Presentation is loading. Please wait.

Presentation is loading. Please wait.

FortiGate Multi-Threat Security Systems

Similar presentations


Presentation on theme: "FortiGate Multi-Threat Security Systems"— Presentation transcript:

1 FortiGate Multi-Threat Security Systems
Jacob Chen Fortinet Taiwan SE

2 Fortigate 管理介面 出廠預設值 透過CLI (command line Interface), 如: console, telnet, ssh. 透過WEB GUI (Graphic User Interface), 如: Internet Explorer 使用http 或 https (SSL).

3 Fortigate 出廠預設值 為Route/NAT模式 Internal interface 192.168.1.99/24
允許 https, http, ssh, ping External interface /24 只允許 ping

4 Console log in 輸入 admin 並按兩次Enter鍵 會出現”Fortigate-400 #”
Bits per second 9600 Data bits 8 Parity None Stop bits 1 Flow control 輸入 admin 並按兩次Enter鍵 會出現”Fortigate-400 #” 輸入 “?” 可看到command

5 Web Management SSL 介面加密 (Default) 多國語言介面(英文,日文,韓文,簡體中文,繁體中文)
預設Admin帳號: Name: admin Password: 無

6 Fortigate – 設定流程概述(共三階段) 第一階段
設定網路介面IP (Route/NAT, transparent) 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則) 訂定網路介面其他相關設定 Route/NAT, Transparent模式設定Default Route

7 Web Log In 將電腦IP 設定為192.168.1.0 / 24 內的IP
將電腦介接在Fortigate的Internal port或port1內(視機型而定) 以 WEBGUI介面進入fortigate Name 輸入 “admin”, Password留空白, 按”Login” 登錄

8 登入畫面 1

9 登入畫面 2

10 步驟1 – Route / NAT 模式下設定IP

11 步驟1 – Route / NAT 模式下設定IP (cont’d)
編輯Interface 1.更改IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新  以Web GUI和所更改的IP連  接Fortigate

12 步驟1 – Route / NAT 模式下設定IP (cont’d)
Keypad and LCD Display 或是在Fortigate LCD上設定internal port IP Address (FG-300以上機型)

13 步驟1 – Route / NAT 模式下設定IP (cont’d)
或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip (internal)# end

14 步驟1 – Transparent 模式設定管理IP
可由internal port或port1(視機型而定)進入管理

15 步驟1 – Transparent模式設定管理IP (cont’d)
Keypad and LCD Display 或是在Fortigate LCD上設定management IP Address (FG-300機型以上)

16 步驟1 – Transparent模式下設定IP (cont’d)
或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip (internal)# end

17 步驟1 – 制定防火牆規則 Firewall -> Policy -> Create New

18 步驟1 – 制定通透模式防火牆規則 Source interface 選 inernal
Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策

19 步驟1 – 制定閘道模式防火牆規則 Source interface 選 inernal
Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策

20 步驟1 – 制定防火牆規則 在SOHO機型內,已預建了一條 “內到外 NAT” 的防火牆政策
若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

21 步驟1 – 訂定網路介面其他設定 Https, Ping, Http, Telnet, SSH, SNMP 定義位址(Address)
Manual (static IP address) DHCP PPPoE 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP

22 步驟1 – 訂定網路介面其他設定 Network - Interface Overview

23 步驟1 – 訂定網路介面其他設定 Network – interface - Manual
Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限

24 步驟1 – 訂定網路介面其他設定 Network – Interface - DDNS設定
必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

25 步驟1 – 訂定網路介面其他設定 Network – interface – PPPoE
勾選”Retrieve default gateway from server” 勾選ping server 和管理權限

26 步驟1 – Route / NAT, Transparent 設定 Default Route
Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. Transparent模式,則如同Fortigate本身的預設閘道(Gateway)

27 Fortigate – System 項目 快速了解系統設定和運作 備份和還原設定 Maintenance 維運
Troubleshooting 了解問題癥結 備份和還原設定 Configuration settings web filtering lists spam filtering lists

28 System – Status 監控 Fortigate 系統狀態

29 Status – Session 監控網路連線狀態

30 Status – 如何改為 Transparent 模式
或是使用Command: #Config sys setting (setting)#set opmode transparent

31 System - Network 定義和監測實體網路埠型態 定義802.1Q VLAN 虛擬網路埠 Zones 概述 DNS 設定

32 Network – Interface – Create New 建立新的VLAN網路介面
填入VLAN ID (802.1Q) 填入VLAN IP

33 Network – DNS 設定 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢
Fortigate可當作 DNS relay(DNS request 轉送),當有DNS 查詢封包時,fortigate 會將封包轉送到所設定的DNS server

34 System - Config Time - 設定時間及時區 Options – 有關管理及語言等設定
HA (High Available)概述 Admin – 管理者及管理權限設定 SNMP v1/v2c – 網管設定概述 Replacement Message – 取代訊息設定

35 System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇

36 System – Config - Options
可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔

37 System – Config - HA 概述

38 System – Config - SNMP v1/v2c 概況

39 System – Config - Fortimanager

40 System - Admin Administrators Access Profile
Add administrator accounts (up to 12) Access Profile

41 System – Admin - Administrators

42 System – Admin - Access Profile

43 System - Maintenance Backup & Restore Update Center Support Shutdown

44 System – Maintenance - Backup & Restore
系統自動設定備份

45 System – Maintenance - Contract

46 System – Maintenance - Update Center

47 System – Maintenance - Support
用於回報BUG和購買後的產品註冊

48 System – Maintenance - Shutdown

49 System – Virtual Domain 概述
無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設可建 10 個 virtual domains FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

50 Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out

51 Firmware 升級 (Console) Fortigate port1 或internal port 與電腦對接
在電腦中啓動 TFTP Server 以console方式連接 fortigate serial port

52 防火牆進階設定和介紹

53 Router - Static 定義根據目的IP該轉送到哪個gateway或哪個網路介面,此畫面所定義的路由為default route

54 Router - Policy 概述 可根據下列方式傳送封包: source address 來源位址
protocol, service type, or port range 通訊協定, 服務類別,或通訊埠範圍 Incoming Interface and source IP address 來源埠和來源位址 政策路由表是個別獨立的 Ping server (DGD) 必須在outgoing Interface 中啓動

55 Protocol Number NAME             NUM    CODE  COMMENT HOPOPT               /* IPv6 Hop-by-Hop Option */ ICMP       1         /* Internet Control Message. */ IGMP                 /* Internet Group Management*/ IP /* IP in IP (encapsulation)MTU setting. */ TCP      /* Transmission Control*/ UDP              /* User Datagram*/                               

56 Router – RIP 概述 RIP version 1 (RFC 1058) and RIP version 2 (RFC 2453)
以網路距離(Distance-vector)為依據的路由通訊協定,適合於小型網路使用 以經過的網路節點(hop count)數量作為路由選擇依據 一個路由設備(L3 device)視為一個網路節點 路由記錄最多為15個Hop RIP version 2 允許RIP路由封包內含更多資訊 支援簡單的相互認證和包含netmask資訊

57 Routing Table List 在Route/NAT模式中,檢視各個路由的狀況和資訊

58 四.防火牆IPS與Antivirus

59 IPS Signature – 網路攻擊特徵 Anomaly – 網路非正常行為 Enable IPS – 如何啓動IPS

60 IPS -網路攻擊特徵 及時監控 可偵測超過 4500 種以上攻擊特徵資料 已通過ICSA 認證 以FortiASIC晶片進行比對
以protection profile中定義 可偵測超過 4500 種以上攻擊特徵資料 已通過ICSA 認證

61 IPS –網路攻擊特徵 IPS可監控L3-L7的攻擊 於政策(ploicy)中啓動 (UTM Protection Profile)
stateful engine 監控封包狀態是否正常 ASIC 晶片提供加速機制 提供不同的嚴謹程度 可設定針對指定的應用程式, 和作業系統執行IPS防護 可將偵測後之防禦設定為 : 放行, 記錄, 封鎖, 隔離, 清除連線, 封包記錄 等

62 IPS – 特徵列表

63 IPS – 客制 (自訂) 特徵

64 IPS – 單一特徵內設定 可對單一攻擊特徵設定啓動,記錄或定義偵測到後所作動作

65 IPS – Anomaly 列表與設定

66 如何啓動 IPS – 設定Profile

67 如何啓動 IPS – 套入 Policy

68 Antivirus 在Protection profile中制定防毒,並在policy中啓動 Protection profiles 可制定
所要掃瞄的流量種類 HTTP / HTTPS FTP IMAP / IMAPS POP3 / POP3S SMTP / SMTPS IM NNTP 防毒所要啓動的項目 對於fragmented 和 oversized files 或 要放行或阻擋 提供隔離發送病毒來源 IP

69 如何啓動 AntiVirus

70 Anitvirus – File Block

71 Anitvirus – 隔離

72 Anitvirus – 資料庫

73 Protocol (掃瞄檢查協定)

74 Protocol – Config - config
FortiGate 本身會預留記憶體的1-15%作為儲存 oversized files 和 建議超過限制大小的檔案和 直接阻擋,以免造成漏洞 可設定為bypass (oversized pass) 取代訊息會顯示在網頁或 給用戶端

75 應用程式管理

76 辨識的應用程式 (部份)

77 網頁分類與過濾

78 網頁分類 (部份)

79 防火牆記錄和報表

80 紀錄和報表 Log Config – 記錄設定 Log Access – 查詢記錄

81 Fortigate – 設定流程概述 第三階段
設定記錄(Log setting) 在何處開啓記錄功能?

82 步驟3 – 設定記錄要存放的位置 FG-60B,FG-310B沒有Hard disk,只能存放在memory. 若是有硬碟的機型,則可選擇存放在Hard disk 或是將log轉送到可收syslog的伺服器 若要留下所有相關記錄,Level要選擇information

83 步驟3 –設定需要保留的記錄 啟動系統的事件記錄 (Even Log)

84 步驟3 –設定Policy 與 AntiVirus 的記錄

85 步驟3 –設定 IPS 與 App. Control 的記錄

86 步驟3 –設定 DoS 與 WebFilter 的記錄

87 步驟3 –設定 AntiSpam 的記錄

88 步驟3 –設定 資料洩露(DLP) 的記錄

89 設定紀錄存放的位置 Remote Syslog Server WebTrends Server Local Disk
Memory Buffer FortiAlanyzer Appliance

90 紀錄的種類 Select log types and filter options for each location

91 觀看紀錄 可直接查看存放在記憶體或硬碟, 以及 FortiAnalyzer 中的記錄資料

92 搜尋紀錄

93 紀錄的格式 FortiGate log主要由兩大部分組成
Log header 紀錄表頭 Log body 紀錄內容 1  :14:05 log_id= type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src= srcname= src_port=1163 dst= dstname= dst_port=80 tran_ip= tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129 rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6 vpn="N/A" src_int="internal" dst_int="wan1" SN=6648 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A" (每一筆紀錄在fortigate中皆為單一行顯示)

94 警訊信件設定 支援SMTP認證 需設定fortigate上DNS參數 最多可設定三名收件人

95 發送警訊信件設定 訂定發生事件後延遲發信的時間 選擇何種事件等級引發發信動作 選擇哪些事件要發 通知

96 FortiAnalyzer 記錄報表

97 報表自訂

98 附錄 . Fortigate 常用指令 網路介面相關指令 -設定速率                指定介面 設定速率

99 附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數
網路介面相關指令 -設定介面其他參數                              Fortigate# get sys int 可獲知目前介面參數設定

100 附錄 . Fortigate 常用指令 網路介面相關指令 -設定介面其他參數  (Secondary IP)                            

101 附錄 . Fortigate 常用指令 網路介面相關指令 -檢視介面資訊
網路介面相關指令  -檢視介面資訊                              Fortigate# dia hard device nic internal 檢視internal介面的硬體及封包資訊

102 附錄 . Fortigate 常用指令 Fortigate系統參數相關指令- 設定radius port,啟動multicast forward功能 

103 附錄 . Fortigate 常用指令 Fortigate系統參數相關指令 - 設定Service Session timeout
設定Default timeout”秒”數 自定服務 timeout”秒”數

104 附錄 . Fortigate 常用指令 Fortigate防毒功能相關指令 -自定防毒服務端口
定義port 8080 屬於Http Service,故可啟動防毒功能 Http Virus Scan相關參數

105 附錄 . Fortigate 常用指令 Fortigate防毒功能相關指令 -啟發性防毒服務模式 三種模式選擇

106 附錄 . Fortigate 常用指令 IP-MAC結合功能  - 模式設定                             設定封鎖條件 未定義之IP處理方式

107 附錄 . Fortigate 常用指令 IP-MAC結合功能 -定義IP MAC對應表 新增資料筆數 設定IP 設定MAC 設定名稱
此筆資料啟用狀態

108 附錄 . Fortigate 常用指令 IP-MAC結合功能  -啟用介面IP MAC Binding功能

109 附錄 . Fortigate 常用指令 路由功能 -OSPF設定 新增Area 是否交換connected 之介面網段
是否交換static route

110 附錄 . Fortigate 常用指令 路由功能 -OSPF Area設定 設定area附加的網段 設定OSPF介面

111 附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal 監聽”internal” interface 的資料流

112 附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal ‘host ’ 監聽”internal” interface 上有關IP 的資料流

113 附錄 . Fortigate 常用指令 Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal ‘tcp and port 80’ 監聽”internal” interface 上所有TCP Port 80 的資料流

114 附錄 . Fortigate 常用指令 Trouble Shooting功能 - system top
Fortigate# diag sys top 檢視系統CPU使用狀況

115 附錄 . Fortigate 常用指令 Trouble Shooting功能 -Netlink
Fortigate# diag netlink nei list 檢視fortigate arp table

116 附錄 . Fortigate 常用指令 Trouble Shooting功能 -Session Clear
Fortigate# diag sys session clear 清除目前所有Fortigate上的session 注意 : 此動作會造成所有連線斷線 Fortigate# exec ping 執行Ping的動作 Fortigate# exec trace 執行Trace route的動作 Fortigate# exec reboot 執行系統reboot

117 FortiNet 資料參考網站 Fortinet 相關技術與設定參考文件放置網站
Product Information ( FortiOS Release Notes Knowledge Center (kc.fortinet.com) Technical Forums (support.fortinet.com/forum) FortiDocs (docs.fortinet.com)


Download ppt "FortiGate Multi-Threat Security Systems"

Similar presentations


Ads by Google