FG400进阶实作.doc

Fortigate 400 防火牆實作 王慶祥 2007/12 一、基本組態設定 首先透過FG400的LCD面板將系統還原成預設值，接著將PC的IP手動設定為0/24，連接Port1後開啟瀏覽器輸入9進入管理畫面，由於預設畫面為英文，可先經由Admin\Settings\Deisplay Settings\Language，改為Traditional Chinese(繁體中文)，另外預設Admin Session Idle為5分鐘，可依需求調整，在此先設置為60分鐘以因應研習講解。 接著變更從「系統管理\狀態\主機名稱」將FG400更名為FW1，同時在系統時間當中設定時區為(GMT+8:00)Taipei，並且指定網路時間伺服器(NTP)，避免日後因時間的偏差造成Log判讀錯誤。 接著把網路界面做一些調整，從「系統管理\網路」可看到目前FG400的網路設定。 一般而言，Port2是做為連外的界面，需依實際狀況完成必要的設定 在NAT/Route模式下，必須為FG400指定一項靜態路由，其中要有一筆預設閘道器，以便讓封包順利送到External 完成到此，FG400本身應該就可以對外連線，接著就必須開放防火牆NAT的功能，從「防火牆\策略」制定如下的一條策略以便放行 二、動態主機組態協定(DHCP)： 在組織內部進行IP發放與Netmask、Gateway、DNS等的設定，是一件看似單純，但是卻相當繁複的工作，如果設定不當，將會造成IP衝突，導致電腦無法上網。因此DHCP便是一項相當管用的服務。 在FortiOS 3所提供的DHCP 服務，其操作界面相當陽春，相較於FortiOS 2.8甚至還少了IP MAC Binding的部份，不過是可以藉由CLI來補足。 逐一完成必要欄位的設定，如下圖： 位於Port1的 1. Go to Firewall Protection Profile. 2. Select a protection profile or select Create New. 3. Select the blue arrow to expand Antivirus. 4. Enable Virus Scan for required protocols. 5. Select OK. 6. Use the protection profile in a firewall policy. 特別注意：該策略的介面是Port1-Port2，原因是封包初始連線的方向，而非病毒封包的來源。 如果正常以上的設定正確，將會看到如下的畫面： 如果要設定依附檔名進行阻擋，那麼必須利用文件模板，File Pattern(文件模板)：在AntiVirus(病毒檢查)主選項中，可建立客製化的文件附檔名表列，作為在此判定是否通行的依據，若是設定為block則該型的檔案便遭阻擋。 以下是設定「病毒檢查/檔案模板」的畫面，網管人員可自行新增案類型，這裡不區分大小寫，配合萬用字元可彈性運用。 完成後，讀取檔案時將會出現如下的警告 特別注意：在檔案模板當中，*.doc啟用的選項未勾選，是否可以下載呢？ 寫在最後：當設定防毒選項，為避免下載檔案時停置過久，因此設定每隔Interval的秒數，放行Amount bytes的流量，稱之為用戶舒適(Comfort Clients)。一般而言，為避免防毒漏洞，通當會設定附加大檔案的信件直接刪除，一方面可減輕防火牆的工作量。 若是搭配FortiAnalyzer，還可以進一步設定將檔案隔離集中存放 在隔離區當中就可以檢視到該檔案 當然，也可以進入到FortiAnalyzer去下載被隔離的檔案 補充說明：如果要讓使用者更瞭解訊息內容，可以從「系統管理\設定\置換訊息」，把警示替換成中文HTML，不過根據測試，最好在Head當中加入以下這一段，以免網頁顯示編碼錯誤。 Headmeta http-equiv=Content-Type content=text/html; Charset=Big5/Head 另類思考： Q:萬一HTTP不在標準Port 80上呢？ A: FW1 # config antivirus service http 五、SSLVPN 目標：Setting up FortiGate SSL VPN to provide secure web-based access to an internal network. SSL VPN的是一個安全的遠程接入解決方案，在客戶端僅需要很少的配置。目前Fortigate提供兩種模式的SSL VPN 。 Web Mode提供遠程用