《飞塔防火墙的防火墙策略》由会员分享,可在线阅读,更多相关《飞塔防火墙的防火墙策略(23页珍藏版)》请在金锄头文库上搜索。
1、防火墙策略 Course 301二层协议的穿越二层协议的穿越基于接口控制基于接口控制非ip的二层协议的穿过FortiGate本身不能够参与STP协议,但是可以设置其通过控制vlan数据包是否直接放过控制arp广播包穿过config system interfaceedit interface_nameset l2forward enableset stpforward enableset vlanforward enableset arpforward enableend2多播流量的控制多播流量的控制多播流量在缺省状态下不能透明穿越防火墙部署多播策略允许多播流量可以对多播流量进行nat在透明模
2、式下,也可以不通过策略方式,而直接设置全局选项multicast-forward enable是否更改多模的ttl3基于基于RADIUSRADIUS的防火墙认证的防火墙认证FortiGate作为network access server (NAS)用户信息被送到RADIUS server用户的认证取决于服务器的响应对象识别识别IP地址和共享密钥,最多支持两个 RADIUS serversRADIUS对象可以用来所有的服务的认证 Admin用户的Radius认证4软交换接口软交换接口(1)(1)概念概念软交换接口模式在物理接口之间创建桥连接每个软交换接口可以指定一个逻辑IP地址MR6中只能使用命
3、令方式配置不能用于HA monitor或心跳接口5软交换接口软交换接口(2)(2)配置配置在MR7加入GUI支持config system switch-interface edit switch-1 set member port4 port5 nextendconfig system interface edit switch-1 set vdom root set ip 10.166.0.204 255.255.254.0 set allowaccess ping https set type switch nextend6软交换接口软交换接口(3)(3)GUIGUI视图视图GUI视图P
4、orts 4 & 5被从接口列表中删除只有空接口可以被加入到软交换接口已有任何配置的接口(如DNS转发、静态路由、防火墙策略等)的接口都不能加入软交换接口组7软交换接口软交换接口(4)(4)数据包行为数据包行为软交换接口组中各接口之间的流量无需防火墙策略控制软交换接口被视为一个物理接口,就像链路聚合接口一样可以在软交换接口上配置VLAN接口8软交换接口软交换接口(5)(5)注意事项注意事项所有的物理接口都可以加入到软交换接口中标准接口FA2接口NP2接口无线接口(FortiWiFi)以上接口可以在软交换接口中混合存在FortiGate不参与spanning tree不发送STP包不接收STP包
5、因此需要注意LOOPS可能产生 !9软交换接口软交换接口(6)(6) NAT/Route NAT/Route方案方案L2 switchL2 switch交换机所有接口上都启用Spanning treeIP broadcast10软交换接口软交换接口(7)(7)避免避免L Loopoop为了避免loop,需要开启FortiGate接口上的stpforward配置软交换组中的物理接口= Port Stg= ENABLE FORWARD CHANGESID PORT_NUM PRIO STATE STP FASTSTART PATHCOST TRANSITION DETECTION-1 2/12 1
6、28 forwarding true false 10 12 true1 2/13 128 blocking true false 10 12 trueconfig system interfaceedit port3 set vdom root set stpforward enable11软交换接口软交换接口(8)(8) Troubleshooting TroubleshootingSniffing可以在物理或软交换接口上使用如果在软交换接口上使用sniffer命令,内部的交换流量不会捕获# diag sniff packet switch-1interfaces=switch-1filt
7、ers=none12软交换接口软交换接口(9)(9) 转发表转发表( (FDBFDB) )检查软交换接口的FDB# diag netlink brctl listlist bridge information1.switch-1 fdb: size=256 used=6 num=6 depth=1 simple=yes# diag netlink brctl name host switch-1show bridge control interface switch-1 host.fdb: size=256, used=6, num=6, depth=1, simple=yesBridge s
8、witch-1 host tableport no device devname mac addr ttl attributes 3 13 AMC-SW1/2 00:03:4b:4f:ac:b8 1 3 13 AMC-SW1/2 00:09:0f:67:75:15 0 Local Static 3 13 AMC-SW1/2 00:0c:29:f1:de:2a 0 1 5 port4 00:09:0f:67:69:f9 0 Local Static 1 5 port4 00:0c:29:1e:12:be 0 1 5 port4 00:15:c6:c9:5b:87 291314TACACSTACA
9、CS概要概要TACACS 协议组Terminal Access Controller Access Control SystemTACACS, XTACACS, TACACS+TACACS+ RFC 由Cisco起草AAA结构14TACACSTACACS与与RADIUSRADIUS比较比较15TACACS+RadiusTCP/49UDP认证/授权可分离认证授权结合完全加密仅密码部分加密可用于路由器管理会话授权15TACACSTACACS与与RADIUSRADIUS比较比较1616TACACSFortiOSTACACSFortiOSTACACS+ 认证 (MR6)所有可以使用用户认证的功能 (f
10、irewall policy, administrator accounts, VPNs)GUI视图1717TACACS+ Server - Cisco Secure ACSTACACS+ Server - Cisco Secure ACS1819TACACSTACACS配置配置CLIconfig user tacacs+ edit tac+router1 set key fortinet set server 192.168.183.1 nextEndFGT100-1 (tac+router1) # setauthen-type choose which authentication typ
11、e to use*key key to access the serverport port number of the TACACS+ server*server server domain name or ip1920TACACSTACACS Troubleshooting Troubleshootingdiag deb app fnambd 7diag test authserver tacacs+ FGT100-1 # diag test authserver tacacs+ tac+router1 user1 fortinetfnbamd_fsm.c846 handle_req-Rc
12、vd auth req 0 for user1 in tac+router1 opt=15 prot=8fnbamd_tac_plus.c326 build_authen_start-building authen start packet to send to 192.168.183.1: authen_type=2(pap)fnbamd_tac_plus.c417 tac_plus_result-waiting authen reply packetfnbamd_fsm.c269 fsm_tac_plus_result-Continue pending for req 0fnbamd_ta
13、c_plus.c381 parse_authen_reply-authen result=1(pass)fnbamd_comm.c129 fnbamd_comm_send_result-Sending result 0 for req 0authenticate user user1 on server tac+router1 succeeded20ZoneZone将多个接口组织起来简化将多个接口组织起来简化防火墙策略防火墙策略使用区域可以将相关联的接口与VLAN子接口划分为组进行管理。将接口与子接口分组管理简化了策略的创建。可以直接配置防火墙策略控制往来于区域的连接,而不是对区域中每个接口。您可以在区域列表中添加区域,更改区域的名称、编辑及删除区域。添加区域时,选择添加到该区域的接口与VLAN子接口的名称。区域可以添加到虚拟域中。如果FortiGate配置中添加了多个虚拟域,在添加或编辑区域之前确认已经配置了正确的虚拟域。区域内是否允许相互通讯,缺省状态是允许21实验一实验一 基于基于RadiusRadius的管理员认的管理员认证证设置管理员ccadmin,基于Radius服务器192.168.3.1进行认证22实验二实验二 软交换接口软交换接口将internal和wan2接口设置为交换接口,ip为10.0.X.254,设置策略允许内网访问Internet23
