fortigate02-防火墙策略.ppt_第1页
fortigate02-防火墙策略.ppt_第2页
fortigate02-防火墙策略.ppt_第3页
fortigate02-防火墙策略.ppt_第4页
fortigate02-防火墙策略.ppt_第5页
已阅读5页,还剩67页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

,防火墙策略 OS 4.0,防火墙策略使用“Any”接口,支持“Any”接口,Any相当于所有接口的集合,两种查看方式Section或者Global,使用了Any作为接口只能支持Global view “any”接口不能用于VIP或IP-pool,防火墙策略使用“Any”接口,源或目的接口都可以设置为“any” 如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略全局视图 “any”接口不能用于VIP或IP-pool,支持“Any”接口,Any相当于所有接口的集合,两种查看方式Section或者Global,使用了Any作为接口只能支持Global view,基于用户认证的子策略,启用基于用户的子策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志,基于用户认证的子策略例,说明 根据不同的用户组部署不同的保护内容表和流量控制,基于接口的DoS策略,特点: 基于接口部署 可以指定服务,流量控制增强,Traffic Shaper,FW Policy,APP Control P2P,流量控制的方向,如果只设置流量控制,而没有设置Reverse Direction Traffic Shapping,则该流量控制是针对上下行同时起作用的 如果设置了Reverse Direction Traffic Shapping,则上行的速度有流量控制来起作用,而Reverse Direction Traffic Shapping则控制下行速度,虚拟IP的间隔式ARP广播,通过配置发送ARP广播的方式让路由器自动地更新ARP表。通过命令行可以设置发送ARP广播的频率。间隔时间设置为0时,则关闭ARP广播 config firewall vip edit new_vip (configure the virtual IP) set gratuitous-arp-interval end,虚拟IP的ARP广播,服务器负载均衡新建虚拟服务器,虚拟服务器支持的,多种分配方式,Static 根据发起请求的源IP来分配流量,对于某一源IP来说,在没有达到目的IP的会话限制前,不会轮询到下一个目的IP Round Robin 根据发起的会话来分配,根据会话来轮换目标IP Weighted 按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配,多种分配方式,First Alive 根据健康检查状况,永远把流量转向第一个保持存活的服务器 Last RTT 根据健康检查的ping获得的RTT来判断将流量传到哪台服务器 Last Session 按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配,健康检查,TCP 通过不传数据的空连接来检测 Ping Ping包 HTTP Get一个内容然后进行匹配,不同的保持方式(Persistence )Cookie,None HTTP Cookie SSL,不同的保持方式(Persistence )SSL,根据SSL ID来分配流量 只能在支持SSL offload功能中使用 Diagnose debug application vs 7,SSL Offload,仅FG110C FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 两种模式 客户端到FG加密,FG到Server不加密 客户端到FG加密, FG到Server加密 客户端到FG加密采用的是FG颁发的证书,而非服务器颁发 目前build141可以正常工作,MR1不可以,可以支持Firefox, IE 6.0不可以。,HTTP multiplex(多路复用)一,HTTP multiplex(多路复用)二,如果选中,没有选中,Vdom的资源限制,全局的资源,每个虚拟域的资源,修改 恢复出厂值,POST三种处理方式,Normal 正常允许 Block 阻断POST动作 Comfort 对于Post采用定时发送数据包的方式保持连接,Block阻断方式,禁止Post动作,Comfort方式,Comfort模式查看http进程的动作 : Diag debug app http -1: 2: 9:3362 :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2: 9:3362 :80: CLTRDRDY HTTP_REQUEST_STATE 2: 9:3362 :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 :80: LOOPEND HTTP_REQUEST_BUFFER_STATE 抓包分析: 设置comfort的时间间隔和数量,AMC Bypass,测试过build 92和141均无法支持AMC-CX4,无法切换到正常模式,只能停留在Bypass模式上,config system amc set sw1 asm-cx4 set watchdog-recovery enable | disable set watchdog-recovery-period End,AMC 诊断工具,Diagnose,SSL内容扫描与监测,两种模式可以选 URL Filtering (URL过滤) to limit HTTPS content filtering to URL filtering only. Select this option if all you wan t to do is apply URL web filtering to HTTPS traffic. If you select this option you cannot select any Anti-Virus options for HTTPS. Under Web Filtering you can select only Web URL Filter and Block Invalid URLs for HTTPS. Selecting this option also limits the FortiGuard Web Filtering options that you can select for HTTPS. Deep Scan (深度扫描) to decrypt HTTPS traffic and perform additional scanning of the content of the HTTPS traffic. Select this option if you want to apply all applicable protection profile options to HTTPS traffic. Using this option requires adding HTTPS server certificates to the FortiGate unit so that HTTPS traffic can be unencrypted.,流量控制增强,流量控制流程 v3.0 v4.0 ,出口队列,每个非NP的物理接口上4个出口队列(v3.0有6个队列) 队列指派是绝对的。(v3.0是相对的) 队列计算请见上页图形 ToS和TS的队列号目前是1 (high) , 2 (medium) , 3 (low) 队列0用于设备自身产生的流量,独立的shaper,Traffic shaper从防火墙策略中独立出来 (*) 缺省情况下,该shaper应用到所有调用它的策略中,DUT_Beta4_0 # sho firewall policy config firewall policy edit 1 set srcintf “port5“ set dstintf “port6“ set srcaddr “VM11“ set dstaddr “VM5“ set action accept set schedule “always“ set service “ANY“ set traffic-shaper “limit_GB_25_MB_50_LQ“ next end,DUT_Beta4_0 # show firewall traffic-shaper config firewall traffic-shaper edit “limit_GB_25_MB_50_LQ“ set guaranteed-bandwidth 25 set maximum-bandwidth 50 set priority low set per-policy enable (*) next end,新菜单,Shaper列表,独立的shaper,排错:丢包,DUT_Beta4_0 # diagnose firewall shaper name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 51 KB/sec priority 3 dropped 1291985,跟踪每个shaper的丢包情况,DUT_Beta4_0 # diagnose firewall shaper list name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 0 B/sec priority 3 dropped 0 name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50 KB/sec priority 3 policy 1 dropped 214 name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50 KB/sec priority 3 policy 4 dropped 569,排错:丢包,2 instances createas 2 FWP refer to this shaper,因为有2条防火墙使用了这一个shaper,所以有这2个条目,这是shaper设为“每策略”的结果,排错:丢包 debug flow,DUT_Beta4_0 # diagnose debug enable DUT_Beta4_0 # diagnose debug flow show console enable DUT_Beta4_0 # diagnose debug flow filter addr DUT_Beta4_0 # diagnose debug flow trace start 1000 DUT_Beta4_0 # id=20085 trace_id=11 msg=“vd-root received a packet(proto=17, 1:3735-:5001) from port5.“ id=20085 trace_id=11 msg=“Find an existing session, id-0000eabc, original direction“ id=20085 trace_id=11 msg=“exceeded shaper limit, drop“,反向流量使用单独的shaper,DUT_Beta4_0 # show firewall policy 4 config firewall policy edit 4 set srcintf “port2“ set dstintf “port6“ set srcaddr “VM3“ set dstaddr “VM6“ set action accept set schedule “always“ set service “ANY“ set traffic-shaper “limit_GB_25_MB_50_LQ“ set traffic-shaper-reverse “limit_GB_12_MB_25_LQ“ next end,与发起方向相反,流量控制的方向,如果只设置流量控制,而没有设置Reverse Direction Traffic Shapping,则该流量控制是针对上下行同时起作用的 如果设置了Reverse Direction Traffic Shapping,则上行的速度有流量控制来起作用,而Reverse Direction Traffic Shapping则控制下行速度,P2P流量控制的修改,v3.0界面,已被移除,P2P shaper,P2P控制已经被移至应用控制下 第1步:创建一个应用列表 config application list edit “kazaa_and_BT“ config entries edit 9 (kazaa) set action pass set shaper “p2p-kazaa“ next edit 6 (BitTorrent) set action pass set shaper “limit_BitTorrent“ next end next end 第2步:在保护内容表中调用,注意事项,1. 想要获得精确的测试效果,待测流量应该是不能自我纠正的。例如UDP的效果较好,TCP效果较差 2. 只有不使用保护内容表的防火墙策略才能获得精确的流量控制效果(Proxy可能导致难以预测的延迟) 3. 各shaper设置之和不要超过总带宽限制 ( 例如:GB之和应该小于outbandwith ) 见测试14 4. FortiGate并不按照DSCP值进行优先级排列,VIP负载均衡增强,服务器负载均衡新建虚拟服务器,虚拟服务器支持的,多种分配方式,First Alive 根据健康检查状况,永远把流量转向第一个保持存活的服务器 Last RTT 根据健康检查的ping获得的RTT来判断将流量传到哪台服务器 Last Session 按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配,健康检查,TCP 通过不传数据的空连接来检测 Ping Ping包 HTTP Get一个内容然后进行匹配,不同的保持方式(Persistence )Cookie,None HTTP Cookie SSL,不同的保持方式(Persistence )SSL,根据SSL ID来分配流量 只能在支持SSL offload功能中使用 Diagnose debug application vs 7,SSL Offload,仅FG110C FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 两种模式 客户端到FG加密,FG到Server不加密 客户端到FG加密, FG到Server加密 客户端到FG加密采用的是FG颁发的证书,而非服务器颁发 目前build141可以正常工作,MR1不可以,可以支持Firefox, IE 6.0不可以。,HTTP multiplex(多路复用)一,HTTP multiplex(多路复用)二,如果选中,没有选中,Troubleshooting,FG3600A-3 # diag firewall vip realserver ldb real servers virtual-server virtual-server diagnostics FG3600A-3 # diag firewall vip virtual-server filter filter for various virtual server diagnostics log logging diagnostics real-server real-server diagnostics session session diagnostics ssl SSL sessions stats statistics FG3600A-3 # diag firewall vip virtual-server real-server list vd root/0 vs HTTPS-srv/3 addr 18:80 status 1/1 conn: max 10 active 0 attempts 0 success 0 drop 0 fail 0 ssl: 0 FG3600A-3 # diag firewall vip realserver down change address down flush flush healthcheck server health check list list up change address up FG3600A-3 # diag debug application vs 7,基于用户认证的策略,基于用户认证的子策略,启用基于用户的子策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志,基于用户认证的子策略例,说明 根据不同的用户组部署不同的保护内容表和流量控制,功能描述,所有启用用户认证的防火墙策略将成为“基于用户认证的策略” 可以将一条策略拆分成多个子项: 用户组 时间表 服务 保护内容表 流量控制 流量日志,变化?,在v3.0MR6时,就可以在一条策略里使用多个用户组,绑定不同的保护内容表,v3.00 MR7,变化?,基于用户认证策略的有点: 每个用户组使用不同的服务、时间表、流量控制等 策略可读性更强,认证的次数?,默认情况下,例如v3.0MR5+,认证是基于策略的:当一个用户已经在策略1中认证过,当他使用策略2时,需要重新认证。 有一条命令可以改变以上情况,变为全局认证 top3 777,config system global set auth-policy-exact-match disable end,默认值是enable,所以所有策略都必须一一认证,认证的次数?例,以上两条策略访问不同的目的地址,而认证用户组是一个。 如果auth-policy-exact-match设置成enable,则访问dst1和dst2都分别需要认证 如果auth-policy-exact-match设置成disable,则访问dst1和dst2只需要认证一次,认证事件日志,格式化后,原始,注意:如果一个用户停留在认证界面长时间不操作,也会产生事件日志 1 2009-03-18 21:54:06 warning authenticateUser failed to authenticate within the allowed period,用户监视 - Firewall,v4.0的GUI下可以监视已认证的用户,Syslog,认证成功,Dec 18 23:59:05 07 date=2008-12-18 time=14:54:34 devname=FG3600A-1 device_id=FG3K6A3406600033 log_id=0106038001 type=event subtype=auth pri=notice vd=VDB user=“user1“ group=“group1“ ui=HTTP(7) action=authenticate status=success msg=“User user1(group1) succeeded in authentication“,Dec 19 00:10:29 07 date=2008-12-18 time=15:05:58 devname=FG3600A-1 device_id=FG3K6A3406600033 log_id=0106038002 type=event subtype=auth pri=warning vd=VDB user=“ service=HTTP action=authenticate status=timeout reason=timeout src=7 srcname=N/A dst=54 dstname=N/A msg=“User failed to authenticate within the allowed period“,长时间停留在认证页,认证超时,与v3.0相同,config system global set auth-keepalive enable,Debug:用户认证状态,diagnose firewall auth list(可过滤),FG3600A-1 (VDB) # diagnose firewall auth list policy id: 1, src: 7, action: accept, timeout: 140 user: user2, group: group2 flag (80020): auth timeout_ext, flag2 (0): group id: 2, av group: 0 policy id: 1, src: 5, action: accept, timeout: 57 user: user1, group: group1 flag (80020): auth timeout_ext, flag2 (0): group id: 1, av group: 0 - 2 listed, 0 filtered -,FG3600A-1 (VDB) # diagnose firewall auth filter group group1 FG3600A-1 (VDB) # diagnose firewall auth list policy id: 1, src: 5, action: accept, timeout: 19 user: user1, group: group1 flag (80020): auth timeout_ext, flag2 (0): group id: 1, av group: 0 - 1 listed, 1 filtered -,FG3600A-1 (VDB) # diagnose firewall auth filter clear clear all filters group group name method method policy policy id source source ip address user user name FG3600A-1 (VDB) # diagnose firewall auth filter FG3600A-1 (VDB) # diagnose firewall auth filter method valid method name: fw, fsae, ntlm,重要提示:debug过滤也可以作用于 diag firewall auth clear 意味着可以有选择的删除用户认证状态!,Debug:防火墙会话,有认证的会话将有更多的信息,session info: proto=6 proto_state=11 expire=3588 timeout=3600 flags=00000000 sockflag=00000000 sockport=80 av_idx=0 use=5 origin-shaper= reply-shaper= ha_id=0 hakey=58157 policy_dir=0 tunnel=/ user=user2 group=group2 state=redir local may_dirty authed rem statistic(bytes/packets/allow_err): org=4876/20/1 reply=5642/11/1 tuples=3 orgin-sink: org pre-post, reply pre-post dev=8-9/9-8 gwy=54/7 hook=post dir=org act=snat 7:1095-54:80(07:38595) hook=pre dir=reply act=dnat 54:80-07:38595(7:1095) hook=post dir=reply act=noop 54:80-7:1095(:0) pos/(before,after) 0/(0,0), 0/(0,0) misc=20002 policy_id=1 auth_info=2 chk_client_info=0 vd=4 serial=0000072b tos=ff/ff app=0 dd_type=0 dd_rule_id=0,Debug : authd, fnbamd,当用户在Web登录页面成功认证后,FG3600A-1 (global) # message_loop: checking timeouts authd_http.c:792 authd_http_read: called authd_http.c:1671 authd_http_wait_credential: called authd_http_common.c:262 authd_http_read_http_message: called authd_http_common.c:218 authd_http_is_full_http_message: called authd_http.c:2277 authd_http_change_state
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论