当前位置:文档之家 › fortigate防火墙配置 PPT

fortigate防火墙配置 PPT

  • 格式:ppt
  • 大小:37.21 MB
  • 文档页数:30

下载文档原格式

  / 30

合集下载

FortiGate防火墙产品培训

FortiGate防火墙产品培训

NAT/Route Mode
Port1 10.11.101.1
59.108.29.182
Wan Port2 192.168.1.1
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
Fortinet Confidential
FortiGate透明模式
●所有接口都在同一广播域,通过二层MAC地址转发处理流量,易于部署,不需要改变原来的网络 结构。不支持PPTP、L2TP、SSL、GRE VPN,支持IPSec VPN
59.108.29.1
Transparent Mode
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24 Fortinet Confidential
FortiGate防火墙产品培训
Fortinet Confidential
内容和时间安排
第一天 产品介绍 FortiGate配置 . FortiGate系统管理 . 路由 . 防火墙功能 . UTM功能 . VPN
Fortinet Confidential
第二天 FortiGate配置 . 用户管理 . 终端控制 . WAN优化 . 无线控制器 . 日志与报告 . HA配置和管理 部署运行维护建议 故障排错 第三天 实验测试
; 配置
系统管理-物理网络接口1
Fortinet Confidential
系统管理-物理网络接口2
Fortinet Confidential
系统管理- Vlan接口
Fortinet Confidential
系统管理- 802.3ad汇聚接口1

Fortigate防火墙安全配置规范

Fortigate防火墙安全配置规范

Fortigate防火墙安全配置规范1.概述1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。

为了提高Fortigate防火墙的安全性而提出的。

1.2. 范围本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置2.1. 配置设备名称制定一个全网统一的名称规范,以便管理。

2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。

如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。

2.3. 设置Admin口令缺省情况下,admin的口令为空,需要设置一个口令。

密码长度不少于8个字符,且密码复杂。

2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。

需要设置口令,只允许管理员修改。

密码长度不少于8个字符,且密码复杂。

2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。

用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。

单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。

2.6. 设备管理权限设置为每个设备接口设置访问权限,如下表所示:接口名称允许的访问方式Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式Port5 (保留)Port6 (保留)且只允许内网的可信主机管理Fortinet设备。

2.7. 管理会话超时管理会话空闲超时不要太长,缺省5分钟是合适的。

2.8. SNMP设置设置SNMP Community值和TrapHost的IP。

FortiGate防火墙 路由与透明模式精品PPT课件

FortiGate防火墙 路由与透明模式精品PPT课件

如何实现链路负载均衡(1)
• 建立两个缺省路由,子网掩码、路径长度和priority都保持一致, 如下
如何实现链路负载均衡(2)
• 设置两条链路对应的防火墙策略
设置策略路由
• 其路由判断是根据以 下因素判断的:
▪ 协议号 ▪ 流入接口 ▪ 源地址和目标地址 ▪ 目标端口
策略路由的特点
• 建立在静态路由和直连路由的基础上的 • 通畅不需要指定网关 • 不能在图形界面的路由监控和命令行下的路由表中显示出来 (diagnose
谢谢大家
荣幸这一路,与你同行
It'S An Honor To Walk With You All The Way
演讲人:XXXXXX 时 间:XX年XX月XX日
启动透明模式
比较透明模式与路由模式的区别
• 没有路由功能 • 不能支持SSL VPN、
PPTP和L2TP • 不能支持接口模式的
VPN
实验
0/0 192.168.11.254 10 Internet
0/0 192.168.3.254 10 CERNET
映射地址为 192.168.11.2x
192.168.11.1/24
ip route list) • 发源于防火墙的流量不能使用策略路由 • 按照顺序执行
什么是Loopback接口以及如何创建
• 主要用途:
▪ 可用于GRE通道和IPSec通道的端点 ▪ 用于 OSPF, BGP 和RIP的Router IDset type loopback)
路由与透明模式
Course 201 v4.0
支持的路由类型
设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转 发到一个特殊目的地的所需的信息

fortinet飞塔防火墙配置

fortinet飞塔防火墙配置

Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息,详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。

fortiguard 服务订制包括:1、fortiguard 反病毒服务2、 fortiguard 入侵防护(ips)服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括:1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。

fortinet防火墙完全配置01-产品介绍与实验拓扑

fortinet防火墙完全配置01-产品介绍与实验拓扑
• 通过SSH, Telnet, 或者serial console • 分支结构
config system interface edit port1 set vdom "root" set ip 172.20.110.251 255.255.255.0
branch
table
parameter
熟悉命令行(2)——根命令
• Show system interface • Get system interface • Get system interface wan1 • Show sys dhcp server internal-dhcp-server • Get system dhcp server internal-dhcp-server • Show sys dns • Get sys dns 注意比较Show和Get之间的区别

中继DHCP请求到远程的DHCP服务器
初始设置——配置静态路由
• 缺省网关 用于访问公网,FortiGate访问FortiGuard和DNS servers

基于(1-255)
同一目标的多条路由可以并存,但是只有一条是优先的
熟悉命令行(1)——结构

试用以下辅助选项 config ? con[tab] 返回上一次命令 向上箭头或者CTRL-P 返回下一个命令 向下箭头或者CTRL-N 返回一行的头部 CTRL-A 返回一行的尾部 CTRL-E 回退一个字符 CTRL-B 前进一个字符 CTRL-F 删除当前的字符 CTRL-D 取消命令和退出 CTRL-C
Server Network
WAN1 DHCP获得 DMZ 192.168.3.(100+X) 192.168.3.0 /24

fortigate防火墙配置ppt课件

fortigate防火墙配置ppt课件
5
Internal 2 192.168.1.0/24
FortiGate透明模式
Transparent
59.108.29.1
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24
6
Internal 2 192.168.1.0/24
数据包处理流程
7
NP数据包处理流程
32
防火墙-流量整形器
33
防火墙-策略
34
防火墙-策略的顺序
35
▪ IPS特征匹配 ▪ IPSEC SSL/TLS协议处理器 ▪ IKE ▪ 认证模块SHA2界面与配置
FortiGate路由模式
59.108.29.182
NAT/Route
Port1 10.11.101.1
Wan
Port2 192.168.1.1
Internal 1 10.11.101.0/24
Passive 工作 不工作 不工作
Static 不工作 不工作 建议使用
14
查看链路聚合工作状态
ha-a-981 # diagnose netlink aggregate name linkaggregate LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D) (A|P) - LACP mode is Active or Passive (S|F) - LACP speed is Slow or Fast (A|I) - Aggregatable or Individual (I|O) - Port In sync or Out of sync (E|D) - Frame collection is Enabled or Disabled (E|D) - Frame distribution is Enabled or Disabled

FortiGate最常见配置


• 配置:
– – 系统管理-->网络-->接口 外网接口参数配置
• 选择接口地址模式为PPPoE • 输入用户名和密码 • MTU设置为1492

内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
外网接口参数配置:
内网接口参数配置:
实例
策略配置:
故障排除
• 地址范围是否定义正确 • 协议类型选择是否正确 • 端口是否定义正确
• 是否将要控制的服务添加到组中
• 策略中的源地址和目的地址是否选择正确 • 策略中的服务是否选择正确 • 策略中的模式是否选择正确
备份与负载均衡
配置过程
备份与负载均衡
实例 故障排除
配置过程
• 接口配置(操作步骤见共享上网部分) • 若要对服务进行分流控制,则要在防火墙菜单中服务下面定制服务 • 若要针对内部网络的IP地址进行分流控制,则要在防火墙菜单中地址下面 定义地址段 • 策略配置
– 宽带线路2:
• IP:192.168.10.147 • 掩码:255.255.255.0 • 网关:192.168.10.1
实例
• 要求:
– 财务部单独使用一条宽带线路,市场、技术等其他部门共同 使用另一条宽带线路,实现数据分流,以保证带宽利用
实例
配置:
• 接口配置(操作步骤见共享上网部分,只是要在配置时将PING服务器打开,并输 入一个有效的公网IP地址)
FortiGate培训讲义
2005.09.23
FortiGate培训讲义
共享上网
PPPoE
共享上网
DHCP
静态

Fortigate防火墙简单配置指导

华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。

作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3,进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品,是利用一种新的体系结构方法研发的,具有无与伦比的价格/性能比;是完全的、所有层网络安全和内容控制的产品。

经过一些安全行业深受尊重的安全专家多年的研究开发,FortiGate解决方案突破了网络的“内容处理障碍”。

提供了在网络边界所有安全威胁类型(包括病毒和其它基于内容的攻击)的广泛保护。

并且具备空前的消除误用和滥用文字的能力,管理带宽和减少设备与管理的费用。

常规的安全系统,像防火墙和VPN 网关在防止称为网络层攻击是有效的,它通过检查包头信息来保证来自信任源合法请求的安全。

但在现今,绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击,例如病毒和蠕虫。

在这些更多诡辩的攻击中,有害的内容常常深入到包内容,通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。

同样的,有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本,并且需要除了网络层实时信息,还有分解和分析应用层内容(例如文件和指令)的能力。

然而,在现今的网络速度下,完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。

结果,使用常规解决方案的机构面临着“内容处理障碍”,这就迫使他们在桌面和服务器上加强内容服务的配置。

飞塔 防火墙详解与配置


简单、高效、安全 FortiGate-110C 在一台单一的设备中集成了防火墙、IPSec&SSL VPN、入侵防御、防病毒、防恶意软件、防垃圾邮件、 P2P 安全及 Web 过滤,可识别多种安全威胁,为中小型企业和分支办公室提供完美的安全解决方案。FortiGate-110C 安装快捷,可自动下载并按时升级过滤库,保护企业不会受到最新病毒、网络漏洞、蠕虫、垃圾邮件、网络钓鱼及 恶意站点的侵害。内置专利的 FortiASIC 加速技术,FortiGate-110C 可提供业界领先的性能,10 个接口可为日益增长的 网络的扩展性提供保证。
Fortinet ASIC 技术益处 FortiASIC 是 Fortinet 独有的硬件技术的基础。FortiASIC 是特定的软件、高性能网络及内容处理器的综合, 它通过使用一个智能的、专利技术的内容扫描引擎 和多种算法来加速需要密集型计算的安全服务。 FortiASIC 为企业和运营商级的 UTM 服务提供必要的 性能。再加上 FortiOS 安全加固操作系统,FortiASIC 可提供终极的性能和安全。
特征
益处
硬件加速
八个可配置内置交 换接口和双千兆 WAN 接口 自动升级
FortiASIC 加速检测确保不会出现性 能瓶颈
网络分区配置更加灵活,不再需 要额外的交换机产品,提升网络 的扩展性和实用性
不需要管理员的干预即可实现不 间断的特征库更新
统一安全架构
单一设备中的多种威胁保护提高 了安全性,降低了部署成本
标准FortiCare支持服务 包括以下服务内容:
1 年的硬件保修 90 天的 FortiCare Web 技术支持 90 天的软件升级 售后支持指南请参阅 /support/reg-guide.html

飞塔防火墙透明模式配置ppt课件

此MAC地址转发表与diagnose ip arp list显示的arp地址表不同的是,前者用于 所有流经墙数据流的地址转发,后者仅为FortiGate自身提供转发。 10
MAC地址转发表 2
查看转发表存在的forward-domain数量及id 查看转发表与各接口的对应关系
11
Tagged与untagged
4
Trunk与forwarddomain 1
switch1
Vlan 102 Vlan 103
intern Port3
extern Vlan 102
Port4
Vlan 103
switch2
通过系统管理--网络中新建vlan 接口,及定义vlan id。配置完 成后需要在cli中声明forwaddomain。
防火墙接口下可创建多个VLAN接口,所有的VLAN接口都依附在物理接口之下。 从物理接口流出的数据包为untagged数据包(红色标记)。 从Vlan接口流出的数据包为tagged数据包(绿色标记)。
Untagged 数据包流经防火墙必须配置策略允许从相关的物理端口进出
12
透明模式 配置
启用透明模式
系统默认运行模式为NAT,在 状态面板中系统信息可以更改 为透明模式
更改为透明模式后,输入管理 地址与网关用于管理防火墙
2
CDP与VTP穿越 1
CDP/VTP数据包
switch
Port1
CDP/VTP数据包
LACP
switch
3
CDP与VTP穿越 2
switch1 cdp 表 switch2 cdp 表
6
Trunk与forwarddomain 3
防火墙抓取数据包后可以看到Vlan的原始信息,及使用fgt2eth转换的数据信息
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
fortigate防火墙配置
FMC模块内部专有处理器
• FortiASIC NP4 lite网络处理器芯片
• 接口级的数据加速服务 • 低延迟, 百万NAT级会话线速性能
» IPSec ESP 加解密处理 » IPS异常检测,数据包重组 » 约NP4一半的性能
• FortiASIC CP8 安全处理器芯片
» 多核多线程安全处理 » 提供FortiASIC NP4以外的功能服务
• IPS特征匹配 • IPSEC SSL/TLS协议处理器 • IKE • 认证模块SHA256/SHA1/MD5
防火墙界面与配置
FortiGate路由模式
59.108.29.182
NAT/Route
Port1 10.11.101.1
系统管理-访问内容表
系统管理-管理员设置1
系统管理-管理员设置2
系统管理-固件升级
路由-静态路由
路由-策略路由
路由-当前路由表
防火墙-地址
防火墙-地址组
防火墙-预定义与定制
防火墙-服务组
防火墙-时间表
防火墙-流量整形器
防火墙-策略
防火墙-策略的顺序
感谢您的聆听!
系统管理-冗余接口1
系统管理-冗余接口2
Router 1
Router 2
Router 1
主接口失效后, 冗余接口中的其 他接口将激活
Router 2
正常情况,只有 冗余接口的主接 口处于工作状态。
主接口失效后, 冗余接口2开始 工作。
系统管理-区Zone
系统管理- DHCP服务器
系统管理- FortiGate选项
Active 建议使用
工作 不工作
Passive 工作 不工作 不工作
Static 不工作 不工作 建议使用
查看链路聚合工作状态
ha-a-981 # diagnose netlink aggregate name linkaggregate LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D) (A|P) - LACP mode is Active or Passive (S|F) - LACP speed is Slow or Fast (A|I) - Aggregatable or Individual (I|O) - Port In sync or Out of sync (E|D) - Frame collection is Enabled or Disabled (E|D) - Frame distribution is Enabled or Disabled
Wan
Port2 192.168.1.1
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
FortiGate透明模式
Transparent
59.108.29.1
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
数据包处理流程
NP数据包处理流程
系统管理-网络接口
系统管理-物理网络接口1Vlan接口
系统管理- 802.3ad汇聚接口1
系统管理- 802.3ad汇聚接口2
802.3ad 两端设定使用状态
Active Passive Static