Download
fortigate multi threat security systems n.
Skip this Video
Loading SlideShow in 5 Seconds..
FortiGate Multi-Threat Security Systems PowerPoint Presentation
Download Presentation
FortiGate Multi-Threat Security Systems

FortiGate Multi-Threat Security Systems

444 Views Download Presentation
Download Presentation

FortiGate Multi-Threat Security Systems

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. FortiGate Multi-Threat Security Systems Jacob Chen Fortinet Taiwan SE

  2. Fortigate 管理介面 • 出廠預設值 • 透過CLI (command line Interface), 如: console, telnet, ssh. • 透過WEB GUI (Graphic User Interface), 如: Internet Explorer 使用http 或 https (SSL).

  3. Fortigate 出廠預設值 • 為Route/NAT模式 • Internal interface 192.168.1.99/24 • 允許https, http, ssh, ping • External interface 192.168.100.99/24 • 只允許ping

  4. Console log in • 輸入 admin並按兩次Enter鍵 • 會出現”Fortigate-400 #” • 輸入 “?” 可看到command

  5. Web Management • SSL 介面加密 (Default) • 多國語言介面(英文,日文,韓文,簡體中文,繁體中文) • 預設Admin帳號: • Name: admin • Password: 無

  6. Fortigate –設定流程概述(共三階段)第一階段 • 設定網路介面IP (Route/NAT, transparent) • 訂定防火牆政策規則(先以內部到外部全通為原則,之後再加要設限的規則) • 訂定網路介面其他相關設定 • Route/NAT, Transparent模式設定Default Route

  7. Web Log In • 將電腦IP 設定為192.168.1.0 / 24 內的IP • 將電腦介接在Fortigate的Internal port或port1內(視機型而定) • 以 https://192.168.1.99 WEBGUI介面進入fortigate • Name 輸入 “admin”, Password留空白, 按”Login” 登錄

  8. 登入畫面 1

  9. 登入畫面 2

  10. 步驟1 – Route / NAT 模式下設定IP

  11. 步驟1 – Route / NAT 模式下設定IP (cont’d) 編輯Interface 1.更改IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限 4. 按”OK” (此時和Fortigate 間連線會中斷) 5. 清除電腦內ARP table, 重新  以Web GUI和所更改的IP連  接Fortigate

  12. 步驟1 – Route / NAT 模式下設定IP (cont’d) Keypad and LCD Display 或是在Fortigate LCD上設定internal port IP Address (FG-300以上機型)

  13. 步驟1 – Route / NAT 模式下設定IP (cont’d) 或在Console 或CLI中如下設定: # config system interface (interface)# edit internal (internal)# set ip 10.1.1.254 255.255.255.0 (internal)# end

  14. 步驟1 – Transparent 模式設定管理IP • Transparent模式中,預設管理IP為10.10.10.1 • 可由internal port或port1(視機型而定)進入管理

  15. 步驟1 – Transparent模式設定管理IP (cont’d) Keypad and LCD Display 或是在Fortigate LCD上設定management IP Address (FG-300機型以上)

  16. 步驟1 – Transparent模式下設定IP (cont’d) 或在Console 或CLI中如下設定: # config system setting (settings)# set opmode transparent (settings)# set ip 10.1.1.254 255.255.255.0 (internal)# end

  17. 步驟1 –制定防火牆規則 Firewall -> Policy -> Create New

  18. 步驟1 –制定通透模式防火牆規則 • Source interface 選 inernal • Destination interface 選 external • Source 和 Destination 都選 all • 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 • 按”OK”建立防火牆政策

  19. 步驟1 –制定閘道模式防火牆規則 • Source interface 選 inernal • Destination interface 選 external • Source 和 Destination 都選 all • 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 • 按”OK”建立防火牆政策

  20. 步驟1 –制定防火牆規則 在SOHO機型內,已預建了一條 “內到外 NAT” 的防火牆政策 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

  21. 步驟1 –訂定網路介面其他設定 • 定義位址(Address) • Manual (static IP address) • DHCP • PPPoE • 管理介面設定 Https, Ping, Http, Telnet, SSH, SNMP

  22. 步驟1 –訂定網路介面其他設定 Network - Interface Overview

  23. 步驟1 –訂定網路介面其他設定Network – interface - Manual Edit interface/Vlan 選單中 1.指定IP和子網路遮罩 2.勾選ping server和填入IP 3.勾選管理權限

  24. 步驟1 –訂定網路介面其他設定Network – Interface - DDNS設定 必須先註冊某一DDNS server 將所申請的Domain, Username, password填入欄位中

  25. 步驟1 –訂定網路介面其他設定Network – interface – PPPoE • 填入PPPoE帳號及密碼 • 勾選”Retrieve default gateway from server” • 勾選ping server 和管理權限

  26. 步驟1 – Route / NAT, Transparent 設定 Default Route • Route/NAT模式,Fortigate會根據路由表轉送封包或是先轉址(NAT)再轉送封包. • Transparent模式,則如同Fortigate本身的預設閘道(Gateway)

  27. Fortigate – System 項目 • 快速了解系統設定和運作 • Maintenance 維運 • Troubleshooting 了解問題癥結 • 備份和還原設定 • Configuration • settings • web filtering lists • spam filtering lists

  28. System – Status監控 Fortigate 系統狀態

  29. Status – Session監控網路連線狀態

  30. Status –如何改為 Transparent模式 • 或是使用Command: • #Config sys setting • (setting)#set opmode transparent

  31. System - Network • 定義和監測實體網路埠型態 • 定義802.1Q VLAN 虛擬網路埠 • Zones 概述 • DNS 設定

  32. Network – Interface – Create New建立新的VLAN網路介面 • 指定VLAN所在的實體網路埠 • 填入VLAN ID (802.1Q) • 填入VLAN IP

  33. Network – DNS 設定 • 有關fortigate中Alert email 和URL blocking功能會需要DNS查詢 • Fortigate可當作 DNS relay(DNS request 轉送),當有DNS 查詢封包時,fortigate 會將封包轉送到所設定的DNS server

  34. System - Config • Time - 設定時間及時區 • Options – 有關管理及語言等設定 • HA (High Available)概述 • Admin – 管理者及管理權限設定 • SNMP v1/v2c – 網管設定概述 • Replacement Message – 取代訊息設定

  35. System – Config - Time 訂定時間,時區或是和網路時間伺服器校時. 此選項會影響log所紀錄的時間, 以及FDS更新伺服器的選擇

  36. System – Config - Options 可更改閒置時間限制,認證等待時間,改變畫面語系,設定LCD面板密碼,設定網路fail over的時間及間隔

  37. System – Config - HA 概述

  38. System – Config - SNMP v1/v2c 概況

  39. System – Config - Fortimanager

  40. System - Admin • Administrators • Add administrator accounts (up to 12) • Access Profile

  41. System – Admin - Administrators

  42. System – Admin - Access Profile

  43. System - Maintenance • Backup & Restore • Update Center • Support • Shutdown

  44. System – Maintenance - Backup & Restore 系統自動設定備份

  45. System – Maintenance - Contract

  46. System – Maintenance - Update Center

  47. System – Maintenance - Support http://support.fortinet.com 用於回報BUG和購買後的產品註冊

  48. System – Maintenance - Shutdown

  49. System – Virtual Domain 概述 • 無論是在 NAT/Route 或是 Transparent 模式, 所有的 FortiGate 設備 預設可建 10 個 virtual domains • FortiGate 3016 (含)以上的機型可提供 up to 250個virtual domains

  50. Firmware 升級 (Web GUI) D:\FortiGate\FortiOS v4.0\v4.0_Image\4.2\v4.2.2(291)FGT_200B-v400-build0291-FORTINET.out