Download presentation
Presentation is loading. Please wait.
1
高雄應用科技大學 有線網路建置實習(III)
聯易科技股份有限公司 李政勳
2
什麼是防火牆? 安全機制,用來隔離兩個安全信任度不同的網路。
3
什麼是防火牆?
4
什麼是防火牆? 形成內部網路與網際網路的咽喉點(Choke Point),落實安全性政策。 有效的控管非必要或有安全性疑慮的封包。
記錄及監控內部與網際網路活動。 偵測與避免非經授權者存取組織單位網路資源。 避免耗費大量公開位址。 避免內部網路資訊直接暴露在外。
5
什麼是防火牆? 軟體式 Windows防火牆、linux ip tables、防毒軟體 硬體式 獨立硬體設備
6
什麼是防火牆? Route Mode 路由器 各Port(網段)政策控管 NAT Transparent Mode 進與出的政策控管
7
什麼是防火牆? Route Mode
8
什麼是防火牆? Transparent Mode
9
什麼是防火牆? 防火牆無法控管或監控未經過自己的封包
10
管制模式 全面管制 全部開放 全部deny,只針對需要的ip及協定做允許封包通過的政策設定 安全性高,執行不易
全部permit,只針對特定的ip及協定做阻擋封包通過的政策設定 安全性低,較不容易碰到網路問題
11
政策規則 First Match
12
防火牆功能 DHCP
13
防火牆功能 NAT
14
防火牆功能 Mapping 讓user可透過public ip及protocol對應到內部ip
15
防火牆功能 Mapping
16
防火牆功能 VPN 在防火牆上建立一個虛擬介面,可透過這介面直接與其他內部網路連線
17
連線方式 Fortigate
18
連線方式
19
連線方式 CLI介面: console、telnet、ssh WEB介面: 透過browser,http or https
20
Fortigate預設值 為Route/NAT模式 Internal interface 192.168.1.99/24 預設管理帳號密碼:
允許 https, http, ssh, ping 預設管理帳號密碼: Name: admin Password: 無
21
登入介面 將電腦IP 設定為192.168.1.0 / 24 內的IP(or DHCP)
將電腦介接在Fortigate的Internal port或port1內(視機型而定) 以 WEBGUI介面進入fortigate Name 輸入 “admin”, Password留空白, 按”Login” 登錄
22
登入畫面 1
23
登入畫面 2
24
Fortigate – 設定流程概述(共三階段) 第一階段
設定網路介面IP (Route/NAT, transparent) 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則) 訂定網路介面其他相關設定 Route/NAT, Transparent(透通)模式設定Default Route
25
步驟1 – Route / NAT 模式下設定IP
26
步驟1 – Route / NAT 模式下設定IP 編輯Interface 1.更改IP和子網路遮罩
2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新 以Web GUI和所更改的IP連 接Fortigate
27
步驟1 – Route / NAT 模式下設定IP 或在Console 或CLI中如下設定:
# config system interface (interface)# edit internal (internal)# set ip (internal)# end
28
Status – 如何改為 Transparent 模式
或是使用Command: #Config sys setting (setting)#set opmode transparent
29
步驟1 – Transparent 模式設定管理IP
可由internal port或port1(視機型而定)進入管理
30
步驟1 – Transparent模式下設定IP
或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip (internal)# end
31
步驟1 – 制定防火牆規則 Firewall -> Policy -> Create New
32
步驟1 – 制定閘道模式防火牆規則 Source interface 選 inernal
Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策
33
步驟1 – 制定通透模式防火牆規則 Source interface 選 inernal
Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策
34
步驟1 – 制定防火牆規則 已預建了一條 “內到外 NAT” 的防火牆政策 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.
35
步驟1 – Route / NAT, Transparent 設定 Default Route
Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. Transparent模式,則如同Fortigate本身的預設閘道(Gateway)
36
System - Network 網路介面細項 定義802.1Q VLAN 虛擬網路埠 DNS及DDNS設定 Zones 概述
37
步驟1 – 訂定網路介面其他設定 定義位址(Address) 手動 (static IP address) DHCP PPPoE
管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP
38
步驟1 – 訂定網路介面其他設定 Network - Interface Overview
39
步驟1 – 訂定網路介面其他設定 Network – interface - Manual
Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選管理權限
40
步驟1 – 訂定網路介面其他設定 Network – interface – PPPoE
勾選”Retrieve default gateway from server”
41
Network – Interface – Create New 建立新的VLAN網路介面
填入VLAN ID (802.1Q) 填入VLAN IP
42
Network – DNS 設定 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢
Fortigate可當作 DNS relay(DNS request 轉送),當有DNS 查詢封包時,fortigate 會將封包轉送到所設定的DNS server
43
步驟1 – 訂定網路介面其他設定 Network – Interface - DDNS設定
必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中
44
Router - Static 定義根據目的IP該轉送到哪個gateway或哪個網路介面,此畫面所定義的路由為default route
45
Router - Policy 概述 可根據下列方式傳送封包: source address 來源位址
protocol, service type, or port range 通訊協定, 服務類別,或通訊埠範圍 Incoming Interface and source IP address 來源埠和來源位址 政策路由表是個別獨立的 Ping server (DGD) 必須在outgoing Interface 中啓動
46
Routing Table List 在Route/NAT模式中,檢視各個路由的狀況和資訊
47
Fortigate – System 項目 快速了解系統設定和運作 備份和還原設定 Maintenance 維運
Troubleshooting 了解問題癥結 備份和還原設定 Configuration settings
48
System – Status 監控 Fortigate 系統狀態
49
Status – Session 監控網路連線狀態
50
System - Config Time - 設定時間及時區 Options – 有關管理及語言等設定
HA (High Available)概述 Admin – 管理者及管理權限設定 SNMP v1/v2c – 網管設定概述 Replacement Message – 取代訊息設定
51
System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇
52
System – Config - Options
可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔
53
System – Config - HA 概述 Route mode跟透通模式哪個較需要HA?
54
System – Config - SNMP v1/v2c 概況
55
System – Config - Fortimanager
56
System - Admin Administrators Access Profile
Add administrator accounts (up to 12) Access Profile
57
System – Admin - Administrators
58
System – Admin - Access Profile
59
System - Maintenance Backup & Restore Firmware Support Shutdown
60
System – Maintenance - Contract
61
System – Maintenance - Backup & Restore
系統自動設定備份
62
Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out
63
Firmware 升級 (Console) Fortigate port1 或internal port 與電腦對接
在電腦中啓動 TFTP Server 以console方式連接 fortigate serial port
64
System – Maintenance - Shutdown
65
System – Maintenance - Support
用於回報BUG和購買後的產品註冊
66
System – Virtual Domain 概述
什麼是VDOM? FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains
67
System – Virtual Domain 概述
無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設可建 10 個 virtual domains FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains
68
紀錄與報表
69
紀錄和報表 Log Config – 記錄設定 Log Access – 查詢記錄
70
步驟3 – 設定記錄要存放的位置 FG-60B,FG-310B沒有Hard disk,只能存放在memory. 若是有硬碟的機型,則可選擇存放在Hard disk 或是將log轉送到可收syslog的伺服器 若要留下所有相關記錄,Level要選擇information
71
步驟3 –設定需要保留的記錄 啟動系統的事件記錄 (Even Log)
72
步驟3 –設定Policy 與 AntiVirus 的記錄
73
設定紀錄存放的位置 Remote Syslog Server WebTrends Server Local Disk
Memory Buffer FortiAlanyzer Appliance
74
紀錄的種類 Select log types and filter options for each location
75
觀看紀錄 可直接查看存放在記憶體或硬碟, 以及 FortiAnalyzer 中的記錄資料
76
搜尋紀錄
77
紀錄的格式 Log header 紀錄表頭 Log body 紀錄內容 FortiGate log主要由兩大部分組成
1 :14:05 log_id= type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src= srcname= src_port=1163 dst= dstname= dst_port=80 tran_ip= tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129 rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6 vpn="N/A" src_int="internal" dst_int="wan1" SN=6648 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A" (每一筆紀錄在fortigate中皆為單一行顯示)
78
警訊信件設定 支援SMTP認證 需設定fortigate上DNS參數 最多可設定三名收件人
79
發送警訊信件設定 訂定發生事件後延遲發信的時間 選擇何種事件等級引發發信動作 選擇哪些事件要發 通知
80
附錄 . Fortigate 常用指令 網路介面相關指令 -設定速率 指定介面 設定速率
81
附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數
網路介面相關指令 -設定介面其他參數 Fortigate# get sys int 可獲知目前介面參數設定
82
附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數 (Secondary IP)
83
附錄 . Fortigate 常用指令 IP-MAC結合功能 - 模式設定 設定封鎖條件 未定義之IP處理方式
84
附錄 . Fortigate 常用指令 IP-MAC結合功能 -定義IP MAC對應表 新增資料筆數 設定IP 設定MAC 設定名稱
此筆資料啟用狀態
85
附錄 . Fortigate 常用指令 IP-MAC結合功能 -啟用介面IP MAC Binding功能
86
附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal 監聽”internal” interface 的資料流
87
附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal ‘host ’ 監聽”internal” interface 上有關IP 的資料流
88
附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal ‘tcp and port 80’ 監聽”internal” interface 上所有TCP Port 80 的資料流
89
附錄 . Fortigate 常用指令 Trouble Shooting功能 - system top
Fortigate# diag sys top 檢視系統CPU使用狀況
90
附錄 . Fortigate 常用指令 Trouble Shooting功能 -Session Clear
Fortigate# diag sys session clear 清除目前所有Fortigate上的session 注意 : 此動作會造成所有連線斷線 Fortigate# exec ping 執行Ping的動作 Fortigate# exec trace 執行Trace route的動作 Fortigate# exec reboot 執行系統reboot
Similar presentations