高雄應用科技大學 有線網路建置實習(III) 聯易科技股份有限公司 李政勳 ben_lee@netease.com.tw

什麼是防火牆? 安全機制，用來隔離兩個安全信任度不同的網路。

什麼是防火牆?

什麼是防火牆? 形成內部網路與網際網路的咽喉點(Choke Point)，落實安全性政策。 有效的控管非必要或有安全性疑慮的封包。 記錄及監控內部與網際網路活動。 偵測與避免非經授權者存取組織單位網路資源。 避免耗費大量公開位址。 避免內部網路資訊直接暴露在外。

什麼是防火牆? 軟體式 Windows防火牆、linux ip tables、防毒軟體 硬體式 獨立硬體設備

什麼是防火牆? Route Mode 路由器 各Port(網段)政策控管 NAT Transparent Mode 進與出的政策控管

什麼是防火牆? Route Mode

什麼是防火牆? Transparent Mode

什麼是防火牆? 防火牆無法控管或監控未經過自己的封包

管制模式 全面管制 全部開放 全部deny，只針對需要的ip及協定做允許封包通過的政策設定 安全性高，執行不易 全部permit，只針對特定的ip及協定做阻擋封包通過的政策設定 安全性低，較不容易碰到網路問題

政策規則 First Match

防火牆功能 DHCP

防火牆功能 NAT

防火牆功能 Mapping 讓user可透過public ip及protocol對應到內部ip

防火牆功能 Mapping

防火牆功能 VPN 在防火牆上建立一個虛擬介面，可透過這介面直接與其他內部網路連線

連線方式 Fortigate

連線方式

連線方式 CLI介面: console、telnet、ssh WEB介面: 透過browser，http or https

Fortigate預設值 為Route/NAT模式 Internal interface 192.168.1.99/24 預設管理帳號密碼: 允許 https, http, ssh, ping 預設管理帳號密碼: Name: admin Password: 無

登入介面 將電腦IP 設定為192.168.1.0 / 24 內的IP(or DHCP) 將電腦介接在Fortigate的Internal port或port1內(視機型而定) 以 https://192.168.1.99 WEBGUI介面進入fortigate Name 輸入 “admin”, Password留空白, 按”Login” 登錄

登入畫面 1

登入畫面 2

Fortigate – 設定流程概述(共三階段) 第一階段 設定網路介面IP (Route/NAT, transparent) 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則） 訂定網路介面其他相關設定 Route/NAT, Transparent(透通)模式設定Default Route

步驟1 – Route / NAT 模式下設定IP

步驟1 – Route / NAT 模式下設定IP 編輯Interface 1.更改IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新 　以Web GUI和所更改的IP連 　接Fortigate

步驟1 – Route / NAT 模式下設定IP 或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip 10.1.1.254 255.255.255.0 (internal)# end

Status – 如何改為 Transparent 模式 或是使用Command： #Config sys setting (setting)#set opmode transparent

步驟1 – Transparent 模式設定管理IP 可由internal port或port1(視機型而定)進入管理

步驟1 – Transparent模式下設定IP 或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip 10.1.1.254 255.255.255.0 (internal)# end

步驟1 – 制定防火牆規則 Firewall -> Policy -> Create New

步驟1 – 制定閘道模式防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式，則不會有 NAT選項 按”OK”建立防火牆政策

步驟1 – 制定通透模式防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式，則不會有 NAT選項 按”OK”建立防火牆政策

步驟1 – 制定防火牆規則 已預建了一條 “內到外 NAT” 的防火牆政策 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

步驟1 – Route / NAT, Transparent 設定 Default Route Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. Transparent模式,則如同Fortigate本身的預設閘道(Gateway)

System - Network 網路介面細項 定義802.1Q VLAN 虛擬網路埠 DNS及DDNS設定 Zones 概述

步驟1 – 訂定網路介面其他設定 定義位址(Address) 手動 (static IP address) DHCP PPPoE 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP

步驟1 – 訂定網路介面其他設定 Network - Interface Overview

步驟1 – 訂定網路介面其他設定 Network – interface - Manual Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選管理權限

步驟1 – 訂定網路介面其他設定 Network – interface – PPPoE 勾選”Retrieve default gateway from server”

Network – Interface – Create New 建立新的VLAN網路介面 填入VLAN ID (802.1Q) 填入VLAN IP

Network – DNS 設定 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢 Fortigate可當作 DNS relay（DNS request 轉送),當有DNS 查詢封包時，fortigate 會將封包轉送到所設定的DNS server

步驟1 – 訂定網路介面其他設定 Network – Interface - DDNS設定 必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

Router - Static 定義根據目的IP該轉送到哪個gateway或哪個網路介面,此畫面所定義的路由為default route

Router - Policy 概述 可根據下列方式傳送封包: source address 來源位址 protocol, service type, or port range 通訊協定, 服務類別,或通訊埠範圍 Incoming Interface and source IP address 來源埠和來源位址 政策路由表是個別獨立的 Ping server (DGD) 必須在outgoing Interface 中啓動

Routing Table List 在Route/NAT模式中，檢視各個路由的狀況和資訊

Fortigate – System 項目 快速了解系統設定和運作 備份和還原設定 Maintenance 維運 Troubleshooting 了解問題癥結 備份和還原設定 Configuration settings

System – Status 監控 Fortigate 系統狀態

Status – Session 監控網路連線狀態

System - Config Time - 設定時間及時區 Options – 有關管理及語言等設定 HA (High Available)概述 Admin – 管理者及管理權限設定 SNMP v1/v2c – 網管設定概述 Replacement Message – 取代訊息設定

System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇

System – Config - Options 可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔

System – Config - HA 概述 Route mode跟透通模式哪個較需要HA?

System – Config - SNMP v1/v2c 概況

System – Config - Fortimanager

System - Admin Administrators Access Profile Add administrator accounts (up to 12) Access Profile

System – Admin - Administrators

System – Admin - Access Profile

System - Maintenance Backup & Restore Firmware Support Shutdown

System – Maintenance - Contract

System – Maintenance - Backup & Restore 系統自動設定備份

Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out

Firmware 升級 (Console) Fortigate port1 或internal port 與電腦對接 在電腦中啓動 TFTP Server 以console方式連接 fortigate serial port

System – Maintenance - Shutdown

System – Maintenance - Support http://support.fortinet.com 用於回報BUG和購買後的產品註冊

System – Virtual Domain 概述 什麼是VDOM? FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

System – Virtual Domain 概述 無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設可建 10 個 virtual domains FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

紀錄與報表

紀錄和報表 Log Config – 記錄設定 Log Access – 查詢記錄

步驟3 – 設定記錄要存放的位置 FG-60B,FG-310B沒有Hard disk,只能存放在memory. 若是有硬碟的機型,則可選擇存放在Hard disk 或是將log轉送到可收syslog的伺服器 若要留下所有相關記錄,Level要選擇information

步驟3 –設定需要保留的記錄 啟動系統的事件記錄 (Even Log)

步驟3 –設定Policy 與 AntiVirus 的記錄

設定紀錄存放的位置 Remote Syslog Server WebTrends Server Local Disk Memory Buffer FortiAlanyzer Appliance

紀錄的種類 Select log types and filter options for each location

觀看紀錄 可直接查看存放在記憶體或硬碟, 以及 FortiAnalyzer 中的記錄資料

搜尋紀錄

紀錄的格式 Log header 紀錄表頭 Log body 紀錄內容 FortiGate log主要由兩大部分組成 1 2010-12-14 22:14:05 log_id=0021000002 type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src=192.168.11.2 srcname=192.168.11.2 src_port=1163 dst=66.235.133.33 dstname=66.235.133.33 dst_port=80 tran_ip=220.134.20.85 tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129 rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6 vpn="N/A" src_int="internal" dst_int="wan1" SN=6648 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A" (每一筆紀錄在fortigate中皆為單一行顯示)

警訊信件設定 支援SMTP認證 需設定fortigate上DNS參數 最多可設定三名收件人

發送警訊信件設定 訂定發生事件後延遲發信的時間 選擇何種事件等級引發發信動作 選擇哪些事件要發email通知

附錄 . Fortigate 常用指令 網路介面相關指令 -設定速率                指定介面 設定速率

附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數 網路介面相關指令 -設定介面其他參數                              Fortigate# get sys int 可獲知目前介面參數設定

附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數  (Secondary IP)                            

附錄 . Fortigate 常用指令 IP-MAC結合功能  - 模式設定                             設定封鎖條件 未定義之IP處理方式

附錄 . Fortigate 常用指令 IP-MAC結合功能 -定義IP MAC對應表 新增資料筆數 設定IP 設定MAC 設定名稱 此筆資料啟用狀態

附錄 . Fortigate 常用指令 IP-MAC結合功能  -啟用介面IP MAC Binding功能

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal 監聽”internal” interface 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal ‘host 172.16.30.11’ 監聽”internal” interface 上有關IP 172.16.30.11 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal ‘tcp and port 80’ 監聽”internal” interface 上所有TCP Port 80 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 - system top Fortigate# diag sys top 檢視系統CPU使用狀況

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Session Clear Fortigate# diag sys session clear 清除目前所有Fortigate上的session 注意 : 此動作會造成所有連線斷線 Fortigate# exec ping 168.95.1.1 執行Ping的動作 Fortigate# exec trace 168.95.1.1 執行Trace route的動作 Fortigate# exec reboot 執行系統reboot