飞塔-防火墙策略

1、防火墙策略Course 201 v4.0创建防火墙策略的原则L1地址IUIIII策略是按照进出流量的接口部署 的时何农流量如果没有匹配的防火墙策略 的话，是不能穿过设备的）服务）服务组）防火培笫略虚拟IP正确理解状态监测，防火墙的策 略应以数据流的发起方來判断建 立的方向也就是说，当需要内部网访问外 部网时，只需要建立一个从 Internal到wan1的允许策略即可入侵检测 丿阻断厂) 病毒 )IJWcbht 滤、反垃圾邮）Iip地川池）A保护内容新建输岀策略记录允许流星授祝认证流量控制防火墙策略接口服务 NAT / Route保护内容表t=FrrirETTRAINING SERVICES认证

2、用尸的免责声明 重定向网页注銘rs+Fn个立馆、t=FrrirETTRAINING SERVICES如何创建防火墙策略-接口与IP地址两种类型的地址： IP/IP Range FQDN域名的方式定义IP范围的多种方式： 9 /楼口 IPJfc 址allO.O.O.O/0.D.O.Odmznet19 Z.L63.3.0/25 n eibu/proxyremob-/ 1PM址屯压nee10.0.11

3、.(1-45毗fortinetwww,F13站/24 9-059-105 FQDN域名方式防火墙本身的DNS用来解析FQDN地址对象的 FQDN解析的缓存时间是由DNS服务器决定的t=FrrirETTRAINING SERVICES如何创建防火墙策略-选择与定制服务raIIIIFotiGate本身内置了六十多 个预定义的服务AHANYAOL8GP&定叉定制划迩IP/51ALLTCP/5190-5194TCP/179Edit Custom Service用户也可以自行定义服务,以下协议可以定制： TCP/UD

4、PPApplicationNameProtocol Type设直用户9病齐检空|入融护|V0-ICMP IP新建服务组组名称； service-qroup也可以通过组的方式 将多个服务组合在 一起AOL BGP DCE-RPC DHCP DNSESP FINGER可用服务：成员:. OK 丿I 战消 丿如何创建防火墙策略-定制时间表防火墙的基于时间的控制地址单决循环名称年份肘问表MP 傑护內容去新建单次时间表开始时间停止时间2001 72008 v月份01 v01日期01 v01取消小时00 V0000500v分钟OK并始时何应大平现生肘陆川千诲止时冏.TRAINING SERVICES如何创

5、建防火墙策略-选择动作数据包是根据接口、地址、协议、时间四项进行匹配的，一旦匹配成功 后，就根据“Action”来决定操作，不再向下匹配。在建立防火墙策略是，应尽可能范围小的放在前面，范围大的放在后面。在NAT/Route模式下，防火墙策略还需要判断是否对数据流进行NAT。有以下类型的动作： Accept Deny SSLssl vpn 的策略 IPSecpsec叩n的策略防火墙策略使用“Any”接口源或目的接口都可以设置为“any”如果任何一条防火墙策略使用了 “any”接口，则只能使用防火墙策略 全局视图Police ) DoS PolicyCdum Suttinw 厂 Section G

6、lobal ViewSeq. No.S7 Status它 ID / From X?To、它 SourceXT DestinationV ScheduleService7 Profile Action7 Count-丿1171.znyzny / o alla allalways，PINGACCEPT313/27KB眩甘囹Create New _J“any”接口不能用于VIP或Ppoolt=FrrirETTRAINING SERVICES两种查看方式Section或者Global d地址Policy dos Policy【列设置OSection View GlotPolice DoS Policy

7、新建防火*5Policy时间祓SKIPLoad Balance 探沪內君老 Traffic Shaping地址jSKupLod Balarce 保沪內容義 Treifiic snepingSeq. No.V弦龙V序号VisV貝的它漓是灿V日.的地址W时问麦va；101internalwanlQ allo allalways alwaysAMYANT202dmzlwanlallQ allalwaysO ANY303dmz2wanlQ allo allalways0 ANY404wanldmzl ah0 alalwaysQ ANY5回|5wanldrnz2 allallalwaysQ ANYsca

8、nACCEPTACCEPTACCEPTACCEPT一 b仏仏 nrnTITrlT使用了 Any作为接口只能支持Global viewTRAINING SERVICES如何创建IPv6和多播策略所有的IPV6和多播都是通过命令行来配置的 IPV6地址可以配置到任一接口 IPV6对象和策略 policy6 address6 addrgrp6多播策略 multicast-policy实验一 10.0.x.1能够访问,而不能访问其他的网站提示：注意以下DNS的问题 没有匹配策略成功的话，那么是拒绝的。实验二dmz区有一个代理服务器548080,用户希望员工通过代理服务器上Inte

9、rnet,不允许其他的方式上网。如何设置防火墙认证一用户用户对象是认证的一个方法用户组是用户对象的容器识别组成员保护内容表和类型实现对成员的认证属性 FortiGate基于组的方式控制对资源的访问用户组和防火墙策略定义了对用户的认证过程t=FrrirETTRAINING SERVICES如何设置防火墙认证用户种类t=FrrirETTRAINING SERVICESt=FrrirETTRAINING SERVICES支持以下类型的认证:本地用户建立在防火墙上的用户名和密码 RADIUS 用户 LDAP / AD 用户取自LDAP服务器的用户; TACACS+取口 TACACS服务器的用 FSAE

10、 / NTLM (AD)用户可以实现单点登录 PKI基于CA证书(不需要用户t=FrrirETTRAINING SERVICES如何设置防火墙认证一用户组用户组名称类别设为防火墙保护内容表与用户组绑定名称userg roup类别防火墙 v保护内容表AV5新曹用户组可用的成员姐扇设置组成员本地用尸-jinge jkong ssluserl tanjie test-RADIUS/LDAPAACACS + 服务器用戶- testl23AD11-PKI用尸-本地用戶-RAD IUS/LDAP/TACACS+ 服务器用尸- -PKI用户-眺过FortiGuard Web过滤取消t=FrrirETTRAI

11、NING SERVICES如何设置防火墙认证IU用户认证子策略痢务时问东 jWLca Balance 保护虫春表 Traifc ShepngUTM虔拟专冋设冒用尸Endpoint Control日吉曲告極口底邂匕址目的接口 XL目的电址回动恣【P地址池保务妹口号匕 Ena bl【do 仃 trty BasBd PolicyAddRule ID Ucer Group Schedule Service Profile Traffic Shapping Log Traffic防火墻 Director/ Seryice(FSAE)QNTLMvMISelected User Groups:user Gr

12、oupAvailable User Groups：二防幻 -J0Directory Ser/jJRr AFS3AHANYAOLBGP CVSPSERVER DCE-RPC DHCPDHCP6Nbw Authentication RuleSelected Semces：t=FrrirETTRAINING SERVICES0保护内蘇爲星拄制M Reverse Directoon Traffic Shaping记录允许般OK证书启用基于用户的子策略 可以针对不同的用户组使用不同的时间表服务保护内容表流量控制?-流量口志t=FrrirETTRAINING SERVICES功能描述所有启用用户认证的防火

13、墙策略将成为“基于用户认证的策 略”可以将一条策略拆分成多个了项:-用户组时间表服务保护内容表流量控制流量口虽(Create NewCdumnetinas Section View CGlobal ViewV Status V ID V Source V* Des:inatior V AuthenticationV ScheduleV ServiceV Profile V Action internal - wan2 (1)同4。Local-LAN 0 allGrouplGroup2ANYAACCEPT 宙畠甸囹worlcdav F7P HTTP HTT阳B iiTRAINING SERVIC

14、ESt=FrrirETTRAINING SERVICES如何设置防火墙认证一用户认证子策略raPolicy路由:訪火堵 I Polcy席务 IfdlfiC srhe丽1PLoad BdenzeIIII说明根据不同的用户组部署不同的保护内容表和流量控制如何设置防火墙认证一免责声明免责声明是在用户正确地输入用户名和密码后，弹出一个页面 对访问Internet作出一个说明，该说明可以是免责内容，也可以 作为广告使用重定向网页是用户接受免责声明后，转向在这里输入的网址认证用戶的免责芦明 重矩向网页认证的次数？默认情况下，例如V3.0MR5+,认证是基于策略的：当一个用户已经在策略1中认证过，当他使用策

15、略2时，需要重新认证。有一条命令可以改变以上情况，变为全局认证-top3 777config system globalset auth-policy-exact-match disable end默认值是enable,所以所有策略都必须一一认证t=FrrirETTRAINING SERVICES认证的次数？例系统管理n新建丿防火墙Policy“地址討时间炭Traffic ShapingMPLoad BlnceV状态V诲地址V貝的地址V时间泰V庚务W鲂作V认证 internal - wanl(2)01o allQ d砒1alwaysANYACCEPTtla 12* f02ahQ d只2alwa

16、ysANYACCEPTtla s f列设置Section View OGlobal以上两条策略访问不同的目的地址，而认证用户组是一个。如果auth-policy-exact-match设置成enable,则访问dst1 和dst2都分 别需要认证如果auth-policy-exact-match设置成disable,则访问dst1 和dst2只需 要认证一次F=:：BRlinET认证事件日志格式化后 用户监视 FirewallMemorySystemzJRouterHA Cluster： FG3K6A3406600033 二 Log Type Event LogFirewall| 8lumn

17、Settinqs Raw Clear ail FiltersUTMVPNUser#V DateXT Time它 Level它 User Inte rfaceV7 ActionV Message12008-1-1814:43:20noticeHTTP( 5)authentcateUser user1(group1) succeeded in auth ent cat bn22008-12-1814:42:58not beHTTP( 5)authentcateUser user2-faifed in authentcatbn32008-12-1814:42:

18、52notceHTTP( 5)authentcateUser user2iaifed in authentcatbn42008-12-1814:42:41noteHTTP( 5)authentcateUser user2fai4d in authent匕日tbn原始McnorySystem Router FirewallUTMVPNHA Clusler FG3K6A3406600033 二 Log Typefrvent Log二|闾 4 I* 1 1 Cdumn Sotthgc Formatted Cbar All FiltersUser|*!Wlnfa

19、nmrtipn1 3309-12-181443:20bg_jd=0106035001 typc=cvcntsublypc=auth pri=ibdinRuthBntBmbn3 2008-12-1814 42:52ttL=Ol06DTC?iype=ientsuMype=aulTi private vd=VDBiar=user2, ubHTTP(iatOO 1.45)a2tcn=authenrca status =failure msg=*User iiser2t3ifedinaLtnentcatm-4 2OOB-12-161442:41bg_W=O 106035X2 !ype=cvent5ubt

20、ype=aulh pri=notfce vd=VDD uscr=uscr2 ui4iTTP(10.100 1.45J a3tcd=authentceilr status=failure msgsUscr uszr2feiited in authentcalbn*注意：如果一个用户停留在认证界而长时间不操作，也会产生事件Fl志12009-03-1821:54:06 warningauthenticatellser failed to authenticPHIHDeriodTRAINING SERVICES v4.0的GUI下可以监视已认证的用户TRAINING SERVICES如何设置防火墙认证

21、一认证时间与协议当没有已经认证的用户在没有数据流的情况下，经过“验证超 时“后，就需要亘新认证能够弹出用户名和密码的允许认证协议如上 采用证书方式认也t=FrrirETTRAINING SERVICES认证超时与v3.0相同Ale Edk 址 ex Y XBo 如wkro:B Help.1 Jhttp /IO. 100 0 207: lCCOJkeepdrveVOeOTCfCfCicOiOdn? -JllGMoH Vlitosd Getting StartedLdteit Heddres_j Ind&x of /L2 FirewdB Autheritictton kCeepaliv.冒/ Do

22、 you 恼曲 Rrefo： co rerrerrter ths pa59/wd?Remember | Nflv*少 f irewall Authentication Keepalive Window - Mozilla I irefoxconfig system globalset auth-keepalive enableThis browser wiinlow is used to keep yoiu- uiitlieiilicnllon session ncdve.Plesise leave it pen ill the bkickgi ouiKl anl pen a hew wina

23、lw （ continue.Authentication Refresh in 64 seconds1O2OUT如何设置防火墙认证一自动刷新13 Keepalive命令行下设置：Config sys global Setauth-keepalive enEnd/IO 0 10.254 J(WZtojepaliTe?OeOdOe4：OeIP池如何来验证Diagnose sniffer packet any Icmp5 4Ping 0NAT叼动态IP地址池wai-ip v保持师口号t=FrrirETTRAINING SERVICES映射服务器一一设置虚拟IP绑定的外部接口一对一映射名称外郃接口夕卜

24、部的1附址或范宦 影射的IF地址或范岳端口转发IP池wmiiDexternal v薛憑皿T O服务髀L2432.2外部的IP地址吟皿 J7内部的IP地址端口映射取消OKTRAINING SERVICESTRAINING SERVICESt=FrrirETTRAINING SERVICES内部的服务器列 表映射服务器一设置服务器的负载均衡选择使用服务器负载均衡 外部的IP分配流量的方式 外部的IP端一映射服务器一添加允许访问服务器的策策略是从外向内建立的目标地址是月艮务器映射用 虚拟IP时间表源接口陋源地址目的接口陋目的地址服务複式新建输出策略不需要启用NAT NAT动态IP地址池保持谛口号保护内容表urifiltered记录允许流虽实验将内部服务器10.0.X.1映射到0X，让旁人ping 0X,然后抓包分析Diagnose sniffer packet any 1cmpJ 4Diagnose sys sessio n clear基于策略的流量控制在防火墙策略中启动流量控制 设置。如果您不对防火墙策