版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
防火墻策略
Course301防火墻策略
Course301二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過FortiGate本身不能夠參與STP協(xié)議,但是可以設(shè)置其通過控制vlan數(shù)據(jù)包是否直接放過控制arp廣播包穿過configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過conf2多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻部署多播策略允許多播流量可以對(duì)多播流量進(jìn)行nat在透明模式下,也可以不通過策略方式,而直接設(shè)置全局選項(xiàng)multicast-forwardenable是否更改多模的ttl多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻3基于RADIUS的防火墻認(rèn)證FortiGate作為networkaccessserver(NAS)用戶信息被送到RADIUSserver用戶的認(rèn)證取決于服務(wù)器的響應(yīng)對(duì)象識(shí)別識(shí)別IP地址和共享密鑰,最多支持兩個(gè)RADIUSserversRADIUS對(duì)象可以用來所有的服務(wù)的認(rèn)證Admin用戶的Radius認(rèn)證基于RADIUS的防火墻認(rèn)證FortiGate作為netwo4軟交換接口(1)——概念軟交換接口模式在物理接口之間創(chuàng)建橋連接每個(gè)軟交換接口可以指定一個(gè)邏輯IP地址MR6中只能使用命令方式配置不能用于HAmonitor或心跳接口軟交換接口(1)——概念軟交換接口模式5軟交換接口(2)——配置在MR7加入GUI支持configsystemswitch-interfaceedit"switch-1"setmember"port4""port5"nextendconfigsysteminterfaceedit"switch-1"setvdom"root"setip04setallowaccesspinghttpssettypeswitchnextend軟交換接口(2)——配置在MR7加入GUI支持config6軟交換接口(3)———GUI視圖GUI視圖Ports4&5被從接口列表中刪除只有空接口可以被加入到軟交換接口已有任何配置的接口(如DNS轉(zhuǎn)發(fā)、靜態(tài)路由、防火墻策略等)的接口都不能加入軟交換接口組軟交換接口(3)———GUI視圖GUI視圖7軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量無需防火墻策略控制軟交換接口被視為一個(gè)物理接口,就像鏈路聚合接口一樣可以在軟交換接口上配置VLAN接口軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量8軟交換接口(5)——注意事項(xiàng)所有的物理接口都可以加入到軟交換接口中標(biāo)準(zhǔn)接口FA2接口NP2接口無線接口(FortiWiFi)以上接口可以在軟交換接口中混合存在FortiGate不參與spanningtree不發(fā)送STP包不接收STP包因此需要注意LOOPS可能產(chǎn)生
!!!軟交換接口(5)——注意事項(xiàng)所有的物理接口都可以加入到軟交換9軟交換接口(6)——NAT/Route方案L2switchL2switch交換機(jī)所有接口上都啟用SpanningtreeIPbroadcast軟交換接口(6)——NAT/Route方案L2switc10軟交換接口(7)——避免Loop為了避免loop,需要開啟FortiGate接口上的stpforward配置軟交換組中的物理接口================================================================================PortStg================================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/13128blockingtruefalse1012trueconfigsysteminterfaceedit"port3"setvdom"root"setstpforwardenable軟交換接口(7)——避免Loop為了避免loop,需要開啟F11軟交換接口(8)——TroubleshootingSniffing可以在物理或軟交換接口上使用如果在軟交換接口上使用sniffer命令,內(nèi)部的交換流量不會(huì)捕獲#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]軟交換接口(8)——TroubleshootingSnif12軟交換接口(9)——
轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB#diagnetlinkbrctllistlistbridgeinformationswitch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswitch-1host.fdb:size=256,used=6,num=6,depth=1,simple=yesBridgeswitch-1hosttableportnodevicedevnamemacaddrttlattributes313AMC-SW1/200:03:4b:4f:ac:b81313AMC-SW1/200:09:0f:67:75:150LocalStatic313AMC-SW1/200:0c:29:f1:de:2a015port400:09:0f:67:69:f90LocalStatic15port400:0c:29:1e:12:be015port400:15:c6:c9:5b:8729軟交換接口(9)——轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB1314TACACS——概要TACACS協(xié)議組TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草AAA結(jié)構(gòu)TACACS——概要TACACS協(xié)議組14TACACS——與RADIUS比較15TACACS+RadiusTCP/49UDP認(rèn)證/授權(quán)可分離認(rèn)證授權(quán)結(jié)合完全加密僅密碼部分加密可用于路由器管理會(huì)話授權(quán)TACACS——與RADIUS比較TACACS+Radius15TACACS——與RADIUS比較16TACACS——與RADIUS比較16TACACS——FortiOSTACACS+認(rèn)證(MR6)所有可以使用用戶認(rèn)證的功能(firewallpolicy,administratoraccounts,VPNs)GUI視圖17TACACS——FortiOSTACACS+認(rèn)證(MR617TACACS+Server-CiscoSecureACSTACACS+Server-CiscoSecure1819TACACS——配置CLIconfigusertacacs+edit"tac+router1"setkeyfortinetsetserver""nextEndFGT100-1(tac+router1)#setauthen-typechoosewhichauthenticationtypetouse*key<password_str>keytoaccesstheserverportportnumberoftheTACACS+server*server{<name_str|ip_str>}serverdomainnameoripTACACS——配置CLIconfigusertacac1920TACACS——Troubleshootingdiagdebappfnambd7diagtestauthservertacacs+<serverProfile><user><pass>FGT100-1#diagtestauthservertacacs+tac+router1user1fortinetfnbamd_fsm.c[846]handle_req-Rcvdauthreq0foruser1intac+router1opt=15prot=8fnbamd_tac_plus.c[326]build_authen_start-buildingauthenstartpackettosendto:authen_type=2(pap)fnbamd_tac_plus.c[417]tac_plus_result-waitingauthenreplypacketfnbamd_fsm.c[269]fsm_tac_plus_result-Continuependingforreq0fnbamd_tac_plus.c[381]parse_authen_reply-authenresult=1(pass)fnbamd_comm.c[129]fnbamd_comm_send_result-Sendingresult0forreq0authenticateuser'user1'onserver'tac+router1'succeededTACACS——Troubleshootingdiagd20Zone——將多個(gè)接口組織起來簡(jiǎn)化防火墻策略使用區(qū)域可以將相關(guān)聯(lián)的接口與VLAN子接口劃分為組進(jìn)行管理。將接口與子接口分組管理簡(jiǎn)化了策略的創(chuàng)建??梢灾苯优渲梅阑饓Σ呗钥刂仆鶃碛趨^(qū)域的連接,而不是對(duì)區(qū)域中每個(gè)接口。您可以在區(qū)域列表中添加區(qū)域,更改區(qū)域的名稱、編輯及刪除區(qū)域。添加區(qū)域時(shí),選擇添加到該區(qū)域的接口與VLAN子接口的名稱。區(qū)域可以添加到虛擬域中。如果FortiGate配置中添加了多個(gè)虛擬域,在添加或編輯區(qū)域之前確認(rèn)已經(jīng)配置了正確的虛擬域。區(qū)域內(nèi)是否允許相互通訊,缺省狀態(tài)是允許Zone——將多個(gè)接口組織起來簡(jiǎn)化防火墻策略使用區(qū)域可以將相21實(shí)驗(yàn)一基于Radius的管理員認(rèn)證設(shè)置管理員ccadmin,基于Radius服務(wù)器進(jìn)行認(rèn)證實(shí)驗(yàn)一基于Radius的管理員認(rèn)證設(shè)置管理員ccadmin22實(shí)驗(yàn)二軟交換接口將internal和wan2接口設(shè)置為交換接口,ip為10.0.X.254,設(shè)置策略允許內(nèi)網(wǎng)訪問Internet實(shí)驗(yàn)二軟交換接口將internal和wan2接口設(shè)置為交換23防火墻策略
Course301防火墻策略
Course301二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過FortiGate本身不能夠參與STP協(xié)議,但是可以設(shè)置其通過控制vlan數(shù)據(jù)包是否直接放過控制arp廣播包穿過configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend二層協(xié)議的穿越——基于接口控制非ip的二層協(xié)議的穿過conf25多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻部署多播策略允許多播流量可以對(duì)多播流量進(jìn)行nat在透明模式下,也可以不通過策略方式,而直接設(shè)置全局選項(xiàng)multicast-forwardenable是否更改多模的ttl多播流量的控制多播流量在缺省狀態(tài)下不能透明穿越防火墻26基于RADIUS的防火墻認(rèn)證FortiGate作為networkaccessserver(NAS)用戶信息被送到RADIUSserver用戶的認(rèn)證取決于服務(wù)器的響應(yīng)對(duì)象識(shí)別識(shí)別IP地址和共享密鑰,最多支持兩個(gè)RADIUSserversRADIUS對(duì)象可以用來所有的服務(wù)的認(rèn)證Admin用戶的Radius認(rèn)證基于RADIUS的防火墻認(rèn)證FortiGate作為netwo27軟交換接口(1)——概念軟交換接口模式在物理接口之間創(chuàng)建橋連接每個(gè)軟交換接口可以指定一個(gè)邏輯IP地址MR6中只能使用命令方式配置不能用于HAmonitor或心跳接口軟交換接口(1)——概念軟交換接口模式28軟交換接口(2)——配置在MR7加入GUI支持configsystemswitch-interfaceedit"switch-1"setmember"port4""port5"nextendconfigsysteminterfaceedit"switch-1"setvdom"root"setip04setallowaccesspinghttpssettypeswitchnextend軟交換接口(2)——配置在MR7加入GUI支持config29軟交換接口(3)———GUI視圖GUI視圖Ports4&5被從接口列表中刪除只有空接口可以被加入到軟交換接口已有任何配置的接口(如DNS轉(zhuǎn)發(fā)、靜態(tài)路由、防火墻策略等)的接口都不能加入軟交換接口組軟交換接口(3)———GUI視圖GUI視圖30軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量無需防火墻策略控制軟交換接口被視為一個(gè)物理接口,就像鏈路聚合接口一樣可以在軟交換接口上配置VLAN接口軟交換接口(4)——數(shù)據(jù)包行為軟交換接口組中各接口之間的流量31軟交換接口(5)——注意事項(xiàng)所有的物理接口都可以加入到軟交換接口中標(biāo)準(zhǔn)接口FA2接口NP2接口無線接口(FortiWiFi)以上接口可以在軟交換接口中混合存在FortiGate不參與spanningtree不發(fā)送STP包不接收STP包因此需要注意LOOPS可能產(chǎn)生
!!!軟交換接口(5)——注意事項(xiàng)所有的物理接口都可以加入到軟交換32軟交換接口(6)——NAT/Route方案L2switchL2switch交換機(jī)所有接口上都啟用SpanningtreeIPbroadcast軟交換接口(6)——NAT/Route方案L2switc33軟交換接口(7)——避免Loop為了避免loop,需要開啟FortiGate接口上的stpforward配置軟交換組中的物理接口================================================================================PortStg================================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/13128blockingtruefalse1012trueconfigsysteminterfaceedit"port3"setvdom"root"setstpforwardenable軟交換接口(7)——避免Loop為了避免loop,需要開啟F34軟交換接口(8)——TroubleshootingSniffing可以在物理或軟交換接口上使用如果在軟交換接口上使用sniffer命令,內(nèi)部的交換流量不會(huì)捕獲#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]軟交換接口(8)——TroubleshootingSnif35軟交換接口(9)——
轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB#diagnetlinkbrctllistlistbridgeinformationswitch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswitch-1host.fdb:size=256,used=6,num=6,depth=1,simple=yesBridgeswitch-1hosttableportnodevicedevnamemacaddrttlattributes313AMC-SW1/200:03:4b:4f:ac:b81313AMC-SW1/200:09:0f:67:75:150LocalStatic313AMC-SW1/200:0c:29:f1:de:2a015port400:09:0f:67:69:f90LocalStatic15port400:0c:29:1e:12:be015port400:15:c6:c9:5b:8729軟交換接口(9)——轉(zhuǎn)發(fā)表(FDB)檢查軟交換接口的FDB3637TACACS——概要TACACS協(xié)議組TerminalAccessControllerAccessControlSystemTACACS,XTACACS,TACACS+TACACS+RFC由Cisco起草AAA結(jié)構(gòu)TACACS——概要TACACS協(xié)議組37TACACS——與RADIUS比較38TACACS+RadiusTCP/49UDP認(rèn)證/授權(quán)可分離認(rèn)證授權(quán)結(jié)合完全加密僅密碼部分加密可用于路由器管理會(huì)話授權(quán)TACACS——與RADIUS比較TACACS+Radius38TACACS——與RADIUS比較39TACACS——與RADIUS比較39TACACS——FortiOSTACACS+認(rèn)證(MR6)所有可以使用用戶認(rèn)證的功能(firewallpolicy,administratoraccounts,VPNs)GUI視圖40TACACS——FortiOSTACACS+認(rèn)證(MR640TACACS+Server-CiscoSecureACSTACACS+Server-CiscoSecure4142TACACS——配置CLIconfigusertacacs+edit"tac+router1"setkeyfortinetsetserver""nextEndFGT100-1(tac+router1)#setauthen-typechoosewhichauthenticationtypetouse*key<password_str>keytoaccesstheserverportportnumberoftheTACACS+server*server{<name_str|ip_str>}serverdomainnameoripTACACS——配置CLIconfigusertacac4243TACACS——Troubleshootingdiagdebappfnambd7diagtestauthservertacacs+<ser
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年永州貨運(yùn)從業(yè)資格證模擬考試題目
- 2025年保山道路貨物運(yùn)輸從業(yè)資格證考試
- 2025年阿里貨運(yùn)上崗證模擬考試0題
- 2025年武漢貨運(yùn)從業(yè)資格證試題庫(kù)和答案大全
- 2025年昌都c1貨運(yùn)從業(yè)資格證考試內(nèi)容
- 企業(yè)創(chuàng)新力的培養(yǎng)與提升策略
- 優(yōu)化教學(xué)環(huán)境學(xué)校實(shí)驗(yàn)室設(shè)施的合理配置
- 企業(yè)中創(chuàng)意管理的實(shí)施策略研究
- AI語(yǔ)音技術(shù)在安全教育中的應(yīng)用前景研究
- AI技術(shù)推動(dòng)下的現(xiàn)代小學(xué)教育變革與啟示
- 循環(huán)流化床鍋爐氮氧化物生成與控制分析
- 關(guān)于申請(qǐng)創(chuàng)辦宜康醫(yī)院精神病醫(yī)院的報(bào)告
- 《人間生活》高中美術(shù)鑒賞教案設(shè)計(jì)
- 在建鋼結(jié)構(gòu)工程危險(xiǎn)源辨識(shí)評(píng)價(jià).doc
- 托兒所、幼兒園建筑設(shè)計(jì)規(guī)范 JGJ 39-2016
- 異常子宮出血病因與治療的臨床分析
- 螺栓螺母理論重量表
- 微生物鑒定藥敏分析系統(tǒng)說明書48頁(yè)
- 兒童心理健康教育PPT課件
- 普天同慶主降生ppt課件
- 基于windows操作平臺(tái)的數(shù)據(jù)恢復(fù)技術(shù)
評(píng)論
0/150
提交評(píng)論