飞塔防火墙OS4.0最新配置手册.ppt

系统概述OS 4.0初始化初始化￿ ￿– 教室教室INTERNETIntranet192.168.11.0 /24192.168.10x.0 /24192.168.20x.0 /24Server Network192.168.3.0 /24Class ServerGateway FirewallFortiAnalyzerPrivate Network10.0.x.0 /24Student PC实验拓扑图实验拓扑图新增新增UTM菜单项菜单项•病毒检测、IPS、Web过滤器、反垃圾邮件、DLP、Application Control设置都移至UTM菜单下•IM/P2P/VOIP功能并入Application control•IM用户控制移至设置用户 -> 本地 -> IM新增新增UTM菜单项菜单项——保护内容表保护内容表•保护内容表也做相应的调整新增新增UTM菜单项菜单项——病毒检查病毒检查病毒检测由原有的主菜单变成子菜单新增新增UTM菜单项菜单项——入侵防护入侵防护新增新增UTM菜单项菜单项——Web过滤过滤新增新增UTM菜单项菜单项——DLP 新增新增UTM菜单项菜单项——Application ControlWebUI定制化定制化(1)——新建授权新建授权表表显示和隐藏预览WebUI定制化定制化(2)——隐藏已有菜单隐藏已有菜单项项•隐藏后变成虚的，在使用该内容表的管理员登录后，就看不到该菜单项WebUI定制化定制化(3)——新建菜单新建菜单项项•点击下侧的+，则会添加菜单项•点击菜单的右侧向下箭头，可以隐藏该菜单或者创建子菜单项WebUI定制化定制化(4)——新建页面新建页面为子菜单建立页面，该页面上可以添加各种功能模块WebUI定制化定制化(5)——布局和功能模布局和功能模块块•设计布局和内容只适用于自己定制的子菜单项，不能对内置的菜单项和子菜单项进行修改。

•内置的菜单项可以掩藏WebUI定制化定制化(6)——保存和效保存和效果果•保存当前的设置，然后将该保护内容表赋予某管理员•用该管理员帐号登录实验一，定制管理界面实验一，定制管理界面定制一个只有防火墙和路由功能的管理界面检测未经许可的无线接入点检测未经许可的无线接入点（（AP）） 检测非法AP•FortiOS v3.00：不支持•FortiOS v4.00：：FWF-50B和FWF-60B支持但目前还不支持完整的WIDS/WIPS•作用：发现网络中有意或无意部署的，未经许可的AP•列表中的AP分为2种状态，已许可和未许可•标识为何种状态由管理员决定设置设置默认状态•System/Wireless/Rogue AP菜单下，所有的AP默认处于未许可状态检测到的AP将被列出以下参数•检测到的时间和日期•信号强度•802.11 a/b/g/n参数•Ssid/Bssid•MAC地址检测非法检测非法AP 两种模式两种模式监控模式(Monitor)•该模式下，FWF专注于无线信号扫描•此时FWF无法作为AP或无线客户端•无线接口被隐藏•FWF持续扫描无线频道后台扫描模式(Background Scan)•当FWF处于AP工作状态时，可以同时使用后台扫描模式•当无线频道空闲时，开始信号扫描与与AP相关的相关的SNMP和日志和日志•SNMP可以发送“Rogue Access Point detected” trap信息。

•此信息不会包括被发现AP的细节•当发现AP时，会产生一条新的事件日志，该日志中包括SSID/BSSID信息如何设置如何设置FWF50B3G07503140 # config system wireless settingsFWF50B3G07503140 (settings) # set modeAP APCLIENT CLIENTSCAN SCAN获得当前检测后状态获得当前检测后状态FWF50B3G07503140 # get system wireless detected-apSSID BSSID CHAN RATE S:N INT CAPS ACT LIVE AGEFORTINET-Pr... 06:1a:2a:01:8c:27 2 54M 19:0 100 EPSs Y 45 0 RSN WME ATHFORTINET-Pu... 00:12:bf:14:fa:86 3 54M 26:0 100 ESs Y 392 0 WME ATHfortinet 00:1a:2a:ad:05:3b 5 54M 70:0 100 ESs Y 392 0 WME ATHfortinet 00:0d:88:e5:74:cc 5 54M 54:0 100 ESs Y 392 0fortinet 00:12:bf:16:64:17 5 54M 70:0 100 ESs Y 392 0 WME ATHfortinet 00:0d:88:e7:33:03 5 54M 41:0 100 ESs Y 391 0fortinet 00:12:bf:2c:d6:cd 5 54M 60:0 100 ESs Y 391 0 WME ATHFORTINET-Pu... 00:1a:2a:01:8c:27 2 54M 20:0 100 ESs Y 389 0 WME ATHFORTINET-Pu... 00:c0:a8:d1:11:22 2 54M 9:0 100 ESs Y 102 3 WME ATHTechnofi 00:1f:33:73:7a:ca 11 54M -3:0 100 EPSs Y 5 5 WPA WME ATHFWF50B3G07503140 #扫描行为扫描行为￿ ￿•当FWF扫描一个频道时，无线芯片将会从当前工作频道切换到被扫描频道。

•FWF广播一个探测请求，并等待20毫秒•20毫秒之后，FWF会切换到下一个待扫描的频道：§收到其它AP的响应§150ms仍然没有收到任何响应•在监控(Monitor)模式下（GUI下设置为monitoring），FWF持续扫描所有的频道 •管理员通过勾选一个复选框来将一个AP标识为允许状态•未经许可（非法）AP将显示红色背景•AP与否由列前的图标显示后台扫描模式后台扫描模式•假设FWF硬件支持一下N个频道：B1 B2 ... Bn，，而AP当前工作频道是Cx，当前的扫描顺序如下： •B1 Cx B2 B3 Cx Cx Cx B4 Cx ... Bn Cx Cx Cx ...... Cx B1 B2 Cx B3 Cx Cx B4 Cx ... Bn Cx Cx Cx | --------------------- 循环 -------------------- | FWF只有在Cx频道空闲时才会开始扫描空闲时间是根据最近收到的数据包计算出来的 Beacon或其他802.11管理包并不考虑在内§空闲时间参数也可以设置bgscan-idle可设置为100 - 1000 ms，缺省值是250ms。

如果WLAN非常繁忙，任何两个数据包之间的间隔都小于这个值，后台扫描就不会开始在第一个循环中，当B3扫描完成后，必须等待AP空闲之后才能开始B4扫描如果WLAN不是非常繁忙，FWF可以连续扫描多个频道，例如B2-B3 §如果这个参数设置得过长，有可能导致FWF永远没有机会进行频道扫描；如果设置得太短，会因为频繁的扫描导致更多的丢包 •当FWF完成对所有频道的扫描，它将等待一段时间，然后开始新一轮循环这个时间段是根据上一次扫描Bn到下一次扫描B1的间隔计算出来的§这个值也可以修改bgscan-interval可设置为15-3600秒，缺省值是120秒如果参数设置过高，FWF有可能漏掉那些偶尔使用的非法AP虚拟虚拟IP的间隔式的间隔式ARP广广播播虚拟虚拟IP的间隔式的间隔式ARP广播广播•通过配置发送ARP广播的方式让路由器自动地更新ARP表通过命令行可以设置发送ARP广播的频率间隔时间设置为0时，则关闭ARP广播config firewall vipedit new_vip (configure the virtual IP) set gratuitous-arp-interval end虚拟虚拟IP的的ARP广播广播虚拟虚拟IP的免费的免费ARP•可以设置周期性地发送免费ARP•默认是禁用的gratuitous-arp-interval=0•可以在一定程度上防御ARP欺骗？config firewall vip edit "web" set extip 10.174.1.80 set extintf "external" set portforward enable set gratuitous-arp-interval 10 set mappedip 192.168.183.1 set extport 80 set mappedport 80 nextend实验实验￿ ￿- ARP攻击防御攻击防御Modem拨入拨入Modem拨入拨入•TOP3 533。

只支持FG60B和FWF60Bconfig system dialinsvrFGT60B3907517270 (dialinsvr) # set*status enable/disable dial-in-server*server-ip IP assigned to server*client-ip IP assigned to client*usrgrp only users in this user group can dial in*allowaccess Allow management access to the interfacemodem-dev choose which modem device to useModem拨入拨入——例例FG60B端的设置分配给Modem的IP分配给客户端的IP设置管理权限设置用户Modem拨入拨入——例例•客户端的设置Modem拨入拨入——例例拨号之后PC就可以获得IP地址，通过访问所设置的服务器IP，就可以对FortiGate进行管理AMC BypassAMC Bypass•测试过build 92和141均无法支持AMC-CX4，无法切换到正常模式，只能停留在Bypass模式上config system amcset sw1 asm-cx4set watchdog-recovery [enable | disable}set watchdog-recovery-period EndAMC 诊断工具的使用诊断工具的使用•Diagnose。