台北市教育局防火牆安裝程序及注意事項.

Slides:

Advertisements

Similar presentations

南投縣教育網路專案建置說明 2016/7/11 D-Link Taiwan 台中技術支援課工程師林俊佑 #23 Version 1.03.

Advertisements

晏宏斌工程师 2014 年 9 月 “ 宽带网络校校通 ” 校园网建设要点和基础维护方法. – 中小学校园网络建设要点 – 常见网络故障处理基本方法目录目录.

课程名称培训目标学完本课程后，您应该能：区分AP技术描述CAPWAP隧道协议华为技术有限公司版权所有未经许可不得扩散.

本周复习一下基本的网络知识下周开始讲解路由器的配置方法第四周开始到实验室做实验（主楼910,919）

Rfc3315 Dynamic Host Configuration Protocol for IPv6 (DHCPv6) 組員: 蔡承翰 A 陳鈺璋 A 翁菘㠙 A 指導老師吳俊興.

高雄應用科技大學有線網路建置實習(IV)

實驗 9: 無線安全網路之建設.

校園網路電話專案基隆市建置說明 D-Link Taiwan DTSS 謝元博 #8667

UBLink集團裕笠科技股份有限公司遠豐科技股份有限公司鉅創科技股份有限公司

陕西凝远绿色建材实业有限责任公司网络系统工程

计算机系统与网络技术第14讲局域网构建技术讲课教师：常姗

Chapter6 無線區域網路商業應用姓名 : 洪嘉蓬駱俊霖學號 : N N

第六章在华为路由器上配置动态路由OSPF协议(实训)

實驗六路由器操作設定實驗教師：助教：.

2017/4/6 课程整体设计计算机组网技术梁建华.

安徽广播电视大学组网技术与配置（第2版）第8章路由器的配置汪本标.

校園網路管理實電務電子計算機中心謝進利.

第10讲物理网络与链路层物理网络与链路局域网概念以太网标准 MAC、IP和ARP. 第10讲物理网络与链路层物理网络与链路局域网概念以太网标准 MAC、IP和ARP.

無線寬頻分享器設定範例銜接硬體線路推斷無線基地台的IP 設定無線基地台相關觀念解釋.

研究生入学教育网络中心

“ SNA 解決方案 ” ● TN3270 Servers ● SNA LAN Gateway

網路基本概念與設定方法林文宗資管系助理教授

宽带路由器配置与应用.

HL-006 广域网协议原理及配置 ISSUE 4.0 此为封面页，需列出课程编码、课程名称和课程开发室名称。

MA5600 Multi-Service Access Module Operation and Maintenance

第 6 章 IP 遶送.

主讲：邓志龙 Linux网络技术主讲：邓志龙

Core Switch 設定 Port的開啟與關閉 Virtual LAN建立將Port指定到Virtual LAN

高雄應用科技大學有線網路建置實習(I) 聯易科技股份有限公司 Ben 李政勳

佐登妮斯大樓監控系統簡介圓泰科技 1.

第 16 章 Internet架構.

ARUBA 無線網路教育訓練.

陈开恒交换机及虚拟局域网组网技术陈开恒

网络设备配置与管理子项目1 登录与管理交换机.

路由器的组成路由器的前面板除了LED灯外没有其它东西，LED灯主要是指示电源是否开启。

锐捷网络实验室项目培训交换技术.

DGS-1510 基隆教網教育訓練文件.

ControlLogix架构Modbus TCP/IP 西门子工业以太网消息管理器英文网站：

CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:

校園網路電話專案建置說明 2018/12/6 D-Link Taiwan Version 1.03.

CISCO基本指令課程補充教材.

CH10 Windows 2000 XP注册表 Windows 2000/XP网络组建与系统管理李燕中南分校.

公司 : 岱昇科技股份有限公司專案負責人:翁宇宏報告人:高一生

無線路由器（AP）管理.

江西财经大学信息管理学院《组网技术》课程组

第5單元實習1　ilon10 setup.

台南市中小學網路維運相關說明.

校園網路電話專案建置說明 2019/1/2 D-Link Taiwan Version 1.03.

INTELLIGENCE PLUS VOIC QUICK REFERENCE 留言信箱系統使用指南

第二章防火墙基础技术.

凌宁系统工程师亚洲区嵌入式系统事业群微软（中国）有限公司

项目四网络隔离与广播风暴控制.

第11章網路的設定與測試.

Firewall-pfsense Mars Su

個人電腦與網路 1.個人電腦IP設定自動取得IP與固定IP IP登錄系統與IP自動分配系統固定IP申請 IP衝突處理

Windows XP 簡易網路檢查 edo.

期未報告:公眾無線網路的架構,比較通訊所鍾國麟主要的內容還是S.Y.

新一代校園網路管理中華電信系統整合

第 14 章 DHCP 著作權所有 © 旗標出版股份有限公司.

第十七讲网络系统的规划与设计.

大数据西默路由器功能指导配置上海西默通信技术有限公司

取得與安裝TIDE 從TIBBO網站取得TIDE

TYPE B 3504A設定使用瀏覽器連線到閘道器的ip 例如:

TYPE A 3702A設定使用瀏覽器連線到閘道器的ip 例如:

Cloud Operating System - Unit 03: 雲端平台建構實驗

第6章硬盘实用程序 GHOST 6.0 硬盘克隆（Clone）、硬盘分区拷贝工具

學生宿舍網路連線設定說明問題檢測DIY 106/08/28 學校宿舍網路設定說明.

CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:

Presentation transcript:

台北市教育局防火牆安裝程序及注意事項

Agenda 防火牆設定安裝作業簽收文件

防火牆設定統一使用OS 5.0 MR2 Patch3 Fortigate 5.2.3 VM and Installation Guide 下載位置 https://www.dropbox.com/sh/dw7wlv0dfehd8ku/AABHaVQ7AtqXBLxx8-qveWjja?dl=0 拿到設備後請務必使用Console將原有韌體刪除，再上傳新的韌體（無論原本使用哪個版本）設定正確時區 admin帳號給老師使用另請新增一個superadmin帳號密碼為 tpe / tpe21002458，並開啟WAN port的HTTPS權限以供遠端登入若老師有要鎖管理IP，請輸入力麗科技 IP：59.124.82.62

重置韌體作業程序 –模式一電腦請設定IP為192.168.1.168，並接上FG200D的MGMT port 開啟Console及TFTP軟體 FG200D開機 FortiGate-200D (17:46-08.07.2014) Ver:05000004 Serial number:FG200D4614809035 RAM activation CPU(00:000206a7 bfebfbff): MP initialization CPU(02:000206a7 bfebfbff): MP initialization Total RAM: 4096MB Enabling cache...Done. Scanning PCI bus...Done. Allocating PCI resources...Done. Enabling PCI resources...Done. Zeroing IRQ settings...Done. Verifying PIRQ tables...Done. Boot up, boot device capacity: 15272MB. Press any key to display configuration menu... ..... 請按下任意鍵以中斷開機程序

[C]: Configure TFTP parameters. [R]: Review TFTP parameters. [T]: Initiate TFTP firmware transfer. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [I]: System information. [Q]: Quit menu and continue to boot. [H]: Display this list of options. Enter C,R,T,F,B,I,Q,or H: All data will be erased,continue:[Y/N]? Formatting boot device... .............................. Format boot device completed. 輸入“F”刪除原有韌體輸入“Y”

Enter C,R,T,F,B,I,Q,or H: Image download port: MGMT DHCP status: disabled Local VLAN ID: none Local IP address: 192.168.1.68 Local subnet mask: 255.255.255.0 Local gateway: 192.168.1.254 TFTP server IP address: 192.168.1.168 Firmware file name: FGT_200D-v5-build0318-FORTINET.out 輸入“R”確認各項資訊是否正確韌體檔名不對，需更換輸入“C”更換韌體檔名

[P]: Set image download port. [D]: Set DHCP mode. [I]: Set local IP address. [S]: Set local subnet mask. [G]: Set local gateway. [V]: Set local VLAN ID. [T]: Set remote TFTP server IP address. [F]: Set firmware image file name. [E]: Reset TFTP parameters to factory defaults. [R]: Review TFTP parameters. [N]: Diagnose networking (ping). [Q]: Quit this menu. [H]: Display this list of options. Enter P,D,I,S,G,V,T,F,E,R,N,Q or H: Enter firmware file name [FGT_200D-v5-build0318-FORTINET.out]:FGT_200D-v5-build0670-FORTINET.out 輸入“F”更換韌體檔名輸入5.2.3韌體檔名

Enter P,D,I,S,G,V,T,F,E,R,N,Q or H: [C]: Configure TFTP parameters. [R]: Review TFTP parameters. [T]: Initiate TFTP firmware transfer. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [I]: System information. [Q]: Quit menu and continue to boot. [H]: Display this list of options. Enter C,R,T,F,B,I,Q,or H: Image download port: MGMT DHCP status: disabled Local VLAN ID: none Local IP address: 192.168.1.68 Local subnet mask: 255.255.255.0 Local gateway: 192.168.1.254 TFTP server IP address: 192.168.1.168 Firmware file name: FGT_200D-v5-build0670-FORTINET.out 輸入“Q”回到上層選單輸入“R”再次確認是否正確

Enter C,R,T,F,B,I,Q,or H: Please connect TFTP server to Ethernet port "MGMT". Initiating firmware TFTP Transfer... MAC: 08:5B:0E:AD:7E:40 ################################ Total 33922470 bytes data downloaded. Verifying the integrity of the firmware image. Total 262144kB unzipped. Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?d Programming the boot device now. ................................................................................................................................................................................................................................................................ Reading boot image 1379898 bytes. Initializing firewall... System is starting... Resizing shared data partition...done Starting system maintenance... Scanning /dev/sda1... (100%) Formatting shared data partition ... done! 輸入“T”開始上傳韌體輸入“d”使成為預設韌體使用新韌體開機完成

重置韌體作業程序 –模式二電腦請設定IP為192.168.1.168，並接上FG200D的MGMT port 開啟Console及TFTP軟體 FG200D開機 FortiGate-600C (20:43-08.19.2014) Ver:04000023 Serial number:FG200D3914802273 RAM activation CPU(00:00020655 bfebfbff): MP initialization CPU(01:00020655 bfebfbff): MP initialization Total RAM: 4096MB Enabling cache...Done. Scanning PCI bus...Done. Allocating PCI resources...Done. Enabling PCI resources...Done. Zeroing IRQ settings...Done. Verifying PIRQ tables...Done. Boot up, boot device capacity: 15272MB. Press any key to display configuration menu... 請按下任意鍵以中斷開機程序

[G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [I]: Configuration and information. [Q]: Quit menu and continue to boot with default firmware. [H]: Display this list of options. Enter Selection [G]: Enter G,F,B,I,Q,or H: All data will be erased,continue:[Y/N]? Formatting boot device... .............................. Format boot device completed. 輸入“F”刪除原有韌體輸入“Y”

輸入“G”開始上傳韌體 Enter G,F,B,I,Q,or H: Please connect TFTP server to Ethernet port "MGMT1". Enter TFTP server address [192.168.1.168]: Enter local address [192.168.1.188]: Enter firmware image file name [image.out]: FGT_200D-v5-build0670-FORTINET.out MAC:085B0E9CAED2 ############################### Total 32526608 bytes data downloaded. Verifying the integrity of the firmware image. Total 262144kB unzipped. Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?d Programming the boot device now. ................................................................................................................................................................................................................................................................ Reading boot image 1376326 bytes. Initializing firewall... System is starting... Formatting shared data partition ... done! 直接按Enter跳過輸入5.2.3韌體檔名輸入“d”使成為預設韌體使用新韌體開機完成

使用Zone建立Interface，將Interface放到Zone之中 TANet接在WAN1，Lan使用Switch Port1（單獨拆出來），Wifi使用Swicth Port2（單獨拆出來） ZONE名稱分別使用WAN, LAN, WIFI

移除SIP session helper避免干擾網路電話運作在CLI中輸入 config system setting set sip-helper disable end config system session-helper delete 13

認證機制（無線網路認證由Fortigate為之）無線網路使用者（舊有Fat AP以及Cisco Thin AP）透過有線網路進到Fortigate 同時使用教育局Radius以及學校自有AD或者Radius認證 User & Device -> Authentication -> RADIUS Servers，新增

Radius Server Name : 自訂 Primary Server IP : 163.21.249.130 Primary Server Secret : tpeduaaa 可使用“Test Connectivity”請老師輸入教育局帳號密碼測試若學校自有認證伺服器為Radius，請再建立一組即可

AD Server User & Device -> Authentication -> LDAP Servers，新增

Name : 自訂 Primary Server IP : 自訂 Server Port : 389 Common Name Identifier : SamAccountName Distinguished Name : 如下圖範例所示，需填寫完整路徑 Bind Type : Regular User DN :如下圖範例所示，需填寫完整路徑 Password : 自訂可使用“Test Connectivity”確認是否成功

設定認證群組 User & Device -> User -> User Groups，新增 Name : 自訂 Remote Groups->新增->選定先前新增的Radius and LDAP Server

介面啟用Captive Portal 選擇WIFI介面 Security Mode -> Captive Portal User Groups -> 先前建立的group

無線學習載具排除清單設置 User & Device -> Device Definitions，新增 Alias : 輸入MAC Address MAC Address :輸入MAC Address

User & Device -> Device Groups，新增 Name : 自訂 Members:自行加入所需之MAC Address

WIFI介面 Exempt List : 選擇先前建立的Device Group

安裝作業安裝前務必依據“初驗表”確認現有網路運作狀態市網連線參考網站：http://speedtest.tp.edu.tw 學校網頁IPv6測試參考網站：http://ipv6.tp.edu.tw/ DNS IPv6測試參考網站：http://ipv6.tp.edu.tw/dns.php

線路改接後，防火牆上下 Layer3設備請老師重開機 Cisco 3560, Cisco Wireless Controller（大部分學校是這幾個設備）使用指令輸入FG200D：diag ipv6 address list，查看介接Wireless Controller的port，並抄下local address（此範例是接在port16）登入Cisco Controller更改IPv6 Gateway Controller->Interfaces->IPv6 Gateway

改完後請記得存檔更改完成後請用telnet登入Cisco Controller進行Ping 2001:b000:168::1 <- Hinet DNS PS. 請勿使用GUI的Ping測試，是無法測通若Controller並未開放Telnet，請到Management中啟用

簽收文件 Fortigate操作手冊簡易除厝手冊防火牆初驗表： https://dl.dropboxusercontent.com/u/53758003/%E6%95%99%E8%82%B2%E5%B1%80/%E4%BA%A4%E4%BB%98%E8%B3%87%E6%96%99/104%E9%98%B2%E7%81%AB%E7%89%86%E5%88%9D%E9%A9%97%E8%A1%A8-new-F2.docx 拓樸圖（安裝後）：https://dl.dropboxusercontent.com/u/53758003/%E6%95%99%E8%82%B2%E5%B1%80/%E4%BA%A4%E4%BB%98%E8%B3%87%E6%96%99/%E6%8B%93%E6%A8%B8%E5%9C%96.docx 貼上保固貼紙設備照片以上文件於安裝完成後請各校資訊組長簽名並複印，複本給學校留存，正本攜回後交給負責組長統一交付力麗科技各廠商負責人請每天填妥“工作時數表” 並寄送給Harry : harry@llt.com.tw 下載位置https://dl.dropboxusercontent.com/u/53758003/%E6%95%99%E8%82%B2%E5%B1%80/%E4%BA%A4%E4%BB%98%E8%B3%87%E6%96%99/(Excel%E6%AA%94)%E8%87%BA%E5%8C%97%E5%B8%82%E6%95%99%E8%82%B2%E7%B6%B2223%E5%AE%B6%E5%AD%B8%E6%A0%A1_%E5%B7%A5%E4%BD%9C%E6%99%82%E6%95%B8%E8%A1%A8v2.xlsx

多個內網IP轉換成一個真實IP （內對外）一對一對應 (通常在DMZ） IPv6 RA要啟用 Web Server做成一個群組，未來只要多一個網站，直接將IP放進該條Policy即可校務行政自己做一條若無法提供環境調查表，可請老師提供防火牆登入資訊，自行連線進去移轉設定或者直接內對外全開，再詢問老師有哪些對外服務，直接設定即可

Fortinet FortiGate Pricing FortiGuard Services simple licensing and pricing model maintained FortiGate more performance, more features, same aggressive pricing No complex feature enablement No per user calculations No surprises