飛塔防火墻的防火墻策略課件

防火墻策略

Course301防火墻策略

Course301二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過FortiGate本身不能夠參與STP協(xié)議，但是可以設(shè)置其通過控制vlan數(shù)據(jù)包是否直接放過控制arp廣播包穿過configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過conf2多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻部署多播策略允許多播流量可以對多播流量進(jìn)行nat在透明模式下，也可以不通過策略方式，而直接設(shè)置全局選項multicast-forwardenable是否更改多模的ttl多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻3基于RADIUS的防火墻認(rèn)證FortiGate作為networkaccessserver(NAS)用戶信息被送到RADIUSserver用戶的認(rèn)證取決于服務(wù)器的響應(yīng)對象識別識別IP地址和共享密鑰，最多支持兩個RADIUSserversRADIUS對象可以用來所有的服務(wù)的認(rèn)證Admin用戶的Radius認(rèn)證基于RADIUS的防火墻認(rèn)證FortiGate作為netwo4軟交換接口(1)——概念軟交換接口模式在物理接口之間創(chuàng)建橋連接每個軟交換接口可以指定一個邏輯IP地址MR6中只能使用命令方式配置不能用于HAmonitor或心跳接口軟交換接口(1)——概念軟交換接口模式5軟交換接口(2)——配置在MR7加入GUI支持configsystemswitch-interfaceedit"switch-1"setmember"port4""port5"nextendconfigsysteminterfaceedit"switch-1"setvdom"root"setip04setallowaccesspinghttpssettypeswitchnextend軟交換接口(2)——配置在MR7加入GUI支持config6軟交換接口(3)———GUI視圖GUI視圖Ports4&5被從接口列表中刪除只有空接口可以被加入到軟交換接口已有任何配置的接口（如DNS轉(zhuǎn)發(fā)、靜態(tài)路由、防火墻策略等）的接口都不能加入軟交換接口組軟交換接口(3)———GUI視圖GUI視圖7軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量無需防火墻策略控制軟交換接口被視為一個物理接口，就像鏈路聚合接口一樣可以在軟交換接口上配置VLAN接口軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量8軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換接口中標(biāo)準(zhǔn)接口FA2接口NP2接口無線接口(FortiWiFi)以上接口可以在軟交換接口中混合存在FortiGate不參與spanningtree不發(fā)送STP包不接收STP包因此需要注意LOOPS可能產(chǎn)生

!!!軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換9軟交換接口(6)——NAT/Route方案L2switchL2switch交換機(jī)所有接口上都啟用SpanningtreeIPbroadcast軟交換接口(6)——NAT/Route方案L2switc10軟交換接口(7)——避免Loop為了避免loop，需要開啟FortiGate接口上的stpforward配置軟交換組中的物理接口================================================================================PortStg================================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/13128blockingtruefalse1012trueconfigsysteminterfaceedit"port3"setvdom"root"setstpforwardenable軟交換接口(7)——避免Loop為了避免loop，需要開啟F11軟交換接口(8)——TroubleshootingSniffing可以在物理或軟交換接口上使用如果在軟交換接口上使用sniffer命令，內(nèi)部的交換流量不會捕獲#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]軟交換接口(8)——TroubleshootingSnif12軟交換接口(9)——

轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB#diagnetlinkbrctllistlistbridgeinformationswitch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswitch-1host.fdb:size=256,used=6,num=6,depth=1,simple=yesBridgeswitch-1hosttableportnodevicedevnamemacaddrttlattributes313AMC-SW1/200:03:4b:4f:ac:b81313AMC-SW1/200:09:0f:67:75:150LocalStatic313AMC-SW1/200:0c:29:f1:de:2a015port400:09:0f:67:69:f90LocalStatic15port400:0c:29:1e:12:be015port400:15:c6:c9:5b:8729軟交換接口(9)——轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB1314TACACS——概要TACACS協(xié)議組TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草AAA結(jié)構(gòu)TACACS——概要TACACS協(xié)議組14TACACS——與RADIUS比較15TACACS+RadiusTCP/49UDP認(rèn)證/授權(quán)可分離認(rèn)證授權(quán)結(jié)合完全加密僅密碼部分加密可用于路由器管理會話授權(quán)TACACS——與RADIUS比較TACACS+Radius15TACACS——與RADIUS比較16TACACS——與RADIUS比較16TACACS——FortiOSTACACS+認(rèn)證(MR6)所有可以使用用戶認(rèn)證的功能(firewallpolicy,administratoraccounts,VPNs)GUI視圖17TACACS——FortiOSTACACS+認(rèn)證(MR617TACACS+Server-CiscoSecureACSTACACS+Server-CiscoSecure1819TACACS——配置CLIconfigusertacacs+edit"tac+router1"setkeyfortinetsetserver""nextEndFGT100-1(tac+router1)#setauthen-typechoosewhichauthenticationtypetouse*key<password_str>keytoaccesstheserverportportnumberoftheTACACS+server*server{<name_str|ip_str>}serverdomainnameoripTACACS——配置CLIconfigusertacac1920TACACS——Troubleshootingdiagdebappfnambd7diagtestauthservertacacs+<serverProfile><user><pass>FGT100-1#diagtestauthservertacacs+tac+router1user1fortinetfnbamd_fsm.c[846]handle_req-Rcvdauthreq0foruser1intac+router1opt=15prot=8fnbamd_tac_plus.c[326]build_authen_start-buildingauthenstartpackettosendto:authen_type=2(pap)fnbamd_tac_plus.c[417]tac_plus_result-waitingauthenreplypacketfnbamd_fsm.c[269]fsm_tac_plus_result-Continuependingforreq0fnbamd_tac_plus.c[381]parse_authen_reply-authenresult=1(pass)fnbamd_comm.c[129]fnbamd_comm_send_result-Sendingresult0forreq0authenticateuser'user1'onserver'tac+router1'succeededTACACS——Troubleshootingdiagd20Zone——將多個接口組織起來簡化防火墻策略使用區(qū)域可以將相關(guān)聯(lián)的接口與VLAN子接口劃分為組進(jìn)行管理。將接口與子接口分組管理簡化了策略的創(chuàng)建?？梢灾苯优渲梅阑饓Σ呗钥刂仆鶃碛趨^(qū)域的連接，而不是對區(qū)域中每個接口。您可以在區(qū)域列表中添加區(qū)域，更改區(qū)域的名稱、編輯及刪除區(qū)域。添加區(qū)域時，選擇添加到該區(qū)域的接口與VLAN子接口的名稱。區(qū)域可以添加到虛擬域中。如果FortiGate配置中添加了多個虛擬域，在添加或編輯區(qū)域之前確認(rèn)已經(jīng)配置了正確的虛擬域。區(qū)域內(nèi)是否允許相互通訊，缺省狀態(tài)是允許Zone——將多個接口組織起來簡化防火墻策略使用區(qū)域可以將相21實驗一基于Radius的管理員認(rèn)證設(shè)置管理員ccadmin，基于Radius服務(wù)器進(jìn)行認(rèn)證實驗一基于Radius的管理員認(rèn)證設(shè)置管理員ccadmin22實驗二軟交換接口將internal和wan2接口設(shè)置為交換接口，ip為10.0.X.254，設(shè)置策略允許內(nèi)網(wǎng)訪問Internet實驗二軟交換接口將internal和wan2接口設(shè)置為交換23防火墻策略

Course301防火墻策略

Course301二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過FortiGate本身不能夠參與STP協(xié)議，但是可以設(shè)置其通過控制vlan數(shù)據(jù)包是否直接放過控制arp廣播包穿過configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過conf25多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻部署多播策略允許多播流量可以對多播流量進(jìn)行nat在透明模式下，也可以不通過策略方式，而直接設(shè)置全局選項multicast-forwardenable是否更改多模的ttl多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻26基于RADIUS的防火墻認(rèn)證FortiGate作為networkaccessserver(NAS)用戶信息被送到RADIUSserver用戶的認(rèn)證取決于服務(wù)器的響應(yīng)對象識別識別IP地址和共享密鑰，最多支持兩個RADIUSserversRADIUS對象可以用來所有的服務(wù)的認(rèn)證Admin用戶的Radius認(rèn)證基于RADIUS的防火墻認(rèn)證FortiGate作為netwo27軟交換接口(1)——概念軟交換接口模式在物理接口之間創(chuàng)建橋連接每個軟交換接口可以指定一個邏輯IP地址MR6中只能使用命令方式配置不能用于HAmonitor或心跳接口軟交換接口(1)——概念軟交換接口模式28軟交換接口(2)——配置在MR7加入GUI支持configsystemswitch-interfaceedit"switch-1"setmember"port4""port5"nextendconfigsysteminterfaceedit"switch-1"setvdom"root"setip04setallowaccesspinghttpssettypeswitchnextend軟交換接口(2)——配置在MR7加入GUI支持config29軟交換接口(3)———GUI視圖GUI視圖Ports4&5被從接口列表中刪除只有空接口可以被加入到軟交換接口已有任何配置的接口（如DNS轉(zhuǎn)發(fā)、靜態(tài)路由、防火墻策略等）的接口都不能加入軟交換接口組軟交換接口(3)———GUI視圖GUI視圖30軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量無需防火墻策略控制軟交換接口被視為一個物理接口，就像鏈路聚合接口一樣可以在軟交換接口上配置VLAN接口軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量31軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換接口中標(biāo)準(zhǔn)接口FA2接口NP2接口無線接口(FortiWiFi)以上接口可以在軟交換接口中混合存在FortiGate不參與spanningtree不發(fā)送STP包不接收STP包因此需要注意LOOPS可能產(chǎn)生

!!!軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換32軟交換接口(6)——NAT/Route方案L2switchL2switch交換機(jī)所有接口上都啟用SpanningtreeIPbroadcast軟交換接口(6)——NAT/Route方案L2switc33軟交換接口(7)——避免Loop為了避免loop，需要開啟FortiGate接口上的stpforward配置軟交換組中的物理接口================================================================================PortStg================================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/13128blockingtruefalse1012trueconfigsysteminterfaceedit"port3"setvdom"root"setstpforwardenable軟交換接口(7)——避免Loop為了避免loop，需要開啟F34軟交換接口(8)——TroubleshootingSniffing可以在物理或軟交換接口上使用如果在軟交換接口上使用sniffer命令，內(nèi)部的交換流量不會捕獲#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]軟交換接口(8)——TroubleshootingSnif35軟交換接口(9)——

轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB#diagnetlinkbrctllistlistbridgeinformationswitch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswitch-1host.fdb:size=256,used=6,num=6,depth=1,simple=yesBridgeswitch-1hosttableportnodevicedevnamemacaddrttlattributes313AMC-SW1/200:03:4b:4f:ac:b81313AMC-SW1/200:09:0f:67:75:150LocalStatic313AMC-SW1/200:0c:29:f1:de:2a015port400:09:0f:67:69:f90LocalStatic15port400:0c:29:1e:12:be015port400:15:c6:c9:5b:8729軟交換接口(9)——轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB3637TACACS——概要TACACS協(xié)議組TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草AAA結(jié)構(gòu)TACACS——概要TACACS協(xié)議組37TACACS——與RADIUS比較38TACACS+RadiusTCP/49UDP認(rèn)證/授權(quán)可分離認(rèn)證授權(quán)結(jié)合完全加密僅密碼部分加密可用于路由器管理會話授權(quán)TACACS——與RADIUS比較TACACS+Radius38TACACS——與RADIUS比較39TACACS——與RADIUS比較39TACACS——FortiOSTACACS+認(rèn)證(MR6)所有可以使用用戶認(rèn)證的功能(firewallpolicy,administratoraccounts,VPNs)GUI視圖40TACACS——FortiOSTACACS+認(rèn)證(MR640TACACS+Server-CiscoSecureACSTACACS+Server-CiscoSecure4142TACACS——配置CLIconfigusertacacs+edit"tac+router1"setkeyfortinetsetserver""nextEndFGT100-1(tac+router1)#setauthen-typechoosewhichauthenticationtypetouse*key<password_str>keytoaccesstheserverportportnumberoftheTACACS+server*server{<name_str|ip_str>}serverdomainnameoripTACACS——配置CLIconfigusertacac4243TACACS——Troubleshootingdiagdebappfnambd7diagtestauthservertacacs+<ser