FortiGate防火墙产品培训

FortiGate防火墙产品培训,第一天产品介绍FortiGate配置.FortiGate系统管理.路由.防火墙功能.UTM功能.VPN,内容和时间安排,第二天FortiGate配置.用户管理.终端控制.WAN优化.无线控制器.日志与报告.HA配置和管理部署运行维护建议故障排错第三天实验测试,FortiClient,产品介绍-日志服务器、集中管理服务器、安全客户端,FortiAnalyzer,FortiManager,产品介绍-全面的安全功能,防火墙、VPN、入侵防护、防病毒、Web分类过滤、垃圾邮件过滤、应用控制、带宽控制,产品介绍-FortiGuard分布式威胁特征更新服务器,通过FortiGuard全球分布式服务器，及时更新威胁特征库,系统结构,CPU:系统管理,路由,新建会话,非FA2,NP2,NP4接口的流量处理等内存:运行系统软件,存储路由表、会话表,记录日志等Flash卡:存放FortiOS版本,配置文件,系统运行事件日志CP芯片:内容处理芯片,病毒特征/IPS特征查找,IPSecVPN加解密等FA2,NP2,NP4芯片:网络处理芯片,同步复制已建立的会话后,独立处理转发流量,减少CPU消耗硬盘:有些型号没有(如FG110C,FG310B),有些型号固定配置(如FG111C,FG311B),有些型号可选配(如FG1240B,FG3040B),主要记录各种日志信息电源:中高端支持冗余双电源(FG310B-RPS,FG620B-RPS)FortiOS软件版本安全专用操作系统,设备物理结构FG5005FA2，FG5140,6个千兆普通SFP非加速接口,2个千兆SFPFA2加速接口,设备物理结构FG1240B,24个千兆NP加速SFP接口,14个千兆NP加速铜口,6个FSM扩展插槽,Console及USB接口,AMC扩展插槽,2个千兆普通非加速接口,设备物理结构FG1240B,电源1,电源2,风扇1,风扇2,风扇3,风扇指示灯,风扇指示灯,设备物理结构FG1000A/FA2,10个千兆普通非加速接口,2个千兆SFPFA2加速接口,设备物理结构FG310B,Console口,8个千兆NP加速接口,USB接口,2个千兆普通非加速接口,AMC插槽,设备物理结构FG110C,Console口,2个千兆接口,8个百兆接口,USB接口,FortiGate路由模式,Internal/24,Internal2/24,Port1,Port2,Wan,,,82,NAT/RouteMode,FortiGate透明模式,TransparentMode,Internal/24,Internal2/24,Port1,Port2,Wan,,84,所有接口都在同一广播域,通过二层MAC地址转发处理流量,易于部署,不需要改变原来的网络结构。不支持PPTP、L2TP、SSL、GREVPN，支持IPSecVPN,防火墙-透明模式下的多播流量,Multicast,Multicast,在透明模式下，比较常见的环境，OSPF、视频会议等多播流量流经防火墙的场景中，需要启用多播流量转发。或建立多播策略运行指定多播地址通过。configsystemsettingssetopmodetransparentsetmulticast-skip-policyenable#默认为关闭end,虚拟域,虚拟域就是将一台物理防火墙的不同接口放入不同的虚拟系统,不同的虚拟系统之间相互隔离,各虚拟系统就像一台独立的防火墙。一台物理防火墙上可以同时有路由模式的虚拟域和透明模式的虚拟域,即混合模式。缺省一台物理防火墙支持10个虚拟域，FG3000以上型号可购买增加到25,50,100,250个虚拟域的许可。使用虚拟域后日志、病毒特征库/入侵防护特征库/更新Web分类查询、SNMP管理要通过一个定义为管理域的虚拟域完成。,数据包处理流程,查看路由表,无路由表，丢弃有路由表，查看会话,会话存在则直接从接口发出没有会话存在,查看策略,策略不允许,丢弃策略允许,建立会话,转发数据流,与路由器的主要不同,要建立和维护会话状态表,数据包流程,diagnosedebugflow查看数据包流程细节,FortiGate软件版本,版本命名3.7.10-3.0MR7Patch104.2.10-4.0MR2Patch10(4.0以后的管理界面有较大变化)4.3.5-4.0MR3Patch5查看版本FG400A2904500473#getsysstatusVersion:Fortigate-400A3.00(主版本),build0754(发布序号),101027(发布日期)FG800F_92#getsysstatusVersion:Fortigate-800Fv4.0,build0338,111206(MR2Patch10)本次培训以4.2版本为主,设备初始配置4.2版本,系统管理-系统信息,系统管理-设备操作,系统管理-系统资源,系统管理-会话排行榜,会话排行榜细节,系统管理-会话排行榜细节,系统管理-网络接口,FG800F_92(port1)#shoconfigsysteminterfaceeditport1setvdomrootsetip31setallowaccesspinghttpssshsnmphttptelnetsetgwdetectenablesetdetectserversettypephysicalsetaliasinsidenextendFG800F_92(port1)#,FortiGate的主要配置都可在Web管理界面配置,用些功能需要在CLI命令行下配置命令行下show显示增加和更改的配置,get和showfull显示包括缺省配置在内的所有的配置,Web配置-CLI配置,FG800F_92#configsystemglobalFG800F_92(global)#shoconfigsystemglobalsetadmintimeout333setfgd-alert-subscriptionadvisorylatest-threatsetgui-ipv6enablesethostnameFG800F_92setlanguagesimchsettcp-halfopen-timer190settimezone55endFG800F_92(global)#,查看接口工作状态,FG800F_92#diagharddevnicport1DescriptionIntel(R)PRO/100MDesktopAdapterDriver_Namee100Driver_Version2.1.29PCI_Vendor0 x8086PCI_Device_ID0 x1229PCI_Subsystem_Vendor0 x8086PCI_Subsystem_ID0 x0070PCI_Revision_ID0 x0010PCI_Bus10PCI_Slot6IRQ6System_Device_Nameport1Current_HWaddr00:09:0F:09:00:04Permanent_HWaddr00:09:0F:0C:67:CCPart_Numbera80897-003Linkup;实际工作状态Speed100DuplexfullFlowControlreceive/transmitStateup;配置Rx_Packets23543172Tx_Packets24694448Rx_Bytes4062101470Tx_Bytes1222105743Rx_Errors0Tx_Errors14Rx_Dropped0Tx_Dropped0MulticastN/ACollisions0FG800F_92#,系统管理-物理网络接口1,系统管理-物理网络接口2,系统管理-Vlan接口,系统管理-802.3ad汇聚接口1,系统管理-802.3ad汇聚接口2,802.3ad两端设定使用状态,查看该聚合链路的工作状态diagnosenetlinkaggregatename聚合接口名称,交换机端的配置和查看工作状态interfacePort-channel1!interfaceGigabitEthernet0/1channel-group1modeactive!interfaceGigabitEthernet0/2channel-group1modeactiveSwitch#showlacpinternalFlags:S-DeviceisrequestingSlowLACPDUsF-DeviceisrequestingFastLACPDUsA-DeviceisinActivemodeP-DeviceisinPassivemodeChannelgroup1LACPportAdminOperPortPortPortFlagsStatePriorityKeyKeyNumberStateGi0/1SAbndl327680 x10 x10 x10 x3DGi0/2SAbndl327680 x10 x10 x20 x3D,系统管理-冗余接口1,Router1,Router2,冗余接口1,冗余接口2,Router1,Router2,主接口失效后，冗余接口中的其他接口将激活,冗余接口1,冗余接口2,正常情况，只有冗余接口的主接口处于工作状态。,主接口失效后，冗余接口2开始工作。,系统管理-冗余接口2,系统管理-区Zone,系统管理-DHCP服务器,系统管理-FortiGate选项,系统管理-访问内容表,系统管理-管理员设置1,系统管理-管理员设置2,SNMP,配置SNMP需要在接口启用SNMP的管理服务,系统管理-固件升级,Web管理界面升级版本,备份和恢复配置文件,在系统重新启动(关闭再打开电源或执行execreboot命令)时FGT60(11:24-04.25.2005)Ver:04000000Serialnumber:FGT-602906505474RAMactivationTotalRAM:128MBEnablingcache.Done.ScanningPCIbus.Done.AllocatingPCIresources.Done.EnablingPCIresources.Done.ZeroingIRQsettings.Done.VerifyingPIRQtables.Done.Bootup,bootdevicecapacity:62MB.Pressanykeytodisplayconfigurationmenu.;此时按任意键中断正常启动.G:GetfirmwareimagefromTFTPserver.F:Formatbootdevice.Q:Quitmenuandcontinuetobootwithdefaultfirmware.H:Displaythislistofoptions.EnterG,F,Q,orH:;输入f格式化Flash卡EnterG,F,Q,orH:;输入gEnterTFTPserveraddress68:29;TFTP服务器IP地址Enterlocaladdress88:11;和TFTP服务器同网段的另一个IP地址Enterfirmwareimagefilenameimage.out:FGT_60-v300-build0670-FORTINET.out;新版本的文件名MAC:00:09:0f:50:58:5c#Total14628876bytesdatadownloaded.Verifyingtheintegrityofthefirmwareimage.Total28000kBunzipped.SaveasDefaultfirmware/Runimagewithoutsaving:D/R?;输入选择d,(版本上载完成后,输入选择d,将新上载的版本做为系统启动的缺省版本),TFTP方式升级版本,路由-静态路由,路由-策略路由,防火墙-异步路由,PC1,RouterA,RouterB,Syn,Syn,ack,FGT,Syn包在port2接口发出,在port3口上收到(syn,ack)回包,port2,port3,路由-当前路由表,路由-链路负载均衡和冗余,防火墙-地址,防火墙-地址组,防火墙-预定义与定制,防火墙-服务组,防火墙-时间表,防火墙-流量整形器,防火墙-虚拟IP,静态IP地址映射端口转发,防火墙-虚拟IP-IP地址池,IP地址池是用于向外做NAT访问时使用的地址范围,将服务请求根据设定的算法分发不同的服务器上,防火墙-负载均衡,配置负载均衡,防火墙-策略,防火墙-策略的顺序,阻挡DoS策略,新建DoS传感器,增加基于源接口防的DoS策略,阻挡DoS策略,防火墙-会话空闲超时时间调整,用户认证,配置定义用户用于上网认证、PPTPVPN认证、L2TPVPN认证、IPSec拨号VPN认证、SSLVPN认证。FortiGate防火墙支持本地、外部Radius、外部LDAP用户和证书用户,用户认证,本地用户,双因子认证(4.3版本),除静态密码外,同时增加一个动态密码认证动态密码形式:令牌,邮件,短信动态密码每隔一定时间更换一次密码,如FortiToken一分钟更换一次密码,配置外部LDAP用户,配置外部Radius用户,配置外部目录服务(FSAE)用户,FortinetServerAuthenticationExtension(FSAE)是指FortiGate查询安装在AD目录服务器上的代理,得到AD目录服务器的登录帐号信息,登录过AD域的用户,配置上网认证时,不用再输入用户名和密码。,配置用户组，将本地用户或外部用户添加到用户组,WAN优化,完整优化方式适用于两个对等网络间数据缓存优化仅Web缓存方式适用互联网Web访问,完整优化配置,完整优化配置,查看优化效果,Web缓存配置,查看Web缓存效果,日志与报告,日志可以记录到本地内存和硬盘，外部FortiAnalyzer和Syslog服务器上。可以配置三台FortiAnalyzer和三台Syslog。,configlogdisksettingsetuploadenablesetuploadpassENCvHktOprftXR8FJQgODA8EcgYEVJ63C7CZg0ExmYmsetmax-log-file-size1024setroll-time15:25setuploadip54setuploaduseruser1end,上载日志到FTP服务器,需要有硬盘,支持邮件事件报警,配置事件日志过滤,日志访问，查看VPN、入侵防护、防病毒、Web分类过滤、垃圾邮件过滤、应用控制、流量等各种日志,选择原始查看日志细节,常用命令,查看版本:getsystemstatus查看系统CPU,内存利用率,会话,网络流量,系统运行时间:getsystemperfstatus查看进程CPU利用率diagsystop599(按q中止)连通性ping测试:execpingx.x.x.x登录到另一台设备:exectelnetx.x.x.x跟踪路由:exectraceroutex.x.x.x查看接口工作状态:diaghardwaredeviceinfonic接口名称查看ARP表:getsystemarp清除ARP表:execclearsystemarptable查看当前路由表：getrouterinforouting-