fortigate02.防火墙策略.pptVIP

防火墙策略OS 4.0 防火墙策略使用“Any”接口 支持“Any”接口 Any相当于所有接口的集合 两种查看方式——Section或者Global 使用了Any作为接口只能支持Global view “any”接口不能用于VIP或IP-pool 防火墙策略使用“Any”接口 源或目的接口都可以设置为“any” 如果任何一条防火墙策略使用了“any”接口，则只能使用防火墙策略全局视图 “any”接口不能用于VIP或IP-pool 支持“Any”接口 Any相当于所有接口的集合 两种查看方式——Section或者Global 使用了Any作为接口只能支持Global view 基于用户认证的子策略 启用基于用户的子策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志 基于用户认证的子策略——例 说明 根据不同的用户组部署不同的保护内容表和流量控制 基于接口的DoS策略 流量控制增强 流量控制的方向 如果只设置流量控制，而没有设置Reverse Direction Traffic Shapping，则该流量控制是针对上下行同时起作用的 如果设置了Reverse Direction Traffic Shapping，则上行的速度有流量控制来起作用，而Reverse Direction Traffic Shapping则控制下行速度 虚拟IP的间隔式ARP广播 通过配置发送ARP广播的方式让路由器自动地更新ARP表。通过命令行可以设置发送ARP广播的频率。间隔时间设置为0时，则关闭ARP广播 config firewall vip edit new_vip (configure the virtual IP) set gratuitous-arp-interval interval_seconds end 虚拟IP的ARP广播 服务器负载均衡——新建虚拟服务器 虚拟服务器支持的 多种分配方式 Static 根据发起请求的源IP来分配流量，对于某一源IP来说，在没有达到目的IP的会话限制前，不会轮询到下一个目的IP Round Robin 根据发起的会话来分配，根据会话来轮换目标IP Weighted 按照权重来分配会话，比如分别设置两个服务器的权重为2和10，则会话按照2：10的方式来分配 多种分配方式 First Alive 根据健康检查状况，永远把流量转向第一个保持存活的服务器 Last RTT 根据健康检查的ping获得的RTT来判断将流量传到哪台服务器 Last Session 按照权重来分配会话，比如分别设置两个服务器的权重为2和10，则会话按照2：10的方式来分配 健康检查 TCP 通过不传数据的空连接来检测 Ping Ping包 HTTP Get一个内容然后进行匹配 不同的保持方式（Persistence ）——Cookie None HTTP Cookie SSL 不同的保持方式（Persistence ）——SSL 根据SSL ID来分配流量 只能在支持SSL offload功能中使用 Diagnose debug application vs 7 SSL Offload 仅FG110C FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 两种模式 客户端到FG加密，FG到Server不加密 客户端到FG加密， FG到Server加密 客户端到FG加密采用的是FG颁发的证书，而非服务器颁发 目前build141可以正常工作，MR1不可以，可以支持Firefox, IE 6.0不可以。 HTTP multiplex(多路复用)一 HTTP multiplex(多路复用)二 Vdom的资源限制 全局的资源 POST三种处理方式 Normal 正常允许 Block 阻断POST动作 Comfort 对于Post采用定时发送数据包的方式保持连接 Block阻断方式 禁止Post动作 Comfort方式 Comfort模式查看http进程的动作 : Diag debug app http -1: 000.000000 [2]: 9:3362 -- :80: [CLTRDRDY ] Event - HTTP_REQUEST_EVENT 000.000000 [2]: 9:3362 -- :80: [CLTRDRDY ] HTTP_REQUEST_STATE 000.000000 [2]: 9:3362 -- :80: [LOOPEND ] Event - BUFFER_EVENT 000.000000 [2]: 9:3362 -- :80: [LOOPEND