Fortinet防火墙设备维护手册Word格式文档下载.doc
《Fortinet防火墙设备维护手册Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《Fortinet防火墙设备维护手册Word格式文档下载.doc(4页珍藏版)》请在冰点文库上搜索。
“状态”菜单显示防火墙设备当前的重要系统信息,包括系统的运行时间、版本号、OS产品序列号、端口IP地址和状态以及系统资源情况。
如果CPU或内存的占用率持续超过80%,则往往意味着有异常的网络流量(病毒或网络攻击)存在。
1.1.2“会话”显示界面
Fortigate是基于“状态检测”的防火墙,系统会保持所有的当前网络“会话”(sessions)。
这个界面方便网络管理者了解当前的网络使用状况。
通过对“源/目的IP”和“源/目的端口”的过滤,可以了解更特定的会话信息。
例如,下图是对源IP为10.3.1.1的会话的过滤显示
通过“过滤器”显示会话,常常有助于发现异常的网络流量。
1.2“网络”子菜单1.2.1网络接口
如上图,“接口”显示了防火墙设备的所有物理接口和VLAN接口(如果有的话),显示IP地址、访问选项和接口状态。
“访问选项”表示可以使用哪种方式通过此接口访问防火墙。
例如:
对于“PORT1”,我们可以以“HTTPS,TELNET”访问,并且可以PING这个端口。
点击最右边的“编辑”图标,可以更改端口的配置。
如上图,“地址模式”有三类:
a.如果使用静态IP地址,选择“自定义”;
b.如果由DHCP服务器分配IP,选择“DHCP”;
c.如果这个接口连接一个xDSL设备,则选择“PPPoE”。
在“管理访问”的选项中选择所希望的管理方式。
最后点击OK,使配置生效。
“区”是指可以把多个接口放在一个区里,针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。
在本项目中,没有使用“区”。
1.2.2DNS
如上图,在这里配置防火墙本身使用的DNS服务器,此DNS与内部网络中PC和SERVER上指定的DNS没有关系。
1.3DHCP
如上图,所有的防火墙端口都会显示出来。
端口可以1)不提供DHCP服务;
2)作为DHCP服务器;
3)提供DHCP中继服务。
在本例中,External端口为所有的IPSECVPN拨入客户提供DHCP的中继,使得VPN客户可以从内部网络的DHCP服务器上取得动态分配的内网地址。
下图是相关配置,其中10.3.1.1是内部网络的DHCP服务器。
1.4配置1.4.1时间设置如下图,本设置选项用来设置防火墙的系统时间,可以手工校正时间,也可以与NTP服务器同步时间。
请注意:
在防火墙上线的时候选择正确的时区和校准时间很重要,这样将
来在读系统日志文件时,日志上显示的LOG时间才是准确的。
1.4.2选项
如上图,“超时设置”中的“超时控制”指如果LOGIN的用户在设定的时间内没有任何操作,系统将自动将用户LOGOUT。
如果设置为5分钟,如果在5分钟内用户没有做操作,则用户需要再次LOGIN,继续进一步的操作。
“授权超时”是指在设定的时间过去以后,用户的连接会被断开。
用户如果需要继续操作,需要重新连接,这主要是为了安全性的考虑。
Fortigate产品支持7种语言,我们一般常用的是“简体中文”和“英文”。
Fortigate300或更高端的设备有LCD面板,可以通过LCD直接设置网络接口的地址。
为了安全性的考虑,可以在LCD面板管理选项中设置密码(PIN保护),以防止未授权的配置修改。
Fortigate设备支持多gateway配置,可以在一条默认gateway失效后起用备用gateway。
防火墙使用PING包的方式检测gateway是否有效。
1.4.3高可用性(HA)
Active-Passive和Active-Active两种。
A-P模式下主设备工作,从设备通过“心跳接口”同步主设备上的信息。
一旦主设备出现故障,从设备立刻接替原来的主设备,保证网络服务不中断。
A-A模式下两台或多台设备是在负载均衡的状态下工作,一旦其中一台故障,其他的设备分担故障设备的网络负荷。
本项目中使用了双机热备模式,工作在A-P模式下。
同一个“高可用”设备组的设备必须具有同样的:
硬件型号、OS版本、HA模式、组ID和HA密码。
“心跳接口”需要设置一个参考值,此接口用来同步HA设备的信息,主要是配置变动的信息和网络流量的Sessions表。
防火墙的网络接口如果在“监测接口”上有数值,一旦这个接口故障(断线等),HA组将进行主/从切换。
如上图,显示此HA集群有2台设备,在上边显示的是“主”设备,从“网络利用率”中也能分辨出来。
1.4.4管理员设置
如上图,系统默认的管理员帐号是“admin”,没有默认密码。
管理帐号的权限在“访问内容表”中设定。
点击右边“带锁”的图标可以增加或修改LOGIN密码。
如上图,系统默认的“访问内容表”设定了调用此表的用户帐号的权限,若要修改特定权限,只须增加或去掉相应的“勾”即可。
如上图,编辑用户帐号,可以指定信任主机(只允许来自信任主机的用户使用此帐号LOGIN),如果信任主机是“0.0.0.0/0.0.0.0”,则允许任何源地址的主机用此帐号LOGIN。
2.
“路由”菜单
2.1路由配置
2.1.1静态路由
如上图,Fortigate防火墙支持“透明模式(桥接)”和“路由/NAT”模式,在中石油项目使用的是路由模式。
我们要在防火墙上设置静态路由。
如本例中所示:
默认路由0.0.0.0/0指向ISP的路由设备210.78.134.126;
静态路由10.0.0.0/8指向内网的路由器10.3.18.254。
点击“新建”可以增加新的静态路由。
Fortigate防火墙也支持动态路由协议:
RIP、RIP2、OSPF。
如上图,显示了防火墙上当前的所有路由条目。
1.1.1.2防火墙和VPN配置
1.防火墙配置在做防火墙的配置时,首先要定义“地址/地址组”“服务/服务组”、,然后把它们应用到防火墙策略中。
1.1地址和地址组
如上图,首先需要定义“地址”,可以是一台主机的地址或者是一个地址段。
如上图,给一个“地址名称”并设置相应的IP地址段即可定义一个“地址”。
如上图,多个“地址”可以放到一个“地址组”中。
如上图,定义一个“地址组”,首先要输入一个“组名”,然后可以在已经定义的“地址”中选择需要的地址加入这个组。
1.2服务和服务组
如上图,“服务”指的是防火墙要控制的网络流量(协议),Fortigate已经预定义了很多常用的网络服务的“协议或TCP/UDP端口”。
如上图,用户可以根据自己的需要“定制服务”。
在上面的定制服务条目中,有“回收桶”的表示这个“服务”没有被任何“服务组”或“防火墙策略”调用,可以直接删除。
如果“服务”已经被调用,则需要先停止相关调用,才能删除。
如上图,这里显示了一个自定义的“对TCP8080端口的服务”。
如上图,多个“服务”可以加入到一个“服务组”中,在被防火墙策略调用的时候直接使用“服务组”。
如上图,“服务组”的配置与“地址组“类似。
1.3虚拟IP映射“虚拟IP”是指把外网的一个公网地址映射到内网的一个私有地址,外部网络对公网地址的访问被转发到内网中绑定私有地址的主机上。
我们可以配置防火墙策略来对这种访问进行控制,保护内网中的主机。
如上图,显示了当前所有的虚拟IP映射。
如上图,这个例子是把防火墙external端口上的一个公网地址210.78.134.66映射到内网中的主机192.168.254.66。
防火墙能够通过ARP查询找到适当的映射的内网端口,并把网络流量转发过去。
静态NAT是实现内/外IP地址一对一映射,如果选择“端口转发”可以实现把一个外部公网地址不同的TCP/UDP端口,映射到内网的多个主机上。
把210.78.134.66的HTTP端口(tcp80)映射到192.168.254.66tcp80;
把210.78.134.66的telnet端口(tcp23)映射到192.168.1.66的tcp23。
第2章Fortinet防火墙日常操作和维护命令章
当用户发现防火墙出现异常情况如:
出口访问速度慢、登录防火墙管理慢,某些服务访问不正常时,可以通过一下步骤检查
2.1防火墙配置
若用户出现访问某些服务不正常,首先检查防火墙配置,确认是否出现配置限制的问题注意:
用户应该在每次配置后,备份配置并记录每次修改的配置细节。
保证出现问题时可以及时查找配置策略的问题。
2.2防火墙日常检查
2.2.1防火墙的会话表:
系统管理-状态-会话)防火墙的会话表:
系统管理-状态-会话)(系统管理(
通过防火墙的会话表:
可以得到如下重要信息
(1)通过防火墙的会话数量(注意与平时正常业务工作时的会话数量的对比),当防火墙出现异常流量时,一般可以通过防火墙的会话表反应出来。
(2)通过防火墙的会话表,可以查看发起会话的源地址和目的地址。
正常情况的用户访问一般会在防火墙会话表保留10-20个会话连接,当防火墙的会话表出现单个IP地址的大量会话连接时,一般可以断定该IP地址工作异常。
(3)通过防火墙的会话表,可以查看发起会话的IP地址的服务端口,当发现有大量异常端口如微软的135-139,443以及sql的1433的端口时,一般可以断定该IP地址出现蠕虫病毒,应该立刻在防火墙上通过策略控制端口。
(4)通过防火墙的会话表,可以查看当前会话匹配的策略,可以通过异常流量匹配的策略号检查防火墙定制的策略是否严格。
2.2.2检查防火墙的CPU、内存和网络的使用率、
用户可以以此比较平时正常工作时的使用率作为一种异常分析的手段。
2.2.3其他检查
当防火墙出现访问均不成功的情况,应该检查防火墙的路由及接口的状态。
在路由/NAT模式工作时,应该采用逐级检查的方法,从内网一跳一跳的检测确认路由问题。
当出现上网访问的问题,用户还应考虑检查DNS工作是否正常。
防火墙的日志也是系统排错的重要手段,用户可以通过日志加以检查。
2.3异常处理
(1)防火墙出现异常时,首先应该通过以上手段确认问题
(2)不建议用户马上重启设备,除非设备内存与CPU使用率均长时间大于70%运行。
(3)同时,如果用户启用内容保护控制,可以考虑暂时将内容保护控制选项在策略中禁
用,再观察使用的情况。
(4)若还用无法解决的问题,应该及时与相关技术人员联系。
2.4使用中技巧
1)减少硬盘操作,提高系统性能防火墙的流量日志不应该写入本地硬盘,建议写入外部的syslog服务器防火墙的病毒隔离选项建议不要启用,根据经验。
对于当前蠕虫病毒作为主要病毒传播的情况,将蠕虫病毒隔离到本地硬盘没有意义。
2)减少病毒扫描文件的大小,提高系统性能一般建议为1-2M3)对入侵检测的选项进行必要的优化,没有必要全部启动。
应该根据实际的应用环境进行配置
第3章fortgate防火墙配置维护及升级步骤章
3.1Fortigate防火墙配置维护
首先通过https方式登陆到防火墙配置界面打开系统管理——配置,界面
选择系统配置中的“恢复”,可将防火墙配置文件存在管理机本地。
选择系统配置中的“备份”,可将防火墙配置文件从本地导入防火墙。
(注意,此时防火墙会重新启动)。
3.2Fortigate防火墙版本升级
1.命令行升级首先通过超级终端一类的终端仿真程序连接防火墙Console接口。
波特率、校验位及奇偶校验等等选择默认值。
成功登陆后,重新启动防火墙。
按提示操作按任意键中断,继续按照提示输入TFTP服务器地址和本地地址,输入最新Firmware的文件名称。
即可开始升级。
2.图形界面升级打开系统管理——状态
选择软件版本更新或者病毒及攻击特征码更新按系统提示从管理机中下载要更新的软件版本和病毒及攻击数据库。
点击确定即可。
升级会员 