fortigate防火墙配置 PPT
FortiGate防火墙产品培训
NAT/Route Mode
Port1 10.11.101.1
59.108.29.182
Wan Port2 192.168.1.1
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
Fortinet Confidential
FortiGate透明模式
●所有接口都在同一广播域,通过二层MAC地址转发处理流量,易于部署,不需要改变原来的网络 结构。不支持PPTP、L2TP、SSL、GRE VPN,支持IPSec VPN
59.108.29.1
Transparent Mode
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24 Fortinet Confidential
FortiGate防火墙产品培训
Fortinet Confidential
内容和时间安排
第一天 产品介绍 FortiGate配置 . FortiGate系统管理 . 路由 . 防火墙功能 . UTM功能 . VPN
Fortinet Confidential
第二天 FortiGate配置 . 用户管理 . 终端控制 . WAN优化 . 无线控制器 . 日志与报告 . HA配置和管理 部署运行维护建议 故障排错 第三天 实验测试
; 配置
系统管理-物理网络接口1
Fortinet Confidential
系统管理-物理网络接口2
Fortinet Confidential
系统管理- Vlan接口
Fortinet Confidential
系统管理- 802.3ad汇聚接口1
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范1.概述1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。
为了提高Fortigate防火墙的安全性而提出的。
1.2. 范围本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置2.1. 配置设备名称制定一个全网统一的名称规范,以便管理。
2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。
如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。
2.3. 设置Admin口令缺省情况下,admin的口令为空,需要设置一个口令。
密码长度不少于8个字符,且密码复杂。
2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。
需要设置口令,只允许管理员修改。
密码长度不少于8个字符,且密码复杂。
2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。
用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。
单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。
2.6. 设备管理权限设置为每个设备接口设置访问权限,如下表所示:接口名称允许的访问方式Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式Port5 (保留)Port6 (保留)且只允许内网的可信主机管理Fortinet设备。
2.7. 管理会话超时管理会话空闲超时不要太长,缺省5分钟是合适的。
2.8. SNMP设置设置SNMP Community值和TrapHost的IP。
FortiGate防火墙 路由与透明模式精品PPT课件
如何实现链路负载均衡(1)
• 建立两个缺省路由,子网掩码、路径长度和priority都保持一致, 如下
如何实现链路负载均衡(2)
• 设置两条链路对应的防火墙策略
设置策略路由
• 其路由判断是根据以 下因素判断的:
▪ 协议号 ▪ 流入接口 ▪ 源地址和目标地址 ▪ 目标端口
策略路由的特点
• 建立在静态路由和直连路由的基础上的 • 通畅不需要指定网关 • 不能在图形界面的路由监控和命令行下的路由表中显示出来 (diagnose
谢谢大家
荣幸这一路,与你同行
It'S An Honor To Walk With You All The Way
演讲人:XXXXXX 时 间:XX年XX月XX日
启动透明模式
比较透明模式与路由模式的区别
• 没有路由功能 • 不能支持SSL VPN、
PPTP和L2TP • 不能支持接口模式的
VPN
实验
0/0 192.168.11.254 10 Internet
0/0 192.168.3.254 10 CERNET
映射地址为 192.168.11.2x
192.168.11.1/24
ip route list) • 发源于防火墙的流量不能使用策略路由 • 按照顺序执行
什么是Loopback接口以及如何创建
• 主要用途:
▪ 可用于GRE通道和IPSec通道的端点 ▪ 用于 OSPF, BGP 和RIP的Router IDset type loopback)
路由与透明模式
Course 201 v4.0
支持的路由类型
设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转 发到一个特殊目的地的所需的信息
fortinet飞塔防火墙配置
Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。
更多fortinet产品信息,详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。
fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。
fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。
fortiguard 服务订制包括:1、fortiguard 反病毒服务2、 fortiguard 入侵防护(ips)服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。
FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。
forticlient的功能包括:1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。
FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。
fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。
在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。
fortinet防火墙完全配置01-产品介绍与实验拓扑
config system interface edit port1 set vdom "root" set ip 172.20.110.251 255.255.255.0
branch
table
parameter
熟悉命令行(2)——根命令
• Show system interface • Get system interface • Get system interface wan1 • Show sys dhcp server internal-dhcp-server • Get system dhcp server internal-dhcp-server • Show sys dns • Get sys dns 注意比较Show和Get之间的区别
•
中继DHCP请求到远程的DHCP服务器
初始设置——配置静态路由
• 缺省网关 用于访问公网,FortiGate访问FortiGuard和DNS servers
•
基于(1-255)
同一目标的多条路由可以并存,但是只有一条是优先的
熟悉命令行(1)——结构
•
试用以下辅助选项 config ? con[tab] 返回上一次命令 向上箭头或者CTRL-P 返回下一个命令 向下箭头或者CTRL-N 返回一行的头部 CTRL-A 返回一行的尾部 CTRL-E 回退一个字符 CTRL-B 前进一个字符 CTRL-F 删除当前的字符 CTRL-D 取消命令和退出 CTRL-C
Server Network
WAN1 DHCP获得 DMZ 192.168.3.(100+X) 192.168.3.0 /24
fortigate防火墙配置ppt课件
Internal 2 192.168.1.0/24
FortiGate透明模式
Transparent
59.108.29.1
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24
6
Internal 2 192.168.1.0/24
数据包处理流程
7
NP数据包处理流程
32
防火墙-流量整形器
33
防火墙-策略
34
防火墙-策略的顺序
35
▪ IPS特征匹配 ▪ IPSEC SSL/TLS协议处理器 ▪ IKE ▪ 认证模块SHA2界面与配置
FortiGate路由模式
59.108.29.182
NAT/Route
Port1 10.11.101.1
Wan
Port2 192.168.1.1
Internal 1 10.11.101.0/24
Passive 工作 不工作 不工作
Static 不工作 不工作 建议使用
14
查看链路聚合工作状态
ha-a-981 # diagnose netlink aggregate name linkaggregate LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D) (A|P) - LACP mode is Active or Passive (S|F) - LACP speed is Slow or Fast (A|I) - Aggregatable or Individual (I|O) - Port In sync or Out of sync (E|D) - Frame collection is Enabled or Disabled (E|D) - Frame distribution is Enabled or Disabled
FortiGate最常见配置
• 配置:
– – 系统管理-->网络-->接口 外网接口参数配置
• 选择接口地址模式为PPPoE • 输入用户名和密码 • MTU设置为1492
–
内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
外网接口参数配置:
内网接口参数配置:
实例
策略配置:
故障排除
• 地址范围是否定义正确 • 协议类型选择是否正确 • 端口是否定义正确
• 是否将要控制的服务添加到组中
• 策略中的源地址和目的地址是否选择正确 • 策略中的服务是否选择正确 • 策略中的模式是否选择正确
备份与负载均衡
配置过程
备份与负载均衡
实例 故障排除
配置过程
• 接口配置(操作步骤见共享上网部分) • 若要对服务进行分流控制,则要在防火墙菜单中服务下面定制服务 • 若要针对内部网络的IP地址进行分流控制,则要在防火墙菜单中地址下面 定义地址段 • 策略配置
– 宽带线路2:
• IP:192.168.10.147 • 掩码:255.255.255.0 • 网关:192.168.10.1
实例
• 要求:
– 财务部单独使用一条宽带线路,市场、技术等其他部门共同 使用另一条宽带线路,实现数据分流,以保证带宽利用
实例
配置:
• 接口配置(操作步骤见共享上网部分,只是要在配置时将PING服务器打开,并输 入一个有效的公网IP地址)
FortiGate培训讲义
2005.09.23
FortiGate培训讲义
共享上网
PPPoE
共享上网
DHCP
静态
Fortigate防火墙简单配置指导
华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3,进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品,是利用一种新的体系结构方法研发的,具有无与伦比的价格/性能比;是完全的、所有层网络安全和内容控制的产品。
经过一些安全行业深受尊重的安全专家多年的研究开发,FortiGate解决方案突破了网络的“内容处理障碍”。
提供了在网络边界所有安全威胁类型(包括病毒和其它基于内容的攻击)的广泛保护。
并且具备空前的消除误用和滥用文字的能力,管理带宽和减少设备与管理的费用。
常规的安全系统,像防火墙和VPN 网关在防止称为网络层攻击是有效的,它通过检查包头信息来保证来自信任源合法请求的安全。
但在现今,绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击,例如病毒和蠕虫。
在这些更多诡辩的攻击中,有害的内容常常深入到包内容,通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。
同样的,有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本,并且需要除了网络层实时信息,还有分解和分析应用层内容(例如文件和指令)的能力。
然而,在现今的网络速度下,完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。
结果,使用常规解决方案的机构面临着“内容处理障碍”,这就迫使他们在桌面和服务器上加强内容服务的配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FMC模块内部专有处理器
• FortiASIC NP4 lite网络处理器芯片
• 接口级的数据加速服务 • 低延迟, 百万NAT级会话线速性能
» IPSec ESP 加解密处理 » IPS异常检测,数据包重组 » 约NP4一半的性能
• FortiASIC CP8 安全处理器芯片
» 多核多线程安全处理 » 提供FortiASIC NP4以外的功能服务
• IPS特征匹配 • IPSEC SSL/TLS协议处理器 • IKE • 认证模块SHA256/SHA1/MD5
防火墙界面与配置
FortiGate路由模式
59.108.29.182
NAT/Route
Port1 10.11.101.1
系统管理-访问内容表
系统管理-管理员设置1
系统管理-管理员设置2
系统管理-固件升级
路由-静态路由
路由-策略路由
路由-当前路由表
防火墙-地址
防火墙-地址组
防火墙-预定义与定制
防火墙-服务组
防火墙-时间表
防火墙-流量整形器
防火墙-策略
防火墙-策略的顺序
感谢您的聆听!
系统管理-冗余接口1
系统管理-冗余接口2
Router 1
Router 2
Router 1
主接口失效后, 冗余接口中的其 他接口将激活
Router 2
正常情况,只有 冗余接口的主接 口处于工作状态。
主接口失效后, 冗余接口2开始 工作。
系统管理-区Zone
系统管理- DHCP服务器
系统管理- FortiGate选项
Active 建议使用
工作 不工作
Passive 工作 不工作 不工作
Static 不工作 不工作 建议使用
查看链路聚合工作状态
ha-a-981 # diagnose netlink aggregate name linkaggregate LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D) (A|P) - LACP mode is Active or Passive (S|F) - LACP speed is Slow or Fast (A|I) - Aggregatable or Individual (I|O) - Port In sync or Out of sync (E|D) - Frame collection is Enabled or Disabled (E|D) - Frame distribution is Enabled or Disabled
Wan
Port2 192.168.1.1
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
FortiGate透明模式
Transparent
59.108.29.1
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
数据包处理流程
NP数据包处理流程
系统管理-网络接口
系统管理-物理网络接口1Vlan接口
系统管理- 802.3ad汇聚接口1
系统管理- 802.3ad汇聚接口2
802.3ad 两端设定使用状态
Active Passive Static