最新Fortinet防火墙设备维护手册.doc-淘文阁

资源描述

《最新Fortinet防火墙设备维护手册.doc》由会员分享，可在线阅读，更多相关《最新Fortinet防火墙设备维护手册.doc（27页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateFortinet防火墙设备维护手册Fortinet防火墙设备维护手册第1章第2章 2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章 3.1 3.2 录 FORTINET 配置步骤配置步骤 2 FORTINET 防火墙日常操作和维护命令 29 防火墙配置 29 防火墙日常检查 29 防火墙的会话表：（系统管理状态会话） 29 检查防火墙

2、的 CPU、内存和网络的使用率 31 其他检查 31 异常处理 31 使用中技巧 32 FORTGATE 防火墙配置维护及升级步骤 33 FORTIGATE 防火墙配置维护 33 FORTIGATE 防火墙版本升级 33 第1章 Fortinet 配置步骤章 1.1.1.1 Fortigate 防火墙基本配置 Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理 IP 地址，缺省的基本管理地址为 P1 口 192.168.1.99，P2 口 192.168.100.99。但是由于 P1 口和 P2 口都是光纤接口，因此需要

3、使用 Console 口和命令行进行初始配置，为了配置方便起见，建议将 P5 口配置一个管理地址，由于 P5 口是铜缆以太端口，可以直接用笔记本和交叉线连接访问。之后通过 https 方式登陆到防火墙 Internal 接口，就可以访问到配置界面 1. 系统管理”菜单 1.1 “状态”子菜单 1.1.1 “状态”界面 “状态” 菜单显示防火墙设备当前的重要系统信息，包括系统的运行时间、版本号、 OS 产品序列号、端口 IP 地址和状态以及系统资源情况。如果 CPU 或内存的占用率持续超过 80%，则往往意味着有异常的网络流量（病毒或网络攻击）存在。 1.1.2 “会话”显示界面 Fo

4、rtigate 是基于 “状态检测” 的防火墙，系统会保持所有的当前网络 “会话” （sessions）。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的 IP”和“源/目的端口” 的过滤，可以了解更特定的会话信息。例如，下图是对源 IP 为 10.3.1.1 的会话的过滤显示通过“过滤器”显示会话，常常有助于发现异常的网络流量。 1.2 “网络”子菜单 1.2.1 网络接口如上图， “接口”显示了防火墙设备的所有物理接口和 VLAN 接口（如果有的话），显示 IP 地址、访问选项和接口状态。 “访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如：对于“P

5、ORT1” ，我们可以以“HTTPS，TELNET”访问，并且可以 PING 这个端口。点击最右边的“编辑”图标，可以更改端口的配置。如上图， “地址模式”有三类： a.如果使用静态 IP 地址，选择 “自定义” ；b.如果由 DHCP 服务器分配 IP，选择“DHCP” ；c.如果这个接口连接一个 xDSL 设备，则选择“PPPoE” 。在“管理访问”的选项中选择所希望的管理方式。最后点击 OK，使配置生效。 “区” 是指可以把多个接口放在一个区里，针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中，没有使用“区” 。 1.2.2 DNS 如上图，在这里配置防

6、火墙本身使用的 DNS 服务器，此 DNS 与内部网络中 PC 和 SERVER 上指定的 DNS 没有关系。 1.3 DHCP 如上图，所有的防火墙端口都会显示出来。端口可以 1）不提供 DHCP 服务；2）作为 DHCP 服务器；3）提供 DHCP 中继服务。在本例中， External 端口为所有的 IPSEC VPN 拨入客户提供 DHCP 的中继，使得 VPN 客户可以从内部网络的 DHCP 服务器上取得动态分配的内网地址。下图是相关配置，其中 10.3.1.1 是内部网络的 DHCP 服务器。 1.4 配置 1.4.1 时间设置如下图，本设置选项用来设置防火墙的系统时间，可以

7、手工校正时间，也可以与 NTP 服务器同步时间。请注意：在防火墙上线的时候选择正确的时区和校准时间很重要，这样将来在读系统日志文件时，日志上显示的 LOG 时间才是准确的。 1.4.2 选项如上图， “超时设置”中的“超时控制”指如果 LOGIN 的用户在设定的时间内没有任何操作，系统将自动将用户 LOGOUT。例如：如果设置为 5 分钟，如果在 5 分钟内用户没有做操作，则用户需要再次 LOGIN，继续进一步的操作。 “授权超时”是指在设定的时间过去以后，用户的连接会被断开。用户如果需要继续操作，需要重新连接，这主要是为了安全性的考虑。 Fortigate 产品支持 7 种语言，

8、我们一般常用的是“简体中文”和“英文” 。 Fortigate300 或更高端的设备有 LCD 面板，可以通过 LCD 直接设置网络接口的地址。为了安全性的考虑，可以在 LCD 面板管理选项中设置密码（PIN 保护），以防止未授权的配置修改。 Fortigate 设备支持多 gateway 配置，可以在一条默认 gateway 失效后起用备用 gateway。防火墙使用 PING 包的方式检测 gateway 是否有效。 1.4.3 高可用性（HA） Active-Passive 和 Active-Active 两种。A-P 模式下主设备工作，从设备通过“心跳接口”同步主设备上的信息

9、。一旦主设备出现故障，从设备立刻接替原来的主设备，保证网络服务不中断。 A-A 模式下两台或多台设备是在负载均衡的状态下工作，一旦其中一台故障，其他的设备分担故障设备的网络负荷。本项目中使用了双机热备模式，工作在 A-P 模式下。同一个“高可用”设备组的设备必须具有同样的：硬件型号、OS 版本、HA 模式、组 ID 和 HA 密码。 “心跳接口”需要设置一个参考值，此接口用来同步 HA 设备的信息，主要是配置变动的信息和网络流量的 Sessions 表。防火墙的网络接口如果在“监测接口”上有数值，一旦这个接口故障（断线等），HA 组将进行主/从切换。如上图，显示此 HA 集群

10、有 2 台设备，在上边显示的是“主”设备，从“网络利用率” 中也能分辨出来。 1.4.4 管理员设置如上图，系统默认的管理员帐号是“admin” ，没有默认密码。管理帐号的权限在“访问内容表”中设定。点击右边“带锁”的图标可以增加或修改 LOGIN 密码。如上图，系统默认的“访问内容表”设定了调用此表的用户帐号的权限，若要修改特定权限，只须增加或去掉相应的“勾”即可。如上图，编辑用户帐号，可以指定信任主机（只允许来自信任主机的用户使用此帐号 LOGIN），如果信任主机是“0.0.0.0/0.0.0.0” ，则允许任何源地址的主机用此帐号 LOGIN。 2. “路由”菜单 2.1 路

11、由配置 2.1.1 静态路由如上图，Fortigate 防火墙支持“透明模式（桥接） ”和“路由/NAT”模式，在中石油项目使用的是路由模式。我们要在防火墙上设置静态路由。如本例中所示：默认路由 0.0.0.0/0 指向 ISP 的路由设备 210.78.134.126；静态路由 10.0.0.0/8 指向内网的路由器 10.3.18.254。点击“新建”可以增加新的静态路由。 Fortigate 防火墙也支持动态路由协议：RIP、RIP2、OSPF。如上图，显示了防火墙上当前的所有路由条目。 1.1.1.2 防火墙和 VPN 配置 1. 防火墙配置在做防火墙的配置时，首先要定义

12、“地址/地址组”“服务/服务组” 、，然后把它们应用到防火墙策略中。 1.1 地址和地址组如上图，首先需要定义“地址” ，可以是一台主机的地址或者是一个地址段。如上图，给一个“地址名称”并设置相应的 IP 地址段即可定义一个“地址” 。如上图，多个“地址”可以放到一个“地址组”中。如上图，定义一个“地址组” ，首先要输入一个“组名” ，然后可以在已经定义的“地址” 中选择需要的地址加入这个组。 1.2 服务和服务组如上图， “服务”指的是防火墙要控制的网络流量（协议），Fortigate 已经预定义了很多常用的网络服务的“协议或 TCP/UDP 端口” 。如上图，用户可以根

13、据自己的需要“定制服务” 。在上面的定制服务条目中，有“回收桶”的表示这个“服务”没有被任何“服务组”或“防火墙策略”调用，可以直接删除。如果“服务”已经被调用，则需要先停止相关调用，才能删除。如上图，这里显示了一个自定义的“对 TCP 8080 端口的服务” 。如上图，多个“服务”可以加入到一个“服务组”中，在被防火墙策略调用的时候直接使用“服务组” 。如上图， “服务组”的配置与“地址组“类似。 1.3 虚拟 IP 映射 “虚拟 IP”是指把外网的一个公网地址映射到内网的一个私有地址，外部网络对公网地址的访问被转发到内网中绑定私有地址的主机上。我们可以配置防火墙策略来对这种

14、访问进行控制，保护内网中的主机。如上图，显示了当前所有的虚拟 IP 映射。如上图，这个例子是把防火墙 external 端口上的一个公网地址 210.78.134.66 映射到内网中的主机 192.168.254.66。防火墙能够通过 ARP 查询找到适当的映射的内网端口，并把网络流量转发过去。静态 NAT 是实现内/外 IP 地址一对一映射，如果选择“端口转发”可以实现把一个外部公网地址不同的 TCP/UDP 端口，映射到内网的多个主机上。例如：把 210.78.134.66 的 HTTP 端口(tcp 80)映射到 192.168.254.66 tcp 80；把 210

15、.78.134.66 的 telnet 端口（tcp 23）映射到 192.168.1.66 的 tcp 23。第2章 Fortinet 防火墙日常操作和维护命令章当用户发现防火墙出现异常情况如：出口访问速度慢、登录防火墙管理慢，某些服务访问不正常时，可以通过一下步骤检查 2.1 防火墙配置若用户出现访问某些服务不正常，首先检查防火墙配置，确认是否出现配置限制的问题注意：用户应该在每次配置后，备份配置并记录每次修改的配置细节。保证出现问题时可以及时查找配置策略的问题。 2.2 防火墙日常检查 2.2.1 防火墙的会话表：系统管理状态会话）防火墙的会话表：系统管理状态

16、会话）（系统管理（通过防火墙的会话表：可以得到如下重要信息 (1) 通过防火墙的会话数量（注意与平时正常业务工作时的会话数量的对比），当防火墙出现异常流量时，一般可以通过防火墙的会话表反应出来。 (2) 通过防火墙的会话表，可以查看发起会话的源地址和目的地址。正常情况的用户访问一般会在防火墙会话表保留 1020 个会话连接，当防火墙的会话表出现单个 IP 地址的大量会话连接时，一般可以断定该 IP 地址工作异常。 (3) 通过防火墙的会话表，可以查看发起会话的 IP 地址的服务端口，当发现有大量异常端口如微软的 135139，443 以及 sql 的 1433 的端口时，一般可以

17、断定该 IP 地址出现蠕虫病毒，应该立刻在防火墙上通过策略控制端口。 (4) 通过防火墙的会话表，可以查看当前会话匹配的策略，可以通过异常流量匹配的策略号检查防火墙定制的策略是否严格。 2.2.2 检查防火墙的 CPU、内存和网络的使用率、用户可以以此比较平时正常工作时的使用率作为一种异常分析的手段。 2.2.3 其他检查当防火墙出现访问均不成功的情况，应该检查防火墙的路由及接口的状态。在路由 /NAT 模式工作时，应该采用逐级检查的方法，从内网一跳一跳的检测确认路由问题。当出现上网访问的问题，用户还应考虑检查 DNS 工作是否正常。防火墙的日志也是系统排错的重要手段，用户可以通

18、过日志加以检查。 2.3 异常处理 (1) 防火墙出现异常时，首先应该通过以上手段确认问题 (2) 不建议用户马上重启设备，除非设备内存与 CPU 使用率均长时间大于 70运行。 (3) 同时，如果用户启用内容保护控制，可以考虑暂时将内容保护控制选项在策略中禁用，再观察使用的情况。 (4) 若还用无法解决的问题，应该及时与相关技术人员联系。 2.4 使用中技巧 1）减少硬盘操作，提高系统性能防火墙的流量日志不应该写入本地硬盘，建议写入外部的 syslog 服务器防火墙的病毒隔离选项建议不要启用，根据经验。对于当前蠕虫病毒作为主要病毒传播的情况，将蠕虫病毒隔离到本地硬盘没有意义。

19、 2）减少病毒扫描文件的大小，提高系统性能一般建议为 12M 3）对入侵检测的选项进行必要的优化，没有必要全部启动。应该根据实际的应用环境进行配置第3章 fortgate 防火墙配置维护及升级步骤章 3.1 Fortigate 防火墙配置维护首先通过 https 方式登陆到防火墙配置界面打开系统管理配置，界面选择系统配置中的“恢复” ，可将防火墙配置文件存在管理机本地。选择系统配置中的“备份” ，可将防火墙配置文件从本地导入防火墙。（注意，此时防火墙会重新启动）。 3.2 Fortigate 防火墙版本升级 1. 命令行升级首先通过超级终端一类的终端仿真程序连接防火墙 Console 接口。波特率、校验位及奇偶校验等等选择默认值。成功登陆后，重新启动防火墙。按提示操作按任意键中断，继续按照提示输入 TFTP 服务器地址和本地地址，输入最新 Firmware 的文件名称。即可开始升级。 2. 图形界面升级打开系统管理状态选择软件版本更新或者病毒及攻击特征码更新按系统提示从管理机中下载要更新的软件版本和病毒及攻击数据库。点击确定即可。-

展开阅读全文