fortigate防火墙配置.pptxVIP

防火墙防火墙介绍FMC模块内部专有处理器FortiASIC NP4 lite网络处理器芯片接口级的数据加速服务低延迟, 百万NAT级会话线速性能IPSec ESP 加解密处理IPS异常检测，数据包重组约NP4一半的性能FortiASIC CP8 安全处理器芯片多核多线程安全处理提供FortiASIC NP4以外的功能服务IPS特征匹配IPSEC SSL/TLS协议处理器IKE认证模块SHA256/SHA1/MD5防火墙界面与配置FortiGate路由模式NAT/Route82WanPort1PortInternal 1 /24Internal 2 /24FortiGate透明模式TransparentWanPort1Port284Internal 1 /24Internal 2 /24数据包处理流程NP数据包处理流程系统管理-网络接口系统管理-物理网络接口1系统管理-物理网络接口2系统管理- Vlan接口系统管理- 802.3ad汇聚接口1系统管理- 802.3ad汇聚接口2802.3ad 两端设定使用状态ActivePassiveStaticActive建议使用工作不工作Passive工作不工作不工作Static不工作不工作建议使用查看链路聚合工作状态ha-a-981 # diagnose netlink aggregate name linkaggregateLACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D)(A|P) - LACP mode is Active or Passive(S|F) - LACP speed is Slow or Fast(A|I) - Aggregatable or Individual(I|O) - Port In sync or Out of sync(E|D) - Frame collection is Enabled or Disabled(E|D) - Frame distribution is Enabled or Disabled系统管理-冗余接口1系统管理-冗余接口2Router 1Router 2Router 1Router 2主接口失效后，冗余接口中的其他接口将激活冗余接口2冗余接口2冗余接口1冗余接口1正常情况，只有冗余接口的主接口处于工作状态。主接口失效后，冗余接口2开始工作。系统管理-区Zone系统管理- DHCP服务器系统管理- FortiGate选项系统管理-访问内容表系统管理-管理员设置1系统管理-管理员设置2系统管理-固件升级路由-静态路由路由-策略路由路由-当前路由表防火墙-地址防火墙-地址组 防火墙-预定义与定制防火墙-服务组防火墙-时间表 防火墙-流量整形器防火墙-策略防火墙-策略的顺序NAT 模式对网络可见，每个连接到网络的接口需要配置IP地址，通过策略及NAT控制流量；config system settingsset opmode NATendFortiGate 所有图形界面中的选项更改可以在CLI查看更改对应的CLI命令diagnose debug enablediagnose diebug cli 8Transparent模式对网络不可见，所有接口都在同一子网共享一个管理IP地址，通过策略控制流量。透明模式下管理IP配置config system settingsset opmode transparentset manageip 84 set gateway end当FortiGate 从物理接口接收到数据包，该网络接口的设备驱动将数据包发送给路由模块，如果路由不匹配则将数据包丢弃，匹配路由则检查数据包是否是加密流量发送给VPN解密模块或者防火墙模块处理，根据防火墙策略决定是否接收或拒绝该数据包，如果数据包被策略拒绝或者未匹配策略，该数据包将被丢弃。如果该数据包被防火墙设定的策略接受，若该策略包含UTM选项，那么将继续发送数据包给应用层做进一步处理。网络接口中列出该设备的所用网络接口,及接口的IP地址，访问控制，链路状态及管理状态ha-a-981 # show system interface config system interface edit port1 set vdom root set ip 34 set allowaccess ping https ssh snmp http telnet set type physical next edit port2 set vdom root set ip set allowaccess ping https http telnet set type physical next edit port3…物理接口支持三种地址模式自定义，DHCP和PPP