《02防火墙策略》由会员分享,可在线阅读,更多相关《02防火墙策略(23页珍藏版)》请在金锄头文库上搜索。
1、防火墙策略Course201二层协议的穿越二层协议的穿越基于接口控制基于接口控制非ip的二层协议的穿过FortiGate本身不能够参与STP协议,但是可以设置其通过控制vlan数据包是否直接放过控制arp广播包穿过config system interfaceedit interface_nameset l2forward enableset stpforward enableset vlanforward enableset arpforward enableend多播流量的控制多播流量的控制多播流量在缺省状态下不能透明穿越防火墙部署多播策略允许多播流量可以对多播流量进行nat在透明模式下,
2、也可以不通过策略方式,而直接设置全局选项multicast-forward enable是否更改多模的ttl基于基于RADIUS的防火墙认证的防火墙认证FortiGate作为networkaccessserver(NAS)用户信息被送到RADIUSserver用户的认证取决于服务器的响应对象识别识别IP地址和共享密钥,最多支持两个RADIUSserversRADIUS对象可以用来所有的服务的认证Admin用户的Radius认证软交换接口软交换接口(1)概念概念软交换接口模式在物理接口之间创建桥连接每个软交换接口可以指定一个逻辑IP地址MR6中只能使用命令方式配置不能用于HAmonitor或心跳
3、接口软交换接口软交换接口(2)配置配置在MR7加入GUI支持config system switch-interface edit switch-1 set member port4 port5 nextendconfig system interface edit switch-1 set vdom root set ip 10.166.0.204 255.255.254.0 set allowaccess ping https set type switch nextend软交换接口软交换接口(3)GUI视图视图GUI视图Ports4&5被从接口列表中删除只有空接口可以被加入到软交换接口已
4、有任何配置的接口(如DNS转发、静态路由、防火墙策略等)的接口都不能加入软交换接口组软交换接口软交换接口(4)数据包行为数据包行为软交换接口组中各接口之间的流量无需防火墙策略控制软交换接口被视为一个物理接口,就像链路聚合接口一样可以在软交换接口上配置VLAN接口软交换接口软交换接口(5)注意事项注意事项所有的物理接口都可以加入到软交换接口中标准接口FA2接口NP2接口无线接口(FortiWiFi)以上接口可以在软交换接口中混合存在FortiGate不参与spanningtree不发送STP包不接收STP包因此需要注意LOOPS可能产生!软交换接口软交换接口(6)NAT/Route方案方案L2
5、switchL2 switch交换机所有接口上都启用Spanning treeIP broadcast软交换接口软交换接口(7)避免避免Loop为了避免loop,需要开启FortiGate接口上的stpforward配置软交换组中的物理接口= Port Stg= ENABLE FORWARD CHANGESID PORT_NUM PRIO STATE STP FASTSTART PATHCOST TRANSITION DETECTION-1 2/12 128 forwarding true false 10 12 true1 2/13 128 blocking true false 10 12
6、 trueconfig system interfaceedit port3 set vdom root set stpforward enable软交换接口软交换接口(8)TroubleshootingSniffing可以在物理或软交换接口上使用如果在软交换接口上使用sniffer命令,内部的交换流量不会捕获# diag sniff packet switch-1interfaces=switch-1filters=none软交换接口软交换接口(9)转发表转发表(FDB)检查软交换接口的FDB# diag netlink brctl listlist bridge information1.
7、switch-1 fdb: size=256 used=6 num=6 depth=1 simple=yes# diag netlink brctl name host switch-1show bridge control interface switch-1 host.fdb: size=256, used=6, num=6, depth=1, simple=yesBridge switch-1 host tableport no device devname mac addr ttl attributes 3 13 AMC-SW1/2 00:03:4b:4f:ac:b8 1 3 13 A
8、MC-SW1/2 00:09:0f:67:75:15 0 Local Static 3 13 AMC-SW1/2 00:0c:29:f1:de:2a 0 1 5 port4 00:09:0f:67:69:f9 0 Local Static 1 5 port4 00:0c:29:1e:12:be 0 1 5 port4 00:15:c6:c9:5b:87 2914TACACS概要概要TACACS协议组TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草AAA结构TACACS与与RAD
9、IUS比较比较15TACACS+RadiusTCP/49UDP认证/授权可分离认证授权结合完全加密仅密码部分加密可用于路由器管理会话授权TACACS与与RADIUS比较比较16TACACSFortiOSTACACS+ 认证 (MR6)所有可以使用用户认证的功能 (firewall policy, administrator accounts, VPNs)GUI视图17TACACS+Server-CiscoSecureACS19TACACS配置配置CLIconfig user tacacs+ edit tac+router1 set key fortinet set server 192.168
10、.183.1 nextEndFGT100-1 (tac+router1) # setauthen-type choose which authentication type to use*key key to access the serverport port number of the TACACS+ server*server server domain name or ip20TACACSTroubleshootingdiagdebappfnambd7diagtestauthservertacacs+FGT100-1 # diag test authserver tacacs+ tac
11、+router1 user1 fortinetfnbamd_fsm.c846 handle_req-Rcvd auth req 0 for user1 in tac+router1 opt=15 prot=8fnbamd_tac_plus.c326 build_authen_start-building authen start packet to send to 192.168.183.1: authen_type=2(pap)fnbamd_tac_plus.c417 tac_plus_result-waiting authen reply packetfnbamd_fsm.c269 fsm
12、_tac_plus_result-Continue pending for req 0fnbamd_tac_plus.c381 parse_authen_reply-authen result=1(pass)fnbamd_comm.c129 fnbamd_comm_send_result-Sending result 0 for req 0authenticate user user1 on server tac+router1 succeededZone将多个接口组织起来简化将多个接口组织起来简化防火墙策略防火墙策略使用区域可以将相关联的接口与VLAN子接口划分为组进行管理。将接口与子接口分
13、组管理简化了策略的创建。可以直接配置防火墙策略控制往来于区域的连接,而不是对区域中每个接口。您可以在区域列表中添加区域,更改区域的名称、编辑及删除区域。添加区域时,选择添加到该区域的接口与VLAN子接口的名称。区域可以添加到虚拟域中。如果FortiGate配置中添加了多个虚拟域,在添加或编辑区域之前确认已经配置了正确的虚拟域。区域内是否允许相互通讯,缺省状态是允许实验一实验一基于基于Radius的管理员认的管理员认证证设置管理员ccadmin,基于Radius服务器192.168.3.1进行认证实验二实验二软交换接口软交换接口将internal和wan2接口设置为交换接口,ip为10.0.X.254,设置策略允许内网访问Internet
