飛塔-防火墻策略課件

防火墻策略

Course201v4.0防火墻策略

Course201v4.0創(chuàng)建防火墻策略的原則策略是按照進(jìn)出流量的接口部署的流量如果沒有匹配的防火墻策略的話，是不能穿過設(shè)備的正確理解狀態(tài)監(jiān)測，防火墻的策略應(yīng)以數(shù)據(jù)流的發(fā)起方來判斷建立的方向也就是說，當(dāng)需要內(nèi)部網(wǎng)訪問外部網(wǎng)時，只需要建立一個從Internal到wan1的允許策略即可創(chuàng)建防火墻策略的原則策略是按照進(jìn)出流量的接口部署的2防火墻策略接口服務(wù)NAT/Route保護(hù)內(nèi)容表防火墻策略接口服務(wù)NAT/Route保護(hù)內(nèi)容表3如何創(chuàng)建防火墻策略–接口與IP地址兩種類型的地址:IP/IPRangeFQDN——域名的方式定義IP范圍的多種方式:192.168.1.99192.168.1.0/255.255.255.0192.168.1.0/24192.168.1.99-192.168.1.105192.168.1.[99-105]FQDN域名方式防火墻本身的DNS用來解析FQDN地址對象的FQDN解析的緩存時間是由DNS服務(wù)器決定的如何創(chuàng)建防火墻策略–接口與IP地址兩種類型的地址:FQD4如何創(chuàng)建防火墻策略–選擇與定制服務(wù)FortiGate本身內(nèi)置了六十多個預(yù)定義的服務(wù)用戶也可以自行定義服務(wù)，以下協(xié)議可以定制:TCP/UDPICMPIP也可以通過組的方式將多個服務(wù)組合在一起如何創(chuàng)建防火墻策略–選擇與定制服務(wù)FortiGate本身5如何創(chuàng)建防火墻策略–定制時間表防火墻的基于時間的控制如何創(chuàng)建防火墻策略–定制時間表防火墻的基于時間的控制6如何創(chuàng)建防火墻策略–選擇動作數(shù)據(jù)包是根據(jù)接口、地址、協(xié)議、時間四項(xiàng)進(jìn)行匹配的，一旦匹配成功后，就根據(jù)“Action”來決定操作，不再向下匹配。在建立防火墻策略是，應(yīng)盡可能范圍小的放在前面，范圍大的放在后面。在NAT/Route模式下，防火墻策略還需要判斷是否對數(shù)據(jù)流進(jìn)行NAT。有以下類型的動作：AcceptDenySSL——sslvpn的策略IPSec——Ipsecvpn的策略如何創(chuàng)建防火墻策略–選擇動作數(shù)據(jù)包是根據(jù)接口、地址、協(xié)議7防火墻策略使用“Any”接口源或目的接口都可以設(shè)置為“any”如果任何一條防火墻策略使用了“any”接口，則只能使用防火墻策略全局視圖“any”接口不能用于VIP或IP-pool防火墻策略使用“Any”接口源或目的接口都可以設(shè)置為“any8兩種查看方式——Section或者Global使用了Any作為接口只能支持Globalview兩種查看方式——Section或者Global使用了Any作9如何創(chuàng)建IPv6和多播策略所有的IPV6和多播都是通過命令行來配置的IPV6地址可以配置到任一接口IPV6對象和策略

policy6address6addrgrp6多播策略multicast-policy如何創(chuàng)建IPv6和多播策略所有的IPV6和多播都是通過命令行10實(shí)驗(yàn)一實(shí)驗(yàn)一11實(shí)驗(yàn)二dmz區(qū)有一個代理服務(wù)器192.168.3.2548080，用戶希望員工通過代理服務(wù)器上Internet，不允許其他的方式上網(wǎng)。實(shí)驗(yàn)二dmz區(qū)有一個代理服務(wù)器192.168.3.254812如何設(shè)置防火墻認(rèn)證——用戶用戶對象是認(rèn)證的一個方法用戶組是用戶對象的容器識別組成員保護(hù)內(nèi)容表和類型實(shí)現(xiàn)對成員的認(rèn)證屬性FortiGate基于組的方式控制對資源的訪問用戶組和防火墻策略定義了對用戶的認(rèn)證過程如何設(shè)置防火墻認(rèn)證——用戶用戶對象是認(rèn)證的一個方法13如何設(shè)置防火墻認(rèn)證——用戶種類支持以下類型的認(rèn)證:本地用戶建立在防火墻上的用戶名和密碼RADIUS用戶取自Radius的用戶名和密碼LDAP/AD用戶取自LDAP服務(wù)器的用戶名和密碼TACACS+取自TACACS服務(wù)器的用戶名和密碼FSAE/NTLM(AD)用戶可以實(shí)現(xiàn)單點(diǎn)登錄PKI基于CA證書(不需要用戶名和密碼)如何設(shè)置防火墻認(rèn)證——用戶種類支持以下類型的認(rèn)證:14如何設(shè)置防火墻認(rèn)證——用戶組用戶組名稱類別設(shè)為防火墻保護(hù)內(nèi)容表與用戶組綁定設(shè)置組成員如何設(shè)置防火墻認(rèn)證——用戶組用戶組名稱15如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略啟用基于用戶的子策略可以針對不同的用戶組使用不同的時間表服務(wù)保護(hù)內(nèi)容表流量控制流量日志如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略啟用基于用戶的子策略16功能描述所有啟用用戶認(rèn)證的防火墻策略將成為“基于用戶認(rèn)證的策略”可以將一條策略拆分成多個子項(xiàng)：

用戶組時間表服務(wù)保護(hù)內(nèi)容表流量控制流量日志

功能描述所有啟用用戶認(rèn)證的防火墻策略將成為“基于用戶認(rèn)證的17如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略說明根據(jù)不同的用戶組部署不同的保護(hù)內(nèi)容表和流量控制如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略說明18如何設(shè)置防火墻認(rèn)證——免責(zé)聲明免責(zé)聲明是在用戶正確地輸入用戶名和密碼后，彈出一個頁面對訪問Internet作出一個說明，該說明可以是免責(zé)內(nèi)容，也可以作為廣告使用重定向網(wǎng)頁是用戶接受免責(zé)聲明后，轉(zhuǎn)向在這里輸入的網(wǎng)址如何設(shè)置防火墻認(rèn)證——免責(zé)聲明免責(zé)聲明是在用戶正確地輸入用戶19認(rèn)證的次數(shù)？默認(rèn)情況下，例如v3.0MR5+，認(rèn)證是基于策略的：當(dāng)一個用戶已經(jīng)在策略1中認(rèn)證過，當(dāng)他使用策略2時，需要重新認(rèn)證。有一條命令可以改變以上情況，變?yōu)槿终J(rèn)證–top3777configsystemglobalsetauth-policy-exact-matchdisableend默認(rèn)值是enable，所以所有策略都必須一一認(rèn)證認(rèn)證的次數(shù)？默認(rèn)情況下，例如v3.0MR5+，認(rèn)證是基于策略20認(rèn)證的次數(shù)？例以上兩條策略訪問不同的目的地址，而認(rèn)證用戶組是一個。如果auth-policy-exact-match設(shè)置成enable，則訪問dst1和dst2都分別需要認(rèn)證如果auth-policy-exact-match設(shè)置成disable，則訪問dst1和dst2只需要認(rèn)證一次認(rèn)證的次數(shù)？例以上兩條策略訪問不同的目的地址，而認(rèn)證用戶組是21認(rèn)證事件日志格式化后原始注意：如果一個用戶停留在認(rèn)證界面長時間不操作，也會產(chǎn)生事件日志12009-03-1821:54:06warning

authenticateUserfailedtoauthenticatewithintheallowedperiod認(rèn)證事件日志格式化后原始注意：如果一個用戶停留在認(rèn)證界面長時22用戶監(jiān)視->Firewallv4.0的GUI下可以監(jiān)視已認(rèn)證的用戶用戶監(jiān)視->Firewallv4.0的GUI下可以監(jiān)視已23如何設(shè)置防火墻認(rèn)證——認(rèn)證時間與協(xié)議當(dāng)沒有已經(jīng)認(rèn)證的用戶在沒有數(shù)據(jù)流的情況下，經(jīng)過“驗(yàn)證超時“后，就需要重新認(rèn)證能夠彈出用戶名和密碼的允許認(rèn)證協(xié)議如上采用證書方式認(rèn)證如何設(shè)置防火墻認(rèn)證——認(rèn)證時間與協(xié)議當(dāng)沒有已經(jīng)認(rèn)證的用戶在沒24認(rèn)證超時與v3.0相同configsystemglobalsetauth-keepaliveenable認(rèn)證超時與v3.0相同configsystemgloba25如何設(shè)置防火墻認(rèn)證——自動刷新Keepalive命令行下設(shè)置：ConfigsysglobalSetauth-keepaliveenEnd如何設(shè)置防火墻認(rèn)證——自動刷新Keepalive26實(shí)驗(yàn)1設(shè)置10.0.X.1上網(wǎng)不需要用戶認(rèn)證設(shè)置除上述ip以外，上網(wǎng)均需要認(rèn)證，并且彈出中文的保持存活頁面，認(rèn)證頁面也為中文實(shí)驗(yàn)1設(shè)置10.0.X.1上網(wǎng)不需要用戶認(rèn)證27地址轉(zhuǎn)換地址轉(zhuǎn)換28如何設(shè)置源地址轉(zhuǎn)換缺省情況下，端口地址翻譯為外部接口IP地址如何設(shè)置源地址轉(zhuǎn)換缺省情況下，端口地址翻譯為外部接口IP地址29如何設(shè)置源地址轉(zhuǎn)換——不使用接口地址如何設(shè)置源地址轉(zhuǎn)換——不使用接口地址30映射服務(wù)器——設(shè)置虛擬IP一對一映射端口映射綁定的外部接口外部的IP地址內(nèi)部的IP地址外部IP端口內(nèi)部服務(wù)器端口映射服務(wù)器——設(shè)置虛擬IP一對一映射綁定的外部接口外部的IP31映射服務(wù)器——設(shè)置服務(wù)器的負(fù)載均衡選擇使用服務(wù)器負(fù)載均衡外部的IP分配流量的方式外部的IP端口內(nèi)部的服務(wù)器列表映射服務(wù)器——設(shè)置服務(wù)器的負(fù)載均衡選擇使用服務(wù)器負(fù)載均衡32映射服務(wù)器——添加允許訪問服務(wù)器的策略策略是從外向內(nèi)建立的目標(biāo)地址是服務(wù)器映射的虛擬IP不需要啟用NAT映射服務(wù)器——添加允許訪問服務(wù)器的策略策略是從外向內(nèi)建立的33實(shí)驗(yàn)將內(nèi)部服務(wù)器10.0.X.1映射到192.168.11.10X，讓旁人ping192.168.11.10X，然后抓包分析Diagnosesnifferpacketany‘icmp’4Diagnosesyssessionclear實(shí)驗(yàn)將內(nèi)部服務(wù)器10.0.X.1映射到192.168.11.34基于策略的流量控制在防火墻策略中啟動流量控制設(shè)置。如果您不對防火墻策略設(shè)置任何的流量控制，那么默認(rèn)情況下，流量的優(yōu)先級別設(shè)置為高級。防火墻策略中的流量控制選項(xiàng)設(shè)置為三個優(yōu)先級別（低、中、高）。確定防火墻策略中所有基本帶寬之和需要低于接口所承載的最大容量。流量控制設(shè)置只有對設(shè)置動作為Accept，IPSEC以及SSL-VPN的策略可用。

基于策略的流量控制在防火墻策略中啟動流量控制設(shè)置。如果您不對35將應(yīng)用層的安全附加在防火墻策略上——保護(hù)內(nèi)容表將應(yīng)用層的安全附加在防火墻策略上——保護(hù)內(nèi)容表36保護(hù)內(nèi)容表–說明可以進(jìn)行更細(xì)粒度的應(yīng)用層的內(nèi)容檢測技術(shù)防火墻>保護(hù)內(nèi)容表保護(hù)內(nèi)容表涵蓋病毒、IPS、Web過濾、內(nèi)容歸檔、IM/P2P、VoIP、與以上相關(guān)的日志保護(hù)內(nèi)容表–說明可以進(jìn)行更細(xì)粒度的應(yīng)用層的內(nèi)容檢測技術(shù)37保護(hù)內(nèi)容表–應(yīng)用到防火墻策略保護(hù)內(nèi)容表可以被應(yīng)用到允許的防火墻策略如果使用防火墻認(rèn)證的話，則將保護(hù)內(nèi)容表應(yīng)用到用戶組可以創(chuàng)建多個保護(hù)內(nèi)容表:單一的保護(hù)內(nèi)容表可以被應(yīng)用到多個策略上保護(hù)內(nèi)容表–應(yīng)用到防火墻策略保護(hù)內(nèi)容表可以被應(yīng)用到允許的38實(shí)驗(yàn)我們將DMZ192.168.3.25480映射到192.168.11.1X1的80端口上192.168.3.254443映射到192.168.11.1X2443內(nèi)部用戶10.0.X.1通過公網(wǎng)地址192.168.11.1X3訪問internet內(nèi)部用戶10.0.X.2通過公網(wǎng)地址192.168.11.1X4訪問Internet實(shí)驗(yàn)我們將DMZ192.168.3.25480映射到139防火墻策略

Course201v4.0防火墻策略

Course201v4.0創(chuàng)建防火墻策略的原則策略是按照進(jìn)出流量的接口部署的流量如果沒有匹配的防火墻策略的話，是不能穿過設(shè)備的正確理解狀態(tài)監(jiān)測，防火墻的策略應(yīng)以數(shù)據(jù)流的發(fā)起方來判斷建立的方向也就是說，當(dāng)需要內(nèi)部網(wǎng)訪問外部網(wǎng)時，只需要建立一個從Internal到wan1的允許策略即可創(chuàng)建防火墻策略的原則策略是按照進(jìn)出流量的接口部署的41防火墻策略接口服務(wù)NAT/Route保護(hù)內(nèi)容表防火墻策略接口服務(wù)NAT/Route保護(hù)內(nèi)容表42如何創(chuàng)建防火墻策略–接口與IP地址兩種類型的地址:IP/IPRangeFQDN——域名的方式定義IP范圍的多種方式:192.168.1.99192.168.1.0/255.255.255.0192.168.1.0/24192.168.1.99-192.168.1.105192.168.1.[99-105]FQDN域名方式防火墻本身的DNS用來解析FQDN地址對象的FQDN解析的緩存時間是由DNS服務(wù)器決定的如何創(chuàng)建防火墻策略–接口與IP地址兩種類型的地址:FQD43如何創(chuàng)建防火墻策略–選擇與定制服務(wù)FortiGate本身內(nèi)置了六十多個預(yù)定義的服務(wù)用戶也可以自行定義服務(wù)，以下協(xié)議可以定制:TCP/UDPICMPIP也可以通過組的方式將多個服務(wù)組合在一起如何創(chuàng)建防火墻策略–選擇與定制服務(wù)FortiGate本身44如何創(chuàng)建防火墻策略–定制時間表防火墻的基于時間的控制如何創(chuàng)建防火墻策略–定制時間表防火墻的基于時間的控制45如何創(chuàng)建防火墻策略–選擇動作數(shù)據(jù)包是根據(jù)接口、地址、協(xié)議、時間四項(xiàng)進(jìn)行匹配的，一旦匹配成功后，就根據(jù)“Action”來決定操作，不再向下匹配。在建立防火墻策略是，應(yīng)盡可能范圍小的放在前面，范圍大的放在后面。在NAT/Route模式下，防火墻策略還需要判斷是否對數(shù)據(jù)流進(jìn)行NAT。有以下類型的動作：AcceptDenySSL——sslvpn的策略IPSec——Ipsecvpn的策略如何創(chuàng)建防火墻策略–選擇動作數(shù)據(jù)包是根據(jù)接口、地址、協(xié)議46防火墻策略使用“Any”接口源或目的接口都可以設(shè)置為“any”如果任何一條防火墻策略使用了“any”接口，則只能使用防火墻策略全局視圖“any”接口不能用于VIP或IP-pool防火墻策略使用“Any”接口源或目的接口都可以設(shè)置為“any47兩種查看方式——Section或者Global使用了Any作為接口只能支持Globalview兩種查看方式——Section或者Global使用了Any作48如何創(chuàng)建IPv6和多播策略所有的IPV6和多播都是通過命令行來配置的IPV6地址可以配置到任一接口IPV6對象和策略

policy6address6addrgrp6多播策略multicast-policy如何創(chuàng)建IPv6和多播策略所有的IPV6和多播都是通過命令行49實(shí)驗(yàn)一實(shí)驗(yàn)一50實(shí)驗(yàn)二dmz區(qū)有一個代理服務(wù)器192.168.3.2548080，用戶希望員工通過代理服務(wù)器上Internet，不允許其他的方式上網(wǎng)。實(shí)驗(yàn)二dmz區(qū)有一個代理服務(wù)器192.168.3.254851如何設(shè)置防火墻認(rèn)證——用戶用戶對象是認(rèn)證的一個方法用戶組是用戶對象的容器識別組成員保護(hù)內(nèi)容表和類型實(shí)現(xiàn)對成員的認(rèn)證屬性FortiGate基于組的方式控制對資源的訪問用戶組和防火墻策略定義了對用戶的認(rèn)證過程如何設(shè)置防火墻認(rèn)證——用戶用戶對象是認(rèn)證的一個方法52如何設(shè)置防火墻認(rèn)證——用戶種類支持以下類型的認(rèn)證:本地用戶建立在防火墻上的用戶名和密碼RADIUS用戶取自Radius的用戶名和密碼LDAP/AD用戶取自LDAP服務(wù)器的用戶名和密碼TACACS+取自TACACS服務(wù)器的用戶名和密碼FSAE/NTLM(AD)用戶可以實(shí)現(xiàn)單點(diǎn)登錄PKI基于CA證書(不需要用戶名和密碼)如何設(shè)置防火墻認(rèn)證——用戶種類支持以下類型的認(rèn)證:53如何設(shè)置防火墻認(rèn)證——用戶組用戶組名稱類別設(shè)為防火墻保護(hù)內(nèi)容表與用戶組綁定設(shè)置組成員如何設(shè)置防火墻認(rèn)證——用戶組用戶組名稱54如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略啟用基于用戶的子策略可以針對不同的用戶組使用不同的時間表服務(wù)保護(hù)內(nèi)容表流量控制流量日志如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略啟用基于用戶的子策略55功能描述所有啟用用戶認(rèn)證的防火墻策略將成為“基于用戶認(rèn)證的策略”可以將一條策略拆分成多個子項(xiàng)：

用戶組時間表服務(wù)保護(hù)內(nèi)容表流量控制流量日志

功能描述所有啟用用戶認(rèn)證的防火墻策略將成為“基于用戶認(rèn)證的56如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略說明根據(jù)不同的用戶組部署不同的保護(hù)內(nèi)容表和流量控制如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略說明57如何設(shè)置防火墻認(rèn)證——免責(zé)聲明免責(zé)聲明是在用戶正確地輸入用戶名和密碼后，彈出一個頁面對訪問Internet作出一個說明，該說明可以是免責(zé)內(nèi)容，也可以作為廣告使用重定向網(wǎng)頁是用戶接受免責(zé)聲明后，轉(zhuǎn)向在這里輸入的網(wǎng)址如何設(shè)置防火墻認(rèn)證——免責(zé)聲明免責(zé)聲明是在用戶正確地輸入用戶58認(rèn)證的次數(shù)？默認(rèn)情況下，例如v3.0MR5+，認(rèn)證是基于策略的：當(dāng)一個用戶已經(jīng)在策略1中認(rèn)證過，當(dāng)他使用策略2時，需要重新認(rèn)證。有一條命令可以改變以上情況，變?yōu)槿终J(rèn)證–top3777configsystemglobalsetauth-policy-exact-matchdisableend默認(rèn)值是enable，所以所有策略都必須一一認(rèn)證認(rèn)證的次數(shù)？默認(rèn)情況下，例如v3.0MR5+，認(rèn)證是基于策略59認(rèn)證的次數(shù)？例以上兩條策略訪問不同的目的地址，而認(rèn)證用戶組是一個。如果auth-policy-exact-match設(shè)置成enable，則訪問dst1和dst2都分別需要認(rèn)證如果auth-policy-exact-match設(shè)置成disable，則訪問dst1和dst2只需要認(rèn)證一次認(rèn)證的次數(shù)？例以上兩條策略訪問不同的目的地址，而認(rèn)證用戶組是60認(rèn)證事件日志格式化后原始注意：如果一個用戶停留在認(rèn)證界面長時間不操作，也會產(chǎn)生事件日志12009-03-1821:54:06warning

authenticateUserfailedtoauthenticatewithintheallowedperiod認(rèn)證事件日志格式化后原始注意：如果一個用戶停留在認(rèn)證界面長時61用戶監(jiān)視->Firewallv4.0的GUI下可以監(jiān)視已認(rèn)證的用戶用戶監(jiān)視->Firewallv4.0的GUI下可以監(jiān)視已62如何設(shè)置防火墻認(rèn)證——認(rèn)證時間與協(xié)議當(dāng)沒有已經(jīng)認(rèn)證的用戶在沒有數(shù)據(jù)流的情況下，經(jīng)過“驗(yàn)證超時“后，就需要重新認(rèn)證能夠彈出用戶名和密碼的允許認(rèn)證協(xié)議如上采用證書方式認(rèn)證如何設(shè)置防火墻認(rèn)證——認(rèn)證時間與協(xié)議當(dāng)沒有已經(jīng)認(rèn)證的用戶在沒63認(rèn)證超時與v3.0相同configsystemglobalsetauth-keepaliveenable認(rèn)證超時與v3.0相同configsystemgloba64如何設(shè)置防火墻認(rèn)證——自動刷新Keepalive命令行下設(shè)置：ConfigsysglobalSetauth-keepaliveenEnd如何設(shè)置防火墻認(rèn)證——自動刷新Keepalive65實(shí)驗(yàn)1設(shè)置10.0.X.1上網(wǎng)不需要用戶認(rèn)證設(shè)置除上述ip以外，上網(wǎng)均需要認(rèn)證，并且彈出中文的保持存活頁面，認(rèn)證頁面也為中文實(shí)驗(yàn)1設(shè)置10.0.X.1上網(wǎng)不需要用戶認(rèn)證66地址轉(zhuǎn)換地址轉(zhuǎn)換67如何設(shè)置源地址轉(zhuǎn)換缺省情況下，端口地址翻譯為外部接口IP地址如何設(shè)置源地址轉(zhuǎn)換缺省情況下，端口地址翻譯為外部接口IP地址68如何設(shè)置源地址轉(zhuǎn)換——不使用接口地址如何設(shè)置源地址轉(zhuǎn)換——不使用接口地址69映射服務(wù)器——設(shè)置虛擬IP一對一映射端口映射綁定的外部接口外部的IP地址內(nèi)部的IP地址外部IP端口內(nèi)部服務(wù)器端口映射服務(wù)器——設(shè)置虛擬IP一對一映射綁定的外部接口外部的IP70映射服務(wù)器——設(shè)置服務(wù)器的負(fù)載均衡選擇使用服務(wù)器負(fù)載均衡外部的IP分配流量的方式外部的IP端口內(nèi)部的服務(wù)器列表映射服務(wù)器——設(shè)置服務(wù)器的負(fù)載均衡選擇使用服務(wù)器負(fù)載均衡71映射服務(wù)器——添加允許訪問服務(wù)器的策略策略是從外向內(nèi)建立的目標(biāo)地址是服務(wù)器映射的虛擬IP不需要啟用N