收藏
下载资源

飞塔防火墙OS4.0最新配置手册PPT优秀课件

上传人:博****1 文档编号:592239716 上传时间:2024-09-20 格式:PPT 页数:41 大小:2.05MB
返回 下载 相关 举报
飞塔防火墙OS4.0最新配置手册PPT优秀课件_第1页
第1页 / 共41页
飞塔防火墙OS4.0最新配置手册PPT优秀课件_第2页
第2页 / 共41页
飞塔防火墙OS4.0最新配置手册PPT优秀课件_第3页
第3页 / 共41页
飞塔防火墙OS4.0最新配置手册PPT优秀课件_第4页
第4页 / 共41页
飞塔防火墙OS4.0最新配置手册PPT优秀课件_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《飞塔防火墙OS4.0最新配置手册PPT优秀课件》由会员分享,可在线阅读,更多相关《飞塔防火墙OS4.0最新配置手册PPT优秀课件(41页珍藏版)》请在金锄头文库上搜索。

1、系统概述OS 4.0初始化初始化 教室教室INTERNETIntranet192.168.11.0 /24192.168.10x.0 /24192.168.20x.0 /24Server Network192.168.3.0 /24Class ServerGateway FirewallFortiAnalyzerPrivate Network10.0.x.0 /24Student PC实验拓扑图实验拓扑图新增新增UTM菜单项菜单项病毒检测、IPS、Web过滤器、反垃圾邮件、DLP、Application Control设置都移至UTM菜单下IM/P2P/VOIP功能并入Application

2、controlIM用户控制移至设置用户 - 本地 - IM新增新增UTM菜单项菜单项保护内容表保护内容表保护内容表也做相应的调整新增新增UTM菜单项菜单项病毒检查病毒检查病毒检测由原有的主菜单变成子菜单新增新增UTM菜单项菜单项入侵防护入侵防护新增新增UTM菜单项菜单项Web过滤过滤新增新增UTM菜单项菜单项DLP 新增新增UTM菜单项菜单项Application ControlWebUI定制化定制化(1)新建授权新建授权表表显示和隐藏预览WebUI定制化定制化(2)隐藏已有菜单隐藏已有菜单项项隐藏后变成虚的,在使用该内容表的管理员登录后,就看不到该菜单项WebUI定制化定制化(3)新建菜单新

3、建菜单项项点击下侧的+,则会添加菜单项点击菜单的右侧向下箭头,可以隐藏该菜单或者创建子菜单项WebUI定制化定制化(4)新建页面新建页面为子菜单建立页面,该页面上可以添加各种功能模块WebUI定制化定制化(5)布局和功能模布局和功能模块块设计布局和内容只适用于自己定制的子菜单项,不能对内置的菜单项和子菜单项进行修改。内置的菜单项可以掩藏。WebUI定制化定制化(6)保存和效保存和效果果保存当前的设置,然后将该保护内容表赋予某管理员用该管理员帐号登录实验一,定制管理界面实验一,定制管理界面定制一个只有防火墙和路由功能的管理界面检测未经许可的无线接入点检测未经许可的无线接入点(AP) 检测非法AP

4、FortiOS v3.00:不支持FortiOS v4.00:FWF-50B和FWF-60B支持。但目前还不支持完整的WIDS/WIPS。作用:发现网络中有意或无意部署的,未经许可的AP。列表中的AP分为2种状态,已许可和未许可。标识为何种状态由管理员决定。设置设置默认状态System/Wireless/Rogue AP菜单下,所有的AP默认处于未许可状态。检测到的AP将被列出以下参数检测到的时间和日期信号强度802.11 a/b/g/n参数Ssid/BssidMAC地址检测非法检测非法AP 两种模式两种模式监控模式(Monitor)该模式下,FWF专注于无线信号扫描此时FWF无法作为AP或无

5、线客户端无线接口被隐藏FWF持续扫描无线频道后台扫描模式(Background Scan)当FWF处于AP工作状态时,可以同时使用后台扫描模式当无线频道空闲时,开始信号扫描与与AP相关的相关的SNMP和日志和日志SNMP可以发送“Rogue Access Point detected” trap信息。此信息不会包括被发现AP的细节。当发现AP时,会产生一条新的事件日志,该日志中包括SSID/BSSID信息。如何设置如何设置FWF50B3G07503140 # config system wireless settingsFWF50B3G07503140 (settings) # set mod

6、eAP APCLIENT CLIENTSCAN SCAN获得当前检测后状态获得当前检测后状态FWF50B3G07503140 # get system wireless detected-apSSID BSSID CHAN RATE S:N INT CAPS ACT LIVE AGEFORTINET-Pr. 06:1a:2a:01:8c:27 2 54M 19:0 100 EPSs Y 45 0 RSN WME ATHFORTINET-Pu. 00:12:bf:14:fa:86 3 54M 26:0 100 ESs Y 392 0 WME ATHfortinet 00:1a:2a:ad:05:

7、3b 5 54M 70:0 100 ESs Y 392 0 WME ATHfortinet 00:0d:88:e5:74:cc 5 54M 54:0 100 ESs Y 392 0fortinet 00:12:bf:16:64:17 5 54M 70:0 100 ESs Y 392 0 WME ATHfortinet 00:0d:88:e7:33:03 5 54M 41:0 100 ESs Y 391 0fortinet 00:12:bf:2c:d6:cd 5 54M 60:0 100 ESs Y 391 0 WME ATHFORTINET-Pu. 00:1a:2a:01:8c:27 2 54

8、M 20:0 100 ESs Y 389 0 WME ATHFORTINET-Pu. 00:c0:a8:d1:11:22 2 54M 9:0 100 ESs Y 102 3 WME ATHTechnofi 00:1f:33:73:7a:ca 11 54M -3:0 100 EPSs Y 5 5 WPA WME ATHFWF50B3G07503140 #扫描行为扫描行为 当FWF扫描一个频道时,无线芯片将会从当前工作频道切换到被扫描频道。FWF广播一个探测请求,并等待20毫秒。20毫秒之后,FWF会切换到下一个待扫描的频道:收到其它AP的响应150ms仍然没有收到任何响应在监控(Monitor)

9、模式下(GUI下设置为monitoring),FWF持续扫描所有的频道。 管理员通过勾选一个复选框来将一个AP标识为允许状态未经许可(非法)AP将显示红色背景AP在线与否由列前的图标显示后台扫描模式后台扫描模式假设FWF硬件支持一下N个频道:B1 B2 . Bn,而AP当前工作频道是Cx,当前的扫描顺序如下: B1 Cx B2 B3 Cx Cx Cx B4 Cx . Bn Cx Cx Cx . Cx B1 B2 Cx B3 Cx Cx B4 Cx . Bn Cx Cx Cx | - 循环 - | FWF只有在Cx频道空闲时才会开始扫描。空闲时间是根据最近收到的数据包计算出来的。 Beacon或

10、其他802.11管理包并不考虑在内。空闲时间参数也可以设置。bgscan-idle可设置为100 - 1000 ms,缺省值是250ms。如果WLAN非常繁忙,任何两个数据包之间的间隔都小于这个值,后台扫描就不会开始。在第一个循环中,当B3扫描完成后,必须等待AP空闲之后才能开始B4扫描。如果WLAN不是非常繁忙,FWF可以连续扫描多个频道,例如B2-B3。 如果这个参数设置得过长,有可能导致FWF永远没有机会进行频道扫描;如果设置得太短,会因为频繁的扫描导致更多的丢包。 当FWF完成对所有频道的扫描,它将等待一段时间,然后开始新一轮循环。这个时间段是根据上一次扫描Bn到下一次扫描B1的间隔计

11、算出来的。这个值也可以修改。bgscan-interval可设置为15-3600秒,缺省值是120秒。如果参数设置过高,FWF有可能漏掉那些偶尔使用的非法AP。虚拟虚拟IP的间隔式的间隔式ARP广广播播虚拟虚拟IP的间隔式的间隔式ARP广播广播通过配置发送ARP广播的方式让路由器自动地更新ARP表。通过命令行可以设置发送ARP广播的频率。间隔时间设置为0时,则关闭ARP广播config firewall vipedit new_vip (configure the virtual IP) set gratuitous-arp-interval end虚拟虚拟IP的的ARP广播广播虚拟虚拟IP的

12、免费的免费ARP可以设置周期性地发送免费ARP默认是禁用的gratuitous-arp-interval=0可以在一定程度上防御ARP欺骗?config firewall vip edit web set extip 10.174.1.80 set extintf external set portforward enable set gratuitous-arp-interval 10 set mappedip 192.168.183.1 set extport 80 set mappedport 80 nextend实验实验 - ARP攻击防御攻击防御Modem拨入拨入Modem拨入拨入T

13、OP3 533。只支持FG60B和FWF60Bconfig system dialinsvrFGT60B3907517270 (dialinsvr) # set*status enable/disable dial-in-server*server-ip IP assigned to server*client-ip IP assigned to client*usrgrp only users in this user group can dial in*allowaccess Allow management access to the interfacemodem-dev choose

14、which modem device to useModem拨入拨入例例FG60B端的设置分配给Modem的IP分配给客户端的IP设置管理权限设置用户Modem拨入拨入例例客户端的设置Modem拨入拨入例例拨号之后PC就可以获得IP地址,通过访问所设置的服务器IP,就可以对FortiGate进行管理AMC BypassAMC Bypass测试过build 92和141均无法支持AMC-CX4,无法切换到正常模式,只能停留在Bypass模式上config system amcset sw1 asm-cx4set watchdog-recovery enable | disableset watchdog-recovery-period EndAMC 诊断工具的使用诊断工具的使用Diagnose个人观点供参考,欢迎讨论

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号