飞塔防火墙13-wan优化

实验
测试FG-FG，FortiClient—FG之间FTP协议的A-P和P-P模式的WAN 优化
常见诊断命令
Commands to Know
diag vpn ipsec status -显示CP和NP的版本 diag wadbd clear -删掉数据库中所有数据缩减（data deduction）的 内容 diag wadbd check – 检查数据库的完整性 diag wad session list – 显示WAN Op 会话 diag wad session clear – 清楚 WAN Op 会话表 diag test app wad <option> -诊断和统计的命令集，用选项3可以显 示Wad pro是y和硬盘的情况. diagnose wacs stats -显示Cache的使用情况统计. fnsysctl ps – 显示当前运行的进程，可以查看 WAN Op 进程: bin/wa_dbd 和 /bin/wad. 是否在运行 diagnose debug application wad 255 显示实时信息 diagnose wad console-log enable/diagnose debug enable – 在终端 上显示Wad的诊断信息
Wan优化1——协议优化
FortiGate使用协议优化的方法来减少带宽的战用，有很多协议是 在局域网环境下开发的，可以通过在两端的FortiGate上采用一些 优化和压缩技术，来减少广域网的数据传输，节省带宽，减少延 迟，提高运行速度。 支持的协议有：
CIFS (file servers) MAPI (E是change/Outlook) HTTP/HTTPS FTP TCP
FortiClient与FortiGate之间WAN 优化
FortiClient 配置1——客户端设置
客户端只需要启用广域网优化即可,FortiClient会通过TCP选项 自动和FortiGate通信，建立优化通道
FortiClient 配置2——FortiGate端配置
FortiGate端需要配置一个Passive模式的规则，和配置一个Authentication 组，名字为“auth-fc”
Wan 优化
Course 201 v4.0
Wan 优化简介
Wan优化可以提高通过Wan运行的应用的性能，减少数据 传输，减少延迟，优化为LAN环境设计的应用。 Wan优化需要硬盘支持 FortiGate主要的优化技术有：
协议优化（Protocol optimization）， 数据缩减（data deduction 又叫 Byte caching), Web Cache SSL 安全通道（Secure tunnel ）
FortiGate是靠对等体来识别对方的。每台FG都需要配置Peer, 配置需 要ID和IP地址
对等体可以说一个设备，也可以是一组设备，一组设备就要在 Authentication Group 中配置。
Peer ID
Peer IP
peer-peer配置2——配置规则
服务器端
客户端
只需要在客户端配置规则，服务器端只需要正 确配置Peer.
可以用SSL加密wan加速的通道，称为安全通道（secure tunnel) ， TCP端口为7810（P-P模式下），和非加密通道的端口号一样。 SSL和安全通道都需要CP6的支持
6
Fortinet Confidential
Product Overview
支持的型号
Platform FGT
是wk.baidu.com
是 是 是 是 是
-
是
是 是 是 是 是
All Other FOS 4.0
-
-
是
-
-
-
-
A-P模式和P-P模式的配置
网络拓扑
测试了一下两种模式，A-P和P-P，还测试了HTTPS的wan优化及 FortiGate在透明模式下的wan优化
WAN优化的规划注意事项
网络流量首先匹配防火墙策略，然后匹配WAN OPT规则。 WAN OPT与保护内容表不能同时使用，但可以通过VDOM划分实 现。
两种模式各自的适用范围
P-P适用于两个固定IP的FortiGate之间建立Wan优化，和IPsec的Site-toSite类似。A-P适用于移动用户，如拨号的FGT或者FortiClient，类似于 dialup IPsec
P-P模式
A-P模式
A-P模式
Wan优化后的效果演示 -FTP
两次FTP相同文件，时间相差很大
LAN VDOM-PP ----- Inter-Link ----- VDOM-WANOPT WAN
所有FG型号都支持Web proxy和WCCP v2。 只有FG50B-HD、FG110C-HD、ASM-S08和某些支持ISCSI的FG型号 才支持wan优化。老型号即使有硬盘也不支持。（见后页） 只有CP6型号支持基于SSL和安全通道。 只支持FG-FG或FG-FortiClient间的WAN OPT，不兼容第三方设备或 软件。
总是Revalidate，每次都要检查 Cached的有效性。
Negative Response Duration，是否 Cache negative Response（如：404 错误）,Cache多长时间。 Fresh Factor ，新鲜度指数，新鲜 度越低，Cache更新越快，wan带 宽占用越高，反之，则Cache更新 慢，wan带宽占用低 最大/最小/缺省TTL，内容在Cache 中最长、最短和缺省时间
50B-HD 110C-HD
WAN OPT
是 是
Web Cache
是 是
Proxy
是 是
iSCSI
-
SAS
-
Internal HDD
是 是
AMC HDD
-
310B
620B 3016B 3600A 3810A 5001ASW
是
是 是 是 是 是
是
是 是 是 是 是
是
是 是 是 是 是
是
是 是 是 是 是
两种模式的配置要点
1，都要首先配置对等体（peer-list）对等体可以是一个，也可以是 多个)，多个对等体需要用Authentication组 配置。FortiClient或者拨号 的FGT不需要配置对等体，它们需要配置Authentication组 。 2，开始配置规则（rule),选择相关的源地址、目的地址、端口和协 议，如果知道具体地址，端口，要用具体地址和端口，不要用网 段和端口范围。 3，一般要选择Enable Byte Caching，它适用于所有的TCP协议。 4，配置安全通道（Secure Tunnel ）需要配置Authentication组 5，配置Ssl加密，还要在服务器端FG上配置Ssl服务器 6，选择透明（Transparent Mode ）和不选择透明，服务器端会看到 不同的客户端地址，透明显示客户端PC地址，非透明会显示客户 端FG接口地址。
Byte Cache需要硬盘的支持。
Wan优化3——Web Cache & 加速
FortiGate支持正向和反向的透明代理缓存,也支持非透明的正向代理 Cache.
正向:为客户端缓存浏览的网页。减少广域网带宽占用，提高浏览速 度。 反向:缓存本地服务器的内容，供远程用户访问，用户可以通过它访 问静态的网页和文件，减轻本地服务器的负载。
Active-Passive配置1——定义对端
必须首先定义对端（peer）
FortiGate是靠设置对端来识别对方的。每台FG都需要配置对端(Peer), 配置需要ID和IP地址
对等体可以说一个设备，也可以是一组设备，一组设备就要在 Authentication Group 中配置。
Peer ID
peer-peer配置3——注意事项
1，peer-peer模式，两个FGT之间会建立一个通道（TCP端口7810）， 就像VPN通道一样，直接将两边FGT的内网连接在一起，这时服务 器端的FGT甚至不需要配置防火墙策略。
2，客户端的FGT只要配置相应的策略。Wan优化在服务器端不需 要策略
对于HTTPS需要将服务器CA证书导入FortiGate 不属于以上四类服务的其他TCP服务，可以选择TCP优化。
Wan优化2——Byte caching
Byte Cache是将大的数据分成小的块（chunk，2KB),标记每 个块，并计算每块的hash值，将每个块已经它们的hash值 保存在FortiGate的本地硬盘上，这样在通过wan传输数据时， 不需要传送实际数据，先传送hash值，如果两端FortiGate 上的hash值匹配，就不需要再传输，只有hash不匹配的部 分才需要重新传送，这样就节省了带宽。
监控和诊断
基本概念
三个重要的进程， WAD, WADBD and WAC。
AD进程负责处理协议和识别数据，并于WADBD和WACS通信，是最关键的进 程。 WADBD进程负责处理bytes cache WACS进程连接后端数据，来处理MD5，更新和存储，负责处理Object Cache 如果WACS进程down,数据将不能被Cache到硬盘，Http Object Cache将被缓存到 内存中，直到128M
5
Fortinet Confidential
Product Overview
Wan优化4——SSL和通道
对于SSL加密的流量(如：https)，仍支持Wan优化：
需要将服务器CA证书输入到FortiGate上。 Full模式，从客户端FG-服务器端FG-服务器全程加密 Half模式，从客户端FG-服务器端FG为加密，服务器端FG-服务器之间 为明文。
Wan opt靠WAD会话完成，WAD会话由客户端FG发起，由服务 器端FG终结。
每个Wad会话需要一条Wad tunnel 来处理。 Active-Passvie模式，通过tcp选项“63 02”自动与对端建立Tunnel Peer-peer模式，通过Peer-list列表，指定对端，建立Tunnel，通道的 TCP端口号为7810。 通道可以用SSL加密
Web透明和显式代理
Web透明配置——Web Cache Only
这种情况一般都是客户端有FortiGate
客户端
服务器
正向Cache
Web显式代理与Cache
要配置显式代理，然后在Cache设置中启用显式Cache
端口启用显式代理
Cache设定中启用显式代理
Cache设定
一般情况下，使用缺省设置即可
Peer IP
Active-Passive配置2——规则（rule）
和防火墙策略一样，wan优化规则自上而下匹配。 匹配源地址、目的地址和目标端口 第一条匹配的策略被启用
Active-Passive配置3——配置规则
服务器端 客户端 客户端主动，服务器端选被动
Active-Passive配置4—— 注意事项
1，首先要保证客户端PC到服务器端FGT的可达性（Ping）。 2，不建议启用NAT，即使启用也不工作。 3，服务器端FGT要配置一条从外到内的防火墙策略，以允许外部客 户端访问内部服务器。
peer-peer配置1——配置对端
和Active-Passive一样，首先定义对等体（peer）