防火墻策略

Course301防火墻策略

Course301二層協議的穿越——基于接口控制非ip的二層協議的穿過FortiGate本身不能夠參與STP協議，但是可以設置其通過控制vlan數據包是否直接放過控制arp廣播包穿過configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend二層協議的穿越——基于接口控制非ip的二層協議的穿過conf2多播流量的控制多播流量在缺省狀態下不能透明穿越防火墻部署多播策略允許多播流量可以對多播流量進行nat在透明模式下，也可以不通過策略方式，而直接設置全局選項multicast-forwardenable是否更改多模的ttl多播流量的控制多播流量在缺省狀態下不能透明穿越防火墻3基于RADIUS的防火墻認證FortiGate作為networkaccessserver(NAS)用戶信息被送到RADIUSserver用戶的認證取決于服務器的響應對象識別識別IP地址和共享密鑰，最多支持兩個RADIUSserversRADIUS對象可以用來所有的服務的認證Admin用戶的Radius認證基于RADIUS的防火墻認證FortiGate作為netwo4軟交換接口(1)——概念軟交換接口模式在物理接口之間創建橋連接每個軟交換接口可以指定一個邏輯IP地址MR6中只能使用命令方式配置不能用于HAmonitor或心跳接口軟交換接口(1)——概念軟交換接口模式5軟交換接口(2)——配置在MR7加入GUI支持configsystemswitch-interfaceedit"switch-1"setmember"port4""port5"nextendconfigsysteminterfaceedit"switch-1"setvdom"root"setip04setallowaccesspinghttpssettypeswitchnextend軟交換接口(2)——配置在MR7加入GUI支持config6軟交換接口(3)———GUI視圖GUI視圖Ports4&5被從接口列表中刪除只有空接口可以被加入到軟交換接口已有任何配置的接口（如DNS轉發、靜態路由、防火墻策略等）的接口都不能加入軟交換接口組軟交換接口(3)———GUI視圖GUI視圖7軟交換接口(4)——數據包行為軟交換接口組中各接口之間的流量無需防火墻策略控制軟交換接口被視為一個物理接口，就像鏈路聚合接口一樣可以在軟交換接口上配置VLAN接口軟交換接口(4)——數據包行為軟交換接口組中各接口之間的流量8軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換接口中標準接口FA2接口NP2接口無線接口(FortiWiFi)以上接口可以在軟交換接口中混合存在FortiGate不參與spanningtree不發送STP包不接收STP包因此需要注意LOOPS可能產生

!!!軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換9軟交換接口(6)——NAT/Route方案L2switchL2switch交換機所有接口上都啟用SpanningtreeIPbroadcast軟交換接口(6)——NAT/Route方案L2switc10軟交換接口(7)——避免Loop為了避免loop，需要開啟FortiGate接口上的stpforward配置軟交換組中的物理接口================================================================================PortStg================================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/13128blockingtruefalse1012trueconfigsysteminterfaceedit"port3"setvdom"root"setstpforwardenable軟交換接口(7)——避免Loop為了避免loop，需要開啟F11軟交換接口(8)——TroubleshootingSniffing可以在物理或軟交換接口上使用如果在軟交換接口上使用sniffer命令，內部的交換流量不會捕獲#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]軟交換接口(8)——TroubleshootingSnif12軟交換接口(9)——

轉發表(FDB)檢查軟交換接口的FDB#diagnetlinkbrctllistlistbridgeinformationswitch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswitch-1host.fdb:size=256,used=6,num=6,depth=1,simple=yesBridgeswitch-1hosttableportnodevicedevnamemacaddrttlattributes313AMC-SW1/200:03:4b:4f:ac:b81313AMC-SW1/200:09:0f:67:75:150LocalStatic313AMC-SW1/200:0c:29:f1:de:2a015port400:09:0f:67:69:f90LocalStatic15port400:0c:29:1e:12:be015port400:15:c6:c9:5b:8729軟交換接口(9)——轉發表(FDB)檢查軟交換接口的FDB1314TACACS——概要TACACS協議組TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草AAA結構TACACS——概要TACACS協議組14TACACS——與RADIUS比較15TACACS+RadiusTCP/49UDP認證/授權可分離認證授權結合完全加密僅密碼部分加密可用于路由器管理會話授權TACACS——與RADIUS比較TACACS+Radius15TACACS——與RADIUS比較16TACACS——與RADIUS比較16TACACS——FortiOSTACACS+認證(MR6)所有可以使用用戶認證的功能(firewallpolicy,administratoraccounts,VPNs)GUI視圖17TACACS——FortiOSTACACS+認證(MR617TACACS+Server-CiscoSecureACSTACACS+Server-CiscoSecure1819TACACS——配置CLIconfigusertacacs+edit"tac+router1"setkeyfortinetsetserver""nextEndFGT100-1(tac+router1)#setauthen-typechoosewhichauthenticationtypetouse*key<password_str>keytoaccesstheserverportportnumberoftheTACACS+server*server{<name_str|ip_str>}serverdomainnameoripTACACS——配置CLIconfigusertacac1920TACACS——Troubleshootingdiagdebappfnambd7diagtestauthservertacacs+<serverProfile><user><pass>FGT100-1#diagtestauthservertacacs+tac+router1user1fortinetfnbamd_fsm.c[846]handle_req-Rcvdauthreq0foruser1intac+router1opt=15prot=8fnbamd_tac_plus.c[326]build_authen_start-buildingauthenstartpackettosendto:authen_type=2(pap)fnbamd_tac_plus.c[417]tac_plus_result-waitingauthenreplypacketfnbamd_fsm.c[269]fsm_tac_plus_result-Continuependingforreq0fnbamd_tac_plus.c[381]parse_authen_reply-authenresult=1(pass)fnbamd_comm.c[129]fnbamd_comm_send_result-Sendingresult0forreq0authenticateuser'user1'onserver'tac+router1'succeededTACACS——Troubleshootingdiagd20Zone——將多個接口組織起來簡化防火墻策略使用區域可以將相關聯的接口與VLAN子接口劃分為組進行管理。將接口與子接口分組管理簡化了策略的創建。可以直接配置防火墻策略控制往來于區域的連接，而不是對區域中每個接口。您可以在區域列表中添加區域，更改區域的名稱、編輯及刪除區域。添加區域時，選擇添加到該區域的接口與VLAN子接口的名稱。區域可以添加到虛擬域中。如果FortiGate配置中添加了多個虛擬域，在添加或編輯區域之前確認已經配置了正確的虛擬域。區域內是否允許相互通訊，缺省狀態是允許Zone——將多個接口組織起來簡化防火墻策略使用區域可以將相21實驗一基于Radius的管理員認證設置管理員ccadmin，基于Radius服務器進行認證實驗一基于Radius的管理員認證設置管理員ccadmin22實驗二軟交換接口將internal和wan2接口設置為交換接口，ip為10.0.X.254，設置策略允許內網訪問Internet實驗二軟交換接口將internal和wan2接口設置為交換23防火墻策略

Course301防火墻策略

Course301二層協議的穿越——基于接口控制非ip的二層協議的穿過FortiGate本身不能夠參與STP協議，但是可以設置其通過控制vlan數據包是否直接放過控制arp廣播包穿過configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend二層協議的穿越——基于接口控制非ip的二層協議的穿過conf25多播流量的控制多播流量在缺省狀態下不能透明穿越防火墻部署多播策略允許多播流量可以對多播流量進行nat在透明模式下，也可以不通過策略方式，而直接設置全局選項multicast-forwardenable是否更改多模的ttl多播流量的控制多播流量在缺省狀態下不能透明穿越防火墻26基于RADIUS的防火墻認證FortiGate作為networkaccessserver(NAS)用戶信息被送到RADIUSserver用戶的認證取決于服務器的響應對象識別識別IP地址和共享密鑰，最多支持兩個RADIUSserversRADIUS對象可以用來所有的服務的認證Admin用戶的Radius認證基于RADIUS的防火墻認證FortiGate作為netwo27軟交換接口(1)——概念軟交換接口模式在物理接口之間創建橋連接每個軟交換接口可以指定一個邏輯IP地址MR6中只能使用命令方式配置不能用于HAmonitor或心跳接口軟交換接口(1)——概念軟交換接口模式28軟交換接口(2)——配置在MR7加入GUI支持configsystemswitch-interfaceedit"switch-1"setmember"port4""port5"nextendconfigsysteminterfaceedit"switch-1"setvdom"root"setip04setallowaccesspinghttpssettypeswitchnextend軟交換接口(2)——配置在MR7加入GUI支持config29軟交換接口(3)———GUI視圖GUI視圖Ports4&5被從接口列表中刪除只有空接口可以被加入到軟交換接口已有任何配置的接口（如DNS轉發、靜態路由、防火墻策略等）的接口都不能加入軟交換接口組軟交換接口(3)———GUI視圖GUI視圖30軟交換接口(4)——數據包行為軟交換接口組中各接口之間的流量無需防火墻策略控制軟交換接口被視為一個物理接口，就像鏈路聚合接口一樣可以在軟交換接口上配置VLAN接口軟交換接口(4)——數據包行為軟交換接口組中各接口之間的流量31軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換接口中標準接口FA2接口NP2接口無線接口(FortiWiFi)以上接口可以在軟交換接口中混合存在FortiGate不參與spanningtree不發送STP包不接收STP包因此需要注意LOOPS可能產生

!!!軟交換接口(5)——注意事項所有的物理接口都可以加入到軟交換32軟交換接口(6)——NAT/Route方案L2switchL2switch交換機所有接口上都啟用SpanningtreeIPbroadcast軟交換接口(6)——NAT/Route方案L2switc33軟交換接口(7)——避免Loop為了避免loop，需要開啟FortiGate接口上的stpforward配置軟交換組中的物理接口================================================================================PortStg================================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/13128blockingtruefalse1012trueconfigsysteminterfaceedit"port3"setvdom"root"setstpforwardenable軟交換接口(7)——避免Loop為了避免loop，需要開啟F34軟交換接口(8)——TroubleshootingSniffing可以在物理或軟交換接口上使用如果在軟交換接口上使用sniffer命令，內部的交換流量不會捕獲#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]軟交換接口(8)——TroubleshootingSnif35軟交換接口(9)——

轉發表(FDB)檢查軟交換接口的FDB#diagnetlinkbrctllistlistbridgeinformationswitch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswitch-1host.fdb:size=256,used=6,num=6,depth=1,simple=yesBridgeswitch-1hosttableportnodevicedevnamemacaddrttlattributes313AMC-SW1/200:03:4b:4f:ac:b81313AMC-SW1/200:09:0f:67:75:150LocalStatic313AMC-SW1/200:0c:29:f1:de:2a015port400:09:0f:67:69:f90LocalStatic15port400:0c:29:1e:12:be015port400:15:c6:c9:5b:8729軟交換接口(9)——轉發表(FDB)檢查軟交換接口的FDB3637TACACS——概要TACACS協議組TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草AAA結構TACACS——概要TACACS協議組37TACACS——與RADIUS比較38TACACS+RadiusTCP/49UDP認證/授權可分離認證授權結合完全加密僅密碼部分加密可用于路由器管理會話授權TACACS——與RADIUS比較TACACS+Radius38TACACS——與RADIUS比較39TACACS——與RADIUS比較39TACACS——FortiOSTACACS+認證(MR6)所有可以使用用戶認證的功能(firewallpolicy,administratoraccounts,VPNs)GUI視圖40TACACS——FortiOSTACACS+認證(MR640TACACS+Server-CiscoSecureACSTACACS+Server-CiscoSecure4142TACACS——配置CLIconfigusertacacs+edit"tac+router1"setkeyfortinetsetserver""nextEndFGT100-1(tac+router1)#setauthen-typechoosewhichauthenticationtypetouse*key<password_str>keytoaccesstheserverportportnumberoftheTACACS+server*server{<name_str|ip_str>}serverdomainnameoripTACACS——配置CLIconfigusertacac4243TACACS——Troubleshootingdiagdebappfnambd7diagtestauthservertacacs+<ser