2010 NETEASE Tech CO LTD All Rights Reserved

什麼是防火牆? 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE

什麼是防火牆? l 軟體式 Windows防火牆、linux ip tables、防毒軟體 l 硬體式獨立硬體設備聯易科技 © 2010 NETEASE Tech.

什麼是防火牆? l Route Mode Ø 路由器 Ø 各Port(網段)政策控管 Ø NAT l Transparent Mode Ø

什麼是防火牆? l Route Mode 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights

什麼是防火牆? l Transparent Mode 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights

政策規則 First Match 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved.

防火牆功能 DHCP 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司

防火牆功能 NAT 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司

防火牆功能 Mapping 讓user可透過public ip及protocol對應到內部ip 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights

防火牆功能 Mapping 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司

連線方式 Fortigate 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司

連線方式聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE

連線方式 l CLI介面: console、telnet、ssh l WEB介面: 透過browser，http or https 聯易科技 © 2010 NETEASE Tech.

Fortigate預設值 l 為Route/NAT模式 l Internal interface 192. 168. 1. 99/24 Ø 允許 https, http,

登入介面聯易科技 1. 將電腦IP 設定為 192. 168. 1. 0 / 24 內的IP(or DHCP) 2.

登入畫面 1 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司

登入畫面 2 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司

步驟 1 – Route / NAT 模式下設定IP 聯易科技 © 2010 NETEASE Tech. CO. ,

步驟 1 – Route / NAT 模式下設定IP 編輯Interface 1. 更改IP和子網路遮罩 2. 勾選ping server和填入IP 3.

步驟 1 – Route / NAT 模式下設定IP 或在Console 或CLI中如下設定: # config system interface (interface)#

Status – 如何改為 Transparent 模式 • 或是使用Command： #Config sys setting (setting)#set opmode transparent 聯易科技

步驟 1 – Transparent 模式設定管理IP • Transparent模式中, 預設管理IP為 10. 10. 1 • 可由internal port或port

步驟 1 – Transparent模式下設定IP 或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent

步驟 1 – 制定防火牆規則 Firewall -> Policy -> Create New 聯易科技 © 2010 NETEASE

步驟 1 – 制定閘道模式防火牆規則 1. Source interface 選 inernal 2. Destination interface 選 external

步驟 1 – 制定通透模式防火牆規則 1. Source interface 選 inernal 2. Destination interface 選 external

步驟 1 – Route / NAT, Transparent 設定 Default Route l Route/NAT模式, Fortigate會根據路由表轉送封包或是先轉址 (NAT)再轉送封包.

System - Network l l 聯易科技網路介面細項定義 802. 1 Q VLAN 虛擬網路埠 DNS及DDNS設定

步驟 1 – 訂定網路介面其他設定 l 定義位址(Address) Ø 手動 (static IP address) Ø DHCP Ø

步驟 1 – 訂定網路介面其他設定 Network - Interface Overview 聯易科技 © 2010 NETEASE Tech. CO.

步驟 1 – 訂定網路介面其他設定 Network – interface - Manual Edit interface/Vlan 選單中 1. 指定IP和子網路遮罩

步驟 1 – 訂定網路介面其他設定 Network – interface – PPPo. E 1. 填入PPPo. E帳號及密碼 2.

Network – Interface – Create New 建立新的VLAN網路介面 1. 指定VLAN所在的實體網路埠 2. 填入VLAN ID (802. 1

Network – DNS 設定 • 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢 • Fortigate可當作 DNS relay（DNS

步驟 1 – 訂定網路介面其他設定 Network – Interface - DDNS設定必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

Router - Static 定義根據目的IP該轉送到哪個gateway或哪個網路介面, 此畫面所定義的路由為default© 2010 route NETEASE Tech. CO. , LTD. 聯易科技

Router - Policy 概述可根據下列方式傳送封包: • source address 來源位址 • protocol, service type, or

Routing Table List 在Route/NAT模式中，檢視各個路由的狀況和資訊聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights

Fortigate – System 項目 l 快速了解系統設定和運作 Ø Maintenance 維運 Ø Troubleshooting 了解問題癥結 l 備份和還原設定

System – Status 監控 Fortigate 系統狀態聯易科技 © 2010 NETEASE Tech. CO. , LTD.

Status – Session 監控網路連線狀態聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights

System - Config l l l 聯易科技 Time - 設定時間及時區 Options – 有關管理及語言等設定 HA

System – Config - HA 概述 Route mode跟透通模式哪個較需要HA? 聯易科技 © 2010 NETEASE Tech. CO.

System – Config - SNMP v 1/v 2 c 概況聯易科技 © 2010 NETEASE

System – Config - Fortimanager 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All

System - Admin l Administrators Ø Add administrator accounts (up to 12) l Access

System – Admin - Administrators 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All

System - Maintenance l Backup & Restore l Firmware l Support l Shutdown 聯易科技

System – Maintenance - Contract 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All

System – Maintenance - Backup & Restore 系統自動設定備份聯易科技 © 2010 NETEASE Tech. CO.

Firmware 升級 (Web GUI) D: Forti. GateForti. OS v 4. 0v 4. 0_Image4. 2v

Firmware 升級 (Console) 1. Fortigate port 1 或internal port 與電腦對接 2. 在電腦中啓動 TFTP Server

System – Maintenance - Shutdown 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All

System – Maintenance - Support http: //support. fortinet. com 用於回報BUG和購買後的產品註冊聯易科技 © 2010 NETEASE

System – Virtual Domain 概述 l 什麼是VDOM? l Forti. Gate 3016 (含)以上的機型可提供 up to

System – Virtual Domain 概述 l 無論是在 NAT/Route 或是 Transparent 模式, 所有的 Forti. Gate

紀錄與報表聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE

紀錄和報表 l Log Config – 記錄設定 l Log Access – 查詢記錄聯易科技 © 2010

步驟 3 –設定Policy 與 Anti. Virus 的記錄聯易科技 © 2010 NETEASE Tech. CO.

設定紀錄存放的位置 l l l Remote Syslog Server Web. Trends Server Local Disk Memory Buffer

紀錄的種類 l Select log types and filter options for each location 聯易科技 © 2010

搜尋紀錄聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE

紀錄的格式 l Forti. Gate log主要由兩大部分組成 Ø Log header 紀錄表頭 Ø Log body 紀錄內容 1

警訊信件設定 l l l 支援SMTP認證需設定fortigate上DNS參數最多可設定三名收件人聯易科技 © 2010 NETEASE Tech. CO. ,

附錄. Fortigate 常用指令網路介面相關指令 -設定介面其他參數 (Secondary IP) 聯易科技 © 2010 NETEASE Tech. CO. ,

附錄. Fortigate 常用指令 IP-MAC結合功能 -啟用介面IP MAC Binding功能聯易科技 © 2010 NETEASE Tech. CO. ,

附錄. Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet interface 的資料流聯易科技 ©

附錄. Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet 172. 16. 30. 11’

附錄. Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet 80’ internal ‘tcp and

附錄. Fortigate 常用指令 Trouble Shooting功能 - system top Fortigate# diag sys top 檢視系統CPU使用狀況聯易科技

附錄. Fortigate 常用指令 Trouble Shooting功能 -Session Clear Fortigate# diag sys session clear 的session 清除目前所有Fortigate上

Slides: 90

Download presentation

Fortigate預設值 l 為Route/NAT模式 l Internal interface 192. 168. 1. 99/24 Ø 允許 https, http, ssh, ping 預設管理帳號密碼: l Name: admin l Password: 無聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

登入介面聯易科技 1. 將電腦IP 設定為 192. 168. 1. 0 / 24 內的IP(or DHCP) 2. 將電腦介接在Fortigate的Internal port或port 1內(視機型而定) 3. 以 https: //192. 168. 1. 99 WEBGUI介面進入fortigate © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 4. Name 輸入 “admin”, Password留空白, 按”Login” 登錄聯易科技股份有限公司 NETEASE SOLUTION

步驟 1 – Route / NAT 模式下設定IP 編輯Interface 1. 更改IP和子網路遮罩 2. 勾選ping server和填入IP 3. 勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新　以Web GUI和所更改的IP連　接Fortigate 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

步驟 1 – Route / NAT 模式下設定IP 或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip 10. 1. 1. 254 255. 0 (internal)# end 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

步驟 1 – Transparent模式下設定IP 或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip 10. 1. 1. 254 255. 0 (internal)# end 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

步驟 1 – 制定閘道模式防火牆規則 1. Source interface 選 inernal 2. Destination interface 選 external 3. Source 和 Destination 都選 all 4. 若FG為Route/NAT, 則視客戶環境是否需要作NAT, 若FG為 Transparent模式，則不會有 NAT選項 5. 按”OK”建立防火牆政策聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

步驟 1 – 制定通透模式防火牆規則 1. Source interface 選 inernal 2. Destination interface 選 external 3. Source 和 Destination 都選 all 4. 若FG為Route/NAT, 則視客戶環境是否需要作NAT, 若FG為 Transparent模式，則不會有 NAT選項 5. 按”OK”建立防火牆政策聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

步驟 1 – Route / NAT, Transparent 設定 Default Route l Route/NAT模式, Fortigate會根據路由表轉送封包或是先轉址 (NAT)再轉送封包. l Transparent模式, 則如同Fortigate本身的預設閘道(Gateway) 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

步驟 1 – 訂定網路介面其他設定 l 定義位址(Address) Ø 手動 (static IP address) Ø DHCP Ø PPPo. E l 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

Network – DNS 設定 • 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢 • Fortigate可當作 DNS relay（DNS request 轉送), 當有DNS 查詢封包時，fortigate 會將封包轉送到所設定的DNS server 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

Router - Policy 概述可根據下列方式傳送封包: • source address 來源位址 • protocol, service type, or port range 通訊協定, 服務類別, 或通訊埠範圍 • Incoming Interface and source IP address 來源埠和來源位址 • 政策路由表是個別獨立的 • Ping server (DGD) 必須在outgoing Interface 中啓動聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

System - Config l l l 聯易科技 Time - 設定時間及時區 Options – 有關管理及語言等設定 HA (High Available)概述 Admin – 管理者及管理權限設定 SNMP v 1/v 2 c – 網管設定概述 Replacement Message – 取代訊息設定 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

Firmware 升級 (Web GUI) D: Forti. GateForti. OS v 4. 0v 4. 0_Image4. 2v 4. 2. 2(291)FGT_200 B-v 400 -build 0291 -FORTINET. out © 2010 NETEASE Tech. CO. , LTD. 聯易科技 All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

Firmware 升級 (Console) 1. Fortigate port 1 或internal port 與電腦對接 2. 在電腦中啓動 TFTP Server 3. 以console方式連接 fortigate serial port 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

System – Virtual Domain 概述 l 無論是在 NAT/Route 或是 Transparent 模式, 所有的 Forti. Gate 設備預設可建 10 個 virtual domains NETEASE Tech. CO. , LTD. l Forti. Gate 3016©All 2010 Rights (含)以上的機型可提供 up to 250個virtual domains Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

紀錄的格式 l Forti. Gate log主要由兩大部分組成 Ø Log header 紀錄表頭 Ø Log body 紀錄內容 1 2010 -12 -14 22: 14: 05 log_id=0021000002 type=traffic subtype=allowed pri=notice status=accept vd="root" dir_disp=org tran_disp=snat src=192. 168. 11. 2 srcname=192. 168. 11. 2 src_port=1163 dst=66. 235. 133. 33 dstname=66. 235. 133. 33 dst_port=80 tran_ip=220. 134. 20. 85 tran_port=60429 service=80/tcp proto=6 app_type=N/A duration=129 rule=1 policyid=1 identidx=0 sent=1841 rcvd=829 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" sent_pkt=5 rcvd_pkt=6 vpn="N/A" src_int="internal" dst_int="wan 1" SN=6648 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A" (每一筆紀錄在fortigate中皆為單一行顯示) 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

附錄. Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet 172. 16. 30. 11’ internal ‘host 監聽”internal” interface 上有關IP 172. 16. 30. 11 的資料流聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION

附錄. Fortigate 常用指令 Trouble Shooting功能 -Sniffer Fortigate# Diag sniffer packet 80’ internal ‘tcp and port 監聽”internal” interface 上所有TCP Port 聯易科技 © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION 80 的資料流

附錄. Fortigate 常用指令 Trouble Shooting功能 -Session Clear Fortigate# diag sys session clear 的session 清除目前所有Fortigate上注意 : 此動作會造成所有連線斷線 Fortigate# exec ping 168. 95. 1. 1 Fortigate# exec trace 168. 95. 1. 1 Fortigate# exec reboot 聯易科技執行Trace route的動作執行系統reboot © 2010 NETEASE Tech. CO. , LTD. All Rights Reserved. 聯易科技股份有限公司 NETEASE SOLUTION 執行Ping的動作