Fortigate防火墙简单配置指导.docx
《Fortigate防火墙简单配置指导.docx》由会员分享,可在线阅读,更多相关《Fortigate防火墙简单配置指导.docx(11页珍藏版)》请在冰豆网上搜索。
Fortigate防火墙简单配置指导
华为技术安全服务
Fortigate防火墙简明配置指导书
华为技术有限公司
二〇一八年十月
版权声明
©2003华为技术有限公司
版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
作者信息
拟制:
宋建新、朱可欣
日期:
2003-05-30
审核:
日期:
审核:
日期:
批准:
日期:
修订记录
日期
修订版本
作者
描述
目录
第一章、产品简介4
第二章、Fortigate防火墙简明配置指导8
1、恢复缺省8
2、串口配置8
3、交叉网线连port3,进入web配置9
4、配置外口网关9
5、配置路由10
6、配置虚拟外网IP10
7、配置端口服务11
8、组合服务11
9、将组合服务关联到映射IP12
第一章、产品简介
FortiGate安全和内容控制系列产品,是利用一种新的体系结构方法研发的,具有无与伦比的价格/性能比;是完全的、所有层网络安全和内容控制的产品。
经过一些安全行业深受尊重的安全专家多年的研究开发,FortiGate解决方案突破了网络的“内容处理障碍”。
提供了在网络边界所有安全威胁类型(包括病毒和其它基于内容的攻击)的广泛保护。
并且具备空前的消除误用和滥用文字的能力,管理带宽和减少设备与管理的费用。
常规的安全系统,像防火墙和VPN网关在防止称为网络层攻击是有效的,它通过检查包头信息来保证来自信任源合法请求的安全。
但在现今,绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击,例如病毒和蠕虫。
在这些更多诡辩的攻击中,有害的内容常常深入到包内容,通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。
同样的,有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本,并且需要除了网络层实时信息,还有分解和分析应用层内容(例如文件和指令)的能力。
然而,在现今的网络速度下,完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。
结果,使用常规解决方案的机构面临着“内容处理障碍”,这就迫使他们在桌面和服务器上加强内容服务的配置。
无论如何,当我们变得更依赖网络通讯的时候,这样是无法接受的:
增加安全的同时维持原来的性能和降低成本是最基本的,为了这些,一种新的法是必需的。
FortiNet突破内容处理障碍
FortiGate产品线设计了从低端到支持广泛的安全和内容控制,提供千兆及以上线速性能的同时,为电信、小型办公室、企业和服务提供商节省有效的成本。
FortiGate系列是以包括FortiNet的FortiASIC?
内容处理和FortiOS操作系统在内的革命性体系结构为基础的。
专用硬件和软件强大的结合提供了线速处理深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化。
FortiGate的体系结构使FortiGate系列产品能够提供一套完整的服务,包括以下几点:
-防火墙(地址转换、端口转换和状态检测)
-病毒/蠕虫检测和消除
-入侵检测
-根据URL、关键词或词组过滤内容
-拒绝服务检测和防止
-虚拟专用网
-流量控制
通过将这些基本功能合并在紧凑的、可靠的、容易管理的FortiGate产品里,FortiNet已经打破了内容处理的障碍。
完全的、线速安全和内容控制:
FortiGate系列产品按照可选择的解决方案提供了功能和受益无与伦比的结合:
FortiNet加速的行为和内容监测系统(ABACIS)是第一个结合防火墙、防病毒和内容过滤、VPN、入侵检测和流量控制功能在一起的产品。
ABACIS技术消除了由若干单个功能设备引起的低效率和资源浪费,这样减少了设备费用、更容易的网络集成、简单的管理和较低的更换费用。
FortiNet独特的内容扫描技术使用专门设计的ASIC芯片和软件,提供了无比的能力和适应性。
FortiASIC?
内容处理器完成深层次包检查,并且能够分类和分解数据包,还可以在没有危及网络性能的情况下根据攻击的数百、数千个“特征码”进行内容匹配,比如病毒和蠕虫。
内容扫描技术也能够使Web内容过滤基于用户自定义的关键字或短语,
支持多种语言,另外还可以阻止挑选过的URL。
内容过滤这种方法比单一的URL阻止提供了更好的选择性和控制,保护了来自任何地方的不必要的内容。
FortiASIC芯片集成的加密引擎为安全和高性能的VPN提供了线速加密和认证性能,支持点到点和远程访问通讯。
FortiGate的VPN功能是与工业标准(IPsec,L2TP,PPTP)完全兼容的,可与第三方VPN网关、微软和其他提供商的客户端共同使用。
FortiGate入侵检测系统辨认和阻止攻击的范围,包括端口扫描、IP欺骗、IP源路由攻击和其他的攻击方式。
在一个企图入侵者被检测和阻止时,系统会自动发出一个报警和日志记录以便管理员分析。
FortiGate流量控制系统使网络管理员能够保证指定用户特殊服务的质量。
例如,挑选单独的一个组,给它支持一个特殊服务带宽使用的优先权,比如视频流,一会儿另一个不是基本服务(比如游戏)所使用的带宽就被禁止掉。
FortiNet的FortiGuard?
保护服务提供了关于FortiGate新攻击的自动更新。
当发现新的攻击类型,它们的特征码就会很容易自动的加载到FortiGate。
FortiGate管理系统提供了一套完整的管理工具,支持安装从单个点到多个点的企业网络,管理来自包括数百或数千个本地和用户主要服务提供者提供的服务。
提供有权使用所有的管理功能,基于浏览器界面,功能强大而简单,能够管理所有的FortiGate产品,多个管理员可以定义不同的权限。
对于巨大的安装用户,FortiManager?
控制中心是一个基于硬件的管理系统,能够自动策略定义和交叉地配置搜集到的大量FortiGate设备。
FortiManager中心提供了集中的、可靠的设置和策略存储,也为系统事件提供了集中记录日志和报告。
基于浏览器的FortiManager管理控制台提供了使以前定义的策略容易的在多个设备间交叉复制,这个为大的企业和服务提供商安装减少了管理时间和成本。
FortiGate系列产品,突破了功能、性能和成本效率的结合,第一次使网络安全和内容控制没有界限。
全面的产品系列:
FGT-50
FGT-100
FGT-200
FGT-300
FGT-400
FGT-500
FGT-2000
我司应用较多的是其中的FGT-400、FGT-500两种型号
FGT-400:
基本技术参数:
接口
4个10/100mbaseTX/1个db9控制口/9600波特率
lcd液晶屏
四个按键,设置基本配置
吞吐量/3des
300M/220M
本地硬盘
20G
用户数限制:
无用户数限制
基本功能:
病毒检测
扫描邮件附件SMTP/POP3/IMAP附件内容和插件的病毒及宏病毒在线自动升级病毒库
蠕虫保护
扫描所有进出的电子邮件及附件检测网页里的插件和下载的内容
内容过滤
IP策略级的URL,关键词过滤等
防火墙
nat/透明模式/端口地址转换/路由模式
内建用户认证数据库/RADIUS认证
支持标准服务/用户自定义服务
ip/mac地址绑定
HA(高可用性)
支持主--主/主--从
管理界面
提供lcd管理基本配置
浏览器管理,支持英文/中文/日文/韩语
使用SSH远程管理多管理员账号
实现账号与IP地址绑定
提供Console口控制远程管理
FGT-500
基本技术参数:
接口
12个10/100mbaseTX/1个db9控制口/9600波特率
lcd液晶屏
四个按键,设置基本配置
吞吐量/3des
300M/220M
本地硬盘
20G
用户数限制:
无用户数限制
基本功能:
同FGT-400
第二章、Fortigate防火墙简明配置指导
通过一下的九个步骤即可完成Fortigate防火墙的最简配置
1、恢复缺省
接通电源,观察Fortinet的前置LCD面板,当“STARTINGSYSTEM”完成后,则可以按住面板右边的“ESC”,停留4秒以上后,出现“MAINMENU”字样,然后按向向的按扭,出现“RestoreDefaults”后,再按2次“Enter”,系统就会恢复到厂家初始设置状态。
其中:
internal口IP为192.168.1.99/24,external口IP为192.168.100.99/24,port1为10.10.10.1/24,port2为172.1.2.1/24,port3为172.1.1.1/24,HA为172.16.1.1/24。
其中internal,externalport3口的IP可以直接从LCD上找到。
各口都只开放了ping。
2、串口配置
利用串口线将便携机com1与Fortinet的console口相连,然后利用windows的超级终端port1~port3。
超级终端的配置为:
速度:
9600
数据位数:
8
奇偶校验:
无
停止位:
1
流量控制:
无
Fortinet的缺省用户名为admin,没有密码(需要密码时直接回车即可)。
可以在此完成防火墙的全部配置。
但CLI界面非常不直观,推荐使用WEB配置。
为了实现WEB配置,必须授于port3有https接入。
执行:
setsysteminterfaceport3staticallowaccesshttps。
退出超级终端。
3、交叉网线连port3,进入web配置
将便携机配置固定IP:
172.1.1.2/24,然后利用交叉网线连接至Forinet的Port3口,在IE地址栏输入:
https:
//172.1.1.1即进入web配置。
缺省用户名为admin,缺省密码为空。
注意,执行3、1,3、2的目的是暂时无法接通光纤通路,利用port1口接内网,port2口接外网。
如果光纤通路已通,则不是必须的。
3.1修改port1的区域属性为“internal”,具体操作如下:
左边窗口选择“system->network”,然后在右边窗口选择“interface”,点击“port1”行的最右边
标记,进入修改页面,其操作界面如下:
一般要修改该接口的IP,掩码,所属区域(Zone)以及是否允许https与ping。
3.2修改port2的区域属性为“external”,具体操作同3、1步。
4、配置外口网关
在左边窗口选择“system->network”,右边窗口选择“routinggateway”,出现如下配置页面。
注意,如果没有选中“Deadgatewaydetection”,则下边3项不会出现。
其中,GatewayIP为外口所接的网关地址,下边三项为可选项,用于检测网关是否连接正常。
5、配置路由
在窗口走边选择“system->network”,右边窗口选择“Routingtable”,然后选择“New”按扭后,进入添加路由表项界面,具体如下:
其中,SourceIP与Netmask确定路由源,DestinationIP与Netmask确定目的IP段,Gateway确定路由关口(必须在第4步配置)。
6、配置虚拟外网IP
即设定内网到外网的映射IP。
在窗口左边选择“Firewall->VirtualIP”,右边窗口点击“New”按扭,出现配置界面,具体如下:
其中:
Name:
为该映射IP的名字,可以随便定义,
ExternalInterface:
设定该IP所对应的物理接口,
ExternalIPAddress:
映射前IP,一般为内网IP,
MaptoIP:
映射后IP,一般为外网IP。
7、配置端口服务
在左边窗口选择“Failwall->service”,右边窗口选择“Custom”栏,然后
点击“New”按扭,出现添加服务端口界面,具体如下:
其中,
Name:
标识该端口服务的名称,只要直观就行;
Protocol:
标识该端口服务是TCP还是UDP;
SourcePort:
标识请求该端口服务的客户端可用端口范围;
DestinamtionPort:
标识响应该端口服务的服务器端可用端口范围。
选择“Add”按扭可以为该服务再添加新的源端口与其对应的目的端口范围。
当一个服务所对应的源端口与目的端口都是分段受限群时,需要利用“Add”按扭逐项添加。
8、组合服务
防火墙的作用是限制用户访问权限,即使合法用户也只能具有某些访问权限,这样,管理员就需要将某些服务捆绑在一起,再将其授予某类用户。
在左边窗口选择“Failwall->Service”,右边窗口选择“Group”,再点击“New”后,出现配置组合界面,具体如下:
其中,
GroupName:
标识组合服务的名称,只要直观就行;
AvailbaleServices:
系统当前可用服务名称,包含厂家预定义的服务和用户自定义的服务;
Members:
标识组合服务所包含的具体服务。
想将某服务组合到当前组合中,则在左边选中之,然后点击右向箭头;反之,如果想将某服务从当前组合服务中去掉,则在右边选中之,然后点击左向箭头。
9、将组合服务关联到映射IP
这步实现访问限制,一般是限制外网访问内网。
在左边窗口选择“Failwall->Policy”后,出现如下窗口:
其中,
横向标识源IP,纵向标识目的IP,一般只需限制来自外网的IP访问内网IP。
点击第一行第2个“Edit”,后,进入具体配置界面:
其中,
Source:
标识源IP,一般为External_All,即外网所有IP,
Destionation:
标识目的IP,一般为映射IP,因为外网不能直接访问内网IP,只能访问映射IP;
Schedule:
标识该策略的调度计划,一般选择“Always”;
Service:
选择组合服务的名称;
Action:
标识对Service是进行白名单还是黑名单过滤。
当选择“ACCEPT”时,表明只接受Service所包含的服务,其它都拒绝;当其为“DENY”时,则恰好相反,只拒绝Service所包含的服务。
TrafficShapping:
标识该策略的带宽。
Fortinet防火墙提供带宽配置,这样,你可以分配各类组合服务的带宽,以便更好的发挥防火墙的性能。
例如,在WEB认证情况下,可以让外网访问PORTAL的带宽大些,而访问ISMSWORK的带宽小些。
至此,防火墙的最小配置已经完成。
至于防病毒、WEB内容过滤以及日志管理等,都可以参阅Fortigate的用户手册进行细化的配置。
升级会员 