《{战略管理}飞塔防火墙的防火墙策略》由会员分享,可在线阅读,更多相关《{战略管理}飞塔防火墙的防火墙策略(23页珍藏版)》请在金锄头文库上搜索。
1、防火墙策略 Course 301,二层协议的穿越基于接口控制,非ip的二层协议的穿过 FortiGate本身不能够参与STP协议,但是可以设置其通过 控制vlan数据包是否直接放过 控制arp广播包穿过,config system interface edit interface_name set l2forward enable set stpforward enable set vlanforward enable set arpforward enable end,多播流量的控制,多播流量在缺省状态下不能透明穿越防火墙 部署多播策略允许多播流量 可以对多播流量进行nat 在透明模式下,也
2、可以不通过策略方式,而直接设置全局选项multicast-forward enable 是否更改多模的ttl,基于RADIUS的防火墙认证,FortiGate作为network access server (NAS) 用户信息被送到RADIUS server 用户的认证取决于服务器的响应 对象识别识别IP地址和共享密钥,最多支持两个 RADIUS servers RADIUS对象可以用来所有的服务的认证 Admin用户的Radius认证,软交换接口(1)概念,软交换接口模式 在物理接口之间创建桥连接 每个软交换接口可以指定一个逻辑IP地址 MR6中只能使用命令方式配置 不能用于HA monit
3、or或心跳接口,软交换接口(2)配置,在MR7加入GUI支持,config system switch-interface edit switch-1 set member port4 port5 next end config system interface edit switch-1 set vdom root set ip 10.166.0.204 255.255.254.0 set allowaccess ping https set type switch next end,软交换接口(3)GUI视图,GUI视图 Ports 4 & 5被从接口列表中删除 只有空接口可以被加入到软交
4、换接口 已有任何配置的接口(如DNS转发、静态路由、防火墙策略等)的接口都不能加入软交换接口组,软交换接口(4)数据包行为,软交换接口组中各接口之间的流量无需防火墙策略控制 软交换接口被视为一个物理接口,就像链路聚合接口一样 可以在软交换接口上配置VLAN接口,软交换接口(5)注意事项,所有的物理接口都可以加入到软交换接口中 标准接口 FA2接口 NP2接口 无线接口(FortiWiFi) 以上接口可以在软交换接口中混合存在 FortiGate不参与spanning tree 不发送STP包 不接收STP包 因此需要注意LOOPS可能产生 !,软交换接口(6) NAT/Route方案,L2 s
5、witch,L2 switch,交换机所有接口上都启用Spanning tree,IP broadcast,软交换接口(7)避免Loop,为了避免loop,需要开启FortiGate接口上的stpforward 配置软交换组中的物理接口,= Port Stg = ENABLE FORWARD CHANGE SID PORT_NUM PRIO STATE STP FASTSTART PATHCOST TRANSITION DETECTION - 1 2/12 128 forwarding true false 10 12 true 1 2/13 128 blocking true false 1
6、0 12 true,config system interface edit port3 set vdom root set stpforward enable,软交换接口(8) Troubleshooting,Sniffing 可以在物理或软交换接口上使用 如果在软交换接口上使用sniffer命令,内部的交换流量不会捕获,# diag sniff packet switch-1 interfaces=switch-1 filters=none,软交换接口(9) 转发表(FDB),检查软交换接口的FDB,# diag netlink brctl list list bridge informa
7、tion switch-1 fdb: size=256 used=6 num=6 depth=1 simple=yes # diag netlink brctl name host switch-1 show bridge control interface switch-1 host. fdb: size=256, used=6, num=6, depth=1, simple=yes Bridge switch-1 host table port no device devname mac addr ttl attributes 3 13 AMC-SW1/2 00:03:4b:4f:ac:b
8、8 1 3 13 AMC-SW1/2 00:09:0f:67:75:15 0 Local Static 3 13 AMC-SW1/2 00:0c:29:f1:de:2a 0 1 5 port4 00:09:0f:67:69:f9 0 Local Static 1 5 port4 00:0c:29:1e:12:be 0 1 5 port4 00:15:c6:c9:5b:87 29,14,TACACS概要,TACACS 协议组 Terminal Access Controller Access Control System TACACS, XTACACS, TACACS+ TACACS+ RFC
9、由Cisco起草 AAA结构,TACACS与RADIUS比较,15,TACACS与RADIUS比较,16,TACACSFortiOS,TACACS+ 认证 (MR6) 所有可以使用用户认证的功能 (firewall policy, administrator accounts, VPNs) GUI视图,17,TACACS+ Server - Cisco Secure ACS,19,TACACS配置,CLI,config user tacacs+ edit tac+router1 set key fortinet set server 192.168.183.1 next End FGT100-
10、1 (tac+router1) # set authen-type choose which authentication type to use *key key to access the server port port number of the TACACS+ server *server server domain name or ip,20,TACACS Troubleshooting,diag deb app fnambd 7 diag test authserver tacacs+ ,FGT100-1 # diag test authserver tacacs+ tac+ro
11、uter1 user1 fortinet fnbamd_fsm.c846 handle_req-Rcvd auth req 0 for user1 in tac+router1 opt=15 prot=8 fnbamd_tac_plus.c326 build_authen_start-building authen start packet to send to 192.168.183.1: authen_type=2(pap) fnbamd_tac_plus.c417 tac_plus_result-waiting authen reply packet fnbamd_fsm.c269 fs
12、m_tac_plus_result-Continue pending for req 0 fnbamd_tac_plus.c381 parse_authen_reply-authen result=1(pass) fnbamd_comm.c129 fnbamd_comm_send_result-Sending result 0 for req 0 authenticate user user1 on server tac+router1 succeeded,Zone将多个接口组织起来简化防火墙策略,使用区域可以将相关联的接口与VLAN子接口划分为组进行管理。将接口与子接口分组管理简化了策略的创
13、建。可以直接配置防火墙策略控制往来于区域的连接,而不是对区域中每个接口。 您可以在区域列表中添加区域,更改区域的名称、编辑及删除区域。添加区域时,选择添加到该区域的接口与VLAN子接口的名称。 区域可以添加到虚拟域中。如果FortiGate配置中添加了多个虚拟域,在添加或编辑区域之前确认已经配置了正确的虚拟域。 区域内是否允许相互通讯,缺省状态是允许,实验一 基于Radius的管理员认证,设置管理员ccadmin,基于Radius服务器192.168.3.1进行认证,实验二 软交换接口,将internal和wan2接口设置为交换接口,ip为10.0.X.254,设置策略允许内网访问Internet,
