高雄應用科技大學 有線網路建置實習(III)

Slides:



Advertisements
Similar presentations
南投縣教育網路專案 建置說明 2016/7/11 D-Link Taiwan 台中技術支援課 工程師 林俊佑 #23 Version 1.03.
Advertisements

校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
第 4 章 网络层.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
伺服器網路檢測與管理 資訊中心網路管理組 王裕仁 2006/06/29.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
第六章 在华为路由器上配置动态路由OSPF协议(实训)
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
實驗六 路由器操作設定實驗 教師: 助教:.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
校園網路管理實電務 電子計算機中心 謝進利.
Netman Linux 的防火牆設計與應用 Netman
路由协议配置 1.0 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第一章 網路攻防概述.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
網路基本概念與設定方法 林文宗 資管系助理教授
宽带路由器配置与应用.
网络地址转换(NAT) 及其实现.
FortiGate Multi-Threat Security Systems
第 6 章 IP 遶送.
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
David liang 数据通信安全教程 防火墙技术及应用 David liang
利用 ISA Server 2004 建置應用層防護機制
高雄應用科技大學 有線網路建置實習(I) 聯易科技股份有限公司 Ben 李政勳
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Transparent proxy 班級:資傳四A 組員:林佳辰 陳星宇 邱鈺翔
第 16 章 Internet架構.
ARUBA 無線網路教育訓練.
TCP協定 (傳輸層).
陈开恒 交换机及 虚拟局域网 组网技术 陈开恒
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
DGS-1510 基隆教網教育訓練文件.
高雄應用科技大學 基礎網路建置實習 聯易科技股份有限公司 Ben-李政勳
HiNet 光世代非固定制 用戶端IPv6設定方式說明
RG-N18000K.
第 2 章 TCP / IP 簡介.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
網路探測:路徑、延遲 與流量統計 Instructor: Teaching Assistant:.
CISCO基本指令 課程補充教材.
Windows 2003 server 進階介紹 麋鹿.
网络系统集成技术 访问控制列表 Access Control List 第七章.
TCP/IP介紹 講師:陳育良 2018/12/28.
無線路由器(AP)管理.
OpenID與WordPress使用說明
江西财经大学信息管理学院 《组网技术》课程组
App Inventor2呼叫PHP存取MySQL
NetST®防火墙培训教程 清华得实® 保留所有权利.
E地通VPN设备部署.
第二章 防火墙基础技术.
项目四 网络隔离与广播风暴控制.
第11章 網路的設定與測試.
Firewall-pfsense Mars Su
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
第4章 网络层.
IP Layer Basics, Firewall, VPN, and NAT
第10讲 Web服务.
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
擷取封包 Files  Select Settings 擷取封包 擷取封包 擷取封包.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
第 4 章 网络层.
Presentation transcript:

高雄應用科技大學 有線網路建置實習(III) 聯易科技股份有限公司 李政勳 ben_lee@netease.com.tw

什麼是防火牆? 安全機制,用來隔離兩個安全信任度不同的網路。

什麼是防火牆?

什麼是防火牆? 形成內部網路與網際網路的咽喉點(Choke Point),落實安全性政策。 有效的控管非必要或有安全性疑慮的封包。 記錄及監控內部與網際網路活動。 偵測與避免非經授權者存取組織單位網路資源。 避免耗費大量公開位址。 避免內部網路資訊直接暴露在外。

什麼是防火牆? 軟體式 Windows防火牆、linux ip tables、防毒軟體 硬體式 獨立硬體設備

什麼是防火牆? Route Mode 路由器 各Port(網段)政策控管 NAT Transparent Mode 進與出的政策控管

什麼是防火牆? Route Mode

什麼是防火牆? Transparent Mode

什麼是防火牆? 防火牆無法控管或監控未經過自己的封包

管制模式 全面管制 全部開放 全部deny,只針對需要的ip及協定做允許封包通過的政策設定 安全性高,執行不易 全部permit,只針對特定的ip及協定做阻擋封包通過的政策設定 安全性低,較不容易碰到網路問題

政策規則 First Match

防火牆功能 DHCP

防火牆功能 NAT

防火牆功能 Mapping 讓user可透過public ip及protocol對應到內部ip

防火牆功能 Mapping

防火牆功能 VPN 在防火牆上建立一個虛擬介面,可透過這介面直接與其他內部網路連線

連線方式 Fortigate

連線方式

連線方式 CLI介面: console、telnet、ssh WEB介面: 透過browser,http or https

Fortigate預設值 為Route/NAT模式 Internal interface 192.168.1.99/24 預設管理帳號密碼: 允許 https, http, ssh, ping 預設管理帳號密碼: Name: admin Password: 無

登入介面 將電腦IP 設定為192.168.1.0 / 24 內的IP(or DHCP) 將電腦介接在Fortigate的Internal port或port1內(視機型而定) 以 https://192.168.1.99 WEBGUI介面進入fortigate Name 輸入 “admin”, Password留空白, 按”Login” 登錄

登入畫面 1

登入畫面 2

Fortigate – 設定流程概述(共三階段) 第一階段 設定網路介面IP (Route/NAT, transparent) 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則) 訂定網路介面其他相關設定 Route/NAT, Transparent(透通)模式設定Default Route

步驟1 – Route / NAT 模式下設定IP

步驟1 – Route / NAT 模式下設定IP 編輯Interface 1.更改IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新  以Web GUI和所更改的IP連  接Fortigate

步驟1 – Route / NAT 模式下設定IP 或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip 10.1.1.254 255.255.255.0 (internal)# end

Status – 如何改為 Transparent 模式 或是使用Command: #Config sys setting (setting)#set opmode transparent

步驟1 – Transparent 模式設定管理IP 可由internal port或port1(視機型而定)進入管理

步驟1 – Transparent模式下設定IP 或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip 10.1.1.254 255.255.255.0 (internal)# end

步驟1 – 制定防火牆規則 Firewall -> Policy -> Create New

步驟1 – 制定閘道模式防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策

步驟1 – 制定通透模式防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策

步驟1 – 制定防火牆規則 已預建了一條 “內到外 NAT” 的防火牆政策 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

步驟1 – Route / NAT, Transparent 設定 Default Route Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. Transparent模式,則如同Fortigate本身的預設閘道(Gateway)

System - Network 網路介面細項 定義802.1Q VLAN 虛擬網路埠 DNS及DDNS設定 Zones 概述

步驟1 – 訂定網路介面其他設定 定義位址(Address) 手動 (static IP address) DHCP PPPoE 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP

步驟1 – 訂定網路介面其他設定 Network - Interface Overview

步驟1 – 訂定網路介面其他設定 Network – interface - Manual Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選管理權限

步驟1 – 訂定網路介面其他設定 Network – interface – PPPoE 勾選”Retrieve default gateway from server”

Network – Interface – Create New 建立新的VLAN網路介面 填入VLAN ID (802.1Q) 填入VLAN IP

Network – DNS 設定 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢 Fortigate可當作 DNS relay(DNS request 轉送),當有DNS 查詢封包時,fortigate 會將封包轉送到所設定的DNS server

步驟1 – 訂定網路介面其他設定 Network – Interface - DDNS設定 必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

Router - Static 定義根據目的IP該轉送到哪個gateway或哪個網路介面,此畫面所定義的路由為default route

Router - Policy 概述 可根據下列方式傳送封包: source address 來源位址 protocol, service type, or port range 通訊協定, 服務類別,或通訊埠範圍 Incoming Interface and source IP address 來源埠和來源位址 政策路由表是個別獨立的 Ping server (DGD) 必須在outgoing Interface 中啓動

Routing Table List 在Route/NAT模式中,檢視各個路由的狀況和資訊

Fortigate – System 項目 快速了解系統設定和運作 備份和還原設定 Maintenance 維運 Troubleshooting 了解問題癥結 備份和還原設定 Configuration settings

System – Status 監控 Fortigate 系統狀態

Status – Session 監控網路連線狀態

System - Config Time - 設定時間及時區 Options – 有關管理及語言等設定 HA (High Available)概述 Admin – 管理者及管理權限設定 SNMP v1/v2c – 網管設定概述 Replacement Message – 取代訊息設定

System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇

System – Config - Options 可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔

System – Config - HA 概述 Route mode跟透通模式哪個較需要HA?

System – Config - SNMP v1/v2c 概況

System – Config - Fortimanager

System - Admin Administrators Access Profile Add administrator accounts (up to 12) Access Profile

System – Admin - Administrators

System – Admin - Access Profile

System - Maintenance Backup & Restore Firmware Support Shutdown

System – Maintenance - Contract

System – Maintenance - Backup & Restore 系統自動設定備份

Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out

Firmware 升級 (Console) Fortigate port1 或internal port 與電腦對接 在電腦中啓動 TFTP Server 以console方式連接 fortigate serial port

System – Maintenance - Shutdown

System – Maintenance - Support http://support.fortinet.com 用於回報BUG和購買後的產品註冊

System – Virtual Domain 概述 什麼是VDOM? FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

System – Virtual Domain 概述 無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設可建 10 個 virtual domains FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

紀錄與報表

紀錄和報表 Log Config – 記錄設定 Log Access – 查詢記錄

步驟3 – 設定記錄要存放的位置 FG-60B,FG-310B沒有Hard disk,只能存放在memory. 若是有硬碟的機型,則可選擇存放在Hard disk 或是將log轉送到可收syslog的伺服器 若要留下所有相關記錄,Level要選擇information

步驟3 –設定需要保留的記錄 啟動系統的事件記錄 (Even Log)

步驟3 –設定Policy 與 AntiVirus 的記錄

設定紀錄存放的位置 Remote Syslog Server WebTrends Server Local Disk Memory Buffer FortiAlanyzer Appliance

紀錄的種類 Select log types and filter options for each location

觀看紀錄 可直接查看存放在記憶體或硬碟, 以及 FortiAnalyzer 中的記錄資料

搜尋紀錄

紀錄的格式 Log header 紀錄表頭 Log body 紀錄內容 FortiGate log主要由兩大部分組成 1 2010-12-14 22:14:05 log_id=0021000002 type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src=192.168.11.2 srcname=192.168.11.2 src_port=1163 dst=66.235.133.33 dstname=66.235.133.33 dst_port=80 tran_ip=220.134.20.85 tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129 rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6 vpn="N/A" src_int="internal" dst_int="wan1" SN=6648 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A" (每一筆紀錄在fortigate中皆為單一行顯示)

警訊信件設定 支援SMTP認證 需設定fortigate上DNS參數 最多可設定三名收件人

發送警訊信件設定 訂定發生事件後延遲發信的時間 選擇何種事件等級引發發信動作 選擇哪些事件要發email通知

附錄 . Fortigate 常用指令 網路介面相關指令 -設定速率                指定介面 設定速率

附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數 網路介面相關指令 -設定介面其他參數                              Fortigate# get sys int 可獲知目前介面參數設定

附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數  (Secondary IP)                            

附錄 . Fortigate 常用指令 IP-MAC結合功能  - 模式設定                             設定封鎖條件 未定義之IP處理方式

附錄 . Fortigate 常用指令 IP-MAC結合功能 -定義IP MAC對應表 新增資料筆數 設定IP 設定MAC 設定名稱 此筆資料啟用狀態

附錄 . Fortigate 常用指令 IP-MAC結合功能  -啟用介面IP MAC Binding功能

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal 監聽”internal” interface 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal ‘host 172.16.30.11’ 監聽”internal” interface 上有關IP 172.16.30.11 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal ‘tcp and port 80’ 監聽”internal” interface 上所有TCP Port 80 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 - system top Fortigate# diag sys top 檢視系統CPU使用狀況

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Session Clear Fortigate# diag sys session clear 清除目前所有Fortigate上的session 注意 : 此動作會造成所有連線斷線 Fortigate# exec ping 168.95.1.1 執行Ping的動作 Fortigate# exec trace 168.95.1.1 執行Trace route的動作 Fortigate# exec reboot 執行系統reboot