飞塔防火墙的防火墙策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•
set vdom "root"
•
set ip 10.166.0.204 255.255.254.0
•
set allowaccess ping https
•
set type switch
• next
•end
ຫໍສະໝຸດ Baidu
•
软交换接口(3)———GUI视图
• GUI视图 • Ports 4 & 5被从接
口列表中删除 • 只有空接口可以被
软交换接口(5)——注意事项
• 所有的物理接口都可以加入到软交换接口中
▪ 标准接口 ▪ FA2接口 ▪ NP2接口 ▪ 无线接口(FortiWiFi)
• 以上接口可以在软交换接口中混合存在 • FortiGate不参与spanning tree
▪ 不发送STP包 ▪ 不接收STP包
• 因此需要注意LOOPS可能产生 !!!
▪ 用户信息被送到RADIUS server ▪ 用户的认证取决于服务器的响应
• 对象识别识别IP地址和共享密钥 ,最多支持两个 RADIUS servers
• RADIUS对象可以用来所有的服 务的认证
• Admin用户的Radius认证
•
软交换接口(1)——概念
• 软交换接口模式 • 在物理接口之间创建桥连接 • 每个软交换接口可以指定一个逻辑IP地址 • MR6中只能使用命令方式配置 • 不能用于HA monitor或心跳接口
ttl
•3
13
AMC-SW1/2
00:03:4b:4f:ac:b8
•3
13
AMC-SW1/2
00:09:0f:67:75:15
Static
•3
13
AMC-SW1/2
•
多播流量的控制
•多播流量在缺省状态下不 能透明穿越防火墙 •部署多播策略允许多播流 量 •可以对多播流量进行nat
•在透明模式下,也可以不 通过策略方式,而直接设置 全局选项multicastforward enable
•是否更改多模的ttl
•
基于RADIUS的防火墙认证
• FortiGate作为network access server (NAS)
•config system interface
•edit "port3"
•
set vdom "root"
•
set stpforward enable
•================================================================================
•
软交换接口(6)—— NAT/Route 方案
•L2 switch
•IP broadcast
•L2 switch
•交换机所有接口上都启用Spanning tree
•
软交换接口(7)——避免Loop
• 为了避免loop,需要开启FortiGate接口上的stpforward • 配置软交换组中的物理接口
true
•
软交换接口(8)—— Troubleshooting
• Sniffing
▪ 可以在物理或软交换接口上使用 ▪ 如果在软交换接口上使用sniffer命令,内部的交换流量不会捕获
•# diag sniff packet switch-1 •interfaces=[switch-1] •filters=[none]
•
Port Stg
•================================================================================
•
ENABLE
FORWARD CHANGE
•SID PORT_NUM PRIO STATE
STP FASTSTART PATHCOST TRANSITION DETECTION
• show bridge control interface switch-1 host.
• fdb: size=256, used=6, num=6, depth=1, simple=yes
• Bridge switch-1 host table
• port no device devname mac addr
•
软交换接口(9)—— 转发表(FDB)
• 检查软交换接口的FDB
• # diag netlink brctl list
• list bridge information
1. switch-1
fdb: size=256 used=6
num=6
depth=1
simple=yes
• # diag netlink brctl name host switch-1
•--------------------------------------------------------------------------------
•1 2/12
128
forwarding true
false
10
12
true
•1 2/13
128
blocking true
false
10
12
•
软交换接口(2)——配置
• 在MR7加入GUI支持
•config system switch-interface
• edit "switch-1"
•
set member "port4" "port5"
• next
•end
•config system interface
• edit "switch-1"
飞塔防火墙的防火墙策 略
2020年7月28日星期二
二层协议的穿越——基于接口控制
• 非ip的二层协议的穿过
• FortiGate本身不能够参与STP 协议,但是可以设置其通过
• 控制vlan数据包是否直接放过 • 控制arp广播包穿过
•config system interface •edit interface_name •set l2forward enable •set stpforward enable •set vlanforward enable •set arpforward enable •end
加入到软交换接口 • 已有任何配置的接
口(如DNS转发、 静态路由、防火墙 策略等)的接口都 不能加入软交换接 口组
•
软交换接口(4)——数据包行为
• 软交换接口组中各接口之间的流量无需防火墙策略控制 • 软交换接口被视为一个物理接口,就像链路聚合接口一样 • 可以在软交换接口上配置VLAN接口
•