您好,欢迎访问三七文档
防火墙策略Course201v4.0创建防火墙策略的原则•策略是按照进出流量的接口部署的•流量如果没有匹配的防火墙策略的话,是不能穿过设备的•正确理解状态监测,防火墙的策略应以数据流的发起方来判断建立的方向也就是说,当需要内部网访问外部网时,只需要建立一个从Internal到wan1的允许策略即可防火墙策略接口服务NAT/Route保护内容表如何创建防火墙策略–接口与IP地址•两种类型的地址:IP/IPRangeFQDN——域名的方式•定义IP范围的多种方式:192.168.1.99192.168.1.0/255.255.255.0192.168.1.0/24192.168.1.99-192.168.1.105192.168.1.[99-105]•FQDN域名方式防火墙本身的DNS用来解析FQDN地址对象的FQDN解析的缓存时间是由DNS服务器决定的如何创建防火墙策略–选择与定制服务FortiGate本身内置了六十多个预定义的服务用户也可以自行定义服务,以下协议可以定制:TCP/UDPICMPIP也可以通过组的方式将多个服务组合在一起如何创建防火墙策略–定制时间表•防火墙的基于时间的控制如何创建防火墙策略–选择动作•数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功后,就根据“Action”来决定操作,不再向下匹配。•在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。•在NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。•有以下类型的动作:AcceptDenySSL——sslvpn的策略IPSec——Ipsecvpn的策略防火墙策略使用“Any”接口•源或目的接口都可以设置为“any”•如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略全局视图•“any”接口不能用于VIP或IP-pool两种查看方式——Section或者Global•使用了Any作为接口只能支持Globalview如何创建IPv6和多播策略•所有的IPV6和多播都是通过命令行来配置的•IPV6地址可以配置到任一接口•IPV6对象和策略policy6address6addrgrp6•多播策略multicast-policy实验一•10.0.x.1只能够访问,而不能访问其他的网站•提示:注意以下DNS的问题•没有匹配策略成功的话,那么是拒绝的。实验二•dmz区有一个代理服务器192.168.3.2548080,用户希望员工通过代理服务器上Internet,不允许其他的方式上网。如何设置防火墙认证——用户•用户对象是认证的一个方法•用户组是用户对象的容器识别组成员保护内容表和类型实现对成员的认证属性•FortiGate基于组的方式控制对资源的访问用户组和防火墙策略定义了对用户的认证过程如何设置防火墙认证——用户种类•支持以下类型的认证:本地用户•建立在防火墙上的用户名和密码RADIUS用户•取自Radius的用户名和密码LDAP/AD用户•取自LDAP服务器的用户名和密码TACACS+•取自TACACS服务器的用户名和密码FSAE/NTLM(AD)用户•可以实现单点登录PKI•基于CA证书(不需要用户名和密码)如何设置防火墙认证——用户组用户组名称类别设为防火墙保护内容表与用户组绑定设置组成员如何设置防火墙认证——用户认证子策略•启用基于用户的子策略•可以针对不同的用户组使用不同的时间表服务保护内容表流量控制流量日志功能描述•所有启用用户认证的防火墙策略将成为“基于用户认证的策略”•可以将一条策略拆分成多个子项:用户组时间表服务保护内容表流量控制流量日志如何设置防火墙认证——用户认证子策略•说明根据不同的用户组部署不同的保护内容表和流量控制如何设置防火墙认证——免责声明•免责声明是在用户正确地输入用户名和密码后,弹出一个页面对访问Internet作出一个说明,该说明可以是免责内容,也可以作为广告使用•重定向网页是用户接受免责声明后,转向在这里输入的网址认证的次数?•默认情况下,例如v3.0MR5+,认证是基于策略的:当一个用户已经在策略1中认证过,当他使用策略2时,需要重新认证。•有一条命令可以改变以上情况,变为全局认证–top3777configsystemglobalsetauth-policy-exact-matchdisableend默认值是enable,所以所有策略都必须一一认证认证的次数?例以上两条策略访问不同的目的地址,而认证用户组是一个。•如果auth-policy-exact-match设置成enable,则访问dst1和dst2都分别需要认证•如果auth-policy-exact-match设置成disable,则访问dst1和dst2只需要认证一次认证事件日志•格式化后•原始注意:如果一个用户停留在认证界面长时间不操作,也会产生事件日志12009-03-1821:54:06warningauthenticateUserfailedtoauthenticatewithintheallowedperiod用户监视-Firewall•v4.0的GUI下可以监视已认证的用户如何设置防火墙认证——认证时间与协议•当没有已经认证的用户在没有数据流的情况下,经过“验证超时“后,就需要重新认证•能够弹出用户名和密码的允许认证协议如上•采用证书方式认证认证超时•与v3.0相同configsystemglobalsetauth-keepaliveenable如何设置防火墙认证——自动刷新•Keepalive命令行下设置:ConfigsysglobalSetauth-keepaliveenEnd实验1•设置10.0.X.1上网不需要用户认证•设置除上述ip以外,上网均需要认证,并且弹出中文的保持存活页面,认证页面也为中文地址转换如何设置源地址转换•缺省情况下,端口地址翻译为外部接口IP地址InternalNetwork172.16.20.0/24.10.20.30.1204.50.168.90InternetServerInternetOriginalsourceIP:172.16.20.20SourceIPreceivedbyInternetserver:204.50.168.90如何设置源地址转换——不使用接口地址•地址翻译成指定范围的IP地址•防火墙虚拟IPIP池•如何来验证Diagnosesnifferpacketany‘icmp’4Ping映射服务器——设置虚拟IP一对一映射端口映射绑定的外部接口外部的IP地址内部的IP地址外部IP端口内部服务器端口映射服务器——设置服务器的负载均衡选择使用服务器负载均衡外部的IP分配流量的方式外部的IP端口内部的服务器列表映射服务器——添加允许访问服务器的策略•策略是从外向内建立的•目标地址是服务器映射的虚拟IP•不需要启用NAT实验•将内部服务器10.0.X.1映射到192.168.11.10X,让旁人ping192.168.11.10X,然后抓包分析Diagnosesnifferpacketany‘icmp’4Diagnosesyssessionclear基于策略的流量控制•在防火墙策略中启动流量控制设置。如果您不对防火墙策略设置任何的流量控制,那么默认情况下,流量的优先级别设置为高级。•防火墙策略中的流量控制选项设置为三个优先级别(低、中、高)。•确定防火墙策略中所有基本带宽之和需要低于接口所承载的最大容量。流量控制设置只有对设置动作为Accept,IPSEC以及SSL-VPN的策略可用。将应用层的安全附加在防火墙策略上——保护内容表InternetInternalNetworkDMZInternetClientInternetServerASURLAVIMIPSVPNP2PAVIPSAV保护内容表–说明•可以进行更细粒度的应用层的内容检测技术•防火墙保护内容表•保护内容表涵盖病毒、IPS、Web过滤、内容归档、IM/P2P、VoIP、与以上相关的日志保护内容表–应用到防火墙策略•保护内容表可以被应用到允许的防火墙策略•如果使用防火墙认证的话,则将保护内容表应用到用户组•可以创建多个保护内容表:•单一的保护内容表可以被应用到多个策略上实验•我们将DMZ192.168.3.25480映射到192.168.11.1X1的80端口上192.168.3.254443映射到192.168.11.1X2443•内部用户10.0.X.1通过公网地址192.168.11.1X3访问internet•内部用户10.0.X.2通过公网地址192.168.11.1X4访问Internet
本文标题:飞塔-防火墙策略
链接地址:https://www.777doc.com/doc-835769 .html