1、防火墻策略 Course 201 v4.0,a,2,創(chuàng)建防火墻策略的原則,策略是按照進(jìn)出流量的接口部署的 流量如果沒有匹配的防火墻策略的話，是不能穿過設(shè)備的 正確理解狀態(tài)監(jiān)測(cè)，防火墻的策略應(yīng)以數(shù)據(jù)流的發(fā)起方來(lái)判斷建立的方向 也就是說(shuō)，當(dāng)需要內(nèi)部網(wǎng)訪問外部網(wǎng)時(shí)，只需要建立一個(gè)從Internal到wan1的允許策略即可,a,3,防火墻策略,接口,服務(wù),NAT / Route,保護(hù)內(nèi)容表,a,4,如何創(chuàng)建防火墻策略 接口與IP地址,兩種類型的地址: IP / IP Range FQDN域名的方式 定義IP范圍的多種方式: 192.168.1.99 192.168.1.0/255.255.255.0

2、192.168.1.0/24 192.168.1.99-192.168.1.105 192.168.1.99-105,FQDN域名方式 防火墻本身的DNS用來(lái)解析FQDN地址對(duì)象的 FQDN解析的緩存時(shí)間是由DNS服務(wù)器決定的,a,5,如何創(chuàng)建防火墻策略 選擇與定制服務(wù),FortiGate本身內(nèi)置了六十多個(gè)預(yù)定義的服務(wù) 用戶也可以自行定義服務(wù)，以下協(xié)議可以定制: TCP/UDP ICMP IP 也可以通過組的方式將多個(gè)服務(wù)組合在一起,a,6,如何創(chuàng)建防火墻策略 定制時(shí)間表,防火墻的基于時(shí)間的控制,a,7,如何創(chuàng)建防火墻策略 選擇動(dòng)作,數(shù)據(jù)包是根據(jù)接口、地址、協(xié)議、時(shí)間四項(xiàng)進(jìn)行匹配的，一旦匹配成

3、功后，就根據(jù)“Action”來(lái)決定操作，不再向下匹配。 在建立防火墻策略是，應(yīng)盡可能范圍小的放在前面，范圍大的放在后面。 在 NAT/Route模式下，防火墻策略還需要判斷是否對(duì)數(shù)據(jù)流進(jìn)行NAT。 有以下類型的動(dòng)作： Accept Deny SSLssl vpn的策略 IPSecIpsec vpn的策略,a,8,防火墻策略使用“Any”接口,源或目的接口都可以設(shè)置為“any” 如果任何一條防火墻策略使用了“any”接口，則只能使用防火墻策略全局視圖 “any”接口不能用于VIP或IP-pool,a,9,實(shí)驗(yàn)一,10.0.x.1只能夠訪問，而不能訪問其他的網(wǎng)站 提示： 注意以下DNS的問題 沒有

4、匹配策略成功的話，那么是拒絕的。,a,10,地址轉(zhuǎn)換,a,11,如何設(shè)置源地址轉(zhuǎn)換,缺省情況下，端口地址翻譯為外部接口IP地址,a,12,如何設(shè)置源地址轉(zhuǎn)換不使用接口地址,地址翻譯成指定范圍的IP地址 防火墻虛擬IP IP池 如何來(lái)驗(yàn)證 Diagnose sniffer packet any icmp 4 Ping ,a,13,映射服務(wù)器設(shè)置虛擬IP,一對(duì)一映射 端口映射,綁定的外部接口,外部的IP地址,內(nèi)部的IP地址,外部IP端口,內(nèi)部服務(wù)器端口,a,14,映射服務(wù)器設(shè)置服務(wù)器的負(fù)載均衡,選擇使用服務(wù)器負(fù)載均衡 外部的IP 分配流量的方式 外部的IP端口 內(nèi)部的服務(wù)器列表,a,15,映射服務(wù)

5、器添加允許訪問服務(wù)器的策略,策略是從外向內(nèi)建立的 目標(biāo)地址是服務(wù)器映射的虛擬IP 不需要啟用NAT,a,16,實(shí)驗(yàn),將內(nèi)部服務(wù)器10.0.X.1映射到192.168.11.10X，讓旁人ping 192.168.11.10X，然后抓包分析 Diagnose sniffer packet any icmp 4 Diagnose sys session clear,a,17,基于策略的流量控制,在防火墻策略中啟動(dòng)流量控制設(shè)置。如果您不對(duì)防火墻策略設(shè)置任何的流量控制，那么默認(rèn)情況下，流量的優(yōu)先級(jí)別設(shè)置為高級(jí)。 防火墻策略中的流量控制選項(xiàng)設(shè)置為三個(gè)優(yōu)先級(jí)別（低、中、高）。 確定防火墻策略中所有基本帶寬

6、之和需要低于接口所承載的最大容量。,流量控制設(shè)置只有對(duì)設(shè)置動(dòng)作為Accept，IPSEC以及SSL-VPN的策略可用。,a,18,將應(yīng)用層的安全附加在防火墻策略上保護(hù)內(nèi)容表,a,19,保護(hù)內(nèi)容表 說(shuō)明,可以進(jìn)行更細(xì)粒度的應(yīng)用層的內(nèi)容檢測(cè)技術(shù) 防火墻 保護(hù)內(nèi)容表 保護(hù)內(nèi)容表涵蓋病毒、IPS、Web過濾、內(nèi)容歸檔、IM/P2P、VoIP、與以上相關(guān)的日志,a,20,保護(hù)內(nèi)容表 應(yīng)用到防火墻策略,保護(hù)內(nèi)容表可以被應(yīng)用到允許的防火墻策略 如果使用防火墻認(rèn)證的話，則將保護(hù)內(nèi)容表應(yīng)用到用戶組 可以創(chuàng)建多個(gè)保護(hù)內(nèi)容表: 單一的保護(hù)內(nèi)容表可以被應(yīng)用到多個(gè)策略上,a,21,實(shí)驗(yàn),我們將DMZ 192.168.3.254 80 映射到192.168.11.1X1的80端口上 192.168.3.254 443 映射到192.168.1