FortiGate Multi-Threat Security Systems

Slides:



Advertisements
Similar presentations
南投縣教育網路專案 建置說明 2016/7/11 D-Link Taiwan 台中技術支援課 工程師 林俊佑 #23 Version 1.03.
Advertisements

校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
动态网站开发 【HTTP与网络基础】 李博杰
第6章:计算机网络基础 网考小组.
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
Rfc3315 Dynamic Host Configuration Protocol for IPv6 (DHCPv6) 組員: 蔡承翰 A 陳鈺璋 A 翁菘㠙 A 指導老師 吳俊興.
Fortinet产品IDC安全解决方案.
第 8 章 IP 基礎與定址.
高雄應用科技大學 有線網路建置實習(IV)
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
高雄應用科技大學 有線網路建置實習(III)
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
第六章 在华为路由器上配置动态路由OSPF协议(实训)
网络实用技术基础 Internet技术及应用.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
校園網路管理實電務 電子計算機中心 謝進利.
Netman Linux 的防火牆設計與應用 Netman
路由协议配置 1.0 此为封面页,需列出课程编码、课程名称和课程开发室名称。
部署防火墙 v4.3.
網路基本概念與設定方法 林文宗 資管系助理教授
宽带路由器配置与应用.
第 6 章 IP 遶送.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
利用 ISA Server 2004 建置應用層防護機制
高雄應用科技大學 有線網路建置實習(I) 聯易科技股份有限公司 Ben 李政勳
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
(C) Active Network CO., Ltd
计算机网络原理 计算机与信息工程分院 周文峰.
第 16 章 Internet架構.
ARUBA 無線網路教育訓練.
TCP協定 (傳輸層).
第六章 差错与控制报文 (ICMP).
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
32 bit destination IP address
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
系統與網路管理工具.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
DGS-1510 基隆教網教育訓練文件.
第 2 章 TCP / IP 簡介.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
Windows 2003 server 進階介紹 麋鹿.
TCP/IP介紹 講師:陳育良 2018/12/28.
無線路由器(AP)管理.
江西财经大学信息管理学院 《组网技术》课程组
NetST®防火墙培训教程 清华得实® 保留所有权利.
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
第二章 防火墙基础技术.
第十三章 TCP/IP 與 Internet 網路連結技術
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第11章 網路的設定與測試.
Firewall-pfsense Mars Su
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
Speaker : Chang Kai-Jia Date : 2010/04/26
第4章 网络层.
IP Layer Basics, Firewall, VPN, and NAT
第 4 章 网络层.
Presentation transcript:

FortiGate Multi-Threat Security Systems Jacob Chen Fortinet Taiwan SE

Fortigate 管理介面 出廠預設值 透過CLI (command line Interface), 如: console, telnet, ssh. 透過WEB GUI (Graphic User Interface), 如: Internet Explorer 使用http 或 https (SSL).

Fortigate 出廠預設值 為Route/NAT模式 Internal interface 192.168.1.99/24 允許 https, http, ssh, ping External interface 192.168.100.99/24 只允許 ping

Console log in 輸入 admin 並按兩次Enter鍵 會出現”Fortigate-400 #” Bits per second 9600 Data bits 8 Parity None Stop bits 1 Flow control 輸入 admin 並按兩次Enter鍵 會出現”Fortigate-400 #” 輸入 “?” 可看到command

Web Management SSL 介面加密 (Default) 多國語言介面(英文,日文,韓文,簡體中文,繁體中文) 預設Admin帳號: Name: admin Password: 無

Fortigate – 設定流程概述(共三階段) 第一階段 設定網路介面IP (Route/NAT, transparent) 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則) 訂定網路介面其他相關設定 Route/NAT, Transparent模式設定Default Route

Web Log In 將電腦IP 設定為192.168.1.0 / 24 內的IP 將電腦介接在Fortigate的Internal port或port1內(視機型而定) 以 https://192.168.1.99 WEBGUI介面進入fortigate Name 輸入 “admin”, Password留空白, 按”Login” 登錄

登入畫面 1

登入畫面 2

步驟1 – Route / NAT 模式下設定IP

步驟1 – Route / NAT 模式下設定IP (cont’d) 編輯Interface 1.更改IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新  以Web GUI和所更改的IP連  接Fortigate

步驟1 – Route / NAT 模式下設定IP (cont’d) Keypad and LCD Display 或是在Fortigate LCD上設定internal port IP Address (FG-300以上機型)

步驟1 – Route / NAT 模式下設定IP (cont’d) 或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip 10.1.1.254 255.255.255.0 (internal)# end

步驟1 – Transparent 模式設定管理IP 可由internal port或port1(視機型而定)進入管理

步驟1 – Transparent模式設定管理IP (cont’d) Keypad and LCD Display 或是在Fortigate LCD上設定management IP Address (FG-300機型以上)

步驟1 – Transparent模式下設定IP (cont’d) 或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip 10.1.1.254 255.255.255.0 (internal)# end

步驟1 – 制定防火牆規則 Firewall -> Policy -> Create New

步驟1 – 制定通透模式防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策

步驟1 – 制定閘道模式防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策

步驟1 – 制定防火牆規則 在SOHO機型內,已預建了一條 “內到外 NAT” 的防火牆政策 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

步驟1 – 訂定網路介面其他設定 Https, Ping, Http, Telnet, SSH, SNMP 定義位址(Address) Manual (static IP address) DHCP PPPoE 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP

步驟1 – 訂定網路介面其他設定 Network - Interface Overview

步驟1 – 訂定網路介面其他設定 Network – interface - Manual Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限

步驟1 – 訂定網路介面其他設定 Network – Interface - DDNS設定 必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

步驟1 – 訂定網路介面其他設定 Network – interface – PPPoE 勾選”Retrieve default gateway from server” 勾選ping server 和管理權限

步驟1 – Route / NAT, Transparent 設定 Default Route Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. Transparent模式,則如同Fortigate本身的預設閘道(Gateway)

Fortigate – System 項目 快速了解系統設定和運作 備份和還原設定 Maintenance 維運 Troubleshooting 了解問題癥結 備份和還原設定 Configuration settings web filtering lists spam filtering lists

System – Status 監控 Fortigate 系統狀態

Status – Session 監控網路連線狀態

Status – 如何改為 Transparent 模式 或是使用Command: #Config sys setting (setting)#set opmode transparent

System - Network 定義和監測實體網路埠型態 定義802.1Q VLAN 虛擬網路埠 Zones 概述 DNS 設定

Network – Interface – Create New 建立新的VLAN網路介面 填入VLAN ID (802.1Q) 填入VLAN IP

Network – DNS 設定 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢 Fortigate可當作 DNS relay(DNS request 轉送),當有DNS 查詢封包時,fortigate 會將封包轉送到所設定的DNS server

System - Config Time - 設定時間及時區 Options – 有關管理及語言等設定 HA (High Available)概述 Admin – 管理者及管理權限設定 SNMP v1/v2c – 網管設定概述 Replacement Message – 取代訊息設定

System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇

System – Config - Options 可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔

System – Config - HA 概述

System – Config - SNMP v1/v2c 概況

System – Config - Fortimanager

System - Admin Administrators Access Profile Add administrator accounts (up to 12) Access Profile

System – Admin - Administrators

System – Admin - Access Profile

System - Maintenance Backup & Restore Update Center Support Shutdown

System – Maintenance - Backup & Restore 系統自動設定備份

System – Maintenance - Contract

System – Maintenance - Update Center

System – Maintenance - Support http://support.fortinet.com 用於回報BUG和購買後的產品註冊

System – Maintenance - Shutdown

System – Virtual Domain 概述 無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設可建 10 個 virtual domains FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out

Firmware 升級 (Console) Fortigate port1 或internal port 與電腦對接 在電腦中啓動 TFTP Server 以console方式連接 fortigate serial port

防火牆進階設定和介紹

Router - Static 定義根據目的IP該轉送到哪個gateway或哪個網路介面,此畫面所定義的路由為default route

Router - Policy 概述 可根據下列方式傳送封包: source address 來源位址 protocol, service type, or port range 通訊協定, 服務類別,或通訊埠範圍 Incoming Interface and source IP address 來源埠和來源位址 政策路由表是個別獨立的 Ping server (DGD) 必須在outgoing Interface 中啓動

Protocol Number NAME             NUM    CODE  COMMENT HOPOPT      0         /* IPv6 Hop-by-Hop Option */ ICMP       1         /* Internet Control Message. */ IGMP        3         /* Internet Group Management*/ IP 4 /* IP in IP (encapsulation)MTU setting. */ TCP      6 /* Transmission Control*/ UDP              17 /* User Datagram*/                               

Router – RIP 概述 RIP version 1 (RFC 1058) and RIP version 2 (RFC 2453) 以網路距離(Distance-vector)為依據的路由通訊協定,適合於小型網路使用 以經過的網路節點(hop count)數量作為路由選擇依據 一個路由設備(L3 device)視為一個網路節點 路由記錄最多為15個Hop RIP version 2 允許RIP路由封包內含更多資訊 支援簡單的相互認證和包含netmask資訊

Routing Table List 在Route/NAT模式中,檢視各個路由的狀況和資訊

四.防火牆IPS與Antivirus

IPS Signature – 網路攻擊特徵 Anomaly – 網路非正常行為 Enable IPS – 如何啓動IPS

IPS -網路攻擊特徵 及時監控 可偵測超過 4500 種以上攻擊特徵資料 已通過ICSA 認證 以FortiASIC晶片進行比對 以protection profile中定義 可偵測超過 4500 種以上攻擊特徵資料 已通過ICSA 認證

IPS –網路攻擊特徵 IPS可監控L3-L7的攻擊 於政策(ploicy)中啓動 (UTM Protection Profile) stateful engine 監控封包狀態是否正常 ASIC 晶片提供加速機制 提供不同的嚴謹程度 可設定針對指定的應用程式, 和作業系統執行IPS防護 可將偵測後之防禦設定為 : 放行, 記錄, 封鎖, 隔離, 清除連線, 封包記錄 等

IPS – 特徵列表

IPS – 客制 (自訂) 特徵

IPS – 單一特徵內設定 可對單一攻擊特徵設定啓動,記錄或定義偵測到後所作動作

IPS – Anomaly 列表與設定

如何啓動 IPS – 設定Profile

如何啓動 IPS – 套入 Policy

Antivirus 在Protection profile中制定防毒,並在policy中啓動 Protection profiles 可制定 所要掃瞄的流量種類 HTTP / HTTPS FTP IMAP / IMAPS POP3 / POP3S SMTP / SMTPS IM NNTP 防毒所要啓動的項目 對於fragmented email 和 oversized files 或 email要放行或阻擋 提供隔離發送病毒來源 IP

如何啓動 AntiVirus

Anitvirus – File Block

Anitvirus – 隔離

Anitvirus – 資料庫

Protocol (掃瞄檢查協定)

Protocol – Config - config FortiGate 本身會預留記憶體的1-15%作為儲存 oversized files 和 email 建議超過限制大小的檔案和email直接阻擋,以免造成漏洞 可設定為bypass (oversized pass) 取代訊息會顯示在網頁或email給用戶端

應用程式管理

辨識的應用程式 (部份)

網頁分類與過濾

網頁分類 (部份)

防火牆記錄和報表

紀錄和報表 Log Config – 記錄設定 Log Access – 查詢記錄

Fortigate – 設定流程概述 第三階段 設定記錄(Log setting) 在何處開啓記錄功能?

步驟3 – 設定記錄要存放的位置 FG-60B,FG-310B沒有Hard disk,只能存放在memory. 若是有硬碟的機型,則可選擇存放在Hard disk 或是將log轉送到可收syslog的伺服器 若要留下所有相關記錄,Level要選擇information

步驟3 –設定需要保留的記錄 啟動系統的事件記錄 (Even Log)

步驟3 –設定Policy 與 AntiVirus 的記錄

步驟3 –設定 IPS 與 App. Control 的記錄

步驟3 –設定 DoS 與 WebFilter 的記錄

步驟3 –設定 AntiSpam 的記錄

步驟3 –設定 資料洩露(DLP) 的記錄

設定紀錄存放的位置 Remote Syslog Server WebTrends Server Local Disk Memory Buffer FortiAlanyzer Appliance

紀錄的種類 Select log types and filter options for each location

觀看紀錄 可直接查看存放在記憶體或硬碟, 以及 FortiAnalyzer 中的記錄資料

搜尋紀錄

紀錄的格式 FortiGate log主要由兩大部分組成 Log header 紀錄表頭 Log body 紀錄內容 1 2010-12-14 22:14:05 log_id=0021000002 type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src=192.168.11.2 srcname=192.168.11.2 src_port=1163 dst=66.235.133.33 dstname=66.235.133.33 dst_port=80 tran_ip=220.134.20.85 tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129 rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6 vpn="N/A" src_int="internal" dst_int="wan1" SN=6648 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A" (每一筆紀錄在fortigate中皆為單一行顯示)

警訊信件設定 支援SMTP認證 需設定fortigate上DNS參數 最多可設定三名收件人

發送警訊信件設定 訂定發生事件後延遲發信的時間 選擇何種事件等級引發發信動作 選擇哪些事件要發email通知

FortiAnalyzer 記錄報表

報表自訂

附錄 . Fortigate 常用指令 網路介面相關指令 -設定速率                指定介面 設定速率

附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數 網路介面相關指令 -設定介面其他參數                              Fortigate# get sys int 可獲知目前介面參數設定

附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數  (Secondary IP)                            

附錄 . Fortigate 常用指令 網路介面相關指令 -檢視介面資訊 網路介面相關指令  -檢視介面資訊                              Fortigate# dia hard device nic internal 檢視internal介面的硬體及封包資訊

附錄 . Fortigate 常用指令 Fortigate系統參數相關指令- 設定radius port,啟動multicast forward功能 

附錄 . Fortigate 常用指令 Fortigate系統參數相關指令 - 設定Service Session timeout 設定Default timeout”秒”數 自定服務 timeout”秒”數

附錄 . Fortigate 常用指令 Fortigate防毒功能相關指令 -自定防毒服務端口 定義port 8080 屬於Http Service,故可啟動防毒功能 Http Virus Scan相關參數

附錄 . Fortigate 常用指令 Fortigate防毒功能相關指令 -啟發性防毒服務模式 三種模式選擇

附錄 . Fortigate 常用指令 IP-MAC結合功能  - 模式設定                             設定封鎖條件 未定義之IP處理方式

附錄 . Fortigate 常用指令 IP-MAC結合功能 -定義IP MAC對應表 新增資料筆數 設定IP 設定MAC 設定名稱 此筆資料啟用狀態

附錄 . Fortigate 常用指令 IP-MAC結合功能  -啟用介面IP MAC Binding功能

附錄 . Fortigate 常用指令 路由功能 -OSPF設定 新增Area 是否交換connected 之介面網段 是否交換static route

附錄 . Fortigate 常用指令 路由功能 -OSPF Area設定 設定area附加的網段 設定OSPF介面

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal 監聽”internal” interface 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal ‘host 172.16.30.11’ 監聽”internal” interface 上有關IP 172.16.30.11 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet internal ‘tcp and port 80’ 監聽”internal” interface 上所有TCP Port 80 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 - system top Fortigate# diag sys top 檢視系統CPU使用狀況

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Netlink Fortigate# diag netlink nei list 檢視fortigate arp table

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Session Clear Fortigate# diag sys session clear 清除目前所有Fortigate上的session 注意 : 此動作會造成所有連線斷線 Fortigate# exec ping 168.95.1.1 執行Ping的動作 Fortigate# exec trace 168.95.1.1 執行Trace route的動作 Fortigate# exec reboot 執行系統reboot

FortiNet 資料參考網站 Fortinet 相關技術與設定參考文件放置網站 Product Information (www.fortinet.com) FortiOS Release Notes Knowledge Center (kc.fortinet.com) Technical Forums (support.fortinet.com/forum) FortiDocs (docs.fortinet.com)