飞塔防火墙的防火墙策略

防火墙策略Course301二层协议的穿越——基于接口控制•非ip的二层协议的穿过•FortiGate本身不能够参与STP协议，但是可以设置其通过•控制vlan数据包是否直接放过•控制arp广播包穿过configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend多播流量的控制多播流量在缺省状态下不能透明穿越防火墙部署多播策略允许多播流量可以对多播流量进行nat在透明模式下，也可以不通过策略方式，而直接设置全局选项multicast-forwardenable是否更改多模的ttl基于RADIUS的防火墙认证•FortiGate作为networkaccessserver(NAS)用户信息被送到RADIUSserver用户的认证取决于服务器的响应•对象识别识别IP地址和共享密钥，最多支持两个RADIUSservers•RADIUS对象可以用来所有的服务的认证•Admin用户的Radius认证软交换接口(1)——概念•软交换接口模式•在物理接口之间创建桥连接•每个软交换接口可以指定一个逻辑IP地址•MR6中只能使用命令方式配置•不能用于HAmonitor或心跳接口软交换接口(2)——配置•在MR7加入GUI支持configsystemswitch-interfaceeditswitch-1setmemberport4port5nextendconfigsysteminterfaceeditswitch-1setvdomrootsetip10.166.0.204255.255.254.0setallowaccesspinghttpssettypeswitchnextend软交换接口(3)———GUI视图•GUI视图•Ports4&5被从接口列表中删除•只有空接口可以被加入到软交换接口•已有任何配置的接口（如DNS转发、静态路由、防火墙策略等）的接口都不能加入软交换接口组软交换接口(4)——数据包行为•软交换接口组中各接口之间的流量无需防火墙策略控制•软交换接口被视为一个物理接口，就像链路聚合接口一样•可以在软交换接口上配置VLAN接口软交换接口(5)——注意事项•所有的物理接口都可以加入到软交换接口中标准接口FA2接口NP2接口无线接口(FortiWiFi)•以上接口可以在软交换接口中混合存在•FortiGate不参与spanningtree不发送STP包不接收STP包•因此需要注意LOOPS可能产生!!!软交换接口(6)——NAT/Route方案L2switchL2switch交换机所有接口上都启用SpanningtreeIPbroadcast软交换接口(7)——避免Loop•为了避免loop，需要开启FortiGate接口上的stpforward•配置软交换组中的物理接口================================================================================PortStg================================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/13128blockingtruefalse1012trueconfigsysteminterfaceeditport3setvdomrootsetstpforwardenable软交换接口(8)——Troubleshooting•Sniffing可以在物理或软交换接口上使用如果在软交换接口上使用sniffer命令，内部的交换流量不会捕获#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]软交换接口(9)——转发表(FDB)•检查软交换接口的FDB#diagnetlinkbrctllistlistbridgeinformation1.switch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswitch-1host.fdb:size=256,used=6,num=6,depth=1,simple=yesBridgeswitch-1hosttableportnodevicedevnamemacaddrttlattributes313AMC-SW1/200:03:4b:4f:ac:b81313AMC-SW1/200:09:0f:67:75:150LocalStatic313AMC-SW1/200:0c:29:f1:de:2a015port400:09:0f:67:69:f90LocalStatic15port400:0c:29:1e:12:be015port400:15:c6:c9:5b:872914TACACS——概要•TACACS协议组TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草•AAA结构TACACS——与RADIUS比较15TACACS+RadiusTCP/49UDP认证/授权可分离认证授权结合完全加密仅密码部分加密可用于路由器管理会话授权TACACS——与RADIUS比较16TACACS——FortiOS•TACACS+认证(MR6)所有可以使用用户认证的功能(firewallpolicy,administratoraccounts,VPNs)•GUI视图17TACACS+Server-CiscoSecureACS19TACACS——配置•CLIconfigusertacacs+edittac+router1setkeyfortinetsetserver192.168.183.1nextEndFGT100-1(tac+router1)#setauthen-typechoosewhichauthenticationtypetouse*keypassword_strkeytoaccesstheserverportportnumberoftheTACACS+server*server{name_str|ip_str}serverdomainnameorip20TACACS——Troubleshooting•diagdebappfnambd7•diagtestauthservertacacs+serverProfileuserpassFGT100-1#diagtestauthservertacacs+tac+router1user1fortinetfnbamd_fsm.c[846]handle_req-Rcvdauthreq0foruser1intac+router1opt=15prot=8fnbamd_tac_plus.c[326]build_authen_start-buildingauthenstartpackettosendto192.168.183.1:authen_type=2(pap)fnbamd_tac_plus.c[417]tac_plus_result-waitingauthenreplypacketfnbamd_fsm.c[269]fsm_tac_plus_result-Continuependingforreq0fnbamd_tac_plus.c[381]parse_authen_reply-authenresult=1(pass)fnbamd_comm.c[129]fnbamd_comm_send_result-Sendingresult0forreq0authenticateuser'user1'onserver'tac+router1'succeededZone——将多个接口组织起来简化防火墙策略•使用区域可以将相关联的接口与VLAN子接口划分为组进行管理。将接口与子接口分组管理简化了策略的创建。可以直接配置防火墙策略控制往来于区域的连接，而不是对区域中每个接口。•您可以在区域列表中添加区域，更改区域的名称、编辑及删除区域。添加区域时，选择添加到该区域的接口与VLAN子接口的名称。•区域可以添加到虚拟域中。如果FortiGate配置中添加了多个虚拟域，在添加或编辑区域之前确认已经配置了正确的虚拟域。•区域内是否允许相互通讯，缺省状态是允许实验一基于Radius的管理员认证•设置管理员ccadmin，基于Radius服务器192.168.3.1进行认证实验二软交换接口将internal和wan2接口设置为交换接口，ip为10.0.X.254，设置策略允许内网访问Internet