返回
《防火墙策略》ppt课件

《防火墙策略》ppt课件

ID:27660587

大小:1.46 MB

页数:28页

时间:2018-12-05

《防火墙策略》ppt课件_第1页
《防火墙策略》ppt课件_第2页
《防火墙策略》ppt课件_第3页
《防火墙策略》ppt课件_第4页
《防火墙策略》ppt课件_第5页
资源描述:

《《防火墙策略》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、防火墙策略Course201创建防火墙策略的原则策略是按照进出流量的接口部署的流量如果没有匹配的防火墙策略的话,是不能穿过设备的正确理解状态监测,防火墙的策略应以数据流的发起方来判断建立的方向也就是说,当需要内部网访问外部网时,只需要建立一个从Internal到wan1的允许策略即可防火墙策略接口服务NAT/Route保护内容表如何创建防火墙策略–接口与IP地址两种类型的地址:IP/IPRangeFQDN——域名的方式定义IP范围的多种方式:192.168.1.99192.168.1.0/255.255.255.0192

2、.168.1.0/24192.168.1.99-192.168.1.105192.168.1.[99-105]FQDN域名方式防火墙本身的DNS用来解析FQDN地址对象的FQDN解析的缓存时间是由DNS服务器决定的如何创建防火墙策略–选择与定制服务FortiGate本身内置了六十多个预定义的服务用户也可以自行定义服务,以下协议可以定制:TCP/UDPICMPIP也可以通过组的方式将多个服务组合在一起如何创建防火墙策略–定制时间表防火墙的基于时间的控制如何创建防火墙策略–选择动作数据包是根据接口、地址、协议、时间四项进行匹

3、配的,一旦匹配成功后,就根据“Action”来决定操作,不再向下匹配。在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。在NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。有以下类型的动作:AcceptDenySSL——sslvpn的策略IPSec——Ipsecvpn的策略如何创建IPv6和多播策略所有的IPV6和多播都是通过命令行来配置的IPV6地址可以配置到任一接口IPV6对象和策略policy6address6addrgrp6多播策略multicast-policy实验一10.0.

4、x.1只能够访问www.fortinet.com,而不能访问其他的网站提示:注意以下DNS的问题没有匹配策略成功的话,那么是拒绝的。实验二dmz区有一个代理服务器192.168.3.18080,用户希望员工通过代理服务器上Internet,不允许其他的方式上网。如何设置防火墙认证——用户用户对象是认证的一个方法用户组是用户对象的容器识别组成员保护内容表和类型实现对成员的认证属性FortiGate基于组的方式控制对资源的访问用户组和防火墙策略定义了对用户的认证过程如何设置防火墙认证——用户种类支持以下类型的认证:本地用户建

5、立在防火墙上的用户名和密码RADIUS用户取自Radius的用户名和密码LDAP/AD用户取自LDAP服务器的用户名和密码TACACS+取自TACACS服务器的用户名和密码FSAE/NTLM(AD)用户可以实现单点登录PKI基于CA证书(不需要用户名和密码)如何设置防火墙认证——用户组用户组名称类别设为防火墙保护内容表与用户组绑定设置组成员如何设置防火墙认证——用户组与防火墙绑定在防火墙策略里启用认证选择是否支持Windows域用户,FSAE或者NTLM选择用户组如何设置防火墙认证——免责声明免责声明是在用户正确地输入用

6、户名和密码后,弹出一个页面对访问Internet作出一个说明,该说明可以是免责内容,也可以作为广告使用重定向网页是用户接受免责声明后,转向在这里输入的网址如何设置防火墙认证——认证时间与协议当没有已经认证的用户在没有数据流的情况下,经过“验证超时“后,就需要重新认证能够弹出用户名和密码的允许认证协议如上采用证书方式认证如何设置防火墙认证——自动刷新Keepalive命令行下设置:ConfigsysglobalSetauth-keepaliveenEnd如何设置源地址转换缺省情况下,端口地址翻译为外部接口IP地址如何设置源

7、地址转换——不使用接口地址地址翻译成指定范围的IP地址防火墙>虚拟IP>IP池如何来验证Diagnosesnifferpacketany‘icmp’4Pingwww.sina.com.cn映射服务器——设置虚拟IP一对一映射端口映射绑定的外部接口外部的IP地址内部的IP地址外部IP端口内部服务器端口映射服务器——设置服务器的负载均衡选择使用服务器负载均衡外部的IP分配流量的方式外部的IP端口内部的服务器列表映射服务器——添加允许访问服务器的策略策略是从外向内建立的目标地址是服务器映射的虚拟IP不需要启用NAT实验将内部服

8、务器10.0.X.1映射到192.168.11.10X,让旁人ping192.168.11.10X,然后抓包分析Diagnosesnifferpacketany‘icmp’4基于策略的流量控制在防火墙策略中启动流量控制设置。如果您不对防火墙策略设置任何的流量控制,那么默认情况下,流量的优先级别设置为高级。防火墙策略中

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。