教程篇(7.0) 03. FortiGate安全 & 防火墙策略 ❀ Fortinet 网络安全专家 NSE 4

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(7.0) 03. FortiGate安全 & 防火墙策略 ❀ Fortinet 网络安全专家 NSE 4相关的知识,希望对你有一定的参考价值。

  在本课中你将了解防火墙策略,以及如何应用它们来允许和拒绝通过FortiGate的流量。FortiGate的核心是一个防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联。

  本节课你将学习上图显示的主题。

  完成本节后,你应该能够实现上图显示的目标。

  通过展示识别防火墙策略的不同组成部分的能力,并认识到FortiGate如何将流量与防火墙策略匹配并采取适当的行动,你将更好地理解防火墙策略如何与网络流量交互。

  首先,你将了解什么是防火墙策略。

  防火墙策略定义哪些流量匹配它们,以及当流量匹配时FortiGate会做什么。

  应该允许流量吗?最初,FortiGate基于简单的标准做出这个决定,比如流量的来源。然后,如果策略不阻止流量,FortiGate将开始计算开销更大的安全配置文件检查,通常称为统一威胁管理(UTM),例如反病毒、应用程序控制和web过滤(如果你在策略中选择了它)。这些扫描可以阻断通信,例如,如果它包含病毒。否则,流量是允许的。

  会应用网络地址转换(NAT)吗?是否需要认证?防火墙策略也决定了这些问题的答案。处理完成后,FortiGate将数据包转发到目的地。

  FortiGate从上到下查找匹配的防火墙策略,如果匹配成功,则按照防火墙策略进行处理。如果没有匹配到,则使用缺省的隐式阻断防火墙策略将流量丢弃。

  每个策略都匹配流量,并通过引用你定义的对象(如地址和配置文件)应用安全性。

  其他防火墙策略类型呢?是否存在IPv6策略或虚拟连对策略?是的。这些策略使用与其类型相关的略微不同的对象。在本节课中,你将学习IPv4防火墙策略,因为它们是最常见的用例。

  当数据包到达时,FortiGate如何找到匹配的策略?每个策略都有匹配条件,可以使用以下对象定义:

  ● 流入接口

  ● 流出接口

  ● 源地址: IP地址,用户,Internet服务

  ● 目标地址: IP地址或Internet服务

  ● 服务: IP协议或端口号

  ● 计划任务: 在配置的时间内应用

  当流量匹配防火墙策略时,FortiGate将应用防火墙策略中配置的动作。

  ● 如果动作设置为〖拒绝〗,FortiGate将放弃会话。

  ● 当动作为〖接受〗时,FortiGate将应用已配置的其他配置对报文进行处理,如反病毒扫描、web过滤、源NAT等。

  例如,如果你想阻止传入的FTP到除了少数几个FTP服务器之外的所有FTP服务器,那么你需要定义FTP服务器的地址,选择这些地址作为目标,并选择FTP作为服务。你可能不会指定源(通常允许在internet上的任何位置)或计划任务(通常FTP服务器总是可用的,无论白天或晚上)。最后,将动作设置为〖接受〗。

  这可能已经足够了,但是你通常需要更彻底的安全。在这里,策略还对用户进行身份验证,扫描病毒,并记录被阻止的连接尝试。

  为了开始描述FortiGate如何为每个数据包找到策略,我们先从接口开始。

  数据包通过流入接口或入接口到达。路由决定流出接口或出接口。在每个策略中,都必须设置源接口和目标接口;即使其中一个或两个设置为any。两个接口都必须符合策略的接口条件,才能成功匹配。

  例如,如果你在port3 (LAN)入口和port1 (WAN)出口之间配置了策略,当数据包到达port2时,该数据包将不会匹配你的策略,因此会因为列表末尾隐式拒绝策略而被丢弃。即使策略是从port3 (LAN)的入接口到任何出接口,数据包仍然会被丢弃,因为它与流入接口不匹配。

  为了简化策略的配置,你可以组合接口到逻辑区域。例如,可以将port4到port7分组到DMZ区域。在接口界面可以创建区域。但是,你应该注意,不能单独引用某个区域中的接口,如果需要将接口添加到该区域,则必须删除对该接口的所有引用(例如防火墙策略、防火墙地址等)。如果你认为可能需要单独引用接口,则应该在防火墙策略中设置多个源接口和目的接口,而不是使用区域。

  缺省情况下,只能选择一个接口作为入接口,一个接口作为出接口。这是因为在GUI上禁用了在防火墙策略中选择多个接口或任意接口的选项。但可以在可见功能页面启用〖多接口策略〗选项,取消单个接口限制。

  如果通过命令行方式配置防火墙策略,则可以指定多个接口,也可以使用any选项,而不用考虑默认的GUI设置。

  另外值得一提的是,当你选择任意接口选项时,你不能为该接口选择多个接口。在上图示例中,因为any被选择为出接口,所以你不能添加任何额外的接口,因为any接口都意味着所有的接口已经被选择。

  FortiGate考虑的下一个匹配条件是数据包的源。

  在每个防火墙策略中,都需要选择一个源地址对象。或者,你还可以通过选择用户或用户组来细化源地址的定义,这将提供更细粒度的匹配,从而提高安全性。你还可以选择ISDB对象作为防火墙策略中的源,你将在本节稍后的内容中了解这一点。

  选择完全限定域名(FQDN)作为源地址时,必须通过DNS解析并缓存到FortiGate中。请确保为FortiGate正确配置DNS设置。如果FortiGate不能解析FQDN地址,它将显示一个警告消息,并且使用该FQDN配置的防火墙策略可能无法正常工作。

  如果一个用户被添加为源的一部分,FortiGate必须在允许或拒绝通过防火墙策略的访问之前验证该用户。用户可以通过不同的方式进行身份验证。

  对于本地用户,用户名和密码在FortiGate上本地配置。当本地用户进行身份验证时,他们输入的凭据必须与FortiGate上本地配置的用户名和密码匹配。

  对于远程用户(例如LDAP或RADIUS), FortiGate从远程用户接收用户名和密码,并将这些信息传递给身份验证服务器。身份验证服务器验证用户登录凭据并更新FortiGate。FortiGate接收到该信息后,它会根据防火墙策略授予对网络的访问权。

  从域控制器检索Fortinet单点登录(FSSO)用户的信息。根据FortiGate上的组信息授予访问权限。

  在上图示例中,源选择器标识特定的子网和用户组。记住,用户是一个可选对象。这里使用用户对象使策略更具体。如果你想让策略匹配更多的流量,你应该让用户对象未定义。

  你还可以使用internet服务(ISDB)对象作为防火墙策略中的源。防火墙策略中的internet服务对象和源地址对象之间存在一种关系。这意味着你可以选择一个源地址或一个internet服务,但不能同时选择两个。

  与数据包的源一样,FortiGate也会检查目标地址是否匹配。

  你可以在防火墙策略中使用地址对象或ISDB对象作为目标地址。地址对象可以是主机名、IP子网或范围。如果你输入一个FQDN作为地址对象,请确保你已经为FortiGate设备配置了DNS服务器。FortiGate使用DNS将这些FQDN主机名解析为IP地址,这些IP地址实际上出现在IP报头中。

  你可以选择地理地址,它是分配给一个国家的地址组或范围。通过FortiGuard更新这些对象。

  为什么没有选择用户的选项?用户认证通过后,数据包才会被转发到出接口。

  Internet服务是一个数据库,它包含IP地址、IP协议和最常见的Internet服务使用的端口号的列表。FortiGate定期从FortiGuard下载该数据库的最新版本。可以在防火墙策略的源地址或目标地址中进行选择。

  如果你只允许流量访问几个知名的公共互联网目的地,如Dropbox或Facebook,会发生什么?

  在配置防火墙策略时,可以将Internet服务作为防火墙策略的目标地址,该策略包含了该服务使用的所有IP地址、端口和协议。出于同样的原因,你不能将常规地址对象与ISDB对象混合使用,也不能在防火墙策略上选择服务。ISDB对象已经有服务信息,这些信息是硬编码的。

  与需要经常检查地址对象以确保没有任何IP地址被更改或适当的端口被允许相比,internet服务有助于使这种类型的部署更加容易和简单。

  基于地理位置的ISDB对象允许用户定义国家、地区和城市。这些对象可以用于防火墙策略中,对父ISDB对象的位置进行更细粒度的控制。

  ISDB对象在策略中按名称引用,而不是按ID引用。

  你可以禁用ISDB更新,以便它们只在更改控制窗口期间发生。一旦ISDB更新被禁用,其他计划用于IPS、AV等的FortiGuard更新将不会更新ISDB。默认情况下,ISDB更新是启用的。

  计划任务向策略添加时间元素。例如,你可以使用一个策略来允许备份软件在夜间激活,或者为远程地址创建一个测试窗口,以用于测试目的。

  计划任务可以配置为24小时的时钟。有几个配置设置值得一提:

  ● 循环:如果启用全天,将允许所选天数的24小时流量。在配置循环计划时,如果将停止时间设置在开始时间之前,则停止时间将在第二天开始。例如,如果你选择星期日作为一天,10:00作为开始时间,09:00作为停止时间,那么计划将在周一09:00停止。如果启动时间和停止时间相同,计划任务将运行24小时。

  ● 单次:开始日期和时间必须早于停止日期和时间。你还可以启用预过期事件日志,它将在计划过期前N天生成事件日志,其中N可以是1到100天。

  FortiGate用来匹配策略的另一个标准是数据包的服务。

  在IP层,协议号(如TCP、UDP、SCTP等)和源端口、目的端口一起定义了每个网络服务。通常,只定义了一个目的端口(即服务器的监听端口)。一些遗留应用程序可能使用特定的源端口,但在大多数现代应用程序中,源端口是在传输时随机标识的,因此不是定义服务的可靠方法。

  例如,预定义服务名称为HTTP,TCP目的端口为80;预定义服务名称为HTTPS,TCP目的端口为443。但源端口的持续时间较短,因此没有定义源端口。

  默认情况下,服务被分组在一起,以简化按类别的管理。如果预定义的服务不能满足你的组织需求,你可以创建一个或多个新服务、服务组和类别。

  答案:A

  答案:A

  现在你了解了防火墙策略中使用的组件以及FortiGate使用的匹配条件。

  接下来你将学习如何配置防火墙策略。

  完成本节后,你应该能够实现上图显示的目标。

  通过展示配置防火墙策略的能力,你将能够将正确的设置(如安全配置文件、日志记录和流量整形)应用到FortiGate上的防火墙策略,并使你的网络更加安全。

  在GUI上配置新的防火墙策略时,必须为防火墙策略指定一个唯一的名称,因为防火墙策略默认是启用的,而在CLI上是可选的。这有助于管理员快速识别他们正在寻找的策略。但是,你可以在GUI界面下的可见功能页面,启用〖允许未命名的策略〗,使该功能成为可选。

  注意,如果在CLI中没有配置策略名称,并且在GUI上修改了现有的策略,则必须指定唯一的名称。FortiGate平面GUI视图允许你通过单击或从右侧填充的列表中拖放来选择接口和其他对象。

  你可以选择Internet服务作为源。Internet服务是一个或多个地址和一个或多个与Internet上的服务相关联的服务的组合,例如软件的更新服务。

  你可以在防火墙策略中配置许多其他选项,例如防火墙和网络选项、安全配置文件、日志记录选项以及启用或禁用策略。

  在创建防火墙对象或策略时,会添加一个统一唯一标识符(UUID)属性,当整合FortiManager和FortiAnalyzer时,以便日志可以记录这些UUID和改善功能。

  在创建防火墙策略时,请记住FortiGate是一个有状态的防火墙。因此,只需要创建一条与发起会话的流量方向匹配的防火墙策略。FortiGate将自动记住源-目标对,并允许应答。

  防火墙策略可以应用的最重要特性之一是安全配置文件,例如IPS和反病毒。如果该会话已经被防火墙策略有条件地接受,安全配置文件会检查流量中的每一个数据包。

  在进行流量检测时,FortiGate有两种方式:基于流量的检测和基于代理的检测。每种巡检类型支持不同的安全特性。

  注意,默认情况下,视频过滤器、VOIP和Web应用程序防火墙安全配置文件选项在GUI的策略页面中是不可见的。你需要在可见功能页面上启用它们。

  如果在策略中启用了日志记录功能,防火墙策略关闭IP会话后,FortiGate会生成流量日志。

  缺省情况下,日志允许流量为〖安全事件〗,只对防火墙策略中应用的安全配置文件产生日志。但也可以修改为〖全部会话〗,为所有会话生成日志。

  如果启用〖会话开始时生成日志〗,FortiGate将在会话开始时创建流量日志。FortiGate还为同一会话在关闭时生成第二个日志。但是请记住,增加日志记录会降低性能,所以只在必要时使用它。

  在会话过程中,如果安全配置文件检测到有违规行为,FortiGate将立即记录攻击日志。为了减少日志消息的产生,提高性能,可以启用会话表项。这将在会话表中创建被拒绝的会话,如果会话被拒绝,该会话的所有数据包也将被拒绝。这确保了FortiGate不必为每个匹配被拒绝会话的新包执行策略查找,从而减少了CPU使用和日志生成。

  该选项在CLI中,称为ses-denied-traffic。你还可以设置块会话的持续时间。通过在CLI中设置blocksession-timer来决定会话在会话表中的保存时间。缺省值是30秒如果没有显示〖会话开始时生成日志〗的GUI选项,说明FortiGate设备没有内部存储。这个选项在CLl上,与内部存储无关,被称为set logtraffic-start enable。

  你可以配置两种类型的流量整形器:共享和每IP。

  共享整形器将总带宽应用到使用该整形器的所有流量。范围可以是每个策略,也可以是引用该整形器的所有策略。FortiGate可以统计出入公共流量的数据包速率。

  通过FortiGate,可以创建三种流量整形策略:

  ● 共享策略整形:安全策略的带宽管理

  ● 每IP整形:对用户IP地址进行带宽管理

  ● 应用控制整形:按应用进行带宽管理

  在创建流量整形策略时,需要确保匹配的条件与待整形的防火墙策略一致。注意,这些同样适用于TCP和UDP,UDP协议可能无法从丢包中优雅地恢复。

  默认情况下,IPv4和IPv6策略被合并成一个统一的策略,而不是为IPv4和IPv6创建和维护两个不同的策略集。

  IPv4和IPv6都可以共用流入接口、流出接口、计划任务和服务字段。源地址、目标地址和IP地址池必须同时选择IPv4地址和IPv6地址。

  配置统一防火墙策略时,可以配置源地址为IPv4的策略、目的地址为IPv4的策略和IP池,不需要指定IPv6引用。IPv6也可以配置相同的行为策略。当选择IPv4和IPv6结合使用时,需要在防火墙策略的源地址和目标地址中同时选择IPv4和IPv6地址。策略中的源和目标IP版本必须匹配。例如,策略中不能只有IPv4源和IPv6目的。通过对GUI中的策略表进行过滤,可以显示源和目标为IPv4、IPv6或IPv4和IPv6的策略。

  注意,默认情况下,IPv6选项在GUI上的策略表中是不可见的。你必须在可见功能页面启用IPv6。

  答案:B

  答案:B

  现在你了解了如何在FortiGate上配置防火墙策略。

  接下来,你将学习如何管理和优化防火墙策略的设置。

  完成本节后,你应该能够实现上图显示的目标。

  通过展示管理防火墙策略的能力,你将能够理解防火墙策略的策略ID的使用。此外,你还可以查明对象的使用情况,并使用对象组简化策略。

  防火墙策略显示在一个有组织的列表中。该列表可以按照接口对视图或通过顺序组织。

  通常,该列表会出现在接口对视图中。每个部分都包含该入口—出口对的策略。或者,通过选择页面顶部的〖通过顺序〗,你可以将策略作为一个单独的、全面的列表查看。

  在某些情况下,你无法选择使用哪个视图。

  如果使用多个源或目的接口,或者防火墙策略中的任意接口,则不能按接口对将策略划分为多个部分——有些可能是三联或更多。因此,策略总是显示在单个列表中(按顺序)。

  为了帮助你记住每个接口的使用,你可以通过在网络页面上编辑接口来为它们提供别名。例如,你可以把port1叫做ISP1。这有助于让你的策略列表更容易理解。

  编辑策略时,策略信息将可见。

  如果管理员希望检查策略的使用情况,如上次使用、首次使用、命中计数、活动会话等,则此功能非常有用。

  要理解防火墙策略如何工作的一个重要概念是顺序的优先级,或者,如果你喜欢一个更容易理解的术语,即先到先服务。

  策略ID是标识符。缺省情况下,策略ID不显示在策略列表界面上。你可以使用配置表设置图标添加策略ID列。

  当你在GUI上创建一个新的防火墙策略时,FortiGate会自动分配一个策略ID。策略ID永远不会改变,即使你将规则在序列中移动得更高或更低。

  如果启用策略高级选项,则可以在创建新策略时手动分配策略ID。如果发现重复的条目,系统将产生一个错误,因此你可以分配一个不同的可用策略ID号。

  默认情况下,策略高级选项在GUI上不可用,你必须在可见功能页面上启用它。

  为了简化管理,你可以对服务和地址对象进行分组。然后,可以在防火墙策略中引用该组,而不是每次选择多个对象或创建多个策略。

  上图显示了四个服务用于配置策略:HTTP、HTTPS、FTP和DNS。DNS被浏览器用来将URL解析为IP地址,因为人们记住的是网站的域名而不是IP地址。如果你需要为Web和FTP流量制定许多策略,那么创建一个名为Web-FTP的服务对象是有意义的。这样,你就不必在每次制定策略时都手动选择所有四个服务。策略可以引用Web-FTP服务组。

  此外,你还可以将源地址合并到源地址组中。

  你已经看到了几个可以在制定策略时重用的组件对象。如果你想要删除一个对象怎么办?

  如果一个对象正在被使用,你不能删除它。首先,你必须重新配置当前使用它的对象。GUI提供了一种简单的方法来查找FortiGate配置中对象被引用的位置。看看关联项中的数字。它们是该对象被使用的地方的数量。这个数字实际上是一个链接,所以如果你点击它,你可以看到哪些对象正在使用它。

  在上图显示的例子中,all地址对象被Training地址组和三个防火墙策略所使用。如果选择防火墙策略,可以使用编辑、查看列表和查看属性页签。

  ● 编辑:编辑选中的对象。在本例中,它显示了防火墙策略ID 1的编辑页面。

  ● 查看列表:查看所选对象所属类别。在本例中,它将显示所有防火墙策略的列表。

  ● 视图属性:显示了该对象在配置中的使用位置。在本例中,地址对象all用于该防火墙策略的目标地址和源地址。

  你可以右键单击任何防火墙策略,以看到不同的菜单选项来编辑或修改策略。选项包括启用或禁用防火墙策略,插入防火墙策略(高于或低于),复制粘贴策略,克隆反向(仅当策略上的NAT被禁用时)。

  在CLI中单击〖编辑〗将打开所选防火墙策略或对象的CLI控制台。它显示在命令行中配置的设置,并可以在命令行控制台中直接修改所选择的防火墙策略或对象。

  你可以使用每个列中的过滤器过滤GUl上的防火墙策略。添加ID列后,单击ID列过滤图标,可以根据策略ID号过滤和搜索策略。单击〖名称〗过滤图标,可根据策略名称搜索策略,等等。

  答案:A

  现在你了解了如何在FortiGate上管理防火墙策略。

  接下来,你将了解与防火墙策略相关的最佳实践和故障排除。

  完成本节后,你应该能够实现上图显示的目标。

  通过展示了解防火墙策略限制和使用策略匹配技术的能力,你将能够在使用防火墙策略时应用最佳实践和基本故障排除技术。

  配置防火墙对象的名称时,只支持特定的字符。例如,Training (LAN)不是地址对象的有效名称,因为它包含不受支持的特殊字符。尽管名称中支持空格,但作为最佳实践,应避免在名称中使用空格。相反,使用连字符或下划线。使用空格可能会导致在CLI中修改或故障排除时出现问题。

  但是,在密码、注释、替换消息等中支持许多特殊字符。

  在生产网络中实现配置更改之前,始终计划一个维护窗口,并为几个IP地址和用户创建一个测试用例。通过GUI或CLI修改配置会立即生效,并可能导致业务中断。

  作为一项最佳实践,请尝试尽可能具体地配置防火墙策略。这有助于限制对这些资源的访问。例如,配置地址对象时,请使用正确的子网。

  另一个值得一提的设置是安全配置文件。安全配置文件有助于为你的网络提供适当的安全性。正确的日志配置还可以帮助你分析、诊断和解决常见的网络问题。

  还记得你学过只有第一个匹配策略适用吗?把政策安排在正确的位置是很重要的。它影响哪些流量被阻止或允许。在适用的接口对部分,FortiGate从顶部开始查找匹配的策略。所以,你应该把更具体的政策放在顶部;否则,更一般的策略将首先匹配流量,更细粒度的策略将永远不会被应用。

  在上图示例中,你将只匹配FTP流量的Block_FTP策略(ID 2)移动到更通用的Full_Access(接受来自任何地方的所有内容)策略之上的位置。否则,FortiGate将始终在适用的接口对中应用第一个匹配策略(Full_Access),而永远不会达到Block_FTP策略。

  在策略列表中移动策略时,策略ID保持不变。

  注意,在创建策略时,FortiGate会分配下一个最高的可用ID号。

  注意,策略ID是标识符,默认情况下不显示在策略列表GUI上。你可以使用配置表设置图标添加策略ID列。

  为了优化和巩固防火墙策略,总是检查所有配置的设置。在上图示例中,这两个防火墙策略在服务、安全配置文件和日志设置方面存在差异。你可以通过合并服务和选择适当的日志记录设置来合并这两个防火墙策略。

  如果日志设置选择了安全事件 (UTM),则ALL_ICMP类型的流量不会产生流量日志。

  请注意,ALL_ICMP服务不受web过滤和反病毒扫描的影响,这意味着将这些安全配置文件应用于ICMP流量将导致流量不经过检测而通过。

  你可以根据策略查找输入条件找到匹配的防火墙策略。策略查找创建的数据包流经过FortiGate,没有实际流量。从此,策略查找可以从流跟踪中提取策略ID,并在GUl策略配置页面上突出显示它。

  根据所选择的协议(例如,TCP、UDP、IP、ICMP等),需要定义其他输入条件。例如,选择TCP协议时,需要定义源地址、源端口(可选)、目标端口和目标地址。选择ICMP协议时,需要定义ICMP类型/码、源地址和目标地址。

  FortiGate在执行策略查找时,会对匹配的防火墙策略从上到下进行一系列检查,包括进入、状态检查和出口检查,然后为匹配的策略提供结果。

  请注意,如果防火墙策略状态设置为禁用,策略查找将跳过禁用的策略,并检查列表中的下一个匹配策略。

  根据输入条件,单击Search之后,跟踪结果被选中,并在防火墙策略页面上突出显示。

  为什么策略ID 1或ID 2不匹配输入条件?

  由于策略ID 1状态设置为禁用,因此策略查找将跳过禁用的策略。对于防火墙策略ID 2,它不匹配策略查找匹配条件中指定的目的端口。

  答案:A

  答案:A

  恭喜你!你已经学完了这一课。

  现在,你将回顾你在这一课中涉及的目标。

  上图展示了你在这节课中涉及的目标。

  通过掌握本课所涉及的目标,你了解了如何配置、使用和管理防火墙策略。


以上是关于教程篇(7.0) 03. FortiGate安全 & 防火墙策略 ❀ Fortinet 网络安全专家 NSE 4的主要内容,如果未能解决你的问题,请参考以下文章

教程篇(7.0) 07. FortiGate安全 & 证书的操作 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 01. FortiGate安全&简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 12. FortiGate安全 & SSL安全隧道 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 09. FortiGate安全 & 应用控制 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 10. FortiGate安全 & 反病毒 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 01. FortiGate基础架构 & 路由 ❀ Fortinet 网络安全专家 NSE 4