飞塔防火墙OS4.0最新配置手册

系统概述OS4.0初始化–教室INTERNETIntranet192.168.11.0/24192.168.10x.0/24192.168.20x.0/24ServerNetwork192.168.3.0/24ClassServerGatewayFirewallFortiAnalyzerPrivateNetwork10.0.x.0/24StudentPC实验拓扑图新增UTM菜单项•病毒检测、IPS、Web过滤器、反垃圾邮件、DLP、ApplicationControl设置都移至UTM菜单下•IM/P2P/VOIP功能并入Applicationcontrol•IM用户控制移至设置用户-本地-IM新增UTM菜单项——保护内容表•保护内容表也做相应的调整新增UTM菜单项——病毒检查病毒检测由原有的主菜单变成子菜单新增UTM菜单项——入侵防护新增UTM菜单项——Web过滤新增UTM菜单项——DLP新增UTM菜单项——ApplicationControlWebUI定制化(1)——新建授权表显示和隐藏预览WebUI定制化(2)——隐藏已有菜单项•隐藏后变成虚的，在使用该内容表的管理员登录后，就看不到该菜单项WebUI定制化(3)——新建菜单项•点击下侧的+，则会添加菜单项•点击菜单的右侧向下箭头，可以隐藏该菜单或者创建子菜单项WebUI定制化(4)——新建页面为子菜单建立页面，该页面上可以添加各种功能模块WebUI定制化(5)——布局和功能模块•设计布局和内容只适用于自己定制的子菜单项，不能对内置的菜单项和子菜单项进行修改。•内置的菜单项可以掩藏。WebUI定制化(6)——保存和效果•保存当前的设置，然后将该保护内容表赋予某管理员•用该管理员帐号登录实验一，定制管理界面定制一个只有防火墙和路由功能的管理界面检测未经许可的无线接入点（AP）检测非法AP•FortiOSv3.00：不支持•FortiOSv4.00：FWF-50B和FWF-60B支持。但目前还不支持完整的WIDS/WIPS。•作用：发现网络中有意或无意部署的，未经许可的AP。•列表中的AP分为2种状态，已许可和未许可。•标识为何种状态由管理员决定。设置默认状态•System/Wireless/RogueAP菜单下，所有的AP默认处于未许可状态。检测到的AP将被列出以下参数•检测到的时间和日期•信号强度•802.11a/b/g/n参数•Ssid/Bssid•MAC地址检测非法AP两种模式监控模式(Monitor)•该模式下，FWF专注于无线信号扫描•此时FWF无法作为AP或无线客户端•无线接口被隐藏•FWF持续扫描无线频道后台扫描模式(BackgroundScan)•当FWF处于AP工作状态时，可以同时使用后台扫描模式•当无线频道空闲时，开始信号扫描与AP相关的SNMP和日志•SNMP可以发送“RogueAccessPointdetected”trap信息。•此信息不会包括被发现AP的细节。•当发现AP时，会产生一条新的事件日志，该日志中包括SSID/BSSID信息。如何设置FWF50B3G07503140#configsystemwirelesssettingsFWF50B3G07503140(settings)#setmodeAPAPCLIENTCLIENTSCANSCAN获得当前检测后状态FWF50B3G07503140#getsystemwirelessdetected-apSSIDBSSIDCHANRATES:NINTCAPSACTLIVEAGEFORTINET-Pr...06:1a:2a:01:8c:27254M19:0100EPSsY450RSNWMEATHFORTINET-Pu...00:12:bf:14:fa:86354M26:0100ESsY3920WMEATHfortinet00:1a:2a:ad:05:3b554M70:0100ESsY3920WMEATHfortinet00:0d:88:e5:74:cc554M54:0100ESsY3920fortinet00:12:bf:16:64:17554M70:0100ESsY3920WMEATHfortinet00:0d:88:e7:33:03554M41:0100ESsY3910fortinet00:12:bf:2c:d6:cd554M60:0100ESsY3910WMEATHFORTINET-Pu...00:1a:2a:01:8c:27254M20:0100ESsY3890WMEATHFORTINET-Pu...00:c0:a8:d1:11:22254M9:0100ESsY1023WMEATHTechnofi00:1f:33:73:7a:ca1154M-3:0100EPSsY55WPAWMEATHFWF50B3G07503140#扫描行为•当FWF扫描一个频道时，无线芯片将会从当前工作频道切换到被扫描频道。•FWF广播一个探测请求，并等待20毫秒。•20毫秒之后，FWF会切换到下一个待扫描的频道：收到其它AP的响应150ms仍然没有收到任何响应•在监控(Monitor)模式下（GUI下设置为monitoring），FWF持续扫描所有的频道。•管理员通过勾选一个复选框来将一个AP标识为允许状态•未经许可（非法）AP将显示红色背景•AP在线与否由列前的图标显示后台扫描模式•假设FWF硬件支持一下N个频道：B1B2...Bn，而AP当前工作频道是Cx，当前的扫描顺序如下：•B1CxB2B3CxCxCxB4Cx...BnCxCxCx......CxB1B2CxB3CxCxB4Cx...BnCxCxCx|---------------------循环--------------------|FWF只有在Cx频道空闲时才会开始扫描。空闲时间是根据最近收到的数据包计算出来的。Beacon或其他802.11管理包并不考虑在内。空闲时间参数也可以设置。bgscan-idle可设置为100-1000ms，缺省值是250ms。如果WLAN非常繁忙，任何两个数据包之间的间隔都小于这个值，后台扫描就不会开始。在第一个循环中，当B3扫描完成后，必须等待AP空闲之后才能开始B4扫描。如果WLAN不是非常繁忙，FWF可以连续扫描多个频道，例如B2-B3。如果这个参数设置得过长，有可能导致FWF永远没有机会进行频道扫描；如果设置得太短，会因为频繁的扫描导致更多的丢包。•当FWF完成对所有频道的扫描，它将等待一段时间，然后开始新一轮循环。这个时间段是根据上一次扫描Bn到下一次扫描B1的间隔计算出来的。这个值也可以修改。bgscan-interval可设置为15-3600秒，缺省值是120秒。如果参数设置过高，FWF有可能漏掉那些偶尔使用的非法AP。虚拟IP的间隔式ARP广播虚拟IP的间隔式ARP广播•通过配置发送ARP广播的方式让路由器自动地更新ARP表。通过命令行可以设置发送ARP广播的频率。间隔时间设置为0时，则关闭ARP广播configfirewallvipeditnew_vip(configurethevirtualIP)setgratuitous-arp-intervalinterval_secondsend虚拟IP的ARP广播虚拟IP的免费ARP•可以设置周期性地发送免费ARP•默认是禁用的gratuitous-arp-interval=0•可以在一定程度上防御ARP欺骗？configfirewallvipeditwebsetextip10.174.1.80setextintfexternalsetportforwardenablesetgratuitous-arp-interval10setmappedip192.168.183.1setextport80setmappedport80nextend实验-ARP攻击防御Modem拨入Modem拨入•TOP3533。只支持FG60B和FWF60BconfigsystemdialinsvrFGT60B3907517270(dialinsvr)#set*statusenable/disabledial-in-server*server-ipIPassignedtoserver*client-ipIPassignedtoclient*usrgrponlyusersinthisusergroupcandialin*allowaccessAllowmanagementaccesstotheinterfacemodem-devchoosewhichmodemdevicetouseModem拨入——例FG60B端的设置分配给Modem的IP分配给客户端的IP设置管理权限设置用户Modem拨入——例•客户端的设置Modem拨入——例拨号之后PC就可以获得IP地址，通过访问所设置的服务器IP，就可以对FortiGate进行管理AMCBypassAMCBypass•测试过build92和141均无法支持AMC-CX4，无法切换到正常模式，只能停留在Bypass模式上configsystemamcsetsw1asm-cx4setwatchdog-recovery[enable|disable}setwatchdog-recovery-periodholddown_timeEndAMC诊断工具的使用•Diagnose