设置FortiGate 阻断迅雷,QQ
说明:
本文档针对所有FortiGate设备阻断迅雷,QQ配置进行说明。FortiOS4.0通过应用控制可以识别一千多种应用程序,并可以对其阻断。应用控制通过IPS特征值识别应用程序。通过应用控制管理员可以限制大部分非法流量,提高带宽利用率。
环境介绍:
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v4.0。
步骤一:配置应用控制
在UTM----应用控制中新建列表
(点击放大)
按下图中选择应用,动作为阻止,启用日志
说明:目前所有的应用程序只支持英文名称
第二个应用可以阻断迅雷使用BT、电驴、P2P下载
如何选择应用程序:以qq为例,如果不知道它属于哪个分类只知道名称可以点击应用的下拉菜单,按键盘的“q”键,即可来到以q开头的应用名称,多次按“q”键即可向下查找,直到找到为止。
创建好列表后点击OK
(点击放大)
步骤二:配置保护内容表
在防火墙----保护内容表中编辑相应的保护内容表,应用控制选择定义好的名称
(点击放大)
在日志中勾选记录应用控制
(点击放大)
步骤三:配置策略
在防火墙----策略中编辑出网策略,选择定义好的保护内容表
步骤四:察看日志
在日志与报告----日志访问中选择应用控制,察看当前日志
(点击放大)
步骤五:说明
应用控制对下列p2p软件支持限速:
BitTorrent,eDonkey,Gnutella,KaZaa,WinNY
应用控制对下列im软件支持阻止文件传输,阻止音频,检测非标准端口
AIM,ICQ,MSN,Yahoo!
设置FortiGate 静态路由和策略路由
本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。
环境介绍:
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v2.8及更高。一,静态路由:不用动态路由协议,手工制定的路由条目
路由表:路由表根据目的网段掩码和管理距离决定路由优先级。
目的网段掩码越长越优先;
如果目的网段掩码相同则管理距离越小越优先。
步骤一:在路由----静态中可以看到当前静态路由,选择新建创建一条新路由。
目的IP/掩码:指要去往的IP地址段和掩码;如果全为零指所有网段。
设备:指去往下一跳的出口
网关:对段下一跳地址
管理距离:默认为10,范围从1到250,管理距离越低路由越优先。
(点击放大)
(点击放大)
步骤二:创建好后会增加一个相应的条目。本例中指所有去往172.22.6.0/24网络的数据包都从port1出去,下一跳为192.168.1.1。
(点击放大)
步骤三:在路由----当前路由中可以看到路由表中列出的所有路由。
(点击放大)
二,策略路由:当转发的数据包符合策略路由所有条件时执行策略路由,策略路由优先于路由表中所有条目,当有多个策略路由时按顺序从上致下执行。
步骤一:在路由----策略路由中新建一条策略路由。
协议端口:指数据包的三层协议号,范围从0到255,0则禁用此选项,例如,1指ICMP。
进入接口:指数据包进入FortiGate的接口
源地址/掩码:指数据包的源地址,全为零则禁用此选项。
目的地址/掩码:指数据包的目的地址,全为零则禁用此选项。
目的端口:指数据包的四层TCP/UDP端口,其他协议忽略此选项,全为零则禁用此选项。
Type of Service:指数据包IP包头中的服务类型,全为零则禁用此选项。
流出接口:强制数据包从FortiGate出去的接口
网关地址:强制数据包去往的下一跳地址,不允许全为零。
(点击放大)
步骤二:创建好后会增加一个相应的条目。本例中指如果数据包的协议号为1,即ICMP,从port2进入,源是
192.168.100.22/32,目的是172.22.6.202/32,则该数据包会从port1流出,并且下一跳改为192.168.1.20。
(点击放大)
设置FortiGate网页内容过滤
说明:
本文档针对所有FortiGate设备的网页内容过滤配置进行说明。FortiGate可以识别并过滤包含某些词汇的网页。网页内容过滤是限制用户访问某类网站的有效方法之一。本文档以阻断股票网页举例说明该功能的具体用法。阻断其他内容的网页同理。
环境介绍:
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
步骤一:新建网页内容过滤列表
在WEB过滤器----内容阻断中新建内容阻断列表
(点击放大)
步骤二:定义过滤的内容
然后点击新建定义阻断的内容
样式:输入阻断的词汇
模式类型:选择通配符
语言:选择要阻断的内容属于哪种语言
打分:定义该内容的分值
激活:勾选起用定义的内容
说明:本例中定义了七个与股票相关的词汇,每个分值为2,在内容保护表中将阈值设置为8。首先FortiGate将扫描网页中有多少个词汇与定义的阻断词汇相符,然后累加阻断词汇的分值,如果总分值大于或等于阈值,则阻断该网页。即如果网页中包含多于(或等于)四个阻断词汇,则认为该网页是股票网页。阻断词汇的数量,词汇的分值和保护内容表中的阈值可以根据实际情况设定。
重复上述方式定义多个与股票有关的词汇分值都为2
(点击放大)
步骤三:配置保护内容表
在防火墙----保护内容表----WEB过滤----WEB内容阻断中勾选HTTP,并选择定义好的内容阻断列表
阈值:阻断网页的分值上限
(点击放大)
在日志中勾选内容阻断
(点击放大)
步骤四:配置策略
在防火墙----策略中调用上步中的保护内容表
(点击放大)
步骤五:察看日志
在日志与报告---日志访问----内存----WEB过滤中察看过滤日志
设置FortiGate 双网关
说明:
本文档针对所有FortiGate设备的双网关配置进行说明。双网关的网络环境可以实现链路备份和负载均衡,本文档以典型的双网关配置为例现实上述功能。
环境介绍:
本文使用FortiGate5001做演示。本文支持的系统版本为FortiOS v3.0及更高。
步骤一:配置接口
在系统管理----网络中配置接口IP和ping服务器
外网接口一:port5 10.0.0.56 网关,10.0.0.1
外网接口二:port8 10.0.254.2 网关,10.0.254.1
Ping服务器条件:网关可以响应ping包,在AD拨号时网关不会改变。
Ping服务器:它可以实现链路备份功能。启用后外网接口会向网关发送ping包,如果数据包在规定的条件下没有返回则防火墙认为该网关down掉。防火墙会自动将路由表中该接口的出网路由删除,这样所有数据都会通过另一条静态路由出网。一旦该接口的网关返回ping包,则防火墙会自动恢复路由表中删除的路由,所有数据会通过两条静态路由出网。
在系统管理----网络----选项中可以配置ping服务器的检测条件。
检测间隔:指每多少秒向网关发送一次ping包
故障恢复检测:指在多少个连续的ping包没有响应后认为该网关down掉
本例的配置是如果网关down掉,则在一分钟后防火墙会把该网关从路由表中删除。
步骤二:配置路由
在路由----静态中写两条出网路由,注意管理距离必须一致
(点击放大)
(点击放大)
在路由---当前路由中可以看到写好的静态路由
(点击放大)
数据包进入防火墙的顺序:先走路由,再走策略
说明:当路由表中有多个出网路由时,FortiGate设备会按内置的算法实现负载均衡,这个算法不能被修改。这个算法是:假设路由表中有n条出网路由,则防火墙会将内网源IP地址的最后一组数值除n取余,余1走第一条出网路由,余n-1走第n-1条出网路由,余0走第n条出网路由。
本例的出网规则是:奇数IP走port5,偶数IP走port8
如果想让某些IP走特定的接口需要策略路由来实现。
步骤三:配置策略
本例的内网接口是port6
在防火墙----策略中写两条出网策略,即port6到port5,port6到port8
勾选NAT即可
(点击放大)
(点击放大)
步骤四:测试
配置好后在PC的cmd下用tracert 命令可以查看出网路径
配置双链路互联网连接
用两条链路接入互联网有两种情况:冗余和负载均衡。这两种情况可以单独部署也可以联合使用。如下表:
环境介绍:
所有运行FortiOS2.8及以上版本的FortiGate设备。
步骤:
在每种情况中必须配置适当的防火墙策略,让数据可以正常通过。本文关心路由问题。
情况一:冗余
正常情况下只有一条链路承载数据,如果该链路断掉则备份链路开始承载数据。
1,路由:
每条链路都需要配置一条默认路由,设置主链路的管理距离比备份链路底,这样在路由表中只有主链路的路由。
2,链路失效检测(Ping服务器):
链路失效检测可以检测到对端的链路是否正常。Ping服务器的地址一般是下一跳或网关地址。可以在系统管理----网络中编辑接口,配置Ping服务器。
3,防火墙策略:
一般情况下,必须配置两条防火墙策略,保障一条链路断掉后另一条会正常工作。
例如:Internal > WAN1 & Internal > WAN2。详情。
情况二:负载均衡
同时使用两条链路,这种情况会提高转发带宽,但没有链路失效恢复的保障。
1,路由需求:
一条主链路的默认路由,用更详细的路由通过其他链路转发其他数据。详细信息。
情况三:冗余和负载均衡
同时使用两条链路转发数据。在这种情况下一条链路断掉数据会全部从另一条链路通过。
使用两条默认路由,且其管理距离相同。除了管理距离必须一样外,这和情况一类似。这样做的结果是两条路由都可以在路由表中看到。
设定管理距离:
一般情况下在路由----静态中设定。
如果是PPPoE接口需要在系统管理----网络中编辑接口,在PPPoE选项下设定管理距离,同时要勾上从服务器中重新得到网关。
确保一条链路总是转发数据:使用一条默认策略路由可以让一个接口总是能访问互联网。
**警告----当配置此策略时需要额外注意!**
当数据包匹配策略路由时,策略路由就会比路由表中其他所有路由都优先(包括直连),即数据包会按策略路由执行。有时
你可能要加入更详细的策略路由,这些路由优先于默认的策略路由。策略路由表示从上到下执行的。
让数据通过辅链路转发:为了提高辅助链路利用率,可以使用策略路由,让一些数据通过辅链路转发,减轻主链路负载。当配置策略路由时,最好只选择流出接口而不填写网关地址。这样做可以确保在链路断掉时策略路由就不会有效。
特例:
1,同时监控两个WAN接口:
如果需要通过Ping两个WAN接口来证实两条链路都启用,就需要将两条默认路由的管理距离设成一致。
2,通过虚拟IP路由数据包:
与虚拟IP关联的会话将采用特殊方式处理。
实例一:虚拟IP在非默认接口上
有一台FortiGate-60,默认路由的出口是WAN 1,在WAN 2口上有一个虚拟IP,该虚拟IP指向DMZ中网站服务器。
在这种情况下,不需要针对该虚拟IP配置额外的静态路由或策略路由。因为一条路由缓存已经告诉FortiGate设备,需要将路径返回哪个接口。
实例二:冗余虚拟IP
有一台FortiGate-60,它的WAN 1和WAN 2都配置了一个虚拟IP,它的DMZ接口连接网站服务器。
进方向的流量和实例一中讨论的结果一致。
出方向的流量会把服务器的IP改成两个虚拟IP中的一个,确定是改成哪个虚拟IP需要看哪条链路的路由更优。
可以通过一条策略路由让出方向流量经指定端口流出。
关键字:冗余,负载均衡,策略路由,双链路介入互联网
如何设置映射服务器
1,一对一映射
进入防火墙---->虚拟IP 新建一个虚拟IP项目,如下图:
(点击放大)
2,端口映射,
进入防火墙---->虚拟IP 新建一个虚拟IP项目,如下所示:
(点击放大)
3,设置服务器的负载均衡
进入防火墙---->虚拟IP 新建一个虚拟IP项目,如下所示:
(点击放大)
4,添加允许访问服务器的策略
(点击放大)
5,如何验证:
将内部服务器10.0.X.1映射到192.168.11.10X,让旁人从external接口ping 192.168.11.10X,
然后登陆到命令行下面用下面的命令抓包分析:
diagnose sniffer packet any ‘icmp’ 4
设置FortiGate DHCP服务
本文档针对所有FortiGate设备的DHCP配置进行说明。FortiGate支持两种DHCP服务。中继:FortiGate将客户端请求转发给DHCP服务器。服务器:FortiGate是DHCP服务器,可以给客户端分派IP地址和DNS。
环境介绍:
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
步骤一:配置中继
在系统管理---DHCP中可以看到接口下的配置,FortiGate支持中继和服务器两种服务。点击编辑图标编辑中继配置。
接口名称:当前接口
DHCP中继代理:勾选则启动中继服务
类型:
经常:普通DHCP转发,不用IPSec加密
IPSEC:在配置IPSec VPN时有效,DHCP数据经过IPSec通道传给客户端,需要FortiGate与客户端建立IPSec VPN连接。服务器IP:输入DHCP服务器IP地址
(点击放大)
(点击放大)
步骤二:配置服务器
名称:填写服务器名称
启动:勾选则启动DHCP服务器
类型:
经常:普通DHCP转发,不用IPSec加密
IPSEC:在配置IPSec VPN时有效,DHCP数据经过IPSec通道传给客户端,需要FortiGate与客户端建立IPSec VPN连接。IP范围:分派个客户端的地址范围
掩码:分派个客户端的地址掩码
缺省网关:分派给客户端的网关地址
域:分派给客户端的域名,可选
租期:分派地址的有效期,若地址过期则客户端需要重新从服务器获取IP。
步骤三:服务器高级选项
DNS服务器:分派给客户端的DNS服务器地址,最多三个
WINS服务器:分派给客户端的WINS服务器地址,最多两个
可选:DHCP服务器最多能够发送三个自定义DHCP选项。代码是1到255之间的DHCP选项代码。选项是16进制字符的偶数,一些选项代码并不要求。有关DHCP选项的详细信息,参见RFC 2132.
排出范围:预留的地址范围,即服务器不会将这些地址分派给客户端
步骤四:查看已分派的地址
在地址租期中可以看到FortiGate已分配给客户端的IP地址
(点击放大)
设置FortiGate管理员权限
本文档针对所有FortiGate设备的管理员权限配置进行说明。当FortiGate恢复出厂设置后,管理员为admin,密码为空。环境介绍:
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
步骤一:新建一个管理员
在系统管理----管理员设置中可以看到现有管理员列表,点击新建创建一个新管理员。
普通管理员:填写管理员用户名,不能包括字符<>()#"'.
类型:
规则:本地用户类型,即用户信息保存在FortiGate中,由FortiGate对用户认证
远端:使用RADIUS、LDAP、TACACS+服务器对用户进行认证,该选项需要预先配置好远端服务器。在设置用户----Remote中
配置远端服务器并在用户组中调用。
PKI:使用数字证书进行认证,当使用PKI时同一个账户只能有一个管理员登陆。
通配符:在选择远端时显示,勾选该项则账户会通过远端服务器进行认证,不选则账户通过本地FortiGate认证。
输入密码:建议密码至少使用6位字符,密码最大长度不能超过32个字符
可信主机:允许访问FortiGate的IP地址或地址段,FortiGate最多支持三个地址段,0.0.0.0/0.0.0.0表示所有主机都可以访问。
访问表:选择定义好的授权表,也可以创建新的授权表
(点击放大)
(点击放大)
步骤二:配置授权表
在管理员设置----访问内容表中创建新的授权表;FortiGate有两个内建的授权表super_admin(可以完全管理设备)和super_admin_readonly(可以查看设备所有配置,无法修改),这两个内容表无法编辑和删除。
无:用户不能查看配置,不能修改配置
读:用户可以查看配置,不能修改配置
写:用户可以查看配置,能修改配置
(点击放大)
步骤三:配置管理员设置
在管理员设置----设置中编辑
Web管理接口:指FortiGate设备使用相关协议开放的TCP端口,例如HTTP 80表示FortiGate可以被TCP 80端口访问。超时控制:指定多长时间内管理员没有管理设备则需要管理员重新登陆
语言版本:选择FortiGate管理页面的语言
GUI中支持IPV6:在管理页面中支持IPV6 配置
激活PIN保护:对某些型号有效,可以设定FortiGate设备前面板中的LCD密码
启用SCP:允许通过SSH登陆的用户复制配置文件
(点击放大)
步骤四:查看当前管理员
在系统管理----状态----系统状态中可以看到当前设备的系统信息,点击前管理员----细节,可以看到当前管理员。
(点击放大)
设置FortiGate网址过滤