【楼主：梧桐树下】FORTINET FortiGate系列防火墙常用功能的设置

梧桐树下

大家好，我是梧桐树下,IXPUB周年之际，很高兴和大家一起探讨一下FORTINET FortiGate系列防火墙常用功能的配置方法。\n\n[ 本帖最后由 静楠 于 2007-8-17 17:23 编辑 ]

梧桐树下

FG防火墙地址转发设置文档\r\n登陆防火墙，进入防火墙—〉虚拟IP    如图：\r\n\r\n \r\n选择新建，名称：自己定义\r\n          外部接口：选择你的外网接口\r\n          类型：选择静态NAT\r\n          外部IP地址：公网的IP地址（如果你是动态IP则写为0.0.0.0）\r\n映射到IP地址：内网要开放服务的设备IP地址\r\n如图：\r\n\r\n\r\n完成后在策略中新建一条从外到内的策略\r\n\r\n \r\n\r\n1选择外部接口（wan1或external）到内部接口(internal)\r\n2选择所有的地址(all)到虚拟IP地址（例如：test）\r\n3选择内容保护表，通常选scan，也可不启用\r\n如图：\r\n\r\n \r\n建立完成\n\n[ 本帖最后由 梧桐树下 于 2007-8-17 13:13 编辑 ]

单单非单单

支持梧桐\r\n\r\n还是比较喜欢实用型的东东，原理太多了头晕

梧桐树下

Fortigate端口映射\r\n登陆防火墙，进入防火墙—〉虚拟IP    如图：\r\n\r\n选择新建，名称：自己定义\r\n          外部接口：选择你的外网接口\r\n          类型选择： 端口转发\r\n          外部IP地址：公网的IP地址（如果你是动态IP则写为0.0.0.0）\r\n          外部服务端口：写要映射的端口号（如HTTP：80，FTP：21）\r\n          映射到IP地址：内网要开放服务的设备IP地址\r\n          映射到端口：写内网端口号（如HTTP：80，FTP：21）\r\n          协议：根据服务选择TCP或UDP（通常为TCP）\r\n如图：\r\n \r\n\r\n完成后在策略中新建一条从外到内的策略\r\n \r\n如图：\r\n\r\n1选择外部接口（wan1或external）到内部接口(internal)\r\n2选择所有的地址(all)到虚拟IP地址（例如：test）\r\n3选择内容保护表，通常选scan，也可不启用\r\n\r\n \r\n建立完成

梧桐树下

原帖由 静楠 于 2007-8-17 13:44 发表 \r\n梧桐的速度不快哦

\r\n\r\n我要一张张上传图片，一张张贴图

单单非单单

辛苦辛苦\r\n\r\n表扬下\r\n\r\n

原帖由 梧桐树下 于 2007-8-17 13:54 发表 \r\n\r\n\r\n我要一张张上传图片，一张张贴图

梧桐树下

MSN、BT屏蔽方法\r\n\r\n1、进入系统菜单中的“防火墙保护内容表”，选择或新建一个保护内容表进行编辑： \r\n \r\n\r\n2、进入保护内容表编辑页面后点击蓝色尖头展开“IM/P2P”项，选择“MSN”选项，并将“阻断登陆”选项选中；将“BitTorrent”中的“动作”选项改为“阻断”。\r\n \r\n \r\n\r\n3、进入系统菜单中的“防火墙策略”，点击策略右边的编辑图标进入策略编辑页面：\r\n \r\n \r\n4、进入策略编辑页面后将“保护内容表”选项选中，并选择上面启用了IM/P2P选项的保护内容表：\r\n  \r\n\r\n点击OK后完成操作。\n\n[ 本帖最后由 梧桐树下 于 2007-8-17 14:47 编辑 ]

梧桐树下

禁止P2P软件及聊天软件的使用方法\r\n1．从Web页面进入防火墙\r\n找到IPS-Signature-Predefined-P2P\r\n找到要禁止使用的P2P软件点击后面的Edit按钮\r\n\r\n \r\n选中Enable，如果要记录日志就选中Logging，Action里选择Drop。\r\n\r\n \r\n*Note：Action里面的选项的意思分别为：\r\nAction      Select an action for the FortiGate unit to take when traffic triggers this signature.\r\n\r\nPass       The FortiGate unit lets the packet that triggered the signature pass through the firewall. If logging is disabled and action is set to Pass, the signature is effectively disabled.\r\n\r\nDrop       The FortiGate unit drops the packet that triggered the signature. Fortinet recommends using an action other than Drop for TCP connection based attacks.\r\n\r\nReset      The FortiGate unit drops the packet that triggered the signature, sends a reset to both the client and the server, and removes the session from the FortiGate session table. Used for TCP connections only. If you set this action for non-TCP connection based attacks, the action will behave as Clear Session. If the Reset action is triggered before the TCP connection is fully established it acts as Clear Session.\r\n\r\nReset Client      The FortiGate unit drops the packet that triggered the signature, sends a reset to the client, and removes the session from the FortiGate session table. Used for TCP connections only. If you set this action for non-TCP connection based attacks, the action will behave as Clear Session. If the Reset Client action is triggered before the TCP connection is fully established it acts as Clear Session.\r\n\r\nReset Server        The FortiGate unit drops the packet that triggered the signature, sends a reset to the server, and removes the session from the FortiGate session table. Used for TCP connections only. If you set this action for non-TCP connection based attacks, the action will behave as Clear Session. If the Reset Server action is triggered before the TCP connection is fully established it acts as Clear Session.\r\n\r\nDrop Session        The FortiGate unit drops the packet that triggered the signature and drops any other packets in the same session.\r\n\r\nClear Session        The FortiGate unit drops the packet that triggered the signature, removes the session from the FortiGate session table, and does not send a reset.\r\n\r\nPass Session        The FortiGate unit lets the packet that triggered the signature and all other packets in the session pass through the firewall.\r\n\r\n2．在Firewall-Protection Profile里面定义一条或者选择一条保护内容表来使用刚才定义的IPS。\r\n \r\n\r\n在内容保护表里面选中IPS中刚才所定义的特征(IPS Signature)\r\n \r\n\r\n3在对外访问的策略中启用保护内容表选项，并且选择刚才定义的保护内容表。 \r\n\r\n\r\n如果要禁用即时聊天软件,比如QQ和MSN等软件只需在第一步中的IPS-Signature-Predefined-im里选择您要阻挡的聊天软件就可以了.然后接着第二步操作.\r\n \r\n

梧桐树下

只开放特定网站\r\n以FortiGate v2.80为例 \r\n做好正常的上网配置后，在Web Filter的URL Block里新建一个Web Pattern Block.\r\n \r\n\r\n其中Pattern为一个.\r\n并且勾中Enable.\r\n\r\n \r\n然后在URL Exempt里添加需要访问的URL,比如www.google.com\r\n\r\n \r\n\r\n然后在防火墙的上网策略中启用Protection Profile ,选中web\r\n \r\n\r\n验证结果:在浏览器里输入www.online.sh.cn\r\n \r\n\r\n在浏览器里输入www.google.com\r\n

梧桐树下

基于时间的策略控制实例\r\n环境：某公司内部有20台电脑，现通过FG60实现Internet接入。\r\n要求：为保证公司网络业务的正常、高效运行，要求内部员工在上班时间只允许上网浏览网页，禁止任何其它的网络应用；在其它时间段则没有限制。\r\n\r\n通过防火墙建立控制策略，操作如下：\r\n一、建立时间表\r\n        防火墙时间表循环新建\r\n        名称中输入“上午上班时间”\r\n        勾选星期一到星期五选项\r\n        开始时间选择“09：00”\r\n        停止时间选择“12：00”\r\n\r\n \r\n\r\n按照上一步操作再新建一个“下午上班时间”\r\n \r\n\r\n时间表定义完成后可以看到如下信息\r\n \r\n\r\n\r\n\r\n\r\n二、建立策略\r\n        “源”选择内网接口的所有地址\r\n        “目的”选择外网接口的所有地址\r\n        “时间表”选择“上午上班时间”\r\n        “服务”选择“HTTP”\r\n        勾选“NAT”选项\r\n其它选项用默认值即可\r\n \r\n\r\n按照上图所示，主要调整时间表、服务和模式选项，其它选项按上图中示操作，以建立下图表所示的控制策略。其中最后一条策略中的时间表为所有时间。\r\n \r\n\r\n最后，把防火墙本身的时间修改正确即可，系统管理配置时间设置\r\n \n\n[ 本帖最后由 梧桐树下 于 2007-8-17 15:07 编辑 ]