飞塔防火墙OS4.0最新配置手册.ppt_第1页
飞塔防火墙OS4.0最新配置手册.ppt_第2页
飞塔防火墙OS4.0最新配置手册.ppt_第3页
飞塔防火墙OS4.0最新配置手册.ppt_第4页
飞塔防火墙OS4.0最新配置手册.ppt_第5页
已阅读5页,还剩35页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

,系统概述OS4.0,初始化教室,Intranet192.168.11.0/24192.168.10 x.0/24192.168.20 x.0/24,ServerNetwork192.168.3.0/24,ClassServer,GatewayFirewall,FortiAnalyzer,PrivateNetwork10.0.x.0/24,StudentPC,实验拓扑图,新增UTM菜单项,病毒检测、IPS、Web过滤器、反垃圾邮件、DLP、ApplicationControl设置都移至UTM菜单下IM/P2P/VOIP功能并入ApplicationcontrolIM用户控制移至设置用户-本地-IM,新增UTM菜单项保护内容表,保护内容表也做相应的调整,新增UTM菜单项病毒检查,病毒检测由原有的主菜单变成子菜单,新增UTM菜单项入侵防护,新增UTM菜单项Web过滤,新增UTM菜单项DLP,新增UTM菜单项ApplicationControl,WebUI定制化(1)新建授权表,显示和隐藏预览,WebUI定制化(2)隐藏已有菜单项,隐藏后变成虚的,在使用该内容表的管理员登录后,就看不到该菜单项,WebUI定制化(3)新建菜单项,点击下侧的+,则会添加菜单项点击菜单的右侧向下箭头,可以隐藏该菜单或者创建子菜单项,WebUI定制化(4)新建页面,为子菜单建立页面,该页面上可以添加各种功能模块,WebUI定制化(5)布局和功能模块,设计布局和内容只适用于自己定制的子菜单项,不能对内置的菜单项和子菜单项进行修改。内置的菜单项可以掩藏。,WebUI定制化(6)保存和效果,保存当前的设置,然后将该保护内容表赋予某管理员用该管理员帐号登录,实验一,定制管理界面,定制一个只有防火墙和路由功能的管理界面,检测未经许可的无线接入点(AP),检测非法AP,FortiOSv3.00:不支持FortiOSv4.00:FWF-50B和FWF-60B支持。但目前还不支持完整的WIDS/WIPS。,作用:发现网络中有意或无意部署的,未经许可的AP。列表中的AP分为2种状态,已许可和未许可。标识为何种状态由管理员决定。,设置,默认状态System/Wireless/RogueAP菜单下,所有的AP默认处于未许可状态。,检测到的AP将被列出以下参数检测到的时间和日期信号强度802.11a/b/g/n参数Ssid/BssidMAC地址,检测非法AP,两种模式,监控模式(Monitor)该模式下,FWF专注于无线信号扫描此时FWF无法作为AP或无线客户端无线接口被隐藏FWF持续扫描无线频道后台扫描模式(BackgroundScan),当FWF处于AP工作状态时,可以同时使用后台扫描模式当无线频道空闲时,开始信号扫描,与AP相关的SNMP和日志,SNMP可以发送“RogueAccessPointdetected”trap信息。此信息不会包括被发现AP的细节。当发现AP时,会产生一条新的事件日志,该日志中包括SSID/BSSID信息。,如何设置,FWF50B3G07503140#configsystemwirelesssettingsFWF50B3G07503140(settings)#setmodeAPAPCLIENTCLIENTSCANSCAN,获得当前检测后状态,FWF50B3G07503140#getsystemwirelessdetected-apSSIDBSSIDCHANRATES:NINTCAPSACTLIVEAGEFORTINET-Pr.06:1a:2a:01:8c:27254M19:0100EPSsY450RSNWMEATHFORTINET-Pu.00:12:bf:14:fa:86354M26:0100ESsY3920WMEATHfortinet00:1a:2a:ad:05:3b554M70:0100ESsY3920WMEATHfortinet00:0d:88:e5:74:cc554M54:0100ESsY3920fortinet00:12:bf:16:64:17554M70:0100ESsY3920WMEATHfortinet00:0d:88:e7:33:03554M41:0100ESsY3910fortinet00:12:bf:2c:d6:cd554M60:0100ESsY3910WMEATHFORTINET-Pu.00:1a:2a:01:8c:27254M20:0100ESsY3890WMEATHFORTINET-Pu.00:c0:a8:d1:11:22254M9:0100ESsY1023WMEATHTechnofi00:1f:33:73:7a:ca1154M-3:0100EPSsY55WPAWMEATHFWF50B3G07503140#,扫描行为,当FWF扫描一个频道时,无线芯片将会从当前工作频道切换到被扫描频道。FWF广播一个探测请求,并等待20毫秒。20毫秒之后,FWF会切换到下一个待扫描的频道:收到其它AP的响应150ms仍然没有收到任何响应在监控(Monitor)模式下(GUI下设置为monitoring),FWF持续扫描所有的频道。,管理员通过勾选一个复选框来将一个AP标识为允许状态未经许可(非法)AP将显示红色背景AP在线与否由列前的图标显示,后台扫描模式,假设FWF硬件支持一下N个频道:B1B2.Bn,而AP当前工作频道是Cx,当前的扫描顺序如下:B1CxB2B3CxCxCxB4Cx.BnCxCxCx.CxB1B2CxB3CxCxB4Cx.BnCxCxCx|-循环-|FWF只有在Cx频道空闲时才会开始扫描。空闲时间是根据最近收到的数据包计算出来的。Beacon或其他802.11管理包并不考虑在内。空闲时间参数也可以设置。bgscan-idle可设置为100-1000ms,缺省值是250ms。如果WLAN非常繁忙,任何两个数据包之间的间隔都小于这个值,后台扫描就不会开始。在第一个循环中,当B3扫描完成后,必须等待AP空闲之后才能开始B4扫描。如果WLAN不是非常繁忙,FWF可以连续扫描多个频道,例如B2-B3。如果这个参数设置得过长,有可能导致FWF永远没有机会进行频道扫描;如果设置得太短,会因为频繁的扫描导致更多的丢包。当FWF完成对所有频道的扫描,它将等待一段时间,然后开始新一轮循环。这个时间段是根据上一次扫描Bn到下一次扫描B1的间隔计算出来的。这个值也可以修改。bgscan-interval可设置为15-3600秒,缺省值是120秒。如果参数设置过高,FWF有可能漏掉那些偶尔使用的非法AP。,虚拟IP的间隔式ARP广播,虚拟IP的间隔式ARP广播,通过配置发送ARP广播的方式让路由器自动地更新ARP表。通过命令行可以设置发送ARP广播的频率。间隔时间设置为0时,则关闭ARP广播configfirewallvipeditnew_vip(configurethevirtualIP)setgratuitous-arp-intervalend,虚拟IP的ARP广播,虚拟IP的免费ARP,可以设置周期性地发送免费ARP默认是禁用的gratuitous-arp-interval=0可以在一定程度上防御ARP欺骗?,configfirewallvipeditwebsetextip10.174.1.80setextintfexternalsetportforwardenablesetgratuitous-arp-interval10setmappedip192.168.183.1setextport80setmappedport80nextend,实验-ARP攻击防御,Modem拨入,Modem拨入,TOP3533。只支持FG60B和FWF60BconfigsystemdialinsvrFGT60B3907517270(dialinsvr)#set*statusenable/disabledial-in-server*server-ipIPassignedtoserver*client-ipIPassignedtoclient*usrgrponlyusersinthisusergroupcandialin*allowaccessAllowmanagementaccesstotheinterfacemodem-devchoosewhichmodemdevicetouse,Modem拨入例,FG60B端的设置分配给Modem的IP分配给客户端的IP设置管理权限设置用户,Modem拨入例,客户端的设置,Modem拨入例,拨号之后PC就可以获得IP地址,通过访问所设置的服务器IP,就可以对FortiGate进

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论