飛塔防火墻策略

防火墻策略

Course201v4.0創(chuàng)建防火墻策略的原則策略是按照進(jìn)出流量的接口部署的流量如果沒有匹配的防火墻策略的話，是不能穿過設(shè)備的正確理解狀態(tài)監(jiān)測，防火墻的策略應(yīng)以數(shù)據(jù)流的發(fā)起方來判斷建立的方向也就是說，當(dāng)需要內(nèi)部網(wǎng)訪問外部網(wǎng)時(shí)，只需要建立一個(gè)從Internal到wan1的允許策略即可防火墻策略接口服務(wù)NAT/Route保護(hù)內(nèi)容表如何創(chuàng)建防火墻策略–接口與IP地址兩種類型的地址:IP/IPRangeFQDN——域名的方式定義IP范圍的多種方式:9//249-05192.168.1.[99-105]FQDN域名方式防火墻本身的DNS用來解析FQDN地址對象的FQDN解析的緩存時(shí)間是由DNS服務(wù)器決定的如何創(chuàng)建防火墻策略–選擇與定制服務(wù)FortiGate本身內(nèi)置了六十多個(gè)預(yù)定義的服務(wù)用戶也可以自行定義服務(wù)，以下協(xié)議可以定制:TCP/UDPICMPIP也可以通過組的方式將多個(gè)服務(wù)組合在一起如何創(chuàng)建防火墻策略–定制時(shí)間表防火墻的基于時(shí)間的控制如何創(chuàng)建防火墻策略–選擇動作數(shù)據(jù)包是根據(jù)接口、地址、協(xié)議、時(shí)間四項(xiàng)進(jìn)行匹配的，一旦匹配成功后，就根據(jù)“Action”來決定操作，不再向下匹配。在建立防火墻策略是，應(yīng)盡可能范圍小的放在前面，范圍大的放在后面。在NAT/Route模式下，防火墻策略還需要判斷是否對數(shù)據(jù)流進(jìn)行NAT。有以下類型的動作：AcceptDenySSL——sslvpn的策略IPSec——Ipsecvpn的策略防火墻策略使用“Any”接口源或目的接口都可以設(shè)置為“any”如果任何一條防火墻策略使用了“any”接口，則只能使用防火墻策略全局視圖“any”接口不能用于VIP或IP-pool兩種查看方式——Section或者Global使用了Any作為接口只能支持Globalview如何創(chuàng)建IPv6和多播策略所有的IPV6和多播都是通過命令行來配置的IPV6地址可以配置到任一接口IPV6對象和策略

policy6address6addrgrp6多播策略multicast-policy實(shí)驗(yàn)一10.0.x.1只能夠訪問，而不能訪問其他的網(wǎng)站提示：注意以下DNS的問題沒有匹配策略成功的話，那么是拒絕的。實(shí)驗(yàn)二dmz區(qū)有一個(gè)代理服務(wù)器548080，用戶希望員工通過代理服務(wù)器上Internet，不允許其他的方式上網(wǎng)。如何設(shè)置防火墻認(rèn)證——用戶用戶對象是認(rèn)證的一個(gè)方法用戶組是用戶對象的容器識別組成員保護(hù)內(nèi)容表和類型實(shí)現(xiàn)對成員的認(rèn)證屬性FortiGate基于組的方式控制對資源的訪問用戶組和防火墻策略定義了對用戶的認(rèn)證過程如何設(shè)置防火墻認(rèn)證——用戶種類支持以下類型的認(rèn)證:本地用戶建立在防火墻上的用戶名和密碼RADIUS用戶取自Radius的用戶名和密碼LDAP/AD用戶取自LDAP服務(wù)器的用戶名和密碼TACACS+取自TACACS服務(wù)器的用戶名和密碼FSAE/NTLM(AD)用戶可以實(shí)現(xiàn)單點(diǎn)登錄PKI基于CA證書(不需要用戶名和密碼)如何設(shè)置防火墻認(rèn)證——用戶組用戶組名稱類別設(shè)為防火墻保護(hù)內(nèi)容表與用戶組綁定設(shè)置組成員如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略啟用基于用戶的子策略可以針對不同的用戶組使用不同的時(shí)間表服務(wù)保護(hù)內(nèi)容表流量控制流量日志功能描述所有啟用用戶認(rèn)證的防火墻策略將成為“基于用戶認(rèn)證的策略”可以將一條策略拆分成多個(gè)子項(xiàng)：

用戶組時(shí)間表服務(wù)保護(hù)內(nèi)容表流量控制流量日志

如何設(shè)置防火墻認(rèn)證——用戶認(rèn)證子策略說明根據(jù)不同的用戶組部署不同的保護(hù)內(nèi)容表和流量控制如何設(shè)置防火墻認(rèn)證——免責(zé)聲明免責(zé)聲明是在用戶正確地輸入用戶名和密碼后，彈出一個(gè)頁面對訪問Internet作出一個(gè)說明，該說明可以是免責(zé)內(nèi)容，也可以作為廣告使用重定向網(wǎng)頁是用戶接受免責(zé)聲明后，轉(zhuǎn)向在這里輸入的網(wǎng)址認(rèn)證的次數(shù)？默認(rèn)情況下，例如v3.0MR5+，認(rèn)證是基于策略的：當(dāng)一個(gè)用戶已經(jīng)在策略1中認(rèn)證過，當(dāng)他使用策略2時(shí)，需要重新認(rèn)證。有一條命令可以改變以上情況，變?yōu)槿终J(rèn)證–top3777configsystemglobalsetauth-policy-exact-matchdisableend默認(rèn)值是enable，所以所有策略都必須一一認(rèn)證認(rèn)證的次數(shù)？例以上兩條策略訪問不同的目的地址，而認(rèn)證用戶組是一個(gè)。如果auth-policy-exact-match設(shè)置成enable，則訪問dst1和dst2都分別需要認(rèn)證如果auth-policy-exact-match設(shè)置成disable，則訪問dst1和dst2只需要認(rèn)證一次認(rèn)證事件日志格式化后原始注意：如果一個(gè)用戶停留在認(rèn)證界面長時(shí)間不操作，也會產(chǎn)生事件日志12009-03-1821:54:06warning

authenticateUserfailedtoauthenticatewithintheallowedperiod用戶監(jiān)視->Firewallv4.0的GUI下可以監(jiān)視已認(rèn)證的用戶如何設(shè)置防火墻認(rèn)證——認(rèn)證時(shí)間與協(xié)議當(dāng)沒有已經(jīng)認(rèn)證的用戶在沒有數(shù)據(jù)流的情況下，經(jīng)過“驗(yàn)證超時(shí)“后，就需要重新認(rèn)證能夠彈出用戶名和密碼的允許認(rèn)證協(xié)議如上采用證書方式認(rèn)證認(rèn)證超時(shí)與v3.0相同configsystemglobalsetauth-keepaliveenable如何設(shè)置防火墻認(rèn)證——自動刷新Keepalive命令行下設(shè)置：ConfigsysglobalSetauth-keepaliveenEnd實(shí)驗(yàn)1設(shè)置10.0.X.1上網(wǎng)不需要用戶認(rèn)證設(shè)置除上述ip以外，上網(wǎng)均需要認(rèn)證，并且彈出中文的保持存活頁面，認(rèn)證頁面也為中文地址轉(zhuǎn)換如何設(shè)置源地址轉(zhuǎn)換缺省情況下，端口地址翻譯為外部接口IP地址如何設(shè)置源地址轉(zhuǎn)換——不使用接口地址地址翻譯成指定范圍的IP地址防火墻>虛擬IP>IP池如何來驗(yàn)證Diagnosesnifferpacketany‘icmp’4Ping

映射服務(wù)器——設(shè)置虛擬IP一對一映射端口映射綁定的外部接口外部的IP地址內(nèi)部的IP地址外部IP端口內(nèi)部服務(wù)器端口映射服務(wù)器——設(shè)置服務(wù)器的負(fù)載均衡選擇使用服務(wù)器負(fù)載均衡外部的IP分配流量的方式外部的IP端口內(nèi)部的服務(wù)器列表映射服務(wù)器——添加允許訪問服務(wù)器的策略策略是從外向內(nèi)建立的目標(biāo)地址是服務(wù)器映射的虛擬IP不需要啟用NAT實(shí)驗(yàn)將內(nèi)部服務(wù)器10.0.X.1映射到0X，讓旁人ping0X，然后抓包分析Diagnosesnifferpacketany‘icmp’4Diagnosesyssessionclear基于策略的流量控制在防火墻策略中啟動流量控制設(shè)置。如果您不對防火墻策略設(shè)置任何的流量控制，那么默認(rèn)情況下，流量的優(yōu)先級別設(shè)置為高級。防火墻策略中的流量控制選項(xiàng)設(shè)置為三個(gè)優(yōu)先級別（低、中、高）。確定防火墻策略中所有基本帶寬之和需要低于接口所承載的最大容量。流量控制設(shè)置只有對設(shè)置動作為Accept，IPSEC以及SSL-VPN的策略可用。

將應(yīng)用層的安全附加在防火墻策略上——保護(hù)內(nèi)容表保護(hù)內(nèi)容表–說明可以進(jìn)行更細(xì)粒度的