飞塔防火墙OS4.0最新配置手册ppt课件

系统概述OS4 0 初始化 教室 Intranet192 168 11 0 24192 168 10 x 0 24192 168 20 x 0 24 ServerNetwork192 168 3 0 24 ClassServer GatewayFirewall FortiAnalyzer PrivateNetwork10 0 x 0 24 StudentPC 实验拓扑图 新增UTM菜单项 病毒检测 IPS Web过滤器 反垃圾邮件 DLP ApplicationControl设置都移至UTM菜单下IM P2P VOIP功能并入ApplicationcontrolIM用户控制移至设置用户 本地 IM 新增UTM菜单项 保护内容表 保护内容表也做相应的调整 新增UTM菜单项 病毒检查 病毒检测由原有的主菜单变成子菜单 新增UTM菜单项 入侵防护 新增UTM菜单项 Web过滤 新增UTM菜单项 DLP 新增UTM菜单项 ApplicationControl WebUI定制化 1 新建授权表 显示和隐藏预览 WebUI定制化 2 隐藏已有菜单项 隐藏后变成虚的 在使用该内容表的管理员登录后 就看不到该菜单项 WebUI定制化 3 新建菜单项 点击下侧的 则会添加菜单项点击菜单的右侧向下箭头 可以隐藏该菜单或者创建子菜单项 WebUI定制化 4 新建页面 为子菜单建立页面 该页面上可以添加各种功能模块 WebUI定制化 5 布局和功能模块 设计布局和内容只适用于自己定制的子菜单项 不能对内置的菜单项和子菜单项进行修改 内置的菜单项可以掩藏 WebUI定制化 6 保存和效果 保存当前的设置 然后将该保护内容表赋予某管理员用该管理员帐号登录 实验一 定制管理界面 定制一个只有防火墙和路由功能的管理界面 检测未经许可的无线接入点 AP 检测非法AP FortiOSv3 00 不支持FortiOSv4 00 FWF 50B和FWF 60B支持 但目前还不支持完整的WIDS WIPS 作用 发现网络中有意或无意部署的 未经许可的AP 列表中的AP分为2种状态 已许可和未许可 标识为何种状态由管理员决定 设置 默认状态System Wireless RogueAP菜单下 所有的AP默认处于未许可状态 检测到的AP将被列出以下参数检测到的时间和日期信号强度802 11a b g n参数Ssid BssidMAC地址 检测非法AP 两种模式 监控模式 Monitor 该模式下 FWF专注于无线信号扫描此时FWF无法作为AP或无线客户端无线接口被隐藏FWF持续扫描无线频道后台扫描模式 BackgroundScan 当FWF处于AP工作状态时 可以同时使用后台扫描模式当无线频道空闲时 开始信号扫描 与AP相关的SNMP和日志 SNMP可以发送 RogueAccessPointdetected trap信息 此信息不会包括被发现AP的细节 当发现AP时 会产生一条新的事件日志 该日志中包括SSID BSSID信息 如何设置 FWF50B3G07503140 configsystemwirelesssettingsFWF50B3G07503140 settings setmodeAPAPCLIENTCLIENTSCANSCAN 获得当前检测后状态 FWF50B3G07503140 getsystemwirelessdetected apSSIDBSSIDCHANRATES NINTCAPSACTLIVEAGEFORTINET Pr 06 1a 2a 01 8c 27254M19 0100EPSsY450RSNWMEATHFORTINET Pu 00 12 bf 14 fa 86354M26 0100ESsY3920WMEATHfortinet00 1a 2a ad 05 3b554M70 0100ESsY3920WMEATHfortinet00 0d 88 e5 74 cc554M54 0100ESsY3920fortinet00 12 bf 16 64 17554M70 0100ESsY3920WMEATHfortinet00 0d 88 e7 33 03554M41 0100ESsY3910fortinet00 12 bf 2c d6 cd554M60 0100ESsY3910WMEATHFORTINET Pu 00 1a 2a 01 8c 27254M20 0100ESsY3890WMEATHFORTINET Pu 00 c0 a8 d1 11 22254M9 0100ESsY1023WMEATHTechnofi00 1f 33 73 7a ca1154M 3 0100EPSsY55WPAWMEATHFWF50B3G07503140 扫描行为 当FWF扫描一个频道时 无线芯片将会从当前工作频道切换到被扫描频道 FWF广播一个探测请求 并等待20毫秒 20毫秒之后 FWF会切换到下一个待扫描的频道 收到其它AP的响应150ms仍然没有收到任何响应在监控 Monitor 模式下 GUI下设置为monitoring FWF持续扫描所有的频道 管理员通过勾选一个复选框来将一个AP标识为允许状态未经许可 非法 AP将显示红色背景AP在线与否由列前的图标显示 后台扫描模式 假设FWF硬件支持一下N个频道 B1B2 Bn 而AP当前工作频道是Cx 当前的扫描顺序如下 B1CxB2B3CxCxCxB4Cx BnCxCxCx CxB1B2CxB3CxCxB4Cx BnCxCxCx 循环 FWF只有在Cx频道空闲时才会开始扫描 空闲时间是根据最近收到的数据包计算出来的 Beacon或其他802 11管理包并不考虑在内 空闲时间参数也可以设置 bgscan idle可设置为100 1000ms 缺省值是250ms 如果WLAN非常繁忙 任何两个数据包之间的间隔都小于这个值 后台扫描就不会开始 在第一个循环中 当B3扫描完成后 必须等待AP空闲之后才能开始B4扫描 如果WLAN不是非常繁忙 FWF可以连续扫描多个频道 例如B2 B3 如果这个参数设置得过长 有可能导致FWF永远没有机会进行频道扫描 如果设置得太短 会因为频繁的扫描导致更多的丢包 当FWF完成对所有频道的扫描 它将等待一段时间 然后开始新一轮循环 这个时间段是根据上一次扫描Bn到下一次扫描B1的间隔计算出来的 这个值也可以修改 bgscan interval可设置为15 3600秒 缺省值是120秒 如果参数设置过高 FWF有可能漏掉那些偶尔使用的非法AP 虚拟IP的间隔式ARP广播 虚拟IP的间隔式ARP广播 通过配置发送ARP广播的方式让路由器自动地更新ARP表 通过命令行可以设置发送ARP广播的频率 间隔时间设置为0时 则关闭ARP广播configfirewallvipeditnew vip configurethevirtualIP setgratuitous arp intervalend 虚拟IP的ARP广播 虚拟IP的免费ARP 可以设置周期性地发送免费ARP默认是禁用的gratuitous arp interval 0可以在一定程度上防御ARP欺骗 configfirewallvipedit web setextip10 174 1 80setextintf external setportforwardenablesetgratuitous arp interval10setmappedip192 168 183 1setextport80setmappedport80nextend 实验 ARP攻击防御 Modem拨入 Modem拨入 TOP3533 只支持FG60B和FWF60BconfigsystemdialinsvrFGT60B3907517270 dialinsvr set statusenable disabledial in server server ipIPassignedtoserver client ipIPassignedtoclient usrgrponlyusersinthisusergroupcandialin allowaccessAllowmanagementaccesstotheinterfacemodem devchoosewhichmodemdevicetouse Modem拨入 例 FG60B端的设置分配给Modem的IP分配给客户端的IP设置管理权限设置用户 Modem拨入 例 客户端的设置 Modem拨入 例 拨号之后PC就可以获得IP地址 通过访问所设置的服务器IP 就可以对FortiGate进行