FORTINET售前技术培训：FortiNet UTM安全网关产品培训.ppt

1、FortiNet UTM安全网关产品培训,培训安排1,Fortinet 产品概要 试验拓扑与初始化安装 防火墙策略 防病毒 IPS 反垃圾邮件 Web过滤,2,1,3,4,5,6,7,培训安排2,IM/P2P VPN 透明模式 HA，管理与维护 其他(全局配置),8,9,10,11,12,Fortinet产品概要,最全面的安全功能,高性能 .独一无二的ASIC芯片,-自动的实现AV&IPS升级,可以在10分钟内达到所有FortiGate设备 -实时反垃圾邮件和web内容过滤服务,FortiGuard中心网站和邮件公告点,迅速响应新型威胁 50多个Fortinet攻击响应团队和FortiGuar

2、d分布式服务,Fortinet产品家族 集中管理及日志处理,SOHO/小型办公室,中小企业,Forti-224B,大中型企业,大型企业,电信级-FortiGate 5000系列,FortiGate-5020,FortiGate-5050,FortiGate-5140,FortiGate 5000处理模块,安全管理及审计系统,集中管理及审计解决方案,连接设备、初始化配置,串口,NAT/Route模式 每个接口都在不同的网络里 把每个防火墙当作网关 串口设置(DB9或RJ45) 9600bps 8 bit data No parity 1 stop bit No flow control,出厂默认

3、配置参数,管理员通过SSH或https访问Internal口的IP 9 缺省的用户名:admin,密码为空 其他接口的IP有或没有 缺省路由: DNS设置为Fortinet原始设置 时区:GMT-8 FortiGate 100A型号以下具有 有一缺省的NAT策略,从”internal-external”允许所有流量 在Internal口启用了DHCP服务器,管理界面的启用,管理界面是用来管理和维护防火墙的 设置是基于接口的.缺省,仅在internal口进行图形化和CLI管理 管理方式: http,https(GUI) SSH,Telnet(CLI

4、) SNMP ping,图形化管理界面,接口IP地址设置,IP地址可以设置以下三类: 静态IP DHCP PPPoE 接口所在的网络不能重叠 支持主要几家著名厂家的动态DNS 通过子接口方式支持802.1Q VLAN FortiGate-800 以上支持802.3ad汇聚,DHCP服务器/中继,DHCP服务器必须配置在有固定IP的接口上 一个接口可以配置多个DHCP服务器 防火墙中继DHCP请求到远程的DHCP服务器 支持IPSec Client的DHCP,静态路由,缺省网关 用来访问公网,一般来说FortiGate需要访问FDN和DNS服务器 路由的判断取决于目的网络和长度匹配 可以指定输出

5、的接口和路径长度(1-255) 同一对象网络可以有多个路由,但是只能一条生效,命令行(CLI),SSH,Telnet或串口 命令结构,CLI基础,主要的命令 Config Edit Next End Exit abort 查看下一个选项使用”?” 使用补足命令 相关的按键 Up,down arrows:上一次输入的命令 Ctl+c:结束当前的命令,CLI-execute,以下命令用”execute”,例如: execute factoryreset Execute ping Execute backup,CLI-show,用于显示当前的命令 (internal) #show config sy

6、stem interface edit “internal” set vdom “root” set ip 9 set allowaccess ping https http telnet next end,CLI-get,用于显示当前的参数和值 (internal)# get name : internal vdom : root cli-conn-status :0 Mode :static Dhcp-relay-service: dhcp-relay-ip : Dhcp-relay-type : IP :9 255.

7、255.255.0 allowaccess : ping https http telnet etc,CLI-config,配置 设置wan2接口的IP地址 Fortigate-60# config system interface (interface)# edit wan2 (wan2)# set ip 2 (wan2)# end Fortigate-60#,System的全局配置,主机名: hostname http/https端口的定义:admin-port ,admin-sport DNS服务器 连接FortiGuard网络 本身产

8、生的数据流进行的DNS查询 Timeout Admin session idle Firewall policy authentication idle 时区设置 与NTP的时钟同步,管理员,用于防火墙配置和维护 可以通过CLI/GUI访问防火墙 帐号可以是本地的,也可以是Radius服务器上的 用户名和密码区分大小写,管理员,通过访问内容表控制权限 信任主机控制访问的IP,FortiGuard升级网络,升级防病毒和IPS特征库 FDN服务器遍布全球,根据防火墙的时区来选择 通过FDN有三个升级办法: 按计划(如,每3小时) 推动式(a token is pushed to the firew

9、all) 手工(管理员来启动),实验拓扑,实验1,参照上面的拓扑把设备安装好 配置IP地址,登录防火墙管理界面,实验2,系统设置和管理 设置全局参数 根据指定的功能来设置新的帐号 启用FortiGuard服务,防火墙策略,防火墙,ICSA认证 状态检测防火墙 高性能 FG5140吞吐量：70Gbps FortiAccel：小包线速 路由、透明、混合模式 可在网络中隐藏自己 可在VPN通道中使用防火墙策略 在防火墙策略这调用防病毒、IPS 虚拟域（VDOM） 端口冗余 802.3ad链路聚合 流量控制,用户身份认证 本地 Radius LDAP Windows AD 基于策略的NAT 多到一（P

10、AT） 多到多（NAT） 负载均衡 H.323/SIP NAT穿越 IP、MAC地址绑定,说明,允许从一个接口流入另外一个接口 流量如果不能和防火墙策略匹配则不能通过防火墙 对进入的数据包进行路由判断后处理,防火墙策略,按照接口组织起来的，源到目标 是按照：地址、时间来匹配数据包的 在NAT/Route模式下，防火墙策略决定是NAT还是路由 有以下两种基本的处理方式： Accept Deny,防火墙策略界面,SOHO级别产品缺省会有“any-to-any”策略 FirewallPolicy ID仅仅是标记，不能用作执行顺序,Firewall地址对象,必须建立对象 两种类型的地址 IP/IP范围

11、 FQDN 以下几种写法 9 / /24 9-06 9-106,防火墙地址FQDN,防火墙必须本身具备DNS条目来使用FQDN对象 FQDN解析缓存时间由DNS服务器来决定 相关CLI命令 diag firewall fqdn list/flush/purge,防火墙地址对象组,用来组成多个对象 地址对象是在防火墙策略调用,Firewall服务对象,可以在防火墙策略里直接使用预定义（predefined）服务 设备本身已经内置了很多对象

12、可以创建服务组,防火墙服务对象定制,可以使用以下协议类型 TCP/UDP ICMP IP,时间表schedule,基于时间来设置防火墙的策略,地址转换NAT,缺省的NAT 源地址转换为接口IP地址 会话通过端口来区分 端口不改变 源地址转换成接口IP地址 源端口和目的端口都不改变 IP地址池 源地址被转换成地址池中地址,保护内容表Protection Profile,部署FortiGate的UTM内容过滤具有极高的灵活性 防病毒 Web过滤 FortiGuard Web过滤（按分类阻断） 反垃圾邮件过滤 FortiGuard反垃圾邮件服务 IM/P2P过滤 IPS 内容归档Quarantine

13、 通常是通过防火墙策略设置 若使用用户认证，可以使用按用户组来设置跳过,防火墙策略配置实例,防火墙策略选项,NATIP地址池，固定端口 虚拟IP静态或负载均衡 保护内容表 认证 日志 流量整形、Diff-Serv,选项,虚拟IP,用来访问内部主机 流入连接的NAT映射 两个基本类型 静态NAT 负载均衡 能够完成端口转发,虚拟IP静态NAT,为内部、外部IP创建双向的翻译 内部主机发起的数据流的源IP也是被转换的 可以充分的使用IP范围 端口转发可以用来改变源端口和目的端口,虚拟IP负载均衡,外部IP地址可以被映射到多个内部IP地址 从外部只能发现单一地址 外部IP地址必须是静态的，不能分配给

14、任何一个接口 Round robin方式可以被用来作为负载均衡,防火墙用户认证,用户必须通过认证才能让自己的会话通过防火墙 成功的认证意味着所有相同的源IP流量都可以通过 Idle时间（legacy）或keep-alive窗口,防火墙用户认证,用户组可以为： Radius server LDAP directory 本地用户 选择保护内容表是在用户组中设置 如果使用AD，必须安装FSAE 用户免责声明、URL重定向选项,防火墙认证协议,通过以下协议实现认证 http/https FTP Telnet 服务组可以用来当前不直接支持协议的强制认证 缺省认证时间为15min,流量整形和优先级,控制最

15、大和保障带宽 Units：kbyte/s 为不同类型的流量设置优先级 High,medium,low 必须对所有的有效策略设置 对于没有设置流量整形的流量，数据包进入bypass队列 简单队列服务启用anti-starvation timer 高级别队列、中级别队列、低级别队列,Diff-Serv,Differentiated Services-RFC 2474 、2475 通过检测DSCP的IPv4头中内容来对流量进行分类 对流入和流出的数据包设置静态的DSCP值 可选，可以单独启动 CLI配置,Lab 1：地址过滤,Lab 2：端口过滤,Lab 3：会话管理,Lab 3：会话管理,Lab

16、3：会话管理会话过滤,Lab 4：基于时间的策略,Lab 5：用户认证,输入正确的用户名、密码 user1/123456才能访问Internet,Lab 5：用户认证,添加用户组,添加用户,Lab 5：用户认证,Lab 5：用户认证效果,Lab 6：流量控制 1,限制客户端到FTP服务器的下载速度为100Kb/s,Lab 6：流量控制 2,Lab 6：流量控制 3,防病毒,防病毒,唯一的ICSA认证的邮件防病毒网关 基于ASIC芯片加速，性能最高的防病毒网关 三种服务 病毒检测 文件和邮件阻挡（大小或文件名） 支持的协议 Email流量：SMTP，POP3，IMAP Web流量：Http（内容

17、、下载、webmail） FTP流量 IM、NNTP流量 支持非标准端口（SMTP、POP3、IMAP） 扫描方法 基于特征 宏扫描 启发式扫描（允许PE文件）,内容检测,防病毒是内容检测的一部分 内容检测包括以下几部分： Antivirus Spam filtering Web filtering Instant Message (IM) filtering Logging Content archiving,保护内容表,每个内容检测系统有自己的配置部分 保护内容表是基于每个服务来启动内容检测的,保护内容表缺省参数,有四个已经配置好的保护内容表 Web（http AV scan，Basic

18、WF） Scan（All AV scan） Strict（All AV，Full WF，No Oversize，IPS） Unfiltered 推荐自己定义一个单独的保护内容表,病毒扫描,降低每个用户执行恶意代码的机会 Wildlist其他的特征值 通过FortiASIC硬件芯片加速 保护的范围： HTTP FTP Mail（SMTP、POP3、IMAP） IM（AIM、ICQ、MSN、Yahoo！） NNTP,病毒升级,常规升级包括以下两部分： 引擎 特征值 升级包来自两个地方 FDN Packages located on the support site,病毒特点,防病毒系统的主要内容：

19、 实时的扫描 替代感染文件的信息 文件类型阻断 分片的邮件阻断 超大的文件/邮件阻断 Email特征库 日志,病毒扫描引擎,防病毒系统只扫描已知的端口 Fortinet可以添加其他端口 仅仅当一个命令被触发时才会激活（文件传输）,Config antivirus sevice “http” set port 80 set port 8080 set scan-bzip2 disable set uncompnestlimit 12 set uncompsizelimit 10 end,触发扫描的命令,IMAP Fetch HTTP Get POST FTP RETR PUT,SMTP BDAT

20、（not multiple chunks） POP3 RETR,启发式扫描,对二进制文件进行检测 对可执行文件进行扫描，显示为“suspicious” CLI下启动,替代信息,检测到病毒、删除文件的替代信息 定制文本或HTML 仅仅当“splice disabled”或垃圾邮件标记启动时才是有效的,灰色软件/间谍软件,防火墙仅仅支持以下类别的灰色软件和间谍软件： Adware Browser Helper Objects（BHO） spyware 缺省为禁止 灰色软件扫描可以单独设置： AntivirusconfigGrayware,文件样式阻断/允许,在病毒检查的文件模板中设置 在保护内容表

21、中根据协议启动 在防病毒扫描之前执行 高端产品可以设置多个列表,用户舒适选项,在包含内容表中启动推荐启用 在扫描过程中将部分数据传递给客户端 可以在以下协议中选择： HTTP FTP,超大文件,企业级别以下的防火墙可以扫描内存10大的文件（eg：FG6012MB） 高过该值即为“超大文件” Dropped Passed 降低超大文件的阈值可以有效的提高扫描性能，推荐1M,病毒扫描压缩,支持的压缩文件（zip、rar、tar、gzip、cab、lha、arj 、bzip2 ） 对“packers”工具扫描（ASPack、UPX、FSG、Petite） 扫描“encoded”文件（eg：uuenc

22、ode） 可以配置到99个压缩层次（default：12） 压缩文件的大小是可以设置的,隔离quarantine,让防火墙隔离文件到FortiAnalyzer进行归档和分析 阻断的HTTP、FTP文件不能被隔离（根据文件名）,Lab,病毒扫描 全局AV的设置 启动保护内容表 Web流量扫描 Mail扫描 Steps： 1.http的病毒扫描：http：/ 2.FTP的病毒扫描：将eicar文件放在FTP服务器上 3.用户舒适选项设置超大的阈值为10M，通过FTP下载，体验选择此项后的差别,Lab 1：http的病毒扫描,访问 尝试下载病毒测试文件,Lab 1：http

23、防病毒策略设置1,Lab 1：http防病毒策略设置2,Lab 1：http防病毒效果,Lab2 ：SMTP防病毒,使用Outlook Express 连接外网Email服务器 发送带有Blaster病毒附件的email,Lab2 ：SMTP防病毒策略选项设置,Lab2 ：SMTP防病毒策略设置,Lab2 ：SMTP防病毒效果,Lab3：POP3防病毒,关闭保护内容表中的SMTP防病毒功能 将带有Blaster病毒附件的Email发送到外网服务器 打开保护内容表中的POP3防病毒功能 收取Email,Lab3：POP3防病毒策略选项,Lab3：POP3防病毒策略设置,Lab3：POP3防病毒策

24、略设置,IPS,IPS,ICSA认证，NSS认证 高性能 基于ASIC的IPS 实时检测 2000多种已知的黑客攻击特征库（5种严重级别） 随时更新攻击特征库 通过FortiProtect分布式网络更新 可定制的Email报警 可以通过隔离报警信息，以避免来自某个单一攻击产生大量冗余报警信息 设置、维护都很简单 与防病毒功能紧密结合,Lab 阻断QQ,Lab 阻断QQIPS设置,Lab 阻断QQ保护内容表设置,Lab 阻断QQ策略设置,Lab 阻断QQ,IPS会话数限制,IM/P2P,P2P BT、电驴 允许/禁止、限速 IM MSN、Yahoo、AIM、ICQ 登录、文件传输、语音控制 Sk

25、ype 允许/禁止 其他 QQ、Google Talk、MSN Messenger 允许/禁止（IPS）,Lab：阻断MSN和BT,Lab：阻断MSN和BT,Lab：阻断MSN和BT,Lab：阻断MSN和BT,Lab：阻断MSN和BT,垃圾邮件过滤,Email基础,MUA （mail client）,MTA （mail servert）,Email基础查看垃圾邮件,垃圾邮件过滤概况,FortiGuard Anti-spam 基于可配置阈值的禁止内容检测 Mail头过滤和检测 含主题标记在内的多种操作 必须在保护内容表中启动,可以处理的协议 IMAP SMTP POP3,FortiGuard反垃

26、圾邮件,由Fortinet的FortiGuard网络管理、维护 FortiGate设备必须注册才能升级 需要使用Internet接入FDN服务器 特点： IP地址检测（remote server IP checked） URL检测（URLs contained in message） E-mail checksum 提交垃圾邮件,检测禁忌词汇,阈值是在保护内容表中配置，并且要为每条配置分配一个值 词汇条目可以是： Wildcard Regular Expression 检测位置： Body Subject Other Place,检测禁忌词汇,例如，在主题里查找wildcard模式的“viag

27、ra” 如果分值等于阈值，该条目将会触发垃圾邮件的处理动作,BWL检测,黑名单检测依赖于顺序 检测内容： IP address/mask E-mail address IP地址/掩码的动作： Mark as reject Mark as spam Mark as clear (bypass remaining filters),BWL检测,E-mail地址和MIME头： Wildcard Regular Expression 对E-mail地址和MIME头的操作： Mark as spam Mark as clear,HELO DNS Lookup,检测邮件服务器的IP地址是否有DNS解析内容

28、 转发的DNS lookup是依据HELO domain内指明的 如果域内不含A记录的话，认为垃圾邮件,Return E-mail DNS Check,转发的DNS Lookup是根据return/reply-to内所标明的地址 如果所指的域内不含有A记录，则认为是垃圾邮件,SMTP过滤顺序,1.IP address BWL 2.RBL & ORDBL (Last IP) 3.IP address (FortiGuard-antispam) 4.HELO DNS lookup 5.MIME headers check,email address BWL check 6.Banned word

29、check on email subject 7.IP address BWL check (IPs in “received” headers) 8.Banned word check on email body 9.Return email DNS check,FortiGuard antispam(URL) 10.RBL &ORDBL check on public IP,POP、IMAP过滤顺序,1.MIME headers check，Email address BWL check 2.Banned word check on email subject 3.IP BWL check

30、 4.Banned word check on email body 5.Return email DNS check, FortiGuard Antispam 6.RBL & ORDBL check,Lab 1：email & IP地址过滤,分2个步骤： 1、将PCIP加入垃圾邮件黑名单 2、将发件人email地址加入垃圾邮件黑名单,Lab 1：email & IP地址过滤,Lab1 ：email & IP地址过滤,Lab 1：email & IP地址过滤,Lab 1：email & IP地址过滤,Lab 1：email & IP地址过滤,Lab2：关键字过滤,发送邮件，内容包含“广告”,L

31、ab2：关键字过滤,Lab2：关键字过滤,Lab2：关键字过滤,Lab2：关键字过滤,Lab 3：FortiGuard 动态 IP过滤,将本机IP地址改为09 或5 网关和FortiGate内口IP 或,Lab 3：FortiGuard 动态 IP过滤,Lab 3：FortiGuard 动态 IP过滤,Lab 3：FortiGuard 动态 IP过滤,Lab 3：FortiGuard 动态 IP过滤,Lab 4：FortiGuard 动态 URL过滤,将IP地址改为或192.168

32、.2.0段 发送email，包含以下内容,Lab 4：FortiGuard 动态 URL过滤,Lab 4：FortiGuard 动态 URL过滤,Lab 4：FortiGuard 动态 URL过滤,Lab 4：FortiGuard 动态 URL过滤,Web过滤,Web Filtering 特点,包含以下内容 URL过滤 FortiGuardweb分类过滤 内容阻断 URL和内容免屏蔽 ActiveX，Cooike，Java applet过滤 Web resume download阻断,URL过滤,采用方式： Wildcard Regular expression 采用的处理方法： Block

33、Allow（允许通过，但是要进行病毒扫描） Exempt（允许通过，但是不需要进行病毒扫描） 规则对排列顺序很敏感,内容阻断,内容表达式采用以下规则： Wildcards Regular expressions 可以为禁止的词汇设置评分，便于多词方式的查找 可以在包含内容标上设置评分阈值 针对网页文本样式的评分仅作一次,内容免屏蔽,用内容方式来选择哪些网页可以访问 不做评分 内容免屏蔽可以跳过web过滤，但是仍需进行病毒扫描,FortiGuard web过滤,Web过滤支持82个类别和7个级别 允许选择跳过和本地的类别 图片可以根据URL来阻断,FortiGuard URL 查询过程,例子：

34、/c/shoot/images/x68/thumbs/nautica11_1.jpg 如果找不到该地址，则逐步缩短查找： /c/shoot/images/x68/thumbs/ /c/shoot/images/ /c/shoot/ /c/ 最后，只剩下主机名称,过滤的顺序,1.URL exempt (web

35、exempt list) 2.URL block (web URL block) 3.URL block (web pattern block) 4.category block (FortiGuard web filtering) 5.content block (web content block) 6.script filter (web script filter) 然后转到防病毒扫描处理,Lab 9,Web 过滤 URL filtering Content filtering FortiGuard Web Filtering Local Categories and Override

36、s,IM/P2P,IM特点,IM支持的协议 MSN Messenger ICQ AIM Yahoo！Instant Messenger 特点 阻断协议 阻断用户 使用率统计 文件传输和声音阻断,IM内容归档,IM聊天概况 谈话内容的记录 传输的文件归档 需要FortiAnalyzer的支持,Peer-to-Peer(P2P)的特点,支持的协议 BitTorrent、eDonkey、GnuTella、KaZaa、Skype、WinNY 通过/阻断/流量控制,IM/P2P,P2P BT、电驴：允许/禁止/限速 IM MSN、Yahoo：登录/文件传输/语音控制,Skype 允许/禁止 其它 QQ、

37、MSN Messenger：允许/禁止,如果需要使用IM，必须开启保护内容表里相应的协议,IM/P2P统计,查看每种IM协议： 用户数 聊天的会话数和总的信息 文件传输的数量和语音聊天的统计 查看每种P2P协议： 总共传输的字节 平均使用的带宽,IM用户,缺省所有的IM流量自动阻断 用户会自动添加到临时用户列表中 用户可以设置基于协议的方式进行永久的禁止或允许 可以查看当前的用户,IM保护内容表,阻断声音的传送 阻断文件的传送 阻断登录 启动检测非标准端口上的IM流量,IM防病毒,特点： 对文件传输进行病毒扫描 根据文件名阻断 必须在保护内容的关于病毒那部分启动 如果检测到病毒，则会在IM通讯

38、窗口中显示替代信息,VPN,VPN,ICSA认证 IPSec、SSL VPN 支持的协议 IPSec、SSL PPTP、L2TP 硬件加密 DES，3DES，AES 通过防火墙策略控制VPN流量 VPN加密隧道也可以进行防火墙和防病毒检查 灵活适应各种网络环境,VPN NAT穿越 对端检查（DPD） 拨号监视/远程VPN客户端 认证 支持Xauth over Radius X.509数字证书认证 LDAP用户认证 与第三方VPN兼容 Hub and Spoke 星型结果支持 灵活适应各种网络环境,VPN灵活的部署方式,LAN-LAN IPSec 动态IP、私有IP Dialup user DD

39、NS Client-LAN IPSec SSL PPTP L2TP,IPSecphase1,Phase1 两个模式：Main、Aggressive Main mode：6 rounds，privides identity hiding Aggressive mode：3 rounds 两种认证方式： Pre-shared key X.509certificates Phase1 状态检测的命令 diag vpn gw list,IKE phase2,Phase2 选择phase1 PFS选项 保持存活选项 快速模式选择器 CLI检测状态： diag vpn tunnel list,Phase1

40、 configuration options,Phase2 configuration options,基于路由的VPN（接口模式）,输出流量 根据路由来选择接口转发流量 通过虚拟IPSec接口后，流量就被加密了 输入流量 根据selector进行判断 如果匹配，解密后转发到IPSec虚接口 根据目标IP和SPI来判断VPN通道是否匹配阶段2的SA 如果匹配，数据解密后重定向到IPSec虚接口,基于路由的VPN（接口模式）,根据部署在IPSec接口上的Accpet/Deny，防火墙策略来判断流量 通过防火墙可以进行更为细粒度的控制 至少需要两条防火墙策略解决双向流量控制 One to allo

41、w outbound One to allow inbound 简化了VPN通道冗余的问题 采用不同路径长度的路由 支持动态路由（RIP，OSPF，BGP） 主VPN连接失败 路由调整转到备份VPN上,基于策略的VPN（通道模式）,设置IPSec的防火墙策略 与其它防火墙策略的动作混在一起 对顺序敏感 一条策略可以解决双向流量的问题 有选项可以设置进出流量 定义的方向有内到外 Phase2 selectors 可以采用防火墙策略 支持hub& spoke方式 支持参与的phase2成员 防火墙策略中的源地址和目的地址网段必须正确填写,透明模式,说明,该模式把防火墙转化为2层的桥模式，仍旧保持其内容检测的功能 不需要改变现有的网络拓扑结构 作为单独的内容检测和过滤的解决方案 （AV，IPS，Web filter）,配置,启动透明模式可以通过以下三种方式： GUI CLI或串口 LCD 现有的NAT/Route模式的配额制将丢失 GUI和CLI必须通过管理IP来访问 缺省管理IP为，通过防火墙的Internal或port1接口 管理权限可以在任何接口上打开 防火墙的策略仍可以用来控制流量,透明模式的局限,不具有以下功能 执行NAT/Route SSL VP