FortiGate产品配置经验

FortiGate产品配置经验1 0 2008年4月 FortiTrial FortiGate实施之前 初始安装前 重新上载FortiOS版本设备启动时 从Console观察有无错误信息向Fortinet工程师咨讯最佳FortiOS版本 1先格式化CF卡 再上载FortiOS可能的话 测试相关器件专门的FortiGate硬件自检工具HQIP 2去客户现场之前作好准备收集网络和安全配置方面的需求获取用户网络拓扑图或根据与用户的交流描绘拓扑图可能的话 作好相应的配置以节省在客户现场的时间 1 2 参考注解 物理层线缆距离双绞线 100M适用10 100 1000或SFP铜口多模光纤 550M适用SXSFP光口单模光纤 10KM适用LXSFP光口确认线缆质量完好根据相邻设备的实际情况选择合适的接口协商模式 3 4两端均auto两端均强制指定为10 100 1000MFull尽量避免出现一端auto 另一端强制的情况可能的话 利用802 3AD的链路冗余特性 5网路 链路层为性能和排错需要 路由条目越精简越好 定义适当的缺省路由FortiGuard服务 AV IPS CF AS 需要缺省路由如果启用动态路由 建议启用路由认证功能改用最近最快的DNS服务器 FortiGate实施之前 网路 链路层STP CDP VTPsetstpforwardenable confsysinterface IfVLANsareused makesureyoufiltertrafficonlyfortheappropriateVLAN NetworksegmentNativevlan如果交换机上的vlan1不是nativevlan 则必须在FGT上创建相对应的vlan1交换机上的nativevlan与FGT上的物理接口相对应Vlanforward启用后 未定义的vlan流量将会转发 但不受防火墙策略控制setvlanforwardenable confsysinterface 6Forward domain透明模式下 把内外接口的同一个VLAN划分在同一个广播域setforward domain confsysinterface 7透明模式下 使用单独接口作为管理接口 并将其划入单独的VDOM降低产生环路的风险避免网络链路堵塞导致管理的困难 FortiGate实施之前 初始安装之后 备份两份配置 自己一份 客户一份注意只有加密配置文件备份才可以备份VPN证书作好标记并安全保存留下一份解释FortiGate周边设备拓扑的文档一份文档解释FG运行模式 接口相关参数 路由定义防火墙 VPN的策略解释保护内容表的服务启用情况客户的注册信息 8FortiCare FortiGuard服务包扩展 9一份运行状态文档CPU MEM利用率 并发会话数 10建立一周或一个月的基本运行状态文档 11 系统管理 只允许内网的可信主机管理Fortinet设备管理密码不少于6个字符 最好同时包含字母和数字管理会话空闲超时不要太长 缺省5分钟是合适的调整到正确的系统时间和时区记录的日志与系统时间相关对有LCD的型号 确认设置了PIN码当部署多个设备时 用不同的设备主机名设备序列号作主机名可能带来麻烦 防火墙 策略中尽量不用all作源 目的地址尽可能不用FQDN地址FortiGate自己发起DNS查询影响性能策略中尽可能不用ANY作协议 服务确有必要才启用流量日志流量日志会影响系统性能每条策略加上注释比如谁是请求者和授权者等如果可能不要用端口范围作服务认证审核每个服务端口 避免留出漏洞尽量使用地址组及服务组 以减少策略条数 既能优化性能 也能便于管理 定义VIP时要特别小心VIP采用了ARP代理的方法 而且定义后马上生效 13最后一条是全deny的防火墙策略防火墙策略尽量精确到单个IP地址 单个端口 这样既提高安全性 也能提高系统的性能和稳定性 入侵检测防护 最好用v3 00MR6级以上的版本重新设计 性能更好 配置更方便在实施之前启用所有IPS检查启用IPS特征 动作pass 记录日志启用DoS 缺省阀值 动作pass 记录日志运行一个工作周期后分析整理所有日志 决定以后的部署方案只启用相关的IPS DoS特征集不要启用无关的IPS特征集DoS的阀值应根据业务季特征作相应调整IP protocol 14MR5之前 IPS缺省只检测TCP UDP ICMP协议setignore session bytes 15缺省是200K 实际可适当调整到20K 防病毒 只检测需要的协议如果你邮件服务器安装了AV模块或者FortiMail 就不要扫描SMTP POP3 IMAP 缩小扫描文件大小的最大值病毒一般都以小文件为载体传播扫描文件大小为最小值1MHAA A可以大大提高扫毒性能提高Internet访问的安全性可以启用灰件扫描启用病毒扩展库 MR6 在命令行打开启发扫描功能 文件名后缀 文件类型 MR6 过滤功能大大提高AV扫描性能大大提高对知识产权的保护谨用隔离文件如果无人关心 就不要启用隔离文件功能 防病毒 当设备性能不够时Proxysession数不够Setav failopen sessionenable confsysglobal Setav failopenidledrop 16减小相应的防病毒协议的会话时间Confsyssession ttl 内存容量不够setav failopenpass 17在内存耗用较大的环境使用Freememory30 扫描AVsetoptimizeantivirus提高AV扫描性能FG1000A及以上有效 URL过滤 HAA A可以大大提高URL过滤性能关键字扫描对性能有较大影响如果MEM足够可适当延长CacheTTL用cache条目过滤更快多建用本地过滤表比去FortiGuard过滤快与FortiAnalyzer配合构成很好的上网行为审计系统 反垃圾邮件 尽可能用FortiMail专业系统效率更高准确率更好选用更快的DNS服务器定义明细的保护内容表如有必要 可以开启对应协议的防病毒DNS检查可能误判HELODNSLookupReturnE mailDNScheck禁用词汇过滤对性能影响较大适用中国用户的DNSBLcbl anti confspamfilterdnsbl cdl anti 优先启用FortiGuardAntispam服务此服务识别垃圾邮件的准确率高 高可用性 HAA A可以充分利用HA每个成员的系统资源提高内容层扫描的处理能力AV AS CF IPSFA2和NP2模块提高HA性能FA2 NP2能够处理主防火墙重定向到从防火墙的会话设置恢复抢回功能Setoverrideenable confsysha 心跳线的同步及其他不作加密以提高性能心跳线上不要处理用户数据流量 性能调整 FortiGate设备应该有足够的资源应对攻击资源利用率最好不要超过65 getsysperformancestatus在65 到85 是可以接受的 但超过后可能不稳定只开启用得着的管理服务如果不用SSH或SNMP 就不要启用将用得最多或最重要的防火墙策略尽量靠前防火墙策略是至上而下执行的只开启那些必要的流量日志流量日志会降低系统性能只开启那些必须的应用层协议检查应用层检查对系统性能是敏感的最小化发送系统告警信息如果已经配置了syslog或FAZ日志 尽可能不要配置SNMP或Email告警AV IPS特征库更新间隔为4或6小时精简保护内容表数量删除不必要的保护内容表精简虚拟域数量删除不必要的虚拟域低端设备不要用虚拟域如果性能显示不足就避免启用流量整形流量整形将降低流量处理性能 12 性能调整 建议采用外置的日志存储方式 如syslog FortiAnalyzer等 建议使用单独的接口输出日志关闭不必要的内容存档建议关闭或降低各种自动运行程序的频率 如自动更新 NTP时间同步等设置正确的优化模式 如果使用防病毒或IPS功能 则设置为antivirus模式 如果仅使用防火墙功能 则设置为throughput模式尽量使用NP2接口 其次FA2接口关闭不必要的session helper可以降低CPU负载 内存释放 不启用内存日志不启用不必要的AV扫描协议减小扫描病毒文件的上限值删除不用的DHCP服务取消不用的DNS转发服务如IPS不需要 执行命令节省内存Diagipsglobalallstatusdisable改变session的ttl值setdefault300 confsyssession ttl settcp halfclose timer30 configsysglobal settcp halfopen timer20 confsys