2011_fortigate400进阶实作-教网FTP伺服器.DOC

Fortigate 400 防火牆實作 王慶祥 2007/12 一、基本組態設定 首先透過FG400的LCD面板將系統還原成預設值，接著將PC的IP手動設定為0/24，連接Port1後開啟瀏覽器輸入9進入管理畫面，由於預設畫面為英文，可先經由Admin\Settings\Deisplay Settings\Language，改為Traditional Chinese(繁體中文)，另外預設Admin Session Idle為5分鐘，可依需求調整，在此先設置為60分鐘以因應研習講解。 接著變更從「系統管理\狀態\主機名稱」將FG400更名為FW1，同時在系統時間當中設定時區為(GMT+8:00)Taipei，並且指定網路時間伺服器(NTP)，避免日後因時間的偏差造成Log判讀錯誤。 接著把網路界面做一些調整，從「系統管理\網路」可看到目前FG400的網路設定。 一般而言，Port2是做為連外的界面，需依實際狀況完成必要的設定 在NAT/Route模式下，必須為FG400指定一項靜態路由，其中要有一筆預設閘道器，以便讓封包順利送到External 完成到此，FG400本身應該就可以對外連線，接著就必須開放防火牆NAT的功能，從「防火牆\策略」制定如下的一條策略以便放行 二、動態主機組態協定(DHCP)： 在組織內部進行IP發放與Netmask、Gateway、DNS等的設定，是一件看似單純，但是卻相當繁複的工作，如果設定不當，將會造成IP衝突，導致電腦無法上網。因此DHCP便是一項相當管用的服務。 在FortiOS 3所提供的DHCP 服務，其操作界面相當陽春，相較於FortiOS 2.8甚至還少了IP MAC Binding的部份，不過是可以藉由CLI來補足。 逐一完成必要欄位的設定，如下圖： 位於Port1的DHCP服務，便正式開始啟用。 不過，根據多年的網管經驗，為了要有效識別組織內部的電腦，最好事先做好IP與MAC Address的對應，也就是讓特定網卡每次獲得相同的IP。 由於必須使用CLI來完成，因此，可使用筆者所開發出的Excel巨集來完成。 接著會在ipmac.xls相同的目錄下產生一個ipmaccli.txt的檔案，利用匯入指令檔的功能，將可減少指令輸入的工作。 三、使用者認證： 利用使用者認證，可以讓內部的使用者連上網路時，必須先輸入帳號密碼，用以達成網路控管。目前FortiOS 3可支援的使用者包含本機、LDAP(Windows AD)與RADIUS等，以下以最簡單的本機帳戶為例： 接著在用戶組當中新增一項群組，並設定Protection Profile，將剛才新增的使用者加入右側表當中。 在認證設定中，可以設定逾期時間、支援的服務，以及認證網頁是否重導到https 最後，建立一則防火牆的Policy，最重要的就是授權認證要選擇防火牆： 完成以上的設定，當使用者要從Port1到Port2時，便會出現要求輸入帳號密碼的畫面，使用者必須正確輸入後，才會重導到期望的網站。 而且使用者的登入記錄也會忠實呈現在Log中，若能配合LDAP等Single Signon服務，將可以有效記錄使用者上網情形。 補充：強迫中斷已有認證，可透過CLI輸入 diagnose firewall iprope resetauth 四、防範電腦病毒 先建立保護內容表(Protection Profile) 1. Go to Firewall Protection Profile. 2. Select a protection profile or select Create New. 3. Select the blue arrow to expand Antivirus. 4. Enable Virus Scan for required protocols. 5. Select OK. 6. Use the protection profile in a firewall policy. 特別注意：該策略的介面是Port1-Port2，原因是封包初始連線的方向，而非病毒封包的來源。 如果正常以上的設定正確，將會看到如下的畫面： 如果要設定依附檔名進行阻擋，那麼必須利用文件模板，File Pattern(文件模板)：在AntiVirus(病毒檢查)主選項中，可建立客製化的文件附檔名表列，作為在此判定是否通行的依據，若是設定為block則該型的檔案便遭阻擋。 以下是設定「病毒檢查/檔案模板」的畫面，網管人員可自行新增案類型，這裡不區分大小寫，配合萬用字元可彈性運用。 完成後，讀取檔案時將會出現如下的警告 特別注意：在檔案模板當中，*.doc啟用的選項未勾選，是否可以下載呢？ 寫在最後：當設定防毒選項，為