目
一
录
实施细则 .................................................................................................................................................... 2 1 设备基本设置 ........................................................................................................................................ 2 2 HA配置(可选) .................................................................................................................................. 2 3 网络配置 ................................................................................................................................................ 2 4 安全策略配置 ........................................................................................................................................ 3 二 管理维护流程 ............................................................................................................................................ 4 三 设备配置简要 ............................................................................................................................................ 5
1 系统管理 ................................................................................................................................................ 5 2 防火墙 .................................................................................................................................................... 8 3 用户管理 .............................................................................................................................................. 12 4 VPN ...................................................................................................................................................... 13 5 IPS ......................................................................................................................................................... 15 6 防病毒 .................................................................................................................................................. 17 7 Web过滤 .............................................................................................................................................. 18 8 垃圾邮件过滤 ...................................................................................................................................... 21 9 系统日志 .............................................................................................................................................. 25 10 常用的CLI命令 .............................................................................................................................. 26 四 快速维护流程 .......................................................................................................................................... 28
一 实施细则 1 设备基本设置
此处配置为HA配置前的单个设备的基本配置。包括如下内容: ? 配置设备名称
制定一个全网统一的名称规范,以便管理。如TJ_FG300A_A、TJ_FG300A_B
? 修改设备时钟
建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。
? 设置admin口令
缺省情况下,admin的口令为空,需要设置一个口令。
? 设置LCD口令
从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。
? 在fortiprotect注册设备,升级fortiOS、病毒库、IPS特征库到最新 (在签订采购合同后,需及时登陆fortinet网站登记该设备)
2 HA配置(可选)
Fortigate可以提供Active-Active和Active-Passive两种HA模式。根据目前只有防火墙防护的需求,建议HA采用Active-Passive以提高包转发效率。 Mode GroupID Unit Priorities Password Priorities of heartbeat device Monitor priorities A-P 0-63 default fortinet Port 3为100,port 4为200 Port1、2、3都为100 每台设备设置完后都要重启,然后依次设置另一台。
3 网络配置
? 接入模式:
Fortigate可以提供透明模式和路由/NAT模式两种网络接入模式。由于机场离港网络和航信网络之间互访时存在地址转换的需求,因此采用路由/NAT模式。
? 根据IP规划设置接口IP地址和路由
网络配置参数表: 接口名称 Port1(北京_trust) Port2(天津LAN_untrust) IP地址 10.206.0.254/24 10.206.1.254/24 Port3(天津server_DMZ) Port4 Port5 Port6 缺省网关 DNS 10.206.2.254/27 HA心跳线,无需配置IP (保留) (保留) 10.206.0.1 null ? 基本策略设置,并测试,验证网络的连通性 策略名称 Port1 -> port2 Port1 -> port3 Port2 -> port1 Port2 -> port3 Port3 -> port1 Port3 -> port2 源IP Any Any Any Any Any Any 目的IP Any Any Any Any Any Any 服务 Any Any Any Any Any Any 说明 permit permit permit permit permit permit 4 安全策略配置
? 和业务部门协商确定业务相关安全策略,并测试 策略名称 Port1 -> port2 Port1 -> port3 Port2 -> port1 Port2 -> port3 Port3 -> port1 Port2 -> port2 源IP Any Any Any Any Any Any 目的IP Any Any Any Any Any Any 服务 Any Any Any Any Any Any 说明 permit permit permit permit permit permit 东四 -> 天津DMZ XX局域网 -> 天津DMZ
NAT地址转换对应表
? 根据需要设置IPS策略
? 根据需要设置AV策略
二 管理维护流程
? 设备管理权限的设置 设备管理权限表: 接口名称 Port1 Port2 Port3 Port4 Port5 Port6 允许的访问方式 Ping/HTTPS/SSH Ping/HTTPS/SSH Ping/HTTPS/SSH HA心跳线,不提供管理方式 (保留) (保留) 从哪个接口、来自哪些IP、可以获得哪些管理方式(建议采用https和ssh方式)
? SNMP的设定:监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况 SNMP community: SNMP TRAP host:
? Syslog的设定 Syslog server IP:
Log发送策略:event log发到syslog服务器,其他log保留在本地硬盘上
? Update策略的设定(update center):要求先注册
因为机场离港网属于生产性网络,不和外网连接,因此fortigate设备的升级需要网络管理员手工完成。 在设备采购完成后,即可根据合同号和设备序列号,到fortinet网站注册,定期下载病毒库和IPS特征库,选择没有业务量的时间段升级,避免因升级对业务造成影响。
? 配置文件的备份
设备配置发生变更后(包括最初部署时,和以后添加或删除策略时),就要及时做配置备份。
备份文件/文件夹的命名:设备名称_日期,如TJ_FG300A01_20050718。在HA CLUSTER情况下,只需备份primary unit即可。
三 设备配置简要
本部分给出一个基于WEB界面的配置简要说明,供系统管理员初步参考;详细配置请参考厂家提供的配置手册。
Fortigate的WEB配置界面共分9部分: ? 系统管理 ? 防火墙 ? 用户管理 ? VPN ? IPS ? 防病毒 ? Web过滤 ? 垃圾邮件过滤 ? 系统日志
最后列除了一些常用的CLI基于命令行的系统命令。
1 系统管理
包括系统状态查看、网络接口配置、管理员权限配置、全局参数配置等。
系统状态页面可以查看基本的系统参数,包括设备序列号、软件版本、系统开机时间、最近检测到的病毒和入侵状况等。
会话页面可以查看当前通过防火墙的用户会话情况,包括会话的源地址、源端口、目的地址、目的端口、符合的防火墙策略、会话的ttl值等。该页面在防火墙测试和排查故障中经常用到。