搜档网
当前位置:搜档网 › PIX防火墙NAT设置

PIX防火墙NAT设置

PIX防火墙NAT设置
PIX防火墙NAT设置

1.普通NAT:

nat(inside) 1 10.1.1.0 255.255.255.0

global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0

如果第一上网的地址是10.1.1.1,那么其转化为192.168.0.20

第二个上网的地址是10.1.1.100,那么转化为192.168.0.21

如果外网地址耗尽,就不能上网了。这叫做动态的转化。

nat(inside) 1 10.1.1.0 255.255.255.0

global(outside) 1 202.100.1.100

目的端口号从1024到65535个。可以有65535-1024个会话

清掉原来的nat

clear config nat

clear config global

clear xlate

没有多余地址,只有物理接口的地址,甚至物理接口的地址还是dhcp或者pppoe来的。fw(config)#nat (inside) 1 10.0.0.0 255.255.0.0

fw(config)#global (outside) 1 interface

这样在网管show user时,虽不知道是哪个网段telnet上来的。但是最少知道是内部的。

2. 用ID来区分同是inside到outside的不同网段的地址转换

nat(inside) 1 10.0.0.0 255.255.255.0

nat(inside) 2 10.2.0.0 255.255.255.0

global (outside) 1 192.168.0.3-192.168.0.16 netmask 255.255.255.0

global(outside) 2 192.168.0.17-192.168.0.32 netmask 255.255.255.0

nat (inside) 1 10.0.1.0 255.255.255.0

nat (inside) 2 10.0.2.0 255.255.255.0

global (outside) 1 192.168.0.8 netmask 255.255.255.255

global (outside) 2 192.168.0.9 netmask 255.255.255.255

3. 三接口nat(3个NA T只用了4句话)

nat (inside) 1 10.0.0.0 255.255.255.0

nat(dmz) 1 172.16.0.0 255.255.255.0

global (outside) 1 192.168.0.20-192.168.0.254 netmast 255.255.255.0

global (dmz) 1 172.16.0.20-172.16.0.254 netmast 255.255.255.0

4.backing up PAT

fw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0

fw1(config)#global (outside) 1 192.168.0.8 netmast 255.255.255.255

fw1(config)#global (outside) 1 192.168.0.9 netmast 255.255.255.255

先用地址8,后用地址9

5.nat和pat共存

fw1(config)#nat (inside) 1 10.0.0.0 255.255.0.0

fw1(config)# global (outside) 1 192.168.0.20-192.168.0.253 netmast 255.255.255.0

fw1(config)#global (outside) 1 192.168.0.254 netmast 255.255.255.255

6.identity nat

fw1(config)#nat(dmz) 0 192.168.0.9 255.255.255.255

nat +源接口+ 0 +源IP地址

来自于dmz去往其他低于其安全等级的流量不进行转换。

默认情况下也是不进行转化,但是这种配置是看的见转换槽位的

7. 端口转换:

端口转换适用的条件是:

内部或者DMZ区域有为外网服务的服务器,必须是inbound的流量。

条件:外部物理接口地址202.100.1.10

内部有192.168.0.1的www server和192.168.0.2的ftp server

static (dmz,outside) tcp interface 80 192.168.0.1 80

static (dmz,outside) tcp interface 21 192.168.0.2 21

access-list out permit tcp any host 202.100.1.10 eq 21

access-list out permit tcp any host 202.100.1.10 eq 80

access-group out in interface outside

8. 转换顺序:

1.nat 0 access-list (nat exemption)

access-list匹配流量,匹配以后不转换

2.static nat

3.static pat(端口转换)

4nat 1 access-list

5.regular nat

9.解决不进行转换的流量问题

nat (inside) 1 10.1.1.0 255.255.255.0

global (outside) 1 interface

因为没有写转换项。结果telnet outside 通,telnet dmz不通。

因为我们不需要转换地址,但是要能够远程网管的。这个时候要补一个命令:

nat (inside) 0 access-list nonat

access-list nonat permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0--------这个acl必须是ip的

这样telnet outside 转换地址并且通,telnet dmz,不转换但是通

10.一个PIX内的配置实例。

inside-outside :nat (inside) 1 10.0.0.0 255.255.255.0

global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0 dmz-outside :static (dmz, outside) 192.168.0.11 172.16.0.2 network 255.255.255.255 inside-dmz : static (inside ,dmz) 10.0.0.0 10.0.0.0 netmask 255.255.255.0

网关到网段,自己转换自己。

飞塔防火墙utm配置

如何启用防火墙的AV,IPS,Webfilter和 AntiSpam服务 版本 1.0 时间2013年4月 支持的版本N/A 状态已审核 反馈support_cn@https://www.sodocs.net/doc/7a12796650.html, 1.用Web浏览器打开防火墙的管理页面,进入系统管理-----维护----FortiGuard,如下图, 启用“防病毒与IPS选项”里面的定期升级,并在“Web过滤和反垃圾邮件选项”里面的Enable Web过滤和Enable 反垃圾邮件前面复选框中打上勾,这样就在防火墙上启用了AV,IPS,Webfilter和AntiSpam服务功能了。 2.启用防病毒与IPS选项的同时可以手动点击“立即升级”按钮让防火墙马上升级防病 毒,入侵检测数据库到最新版本,以后防火墙会按照“定期升级”配置自动定期升级防火墙的防病毒,入侵检测,web过虑和垃圾邮件分类;如果同时选上“允许服务器推送方式升级”的话,我们FortiGuard服务器在有新的升级包的同时会主动把最新的升级包推送到配置了该选项的防火墙上,如下所示:

3,检查是否成功升级到最新版本,可以打开防火墙系统管理----状态页面,看许可证信息部分或进入系统管理-----维护----FortiGuard里面也可以查看到许可证相关信息,注意许可证信息会在启用试用或合同注册完后的4个小时内得到更新,那时候才能验证确保防火墙防病毒、入侵检测数据库是最新的: 4,进入到防火墙----保护内容表,点击新建或打开一个已经存在的保护内容表,按下图显示内容启用病毒及攻击检测功能:

5,同样的在保护内容表里面,如上图所示,可以启用“FortiGuard网页过滤”和“垃圾过滤”功能,如下2图显示: 6,在保护内容表的最后一部分,可以把相关的攻击等日志记录下来,送给日志服务器:

飞塔防火墙fortigate的show命令显示相关配置

飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X

Fortigate防火墙安全配置规范

Fortigate防火墙安全配置规范

1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:

接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:

飞塔防火墙OSPF配置

FortiGate OSPF设置

目录 1.目的 (3) 2.环境介绍 (3) 3.OSPF介绍 (4) 3.1 DR与BDR选举 (4) 3.2 OSPF邻居建立过程 (5) 3.3 LSA的类型 (6) 3.4 OSPF的区域 (7) 4.FortiGate OSPF配置 (8) 4.1 GateA配置 (8) 4.2 GateB配置 (8) 4.3 GateC配置 (8) 4.4 配置完成后各个Gate路由表 (9) 4.5 通过命令查看OSPF状态 (9) 5.OSPF路由重发布 (10) 6.Total stub与T otal NSSA (11) 7.OSPF的Troubleshooting (12) 8.参考 (13)

1.目的 本文档针对FortiGate的OSPF动态路由协议说明。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统,即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器。 2.环境介绍 本文使用4台FortiGate进行说明, 本文使用的系统版本为FortiOS v4.0MR2 Patch8。 Router Router ID Role Interface IP Area

FortiGate防火墙常用配置命令(可编辑修改word版)

FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0

FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end

飞塔防火墙日常维护与操作

纳智捷汽车生活馆 IT主管日常操作指导 目录 一、设备维护 (02) 二、网络设备密码重置步骤 (20) 三、飞塔限速设置 (05) 四、飞塔SSLVPN设置及应用 (07) 五、服务需求 (15) 六、安装调试流程 (16) 七、备机服务流程 (17) 八、安装及测试 (18) 九、注意事项 (19)

一、设备维护 1、登录防火墙 内网登录防火墙,可在浏览器中https://172.31.X.254 或 https://192.168.X.254(注:登录地址中的X代表当前生活馆的X值),从外网登录可输当前生活馆的WAN1口的外网IP 地址(例如:https://117.40.91.123)进入界面输入用户名密码即可对防火墙进行管理和配置。 2、登录交换机 从内网登录交换机,在浏览器输入交换机的管理地址即可。 http://172.31.X.253\252\251\250 (注:同样登录地址中的X代表当前生活馆的X值) 3、登录无线AP 从内网登录无线AP,在浏览器输入无线AP的管理地址即可。 员工区http://172.31.X.241 客户区 http://192.168.X.241 (注:同样登录地址中的X代表当前生活馆的X值) 二、网络设备密码重置步骤 2.1 防火墙Fortigate-80C重置密码 1,连上串口并配置好; 2,给设备加电启动; 3,启动完30秒内从串口登陆系统,用户名为:maintainer; 4,密码:bcpb+序列号(区分大小写);注意:有些序列号之间有-字符,需要输入.如序列号为FGT-100XXXXXXX,则密码为bcpbFGT-100XXXXXXX.不然无法登陆. 5,在命令行下执行如下系列命令重新配置“admin”的密码:

飞塔防火墙fortigate的show命令显示相关配置精编版

飞塔防火墙f o r t i g a t e 的s h o w命令显示相关 配置 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]

飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static

飞塔防火墙HA配置

FortiGate HA功能说明 1.1 主用-备用模式 FortiGate防火墙HA的主用-备用(A-P)模式提供了一个双机热备份集群的机制来对网络连接进行可用性保护,在HA集群里面只有一台主用设备在处理所有的网络流量,其他的一台或几台则处于备用状态FortiGate不处理任何网络流量只是在实时的监控着主用FortiGate是否仍然正常工作。 备机主要的工作有: ?实时和主用FortiGate同步配置; ?监控主用FortiGate状态; ?如果启用了会话备份功能(session pick-up)的话,备用设备需要实时同步主用设备上的会话以确保在主用设备出现问题是可以透明接替主用 设备,所有主用设备上已经建立的会话不需要重新建立,会话备份功能目前可以支持没有启用防火墙保护内容表的所有TCP/UDP/ICMP/多播/广播数据流; ?如果没有启用了会话备份功能(session pick-up)的话,备用设备不会实时同步主用设备上的会话,所有主用设备上已经建立的会话在发生HA 切换时需要重新建立; 1.2 主用-主用模式 第1 页共14 页

A-P模式部署的防火墙虽然有多台在网但实际上只有一台设备在工作其他所有的设备都在实时的监控主用机发生故障才会有一台接替工作,这样带来的一个问题是设备资源利用率不足。FortiGate防火墙HA功能同时提供了主用-主用(A-A)模式,也就是在所有HA集群中的所有设备都同时工作以同时达到负载均衡和热备份的功能,在A-A集群里面默认配置下的主设备不会负载均衡没有启用保护内容表的流量给非主工作设备,它只会负载均衡所有的启用了防火墙保护内容表的网络连接,处理时它会先接收下来所有的流量同时根据负载均衡配置把相关连接动态分配给其他的非主工作设备处理。这样处理的原因是:通常启用了防火墙保护内容表的网络连接才是CPU和内存消耗主要来源,这样可以大大增加A-A部分是集群的高层安全处理能力。 实际上也可以开启A-A集群负载所有TCP网络流量的功能,需要进入命令行下面开启HA的load-balance-all功能就可以了。 FortiGate防火墙HA的A-A集群不支持UDP/ICMP/多播/广播流量的负载均衡功能,也不支持VoIP、IM、IPSec VPN、HTTPS和SSL VPN负载均衡功能,所有的以上流量都将只有A-A集群里面的主工作设备处理。 FortiGate防火墙HA的A-A集群会话备份功能(session pick-up)支持没有启用防火墙内容保护表的TCP流量,并不提供基于防火墙内容保护表的流量的会话备份功能(session pick-up),也不支持UDP/ICMP/多播/广播流量会话备份功能(session pick-up)。 第2 页共14 页

fortinet飞塔防火墙配置

Fortinet产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见 https://www.sodocs.net/doc/7a12796650.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低 的运行成本考虑设计。

fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、 fortiguard 入侵防护(ips)服务 3、 fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。 forticlient的功能包括: 1、建立与远程网络的vpn连接

2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到 几个用户的计算机。 FortiMail fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的 邮件威胁。

飞塔防火墙fortigate的show命令显示相关配置审批稿

飞塔防火墙f o r t i g a t e的s h o w命令显示相关配 置 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】

飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static

FortiGate飞塔防火墙 简明配置指南

FortiGate飞塔防火墙简明配置指南 说明:本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。 要求:FortiGate? 网络安全平台,支持的系统版本为FortiOS v3.0及更高。 步骤一:访问防火墙 连线:通过PC与防火墙直连需要交叉线(internal接口可以用直通线),也可用直通线经过交换机与防火墙连接。防火墙出厂接口配置:Internal或port1:192.168.1.99/24,访问方式:https、ping 把PC的IP设为同一网段后(例192.168.1.10/24),即可以在浏览器中访问防火墙https://192.168.1.99 防火墙的出厂帐户为admin,密码为空 登陆到web管理页面后默认的语言为英文,可以改为中文 在system----admin----settings中,将Idle TimeOut(超时时间)改为480分钟,Language 为simplified chinses (简体中文)。 如果连不上防火墙或不知道接口IP,可以通过console访问,并配置IP 连线:PC的com1(九针口)与防火墙的console(RJ45)通过console线连接,有些型号的防火墙console是九针口,这时需要console转RJ45的转接头 超级终端设置:所有程序----附件----通讯----超级终端 连接时使用选择com1,设置如下图 输入回车即可连接,如没有显示则断电重启防火墙即可

连接后会提示login,输入帐号、密码进入防火墙 查看接口IP:show system interface 配置接口IP: config system interface edit port1或internal 编辑接口 set ip 192.168.1.1 255.255.255.0 配置IP set allowaccess ping https http telnet 配置访问方式 set status up end 配置好后就可以通过网线连接并访问防火墙 步骤二:配置接口 在系统管理----网络中编辑接口配置IP和访问方式 本例中内网接口是internal,IP,192.168.1.1 访问方式,https ping http telnet 本例中外网接口是wan1,IP,192.168.100.1访问方式,https ping

3分钟搞定飞塔50B防火墙配置

3分钟搞定飞塔50B防火墙配置 飞塔防火墙的默认管理IP地址为192.168.1.99(internal口),可以将电脑与其internal 口进行连接,https://192.168.1.99就可以登录了,默认用户名为admin,密码为空。 该指导会完成以下功能的描述,其他功能需自己慢慢体会。 一.配置界面改中文 二.配置PPPoE和固定IP 三.封端口 四.禁止P2P,在线视频 五.升级防火墙系统软件 六.配置文件的备份和回复 七.恢复初始设置 八.恢复密码 如下图,初始配置界面是英文,通过选择System——Admin——Settings——Display setting——language——Simplified Chinese——Apply

二、PPPoE和固定IP设置 如下图,设置网络——接口——wan1——编辑

这里先配置用户名和密码,拨号成功后会获得IP地址,网关等,注意PPPoE拨号不用写路由。其他保持默认。 如果选择固定IP就用自定义。 防火墙策略

防火墙策略里面有很多选项,这里就不一一讲解了,只说我们会用到的方面。防火墙是有一个默认的策略在里面,all到all的全部都放通。 这里可以对策略进行配置,做到精确匹配。

这里可以配置每个主机的地址,调用在策略上方便管理。封端口 在服务——定制——新建 这里我新建了一个服务是封17991端口

流量整形器可以做共享和每IP的流量控制。具体可以自行操作。 虚拟IP的设置: 虚拟IP主要的作用是把内网主机的端口,映射到外网IP的端口地址,典型应用主要在总部,总部将内部主机17991,3000端口等映射出外网,让营业部的通信平台进行连接。 保护内容表 防护墙的保护内容表的内容是在UTM中进行设备,然后在这里统一调用的。所以我们要现在UTM功能区里做好内容。

相关主题