当前位置:文档之家› 飞塔防火墙策略

飞塔防火墙策略

• 单一的保护内容表可 以被应用到多个策略 上
精品课件
实验
• 我们将DMZ 192.168.3.254 80 映射到192.168.11.1X1的80端 口上 192.168.3.254 443 映射到192.168.11.1X2 443
• 内部用户10.0.X.1 通过公网地址192.168.11.1X3访问 internet
• FQDN域名方式
▪ 防火墙本身的DNS用来解析FQDN地址对象的 ▪ FQDN解析的缓存时间是由DNS服务器决定的
精品课件
如何创建防火墙策略 – 选择与定制服务
FortiGate本身内置了六十 多个预定义的服务
用户也可以自行定义服务 ,以下协议可以定制:
▪ TCP/UDP ▪ ICMP ▪ IP
.10
.20
.30
Internal Network 172.16.20.0 /24
.1
204.50.168.90
Internet
Original source IP: 172.16.20.20
Source IP received by Internet server: 204.50.168.90
精品课件
基于策略的流量控制
• 在防火墙策略中启动流量控制 设置。如果您不对防火墙策略 设置任何的流量控制,那么默 认情况下,流量的优先级别设 置为高级。
• 防火墙策略中的流量控制选项 设置为三个优先级别(低、中 、高)。
• 确定防火墙策略中所有基本带 宽之和需要低于接口所承载的 最大容量。
流量控制设置只有对设置 动作为Accept,IPSEC以 及SSL-VPN的策略可用。
Internet Server
如何设置源地址转换——不使用接口地址
• 地址翻译成指定范围的IP地址 • 防火墙>虚拟IP >IP池 • 如何来验证 Diagnose sniffer packet any
‘icmp’ 4 Ping
精品课件
映射服务器——设置虚拟IP
一对一映射
精品课件
防火墙策略
接口 服务 NAT / Route 保护内容表
精品课件
如何创建防火墙策略 – 接口与IP地址
• 两种类型的地址:
▪ IP / IP Range ▪ FQDN——域名的方式
• 定义IP范围的多种方式:
▪ 192.168.1.99 ▪ 192.168.1.0/255.255.255.0 ▪ 192.168.1.0/24 ▪ 192.168.1.99-192.168.1.105 ▪ 192.168.1.[99-105]
略全局视图
• “any”接口不能用于VIP或IP-pool
精品课件
实验一
• 10.0.x.1只能够访问,而不能访问其他的网 站
• 提示: 注意以下DNS的问题

没有匹配策略成功的话,那么是拒绝的。
精品课件
如何设置源地址转换
• 缺省情况下,端口地址翻译为外部接口IP地址
绑定的外部接口
外部的IP地 址
内部的IP地址
端口映射
精品课件
外部IP端口 内部服务器端口
映射服务器——设置服务器的负载均衡
选择使用服务器 负载均衡
外部的IP 分配流量的方式 外部的IP端口
内部的服务器列 表
精品课件
映射服务器——添加允许访问服务器的策 略
• 策略是从外向内建立的 • 目标地址是服务器映射的
也可以通过组的方式 将多个服务组合在 一起
精品课件
如何创建防火墙策略 – 定制时间表
• 防火墙的基于时间的控制
精品课件
如何创建防火墙策略 – 选择动作
• 数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功 后,就根据“Action”来决定操作,不再向下匹配。
• 在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面 。
• 内部用户10.0.X.2 通过公网地址192.168.11.1X4访问 Internet
精品课件
• 在 NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。
• 有以下类型的动作:
▪ Accept ▪ Deny ▪ SSL——ssl vpn的策略 ▪ IPSec——Ipsec vpn的策略
精品课件
防火墙策略使用“Any”接口
• 源或目的接口都可以设置为“any” • 如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策
• 防火墙> 保护内容表
• 保护内容表涵盖病毒、 IPS、Web过滤、内容归 档、IM/P2P、VoIP、与 以上相关的日志
精品课件
保护内容表 – 应用到防火墙策略
• 保护内容表可以被应 用到允许的防火墙策 略
• 如果使用防火墙认证 的话,则将保护内容 表应用到用户组
• 可以创建多个保护内 0
创建防火墙策略的原则
• 策略是按照进出流量的接口部署 的
• 流量如果没有匹配的防火墙策略 的话,是不能穿过设备的
• 正确理解状态监测,防火墙的策 略应以数据流的发起方来判断建 立的方向 也就是说,当需要内部网访 问外部网时,只需要建立一个从 Internal到wan1的允许策略即可
精品课件
将应用层的安全附加在防火墙策略上—— 保护内容表
AV IM P2P URL
IPS AV
IPS AV AS VPN
Internet
Internet Client
Internal Network
Internet Server
DMZ
精品课件
保护内容表 – 说明
• 可以进行更细粒度的应 用层的内容检测技术
虚拟IP
• 不需要启用NAT
精品课件
实验
• 将内部服务器10.0.X.1映射到192.168.11.10X,让旁人ping 192.168.11.10X,然后抓包分析
Diagnose sniffer packet any ‘icmp’ 4 Diagnose sys session clear
精品课件
相关主题

相关文档推荐: