飞塔-防火墙策略
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 建立在防火墙上的用户名和密码
RADIUS用户
• 取自Radius的用户名和密码
LDAP / AD用户
• 取自LDAP服务器的用户名和密码
TACACS+
• 取自TACACS服务器的用户名和密码
FSAE / NTLM (AD)用户
• 可以实现单点登录
PKI
• 基于CA证书(不需要用户名和密码)
防火墙策略
接口
服务 NAT / Route 保护内容表
如何创建防火墙策略 – 接口与IP地址
• 两种类型的地址:
IP / IP Range FQDN——域名的方式
• 定义IP范围的多种方式:
192.168.1.99 192.168.1.0/255.255.255.0 192.168.1.0/24 192.168.1.99-192.168.1.105 192.168.1.[99-105]
如何创建防火墙策略 – 定制时间表
• 防火墙的基于时间的控制
如何创建防火墙策略 – 选择动作
• 数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功 后,就根据“Action”来决定操作,不再向下匹配。
• 在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。
• 在 NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。
默认值是enable,所以所有策略都必须一一认证
认证的次数?例
以上两条策略访问不同的目的地址,而认证用户组是一个。 • 如果auth-policy-exact-match设置成enable,则访问dst1和dst2都分
别需要认证 • 如果auth-policy-exact-match设置成disable,则访问dst1和dst2只需
防火墙策略
Course 201 v4.0
创建防火墙策略的原则
• 策略是按照进出流量的接口部署 的
• 流量如果没有匹配的防火墙策略 的话,是不能穿过设备的
• 正确理解状态监测,防火墙的策 略应以数据流的发起方来判断建 立的方向 也就是说,当需要内部网访问外 部网时,只需要建立一个从 Internal到wan1的允许策略即可
• 有以下类型的动作:
Accept Deny SSL——ssl vpn的策略 IPSec——Ipsec vpn的策略
防火墙策略使用“Any”接口
• 源或目的接口都可以设置为“any” • 如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略
全局视图
• “any”接口不能用于VIP或IP-pool
如何设置防火墙认证——用户组
用户组名称 类别设为防火墙 保护内容表与用
户组绑定 设置组成员
如何设置防火墙认证——用户认证子策略
• 启用基于用户的子策略 • 可以针对不同的用户组使用不同的
时间表 服务 保护内容表 流量控制 流量日志
功能描述
• 所有启用用户认证的防火墙策略将成为“基于用户认证的策 略”
两种查看方式——Section或者Global
• 使用了Any作为接口只能支持Global view
如何创建IPv6和多播策略
• 所有的IPV6和多播都是通过命令行来配置的
• IPV6地址可以配置到任一接口
• IPV6对象和策略
policy6 address6 addrgrp6
• 多播策略
• v4.0的GUI下可以监视已认证的用户
如何设置防火墙认证——认证时间与协议
• 当没有已经认证的用户在没有数据流的情况下,经过“验证超 时“后,就需要重新认证
• 能够弹出用户名和密码的允许认证协议如上 • 采用证书方式认证
要认证一次
认证事件日志
• 格式化后
• 原始
注意:如果一个用户停留在认证界面长时间不操作,也会产生事件日志
1 2009-03-18 21:54:06 warning authenticateUser failed to authenticate within the allowed period
用户监视 -> Firewall
• 可以将一条策略拆分成多个子项:
用户组 时间表 服务 保护内容表 流量控制 流量日志
如何设置防火墙认证——用户认证子策略
• 说明 根据不同的用户组部署不同的保护内容表和流量控制
如何设置防火墙认证——免责声明
• 免责声明是在用户正确地输入用户名和密码后,弹出一个页面 对访问Internet作出一个说明,该说明可以是免责内容,也可以 作为广告使用
如何设置防火墙认证——用户
• 用户对象是认证的一个方法 • 用户组是用户对象的容器
识别组成员 保护内容表和类型实现对成员的认证属性
• FortiGate基于组的方式控制对资源的访问
用户组和防火墙策略定义了对用户的认证过程
如何设置防火墙认证——用户种类
• 支持以下类型的认证:
本地用户
multicast-policy
实验一
• 10.0.x.1只能够访问,而不能访问其他的网站
• 提示: 注意以下DNS的问题
•
没有匹配策略成功的话,那么是拒绝的。
实验二
• dmz区有一个代理服务器192.168.3.254 8080,用户希望员工通过代理服务 器上Internet,不允许其他的方式上网。
• FQDN域名方式
防火墙本身的DNS用来解析FQDN地址对象的 FQDN解析的缓存时间是由DNS服务器决定的
如何创建防火墙策略 – 选择与定制服务
FortiGate本身内置了六十多 个预定义的服务
用户也可以自行定义服务, 以下协பைடு நூலகம்可以定制:
TCP/UDP ICMP IP
也可以通过组的方式 将多个服务组合在 一起
• 重定向网页是用户接受免责声明后,转向在这里输入的网址
认证的次数?
• 默认情况下,例如v3.0MR5+,认证是基于策略的:当一个用户 已经在策略1中认证过,当他使用策略2时,需要重新认证。
• 有一条命令可以改变以上情况,变为全局认证 – top3 777
config system global set auth-policy-exact-match disable end
RADIUS用户
• 取自Radius的用户名和密码
LDAP / AD用户
• 取自LDAP服务器的用户名和密码
TACACS+
• 取自TACACS服务器的用户名和密码
FSAE / NTLM (AD)用户
• 可以实现单点登录
PKI
• 基于CA证书(不需要用户名和密码)
防火墙策略
接口
服务 NAT / Route 保护内容表
如何创建防火墙策略 – 接口与IP地址
• 两种类型的地址:
IP / IP Range FQDN——域名的方式
• 定义IP范围的多种方式:
192.168.1.99 192.168.1.0/255.255.255.0 192.168.1.0/24 192.168.1.99-192.168.1.105 192.168.1.[99-105]
如何创建防火墙策略 – 定制时间表
• 防火墙的基于时间的控制
如何创建防火墙策略 – 选择动作
• 数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功 后,就根据“Action”来决定操作,不再向下匹配。
• 在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。
• 在 NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。
默认值是enable,所以所有策略都必须一一认证
认证的次数?例
以上两条策略访问不同的目的地址,而认证用户组是一个。 • 如果auth-policy-exact-match设置成enable,则访问dst1和dst2都分
别需要认证 • 如果auth-policy-exact-match设置成disable,则访问dst1和dst2只需
防火墙策略
Course 201 v4.0
创建防火墙策略的原则
• 策略是按照进出流量的接口部署 的
• 流量如果没有匹配的防火墙策略 的话,是不能穿过设备的
• 正确理解状态监测,防火墙的策 略应以数据流的发起方来判断建 立的方向 也就是说,当需要内部网访问外 部网时,只需要建立一个从 Internal到wan1的允许策略即可
• 有以下类型的动作:
Accept Deny SSL——ssl vpn的策略 IPSec——Ipsec vpn的策略
防火墙策略使用“Any”接口
• 源或目的接口都可以设置为“any” • 如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略
全局视图
• “any”接口不能用于VIP或IP-pool
如何设置防火墙认证——用户组
用户组名称 类别设为防火墙 保护内容表与用
户组绑定 设置组成员
如何设置防火墙认证——用户认证子策略
• 启用基于用户的子策略 • 可以针对不同的用户组使用不同的
时间表 服务 保护内容表 流量控制 流量日志
功能描述
• 所有启用用户认证的防火墙策略将成为“基于用户认证的策 略”
两种查看方式——Section或者Global
• 使用了Any作为接口只能支持Global view
如何创建IPv6和多播策略
• 所有的IPV6和多播都是通过命令行来配置的
• IPV6地址可以配置到任一接口
• IPV6对象和策略
policy6 address6 addrgrp6
• 多播策略
• v4.0的GUI下可以监视已认证的用户
如何设置防火墙认证——认证时间与协议
• 当没有已经认证的用户在没有数据流的情况下,经过“验证超 时“后,就需要重新认证
• 能够弹出用户名和密码的允许认证协议如上 • 采用证书方式认证
要认证一次
认证事件日志
• 格式化后
• 原始
注意:如果一个用户停留在认证界面长时间不操作,也会产生事件日志
1 2009-03-18 21:54:06 warning authenticateUser failed to authenticate within the allowed period
用户监视 -> Firewall
• 可以将一条策略拆分成多个子项:
用户组 时间表 服务 保护内容表 流量控制 流量日志
如何设置防火墙认证——用户认证子策略
• 说明 根据不同的用户组部署不同的保护内容表和流量控制
如何设置防火墙认证——免责声明
• 免责声明是在用户正确地输入用户名和密码后,弹出一个页面 对访问Internet作出一个说明,该说明可以是免责内容,也可以 作为广告使用
如何设置防火墙认证——用户
• 用户对象是认证的一个方法 • 用户组是用户对象的容器
识别组成员 保护内容表和类型实现对成员的认证属性
• FortiGate基于组的方式控制对资源的访问
用户组和防火墙策略定义了对用户的认证过程
如何设置防火墙认证——用户种类
• 支持以下类型的认证:
本地用户
multicast-policy
实验一
• 10.0.x.1只能够访问,而不能访问其他的网站
• 提示: 注意以下DNS的问题
•
没有匹配策略成功的话,那么是拒绝的。
实验二
• dmz区有一个代理服务器192.168.3.254 8080,用户希望员工通过代理服务 器上Internet,不允许其他的方式上网。
• FQDN域名方式
防火墙本身的DNS用来解析FQDN地址对象的 FQDN解析的缓存时间是由DNS服务器决定的
如何创建防火墙策略 – 选择与定制服务
FortiGate本身内置了六十多 个预定义的服务
用户也可以自行定义服务, 以下协பைடு நூலகம்可以定制:
TCP/UDP ICMP IP
也可以通过组的方式 将多个服务组合在 一起
• 重定向网页是用户接受免责声明后,转向在这里输入的网址
认证的次数?
• 默认情况下,例如v3.0MR5+,认证是基于策略的:当一个用户 已经在策略1中认证过,当他使用策略2时,需要重新认证。
• 有一条命令可以改变以上情况,变为全局认证 – top3 777
config system global set auth-policy-exact-match disable end