FortiGate防火墙产品培训

FortinetConfidentialFortiGate防火墙产品培训FortinetConfidential第一天产品介绍FortiGate配置.FortiGate系统管理.路由.防火墙功能.UTM功能.VPN内容和时间安排FortinetConfidential第二天FortiGate配置.用户管理.终端控制.WAN优化.无线控制器.日志与报告.HA配置和管理部署运行维护建议故障排错第三天实验测试FortinetConfidentialFortiGate-50B–FortiGate-100ASMB&RemoteOfficeFortiGate-200A–FortiGate-800FEnterpriseFortiGate-1000A–FortiGate-5000Carrier,MSSP&LargeEnterpriseFortiClient产品介绍-日志服务器、集中管理服务器、安全客户端FortiAnalyzerFortiManagerFortinetConfidential产品介绍-全面的安全功能●防火墙、VPN、入侵防护、防病毒、Web分类过滤、垃圾邮件过滤、应用控制、带宽控制FortinetConfidential产品介绍-FortiGuard分布式威胁特征更新服务器●通过FortiGuard全球分布式服务器，及时更新威胁特征库FortinetConfidential系统结构●CPU:系统管理,路由,新建会话,非FA2,NP2,NP4接口的流量处理等●内存:运行系统软件,存储路由表、会话表,记录日志等●Flash卡:存放FortiOS版本,配置文件,系统运行事件日志●CP芯片:内容处理芯片,病毒特征/IPS特征查找,IPSecVPN加解密等●FA2,NP2,NP4芯片:网络处理芯片,同步复制已建立的会话后,独立处理转发流量,减少CPU消耗●硬盘:有些型号没有(如FG110C,FG310B),有些型号固定配置(如FG111C,FG311B),有些型号可选配(如FG1240B,FG3040B),主要记录各种日志信息●电源:中高端支持冗余双电源(FG310B-RPS,FG620B-RPS)●FortiOS软件版本安全专用操作系统FortinetConfidential设备物理结构FG5005FA2，FG51406个千兆普通SFP非加速接口2个千兆SFPFA2加速接口FortinetConfidential设备物理结构FG1240B24个千兆NP加速SFP接口14个千兆NP加速铜口6个FSM扩展插槽Console及USB接口AMC扩展插槽2个千兆普通非加速接口FortinetConfidential设备物理结构FG1240B电源1电源2风扇1风扇2风扇3风扇指示灯风扇指示灯FortinetConfidential设备物理结构FG1000A/FA210个千兆普通非加速接口2个千兆SFPFA2加速接口FortinetConfidential设备物理结构FG310BConsole口8个千兆NP加速接口USB接口2个千兆普通非加速接口AMC插槽FortinetConfidential设备物理结构FG110CConsole口2个千兆接口8个百兆接口USB接口FortinetConfidentialFortiGate路由模式Internal110.11.101.0/24Internal2192.168.1.0/24Port1Port2Wan10.11.101.1192.168.1.159.108.29.182NAT/RouteModeFortinetConfidentialFortiGate透明模式TransparentModeInternal110.11.101.0/24Internal2192.168.1.0/24Port1Port2Wan59.108.29.159.108.29.184●所有接口都在同一广播域,通过二层MAC地址转发处理流量,易于部署,不需要改变原来的网络结构。不支持PPTP、L2TP、SSL、GREVPN，支持IPSecVPNFortinetConfidential防火墙-透明模式下的多播流量MulticastMulticast●在透明模式下，比较常见的环境，OSPF、视频会议等多播流量流经防火墙的场景中，需要启用多播流量转发。或建立多播策略运行指定多播地址通过。configsystemsettingssetopmodetransparentsetmulticast-skip-policyenable#默认为关闭endFortinetConfidential虚拟域●虚拟域就是将一台物理防火墙的不同接口放入不同的虚拟系统,不同的虚拟系统之间相互隔离,各虚拟系统就像一台独立的防火墙。●一台物理防火墙上可以同时有路由模式的虚拟域和透明模式的虚拟域,即混合模式。●缺省一台物理防火墙支持10个虚拟域，FG3000以上型号可购买增加到25,50,100,250个虚拟域的许可。●使用虚拟域后日志、病毒特征库/入侵防护特征库/更新Web分类查询、SNMP管理要通过一个定义为管理域的虚拟域完成。FortinetConfidential数据包处理流程1.查看路由表,无路由表，丢弃2.有路由表，查看会话,会话存在则直接从接口发出3.没有会话存在,查看策略,策略不允许,丢弃4.策略允许,建立会话,转发数据流●与路由器的主要不同,要建立和维护会话状态表●数据包流程●diagnosedebugflow查看数据包流程细节FortinetConfidentialFortiGate软件版本●版本命名3.7.10---3.0MR7Patch104.2.10---4.0MR2Patch10(4.0以后的管理界面有较大变化)4.3.5---4.0MR3Patch5●查看版本FG400A2904500473#getsysstatusVersion:Fortigate-400A3.00(主版本),build0754(发布序号),101027(发布日期)FG800F_92#getsysstatusVersion:Fortigate-800Fv4.0,build0338,111206(MR2Patch10)●本次培训以4.2版本为主FortinetConfidential设备初始配置4.2版本FortinetConfidential系统管理-系统信息FortinetConfidential系统管理-设备操作FortinetConfidential系统管理-系统资源FortinetConfidential系统管理-会话排行榜FortinetConfidential会话排行榜细节FortinetConfidential系统管理-会话排行榜细节FortinetConfidential系统管理-网络接口FortinetConfidentialFG800F_92(port1)#shoconfigsysteminterfaceeditport1setvdomrootsetip192.168.118.231255.255.255.0setallowaccesspinghttpssshsnmphttptelnetsetgwdetectenablesetdetectserver192.168.118.1settypephysicalsetaliasinsidenextendFG800F_92(port1)#●FortiGate的主要配置都可在Web管理界面配置,用些功能需要在CLI命令行下配置命令行下show显示增加和更改的配置,get和showfull显示包括缺省配置在内的所有的配置Web配置-CLI配置FortinetConfidentialFG800F_92#configsystemglobalFG800F_92(global)#shoconfigsystemglobalsetadmintimeout333setfgd-alert-subscriptionadvisorylatest-threatsetgui-ipv6enablesethostnameFG800F_92setlanguagesimchsettcp-halfopen-timer190settimezone55endFG800F_92(global)#FortinetConfidential查看接口工作状态FG800F_92#diagharddevnicport1DescriptionIntel(R)PRO/100MDesktopAdapterDriver_Namee100Driver_Version2.1.29PCI_Vendor0x8086PCI_Device_ID0x1229PCI_Subsystem_Vendor0x8086PCI_Subsystem_ID0x0070PCI_Revision_ID0x0010PCI_Bus10PCI_Slot6IRQ6System_Device_Nameport1Current_HWaddr00:09:0F:09:00:04Permanent_HWaddr00:09:0F:0C:67:CCPart_Numbera80897-003Linkup;实际工作状态Speed100DuplexfullFlowControlreceive/transmitStateup;配置Rx_Packets23543172Tx_Packets24694448Rx_Bytes4062101470Tx_Bytes1222105743Rx_Errors0Tx_Errors14Rx_Dropped0Tx_Dropped0MulticastN/ACollisions0……FG800F_92#FortinetConfidential系统管理-物理网络接口1FortinetConfidential系统管理-物理网络接口2FortinetConfidential系统管理-Vlan接口FortinetConfidential系统管理-802.3ad汇聚接口1FortinetConfidential系统管理-802.3ad汇聚接口2ActivePassiveStaticActive建议使用工作不工作Passive工作不工作不工作Static不工作不工作建议使用●802.3ad两端设定使用状态FortinetConfidential●查看该聚合链路的工作状态diagnosenetlinkaggregatename聚合接口名称●交换机端的配置和查看工作状态interfacePort-channel1!interfaceGigabitEthernet0/1channel-group1modeactive!interfaceGigabitEthernet0/2channel-group1modeactiveSwitch#showlacpinternalFlags:S-DeviceisrequestingSlowLACPDUsF-DeviceisrequestingFastLACPDUsA-DeviceisinActivemodeP-DeviceisinPassivemodeChannelgroup1LACPportAdminOperPortPortPortFlagsStatePriorityKeyKeyNumberStateGi0/1SAbndl327680x10x10x10x3DGi0/2SAbndl327680x10x10x20x3DFortinetConfidential系统管理-冗余接口1FortinetConfidentialRouter1Router2Router1Router2主接口失效后，冗余接口中的其他接口将激活正常情况，只有冗余接口的主接口处于工作状态。主接口失效后，冗余接口2开始工作。系统管理-冗余接口2FortinetConfidential系统管理-区ZoneFortinetConfidential系统管理-DHCP服务器FortinetConfidential系统管理-Fort