1 / 117

FortiGate Multi-Threat Security Systems

FortiGate Multi-Threat Security Systems. Jacob Chen Fortinet Taiwan SE. Fortigate 管理介面. 出廠預設值 透過 CLI (command line Interface), 如 : console, telnet, ssh. 透過 WEB GUI (Graphic User Interface), 如 : Internet Explorer 使用 http 或 https (SSL). Fortigate 出廠預設值. 為 Route/NAT 模式

lilah-melendez
Download Presentation

FortiGate Multi-Threat Security Systems

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. FortiGate Multi-Threat Security Systems Jacob Chen Fortinet Taiwan SE

  2. Fortigate 管理介面 • 出廠預設值 • 透過CLI (command line Interface), 如: console, telnet, ssh. • 透過WEB GUI (Graphic User Interface), 如: Internet Explorer 使用http 或 https (SSL).

  3. Fortigate 出廠預設值 • 為Route/NAT模式 • Internal interface 192.168.1.99/24 • 允許https, http, ssh, ping • External interface 192.168.100.99/24 • 只允許ping

  4. Console log in • 輸入 admin並按兩次Enter鍵 • 會出現”Fortigate-400 #” • 輸入 “?” 可看到command

  5. Web Management • SSL 介面加密 (Default) • 多國語言介面(英文,日文,韓文,簡體中文,繁體中文) • 預設Admin帳號: • Name: admin • Password: 無

  6. Fortigate –設定流程概述(共三階段)第一階段 • 設定網路介面IP (Route/NAT, transparent) • 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則) • 訂定網路介面其他相關設定 • Route/NAT, Transparent模式設定Default Route

  7. Web Log In • 將電腦IP 設定為192.168.1.0 / 24 內的IP • 將電腦介接在Fortigate的Internal port或port1內(視機型而定) • 以 https://192.168.1.99 WEBGUI介面進入fortigate • Name 輸入 “admin”, Password留空白, 按”Login” 登錄

  8. 登入畫面 1

  9. 登入畫面 2

  10. 步驟1 – Route / NAT 模式下設定IP

  11. 步驟1 – Route / NAT 模式下設定IP (cont’d) 編輯Interface 1.更改IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新  以Web GUI和所更改的IP連  接Fortigate

  12. 步驟1 – Route / NAT 模式下設定IP (cont’d) Keypad and LCD Display 或是在Fortigate LCD上設定internal port IP Address (FG-300以上機型)

  13. 步驟1 – Route / NAT 模式下設定IP (cont’d) 或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip 10.1.1.254 255.255.255.0 (internal)# end

  14. 步驟1 – Transparent 模式設定管理IP • Transparent模式中,預設管理IP為10.10.10.1 • 可由internal port或port1(視機型而定)進入管理

  15. 步驟1 – Transparent模式設定管理IP (cont’d) Keypad and LCD Display 或是在Fortigate LCD上設定management IP Address (FG-300機型以上)

  16. 步驟1 – Transparent模式下設定IP (cont’d) 或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip 10.1.1.254 255.255.255.0 (internal)# end

  17. 步驟1 –制定防火牆規則 Firewall -> Policy -> Create New

  18. 步驟1 –制定通透模式防火牆規則 • Source interface 選 inernal • Destination interface 選 external • Source 和 Destination 都選 all • 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 • 按”OK”建立防火牆政策

  19. 步驟1 –制定閘道模式防火牆規則 • Source interface 選 inernal • Destination interface 選 external • Source 和 Destination 都選 all • 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 • 按”OK”建立防火牆政策

  20. 步驟1 –制定防火牆規則 在SOHO機型內,已預建了一條 “內到外 NAT” 的防火牆政策 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

  21. 步驟1 –訂定網路介面其他設定 • 定義位址(Address) • Manual (static IP address) • DHCP • PPPoE • 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP

  22. 步驟1 –訂定網路介面其他設定 Network - Interface Overview

  23. 步驟1 –訂定網路介面其他設定Network – interface - Manual Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限

  24. 步驟1 –訂定網路介面其他設定Network – Interface - DDNS設定 必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

  25. 步驟1 –訂定網路介面其他設定Network – interface – PPPoE • 填入PPPoE帳號及密碼 • 勾選”Retrieve default gateway from server” • 勾選ping server 和管理權限

  26. 步驟1 – Route / NAT, Transparent 設定 Default Route • Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. • Transparent模式,則如同Fortigate本身的預設閘道(Gateway)

  27. Fortigate – System 項目 • 快速了解系統設定和運作 • Maintenance 維運 • Troubleshooting 了解問題癥結 • 備份和還原設定 • Configuration • settings • web filtering lists • spam filtering lists

  28. System – Status監控 Fortigate 系統狀態

  29. Status – Session監控網路連線狀態

  30. Status –如何改為 Transparent模式 • 或是使用Command: • #Config sys setting • (setting)#set opmode transparent

  31. System - Network • 定義和監測實體網路埠型態 • 定義802.1Q VLAN 虛擬網路埠 • Zones 概述 • DNS 設定

  32. Network – Interface – Create New建立新的VLAN網路介面 • 指定VLAN所在的實體網路埠 • 填入VLAN ID (802.1Q) • 填入VLAN IP

  33. Network – DNS 設定 • 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢 • Fortigate可當作 DNS relay(DNS request 轉送),當有DNS 查詢封包時,fortigate 會將封包轉送到所設定的DNS server

  34. System - Config • Time - 設定時間及時區 • Options – 有關管理及語言等設定 • HA (High Available)概述 • Admin – 管理者及管理權限設定 • SNMP v1/v2c – 網管設定概述 • Replacement Message – 取代訊息設定

  35. System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇

  36. System – Config - Options 可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔

  37. System – Config - HA 概述

  38. System – Config - SNMP v1/v2c 概況

  39. System – Config - Fortimanager

  40. System - Admin • Administrators • Add administrator accounts (up to 12) • Access Profile

  41. System – Admin - Administrators

  42. System – Admin - Access Profile

  43. System - Maintenance • Backup & Restore • Update Center • Support • Shutdown

  44. System – Maintenance - Backup & Restore 系統自動設定備份

  45. System – Maintenance - Contract

  46. System – Maintenance - Update Center

  47. System – Maintenance - Support http://support.fortinet.com 用於回報BUG和購買後的產品註冊

  48. System – Maintenance - Shutdown

  49. System – Virtual Domain 概述 • 無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設可建 10 個 virtual domains • FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

  50. Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out

More Related