何设,置,置防火,墙,墙认证,用户认,证,证子策,略,略,说明,根据不,同,同的用,户,户组部,署,署不同,的,的保护,内,内容表,和,和流量,控,控制,如何设,置,置防火,墙,墙认证,免责声,明,明,免责声,明,明是在,用,用户正,确,确地输,入,入用户,名,名和密,码,码后，,弹,弹出一,个,个页面,对,对访问,Internet,作出一,个,个说明,，,，该说,明,明可以,是,是免责,内,内容，,也,也可以,作,作为广,告,告使用,重定向,网,网页是,用,用户接,受,受免责,声,声明后,，,，转向,在,在这里,输,输入的,网,网址,认证的,次,次数？,默认情,况,况下，,例,例如,v3.0MR5+,，认证,是,是基于,策,策略的,：,：当一,个,个用户,已,已经在,策,策略,1,中认证过，,当,当他使用策,略,略,2,时，需要重,新,新认证。,有一条命令,可,可以改变以,上,上情况，变,为,为全局认证,top3 777,config system global,set auth-policy-exact-match disable,end,默认值是,enable,，所以所有,策,策略都必须,一,一一认证,认证的次数,？,？例,以上两条策,略,略访问不同,的,的目的地址,，,，而认证用,户,户组是一个,。,。,如果,auth-policy-exact-match,设置成,enable,，则访问,dst1,和,dst2,都分别需要,认,认证,如果,auth-policy-exact-match,设置成,disable,，则访问,dst1,和,dst2,只需要认证,一,一次,认证事件日,志,志,格式化后,原始,注意：如果,一,一个用户停,留,留在认证界,面,面长时间不,操,操作，也会,产,产生事件日,志,志,12009-03-1821:54:06warningauthenticateUser failedto authenticate within the allowedperiod,用户监视,-Firewall,v,4.0,的,GUI,下可以监视,已,已认证的用,户,户,如何设置防,火,火墙认证,认证时间与,协,协议,当没有已经,认,认证的用户,在,在没有数据,流,流的情况下,，,，经过“验,证,证超时“后,，,，就需要重,新,新认证,能够弹出用,户,户名和密码,的,的允许认证,协,协议如上,采用证书方,式,式认证,认证超时,与,v3.0,相同,config system global,set auth-keepalive enable,如何设置防,火,火墙认证,自动刷新,Keepalive,命令行下设,置,置：,Config sysglobal,Set auth-keepalive en,End,实验,1,设置,10.0.X.1,上网不需要,用,用户认证,设置除上述,ip,以外，上网,均,均需要认证,，,，并且弹出,中,中文的保持,存,存活页面，,认,认证页面也,为,为中文,地址转换,如何设置源,地,地址转换,缺省情况下,，,，端口地址,翻,翻译为外部,接,接口,IP,地址,如何设置源,地,地址转换,不使用接口,地,地址,映射服务器,设置虚拟,IP,一对一映射,端口映射,绑定的外部,接,接口,外部的,IP,地址,内部的,IP,地址,外部,IP,端口,内部服务器,端,端口,映射服务器,设置服务器,的,的负载均衡,选择使用服,务,务器负载均,衡,衡,外部的,IP,分配流量的,方,方式,外部的,IP,端口,内部的服务,器,器列表,映射服务,器,器,添加允许,访,访问服务,器,器的策略,策略是从,外,外向内建,立,立的,目标地址,是,是服务器,映,映射的虚,拟,拟,IP,不需要启,用,用,NAT,实验,将内部服,务,务器,10.0.X.1,映射到,192.168.11.10X,，让旁人,ping192.168.11.10X,，然后抓,包,包分析,Diagnosesnifferpacketany,icmp 4,Diagnosesyssessionclear,基于策略,的,的流量控,制,制,在防火墙,策,策略中启,动,动流量控,制,制设置。,如,如果您不,对,对防火墙,策,策略设置,任,任何的流,量,量控制，,那,那么默认,情,情况下，,流,流量的优,先,先级别设,置,置为高级,。,。,防火墙策,略,略中的流,量,量控制选,项,项设置为,三,三个优先,级,级别（低,、,、中、高,）,）。,确定防火,墙,墙策略中,所,所有基本,带,带宽之和,需,需要低于,接,接口所承,载,载的最大,容,容量。,流量控制,设,设置只有,对,对设置动,作,作为,Accept,，,IPSEC,以及,SSL-VPN,的策略可,用,用。,将应用层,的,的安全附,加,加在防火,墙,墙策略上,保护内容,表,表,保护内容,表,表,说明,可以进行,更,更细粒度,的,的应用层,的,的内容检,测,测技术,防火墙,保护内容,表,表,保护内容,表,表涵盖病,毒,毒、,IPS,、,Web,过滤、内,容,容归档、,IM/P2P,、,VoIP,、与以上,相,相关的日,志,志,保护内容,表,表,应用到防,火,火墙策略,保护内容,表,表可以被,应,应用到允,许,许的防火,墙,墙策略,如果使用,防,防火墙认,证,证的话，,则,则将保护,内,内容表应,用,用到用户,组,组,可以创建,多,多个保护,内,内容表,:,单一的保,护,护内容表,可,可以被应,用,用到多个,策,策略上,实验,我们将,DMZ192.168.3.254 80,映射到,192.168.11.1X1,的,80,端口上,192.168.3.254 443,映射到,192.168.11.1X2443,内部用户,10.0.X.1,通过公网地址,192.168.11.1X3,访问,internet,内部用户,10.0.X.2,通过公网地址,192.168.11.1X4,访问,Internet,