nfw培训201中文5.02015防火墙策略

1、防火墙策略课程内容概述数据包如何被处理策略类型和子类型网络地址和端口转换Session Helpers代理模式 VS 流扫描模式入侵检测防火墙对象使用监控防火墙策略调试防火墙策略 其他议题课程目标本课程结束之后，学员可以达到以下目标：介绍防火墙策略中使用的各种组件创建防火墙策略对象创建防火墙策略的地址类型管理策略顺序测试防火墙策略监控穿过防火墙策略的网络流量防火墙策略的定义和概览策略是一组规则列表：流量需要匹配什么样的条件如何处理匹配策略的流量由上到下匹配，只应用第一个匹配的策略如果流量不匹配任何的策略，默认将被拒绝，流量将被丢弃。默认情况下隐含策略不显示在GUI界面上数据包如何被处理：步骤

2、1步骤 #1 Ingress1. DDoS 触发器（Denial of Service Sensor）2. IP完整性头检验（IP integrity header checking）3. IPSec 连接检查（IPSec connection check）4. 目的NAT（Destination NAT）5. 路由（Routing）数据包如何被处理：步骤 2步骤 #1 Ingress1. DDoS 触发器（Denial of Service Sensor）2. IP完整性头检验（IP integrity header checking）3. IPSec 连接检查（IPSec connecti

3、on check）4. 目的NAT（Destination NAT）5. 路由（Routing）步骤 #2 状态监测引擎1. Session Helpers2. 管理数据(Management Traffic)3. SSL VPN4. 用户认证（User Authentication）5. 流量整形（Traffic Shaping）6. 会话跟踪（Session Tracking）7. 策略查找（Policy lookup）数据包如何被处理：步骤 3步骤 #1 Ingress1. DDoS 触发器（Denial of Service Sensor）2. IP完整性头检验（IP integrit

4、y header checking）3. IPSec 连接检查（IPSec connection check）4. 目的NAT（Destination NAT）5. 路由（Routing）步骤 #2 状态监测引擎1. Session Helpers2. 管理数据(Management Traffic)3. SSL VPN4. 用户认证（User Authentication）5. 流量整形（Traffic Shaping）6. 会话跟踪（Session Tracking）7. 策略查找（Policy lookup）步骤 #3 - UTM 扫描处理i) 基于流扫描检测1. IPS2. 应用控制3

5、. 邮件过滤4. Web 过滤5. 反病毒ii) 基于代理检测6. VoIP 检测7. 数据防泄漏(Data Leak Prevention)8. 邮件过滤（Email Filter）9. Web过滤（Web Filter）10. 反病毒（Anti-virus）11. ICAP数据包如何被处理：步骤 4步骤 #1 Ingress1. DDoS 触发器（Denial of Service Sensor）2. IP完整性头检验（IP integrity header checking）3. IPSec 连接检查（IPSec connection check）4. 目的NAT（Destination

6、 NAT）5. 路由（Routing）步骤 #2 状态监测引擎1. Session Helpers2. 管理数据(Management Traffic)3. SSL VPN4. 用户认证（User Authentication）5. 流量整形（Traffic Shaping）6. 会话跟踪（Session Tracking）7. 策略查找（Policy lookup）步骤 #3 - UTM 扫描处理i) 基于流扫描检测1. IPS2. 应用控制3. 邮件过滤4. Web 过滤5. 反病毒ii) 基于代理检测6. VoIP 检测7. 数据防泄漏(Data Leak Prevention)8. 邮

7、件过滤（Email Filter）9. Web过滤（Web Filter）10. 反病毒（Anti-virus）11. ICAP步骤 #4 出接口1. IPSec2. 源 NAT3. 路由防火墙策略 ing and outgoing interfacesSource and destination IP addressesServicesSchedulesAction = ACCEPTAuthenticationThreatManagementTrafficShapingLogging防火墙策略包括FortiGate设备决定如何处理连接请求的的指令报文分析，内容比对，执行动作策略类型和子类型地

8、址基于IP的策略匹配用户识别基于认证信息（用户）策略设备识别基于OS/Type的策略策略类型和子类型：地址子类型基于数据包IP和端口信息匹配策略类型和子类型：用户识别子类型策略类型和子类型：设备识别子类型基于数据包行为和详细信息进行OS 和设备识别MAC 地址(Forti-Device only), DHCP VCI（供应商Class识别 VCI Vendor Class Identifier/Option 60）, TCP SYN Fingerprint, HTTP UserAgent设备识别规则通过FortiGuard进行更新防火墙策略要素：接口和区域OutgoingInterface i

9、ngInterface选择接收数据包的进入接口或者区域选择一个（或者更多）接口或者ANY来匹配所有的接口作为源接口选择发送数据包的出接口或者区域选择一个（或者更多）接口或者ANY匹配所有接口作为目的接口ZONE: 一个接口逻辑组防火墙策略要素：地址对象FortiGate设备会将数据包的中的源ip及目的ip与策略中的设置相对比ALL代表任何ip地址都匹配策略中地址包括地址对象显示名称IP地址和掩码FQDN 必要时可以使用(主要是通过DNS解析成ip地址)使用国家来创建基于地理位置的地址对象地理数据库定期从FortiGuard上进行更新创建地址组简化管理配置防火墙策略要素: 服务对象Protoco

10、l and PortPacketProtocol and PortFirewall Policy=FortiGate 用“服务”决定到目的端口号的流量是允许还是阻断“ALL”服务默认是匹配所有的端口和协议选择一个FortiGate预定义的“服务”或者自定义的“服务”在“ ing Interface”上设置“Web-proxy”之后，Web代理服务就可用了服务组和Web代理服务组可以简化管理防火墙策略要素：时间表用于控制防火墙策略在特定的时间或者某些天应用例如: 配置一个正常的策略，在午饭时间不进行严格的限制默认时间表是7*24，表示所有时间循环配置每周的某些天的某个时间段One-time在特定

11、时间发生一次组是一个对象集合，用于简化配置如果有多个防火墙策略使用相同的服务，地址或者时间表的组合，利用组来实现的可以大大减轻配置的复杂度例如: 创建一个魔兽世界服务组TCP port 3724 (for Game Play)TCP port 6112, 6881-6999 (for Updates)UDP port 3724 (in game Voice chat)组策略日志记录选项DenyAcceptIP地址和端口转换IP地址转换 NAT修改数据包的IP地址源IP地址转换 SNAT修改数据包的源IP地址目的IP地址转换 DNAT修改数据包的目的IP地址端口转换 PAT修改数据包的源端口So

12、urce IP addressSource portDestination IP address Destination portIP地址和端口转换: NAT4防火墙策略启用NAT转换wan1 IP address: 00源IP地址:源端口: 1025目的IP地址:4目的端口: 80源IP地址:00源端口: 30912目的IP地址:4目的端口: 80internalwan1000IP地址和端口转换: IP Pool防火墙策略启用NAT + IP poolwan1 IP pool: -0源IP地址:200.200.200.?源端口: 30957目的IP地址:4目的端口: 80internalwa

13、n1400源IP地址:源端口: 1025目的IP地址:4目的端口: 800IP地址和端口转换: 固定端口（ Fixed Port ）防火墙策略起作用NAT+IP Pool+fixed portwan1 IP pool: 01源IP地址:01源端口: 1025源IP地址:4源端口: 80internal4wan100源IP端口源端口: 1025目的IP地址:4目的端口: 800防火墙策略启用目的IP的虚拟IP+静态NATwan1 IP address: 00源IP地址:4目的IP地址:22目的端口: 8004internalwan1目的IP的VIP转换22 - 0IP地址和端口转换: 虚拟IP（

14、Virtual IP）防火墙策略目的地址 虚拟IP + 静态 NATwan1 IP address: 00源IP地址:4目的IP地址:00目的端口: 804internalwan1VIP 地址转换00 - 0IP地址和端口转换：虚拟IP（虚拟IP）通过NAT的方式允许一些连接透过防火墙当在防火墙一侧网络发出到另一测网络中某一台服务器的arp请求时，FortiGate可以响应此arp请求 (1) 服务器冗余和负载均衡; (2) 用于在Site-to-Site的IPSec VPN中，两端子网相同的情况等等.VIP组: 虚拟IP地址组用于简化配置和管理0IP地址和端口转换：中央NAT默认GUI界面上

15、隐藏 (default)config system globalset gui-central-nat-table enableend中央配置NAT规则中央NAT/24/24/24/2440/24NAT IP 86/187NAT 前地址NAT 后地址NAT 前端口NAT 后端口-8872000-1200032000-42000-88612001-2200042001-52000中央NAT配置1中央NAT配置2中央NAT配置3中央NAT转换session info: proto=6 proto_state=01 duration=4 expire=3595 tim

16、eout=3600 flags=00000000 sockflag=00000000 sockport=0 av_idx=0 use=3origin-shaper=reply-shaper=per_ip_shaper=ha_id=0 hakey=29607policy_dir=0 tunnel=/state=may_dirty statistic(bytes/packets/allow_err): org=88/2/1 reply=48/1/1 tuples=2orgin-sink: org pre-post, reply pre-post dev=4-2/2-4 gwy=/hook=post

17、 dir=org act=snat :3628-64:80(87:33628)hook=pre dir=reply act=dnat 64:80-87:33628(:3628)pos/(before,after) 0/(0,0), 0/(0,0)misc=0 policy_id=17 id_policy_id=0 auth_info=0 chk_client_info=0 vd=0serial=00000cd3 tos=ff/ff ips_view=0 app_list=0 app=0dd_type=0 dd_rule_id=0per_ip_bandwidth meter: addr=, bp

18、s=519total session 1Session HelpersSession helper用来做什么?当有特殊类型的流量通过FortiGate的时候，可能需要采取附加动作为了使流量能够正常转发可能需要从数据包中获得额外信息Session Helpers: SIP 举例状态防火墙对SIP协议做NAT 到 201.11.13:发送媒体流量到, UDP端口 12546发送媒体流量到 , UDP 端口 12546媒体流量 , 端口 12546媒体流量到 , 端口 12546防火墙打开一个 “Pinhole”来允许返回到端口 12546的流量数据包payload的IP地址也会进行NAT转换无需配

19、置允许返回流量的防火墙策略,返回的媒体流量也会被允许返回到内网流量整形High priorityMedium priorityLow priorityHTTPFTPIM当大量数据通过FortiGate设备的时候，流量整形可以控制哪些策略有较高的优先级来处理当有突发流量时候可以优先处理特定数据流流量整形共享流量整形Per-IP 流量整形保证带宽最大带宽保证带宽最大带宽保证带宽最大带宽保证带宽最大带宽流量整形Traffic shapers apply Guaranteed Bandwidth and Maximum Bandwidth values to addresses affected by

20、 policyShare values between all IP address affected by the policyValues applied to each IP address affected by the policy共享流量整形Per-IP 流量整形保证带宽最大带宽保证带宽最大带宽保证带宽最大带宽保证带宽最大带宽威胁管理每个防火墙策略启用安全配置代理 VS 流（Proxy vs Flow）: 基于代理的扫描透明代理缓存收到的文件一旦传输完成，FortiGate检查文件只有buffer已经满了或者文件接收完成之后才开始进行扫描通信被终止于三层（由代理程序处理通信）代理

21、VS 流（Proxy vs Flow）: 基于流的扫描FortiGate对转发的邮件进行逐包检查扫描速度更快，但是准确率会下降无状态，同一个文件的前后文件块不进行对比和关联分析3层不中断代理 VS 流：代理和文件大小防火墙策略启用安全配置UTM Proxy OptionsOversize File/EmailPass or BlockThreshold+设置检查文件大小阀值 (CLI下的配置 : config firewall profile-protocol-options)如果大于阀值 (default 10 MB) 并且设置为 block, then file is rejected如果

22、大于阀值并且动作设置为 allow, 未经解压缩的文件必须小于内存buffer的大小否则，默认将不再进行扫描代理 VS 流：对比基于代理检测速度慢 (与流相比)识别率较高Layer 3 通信将被中断打文件/慢连接可能造成延迟基于流扫描速度较快 (与代理相比)识别率低低精准率Layer 3通信不受影响不是所有的安全配置都可以支持两种模式应用控制和IPS只能支持流模式VOIP只能支持代理模式终端控制?是否最新？是否安装了禁止的软件？设备识别 (Bring your own Device)设备探测依赖于是否接口上启用在GUI界面上，当你创建一个设备识别策略的时候，你将出现提示直接在命令行下启用con

23、fig system interfaceedit port1set device-identification (enable|disable*)set device-user-identification (enable*|disable)end每个VDOM设置探测哪些内容config system network-visibilityFortiOS探测设备类型的全局设置是硬编码（即无法修改）设备识别: 有Agent vs. 无Agent识别技术无AgentTCP FingerprintingMAC 地址厂商代码HTTP user agentRequires 与FortiGate直连有Age

24、nt使用 FortiClient 位置和部署相对对立INTERNETDMZFCFC 无Agent 有Agent 设备识别：手工输入设备通过配置设备可以被手工标识config user deviceedit “me”set mac-addressset type “type name”set user “user name”end一旦设备被创建之后就可以添加到一个设备组中config user device-group设备识别：设备列表用户& 设备 设备 设备定义diag user device list设备识别：策略选项尝试探测所有未知设备FortiGate不能识别的所有设备将被拒绝在拒绝之前

25、FortiGate将重新尝试识别Redirect FortiClient compatible devices强制用户提供兼容行系统来安装FortiClientEmail收集门户 (attach an email to the device)提供web页面，需要用户手动输入邮件地址目前，认证和设备识别不兼容设备识别：邮件收集邮件收集用于与“Collected Email”设备类型结合使用收集Email地址与设备关联邮件地址不进行确认，但邮件域会通过DNS解析来确认合法性设备识别：邮件收集门户config sys settingset email-portal-check-dns enable|

26、disable对象使用允许快速更改设置关联列（Reference）列允许管理员去检查此对象是否被引用并且可以直接进行编辑纠正策略顺序在界面上拖拽策略顺序 (必须点击 Seq. #所在的列)在CLI中使用 ID号来进行移动策略顺序（ 不是序列号） config firewall policy move before|after end监视通过活动会话， bytes 或者 packets来监视策略使用情况策略 监视器 策略状态调试防火墙策略：理解流量了解数据包是否或者如何被处理进入接口是哪个?发出接口是哪个?是否会进行SNAT?是否会进行DNAT?确切的行为是什么是否有延迟?是否超时?是否有错误？

27、如果有错误，原因是什么?调试防火墙策略：数据包抓包 (CLI)抓包经常被用于查找数据包来自于哪，是否发送或者数据包发送到哪，不知道为什么。如果要使用Wireshark去查看抓到的数据包，必须将抓到的数据包进行转换将fortiGate上的包保存到一个文件转换使用的Perl脚本在KB网站上可以下载 (文档 ID: 11186)diag sniff packet interface filter level接口使用逻辑名称port1, lan, wan1any can be specified by super_admin users onlyLevel (1-6)1: print header o

28、f packets2: print header and data from IP of packets3: print header and data from Ethernet of packets4: print header of packets with interface name5: print header and data from IP of packets with interface name6: print header and data from Ethernet of packets with interface name 调试防火墙策略：界面上进行抓包此功能只有

29、在有内部存储的设备上才可用下载抓好的包将自动转换成Wireshark格式调试防火墙策略：过滤抓包过滤实际上是标准的格式，主要是用来抓去符合条件的数据包抓去所有的数据包很可能会导致结果很多可以在网上搜索 tcpdump 相关文档一些常用的过滤选项:host IP地址(限制源和目的ip地址)dst host destination addresssrc host source addressnet 网段(限制源和目的IP地址)dst net, src netport 流量端口 (适用于源和目的IP)src port, dst port指定协议tcp, udp, arp, icmp, etc.关系条

30、件组合过滤and or not调试防火墙策略：抓包举例抓取一个ping包指定含有主机IP地址的ICMP包diag sniff packet any host x.x.x.x and icmp (level)抓取FTP流量指定含有主机IP地址的FTP数据包指定FTP端口 (连接端口和数据端口)diag sniff packet any host x.x.x.x and (port 21 or port ?) (level)抓取从一个主机连接到FortiGate的数据包指定含有主机IP地址确保一些例外的端口不被抓去diag sniff packet any host x.x.x.x and not

31、 port ? (level)What level to use (from CLI)?4 most human readable3, 6 must use if converting to Wireshark调试防火墙策略： “diag debug flow”“diag debug flow”经常被用于检查防火墙做了哪些操作高级，多步骤处理命令diag deb flow show function enable可选，增加诊断详细信息输出diag deb flow filter ?创建流量过滤条件每个过滤条件都需要单独的指令进行设置 (addr, port, etc)diag deb flow

32、 trace start x跟踪多少个数据包diag deb enable在输出信息之前，诊断模式必须被启用调试防火墙策略： diag debug flow举例“diag debug flow” 被用来查看防火墙所做的所有处理diag deb flow show function enablediag deb flow filter addr diag deb flow filter proto 1diag deb flow trace start 10diag deb enable在调试完毕之后diag deb reset关闭所有正在运行的诊断 diag debdiag deb disabl

33、e禁止debug输出调试防火墙策略：Sniff输出Level 4# diag sniff packet any host 4interfaces=anyfilters=host 8.013631 lan in 10 - : icmp: echo request8.014093 dmz out 9 - : icmp: echo request8.036665 dmz in - 9: icmp: echo reply8.036790 lan out - 10: icmp: echo replyLevel 6# diag sniff packet lan host 6interfaces=lanfi

34、lters=host 3.258531 lan - 10 - : icmp: echo request0 x0000 0009 0f4d ebdb 1803 737b cc34 0800 4500.M.s.4.E.0 x0010 003c 4711 0000 8001 c895 c0a8 646e 0402.:8) from lan.LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 mon line=4430 msg=allocate a new session-0000573eLOG: logid=

35、type=event subtype=system level=debug vd=root trace_id=107 func=vf_ip4_route_input line=1603 msg=find a route: gw- via dmzLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=_iprope_tree_check line=534 msg=use addr/intf hash, len=3LOG: logid= type=event subtype=system level=d

36、ebug vd=root trace_id=107 func=get_new_addr line=2401 msg=find SNAT: IP-9, port-62464LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=fw_forward_handler line=663 msg=Allowed by Policy-1: SNATLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=ids_re

37、ceive line=237 msg=send to ipsLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=resolve_ip_tuple_fast line=4299 msg=vd-root received a packet(proto=1, 10:1-:8) from lan.LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 mon line=4430 msg=allocate a new s

38、ession-0000573eLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=vf_ip4_route_input line=1603 msg=find a route: gw- via dmzLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=_iprope_tree_check line=534 msg=use addr/intf hash, len=3LOG: logid= type=e

39、vent subtype=system level=debug vd=root trace_id=107 func=get_new_addr line=2401 msg=find SNAT: IP-9, port-62464LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=fw_forward_handler line=663 msg=Allowed by Policy-1: SNATLOG: logid= type=event subtype=system level=debug vd=ro

40、ot trace_id=107 func=ids_receive line=237 msg=send to ipsLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=resolve_ip_tuple_fast line=4299 msg=vd-root received a packet(proto=1, 10:1-:8) from lan.LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 mon lin

41、e=4430 msg=allocate a new session-0000573eLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=vf_ip4_route_input line=1603 msg=find a route: gw- via dmzLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=_iprope_tree_check line=534 msg=use addr/intf ha

42、sh, len=3LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=get_new_addr line=2401 msg=find SNAT: IP-9, port-62464LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=fw_forward_handler line=663 msg=Allowed by Policy-1: SNATLOG: logid= type=event subty

43、pe=system level=debug vd=root trace_id=107 func=ids_receive line=237 msg=send to ipsLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=resolve_ip_tuple_fast line=4299 msg=vd-root received a packet(proto=1, 10:1-:8) from lan.LOG: logid= type=event subtype=system level=debug v

44、d=root trace_id=107 mon line=4430 msg=allocate a new session-0000573eLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=vf_ip4_route_input line=1603 msg=find a route: gw- via dmzLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=_iprope_tree_check li

45、ne=534 msg=use addr/intf hash, len=3LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=get_new_addr line=2401 msg=find SNAT: IP-9, port-62464LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=fw_forward_handler line=663 msg=Allowed by Policy-1: SNATL

46、OG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=ids_receive line=237 msg=send to ipsLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=resolve_ip_tuple_fast line=4299 msg=vd-root received a packet(proto=1, 10:1-:8) from lan.LOG: logid= type=event s

47、ubtype=system level=debug vd=root trace_id=107 mon line=4430 msg=allocate a new session-0000573eLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=vf_ip4_route_input line=1603 msg=find a route: gw- via dmzLOG: logid= type=event subtype=system level=debug vd=root trace_id=107

48、 func=_iprope_tree_check line=534 msg=use addr/intf hash, len=3LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=get_new_addr line=2401 msg=find SNAT: IP-9, port-62464LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=fw_forward_handler line=663 msg

49、=Allowed by Policy-1: SNATLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=ids_receive line=237 msg=send to ipsLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=resolve_ip_tuple_fast line=4299 msg=vd-root received a packet(proto=1, 10:1-:8) from lan.LOG: logid= type=event subtype=system level=debug vd=root trace_id=107 mon line=4430 msg=allocate a new session-0000573eLOG: logid= type=event subtype=system level=debug vd=root trace_id=107 func=vf_ip4_route_input line=1603 msg=find a route: