收藏 分享(赏)
下载资源 加入VIP,免费下载

fortigate02-防火墙策略.ppt

上传人:eukav 文档编号:4445462 上传时间:2018-12-28 格式:PPT 页数:72 大小:3.15MB
下载 相关 举报
fortigate02-防火墙策略.ppt_第1页
第1页 / 共72页
fortigate02-防火墙策略.ppt_第2页
第2页 / 共72页
fortigate02-防火墙策略.ppt_第3页
第3页 / 共72页
fortigate02-防火墙策略.ppt_第4页
第4页 / 共72页
fortigate02-防火墙策略.ppt_第5页
第5页 / 共72页
点击查看更多>>
资源描述

1、,防火墙策略 OS 4.0,防火墙策略使用“Any”接口,支持“Any”接口,Any相当于所有接口的集合,两种查看方式Section或者Global,使用了Any作为接口只能支持Global view “any”接口不能用于VIP或IP-pool,防火墙策略使用“Any”接口,源或目的接口都可以设置为“any” 如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略全局视图“any”接口不能用于VIP或IP-pool,支持“Any”接口,Any相当于所有接口的集合,两种查看方式Section或者Global,使用了Any作为接口只能支持Global view,基于用户认证的子策略,启

2、用基于用户的子策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志,基于用户认证的子策略例,说明 根据不同的用户组部署不同的保护内容表和流量控制,基于接口的DoS策略,特点:基于接口部署可以指定服务,流量控制增强,Traffic Shaper,FW Policy,APP Control P2P,流量控制的方向,如果只设置流量控制,而没有设置Reverse Direction Traffic Shapping,则该流量控制是针对上下行同时起作用的 如果设置了Reverse Direction Traffic Shapping,则上行的速度有流量控制来起作用,而Rev

3、erse Direction Traffic Shapping则控制下行速度,虚拟IP的间隔式ARP广播,通过配置发送ARP广播的方式让路由器自动地更新ARP表。通过命令行可以设置发送ARP广播的频率。间隔时间设置为0时,则关闭ARP广播 config firewall vipedit new_vip (configure the virtual IP)set gratuitous-arp-interval end,虚拟IP的ARP广播,服务器负载均衡新建虚拟服务器,虚拟服务器支持的,多种分配方式,Static 根据发起请求的源IP来分配流量,对于某一源IP来说,在没有达到目的IP的会话限制前

4、,不会轮询到下一个目的IP Round Robin 根据发起的会话来分配,根据会话来轮换目标IP Weighted 按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配,多种分配方式,First Alive 根据健康检查状况,永远把流量转向第一个保持存活的服务器 Last RTT 根据健康检查的ping获得的RTT来判断将流量传到哪台服务器Last Session 按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配,健康检查,TCP 通过不传数据的空连接来检测 Ping Ping包 HTTP Get一个内容然后进行匹

5、配,不同的保持方式(Persistence )Cookie,None HTTP Cookie SSL,不同的保持方式(Persistence )SSL,根据SSL ID来分配流量 只能在支持SSL offload功能中使用Diagnose debug application vs 7,SSL Offload,仅FG110C FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 两种模式 客户端到FG加密,FG到Server不加密 客户端到FG加密, FG到Server加密 客户端到FG加密采用的是FG颁发的证书,而非服务器颁发 目前build14

6、1可以正常工作,MR1不可以,可以支持Firefox, IE 6.0不可以。,HTTP multiplex(多路复用)一,HTTP multiplex(多路复用)二,如果选中,没有选中,Vdom的资源限制,全局的资源,每个虚拟域的资源,修改 恢复出厂值,POST三种处理方式,Normal 正常允许 Block 阻断POST动作 Comfort 对于Post采用定时发送数据包的方式保持连接,Block阻断方式,禁止Post动作,Comfort方式,Comfort模式查看http进程的动作 : Diag debug app http -1:2: 10.156.0.19:3362 192.168.1

7、81.3:80: CLTRDRDY Event - HTTP_REQUEST_EVENT2: 10.156.0.19:3362 192.168.181.3:80: CLTRDRDY HTTP_REQUEST_STATE2: 10.156.0.19:3362 192.168.181.3:80: LOOPEND Event - BUFFER_EVENT2: 10.156.0.19:3362 192.168.181.3:80: LOOPEND HTTP_REQUEST_BUFFER_STATE 抓包分析:设置comfort的时间间隔和数量,AMC Bypass,测试过build 92和141均无法支

8、持AMC-CX4,无法切换到正常模式,只能停留在Bypass模式上,config system amc set sw1 asm-cx4 set watchdog-recovery enable | disable set watchdog-recovery-period End,AMC 诊断工具,Diagnose,SSL内容扫描与监测,两种模式可以选 URL Filtering (URL过滤) to limit HTTPS content filtering to URL filtering only. Select this option if all you wan t to do is

9、apply URL web filtering to HTTPS traffic. If you select this option you cannot select any Anti-Virus options for HTTPS. Under Web Filtering you can select only Web URL Filter and Block Invalid URLs for HTTPS. Selecting this option also limits the FortiGuard Web Filtering options that you can select

10、for HTTPS. Deep Scan (深度扫描)to decrypt HTTPS traffic and perform additional scanning of the content of the HTTPS traffic. Select this option if you want to apply all applicable protection profile options to HTTPS traffic. Using this option requires adding HTTPS server certificates to the FortiGate un

11、it so that HTTPS traffic can be unencrypted.,流量控制增强,流量控制流程 v3.0 v4.0 ,出口队列,每个非NP的物理接口上4个出口队列(v3.0有6个队列)队列指派是绝对的。(v3.0是相对的)队列计算请见上页图形ToS和TS的队列号目前是1 (high) , 2 (medium) , 3 (low)队列0用于设备自身产生的流量,独立的shaper,Traffic shaper从防火墙策略中独立出来(*) 缺省情况下,该shaper应用到所有调用它的策略中,DUT_Beta4_0 # sho firewall policy config fir

12、ewall policyedit 1set srcintf “port5“set dstintf “port6“set srcaddr “VM11“set dstaddr “VM5“set action acceptset schedule “always“set service “ANY“set traffic-shaper “limit_GB_25_MB_50_LQ“next end,DUT_Beta4_0 # show firewall traffic-shaper config firewall traffic-shaperedit “limit_GB_25_MB_50_LQ“set

13、guaranteed-bandwidth 25set maximum-bandwidth 50set priority lowset per-policy enable (*)next end,新菜单,Shaper列表,独立的shaper,排错:丢包,DUT_Beta4_0 # diagnose firewall shapername limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 51 KB/sec priority 3 dropped 1291

14、985,跟踪每个shaper的丢包情况,DUT_Beta4_0 # diagnose firewall shaper listname limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 0 B/sec priority 3 dropped 0name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50

15、KB/sec priority 3 policy 1 dropped 214name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50 KB/sec priority 3 policy 4 dropped 569,排错:丢包,2 instances createas 2 FWP refer to this shaper,因为有2条防火墙使用了这一个shaper,所以有这2个条目,这是shaper设为“每策略”的结果,排错:丢包 debug fl

16、ow,DUT_Beta4_0 # diagnose debug enable DUT_Beta4_0 # diagnose debug flow show console enable DUT_Beta4_0 # diagnose debug flow filter addr 10.143.0.5 DUT_Beta4_0 # diagnose debug flow trace start 1000DUT_Beta4_0 # id=20085 trace_id=11 msg=“vd-root received a packet(proto=17, 10.141.0.11:3735-10.143.

17、0.5:5001) from port5.“ id=20085 trace_id=11 msg=“Find an existing session, id-0000eabc, original direction“ id=20085 trace_id=11 msg=“exceeded shaper limit, drop“,反向流量使用单独的shaper,DUT_Beta4_0 # show firewall policy 4 config firewall policyedit 4set srcintf “port2“set dstintf “port6“set srcaddr “VM3“s

18、et dstaddr “VM6“set action acceptset schedule “always“set service “ANY“set traffic-shaper “limit_GB_25_MB_50_LQ“set traffic-shaper-reverse “limit_GB_12_MB_25_LQ“next end,与发起方向相反,流量控制的方向,如果只设置流量控制,而没有设置Reverse Direction Traffic Shapping,则该流量控制是针对上下行同时起作用的 如果设置了Reverse Direction Traffic Shapping,则上行的速

19、度有流量控制来起作用,而Reverse Direction Traffic Shapping则控制下行速度,P2P流量控制的修改,v3.0界面,已被移除,P2P shaper,P2P控制已经被移至应用控制下第1步:创建一个应用列表 config application listedit “kazaa_and_BT“config entriesedit 9 (kazaa)set action passset shaper “p2p-kazaa“nextedit 6 (BitTorrent)set action passset shaper “limit_BitTorrent“nextendnex

20、t end 第2步:在保护内容表中调用,注意事项,1. 想要获得精确的测试效果,待测流量应该是不能自我纠正的。例如UDP的效果较好,TCP效果较差2. 只有不使用保护内容表的防火墙策略才能获得精确的流量控制效果(Proxy可能导致难以预测的延迟)3. 各shaper设置之和不要超过总带宽限制 ( 例如:GB之和应该小于outbandwith ) 见测试144. FortiGate并不按照DSCP值进行优先级排列,VIP负载均衡增强,服务器负载均衡新建虚拟服务器,虚拟服务器支持的,多种分配方式,First Alive 根据健康检查状况,永远把流量转向第一个保持存活的服务器 Last RTT 根据

21、健康检查的ping获得的RTT来判断将流量传到哪台服务器Last Session 按照权重来分配会话,比如分别设置两个服务器的权重为2和10,则会话按照2:10的方式来分配,健康检查,TCP 通过不传数据的空连接来检测 Ping Ping包 HTTP Get一个内容然后进行匹配,不同的保持方式(Persistence )Cookie,None HTTP Cookie SSL,不同的保持方式(Persistence )SSL,根据SSL ID来分配流量 只能在支持SSL offload功能中使用Diagnose debug application vs 7,SSL Offload,仅FG110C

22、 FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 两种模式 客户端到FG加密,FG到Server不加密 客户端到FG加密, FG到Server加密 客户端到FG加密采用的是FG颁发的证书,而非服务器颁发 目前build141可以正常工作,MR1不可以,可以支持Firefox, IE 6.0不可以。,HTTP multiplex(多路复用)一,HTTP multiplex(多路复用)二,如果选中,没有选中,Troubleshooting,FG3600A-3 # diag firewall vip realserver ldb real ser

23、vers virtual-server virtual-server diagnosticsFG3600A-3 # diag firewall vip virtual-server filter filter for various virtual server diagnostics log logging diagnostics real-server real-server diagnostics session session diagnostics ssl SSL sessions stats statisticsFG3600A-3 # diag firewall vip virtu

24、al-server real-server listvd root/0 vs HTTPS-srv/3 addr 10.168.0.118:80 status 1/1conn: max 10 active 0 attempts 0 success 0 drop 0 fail 0ssl: 0FG3600A-3 # diag firewall vip realserver down change address down flush flush healthcheck server health check list list up change address upFG3600A-3 # diag

25、 debug application vs 7,基于用户认证的策略,基于用户认证的子策略,启用基于用户的子策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志,基于用户认证的子策略例,说明 根据不同的用户组部署不同的保护内容表和流量控制,功能描述,所有启用用户认证的防火墙策略将成为“基于用户认证的策略” 可以将一条策略拆分成多个子项: 用户组 时间表 服务 保护内容表 流量控制 流量日志,变化?,在v3.0MR6时,就可以在一条策略里使用多个用户组,绑定不同的保护内容表,v3.00 MR7,变化?,基于用户认证策略的有点: 每个用户组使用不同的服务、时间表、流量控

26、制等 策略可读性更强,认证的次数?,默认情况下,例如v3.0MR5+,认证是基于策略的:当一个用户已经在策略1中认证过,当他使用策略2时,需要重新认证。有一条命令可以改变以上情况,变为全局认证 top3 777,config system global set auth-policy-exact-match disable end,默认值是enable,所以所有策略都必须一一认证,认证的次数?例,以上两条策略访问不同的目的地址,而认证用户组是一个。 如果auth-policy-exact-match设置成enable,则访问dst1和dst2都分别需要认证 如果auth-policy-exac

27、t-match设置成disable,则访问dst1和dst2只需要认证一次,认证事件日志,格式化后,原始,注意:如果一个用户停留在认证界面长时间不操作,也会产生事件日志 1 2009-03-18 21:54:06 warning authenticateUser failed to authenticate within the allowed period,用户监视 - Firewall,v4.0的GUI下可以监视已认证的用户,Syslog,认证成功,Dec 18 23:59:05 192.168.182.207 date=2008-12-18 time=14:54:34 devname=F

28、G3600A-1 device_id=FG3K6A3406600033 log_id=0106038001 type=event subtype=auth pri=notice vd=VDB user=“user1“ group=“group1“ ui=HTTP(10.100.1.47) action=authenticate status=success msg=“User user1(group1) succeeded in authentication“,Dec 19 00:10:29 192.168.182.207 date=2008-12-18 time=15:05:58 devna

29、me=FG3600A-1 device_id=FG3K6A3406600033 log_id=0106038002 type=event subtype=auth pri=warning vd=VDB user=“ service=HTTP action=authenticate status=timeout reason=timeout src=10.100.1.47 srcname=N/A dst=172.31.211.254 dstname=N/A msg=“User failed to authenticate within the allowed period“,长时间停留在认证页,

30、认证超时,与v3.0相同,config system globalset auth-keepalive enable,Debug:用户认证状态,diagnose firewall auth list(可过滤),FG3600A-1 (VDB) # diagnose firewall auth listpolicy id: 1, src: 10.100.1.47, action: accept, timeout: 140user: user2, group: group2flag (80020): auth timeout_ext, flag2 (0):group id: 2, av group:

31、 0policy id: 1, src: 10.100.1.45, action: accept, timeout: 57user: user1, group: group1flag (80020): auth timeout_ext, flag2 (0):group id: 1, av group: 0 - 2 listed, 0 filtered -,FG3600A-1 (VDB) # diagnose firewall auth filter group group1FG3600A-1 (VDB) # diagnose firewall auth listpolicy id: 1, sr

32、c: 10.100.1.45, action: accept, timeout: 19user: user1, group: group1flag (80020): auth timeout_ext, flag2 (0):group id: 1, av group: 0 - 1 listed, 1 filtered -,FG3600A-1 (VDB) # diagnose firewall auth filter clear clear all filters group group name method method policy policy id source source ip ad

33、dress user user nameFG3600A-1 (VDB) # diagnose firewall auth filterFG3600A-1 (VDB) # diagnose firewall auth filter methodvalid method name: fw, fsae, ntlm,重要提示:debug过滤也可以作用于 diag firewall auth clear 意味着可以有选择的删除用户认证状态!,Debug:防火墙会话,有认证的会话将有更多的信息,session info: proto=6 proto_state=11 expire=3588 timeout

34、=3600 flags=00000000 sockflag=00000000 sockport=80 av_idx=0 use=5 origin-shaper= reply-shaper= ha_id=0 hakey=58157 policy_dir=0 tunnel=/ user=user2 group=group2 state=redir local may_dirty authed rem statistic(bytes/packets/allow_err): org=4876/20/1 reply=5642/11/1 tuples=3 orgin-sink: org pre-post,

35、 reply pre-post dev=8-9/9-8 gwy=172.31.225.254/10.100.1.47 hook=post dir=org act=snat 10.100.1.47:1095-172.31.225.254:80(172.31.224.207:38595) hook=pre dir=reply act=dnat 172.31.225.254:80-172.31.224.207:38595(10.100.1.47:1095) hook=post dir=reply act=noop 172.31.225.254:80-10.100.1.47:1095(0.0.0.0:

36、0) pos/(before,after) 0/(0,0), 0/(0,0) misc=20002 policy_id=1 auth_info=2 chk_client_info=0 vd=4 serial=0000072b tos=ff/ff app=0 dd_type=0 dd_rule_id=0,Debug : authd, fnbamd,当用户在Web登录页面成功认证后,FG3600A-1 (global) # message_loop: checking timeouts authd_http.c:792 authd_http_read: called authd_http.c:16

37、71 authd_http_wait_credential: called authd_http_common.c:262 authd_http_read_http_message: called authd_http_common.c:218 authd_http_is_full_http_message: called authd_http.c:2277 authd_http_change_state: called change state to: 15 authd_http.c:2053 authd_http_wait_auth: called authd_fnbam.c:511 au

38、thd_fnbam_auth_user: called authd_fnbam_auth_user: username=user2, policy_id=1 authd_fnbam_locked_out: username=user2, src_addr=10.100.1.47, n_failures=0, record_ttl=-14244 user2(group2) authentication successful: grp_info=2 av_info=0, av_grp=0 timeout=300 authd_http.c:1381 authd_http_authentication

39、_done: called authd_http.c:2277 authd_http_change_state: called change state to: 16 authd_http.c:2103 authd_http_send_ok: called authd_http_common.c:145 authd_http_send_data: called authd_http.c:2277 authd_http_change_state: called change state to: 20 authd_http.c:2197 authd_http_disconnect: called

40、authd_http.c:2277 authd_http_change_state: called change state to: 21 authd_http.c:2242 authd_http_done: called message_loop: checking timeouts,Q&A,Q: 4.0的用户认证是每条策略独立的还是全局的? A: 默认是每策略的,但可以通过命令改为全局的。Q: 是否可以选择性的清除用户认证状态? A: 是。diag firewall auth filterQ: 日志信息 “User failed to authenticate within the allowed period” 是什么意思? A: 用户认证过程中,长时间停留在登录界面而不登录Q: 有哪些认证日志? A: 认证成功、失败、长时间停留在登录界面 没有认证超时的日志Q: 当auth-policy-exact-match disable时,auth-keepalive还有效吗? A: 是Q: 如果用户持续使用已经认证过的策略,认证是否会超时? A: 否(注意diag firewall auth list命令看到的timeout并不是认证超时时间),

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 建筑环境 > 防火建筑

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报