FortiGate Multi-Threat Security Systems

FortiGate Multi-Threat Security Systems
Jacob Chen Fortinet Taiwan SE

Fortigate 管理介面出廠預設值透過CLI (command line Interface), 如: console, telnet, ssh. 透過WEB GUI (Graphic User Interface), 如: Internet Explorer 使用http 或 https (SSL).

Fortigate 出廠預設值為Route/NAT模式 Internal interface 192.168.1.99/24
允許 https, http, ssh, ping External interface /24 只允許 ping

Console log in 輸入 admin 並按兩次Enter鍵會出現”Fortigate-400 #”
Bits per second 9600 Data bits 8 Parity None Stop bits 1 Flow control 輸入 admin 並按兩次Enter鍵會出現”Fortigate-400 #” 輸入 “?” 可看到command

Web Management SSL 介面加密 (Default) 多國語言介面(英文,日文,韓文,簡體中文,繁體中文)
預設Admin帳號: Name: admin Password: 無

Fortigate – 設定流程概述(共三階段) 第一階段
設定網路介面IP (Route/NAT, transparent) 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則）訂定網路介面其他相關設定 Route/NAT, Transparent模式設定Default Route

Web Log In 將電腦IP 設定為192.168.1.0 / 24 內的IP
將電腦介接在Fortigate的Internal port或port1內(視機型而定) 以 WEBGUI介面進入fortigate Name 輸入 “admin”, Password留空白, 按”Login” 登錄

登入畫面 1

登入畫面 2

步驟1 – Route / NAT 模式下設定IP

步驟1 – Route / NAT 模式下設定IP (cont’d)
編輯Interface 1.更改IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新　以Web GUI和所更改的IP連　接Fortigate

Keypad and LCD Display 或是在Fortigate LCD上設定internal port IP Address (FG-300以上機型)

或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip (internal)# end

步驟1 – Transparent 模式設定管理IP
可由internal port或port1(視機型而定)進入管理

步驟1 – Transparent模式設定管理IP (cont’d)
Keypad and LCD Display 或是在Fortigate LCD上設定management IP Address (FG-300機型以上)

步驟1 – Transparent模式下設定IP (cont’d)
或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip (internal)# end

步驟1 – 制定防火牆規則 Firewall -> Policy -> Create New

步驟1 – 制定通透模式防火牆規則 Source interface 選 inernal
Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶環境是否需要作NAT, 若FG為 Transparent模式，則不會有 NAT選項按”OK”建立防火牆政策

步驟1 – 制定閘道模式防火牆規則 Source interface 選 inernal
Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶環境是否需要作NAT, 若FG為 Transparent模式，則不會有 NAT選項按”OK”建立防火牆政策

步驟1 – 制定防火牆規則在SOHO機型內,已預建了一條 “內到外 NAT” 的防火牆政策
若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

步驟1 – 訂定網路介面其他設定 Https, Ping, Http, Telnet, SSH, SNMP 定義位址(Address)
Manual (static IP address) DHCP PPPoE 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP

步驟1 – 訂定網路介面其他設定 Network - Interface Overview

步驟1 – 訂定網路介面其他設定 Network – interface - Manual
Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限

步驟1 – 訂定網路介面其他設定 Network – Interface - DDNS設定
必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

步驟1 – 訂定網路介面其他設定 Network – interface – PPPoE
勾選”Retrieve default gateway from server” 勾選ping server 和管理權限

步驟1 – Route / NAT, Transparent 設定 Default Route
Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. Transparent模式,則如同Fortigate本身的預設閘道(Gateway)

Fortigate – System 項目快速了解系統設定和運作備份和還原設定 Maintenance 維運
Troubleshooting 了解問題癥結備份和還原設定 Configuration settings web filtering lists spam filtering lists

System – Status 監控 Fortigate 系統狀態

Status – Session 監控網路連線狀態

Status – 如何改為 Transparent 模式
或是使用Command： #Config sys setting (setting)#set opmode transparent

System - Network 定義和監測實體網路埠型態定義802.1Q VLAN 虛擬網路埠 Zones 概述 DNS 設定

Network – Interface – Create New 建立新的VLAN網路介面
填入VLAN ID (802.1Q) 填入VLAN IP

Network – DNS 設定有關fortigate中Alert email 和URL blocking功能會需要DNS查詢
Fortigate可當作 DNS relay（DNS request 轉送),當有DNS 查詢封包時，fortigate 會將封包轉送到所設定的DNS server

System - Config Time - 設定時間及時區 Options – 有關管理及語言等設定
HA (High Available)概述 Admin – 管理者及管理權限設定 SNMP v1/v2c – 網管設定概述 Replacement Message – 取代訊息設定

System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇

System – Config - Options
可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔

System – Config - HA 概述

System – Config - SNMP v1/v2c 概況

System – Config - Fortimanager

System - Admin Administrators Access Profile
Add administrator accounts (up to 12) Access Profile

System – Admin - Administrators

System – Admin - Access Profile

System - Maintenance Backup & Restore Update Center Support Shutdown

System – Maintenance - Backup & Restore
系統自動設定備份

System – Maintenance - Contract

System – Maintenance - Update Center

System – Maintenance - Support
用於回報BUG和購買後的產品註冊

System – Maintenance - Shutdown

System – Virtual Domain 概述
無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備預設可建 10 個 virtual domains FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out

Firmware 升級 (Console) Fortigate port1 或internal port 與電腦對接
在電腦中啓動 TFTP Server 以console方式連接 fortigate serial port

防火牆進階設定和介紹

Router - Static 定義根據目的IP該轉送到哪個gateway或哪個網路介面,此畫面所定義的路由為default route

Router - Policy 概述可根據下列方式傳送封包: source address 來源位址
protocol, service type, or port range 通訊協定, 服務類別,或通訊埠範圍 Incoming Interface and source IP address 來源埠和來源位址政策路由表是個別獨立的 Ping server (DGD) 必須在outgoing Interface 中啓動

Protocol Number NAME NUM CODE COMMENT HOPOPT /* IPv6 Hop-by-Hop Option */ ICMP 1 /* Internet Control Message. */ IGMP /* Internet Group Management*/ IP /* IP in IP (encapsulation)MTU setting. */ TCP /* Transmission Control*/ UDP /* User Datagram*/

Router – RIP 概述 RIP version 1 (RFC 1058) and RIP version 2 (RFC 2453)
以網路距離(Distance-vector)為依據的路由通訊協定,適合於小型網路使用以經過的網路節點(hop count)數量作為路由選擇依據一個路由設備(L3 device)視為一個網路節點路由記錄最多為15個Hop RIP version 2 允許RIP路由封包內含更多資訊支援簡單的相互認證和包含netmask資訊

Routing Table List 在Route/NAT模式中，檢視各個路由的狀況和資訊

四.防火牆IPS與Antivirus

IPS Signature – 網路攻擊特徵 Anomaly – 網路非正常行為 Enable IPS – 如何啓動IPS

IPS -網路攻擊特徵及時監控可偵測超過 4500 種以上攻擊特徵資料已通過ICSA 認證以FortiASIC晶片進行比對
以protection profile中定義可偵測超過 4500 種以上攻擊特徵資料已通過ICSA 認證

IPS –網路攻擊特徵 IPS可監控L3-L7的攻擊於政策(ploicy)中啓動 (UTM Protection Profile)
stateful engine 監控封包狀態是否正常 ASIC 晶片提供加速機制提供不同的嚴謹程度可設定針對指定的應用程式, 和作業系統執行IPS防護可將偵測後之防禦設定為 : 放行, 記錄, 封鎖, 隔離, 清除連線, 封包記錄等

IPS – 特徵列表

IPS – 客制 (自訂) 特徵

IPS – 單一特徵內設定可對單一攻擊特徵設定啓動，記錄或定義偵測到後所作動作

IPS – Anomaly 列表與設定

如何啓動 IPS – 設定Profile

如何啓動 IPS – 套入 Policy

Antivirus 在Protection profile中制定防毒,並在policy中啓動 Protection profiles 可制定
所要掃瞄的流量種類 HTTP / HTTPS FTP IMAP / IMAPS POP3 / POP3S SMTP / SMTPS IM NNTP 防毒所要啓動的項目對於fragmented 和 oversized files 或要放行或阻擋提供隔離發送病毒來源 IP

如何啓動 AntiVirus

Anitvirus – File Block

Anitvirus – 隔離

Anitvirus – 資料庫

Protocol (掃瞄檢查協定)

Protocol – Config - config
FortiGate 本身會預留記憶體的1-15%作為儲存 oversized files 和建議超過限制大小的檔案和直接阻擋，以免造成漏洞可設定為bypass (oversized pass) 取代訊息會顯示在網頁或給用戶端

應用程式管理

辨識的應用程式 (部份)

網頁分類與過濾

網頁分類 (部份)

防火牆記錄和報表

紀錄和報表 Log Config – 記錄設定 Log Access – 查詢記錄

Fortigate – 設定流程概述第三階段
設定記錄(Log setting) 在何處開啓記錄功能?

步驟3 – 設定記錄要存放的位置 FG-60B,FG-310B沒有Hard disk,只能存放在memory. 若是有硬碟的機型,則可選擇存放在Hard disk 或是將log轉送到可收syslog的伺服器若要留下所有相關記錄,Level要選擇information

步驟3 –設定需要保留的記錄啟動系統的事件記錄 (Even Log)

步驟3 –設定Policy 與 AntiVirus 的記錄

步驟3 –設定 IPS 與 App. Control 的記錄

步驟3 –設定 DoS 與 WebFilter 的記錄

步驟3 –設定 AntiSpam 的記錄

步驟3 –設定資料洩露(DLP) 的記錄

設定紀錄存放的位置 Remote Syslog Server WebTrends Server Local Disk
Memory Buffer FortiAlanyzer Appliance

紀錄的種類 Select log types and filter options for each location

觀看紀錄可直接查看存放在記憶體或硬碟, 以及 FortiAnalyzer 中的記錄資料

搜尋紀錄

紀錄的格式 FortiGate log主要由兩大部分組成
Log header 紀錄表頭 Log body 紀錄內容 1 :14:05 log_id= type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src= srcname= src_port=1163 dst= dstname= dst_port=80 tran_ip= tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129 rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6 vpn="N/A" src_int="internal" dst_int="wan1" SN=6648 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A" (每一筆紀錄在fortigate中皆為單一行顯示)

警訊信件設定支援SMTP認證需設定fortigate上DNS參數最多可設定三名收件人

發送警訊信件設定訂定發生事件後延遲發信的時間選擇何種事件等級引發發信動作選擇哪些事件要發通知

FortiAnalyzer 記錄報表

報表自訂

附錄 . Fortigate 常用指令網路介面相關指令 -設定速率指定介面設定速率

附錄 . Fortigate 常用指令網路介面相關指令 -設定介面其他參數
網路介面相關指令 -設定介面其他參數 Fortigate# get sys int 可獲知目前介面參數設定

附錄 . Fortigate 常用指令網路介面相關指令 -設定介面其他參數 (Secondary IP)

附錄 . Fortigate 常用指令網路介面相關指令 -檢視介面資訊
網路介面相關指令 -檢視介面資訊 Fortigate# dia hard device nic internal 檢視internal介面的硬體及封包資訊

附錄 . Fortigate 常用指令 Fortigate系統參數相關指令- 設定radius port,啟動multicast forward功能

附錄 . Fortigate 常用指令 Fortigate系統參數相關指令 - 設定Service Session timeout
設定Default timeout”秒”數自定服務 timeout”秒”數

附錄 . Fortigate 常用指令 Fortigate防毒功能相關指令 -自定防毒服務端口
定義port 8080 屬於Http Service,故可啟動防毒功能 Http Virus Scan相關參數

附錄 . Fortigate 常用指令 Fortigate防毒功能相關指令 -啟發性防毒服務模式三種模式選擇

附錄 . Fortigate 常用指令 IP-MAC結合功能 - 模式設定設定封鎖條件未定義之IP處理方式

附錄 . Fortigate 常用指令 IP-MAC結合功能 -定義IP MAC對應表新增資料筆數設定IP 設定MAC 設定名稱
此筆資料啟用狀態

附錄 . Fortigate 常用指令 IP-MAC結合功能 -啟用介面IP MAC Binding功能

附錄 . Fortigate 常用指令路由功能 -OSPF設定新增Area 是否交換connected 之介面網段
是否交換static route

附錄 . Fortigate 常用指令路由功能 -OSPF Area設定設定area附加的網段設定OSPF介面

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal 監聽”internal” interface 的資料流

Fortigate# Diag sniffer packet internal ‘host ’ 監聽”internal” interface 上有關IP 的資料流

Fortigate# Diag sniffer packet internal ‘tcp and port 80’ 監聽”internal” interface 上所有TCP Port 80 的資料流

附錄 . Fortigate 常用指令 Trouble Shooting功能 - system top
Fortigate# diag sys top 檢視系統CPU使用狀況

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Netlink
Fortigate# diag netlink nei list 檢視fortigate arp table

附錄 . Fortigate 常用指令 Trouble Shooting功能 -Session Clear
Fortigate# diag sys session clear 清除目前所有Fortigate上的session 注意 : 此動作會造成所有連線斷線 Fortigate# exec ping 執行Ping的動作 Fortigate# exec trace 執行Trace route的動作 Fortigate# exec reboot 執行系統reboot

FortiNet 資料參考網站 Fortinet 相關技術與設定參考文件放置網站
Product Information ( FortiOS Release Notes Knowledge Center (kc.fortinet.com) Technical Forums (support.fortinet.com/forum) FortiDocs (docs.fortinet.com)

FortiGate Multi-Threat Security Systems

Similar presentations

Presentation on theme: "FortiGate Multi-Threat Security Systems"— Presentation transcript:

Similar presentations

About project

反馈

请登录

Auth with social network:

FortiGate Multi-Threat Security Systems

Similar presentations

Presentation on theme: "FortiGate Multi-Threat Security Systems"— Presentation transcript:

Similar presentations

About project

反馈