飞塔防火墙策略

防火墙策略Course201v4.0,.,创建防火墙策略的原则,策略是按照进出流量的接口部署的流量如果没有匹配的防火墙策略的话，是不能穿过设备的正确理解状态监测，防火墙的策略应以数据流的发起方来判断建立的方向也就是说，当需要内部网访问外部网时，只需要建立一个从Internal到wan1的允许策略即可,.,防火墙策略,接口,服务,NAT/Route,保护内容表,.,如何创建防火墙策略接口与IP地址,两种类型的地址:IP/IPRangeFQDN域名的方式定义IP范围的多种方式:192.168.1.99192.168.1.0/255.255.255.0192.168.1.0/24192.168.1.99-192.168.1.105192.168.1.99-105,FQDN域名方式防火墙本身的DNS用来解析FQDN地址对象的FQDN解析的缓存时间是由DNS服务器决定的,.,如何创建防火墙策略选择与定制服务,FortiGate本身内置了六十多个预定义的服务用户也可以自行定义服务，以下协议可以定制:TCP/UDPICMPIP也可以通过组的方式将多个服务组合在一起,.,如何创建防火墙策略定制时间表,防火墙的基于时间的控制,.,如何创建防火墙策略选择动作,数据包是根据接口、地址、协议、时间四项进行匹配的，一旦匹配成功后，就根据“Action”来决定操作，不再向下匹配。在建立防火墙策略是，应尽可能范围小的放在前面，范围大的放在后面。在NAT/Route模式下，防火墙策略还需要判断是否对数据流进行NAT。有以下类型的动作：AcceptDenySSLsslvpn的策略IPSecIpsecvpn的策略,.,防火墙策略使用“Any”接口,源或目的接口都可以设置为“any”如果任何一条防火墙策略使用了“any”接口，则只能使用防火墙策略全局视图“any”接口不能用于VIP或IP-pool,.,实验一,10.0.x.1只能够访问，而不能访问其他的网站提示：注意以下DNS的问题没有匹配策略成功的话，那么是拒绝的。,.,地址转换,.,如何设置源地址转换,缺省情况下，端口地址翻译为外部接口IP地址,.,如何设置源地址转换不使用接口地址,地址翻译成指定范围的IP地址防火墙虚拟IPIP池如何来验证Diagnosesnifferpacketanyicmp4P,.,映射服务器设置虚拟IP,一对一映射端口映射,绑定的外部接口,外部的IP地址,内部的IP地址,外部IP端口,内部服务器端口,.,映射服务器设置服务器的负载均衡,选择使用服务器负载均衡外部的IP分配流量的方式外部的IP端口内部的服务器列表,.,映射服务器添加允许访问服务器的策略,策略是从外向内建立的目标地址是服务器映射的虚拟IP不需要启用NAT,.,实验,将内部服务器10.0.X.1映射到192.168.11.10X，让旁人ping192.168.11.10X，然后抓包分析Diagnosesnifferpacketanyicmp4Diagnosesyssessionclear,.,基于策略的流量控制,在防火墙策略中启动流量控制设置。如果您不对防火墙策略设置任何的流量控制，那么默认情况下，流量的优先级别设置为高级。防火墙策略中的流量控制选项设置为三个优先级别（低、中、高）。确定防火墙策略中所有基本带宽之和需要低于接口所承载的最大容量。,流量控制设置只有对设置动作为Accept，IPSEC以及SSL-VPN的策略可用。,.,将应用层的安全附加在防火墙策略上保护内容表,.,保护内容表说明,可以进行更细粒度的应用层的内容检测技术防火墙保护内容表保护内容表涵盖病毒、IPS、Web过滤、内容归档、IM/P2P、VoIP、与以上相关的日志,.,保护内容表应用到防火墙策略,保护内容表可以被应用到允许的防火墙策略如果使用防火墙认证的话，则将保护内容表应用到用户组可以创建多个保护内容表:单一的保护内容表可以被应用到多个策略上,.,实验,我们将DMZ192.168.3.25480映射到192.168.11.1X1的80端口上192.168.3.254443映射到192.168.11.1