02-防火墙策略7.pptVIP

防火墙策略 Course 201 二层协议的穿越——基于接口控制 非ip的二层协议的穿过 FortiGate本身不能够参与STP协议，但是可以设置其通过 控制vlan数据包是否直接放过 控制arp广播包穿过 多播流量的控制 基于RADIUS的防火墙认证 FortiGate作为network access server (NAS) 用户信息被送到RADIUS server 用户的认证取决于服务器的响应 对象识别识别IP地址和共享密钥，最多支持两个 RADIUS servers RADIUS对象可以用来所有的服务的认证 Admin用户的Radius认证 软交换接口(1)——概念 软交换接口模式 在物理接口之间创建桥连接 每个软交换接口可以指定一个逻辑IP地址 MR6中只能使用命令方式配置 不能用于HA monitor或心跳接口 软交换接口(2)——配置 在MR7加入GUI支持 软交换接口(3)———GUI视图 GUI视图 Ports 4 5被从接口列表中删除 只有空接口可以被加入到软交换接口 已有任何配置的接口（如DNS转发、静态路由、防火墙策略等）的接口都不能加入软交换接口组 软交换接口(4)——数据包行为 软交换接口组中各接口之间的流量无需防火墙策略控制 软交换接口被视为一个物理接口，就像链路聚合接口一样 可以在软交换接口上配置VLAN接口 软交换接口(5)——注意事项 所有的物理接口都可以加入到软交换接口中 标准接口 FA2接口 NP2接口 无线接口(FortiWiFi) 以上接口可以在软交换接口中混合存在 FortiGate不参与spanning tree 不发送STP包 不接收STP包 因此需要注意LOOPS可能产生 !!! 软交换接口(6)—— NAT/Route方案 软交换接口(7)——避免Loop 为了避免loop，需要开启FortiGate接口上的stpforward 配置软交换组中的物理接口 软交换接口(8)—— Troubleshooting Sniffing 可以在物理或软交换接口上使用 如果在软交换接口上使用sniffer命令，内部的交换流量不会捕获 软交换接口(9)—— 转发表(FDB) 检查软交换接口的FDB TACACS+ Server - Cisco Secure ACS Zone——将多个接口组织起来简化防火墙策略 使用区域可以将相关联的接口与VLAN子接口划分为组进行管理。将接口与子接口分组管理简化了策略的创建。可以直接配置防火墙策略控制往来于区域的连接，而不是对区域中每个接口。 您可以在区域列表中添加区域，更改区域的名称、编辑及删除区域。添加区域时，选择添加到该区域的接口与VLAN子接口的名称。 区域可以添加到虚拟域中。如果FortiGate配置中添加了多个虚拟域，在添加或编辑区域之前确认已经配置了正确的虚拟域。 区域内是否允许相互通讯，缺省状态是允许 实验一 基于Radius的管理员认证 设置管理员ccadmin，基于Radius服务器进行认证 实验二 软交换接口 将internal和wan2接口设置为交换接口，ip为10.0.X.254，设置策略允许内网访问Internet * TACACS+ provides separate authentication, authorization and accounting services. TACACS+ is based on TACACS, but, in spite of its name, it is an entirely new protocol which is incompatible with any previous version of TACACS. TACACS+ and RADIUS have generally replaced the earlier protocols in more recently built or updated networks, although TACACS and XTACACS are still running on many older systems. TACACS+ offers multiprotocol support such as IP, and AppleTalk. Normal operation fully encrypts the body of the packet for more secure communications. It is a Cisco proprietary enhancement to the original TACACS protocol. Whereas RADIUS combines au