fortigate02-防火墻策略.ppt_第1頁
fortigate02-防火墻策略.ppt_第2頁
fortigate02-防火墻策略.ppt_第3頁
fortigate02-防火墻策略.ppt_第4頁
fortigate02-防火墻策略.ppt_第5頁
已閱讀5頁,還剩67頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

,防火墻策略 OS 4.0,防火墻策略使用“Any”接口,支持“Any”接口,Any相當于所有接口的集合,兩種查看方式Section或者Global,使用了Any作為接口只能支持Global view “any”接口不能用于VIP或IP-pool,防火墻策略使用“Any”接口,源或目的接口都可以設置為“any” 如果任何一條防火墻策略使用了“any”接口,則只能使用防火墻策略全局視圖 “any”接口不能用于VIP或IP-pool,支持“Any”接口,Any相當于所有接口的集合,兩種查看方式Section或者Global,使用了Any作為接口只能支持Global view,基于用戶認證的子策略,啟用基于用戶的子策略 可以針對不同的用戶組使用不同的 時間表 服務 保護內(nèi)容表 流量控制 流量日志,基于用戶認證的子策略例,說明 根據(jù)不同的用戶組部署不同的保護內(nèi)容表和流量控制,基于接口的DoS策略,特點: 基于接口部署 可以指定服務,流量控制增強,Traffic Shaper,FW Policy,APP Control P2P,流量控制的方向,如果只設置流量控制,而沒有設置Reverse Direction Traffic Shapping,則該流量控制是針對上下行同時起作用的 如果設置了Reverse Direction Traffic Shapping,則上行的速度有流量控制來起作用,而Reverse Direction Traffic Shapping則控制下行速度,虛擬IP的間隔式ARP廣播,通過配置發(fā)送ARP廣播的方式讓路由器自動地更新ARP表。通過命令行可以設置發(fā)送ARP廣播的頻率。間隔時間設置為0時,則關閉ARP廣播 config firewall vip edit new_vip (configure the virtual IP) set gratuitous-arp-interval end,虛擬IP的ARP廣播,服務器負載均衡新建虛擬服務器,虛擬服務器支持的,多種分配方式,Static 根據(jù)發(fā)起請求的源IP來分配流量,對于某一源IP來說,在沒有達到目的IP的會話限制前,不會輪詢到下一個目的IP Round Robin 根據(jù)發(fā)起的會話來分配,根據(jù)會話來輪換目標IP Weighted 按照權重來分配會話,比如分別設置兩個服務器的權重為2和10,則會話按照2:10的方式來分配,多種分配方式,First Alive 根據(jù)健康檢查狀況,永遠把流量轉向第一個保持存活的服務器 Last RTT 根據(jù)健康檢查的ping獲得的RTT來判斷將流量傳到哪臺服務器 Last Session 按照權重來分配會話,比如分別設置兩個服務器的權重為2和10,則會話按照2:10的方式來分配,健康檢查,TCP 通過不傳數(shù)據(jù)的空連接來檢測 Ping Ping包 HTTP Get一個內(nèi)容然后進行匹配,不同的保持方式(Persistence )Cookie,None HTTP Cookie SSL,不同的保持方式(Persistence )SSL,根據(jù)SSL ID來分配流量 只能在支持SSL offload功能中使用 Diagnose debug application vs 7,SSL Offload,僅FG110C FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 兩種模式 客戶端到FG加密,F(xiàn)G到Server不加密 客戶端到FG加密, FG到Server加密 客戶端到FG加密采用的是FG頒發(fā)的證書,而非服務器頒發(fā) 目前build141可以正常工作,MR1不可以,可以支持Firefox, IE 6.0不可以。,HTTP multiplex(多路復用)一,HTTP multiplex(多路復用)二,如果選中,沒有選中,Vdom的資源限制,全局的資源,每個虛擬域的資源,修改 恢復出廠值,POST三種處理方式,Normal 正常允許 Block 阻斷POST動作 Comfort 對于Post采用定時發(fā)送數(shù)據(jù)包的方式保持連接,Block阻斷方式,禁止Post動作,Comfort方式,Comfort模式查看http進程的動作 : Diag debug app http -1: 2: 9:3362 :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2: 9:3362 :80: CLTRDRDY HTTP_REQUEST_STATE 2: 9:3362 :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 :80: LOOPEND HTTP_REQUEST_BUFFER_STATE 抓包分析: 設置comfort的時間間隔和數(shù)量,AMC Bypass,測試過build 92和141均無法支持AMC-CX4,無法切換到正常模式,只能停留在Bypass模式上,config system amc set sw1 asm-cx4 set watchdog-recovery enable | disable set watchdog-recovery-period End,AMC 診斷工具,Diagnose,SSL內(nèi)容掃描與監(jiān)測,兩種模式可以選 URL Filtering (URL過濾) to limit HTTPS content filtering to URL filtering only. Select this option if all you wan t to do is apply URL web filtering to HTTPS traffic. If you select this option you cannot select any Anti-Virus options for HTTPS. Under Web Filtering you can select only Web URL Filter and Block Invalid URLs for HTTPS. Selecting this option also limits the FortiGuard Web Filtering options that you can select for HTTPS. Deep Scan (深度掃描) to decrypt HTTPS traffic and perform additional scanning of the content of the HTTPS traffic. Select this option if you want to apply all applicable protection profile options to HTTPS traffic. Using this option requires adding HTTPS server certificates to the FortiGate unit so that HTTPS traffic can be unencrypted.,流量控制增強,流量控制流程 v3.0 v4.0 ,出口隊列,每個非NP的物理接口上4個出口隊列(v3.0有6個隊列) 隊列指派是絕對的。(v3.0是相對的) 隊列計算請見上頁圖形 ToS和TS的隊列號目前是1 (high) , 2 (medium) , 3 (low) 隊列0用于設備自身產(chǎn)生的流量,獨立的shaper,Traffic shaper從防火墻策略中獨立出來 (*) 缺省情況下,該shaper應用到所有調(diào)用它的策略中,DUT_Beta4_0 # sho firewall policy config firewall policy edit 1 set srcintf “port5“ set dstintf “port6“ set srcaddr “VM11“ set dstaddr “VM5“ set action accept set schedule “always“ set service “ANY“ set traffic-shaper “l(fā)imit_GB_25_MB_50_LQ“ next end,DUT_Beta4_0 # show firewall traffic-shaper config firewall traffic-shaper edit “l(fā)imit_GB_25_MB_50_LQ“ set guaranteed-bandwidth 25 set maximum-bandwidth 50 set priority low set per-policy enable (*) next end,新菜單,Shaper列表,獨立的shaper,排錯:丟包,DUT_Beta4_0 # diagnose firewall shaper name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 51 KB/sec priority 3 dropped 1291985,跟蹤每個shaper的丟包情況,DUT_Beta4_0 # diagnose firewall shaper list name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 0 B/sec priority 3 dropped 0 name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50 KB/sec priority 3 policy 1 dropped 214 name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50 KB/sec priority 3 policy 4 dropped 569,排錯:丟包,2 instances createas 2 FWP refer to this shaper,因為有2條防火墻使用了這一個shaper,所以有這2個條目,這是shaper設為“每策略”的結果,排錯:丟包 debug flow,DUT_Beta4_0 # diagnose debug enable DUT_Beta4_0 # diagnose debug flow show console enable DUT_Beta4_0 # diagnose debug flow filter addr DUT_Beta4_0 # diagnose debug flow trace start 1000 DUT_Beta4_0 # id=20085 trace_id=11 msg=“vd-root received a packet(proto=17, 1:3735-:5001) from port5.“ id=20085 trace_id=11 msg=“Find an existing session, id-0000eabc, original direction“ id=20085 trace_id=11 msg=“exceeded shaper limit, drop“,反向流量使用單獨的shaper,DUT_Beta4_0 # show firewall policy 4 config firewall policy edit 4 set srcintf “port2“ set dstintf “port6“ set srcaddr “VM3“ set dstaddr “VM6“ set action accept set schedule “always“ set service “ANY“ set traffic-shaper “l(fā)imit_GB_25_MB_50_LQ“ set traffic-shaper-reverse “l(fā)imit_GB_12_MB_25_LQ“ next end,與發(fā)起方向相反,流量控制的方向,如果只設置流量控制,而沒有設置Reverse Direction Traffic Shapping,則該流量控制是針對上下行同時起作用的 如果設置了Reverse Direction Traffic Shapping,則上行的速度有流量控制來起作用,而Reverse Direction Traffic Shapping則控制下行速度,P2P流量控制的修改,v3.0界面,已被移除,P2P shaper,P2P控制已經(jīng)被移至應用控制下 第1步:創(chuàng)建一個應用列表 config application list edit “kazaa_and_BT“ config entries edit 9 (kazaa) set action pass set shaper “p2p-kazaa“ next edit 6 (BitTorrent) set action pass set shaper “l(fā)imit_BitTorrent“ next end next end 第2步:在保護內(nèi)容表中調(diào)用,注意事項,1. 想要獲得精確的測試效果,待測流量應該是不能自我糾正的。例如UDP的效果較好,TCP效果較差 2. 只有不使用保護內(nèi)容表的防火墻策略才能獲得精確的流量控制效果(Proxy可能導致難以預測的延遲) 3. 各shaper設置之和不要超過總帶寬限制 ( 例如:GB之和應該小于outbandwith ) 見測試14 4. FortiGate并不按照DSCP值進行優(yōu)先級排列,VIP負載均衡增強,服務器負載均衡新建虛擬服務器,虛擬服務器支持的,多種分配方式,First Alive 根據(jù)健康檢查狀況,永遠把流量轉向第一個保持存活的服務器 Last RTT 根據(jù)健康檢查的ping獲得的RTT來判斷將流量傳到哪臺服務器 Last Session 按照權重來分配會話,比如分別設置兩個服務器的權重為2和10,則會話按照2:10的方式來分配,健康檢查,TCP 通過不傳數(shù)據(jù)的空連接來檢測 Ping Ping包 HTTP Get一個內(nèi)容然后進行匹配,不同的保持方式(Persistence )Cookie,None HTTP Cookie SSL,不同的保持方式(Persistence )SSL,根據(jù)SSL ID來分配流量 只能在支持SSL offload功能中使用 Diagnose debug application vs 7,SSL Offload,僅FG110C FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 兩種模式 客戶端到FG加密,F(xiàn)G到Server不加密 客戶端到FG加密, FG到Server加密 客戶端到FG加密采用的是FG頒發(fā)的證書,而非服務器頒發(fā) 目前build141可以正常工作,MR1不可以,可以支持Firefox, IE 6.0不可以。,HTTP multiplex(多路復用)一,HTTP multiplex(多路復用)二,如果選中,沒有選中,Troubleshooting,FG3600A-3 # diag firewall vip realserver ldb real servers virtual-server virtual-server diagnostics FG3600A-3 # diag firewall vip virtual-server filter filter for various virtual server diagnostics log logging diagnostics real-server real-server diagnostics session session diagnostics ssl SSL sessions stats statistics FG3600A-3 # diag firewall vip virtual-server real-server list vd root/0 vs HTTPS-srv/3 addr 18:80 status 1/1 conn: max 10 active 0 attempts 0 success 0 drop 0 fail 0 ssl: 0 FG3600A-3 # diag firewall vip realserver down change address down flush flush healthcheck server health check list list up change address up FG3600A-3 # diag debug application vs 7,基于用戶認證的策略,基于用戶認證的子策略,啟用基于用戶的子策略 可以針對不同的用戶組使用不同的 時間表 服務 保護內(nèi)容表 流量控制 流量日志,基于用戶認證的子策略例,說明 根據(jù)不同的用戶組部署不同的保護內(nèi)容表和流量控制,功能描述,所有啟用用戶認證的防火墻策略將成為“基于用戶認證的策略” 可以將一條策略拆分成多個子項: 用戶組 時間表 服務 保護內(nèi)容表 流量控制 流量日志,變化?,在v3.0MR6時,就可以在一條策略里使用多個用戶組,綁定不同的保護內(nèi)容表,v3.00 MR7,變化?,基于用戶認證策略的有點: 每個用戶組使用不同的服務、時間表、流量控制等 策略可讀性更強,認證的次數(shù)?,默認情況下,例如v3.0MR5+,認證是基于策略的:當一個用戶已經(jīng)在策略1中認證過,當他使用策略2時,需要重新認證。 有一條命令可以改變以上情況,變?yōu)槿终J證 top3 777,config system global set auth-policy-exact-match disable end,默認值是enable,所以所有策略都必須一一認證,認證的次數(shù)?例,以上兩條策略訪問不同的目的地址,而認證用戶組是一個。 如果auth-policy-exact-match設置成enable,則訪問dst1和dst2都分別需要認證 如果auth-policy-exact-match設置成disable,則訪問dst1和dst2只需要認證一次,認證事件日志,格式化后,原始,注意:如果一個用戶停留在認證界面長時間不操作,也會產(chǎn)生事件日志 1 2009-03-18 21:54:06 warning authenticateUser failed to authenticate within the allowed period,用戶監(jiān)視 - Firewall,v4.0的GUI下可以監(jiān)視已認證的用戶,Syslog,認證成功,Dec 18 23:59:05 07 date=2008-12-18 time=14:54:34 devname=FG3600A-1 device_id=FG3K6A3406600033 log_id=0106038001 type=event subtype=auth pri=notice vd=VDB user=“user1“ group=“group1“ ui=HTTP(7) action=authenticate status=success msg=“User user1(group1) succeeded in authentication“,Dec 19 00:10:29 07 date=2008-12-18 time=15:05:58 devname=FG3600A-1 device_id=FG3K6A3406600033 log_id=0106038002 type=event subtype=auth pri=warning vd=VDB user=“ service=HTTP action=authenticate status=timeout reason=timeout src=7 srcname=N/A dst=54 dstname=N/A msg=“User failed to authenticate within the allowed period“,長時間停留在認證頁,認證超時,與v3.0相同,config system global set auth-keepalive enable,Debug:用戶認證狀態(tài),diagnose firewall auth list(可過濾),FG3600A-1 (VDB) # diagnose firewall auth list policy id: 1, src: 7, action: accept, timeout: 140 user: user2, group: group2 flag (80020): auth timeout_ext, flag2 (0): group id: 2, av group: 0 policy id: 1, src: 5, action: accept, timeout: 57 user: user1, group: group1 flag (80020): auth timeout_ext, flag2 (0): group id: 1, av group: 0 - 2 listed, 0 filtered -,FG3600A-1 (VDB) # diagnose firewall auth filter group group1 FG3600A-1 (VDB) # diagnose firewall auth list policy id: 1, src: 5, action: accept, timeout: 19 user: user1, group: group1 flag (80020): auth timeout_ext, flag2 (0): group id: 1, av group: 0 - 1 listed, 1 filtered -,FG3600A-1 (VDB) # diagnose firewall auth filter clear clear all filters group group name method method policy policy id source source ip address user user name FG3600A-1 (VDB) # diagnose firewall auth filter FG3600A-1 (VDB) # diagnose firewall auth filter method valid method name: fw, fsae, ntlm,重要提示:debug過濾也可以作用于 diag firewall auth clear 意味著可以有選擇的刪除用戶認證狀態(tài)!,Debug:防火墻會話,有認證的會話將有更多的信息,session info: proto=6 proto_state=11 expire=3588 timeout=3600 flags=00000000 sockflag=00000000 sockport=80 av_idx=0 use=5 origin-shaper= reply-shaper= ha_id=0 hakey=58157 policy_dir=0 tunnel=/ user=user2 group=group2 state=redir local may_dirty authed rem statistic(bytes/packets/allow_err): org=4876/20/1 reply=5642/11/1 tuples=3 orgin-sink: org pre-post, reply pre-post dev=8-9/9-8 gwy=54/7 hook=post dir=org act=snat 7:1095-54:80(07:38595) hook=pre dir=reply act=dnat 54:80-07:38595(7:1095) hook=post dir=reply act=noop 54:80-7:1095(:0) pos/(before,after) 0/(0,0), 0/(0,0) misc=20002 policy_id=1 auth_info=2 chk_client_info=0 vd=4 serial=0000072b tos=ff/ff app=0 dd_type=0 dd_rule_id=0,Debug : authd, fnbamd,當用戶在Web登錄頁面成功認證后,FG3600A-1 (global) # message_loop: checking timeouts authd_http.c:792 authd_http_read: called authd_http.c:1671 authd_http_wait_credential: called authd_http_common.c:262 authd_http_read_http_message: called authd_http_common.c:218 authd_http_is_full_http_message: called authd_http.c:2277 authd_http_change_state

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論