【楼主：梧桐树下】FORTINET FortiGate系列防火墙常用功能的设置

梧桐树下

大家好，我是梧桐树下,IXPUB周年之际，很高兴和大家一起探讨一下FORTINET FortiGate系列防火墙常用功能的配置方法。\n\n[ 本帖最后由 静楠 于 2007-8-17 17:23 编辑 ]

tujinjin

我想知道怎么配置然后进行ldap服务器上认证

晦明禅师

　 　 　 踩踩　 踩踩踩　 踩踩踩　　 踩踩踩踩踩  \r\n　踩　踩踩踩　 踩踩踩　 踩踩踩　　 踩踩踩踩踩踩  \r\n踩踩　　踩踩　　 踩踩　　 踩踩　　 踩踩踩踩踩踩  \r\n踩踩　　　　　　　　　　　　　　　　　 踩踩踩  \r\n　　　　 踩踩踩踩踩踩踩踩踩踩踩踩  \r\n　　　踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩  \r\n　踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩  \r\n踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩  \r\n踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩  \r\n踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩  \r\n　踩踩踩踩踩踩踩踩踩踩踩踩踩踩踩  \r\n　踩踩踩踩踩踩踩踩踩踩踩踩踩  \r\n　　踩踩踩踩踩踩踩踩踩踩  \r\n　　　踩踩踩踩踩踩踩  \r\n　　　踩踩踩踩踩踩  \r\n　　　踩踩踩踩踩踩  \r\n　　 踩踩踩踩踩踩  \r\n　 　 踩踩踩踩踩踩  \r\n　　 踩踩踩踩踩踩踩  \r\n　　踩踩踩踩踩踩踩踩  \r\n 　踩踩踩踩踩踩踩踩踩  \r\n　踩踩踩踩踩踩踩踩踩踩  \r\n　踩踩踩踩踩踩踩踩踩踩  \r\n  踩踩踩踩踩踩踩踩踩  \r\n　 踩踩踩踩踩踩踩踩  \r\n　 踩踩踩踩踩踩  \r\n　 踩踩踩踩

梧桐树下

原帖由 ITPUB城管队 于 2007-8-30 17:52 发表 \r\n楼主我有个问题，这个防火墙能看到每个用户的连接情况吗

\r\n\r\n\r\n可以的，在系统状态里可以看到当前每个用户的会话数

ITPUB城管队

楼主我有个问题，这个防火墙能看到每个用户的连接情况吗

梧桐树下

Fortigate 通过超级终端修改密码的方法\r\n一  。首先如下图所示的设置进入防火墙\r\n \r\n二 ，然后用用户名maintainer  和超级密码bcpbFGT加序列号例如（bcpbFGT50A213455）登陆到防火强,然后按下图所示的步骤来更改密码。\r\n  \r\n\r\n

梧桐树下

基于时间的策略控制实例\r\n环境：某公司内部有20台电脑，现通过FG60实现Internet接入。\r\n要求：为保证公司网络业务的正常、高效运行，要求内部员工在上班时间只允许上网浏览网页，禁止任何其它的网络应用；在其它时间段则没有限制。\r\n\r\n通过防火墙建立控制策略，操作如下：\r\n一、建立时间表\r\n        防火墙时间表循环新建\r\n        名称中输入“上午上班时间”\r\n        勾选星期一到星期五选项\r\n        开始时间选择“09：00”\r\n        停止时间选择“12：00”\r\n\r\n \r\n\r\n按照上一步操作再新建一个“下午上班时间”\r\n \r\n\r\n时间表定义完成后可以看到如下信息\r\n \r\n\r\n\r\n\r\n\r\n二、建立策略\r\n        “源”选择内网接口的所有地址\r\n        “目的”选择外网接口的所有地址\r\n        “时间表”选择“上午上班时间”\r\n        “服务”选择“HTTP”\r\n        勾选“NAT”选项\r\n其它选项用默认值即可\r\n \r\n\r\n按照上图所示，主要调整时间表、服务和模式选项，其它选项按上图中示操作，以建立下图表所示的控制策略。其中最后一条策略中的时间表为所有时间。\r\n \r\n\r\n最后，把防火墙本身的时间修改正确即可，系统管理配置时间设置\r\n \n\n[ 本帖最后由 梧桐树下 于 2007-8-17 15:07 编辑 ]

梧桐树下

只开放特定网站\r\n以FortiGate v2.80为例 \r\n做好正常的上网配置后，在Web Filter的URL Block里新建一个Web Pattern Block.\r\n \r\n\r\n其中Pattern为一个.\r\n并且勾中Enable.\r\n\r\n \r\n然后在URL Exempt里添加需要访问的URL,比如www.google.com\r\n\r\n \r\n\r\n然后在防火墙的上网策略中启用Protection Profile ,选中web\r\n \r\n\r\n验证结果:在浏览器里输入www.online.sh.cn\r\n \r\n\r\n在浏览器里输入www.google.com\r\n

梧桐树下

禁止P2P软件及聊天软件的使用方法\r\n1．从Web页面进入防火墙\r\n找到IPS-Signature-Predefined-P2P\r\n找到要禁止使用的P2P软件点击后面的Edit按钮\r\n\r\n \r\n选中Enable，如果要记录日志就选中Logging，Action里选择Drop。\r\n\r\n \r\n*Note：Action里面的选项的意思分别为：\r\nAction      Select an action for the FortiGate unit to take when traffic triggers this signature.\r\n\r\nPass       The FortiGate unit lets the packet that triggered the signature pass through the firewall. If logging is disabled and action is set to Pass, the signature is effectively disabled.\r\n\r\nDrop       The FortiGate unit drops the packet that triggered the signature. Fortinet recommends using an action other than Drop for TCP connection based attacks.\r\n\r\nReset      The FortiGate unit drops the packet that triggered the signature, sends a reset to both the client and the server, and removes the session from the FortiGate session table. Used for TCP connections only. If you set this action for non-TCP connection based attacks, the action will behave as Clear Session. If the Reset action is triggered before the TCP connection is fully established it acts as Clear Session.\r\n\r\nReset Client      The FortiGate unit drops the packet that triggered the signature, sends a reset to the client, and removes the session from the FortiGate session table. Used for TCP connections only. If you set this action for non-TCP connection based attacks, the action will behave as Clear Session. If the Reset Client action is triggered before the TCP connection is fully established it acts as Clear Session.\r\n\r\nReset Server        The FortiGate unit drops the packet that triggered the signature, sends a reset to the server, and removes the session from the FortiGate session table. Used for TCP connections only. If you set this action for non-TCP connection based attacks, the action will behave as Clear Session. If the Reset Server action is triggered before the TCP connection is fully established it acts as Clear Session.\r\n\r\nDrop Session        The FortiGate unit drops the packet that triggered the signature and drops any other packets in the same session.\r\n\r\nClear Session        The FortiGate unit drops the packet that triggered the signature, removes the session from the FortiGate session table, and does not send a reset.\r\n\r\nPass Session        The FortiGate unit lets the packet that triggered the signature and all other packets in the session pass through the firewall.\r\n\r\n2．在Firewall-Protection Profile里面定义一条或者选择一条保护内容表来使用刚才定义的IPS。\r\n \r\n\r\n在内容保护表里面选中IPS中刚才所定义的特征(IPS Signature)\r\n \r\n\r\n3在对外访问的策略中启用保护内容表选项，并且选择刚才定义的保护内容表。 \r\n\r\n\r\n如果要禁用即时聊天软件,比如QQ和MSN等软件只需在第一步中的IPS-Signature-Predefined-im里选择您要阻挡的聊天软件就可以了.然后接着第二步操作.\r\n \r\n

梧桐树下

MSN、BT屏蔽方法\r\n\r\n1、进入系统菜单中的“防火墙保护内容表”，选择或新建一个保护内容表进行编辑： \r\n \r\n\r\n2、进入保护内容表编辑页面后点击蓝色尖头展开“IM/P2P”项，选择“MSN”选项，并将“阻断登陆”选项选中；将“BitTorrent”中的“动作”选项改为“阻断”。\r\n \r\n \r\n\r\n3、进入系统菜单中的“防火墙策略”，点击策略右边的编辑图标进入策略编辑页面：\r\n \r\n \r\n4、进入策略编辑页面后将“保护内容表”选项选中，并选择上面启用了IM/P2P选项的保护内容表：\r\n  \r\n\r\n点击OK后完成操作。\n\n[ 本帖最后由 梧桐树下 于 2007-8-17 14:47 编辑 ]