飞塔防火墙的防火墙策略.pptxVIP

防火墙策略 Course 301 二层协议的穿越——基于接口控制 非ip的二层协议的穿过 FortiGate本身不能够参与STP协议，但是可以设置其通过 控制vlan数据包是否直接放过 控制arp广播包穿过 config system interface edit interface_name set l2forward enable set stpforward enable set vlanforward enable set arpforward enable end 多播流量的控制 多播流量在缺省状态下不能透明穿越防火墙 部署多播策略允许多播流量 可以对多播流量进行nat 在透明模式下，也可以不通过策略方式，而直接设置全局选项multicast-forward enable 是否更改多模的ttl 基于RADIUS的防火墙认证 FortiGate作为network access server (NAS) 用户信息被送到RADIUS server 用户的认证取决于服务器的响应 对象识别识别IP地址和共享密钥，最多支持两个 RADIUS servers RADIUS对象可以用来所有的服务的认证 Admin用户的Radius认证 软交换接口(1)——概念 软交换接口模式 在物理接口之间创建桥连接 每个软交换接口可以指定一个逻辑IP地址 MR6中只能使用命令方式配置 不能用于HA monitor或心跳接口 软交换接口(2)——配置 在MR7加入GUI支持 config system switch-interface edit switch-1 set member port4 port5 next end config system interface edit switch-1 set vdom root set ip 04 set allowaccess ping https set type switch next end 软交换接口(3)———GUI视图 GUI视图 Ports 4 5被从接口列表中删除 只有空接口可以被加入到软交换接口 已有任何配置的接口（如DNS转发、静态路由、防火墙策略等）的接口都不能加入软交换接口组 软交换接口(4)——数据包行为 软交换接口组中各接口之间的流量无需防火墙策略控制 软交换接口被视为一个物理接口，就像链路聚合接口一样 可以在软交换接口上配置VLAN接口 软交换接口(5)——注意事项 所有的物理接口都可以加入到软交换接口中 标准接口 FA2接口 NP2接口 无线接口(FortiWiFi) 以上接口可以在软交换接口中混合存在 FortiGate不参与spanning tree 不发送STP包 不接收STP包 因此需要注意LOOPS可能产生 !!! 软交换接口(6)—— NAT/Route方案 L2 switch L2 switch 交换机所有接口上都启用Spanning tree 软交换接口(7)——避免Loop 为了避免loop，需要开启FortiGate接口上的stpforward 配置软交换组中的物理接口 ================================================================================ Port Stg ================================================================================ ENABLE FORWARD CHANGE SID PORT_NUM PRIO STATE STP FASTSTART PATHCOST TRANSITION DETECTION -------------------------------------------------------------------------------- 1 2/12 128 forwarding true false 10 12 true 1 2/13 128 blocking true false 10 12 true config system interface