FortiGate Multi-Threat Security Systems I Administration and Content
Download
Report
Transcript FortiGate Multi-Threat Security Systems I Administration and Content
FortiGate Multi-Threat Security Systems
Jacob Chen
Fortinet Taiwan SE
Fortigate 管理介面
•
•
•
出廠預設值
透過CLI (command line Interface), 如: console, telnet, ssh.
透過WEB GUI (Graphic User Interface), 如: Internet Explorer
使用http 或 https (SSL).
Fortigate 出廠預設值
• 為Route/NAT模式
• Internal interface 192.168.1.99/24
允許 https, http, ssh, ping
• External interface 192.168.100.99/24
只允許 ping
Console log in
輸入 admin 並按兩次Enter鍵
會出現”Fortigate-400 #”
輸入 “?” 可看到command
Bits per second
9600
Data bits
8
Parity
None
Stop bits
1
Flow control
None
Web Management
•
•
•
•
•
SSL 介面加密 (Default)
多國語言介面(英文,日文,韓文,簡體中文,繁體中文)
預設Admin帳號:
Name:
admin
Password: 無
Fortigate – 設定流程概述(共三階段)
第一階段
•
•
•
•
設定網路介面IP (Route/NAT, transparent)
訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的
規則)
訂定網路介面其他相關設定
Route/NAT, Transparent模式設定Default Route
Web Log In
1.
2.
3.
4.
將電腦IP 設定為192.168.1.0 / 24 內的IP
將電腦介接在Fortigate的Internal port或port1內(視機型而定)
以 https://192.168.1.99 WEBGUI介面進入fortigate
Name 輸入 “admin”, Password留空白, 按”Login” 登錄
登入畫面 1
登入畫面 2
步驟1 – Route / NAT 模式下設定IP
步驟1 – Route / NAT 模式下設定IP (cont’d)
編輯Interface
1.更改IP和子網路遮罩
2.勾選ping server和填入IP
3.勾選管理權限
4. 按”OK” (此時和Fortigate
間連線會中斷)
5. 清除電腦內ARP table, 重新
以Web GUI和所更改的IP連
接Fortigate
步驟1 – Route / NAT 模式下設定IP
(cont’d)
Keypad and
LCD Display
或是在Fortigate LCD上設定internal port IP
Address (FG-300以上機型)
步驟1 – Route / NAT 模式下設定IP
(cont’d)
或在Console 或CLI中如下設定:
# config system interface
(interface)# edit internal
(internal)# set ip 10.1.1.254 255.255.255.0
(internal)# end
步驟1 – Transparent 模式設定管理IP
•
•
Transparent模式中,預設管理IP為10.10.10.1
可由internal port或port1(視機型而定)進入管理
步驟1 – Transparent模式設定管理IP
(cont’d)
Keypad and
LCD Display
或是在Fortigate LCD上設定management IP
Address (FG-300機型以上)
步驟1 – Transparent模式下設定IP
(cont’d)
或在Console 或CLI中如下設定:
# config system setting
(settings)# set opmode transparent
(settings)# set ip 10.1.1.254 255.255.255.0
(internal)# end
步驟1 – 制定防火牆規則
Firewall -> Policy -> Create New
步驟1 – 制定通透模式防火牆規則
1.
Source interface 選 inernal
2.
Destination interface 選
external
3.
Source 和 Destination 都選 all
4.
若FG為Route/NAT, 則視客戶
環境是否需要作NAT, 若FG為
Transparent模式,則不會有
NAT選項
5.
按”OK”建立防火牆政策
步驟1 – 制定閘道模式防火牆規則
1.
Source interface 選 inernal
2.
Destination interface 選
external
3.
Source 和 Destination 都選 all
4.
若FG為Route/NAT, 則視客戶
環境是否需要作NAT, 若FG為
Transparent模式,則不會有
NAT選項
5.
按”OK”建立防火牆政策
步驟1 – 制定防火牆規則
在SOHO機型內,已預建了一條 “內到外 NAT” 的防火牆政策
若防火牆架設在網路環境上,無論是Route/NAT或是
Transparent模式,此時會阻擋由防火牆外部到內部的流量.
步驟1 – 訂定網路介面其他設定
•
定義位址(Address)
Manual (static IP address)
DHCP
PPPoE
•
管理介面設定
Https, Ping, Http, Telnet, SSH, SNMP
步驟1 – 訂定網路介面其他設定
Network - Interface Overview
步驟1 – 訂定網路介面其他設定
Network – interface - Manual
Edit interface/Vlan 選單中
1.指定IP和子網路遮罩
2.勾選ping server和填入IP
3.勾選管理權限
步驟1 – 訂定網路介面其他設定
Network – Interface - DDNS設定
必須先註冊某一DDNS server
將所申請的Domain, Username, password填入欄位中
步驟1 – 訂定網路介面其他設定
Network – interface – PPPoE
1. 填入PPPoE帳號及密碼
2. 勾選”Retrieve default gateway from server”
3. 勾選ping server 和管理權限
步驟1 – Route / NAT, Transparent
設定 Default Route
Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址
(NAT)再轉送封包.
Transparent模式,則如同Fortigate本身的預設閘道(Gateway)
Fortigate – System 項目
•
快速了解系統設定和運作
Maintenance 維運
Troubleshooting 了解問題癥結
•
備份和還原設定
Configuration
settings
web filtering lists
spam filtering lists
System – Status
監控 Fortigate 系統狀態
Status – Session
監控網路連線狀態
Status – 如何改為 Transparent 模式
• 或是使用Command:
#Config sys setting
(setting)#set opmode transparent
System - Network
•
•
•
•
定義和監測實體網路埠型態
定義802.1Q VLAN 虛擬網路埠
Zones 概述
DNS 設定
Network – Interface – Create New
建立新的VLAN網路介面
1. 指定VLAN所在的實體網路埠
2. 填入VLAN ID (802.1Q)
3. 填入VLAN IP
•
•
Network – DNS 設定
有關fortigate中Alert email 和URL blocking功能會需
要DNS查詢
Fortigate可當作 DNS relay(DNS request 轉送),當
有DNS 查詢封包時,fortigate 會將封包轉送到所設定
的DNS server
System - Config
•
•
•
•
•
•
Time - 設定時間及時區
Options – 有關管理及語言等設定
HA (High Available)概述
Admin – 管理者及管理權限設定
SNMP v1/v2c – 網管設定概述
Replacement Message – 取代訊息設定
System – Config - Time
訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log
所紀錄的時間, 以及FDS更新伺服器的選擇
System – Config - Options
可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD
面板密碼,設定網路fail over的時間及間隔
System – Config - HA 概述
System – Config - SNMP v1/v2c 概況
System – Config - Fortimanager
System - Admin
• Administrators
Add administrator accounts (up to 12)
• Access Profile
System – Admin - Administrators
System – Admin - Access Profile
System - Maintenance
•
•
•
•
Backup & Restore
Update Center
Support
Shutdown
System – Maintenance - Backup & Restore
系統自動設定備份
System – Maintenance - Contract
System – Maintenance - Update Center
System – Maintenance - Support
http://support.fortinet.com
用於回報BUG和購買後的產品註冊
System – Maintenance - Shutdown
System – Virtual Domain 概述
•
•
無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設
可建 10 個 virtual domains
FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains
Firmware 升級 (Web GUI)
D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out
Firmware 升級 (Console)
1.
2.
3.
Fortigate port1 或internal port 與電腦對接
在電腦中啓動 TFTP Server
以console方式連接 fortigate serial port
防火牆進階設定和介紹
Router - Static
定義根據目的IP該轉送到哪個gateway或哪個網路介面
,此畫面所定義的路由為default route
Router - Policy 概述
可根據下列方式傳送封包:
•
source address 來源位址
•
protocol, service type, or port range
通訊協定, 服務類別,或通訊埠範圍
•
Incoming Interface and source IP
address
來源埠和來源位址
•
政策路由表是個別獨立的
•
Ping server (DGD) 必須在outgoing
Interface 中啓動
Protocol Number
NAME
HOPOPT
ICMP
IGMP
IP
TCP
UDP
NUM
CODE COMMENT
0
/* IPv6 Hop-by-Hop Option */
1
/* Internet Control Message. */
3
/* Internet Group Management*/
4
/* IP in IP (encapsulation)MTU setting. */
6
/* Transmission Control*/
17
/* User Datagram*/
Router – RIP 概述
•
•
•
•
RIP version 1 (RFC 1058) and RIP version 2 (RFC 2453)
以網路距離(Distance-vector)為依據的路由通訊協定,適合於小型網路
使用
以經過的網路節點(hop count)數量作為路由選擇依據
一個路由設備(L3 device)視為一個網路節點
路由記錄最多為15個Hop
RIP version 2
允許RIP路由封包內含更多資訊
支援簡單的相互認證和包含netmask資訊
Routing Table List
在Route/NAT模式中,檢視各個路由的狀況和資訊
四.防火牆IPS與Antivirus
IPS
•
•
•
Signature – 網路攻擊特徵
Anomaly – 網路非正常行為
Enable IPS – 如何啓動IPS
IPS -網路攻擊特徵
•
及時監控
以FortiASIC晶片進行比對
以protection profile中定義
•
•
可偵測超過 4500 種以上攻擊特徵資料
已通過ICSA 認證
IPS –網路攻擊特徵
IPS可監控L3-L7的攻擊
• 於政策(ploicy)中啓動 (UTM Protection Profile)
• stateful engine 監控封包狀態是否正常
• ASIC 晶片提供加速機制
• 提供不同的嚴謹程度
• 可設定針對指定的應用程式, 和作業系統執行IPS防護
• 可將偵測後之防禦設定為 : 放行, 記錄, 封鎖, 隔離, 清除連線,
封包記錄 等
IPS – 特徵列表
IPS – 客制 (自訂) 特徵
IPS – 單一特徵內設定
可對單一攻擊特徵設定啓動,記錄或定義偵測到後所作動作
IPS – Anomaly 列表與設定
如何啓動 IPS – 設定Profile
如何啓動 IPS – 套入 Policy
Antivirus
•
•
在Protection profile中制定防毒,並在policy中啓動
Protection profiles 可制定
所要掃瞄的流量種類
•
•
•
•
•
•
•
HTTP / HTTPS
FTP
IMAP / IMAPS
POP3 / POP3S
SMTP / SMTPS
IM
NNTP
防毒所要啓動的項目
對於fragmented email 和 oversized files 或 email要放行或阻擋
提供隔離發送病毒來源 IP
如何啓動 AntiVirus
Anitvirus – File Block
Anitvirus – 隔離
Anitvirus – 資料庫
Protocol (掃瞄檢查協定)
Protocol – Config - config
•
•
FortiGate 本身會預留記憶體的1-15%作為儲存 oversized
files 和 email
建議超過限制大小的檔案和email直接阻擋,以免造成漏洞
可設定為bypass (oversized pass)
•
取代訊息會顯示在網頁或email給用戶端
應用程式管理
辨識的應用程式 (部份)
網頁分類與過濾
網頁分類 (部份)
防火牆記錄和報表
紀錄和報表
• Log Config – 記錄設定
• Log Access – 查詢記錄
Fortigate – 設定流程概述
第三階段
• 設定記錄(Log setting)
• 在何處開啓記錄功能?
步驟3 – 設定記錄要存放的位置
1.
2.
3.
FG-60B,FG-310B沒有Hard disk,只能存放
在memory. 若是有硬碟的機型,則可選擇存
放在Hard disk
或是將log轉送到可收syslog的伺服器
若要留下所有相關記錄,Level要選擇
information
步驟3 –設定需要保留的記錄
1. 啟動系統的事件記錄 (Even Log)
步驟3 –設定Policy 與 AntiVirus 的記錄
步驟3 –設定 IPS 與 App. Control 的記錄
步驟3 –設定 DoS 與 WebFilter 的記錄
步驟3 –設定 AntiSpam 的記錄
步驟3 –設定 資料洩露(DLP) 的記錄
設定紀錄存放的位置
•
•
•
•
•
Remote Syslog Server
WebTrends Server
Local Disk
Memory Buffer
FortiAlanyzer Appliance
紀錄的種類
•
Select log types and filter
options for each location
觀看紀錄
•
可直接查看存放在記憶體或硬碟, 以及 FortiAnalyzer 中的記錄資料
搜尋紀錄
紀錄的格式
•
FortiGate log主要由兩大部分組成
Log header 紀錄表頭
Log body 紀錄內容
1 2010-12-14 22:14:05 log_id=0021000002 type=traffic subtype=allowed
pri=notice status=accept vd="root" dir_disp=org tran_disp=snat
src=192.168.11.2 srcname=192.168.11.2 src_port=1163 dst=66.235.133.33
dstname=66.235.133.33 dst_port=80 tran_ip=220.134.20.85
tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129
rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0
shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A"
shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6
vpn="N/A" src_int="internal" dst_int="wan1" SN=6648 app="N/A"
app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A"
(每一筆紀錄在fortigate中皆為單一行顯示)
警訊信件設定
•
•
•
支援SMTP認證
需設定fortigate上DNS參數
最多可設定三名收件人
發送警訊信件設定
•
•
•
訂定發生事件後延遲發信的時間
選擇何種事件等級引發發信動作
選擇哪些事件要發email通知
FortiAnalyzer 記錄報表
報表自訂
附錄 . Fortigate 常用指令
網路介面相關指令 -設定速率
指定介面
設定速率
附錄 . Fortigate 常用指令
網路介面相關指令 -設定介面其他參數
Fortigate# get sys int 可獲知目前介面參數設定
附錄 . Fortigate 常用指令
網路介面相關指令 -設定介面其他參數
(Secondary IP)
附錄 . Fortigate 常用指令
網路介面相關指令
-檢視介面資訊
Fortigate# dia hard device nic
internal
檢視internal介面的硬體及封包資訊
附錄 . Fortigate 常用指令
Fortigate系統參數相關指令- 設定radius port,啟動multicast forward功能
附錄 . Fortigate 常用指令
Fortigate系統參數相關指令 設定Service Session timeout
設定Default timeout”秒”數
自定服務 timeout”秒”數
附錄 . Fortigate 常用指令
Fortigate防毒功能相關指令 -自定防毒服務端口
定義port 8080 屬於Http Service,故可啟動防毒功能
Http Virus Scan相關參數
附錄 . Fortigate 常用指令
Fortigate防毒功能相關指令 -啟發性防毒服務模式
三種模式選擇
附錄 . Fortigate 常用指令
IP-MAC結合功能 - 模式設定
設定封鎖條件
未定義之IP處理方式
附錄 . Fortigate 常用指令
IP-MAC結合功能 -定義IP MAC對應表
新增資料筆數
設定IP
設定MAC
設定名稱
此筆資料啟用狀態
附錄 . Fortigate 常用指令
IP-MAC結合功能 -啟用介面IP MAC Binding功能
附錄 . Fortigate 常用指令
路由功能 -OSPF設定
新增Area
是否交換connected 之介面網段
是否交換static route
附錄 . Fortigate 常用指令
路由功能 -OSPF Area設定
設定area附加的網段
設定OSPF介面
設定OSPF介面與實體介面關系
附錄 . Fortigate 常用指令
Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal
監聽”internal” interface 的資料流
附錄 . Fortigate 常用指令
Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal ‘host 172.16.30.11’
監聽”internal” interface 上有關IP 172.16.30.11 的資料流
附錄 . Fortigate 常用指令
Trouble Shooting功能 -Sniffer
Fortigate# Diag sniffer packet internal ‘tcp and port 80’
監聽”internal” interface 上所有TCP Port 80 的資料流
附錄 . Fortigate 常用指令
Trouble Shooting功能
- system top
Fortigate# diag sys top
檢視系統CPU使用狀況
附錄 . Fortigate 常用指令
Trouble Shooting功能 -Netlink
Fortigate# diag netlink nei list 檢視fortigate arp table
附錄 . Fortigate 常用指令
Trouble Shooting功能 -Session Clear
Fortigate# diag sys session clear 清除目前所有Fortigate上的
session
注意 : 此動作會造成所有連線斷線
Fortigate# exec ping 168.95.1.1 執行Ping的動作
Fortigate# exec trace 168.95.1.1 執行Trace route的動作
Fortigate# exec reboot 執行系統reboot
FortiNet 資料參考網站
• Fortinet 相關技術與設定參考文件放置網站
Product Information (www.fortinet.com)
FortiOS Release Notes
Knowledge Center (kc.fortinet.com)
Technical Forums (support.fortinet.com/forum)
FortiDocs (docs.fortinet.com)