高應(yīng)大交換器網(wǎng)路建置實(shí)習(xí)IIInew

高雄應(yīng)用科技大學(xué)有線網(wǎng)路建置實(shí)習(xí)(III)聯(lián)易科技股份有限公司李政勳

ben_lee@.tw什麼是防火牆?安全機(jī)制，用來隔離兩個(gè)安全信任度不同的網(wǎng)路。

什麼是防火牆?

什麼是防火牆?形成內(nèi)部網(wǎng)路與網(wǎng)際網(wǎng)路的咽喉點(diǎn)(ChokePoint)，落實(shí)安全性政策。有效的控管非必要或有安全性疑慮的封包。記錄及監(jiān)控內(nèi)部與網(wǎng)際網(wǎng)路活動(dòng)。偵測與避免非經(jīng)授權(quán)者存取組織單位網(wǎng)路資源。避免耗費(fèi)大量公開位址。避免內(nèi)部網(wǎng)路資訊直接暴露在外。

什麼是防火牆?軟體式Windows防火牆、linuxiptables、防毒軟體

硬體式獨(dú)立硬體設(shè)備什麼是防火牆?Route

Mode路由器各Port(網(wǎng)段)政策控管NATTransparentMode進(jìn)與出的政策控管什麼是防火牆?Route

Mode什麼是防火牆?TransparentMode什麼是防火牆?防火牆無法控管或監(jiān)控未經(jīng)過自己的封包管制模式全面管制全部deny，只針對需要的ip及協(xié)定做允許封包通過的政策設(shè)定安全性高，執(zhí)行不易全部開放全部permit，只針對特定的ip及協(xié)定做阻擋封包通過的政策設(shè)定安全性低，較不容易碰到網(wǎng)路問題政策規(guī)則FirstMatch防火牆功能DHCP防火牆功能NAT防火牆功能Mapping讓user可透過publicip及protocol對應(yīng)到內(nèi)部ip防火牆功能Mapping防火牆功能VPN在防火牆上建立一個(gè)虛擬介面，可透過這介面直接與其他內(nèi)部網(wǎng)路連線Fortigate連線方式連線方式CLI介面:console、telnet、sshWEB介面:透過browser，httporhttps連線方式Fortigate預(yù)設(shè)值為Route/NAT模式Internalinterface9/24允許https,http,ssh,ping預(yù)設(shè)管理帳號(hào)密碼:Name:adminPassword:無將電腦IP設(shè)定為/24內(nèi)的IP(orDHCP)將電腦介接在Fortigate的Internalport或port1內(nèi)(視機(jī)型而定)以9WEBGUI介面進(jìn)入fortigateName輸入“admin”,Password留空白,按”Login”登錄登入介面登入畫面1登入畫面2Fortigate–

設(shè)定流程概述(共三階段)

第一階段設(shè)定網(wǎng)路介面IP(Route/NAT,transparent)訂定防火牆政策規(guī)則(先以內(nèi)部到外部全通為原則,之後再加要設(shè)限的規(guī)則）訂定網(wǎng)路介面其他相關(guān)設(shè)定Route/NAT,Transparent(透通)模式設(shè)定DefaultRoute

步驟1–Route/NAT模式下設(shè)定IP步驟1–Route/NAT模式下設(shè)定IP編輯Interface1.更改IP和子網(wǎng)路遮罩2.勾選pingserver和填入IP3.勾選管理權(quán)限4.按”O(jiān)K”(此時(shí)和Fortigate

間連線會(huì)中斷)5.清除電腦內(nèi)ARPtable,重新以WebGUI和所更改的IP連接Fortigate步驟1–Route/NAT模式下設(shè)定IP或在Console或CLI中如下設(shè)定:#configsysteminterface(interface)#editinternal(internal)#setip54(internal)#endStatus–

如何改為Transparent

模式或是使用Command：#Configsyssetting(setting)#setopmodetransparent步驟1–Transparent模式設(shè)定管理IPTransparent模式中,預(yù)設(shè)管理IP為可由internalport或port1(視機(jī)型而定)進(jìn)入管理步驟1–Transparent模式下設(shè)定IP或在Console或CLI中如下設(shè)定:#configsystemsetting(settings)#setopmodetransparent(settings)#setip54(internal)#end步驟1–

制定防火牆規(guī)則Firewall->Policy->CreateNew步驟1–

制定閘道模式防火牆規(guī)則Sourceinterface選inernalDestinationinterface選externalSource和Destination都選all若FG為Route/NAT,則視客戶環(huán)境是否需要作NAT,若FG為Transparent模式，則不會(huì)有NAT選項(xiàng)按”O(jiān)K”建立防火牆政策步驟1–

制定通透模式防火牆規(guī)則Sourceinterface選inernalDestinationinterface選externalSource和Destination都選all若FG為Route/NAT,則視客戶環(huán)境是否需要作NAT,若FG為Transparent模式，則不會(huì)有NAT選項(xiàng)按”O(jiān)K”建立防火牆政策步驟1–

制定防火牆規(guī)則若防火牆架設(shè)在網(wǎng)路環(huán)境上,無論是Route/NAT或是Transparent模式,此時(shí)會(huì)阻擋由防火牆外部到內(nèi)部的流量.已預(yù)建了一條“內(nèi)到外NAT”的防火牆政策步驟1–Route/NAT,Transparent

設(shè)定DefaultRouteRoute/NAT模式,Fortigate會(huì)根據(jù)路由表轉(zhuǎn)送封包或是先轉(zhuǎn)址(NAT)再轉(zhuǎn)送封包.Transparent模式,則如同F(xiàn)ortigate本身的預(yù)設(shè)閘道(Gateway)System-Network網(wǎng)路介面細(xì)項(xiàng)定義802.1QVLAN虛擬網(wǎng)路埠DNS及DDNS設(shè)定Zones概述步驟1–

訂定網(wǎng)路介面其他設(shè)定定義位址(Address)手動(dòng)(staticIPaddress)DHCPPPPoE管理介面設(shè)定

Https,Ping,Http,Telnet,SSH,SNMP步驟1–

訂定網(wǎng)路介面其他設(shè)定

Network-InterfaceOverview步驟1–

訂定網(wǎng)路介面其他設(shè)定

Network–interface-ManualEditinterface/Vlan選單中1.指定IP和子網(wǎng)路遮罩2.勾選管理權(quán)限步驟1–

訂定網(wǎng)路介面其他設(shè)定

Network–interface–PPPoE填入PPPoE帳號(hào)及密碼勾選”Retrievedefaultgatewayfromserver”Network–Interface–CreateNew

建立新的VLAN網(wǎng)路介面指定VLAN所在的實(shí)體網(wǎng)路埠填入VLANID(802.1Q)填入VLANIPNetwork–DNS設(shè)定有關(guān)fortigate中Alertemail和URLblocking功能會(huì)需要DNS查詢Fortigate可當(dāng)作DNSrelay（DNSrequest轉(zhuǎn)送),當(dāng)有DNS查詢封包時(shí)，fortigate會(huì)將封包轉(zhuǎn)送到所設(shè)定的DNSserver步驟1–

訂定網(wǎng)路介面其他設(shè)定

Network–Interface-DDNS設(shè)定必須先註冊某一DDNSserver將所申請的Domain,Username,password填入欄位中Router-Static定義根據(jù)目的IP該轉(zhuǎn)送到哪個(gè)gateway或哪個(gè)網(wǎng)路介面,此畫面所定義的路由為defaultrouteRouter-Policy概述可根據(jù)下列方式傳送封包:sourceaddress來源位址protocol,servicetype,orportrange

通訊協(xié)定,服務(wù)類別,或通訊埠範(fàn)圍IncomingInterface

andsourceIPaddress

來源埠和來源位址政策路由表是個(gè)別獨(dú)立的Pingserver(DGD)必須在outgoingInterface中啓動(dòng)RoutingTableList在Route/NAT模式中，檢視各個(gè)路由的狀況和資訊Fortigate–System項(xiàng)目快速了解系統(tǒng)設(shè)定和運(yùn)作Maintenance維運(yùn)Troubleshooting了解問題癥結(jié)備份和還原設(shè)定ConfigurationsettingsSystem–Status

監(jiān)控Fortigate系統(tǒng)狀態(tài)Status–Session

監(jiān)控網(wǎng)路連線狀態(tài)System-ConfigTime-設(shè)定時(shí)間及時(shí)區(qū)Options–有關(guān)管理及語言等設(shè)定HA(HighAvailable)概述Admin–管理者及管理權(quán)限設(shè)定SNMPv1/v2c–網(wǎng)管設(shè)定概述ReplacementMessage–取代訊息設(shè)定System–Config-Time訂定時(shí)間,時(shí)區(qū)或是和網(wǎng)路時(shí)間伺服器校時(shí).此選項(xiàng)會(huì)影響log所紀(jì)錄的時(shí)間,以及FDS更新伺服器的選擇System–Config-Options可更改閒置時(shí)間限制,認(rèn)證等待時(shí)間,改變畫面語系,設(shè)定LCD面板密碼,設(shè)定網(wǎng)路failover的時(shí)間及間隔System–Config-HA概述Routemode跟透通模式哪個(gè)較需要HA?System–Config-SNMPv1/v2c概況System–Config-FortimanagerSystem-AdminAdministratorsAddadministratoraccounts(upto12)AccessProfileSystem–Admin-AdministratorsSystem–Admin-AccessProfileSystem-MaintenanceBackup&RestoreFirmwareSupportShutdownSystem–Maintenance-ContractSystem–Maintenance-Backup&Restore系統(tǒng)自動(dòng)設(shè)定備份Firmware升級(jí)(WebGUI)D:\FortiGate\FortiOSv4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.outFirmware升級(jí)(Console)Fortigateport1或internalport與電腦對接在電腦中啓動(dòng)TFTPServer以console方式連接fortigateserialportSystem–Maintenance-ShutdownSystem–Maintenance-Support用於回報(bào)BUG和購買後的產(chǎn)品註冊什麼是VDOM?FortiGate3016(含)以上的機(jī)型可提供upto250個(gè)virtualdomainsSystem–VirtualDomain概述無論是在NAT/Route或是Transparent模式,所有的FortiGate設(shè)備預(yù)設(shè)可建10個(gè)virtualdomainsFortiGate3016(含)以上的機(jī)型可提供upto250個(gè)virtualdomainsSystem–VirtualDomain概述紀(jì)錄與報(bào)表紀(jì)錄和報(bào)表LogConfig–記錄設(shè)定LogAccess–查詢記錄步驟3–

設(shè)定記錄要存放的位置FG-60B,FG-310B沒有Harddisk,只能存放在memory.若是有硬碟的機(jī)型,則可選擇存放在Harddisk或是將log轉(zhuǎn)送到可收syslog的伺服器若要留下所有相關(guān)記錄,Level要選擇information步驟3–設(shè)定需要保留的記錄啟動(dòng)系統(tǒng)的事件記錄(EvenLog)步驟3–設(shè)定Policy與AntiVirus的記錄設(shè)定紀(jì)錄存放的位置RemoteSyslogServerWebTrendsServerLocalDiskMemoryBufferFortiAlanyzerAppliance紀(jì)錄的種類Selectlogtypesandfilteroptionsforeachlocation觀看紀(jì)錄可直接查看存放在記憶體或硬碟,以及FortiAnalyzer中的記錄資料搜尋紀(jì)錄紀(jì)錄的格式FortiGatelog主要由兩大部分組成Logheader紀(jì)錄表頭Logbody紀(jì)錄內(nèi)容

1

2010-12-1422:14:05log_id=0021000002type=trafficsubtype=allowedpri=noticestatus=acceptvd="root"dir_disp=orgtran_disp=snatsrc=srcname=src_port=1163dst=3dstname=3dst_port=80tran_ip=5tran_port=60429service=80/tcpproto=6app_type=N/Aduration=129rule=1policyid=1identidx=0sent=1841rcvd=829shaper_drop_sent=0shaper_drop_rcvd=0perip_drop=0shaper_sent_name="N/A"shaper_rcvd_name="N/A"perip_name="N/A"sent_pkt=5rcvd_pkt=6vpn="N/A"src_int="internal"dst_int="wan1"SN=6648app="N/A"app_cat="N/A"user="N/A"group="N/A"carrier_ep="N/A"

(每一筆紀(jì)錄在fortigate中皆為單一行顯示)警訊信件設(shè)定支援SMTP認(rèn)證需設(shè)定fortigate上DNS參數(shù)最多可設(shè)定三名收件人發(fā)送警訊信件設(shè)定訂定發(fā)生事件後延遲發(fā)信的時(shí)間選擇何種事件等級(jí)引發(fā)發(fā)信動(dòng)作選擇哪些事件要發(fā)email通知附錄.Fortigate常用指令網(wǎng)路介面相關(guān)指令

-設(shè)定速率

指定介面設(shè)定速率網(wǎng)路介面相關(guān)指令

-設(shè)定介面其他參數(shù)

Fortigate#getsysint可獲知目前介面參數(shù)設(shè)定附錄.Fortigate常用指令網(wǎng)路介面相關(guān)指令

-設(shè)定介面其他參數(shù)

(SecondaryIP)

附錄.Fortigate常用指令I(lǐng)P-MAC結(jié)合功能

-模式設(shè)定

設(shè)定封鎖條件未定義之IP處理方式附錄.Fortigate常用指令I(lǐng)P-MAC結(jié)合功能

-定義IPMAC對應(yīng)表

新增資料筆數(shù)設(shè)定IP設(shè)定名稱設(shè)定MAC此筆資料啟用狀態(tài)附錄.Fortigate常用指令I(lǐng)P-MAC結(jié)合功能

-啟用介面IPMACBinding功能附錄.Fortigate常用指令TroubleShoo