- 防火墙策略
- 配置防火墙策略
- 管理防火墙策略
- 最佳实践和故障排查
- 识别防火墙策略的组件
- 了解FortiGate如何通过接口、区域、源、目的地、服务或时间表与防火墙策略相匹配
通过展示识别防火墙策略的不同组件的能力,以及识别FortiGate如何将流量与防火墙策略相匹配并采取适当的行动,你将更好地理解防火墙策略如何与网络流量交互。
防火墙策略定义哪些流量与它们匹配,如果匹配,则FortiGate会做什么。
流量允许通过吗?最初,FortiIGate基于简单的标准,例如流量的来源来决定这个决定。然后,如果策略不阻塞流量,则FortiGate将开始进行计算上开销较大的安全配置文件检查(通常称为UTM,统一威胁管理),如反病毒、应用控制和Web过滤(如果你在策略中选择了它)。这些扫描可以阻断流量,例如,如果它包含病毒,流量将会被阻断,否则就会允许通行。
网络地址转换(NAT)会被应用吗?需要认证吗?防火墙策略也决定了这些问题的答案。在完成处理之后,FortiGate将分组转发到其目的地。
FortiGate从上到下查找匹配的防火墙策略,如果找到匹配,则根据防火墙策略处理流量。如果未找到匹配项,则默认隐式拒绝策略将拒绝流量。
其他防火墙策略类型如何?IPv6或虚拟接口对是否存在?对,这些策略使用与它们的类型相关的稍微不同的对象。在本课中,我们将讨论IPv4防火墙策略,因为它们是最常见的实例。
- 出入接口
- 源:IP 地址, 用户, 设备ID
- 目的: IP地址或网络服务
- 网络服务: IP协议和端口号
- 时间表:在配置时间中应用
如果流量匹配了防火墙策略,FortiGate 在防火墙策略中应用配置的操作。
- 如果 Action设置成DENY,FortiGate将会丢弃会话 。
- 如果 Action设置成ACCEPT,FortiGate将应用其他配置的设置来进行分组处理,例如反病毒扫描、Web过滤或源NAT。
例如,如果要阻塞传入FTP到除了少数FTP服务器之外的所有FTP,则需要定义FTP服务器的地址,选择那些作为目的地,以及选择FTP作为服务。你可能不会指定源(通常允许在Internet上的任何位置)或时间表(通常FTP服务器总是可用的,白天或晚上)。最后,你将设Action为ACCEPT。
这可能是足够的,但通常你需要更全面的安全性。这里,该策略还验证用户、扫描病毒以及记录阻止的连接尝试。
注意:我们将在后续课程中讨论LEARN的Action。
数据包到达输入接口,而路由决定输出接口。在每个策略中,必须设置源和目标接口;即使其中一个或两个都设置为any。这两个接口必须匹配策略的接口标准才能成功匹配。
例如,如果你在port3(LAN)入口和port1(WAN)出口之间配置策略,并且包到达port2,则该数据包将不匹配你的策略,因此会因为列表末尾的隐式拒绝策略而被丢弃。即使策略是从port3(LAN)入口到any出口,数据包仍然会被丢弃,因为它与传入的接口不匹配。
为了简化策略配置,可以将接口分组到逻辑区域中。例如,可以将port4到port7作为一个DMZ区域。区域可以从Interfaces页创建。但是,你应该注意,不能单独引用区域中的接口,如果需要将接口添加到该区域,则必须删除对该接口的所有引用(例如,防火墙策略、防火墙地址等)。如果你认为可能需要单独引用接口,那么应该在防火墙策略中设置多个源接口和目标接口,而不是使用区域。
还值得一提的是,在选择any选项时,不能为该接口选择多个接口。在这个示例中,因为选择any接口作为输出接口,所以不能添加任何附加接口,因为任何接口都暗示所有接口都已经被选择了。
在每条防火墙策略中,必须选择源地址对象。可选地,你还可以通过选择用户、组或特定设备来细化源地址的定义。如果你的组织允许携带你自己的设备(BYOD),那么这三种设备的组合将提供更细粒度的匹配,从而提高安全性。你还可以在防火墙策略中选择ISDB对象作为源代码,这将在本课程后面讨论。
当选择一个全限定域名(FQDN)作为源地址时,必须通过DNS解析并在FortiGate中缓存。确保为DNS设置正确配置FortiGate。如果FortiGate不能解析FQDN地址,它将发出警告消息,并且用FQDN配置的防火墙策略可能不能正常工作。
对于远程用户(例如,LDAP或RADIUS),FortiGate从远程用户接收用户名和密码,并将此信息传递给身份验证服务器。验证服务器验证用户登录凭据并更新FortiGate。在FortiGate接收到该信息之后,它基于防火墙策略授予对网络的访问。
一个Fortinet单点登录(FSSO)从域控制器检索用户的信息。访问是基于FortiGate的组信息授予的。
无代理使用来设备的流量。设备通过它们的MAC地址进行索引,并且有多种方式来识别设备,例如HTTP用户代理头、TCP指纹、MAC地址OUI、FortiOS-VM检测方法等等。只有当FortiGate和工作站位于直接连接的网络段上,其中业务被直接发送到FortiGate,并且在FortiGate和工作站之间没有中间路由器或第三层设备时,无代理设备标识才有效。
注意:FortiGate使用先到先服务的方法来确定设备标识。例如,如果一个设备被HTTP用户代理检测到, FortiGate就用检测到的MAC地址更新它的设备表,一旦确定了该MAC地址的类型,扫描停止。
基于代理的FortiClient应用。FortiClient将信息发送给FortitGate,并通过其唯一的FortiClient 用户ID(UID)跟踪该设备。
如果FortiGate无法检测到设备怎么办?
你如果启用Active Scanning。如果被动检测超过5分钟未能检测到设备类型,则触发主动扫描,每3分钟扫描一次。如果主动扫描未能检测到设备类型,则下一次扫描发生在10分钟后。如果扫描失败,下一次扫描将发生在15分钟后。FortiGate使用一个 (N+1)×5 分钟的扫描算法,其中N是已经完成的扫描次数。对设备类型、OS和OS版本进行主动扫描。
强制FortiClient符合性检查:如果开启,同样也启用了Device Detection。不兼容的设备被阻塞并重定向到Web门户,该门户解释不兼容并提供下载FortiClient的链接。你可以使用源、目的地或服务来免除FortiClient强制执行的设备。
在FortiClient注册后,将其添加到设备列表中。FortiGate也将FortiClient配置文件推到已注册FortiClient中。你可以配置默认的FortiClient配置文件或添加其他配置文件。你还可以在FortiGate上查看FortiClient Monitor页面上的FortiClient结点信息。
可以运行CLI命令来查看FortiClient唯一的UID。FortiClient设备有一个唯一的UID,它可以用作设备的索引。使用唯一的UID而不是MAC地址,因为当设备具有多个MAC地址(例如服务器或虚拟机)时,或者当没有二层设备的可视性时,使用MAC地址可能是有问题的。
FortiGate GUI仪表板上的License小部件显示已注册设备的总数和可用于注册的设备的总数。Windows和 Mac OS X FortiClient安装程序也可以从这个仪表板小部件中获得。
设备由MAC索引,并从多个源识别。CLI命令显示了比Device Inventory页面更详细的列表,包括检测方法。在这个幻灯片上显示的示例中,设备被源检测为HTTP用户代理和FortiClient。
已探测设备将保存到FortiGate的闪存驱动器上28天。因此,在重新启动时,FortiGate知道设备已经被识别,并且不必对每个设备进行重新分类。但是,如果28天内没有看到来自设备的流量,则设备信息将过期并从设备库存表中删除。可以使用FortitGate的CLI命令在每个VDOM基础上更改此操作。
设备信息中显示的用户只是一个标记;它不能用作身份验证策略的标识手段。
你还可以在防火墙策略中使用Internet服务(ISDB)对象作为源。防火墙策略中的Internet服务对象和源地址对象之间可存在任意一个关系。这意味着你可以选择源地址或Internet服务,而不是两者。
你可以在防火墙策略中使用地址对象或ISDB对象作为目的地。地址对象可以是主机名、IP子网或范围。如果你输入FQDN作为地址对象,请确保你已经配置了FortiGate的DNS服务器。FortiGate使用DNS将那些FQDN主机名解析为IP地址,这是IP头中实际出现的IP地址。
可以选择地理地址,这是分配给国家的地址的组或范围。这些对象是通过FortiGuard更新的。
为什么没有选择用户或设备的选项?在接入口处确定用户标识或设备标识,并且在用户或设备认证成功之后仅将分组转发到出接口。
如果你需要允许流量只进入一些著名的公共互联网目的地,比如Dropbox或Facebook?
你可以在防火墙策略中使用Internet服务作为目标,该策略包含该服务使用的所有IP地址、端口和协议。出于同样的原因,你不能将常规地址对象与Internet服务数据库(ISDB)对象混合,也不能在防火墙策略上选择服务。ISDB对象已经具有硬编码的服务信息。
与地址对象相比,Internet服务有助于使这种类型的部署更加简单和容易,而地址对象需要经常检查以确保IP地址没有改变或允许适当的端口。
时间表可以配置和使用24小时的时钟。有几个配置设置值得一提:
- Recurring:如果All Day被启用,流量将被允许每天24小时通过。在配置时间表时,如果停止时间比启动时间早,停止时间就会出现在第二天。例如,如果选择星期天为日期,10:00为开始时间,09:00为停止时间,则日程表将在周一的09:00停止。如果启动和停止时间相同,则计划将运行24小时。
- One-time:开始日期和时间必须早于停止日期和时间。还可以启用Pre-expiration event。
- log:它将在时间表过期之前N天产生一个事件日志,其中N可以是1到100天。
在IP层,协议号(例如TCP、UDP、SCTP等)以及源端口和目标端口一起定义每个网络服务。一般来说,只有一个目标端口(即服务器的侦听端口)被定义。一些早期的应用程序可以使用特定的源端口,但是在大多数现代应用程序中,源端口是在传输时随机标识的,因此不是定义服务的可靠方式。
例如,名为HTTP的预定义服务对象是TCP目的地端口80,名为HTTPS的预定服务对象是TCP目的地端口443。然而,源端口是短暂的,因此没有定义。
默认情况下,服务被分组在一起以简化管理,因此你可以按类别或按字母顺序查看服务。如果预定义的服务不满足你的组织需求,则可以创建一个或多个新服务、服务组和类别。
接下来,你将学习如何配置防火墙策略。
- 使用安全配置文件限制访问并使网络更加安全
- 配置日志记录
- 配置学习模式评估和分析流量
通过演示配置防火墙策略的能力,你将能够将正确的设置(如安全配置文件、日志记录和流量整形)应用于FortiGate上的防火墙策略,并使你的网络更加安全。
注意:如果在CLI上没有策略名称而配置了策略,并且修改了GUI上的现有策略,则必须指定唯一名称。FortiGate平面GUI视图允许你通过在右侧填充的列表中单击或拖放来选择接口和其他对象。
现在你可以选择Internet服务作为源,Internet服务是一个或多个地址和一个或多个与互联网上找到的服务相关联的服务的组合,比如软件的更新服务。
在防火墙策略中可以配置许多其他选项,如防火墙和网络选项、安全配置文件、日志记录选项以及启用或禁用策略。
在创建防火墙对象或策略时,添加一个通用唯一标识(UUID)属性,以便日志可以记录这些UUID,并在与FortiManager或FortiAnalyzer集成时改进功能。
当创建防火墙策略时,记住FortiGate是一个状态防火墙。因此,你只需要创建一个防火墙策略,该策略与启动会话的流量的方向相匹配。FortiGate将自动记住源-目的对并允许答复。
在检查流量时,FortiGate可以使用基于流的或基于代理的两种方法之一。每种类型都支持不同的安全特性。
默认情况下,允许记录流量被设置为安全事件,并且只为防火墙策略中应用的安全配置文件生成日志。但是,可以将设置更改为生成所有会话的日志的全部会话。
如果启用在会话启动时生成日志,则FortiGate在会话开始时创建流量日志。FortiGate也在关闭时为同一个会话生成第二个日志。但是请记住,增加日志记录会降低性能,所以只有在必要时才使用它。
在会话期间,如果安全配置文件检测到攻击,则FortiGate立即记录攻击日志。为了减少生成的日志消息的数量并提高性能,可以启用Log Violation Traffic条目。这将在会话表中创建拒绝会话,并且如果会话被拒绝,则该会话的所有分组也被拒绝。这确保了FortiGate不必为匹配被拒绝会话的每个新包执行策略查找,这减少了CPU使用率和日志生成。
这个选项在CLI中,被称为ses-denied-traffic。您还可以设置块会话的持续时间。这通过在CLI中设置块会话定时器来确定会话在会话表中将保持多长时间。默认情况下,设置为30秒。如果GUI选项 “Generate Logs when Session Starts”未显示,则意味着你的FortiGate设备没有内部存储。此选项在CLI中,无论内部存储如何,都设置为开启logtraffic start。
你可以查看Learning Reports页上的学习模式的综合报告。该报告使用所有学习日志,跨越所有流量和安全向量,生成用于推荐目的的完整摘要报告。这使得用户能够容易地实现监视器,然后强制执行过程。
共享整形器使用该整形器将总带宽应用于所有业务。范围可以是每个策略,也可以是引用整形器的所有策略。FortiGate可以计算出入数据包速率对来监督流量。
FortiGate允许你创建三种类型的流量整形策略:
- 共享策略整形:安全策略的带宽管理
- 每IP整形:用户IP地址的带宽管理
- 应用控制整形:应用带宽管理
在创建流量整形策略时,必须确保匹配标准与要应用整形的防火墙策略相同。注意,这些应用同样适用于TCP和UDP,并且UDP协议可能不会从数据包丢失中完美地恢复。
接下来,你将学习如何管理和微调防火墙策略的设置。
- 标识策略列表视图
- 了解策略ID的使用
- 标识对象引用的位置
通过演示管理防火墙策略的能力,你将能够理解防火墙策略的策略ID的使用。此外,你还可以确定对象使用情况,并使用对象组简化策略。
通常,列表将出现在接口对视图。每个部分包含该入口出口对的策略。或者,你可以通过在页面顶部选择按顺序,将策略视为单个、全面的列表。
在某些情况下,你将无法选择使用哪个视图。
如果你使用多个源接口或目标接口,或者防火墙策略中的any接口,那么策略不能按接口对划分为多个部分,有些是三元组或更多。因此,策略然后总是显示在单个列表中(按顺序)。
为了帮助你记住每个接口的使用,可以通过编辑网络页上的接口来给接口提供别名。例如,你可以称port1为SP1。这有助于使你的策略列表更容易理解。
如果管理员想要检查策略使用情况,这个特性是非常有用的,如上一次使用、第一次使用、命中计数、活动会话等。
策略ID是标识符,并显示在GUI上。
在GUI上创建新防火墙策略时,FortiGate自动分配策略ID。即使序列中的规则移动得更高或更低,策略ID也不会改变。
在这个幻灯片上,使用四个服务来配置策略:HTTP、HTTPS、FTP和DNS。浏览器使用DNS将URL解析为IP地址,因为人们记住网站的域名而不是IP地址。如果需要为Web和FTP流量制定许多策略,那么创建一个名为Web-FTP的服务对象是有意义的。这样,在每次制定策略时,你不必手动选择所有四个服务。策略可以替代Web-FTP服务组。
此外,可以合并源组中的源地址。
如果正在使用对象,则不能删除该对象。首先,必须重新配置当前使用它的对象。GUI提供了一种简单的方法来查明FortiGate的配置中,一个对象被引用的位置。看到参考栏中的数字了吗?它们是被使用的对象的数量。这个数字实际上是一个链接,所以如果你点击它,你可以看到哪些对象正在使用它。
在这个例子中,all地址对象都由Training地址组和三个防火墙策略使用。如果选择防火墙策略,则可以使用“Edit”、“View List”列表和“View Properties ”选项卡。
- Edit:允许你编辑所选对象。在这个例子中,它显示了防火墙策略ID 4的编辑页。
- View List:允许查看其类别中的选定对象。在这个例子中,它将显示所有防火墙策略的列表。
- View Properties:显示对象在该配置中使用的位置。在这个例子中,地址对象all都在防火墙策略的目标地址和源地址中使用。
单击Edit in CLI打开选定的防火墙策略或对象的CLI控制台。它显示CLI中的配置设置,并可以在CLI Console中直接修改选定的防火墙策略或对象。
右击该对象为你提供修改对象的选项,并显示该对象的引用。
- 确认防火墙策略和对象的命名限制
- 重新排序防火墙策略以进行正确匹配
- 演示如何找到流量类型的匹配策略
通过演示了解防火墙策略限制和使用策略匹配技术的能力,你将能够在使用防火墙策略时应用最佳实践和基本故障排除技术。
但是,在密码、注释、替换消息等中支持许多特殊字符。
作为最优方法,尝试尽可能具体地配置防火墙策略。这有助于仅限制对这些资源的访问。例如,在配置地址对象时使用适当的子网。
值得一提的另一个设置是安全配置文件,它有助于为你的网络提供适当的安全性。适当的日志配置也可以帮助你分析、诊断和解决常见的网络问题。
在上图所示中,你正在将仅与FTP流量匹配的Block_FTP策略(ID 2)移动到更一般的Full_Access(接受来自任何地方的一切)策略之上的位置。否则,FortiGate将始终在适用的接口对Full_Access中应用第一匹配策略,并且永远不会到达Block_FTP策略。
当跨策略列表移动策略时,策略ID保持不变。
注意:FortiGate在创建策略时分配下一个最高可用ID号。
如果你选择日志记录设置为Security Events (UTM) ,将不会为ALL_ICMP流量生成流量日志。
注意:ALL_ICMP服务不受网络过滤器和反病毒扫描的影响,这意味着将这些安全配置文件应用于ICMP流量将导致未经检查的流量通过。
根据你选择的协议(例如,TCP、UDP、IP、ICMP等),你需要定义其他输入标准。例如,当选择TCP作为协议时,需要定义源地址、源端口(可选)、目的地端口和目的地地址。当选择ICMP作为协议时, 需要定义ICMP类型/代码、源地址和目的地址。
当FortiGate执行策略查找时,它在为匹配策略提供结果之前,从上到下对匹配防火墙策略的入口、状态检查和出口执行一系列检查。
注意:如果防火墙策略状态被设置为disable,策略查找跳过禁用策略并检查列表中的下一个匹配策略。
为什么策略 ID #1 或 ID #2 不符合输入规则?
因为策略ID #1状态被设置为禁用,所以策略查找跳过禁用的策略。对于防火墙策略ID #2,它与策略查找匹配条件中指定的目标端口不匹配。
- 识别数据包如何匹配防火墙策略基于:
- 接口和区域
- 源和目的地址
- 网络服务
- 时间表
- 配置防火墙策略
- 理解策略ID是如何使用的
- 标识对象使用
- 重新排序策略以首先匹配更细粒度的策略
- 使用策略查找找到匹配策略
