DUT_Beta4_0 # sho firewall policy config firewall policy edit 1 set srcintf "port5" set dstintf "port6" set srcaddr "VM11" set dstaddr "VM5" set action accept set schedule "always" set service "ANY" set traffic-shaper "limit_GB_25_MB_50_LQ" next end
• Diagnose
AMC 诊断工具
SSL内容扫描与监测
两种模式可以选 • URL Filtering （URL过滤） • to limit HTTPS content filtering to URL filtering • only. Select this option if all you wan t to do is apply URL web • filtering to HTTPS traffic. If you select this option you cannot • select any Anti-Virus options for HTTPS. Under Web Filtering • you can select only Web URL Filter and Block Invalid URLs • for HTTPS. Selecting this option also limits the FortiGuard • Web Filtering options that you can select for HTTPS. • Deep Scan (深度扫描) • to decrypt HTTPS • traffic and perform additional scanning of the content of the • HTTPS traffic. Select this option if you want to apply all • applicable protection profile options to HTTPS traffic. Using • this option requires adding HTTPS server certificates to the • FortiGate unit so that HTTPS traffic can be unencrypted.
独立的shaper
• Traffic shaper从防火墙策略中独立出来
DUT_Beta4_0 # show firewall traffic-shaper config firewall traffic-shaper edit "limit_GB_25_MB_50_LQ" set guaranteed-bandwidth 25 set maximum-bandwidth 50 set priority low set per-policy enable (*) next end
防火墙策略
OS 4.0
防火墙策略使用“Any” 接口
支持“Any”接口
• Any相当于所有接口的集合
两种查看方式——Section或者Global
• 使用了Any作为接口只能支持Global view • “any”接口不能用于VIP或IP-pool
防火墙策略使用“Any”接口
• • 源或目的接口都可以设置为“any” 如果任何一条防火墙策略使用了“any”接口，则只能使用防火墙策 略全局视图

设置comfort的时间间隔和数量
AMC Bypass
• 测试过build 92和141均无法支持AMC-CX4，无法切换到正常 模式，只能停留在Bypass模式上
config system amc set sw1 asm-cx4 set watchdog-recovery [enable | disable} set watchdog-recovery-period <holddown_time> End
DUT_Beta4_0 # diagnose firewall shaper list
name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 0 B/sec priority 3 dropped 0 name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50 KB/sec priority 3 policy 1 dropped 214 name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 50 KB/sec priority 3 policy 4 dropped 569
(*) 缺省情况下，该shaper应用到所有调用它的策略中
独立的 shaper
新菜单
Shaper 列表
排错：丢包
DUT_Beta4_0 shaper # diagnose firewall
跟踪每个 shaper的丢 包情况
name limit_GB_25_MB_50_LQ maximum-bandwidth 50 KB/sec guaranteed-bandwidth 25 KB/sec current-bandwidth 51 KB/sec priority 3 dropped 1291985
Block阻断方式
禁止Post动作
Comfort方式
Comfort模式查看http进程的动作 : >Diag debug app http -1: <000.000000> [2]: 10.156.0.19:3362 --> 192.168.181.3:80: [CLTRDRDY ] Event HTTP_REQUEST_EVENT <000.000000> [2]: 10.156.0.19:3362 --> 192.168.181.3:80: [CLTRDRDY ] HTTP_REQUEST_STATE <000.000000> [2]: 10.156.0.19:3362 --> 192.168.181.3:80: [LOOPEND ] Event BUFFER_EVENT <000.000000> [2]: 10.156.0.19:3362 --> 192.168.181.3:80: [LOOPEND ] HTTP_REQUEST_BUFFER_STATE 抓包分析:
流量控制增强
流量控制流 程
v3.0
v4.0
出口队列
• • • • • 每个非NP的物理接口上4个出口队列（v3.0有6个队列） 队列指派是绝对的。（v3.0是相对的） 队列计算请见上页图形 ToS和TS的队列号目前是1 (high) , 2 (medium) , 3 (low) 队列0用于设备自身产生的流量
健康检查
TCP • 通过不传数据的空连接来检测 Ping • Ping包 HTTP • Get一个内容然后进行匹配
不同的保持方式（Persistence ）—— Cookie
• None • HTTP Cookie • SSL
不同的保持方式（Persistence ）—— SSL
根据SSL ID来分配流量 只能在支持SSL offload功能中使用
虚拟IP的间隔式ARP广播
• 通过配置发送ARP广播的方式让路由器自动地更新ARP表。通 过命令行可以设置发送ARP广播的频率。间隔时间设置为0时， 则关闭ARP广播 config firewall vip edit new_vip (configure the virtual IP) set gratuitous-arp-interval <interval_seconds> end
Diagnose debug application vs 7
SSL Offload
• 仅FG110C FG310B FG620B FG3016B FG3600A FG 3810A FG 5002A 支持 • 两种模式 客户端到FG加密，FG到Server不加 密 客户端到FG加密， FG到Server加密 • 客户端到FG加密采用的是FG颁 发的证书，而非服务器颁发 • 目前build141可以正常工作， MR1不可以，可以支持Firefox, IE 6.0不可以。
多种分配方式
• First Alive 根据健康检查状况，永远把流量转向第 一个保持存活的服务器 • Last RTT 根据健康检查的ping获得的RTT来判断 将流量传到哪台服务器
• Last Session 按照权重来分配会话，比如分别设置两 个服务器的权重为2和10，则会话按 照2：10的方式来分配
基于用户认证的子策略——例
• 说明 根据不同的用户组部署不同的保护内容表和流量控制
基于接口的DoS策略
特点： • 基于接口部署
• 可以指定服务
流量控制增强
Traffic Shaper
FW Policy
APP Control – P2P
流量控制的方向
• 如果只设置流量控制，而没有设置Reverse Direction Traffic Shapping，则该流量控制是针对上下行同时起作用的 • 如果设置了Reverse Direction Traffic Shapping，则上行的速度 有流量控制来起作用，而Reverse Direction Traffic Shapping则 控制下行速度