fortinet防火墙完全配置02-防火墙策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 免责声明是在用户正确地输入用户名和密码后,弹出一个页面 对访问Internet作出一个说明,该说明可以是免责内容,也可 以作为广告使用 • 重定向网页是用户接受免责声明后,转向在这里输入的网址
如何设置防火墙认证——认证时间 如何设置防火墙认证——认证时间 —— 与协议
• 当没有已经认证的用户在没有数据流的情况下,经过“验证超 时“后,就需要重新认证 • 能够弹出用户名和密码的允许认证协议如上 • 采用证书方式认证
• 地址翻译成指定范围的IP地址 • 防火墙>虚拟IP >IP池 • 如何来验证 Diagnose sniffer packet any ‘icmp’ 4 Ping www.sina.com.cn
映射服务器——设置虚拟IP 映射服务器——设置虚拟IP ——设置虚拟
绑定的外部接口
一对一映射
外部的IP地址 内部的IP地址 IP
如何设置防火墙认证——用户 如何设置防火墙认证——用户 ——
• 用户对象是认证的一个方法 • 用户组是用户对象的容器
识别组成员 保护内容表和类型实现对成员的认证属性
• FortiGate FortiGate基于组的方式控制对资源的访问
用户组和防火墙策略定义了对用户的认证过程
如何设置防火墙认证——用户种类 如何设置防火墙认证——用户种类 ——
Original source IP: 172.16.20.20 Source IP received by Internet server: 204.50.168.90
.30
Internal Network 172.16.20.0 /24
Internet Server
如何设置源地址转换——不使用接 如何设置源地址转换——不使用接 —— 口地址
如何创建防火墙策略 – 定制时间表
• 防火墙的基于时间的控制
如何创建防火墙策略 – 选择动作
• • 数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功 后,就根据“Action”来决定操作,不再向下匹配。 在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。
• •
在 NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。 有以下类型的动作:
• 不需要启用NAT
实验
• 将内部服务器10.0.X.1映射到192.168.11.10X,让旁人ping 192.168.11.10X,然后抓包分析 Diagnose sniffer packet any ‘icmp’ 4
基于策略的流量控制
• 在防火墙策略中启动流量控制 设置。如果您不对防火墙策略 设置任何的流量控制,那么默 认情况下,流量的优先级别设 置为高级。 流量控制设置只有对设置 • 防火墙策略中的流量控制选项 动作为Accept,IPSEC以 设置为三个优先级别(低、中、 及SSL-VPN的策略可用。 高)。 • 确定防火墙策略中所有基本带 宽之和需要低于接口所承载的 最大容量。
如何设置防火墙认证——自动刷新 如何设置防火墙认证——自动刷新 ——
• Keepalive 命令行下设置: Config sys global Set auth-keepalive en End
如何设置源地址转换
• 缺省情况下,端口地址翻译为外部接口IP地址
.10
.20
.1
204.50.168.90 Internet
实验
• 我们将DMZ 192.168.3.1 80 映射到192.168.11.1X1的80端口 上 192.168.3.1 443 映射到192.168.11.1X2 443 • 内部用户10.0.X.1 通过公网地址192.168.11.1X3访问internet • 内部用户10.0.X.2 通过公网地址192.168.11.1X4访问Leabharlann Baidunternet 10.0.X.2 192.168.11.1X4 Internet
• 支持以下类型的认证:
本地用户
• 建立在防火墙上的用户名和密码
RADIUS用户
• 取自Radius的用户名和密码
LDAP / AD用户
• 取自LDAP服务器的用户名和密码
TACACS+
• 取自TACACS服务器的用户名和密码
FSAE / NTLM (AD)用户
• 可以实现单点登录
PKI
• 基于CA证书(不需要用户名和密码)
Accept Deny SSL——ssl vpn的策略 IPSec——Ipsec vpn的策略
如何创建IPv6和多播策略 如何创建IPv6和多播策略 IPv6
• • • 所有的IPV6和多播都是通过命令行来配置的 IPV6地址可以配置到任一接口 IPV6对象和策略
policy6 address6 addrgrp6
防火墙策略
接口
服务 NAT / Route 保护内容表
接口与IP IP地 如何创建防火墙策略 – 接口与IP地 址
• 两种类型的地址:
IP / IP Range FQDN——域名的方式
•
定义IP范围的多种方式:
192.168.1.99 192.168.1.0/255.255.255.0 192.168.1.0/24 192.168.1.99-192.168.1.105 192.168.1.[99-105]
防火墙策略
Course 201
创建防火墙策略的原则
• 策略是按照进出流量的接口部署 的 • 流量如果没有匹配的防火墙策略 的话,是不能穿过设备的 • 正确理解状态监测,防火墙的策 略应以数据流的发起方来判断建 立的方向 也就是说,当需要内部网访问 外部网时,只需要建立一个从 Internal到wan1的允许策略即可
如何设置防火墙认证——用户组 如何设置防火墙认证——用户组 ——
用户组名称 类别设为防火墙 保护内容表与用 户组绑定 设置组成员
如何设置防火墙认证——用户组与 如何设置防火墙认证——用户组与 —— 防火墙绑定
在防火墙策略里启用认证
选择用户组
选择是否支持Windows域用户,FSAE或者NTLM
如何设置防火墙认证——免责声明 如何设置防火墙认证——免责声明 ——
端口映射
外部IP端口
内部服务器端口
映射服务器——设置服务器的负载 映射服务器——设置服务器的负载 —— 均衡
选择使用服务器 负载均衡 外部的IP 分配流量的方式 外部的IP端口
内部的服务器列 表
映射服务器——添加允许访问服务 映射服务器——添加允许访问服务 —— 器的策略
• 策略是从外向内建立的 • 目标地址是服务器映射的 虚拟IP
•
FQDN域名方式
防火墙本身的DNS用来解析FQDN地址对象的 FQDN解析的缓存时间是由DNS服务器决定的
如何创建防火墙策略 – 选择与定制 服务
FortiGate本身内置了六十 多个预定义的服务
用户也可以自行定义服务, 以下协议可以定制:
TCP/UDP ICMP IP
也可以通过组的方式 将多个服务组合在 一起
•
多播策略
multicast-policy
实验一
• 10.0.x.1只能够访问www.fortinet.com,而不能访问其他的网 站
• 提示: 注意以下DNS的问题 • 没有匹配策略成功的话,那么是拒绝的。
实验二
• dmz区有一个代理服务器192.168.3.1 8080,用户希望员工通过代理服务 器上Internet,不允许其他的方式上网。
将应用层的安全附加在防火墙策略 ——保护内容表 上——保护内容表
保护内容表 – 说明
• 可以进行更细粒度的应 用层的内容检测技术 • 防火墙> 保护内容表 • 保护内容表涵盖病毒、 IPS、Web过滤、内容 归档、IM/P2P、VoIP、 与以上相关的日志
保护内容表 – 应用到防火墙策略
• 保护内容表可以被应 用到允许的防火墙策 略 • 如果使用防火墙认证 的话,则将保护内容 表应用到用户组 • 可以创建多个保护内 容表: • 单一的保护内容表可 以被应用到多个策略 上
如何设置防火墙认证——认证时间 如何设置防火墙认证——认证时间 —— 与协议
• 当没有已经认证的用户在没有数据流的情况下,经过“验证超 时“后,就需要重新认证 • 能够弹出用户名和密码的允许认证协议如上 • 采用证书方式认证
• 地址翻译成指定范围的IP地址 • 防火墙>虚拟IP >IP池 • 如何来验证 Diagnose sniffer packet any ‘icmp’ 4 Ping www.sina.com.cn
映射服务器——设置虚拟IP 映射服务器——设置虚拟IP ——设置虚拟
绑定的外部接口
一对一映射
外部的IP地址 内部的IP地址 IP
如何设置防火墙认证——用户 如何设置防火墙认证——用户 ——
• 用户对象是认证的一个方法 • 用户组是用户对象的容器
识别组成员 保护内容表和类型实现对成员的认证属性
• FortiGate FortiGate基于组的方式控制对资源的访问
用户组和防火墙策略定义了对用户的认证过程
如何设置防火墙认证——用户种类 如何设置防火墙认证——用户种类 ——
Original source IP: 172.16.20.20 Source IP received by Internet server: 204.50.168.90
.30
Internal Network 172.16.20.0 /24
Internet Server
如何设置源地址转换——不使用接 如何设置源地址转换——不使用接 —— 口地址
如何创建防火墙策略 – 定制时间表
• 防火墙的基于时间的控制
如何创建防火墙策略 – 选择动作
• • 数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功 后,就根据“Action”来决定操作,不再向下匹配。 在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。
• •
在 NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。 有以下类型的动作:
• 不需要启用NAT
实验
• 将内部服务器10.0.X.1映射到192.168.11.10X,让旁人ping 192.168.11.10X,然后抓包分析 Diagnose sniffer packet any ‘icmp’ 4
基于策略的流量控制
• 在防火墙策略中启动流量控制 设置。如果您不对防火墙策略 设置任何的流量控制,那么默 认情况下,流量的优先级别设 置为高级。 流量控制设置只有对设置 • 防火墙策略中的流量控制选项 动作为Accept,IPSEC以 设置为三个优先级别(低、中、 及SSL-VPN的策略可用。 高)。 • 确定防火墙策略中所有基本带 宽之和需要低于接口所承载的 最大容量。
如何设置防火墙认证——自动刷新 如何设置防火墙认证——自动刷新 ——
• Keepalive 命令行下设置: Config sys global Set auth-keepalive en End
如何设置源地址转换
• 缺省情况下,端口地址翻译为外部接口IP地址
.10
.20
.1
204.50.168.90 Internet
实验
• 我们将DMZ 192.168.3.1 80 映射到192.168.11.1X1的80端口 上 192.168.3.1 443 映射到192.168.11.1X2 443 • 内部用户10.0.X.1 通过公网地址192.168.11.1X3访问internet • 内部用户10.0.X.2 通过公网地址192.168.11.1X4访问Leabharlann Baidunternet 10.0.X.2 192.168.11.1X4 Internet
• 支持以下类型的认证:
本地用户
• 建立在防火墙上的用户名和密码
RADIUS用户
• 取自Radius的用户名和密码
LDAP / AD用户
• 取自LDAP服务器的用户名和密码
TACACS+
• 取自TACACS服务器的用户名和密码
FSAE / NTLM (AD)用户
• 可以实现单点登录
PKI
• 基于CA证书(不需要用户名和密码)
Accept Deny SSL——ssl vpn的策略 IPSec——Ipsec vpn的策略
如何创建IPv6和多播策略 如何创建IPv6和多播策略 IPv6
• • • 所有的IPV6和多播都是通过命令行来配置的 IPV6地址可以配置到任一接口 IPV6对象和策略
policy6 address6 addrgrp6
防火墙策略
接口
服务 NAT / Route 保护内容表
接口与IP IP地 如何创建防火墙策略 – 接口与IP地 址
• 两种类型的地址:
IP / IP Range FQDN——域名的方式
•
定义IP范围的多种方式:
192.168.1.99 192.168.1.0/255.255.255.0 192.168.1.0/24 192.168.1.99-192.168.1.105 192.168.1.[99-105]
防火墙策略
Course 201
创建防火墙策略的原则
• 策略是按照进出流量的接口部署 的 • 流量如果没有匹配的防火墙策略 的话,是不能穿过设备的 • 正确理解状态监测,防火墙的策 略应以数据流的发起方来判断建 立的方向 也就是说,当需要内部网访问 外部网时,只需要建立一个从 Internal到wan1的允许策略即可
如何设置防火墙认证——用户组 如何设置防火墙认证——用户组 ——
用户组名称 类别设为防火墙 保护内容表与用 户组绑定 设置组成员
如何设置防火墙认证——用户组与 如何设置防火墙认证——用户组与 —— 防火墙绑定
在防火墙策略里启用认证
选择用户组
选择是否支持Windows域用户,FSAE或者NTLM
如何设置防火墙认证——免责声明 如何设置防火墙认证——免责声明 ——
端口映射
外部IP端口
内部服务器端口
映射服务器——设置服务器的负载 映射服务器——设置服务器的负载 —— 均衡
选择使用服务器 负载均衡 外部的IP 分配流量的方式 外部的IP端口
内部的服务器列 表
映射服务器——添加允许访问服务 映射服务器——添加允许访问服务 —— 器的策略
• 策略是从外向内建立的 • 目标地址是服务器映射的 虚拟IP
•
FQDN域名方式
防火墙本身的DNS用来解析FQDN地址对象的 FQDN解析的缓存时间是由DNS服务器决定的
如何创建防火墙策略 – 选择与定制 服务
FortiGate本身内置了六十 多个预定义的服务
用户也可以自行定义服务, 以下协议可以定制:
TCP/UDP ICMP IP
也可以通过组的方式 将多个服务组合在 一起
•
多播策略
multicast-policy
实验一
• 10.0.x.1只能够访问www.fortinet.com,而不能访问其他的网 站
• 提示: 注意以下DNS的问题 • 没有匹配策略成功的话,那么是拒绝的。
实验二
• dmz区有一个代理服务器192.168.3.1 8080,用户希望员工通过代理服务 器上Internet,不允许其他的方式上网。
将应用层的安全附加在防火墙策略 ——保护内容表 上——保护内容表
保护内容表 – 说明
• 可以进行更细粒度的应 用层的内容检测技术 • 防火墙> 保护内容表 • 保护内容表涵盖病毒、 IPS、Web过滤、内容 归档、IM/P2P、VoIP、 与以上相关的日志
保护内容表 – 应用到防火墙策略
• 保护内容表可以被应 用到允许的防火墙策 略 • 如果使用防火墙认证 的话,则将保护内容 表应用到用户组 • 可以创建多个保护内 容表: • 单一的保护内容表可 以被应用到多个策略 上