飞塔防火墙的防火墙策略

基于RADIUS的防火墙认证 基于RADIUS的防火墙认证 RADIUS
• FortiGate作为network access server (NAS)
用户信息被送到RADIUS server 用户的认证取决于服务器的响应
• 对象识别识别IP地址和共享密钥， 最多支持两个 RADIUS servers • RADIUS对象可以用来所有的服 务的认证 • Admin用户的Radius认证
================================================================================ Port Stg ================================================================================ ENABLE FORWARD CHANGE SID PORT_NUM PRIO STATE STP FASTSTART PATHCOST TRANSITION DETECTION -------------------------------------------------------------------------------1 2/12 128 forwarding true false 10 12 true 1 2/13 128 blocking true false 10 12 true
交换机所有接口上都启用Spanning tree
软交换接口(7)——避免L 软交换接口(7)——避免Loop (7)——避免
• 为了避免loop，需要开启FortiGate接口上的stpforward • 配置软交换组中的物理接口
config system interface edit "port3" set vdom "root" set stpforward enable
16
TACACS——FortiOS TACACS——FortiOS ——
• TACACS+ 认证 (MR6)
所有可以使用用户认证的功能 (firewall policy, administrator accounts, VPNs)
• GUI GUI视图
17
TACACS+ Server - Cisco Secure ACS
基于Radius Radius的管理员认 实验一 基于Radius的管理员认 证
• 设置管理员ccadmin，基于Radius服务器192.168.3.1进行认证
实验二 软交换接口
将internal和wan2接口设置为交换接口，ip为10.0.X.254，设置策 略允许内网访问Internet
防火墙策略
Course 301
二层协议的穿越——基于接口控制 二层协议的穿越——基于接口控制 ——
• 非ip的二层协议的穿过
config system interface edit interface_name
•
FortiGate本身不能够参与STP 协议，但是可以设置其通过 控制vlan数据包是否直接放过 控制arp广播包穿过
软交换接口(1)——概念 软交换接口(1)——概念 (1)——
• • • • • 软交换接口模式 在物理接口之间创建桥连接 每个软交换接口可以指定一个逻辑IP地址 MR6中只能使用命令方式配置 MR6 不能用于HA monitor或心跳接口
软交换接口(2)——配置 软交换接口(2)——配置 (2)——
simple=yes
# diag netlink brctl name host switch-1 show bridge control interface switch-1 host. fdb: size=256, used=6, num=6, depth=1, simple=yes Bridge switch-1 host table port no device devname mac addr ttl 3 13 AMC-SW1/2 00:03:4b:4f:ac:b8 3 13 AMC-SW1/2 00:09:0f:67:75:15 3 13 AMC-SW1/2 00:0c:29:f1:de:2a 1 5 port4 00:09:0f:67:69:f9 0 1 5 port4 00:0c:29:1e:12:be 0 1 5 port4 00:15:c6:c9:5b:87 29
软交换接口(3)———GUI视图 软交换接口(3)———GUI视图 (3)———GUI
• GUI视图 • Ports 4 & 5被从接 口列表中删除 • 只有空接口可以被 加入到软交换接口 • 已有任何配置的接 口（如DNS转发、 静态路由、防火墙 策略等）的接口都 不能加入软交换接 口组
软交换接口(4)——数据包行为 软交换接口(4)——数据包行为 (4)——
• 软交换接口组中各接口之间的流量无需防火墙策略控制 • 软交换接口被视为一个物理接口，就像链路聚合接口一样 • 可以在软交换接口上配置VLAN接口
软交换接口(5)——注意事项 软交换接口(5)——注意事项 (5)——
• 所有的物理接口都可以加入到软交换接口中
标准接口 FA2接口 NP2接口 无线接口(FortiWiFi) (FortiWiFi)
set l2forward enable set stpforward enable
• •
set vlanforward enable set arpforward enable end
多播流量的控制
多播流量在缺省状态下不能 透明穿越防火墙 部署多播策略允许多播流量 可以对多播流量进行nat
在透明模式下，也可以不通 过策略方式，而直接设置全 局选项multicast-forward enable 是否更改多模的ttl
• 以上接口可以在软交换接口中混合存在 • FortiGate不参与spanning tree
不发送STP包 不接收STP包
• 因此需要注意LOOPS可能产生 !!!
软交换接口(6)—— 软交换接口(6)—— NAT/Route (6) 方案
L2 switch
IP broadcast L2 switch
软交换接口(9)—— 转发表(FDB) 软交换接口(9)—— 转发表(FDB) (9)
• 检查软交换接口的FDB
# diag netlink brctl list list bridge information 1. switch-பைடு நூலகம் fdb: size=256
used=6
num=6
depth=1
• AAA结构
14
TACACS——与RADIUS比较 TACACS——与RADIUS比较 ——
TACACS+ TCP/49 认证/授权可分离 完全加密 可用于路由器管理 Radius UDP 认证授权结合 仅密码部分加密 会话授权
15
TACACS——与RADIUS比较 TACACS——与RADIUS比较 ——
attributes 1 0 Local Static 0 Local Static
TACACS——概要 TACACS——概要 ——
• TACACS 协议组
Terminal Access Controller Access Control System TACACS, XTACACS, TACACS+ TACACS+ RFC 由Cisco起草
• 在MR7加入GUI支持
config system switch-interface edit "switch-1" set member "port4" "port5" next end
config system interface edit "switch-1" set vdom "root" set ip 10.166.0.204 255.255.254.0 set allowaccess ping https set type switch next end
20
Zone——将多个接口组织起来简化 Zone——将多个接口组织起来简化 —— 防火墙策略
• • • • 使用区域可以将相关联的接口与VLAN子接口划分为组进行管理。将 接口与子接口分组管理简化了策略的创建。可以直接配置防火墙策 略控制往来于区域的连接，而不是对区域中每个接口。 您可以在区域列表中添加区域，更改区域的名称、编辑及删除区域。 添加区域时，选择添加到该区域的接口与VLAN子接口的名称。 区域可以添加到虚拟域中。如果FortiGate配置中添加了多个虚拟域， FortiGate 在添加或编辑区域之前确认已经配置了正确的虚拟域。 区域内是否允许相互通讯，缺省状态是允许
19
TACACS—— TACACS—— Troubleshooting
• diag deb app fnambd 7 • diag test authserver tacacs+ <serverProfile> <user> <pass>
FGT100-1 # diag test authserver tacacs+ tac+router1 user1 fortinet fnbamd_fsm.c[846] handle_req-Rcvd auth req 0 for user1 in tac+router1 opt=15 prot=8 fnbamd_tac_plus.c[326] build_authen_start-building authen start packet to send to 192.168.183.1: authen_type=2(pap) fnbamd_tac_plus.c[417] tac_plus_result-waiting authen reply packet fnbamd_fsm.c[269] fsm_tac_plus_result-Continue pending for req 0 fnbamd_tac_plus.c[381] parse_authen_reply-authen result=1(pass) fnbamd_comm.c[129] fnbamd_comm_send_result-Sending result 0 for req 0 authenticate user 'user1' on server 'tac+router1' succeeded
TACACS——配置 TACACS——配置 ——
• CLI
config user tacacs+ edit "tac+router1" set key fortinet set server "192.168.183.1" next End
FGT100-1 (tac+router1) # set authen-type choose which authentication type to use *key <password_str> key to access the server port port number of the TACACS+ server *server {<name_str|ip_str>} server domain name or ip
软交换接口(8)—— 软交换接口(8)—— Troubleshooting (8)
• Sniffing
可以在物理或软交换接口上使用 如果在软交换接口上使用sniffer命令，内部的交换流量不会捕获
# diag sniff packet switch-1 interfaces=[switch-1] filters=[none]