[互联网]02-防火墙策略.pptVIP

防火墙策略 Course 201 v4.0 创建防火墙策略的原则 策略是按照进出流量的接口部署的 流量如果没有匹配的防火墙策略的话，是不能穿过设备的 正确理解状态监测，防火墙的策略应以数据流的发起方来判断建立的方向 也就是说，当需要内部网访问外部网时，只需要建立一个从Internal到wan1的允许策略即可 防火墙策略 如何创建防火墙策略 – 接口与IP地址 两种类型的地址: IP / IP Range FQDN——域名的方式 定义IP范围的多种方式: 9 / /24 9-05 192.168.1.[99-105] 如何创建防火墙策略 – 选择与定制服务 FortiGate本身内置了六十多个预定义的服务 用户也可以自行定义服务，以下协议可以定制: TCP/UDP ICMP IP 也可以通过组的方式将多个服务组合在一起 如何创建防火墙策略 – 定制时间表 防火墙的基于时间的控制 如何创建防火墙策略 – 选择动作 数据包是根据接口、地址、协议、时间四项进行匹配的，一旦匹配成功后，就根据“Action”来决定操作，不再向下匹配。 在建立防火墙策略是，应尽可能范围小的放在前面，范围大的放在后面。 在 NAT/Route模式下，防火墙策略还需要判断是否对数据流进行NAT。 有以下类型的动作： Accept Deny SSL——ssl vpn的策略 IPSec——Ipsec vpn的策略 防火墙策略使用“Any”接口 源或目的接口都可以设置为“any” 如果任何一条防火墙策略使用了“any”接口，则只能使用防火墙策略全局视图 “any”接口不能用于VIP或IP-pool 两种查看方式——Section或者Global 使用了Any作为接口只能支持Global view 如何创建IPv6和多播策略 所有的IPV6和多播都是通过命令行来配置的 IPV6地址可以配置到任一接口 IPV6对象和策略 policy6 address6 addrgrp6 多播策略 multicast-policy 实验一 10.0.x.1只能够访问，而不能访问其他的网站 提示： 注意以下DNS的问题 没有匹配策略成功的话，那么是拒绝的。 实验二 dmz区有一个代理服务器 8080，用户希望员工通过代理服务器上Internet，不允许其他的方式上网。 如何设置防火墙认证——用户 用户对象是认证的一个方法 用户组是用户对象的容器 识别组成员 保护内容表和类型实现对成员的认证属性 FortiGate基于组的方式控制对资源的访问 用户组和防火墙策略定义了对用户的认证过程 如何设置防火墙认证——用户种类 支持以下类型的认证: 本地用户 建立在防火墙上的用户名和密码 RADIUS用户 取自Radius的用户名和密码 LDAP / AD用户 取自LDAP服务器的用户名和密码 TACACS+ 取自TACACS服务器的用户名和密码 FSAE / NTLM (AD)用户 可以实现单点登录 PKI 基于CA证书(不需要用户名和密码) 如何设置防火墙认证——用户组 用户组名称 类别设为防火墙 保护内容表与用户组绑定 设置组成员 如何设置防火墙认证——用户认证子策略 启用基于用户的子策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志 功能描述 所有启用用户认证的防火墙策略将成为“基于用户认证的策略” 可以将一条策略拆分成多个子项： 用户组 时间表 服务 保护内容表 流量控制 流量日志 如何设置防火墙认证——用户认证子策略 说明 根据不同的用户组部署不同的保护内容表和流量控制 如何设置防火墙认证——免责声明 免责声明是在用户正确地输入用户名和密码后，弹出一个页面对访问Internet作出一个说明，该说明可以是免责内容，也可以作为广告使用 重定向网页是用户接受免责声明后，转向在这里输入的网址 认证的次数？ 默认情况下，例如v3.0MR5+，认证是基于策略的：当一个用户已经在策略1中认证过，当他使用策略2时，需要重新认证。 有一条命令可以改变以上情况，变为全局认证 – top3 777 认证的次数？例 以上两条策略访问不同的目的地址，而认证用户组是一个。 如果auth-policy-exact-match设置成enable，则访问dst1和dst2都分别需要认证 如果auth-policy-exact-match设置成disable，则访问dst1和dst2只需要认证一次 认证事件日志 格式化后 用户监视 - Firewall v4.0的GUI下可以监视已认证的用户 如何设置防火墙认证——认证时间与协议 当没有已经认证的用户在没有数据流的情况下，经过“