《防火墻策略》PPT課件.ppt

1、防火墻策略 Course 201,創(chuàng)建防火墻策略的原則,策略是按照進(jìn)出流量的接口部署的 流量如果沒有匹配的防火墻策略的話，是不能穿過設(shè)備的 正確理解狀態(tài)監(jiān)測，防火墻的策略應(yīng)以數(shù)據(jù)流的發(fā)起方來判斷建立的方向 也就是說，當(dāng)需要內(nèi)部網(wǎng)訪問外部網(wǎng)時，只需要建立一個從Internal到wan1的允許策略即可,防火墻策略,接口,服務(wù),NAT / Route,保護(hù)內(nèi)容表,如何創(chuàng)建防火墻策略 接口與IP地址,兩種類型的地址: IP / IP Range FQDN域名的方式 定義IP范圍的多種方式: 192.168.1.99 192.168.1.0/255.255.255.0 192.168.1.0/24 19

2、2.168.1.99-192.168.1.105 192.168.1.99-105,FQDN域名方式 防火墻本身的DNS用來解析FQDN地址對象的 FQDN解析的緩存時間是由DNS服務(wù)器決定的,如何創(chuàng)建防火墻策略 選擇與定制服務(wù),FortiGate本身內(nèi)置了六十多個預(yù)定義的服務(wù) 用戶也可以自行定義服務(wù)，以下協(xié)議可以定制: TCP/UDP ICMP IP 也可以通過組的方式將多個服務(wù)組合在一起,如何創(chuàng)建防火墻策略 定制時間表,防火墻的基于時間的控制,如何創(chuàng)建防火墻策略 選擇動作,數(shù)據(jù)包是根據(jù)接口、地址、協(xié)議、時間四項(xiàng)進(jìn)行匹配的，一旦匹配成功后，就根據(jù)“Action”來決定操作，不再向下匹配。 在

3、建立防火墻策略是，應(yīng)盡可能范圍小的放在前面，范圍大的放在后面。 在 NAT/Route模式下，防火墻策略還需要判斷是否對數(shù)據(jù)流進(jìn)行NAT。 有以下類型的動作： Accept Deny SSLssl vpn的策略 IPSecIpsec vpn的策略,如何創(chuàng)建IPv6和多播策略,所有的IPV6和多播都是通過命令行來配置的 IPV6地址可以配置到任一接口 IPV6對象和策略 policy6 address6 addrgrp6 多播策略 multicast-policy,實(shí)驗(yàn)一,10.0.x.1只能夠訪問，而不能訪問其他的網(wǎng)站 提示： 注意以下DNS的問題 沒有匹配策略成功的話，那么是拒絕的。,實(shí)驗(yàn)二

4、,dmz區(qū)有一個代理服務(wù)器192.168.3.1 8080，用戶希望員工通過代理服務(wù)器上Internet，不允許其他的方式上網(wǎng)。,如何設(shè)置防火墻認(rèn)證用戶,用戶對象是認(rèn)證的一個方法 用戶組是用戶對象的容器 識別組成員 保護(hù)內(nèi)容表和類型實(shí)現(xiàn)對成員的認(rèn)證屬性 FortiGate基于組的方式控制對資源的訪問 用戶組和防火墻策略定義了對用戶的認(rèn)證過程,如何設(shè)置防火墻認(rèn)證用戶種類,支持以下類型的認(rèn)證: 本地用戶 建立在防火墻上的用戶名和密碼 RADIUS用戶 取自Radius的用戶名和密碼 LDAP / AD用戶 取自LDAP服務(wù)器的用戶名和密碼 TACACS+ 取自TACACS服務(wù)器的用戶名和密碼 FS

5、AE / NTLM (AD)用戶 可以實(shí)現(xiàn)單點(diǎn)登錄 PKI 基于CA證書(不需要用戶名和密碼),如何設(shè)置防火墻認(rèn)證用戶組,用戶組名稱 類別設(shè)為防火墻 保護(hù)內(nèi)容表與用戶組綁定 設(shè)置組成員,如何設(shè)置防火墻認(rèn)證用戶組與防火墻綁定,在防火墻策略里啟用認(rèn)證,選擇是否支持Windows域用戶，F(xiàn)SAE或者NTLM,選擇用戶組,如何設(shè)置防火墻認(rèn)證免責(zé)聲明,免責(zé)聲明是在用戶正確地輸入用戶名和密碼后，彈出一個頁面對訪問Internet作出一個說明，該說明可以是免責(zé)內(nèi)容，也可以作為廣告使用 重定向網(wǎng)頁是用戶接受免責(zé)聲明后，轉(zhuǎn)向在這里輸入的網(wǎng)址,如何設(shè)置防火墻認(rèn)證認(rèn)證時間與協(xié)議,當(dāng)沒有已經(jīng)認(rèn)證的用戶在沒有數(shù)據(jù)流的情

6、況下，經(jīng)過“驗(yàn)證超時“后，就需要重新認(rèn)證 能夠彈出用戶名和密碼的允許認(rèn)證協(xié)議如上 采用證書方式認(rèn)證,如何設(shè)置防火墻認(rèn)證自動刷新,Keepalive 命令行下設(shè)置： Config sys global Set auth-keepalive en End,如何設(shè)置源地址轉(zhuǎn)換,缺省情況下，端口地址翻譯為外部接口IP地址,如何設(shè)置源地址轉(zhuǎn)換不使用接口地址,地址翻譯成指定范圍的IP地址 防火墻虛擬IP IP池 如何來驗(yàn)證 Diagnose sniffer packet any icmp 4 Ping ,映射服務(wù)器設(shè)置虛擬IP,一對一映射 端口映射,綁定的外部接口,外部的IP地址,內(nèi)部的IP地址,外部IP

7、端口,內(nèi)部服務(wù)器端口,映射服務(wù)器設(shè)置服務(wù)器的負(fù)載均衡,選擇使用服務(wù)器負(fù)載均衡 外部的IP 分配流量的方式 外部的IP端口 內(nèi)部的服務(wù)器列表,映射服務(wù)器添加允許訪問服務(wù)器的策略,策略是從外向內(nèi)建立的 目標(biāo)地址是服務(wù)器映射的虛擬IP 不需要啟用NAT,實(shí)驗(yàn),將內(nèi)部服務(wù)器10.0.X.1映射到192.168.11.10X，讓旁人ping 192.168.11.10X，然后抓包分析 Diagnose sniffer packet any icmp 4,基于策略的流量控制,在防火墻策略中啟動流量控制設(shè)置。如果您不對防火墻策略設(shè)置任何的流量控制，那么默認(rèn)情況下，流量的優(yōu)先級別設(shè)置為高級。 防火墻策略中的流

8、量控制選項(xiàng)設(shè)置為三個優(yōu)先級別（低、中、高）。 確定防火墻策略中所有基本帶寬之和需要低于接口所承載的最大容量。,流量控制設(shè)置只有對設(shè)置動作為Accept，IPSEC以及SSL-VPN的策略可用。,將應(yīng)用層的安全附加在防火墻策略上保護(hù)內(nèi)容表,保護(hù)內(nèi)容表 說明,可以進(jìn)行更細(xì)粒度的應(yīng)用層的內(nèi)容檢測技術(shù) 防火墻 保護(hù)內(nèi)容表 保護(hù)內(nèi)容表涵蓋病毒、IPS、Web過濾、內(nèi)容歸檔、IM/P2P、VoIP、與以上相關(guān)的日志,保護(hù)內(nèi)容表 應(yīng)用到防火墻策略,保護(hù)內(nèi)容表可以被應(yīng)用到允許的防火墻策略 如果使用防火墻認(rèn)證的話，則將保護(hù)內(nèi)容表應(yīng)用到用戶組 可以創(chuàng)建多個保護(hù)內(nèi)容表: 單一的保護(hù)內(nèi)容表可以被應(yīng)用到多個策略上,實(shí)驗(yàn),我們將DMZ 192.168.3.1 80 映射到192.168.11.1X1的80端口