防火墙策略定义哪些流量匹配它们,以及当流量匹配时FortiGate会做什么。
应该允许流量吗?最初,FortiGate基于简单的标准做出这个决定,比如流量的来源。然后,如果策略不阻止流量,FortiGate将开始计算开销更大的安全配置文件检查,通常称为统一威胁管理(UTM),例如反病毒、应用程序控制和web过滤(如果你在策略中选择了它)。这些扫描可以阻断通信,例如,如果它包含病毒。否则,流量是允许的。
会应用网络地址转换(NAT)吗?是否需要认证?防火墙策略也决定了这些问题的答案。处理完成后,FortiGate将数据包转发到目的地。
FortiGate从上到下查找匹配的防火墙策略,如果匹配成功,则按照防火墙策略进行处理。如果没有匹配到,则使用缺省的隐式阻断防火墙策略将流量丢弃。
其他防火墙策略类型呢?是否存在IPv6策略或虚拟连对策略?是的。这些策略使用与其类型相关的略微不同的对象。在本节课中,你将学习IPv4防火墙策略,因为它们是最常见的用例。
每个策略都有匹配条件,可以使用以下对象定义:
● 流入接口
● 流出接口
● 源地址: IP地址,用户,Internet服务
● 目标地址: IP地址或Internet服务
● 服务: IP协议或端口号
● 计划任务: 在配置的时间内应用
当流量匹配防火墙策略时,FortiGate将应用防火墙策略中配置的动作。
● 如果动作设置为拒绝,FortiGate将放弃会话。
● 当动作为接受时,FortiGate将应用已配置的其他配置对报文进行处理,如反病毒扫描、web过滤、源NAT等。
例如,如果你想阻止传入的FTP到除了少数几个FTP服务器之外的所有FTP服务器,那么你需要定义FTP服务器的地址,选择这些地址作为目标,并选择FTP作为服务。你可能不会指定源(通常允许在internet上的任何位置)或计划任务(通常FTP服务器总是可用的,无论白天或晚上)。最后,将动作设置为接受。
这可能已经足够了,但是你通常需要更彻底的安全。在这里,策略还对用户进行身份验证,扫描病毒,并记录被阻止的连接尝试。
数据包通过流入接口或入接口到达。路由决定流出接口或出接口。在每个策略中,都必须设置源接口和目标接口;即使其中一个或两个设置为any。两个接口都必须符合策略的接口条件,才能成功匹配。
例如,如果你在port3 (LAN)入口和port1 (WAN)出口之间配置了策略,当数据包到达port2时,该数据包将不会匹配你的策略,因此会因为列表末尾隐式拒绝策略而被丢弃。即使策略是从port3 (LAN)的入接口到任何出接口,数据包仍然会被丢弃,因为它与流入接口不匹配。
为了简化策略的配置,你可以组合接口到逻辑区域。例如,可以将port4到port7分组到DMZ区域。在接口界面可以创建区域。
但是,你应该注意,不能单独引用某个区域中的接口,如果需要将接口添加到该区域,则必须删除对该接口的所有引用(例如防火墙策略、防火墙地址等)。如果你认为可能需要单独引用接口,则应该在防火墙策略中设置多个源接口和目的接口,而不是使用区域。
可以在可见功能页面启用多接口策略选项,取消单个接口限制。
如果通过命令行方式配置防火墙策略,则可以指定多个接口,也可以使用any选项,而不用考虑默认的GUI设置。
另外值得一提的是,当你选择any接口选项时,你不能为该接口选择多个接口。在上图示例中,因为any被选择为出接口,所以你不能添加任何额外的接口,因为any接口都意味着所有的接口已经被选择。
在每个防火墙策略中,都需要选择一个源地址对象。或者,你还可以通过选择用户或用户组来细化源地址的定义,这将提供更细粒度的匹配,从而提高安全性。你还可以选择ISDB对象作为防火墙策略中的源,你将在本节稍后的内容中了解这一点。
选择完全限定域名(FQDN)作为源地址时,必须通过DNS解析并缓存到FortiGate中。请确保为FortiGate正确配置DNS设置。如果FortiGate不能解析FQDN地址,它将显示一个警告消息,并且使用该FQDN配置的防火墙策略可能无法正常工作。
对于本地用户,用户名和密码在FortiGate上本地配置。当本地用户进行身份验证时,他们输入的凭据必须与FortiGate上本地配置的用户名和密码匹配。
对于远程用户(例如LDAP或RADIUS), FortiGate从远程用户接收用户名和密码,并将这些信息传递给身份验证服务器。身份验证服务器验证用户登录凭据并更新FortiGate。FortiGate接收到该信息后,它会根据防火墙策略授予对网络的访问权。
从域控制器检索Fortinet单点登录(FSSO)用户的信息。根据FortiGate上的组信息授予访问权限。
你还可以使用internet服务(ISDB)对象作为防火墙策略中的源。防火墙策略中的internet服务对象和源地址对象之间存在一种关系。这意味着你可以选择一个源地址或一个internet服务,但不能同时选择两个。
你可以在防火墙策略中使用地址对象或ISDB对象作为目标地址。地址对象可以是主机名、IP子网或范围。如果你输入一个FQDN作为地址对象,请确保你已经为FortiGate设备配置了DNS服务器。FortiGate使用DNS将这些FQDN主机名解析为IP地址,这些IP地址实际上出现在IP报头中。
你可以选择地理地址,它是分配给一个国家的地址组或范围。通过FortiGuard更新这些对象。
为什么没有选择用户的选项?用户认证通过后,数据包才会被转发到出接口。
FortiGate定期从FortiGuard下载该数据库的最新版本。可以在防火墙策略的源地址或目标地址中进行选择。
如果你只允许流量访问几个知名的公共互联网目的地,如Dropbox或Facebook,会发生什么?
在配置防火墙策略时,可以将Internet服务作为防火墙策略的目标地址,该策略包含了该服务使用的所有IP地址、端口和协议。出于同样的原因,你不能将常规地址对象与ISDB对象混合使用,也不能在防火墙策略上选择服务。ISDB对象已经有服务信息,这些信息是硬编码的。
与需要经常检查地址对象以确保没有任何IP地址被更改或适当的端口被允许相比,internet服务有助于使这种类型的部署更加容易和简单。
ISDB对象在策略中按名称引用,而不是按ID引用。
一旦ISDB更新被禁用,其他计划用于IPS、AV等的FortiGuard更新将不会更新ISDB。默认情况下,ISDB更新是启用的。
计划任务可以配置为24小时的时钟。有几个配置设置值得一提:
● 循环:如果启用全天,将允许所选天数的24小时流量。在配置循环计划时,如果将停止时间设置在开始时间之前,则停止时间将在第二天开始。例如,如果你选择星期日作为一天,10:00作为开始时间,09:00作为停止时间,那么计划将在周一09:00停止。如果启动时间和停止时间相同,计划任务将运行24小时。
● 单次:开始日期和时间必须早于停止日期和时间。你还可以启用预过期事件日志,它将在计划过期前N天生成事件日志,其中N可以是1到100天。
在IP层,协议号(如TCP、UDP、SCTP等)和源端口、目的端口一起定义了每个网络服务。通常,只定义了一个目的端口(即服务器的监听端口)。一些遗留应用程序可能使用特定的源端口,但在大多数现代应用程序中,源端口是在传输时随机标识的,因此不是定义服务的可靠方法。
例如,预定义服务名称为HTTP,TCP目的端口为80;预定义服务名称为HTTPS,TCP目的端口为443。但源端口的持续时间较短,因此没有定义源端口。
默认情况下,服务被分组在一起,以简化按类别的管理。如果预定义的服务不能满足你的组织需求,你可以创建一个或多个新服务、服务组和类别。
但是,你可以在GUI界面下的可见功能页面,启用允许未命名的策略,使该功能成为可选。
注意,如果在CLI中没有配置策略名称,并且在GUI上修改了现有的策略,则必须指定唯一的名称。FortiGate平面GUI视图允许你通过单击或从右侧填充的列表中拖放来选择接口和其他对象。
你可以选择Internet服务作为源。Internet服务是一个或多个地址和一个或多个与Internet上的服务相关联的服务的组合,例如软件的更新服务。
你可以在防火墙策略中配置许多其他选项,例如防火墙和网络选项、安全配置文件、日志记录选项以及启用或禁用策略。
在创建防火墙对象或策略时,会添加一个统一唯一标识符(UUID)属性,当整合FortiManager和FortiAnalyzer时,以便日志可以记录这些UUID和改善功能。
在创建防火墙策略时,请记住FortiGate是一个有状态的防火墙。因此,只需要创建一条与发起会话的流量方向匹配的防火墙策略。FortiGate将自动记住源-目标对,并允许应答。
在进行流量检测时,FortiGate有两种方式:基于流量的检测和基于代理的检测。每种巡检类型支持不同的安全特性。
注意,默认情况下,视频过滤器、VOIP和Web应用程序防火墙安全配置文件选项在GUI的策略页面中是不可见的。你需要在可见功能页面上启用它们。
缺省情况下,日志允许流量为安全事件,只对防火墙策略中应用的安全配置文件产生日志。但也可以修改为全部会话,为所有会话生成日志。
如果启用会话开始时生成日志,FortiGate将在会话开始时创建流量日志。FortiGate还为同一会话在关闭时生成第二个日志。但是请记住,增加日志记录会降低性能,所以只在必要时使用它。
在会话过程中,如果安全配置文件检测到有违规行为,FortiGate将立即记录攻击日志。为了减少日志消息的产生,提高性能,可以启用会话表项。这将在会话表中创建被拒绝的会话,如果会话被拒绝,该会话的所有数据包也将被拒绝。这确保了FortiGate不必为每个匹配被拒绝会话的新包执行策略查找,从而减少了CPU使用和日志生成。
该选项在CLI中,称为ses-denied-traffic。你还可以设置块会话的持续时间。通过在CLI中设置blocksession-timer来决定会话在会话表中的保存时间。缺省值是30秒如果没有显示会话开始时生成日志的GUI选项,说明FortiGate设备没有内部存储。这个选项在CLl上,与内部存储无关,被称为set logtraffic-start enable。
共享整形器将总带宽应用到使用该整形器的所有流量。范围可以是每个策略,也可以是引用该整形器的所有策略。FortiGate可以统计出入公共流量的数据包速率。
通过FortiGate,可以创建三种流量整形策略:
● 共享策略整形:安全策略的带宽管理
● 每IP整形:对用户IP地址进行带宽管理
● 应用控制整形:按应用进行带宽管理
在创建流量整形策略时,需要确保匹配的条件与待整形的防火墙策略一致。注意,这些同样适用于TCP和UDP,UDP协议可能无法从丢包中优雅地恢复。
IPv4和IPv6都可以共用流入接口、流出接口、计划任务和服务字段。源地址、目标地址和IP地址池必须同时选择IPv4地址和IPv6地址。
配置统一防火墙策略时,可以配置源地址为IPv4的策略、目的地址为IPv4的策略和IP池,不需要指定IPv6引用。IPv6也可以配置相同的行为策略。当选择IPv4和IPv6结合使用时,需要在防火墙策略的源地址和目标地址中同时选择IPv4和IPv6地址。策略中的源和目标IP版本必须匹配。例如,策略中不能只有IPv4源和IPv6目的。通过对GUI中的策略表进行过滤,可以显示源和目标为IPv4、IPv6或IPv4和IPv6的策略。
注意,默认情况下,IPv6选项在GUI上的策略表中是不可见的。你必须在可见功能页面启用IPv6。
通常,该列表会出现在接口对视图中。每个部分都包含该入口—出口对的策略。
或者,通过选择页面顶部的通过顺序,你可以将策略作为一个单独的、全面的列表查看。
在某些情况下,你无法选择使用哪个视图。
如果使用多个源或目的接口,或者防火墙策略中的任意接口,则不能按接口对将策略划分为多个部分——有些可能是三联或更多。因此,策略总是显示在单个列表中(按顺序)。
为了帮助你记住每个接口的使用,你可以通过在网络页面上编辑接口来为它们提供别名。例如,你可以把port1叫做ISP1。这有助于让你的策略列表更容易理解。
如果管理员希望检查策略的使用情况,如上次使用、首次使用、命中计数、活动会话等,则此功能非常有用。
策略ID是标识符。缺省情况下,策略ID不显示在策略列表界面上。你可以使用配置表设置图标添加策略ID列。
当你在GUI上创建一个新的防火墙策略时,FortiGate会自动分配一个策略ID。策略ID永远不会改变,即使你将规则在序列中移动得更高或更低。
如果启用策略高级选项,则可以在创建新策略时手动分配策略ID。如果发现重复的条目,系统将产生一个错误,因此你可以分配一个不同的可用策略ID号。
默认情况下,策略高级选项在GUI上不可用,你必须在可见功能页面上启用它。
上图显示了四个服务用于配置策略:HTTP、HTTPS、FTP和DNS。DNS被浏览器用来将URL解析为IP地址,因为人们记住的是网站的域名而不是IP地址。如果你需要为Web和FTP流量制定许多策略,那么创建一个名为Web-FTP的服务对象是有意义的。这样,你就不必在每次制定策略时都手动选择所有四个服务。策略可以引用Web-FTP服务组。
此外,你还可以将源地址合并到源地址组中。
如果一个对象正在被使用,你不能删除它。首先,你必须重新配置当前使用它的对象。GUI提供了一种简单的方法来查找FortiGate配置中对象被引用的位置。
看看关联项中的数字。它们是该对象被使用的地方的数量。这个数字实际上是一个链接,所以如果你点击它,你可以看到哪些对象正在使用它。
在上图显示的例子中,all地址对象被Training地址组和三个防火墙策略所使用。如果选择防火墙策略,可以使用编辑、查看列表和查看属性页签。
● 编辑:编辑选中的对象。在本例中,它显示了防火墙策略ID 1的编辑页面。
● 查看列表:查看所选对象所属类别。在本例中,它将显示所有防火墙策略的列表。
● 视图属性:显示了该对象在配置中的使用位置。在本例中,地址对象all用于该防火墙策略的目标地址和源地址。
选项包括启用或禁用防火墙策略,插入防火墙策略(高于或低于),复制粘贴策略,克隆反向(仅当策略上的NAT被禁用时)。
单击在CLI中编辑将打开所选防火墙策略或对象的CLI控制台。它显示在命令行中配置的设置,并可以在命令行控制台中直接修改所选择的防火墙策略或对象。
单击名称过滤图标,可根据策略名称搜索策略,等等。
尽管名称中支持中文和空格,但作为最佳实践,应避免在名称中使用中文和空格。相反,使用连字符或下划线。使用空格可能会导致在CLI中修改或故障排除时出现问题。
但是,在密码、注释、替换消息等中支持许多特殊字符。
作为一项最佳实践,请尝试尽可能具体地配置防火墙策略。这有助于限制对这些资源的访问。例如,配置地址对象时,请使用正确的子网。
另一个值得一提的设置是安全配置文件。安全配置文件有助于为你的网络提供适当的安全性。正确的日志配置还可以帮助你分析、诊断和解决常见的网络问题。
在上图示例中,你将只匹配FTP流量的Block_FTP策略(ID 2)移动到更通用的Full_Access(接受来自任何地方的所有内容)策略之上的位置。否则,FortiGate将始终在适用的接口对中应用第一个匹配策略(Full_Access),而永远不会达到Block_FTP策略。
在策略列表中移动策略时,策略ID保持不变。
注意,在创建策略时,FortiGate会分配下一个最高的可用ID号。
注意,策略ID是标识符,默认情况下不显示在策略列表GUI上。你可以使用配置表设置图标添加策略ID列。
如果日志设置选择了安全事件 (UTM),则ALL_ICMP类型的流量不会产生流量日志。
请注意,ALL_ICMP服务不受web过滤和反病毒扫描的影响,这意味着将这些安全配置文件应用于ICMP流量将导致流量不经过检测而通过。
策略查找创建的数据包流经过FortiGate,没有实际流量。从此,策略查找可以从流跟踪中提取策略ID,并在GUl策略配置页面上突出显示它。
根据所选择的协议(例如,TCP、UDP、IP、ICMP等),需要定义其他输入条件。例如,选择TCP协议时,需要定义源地址、源端口(可选)、目标端口和目标地址。选择ICMP协议时,需要定义ICMP类型/码、源地址和目标地址。
FortiGate在执行策略查找时,会对匹配的防火墙策略从上到下进行一系列检查,包括进入、状态检查和出口检查,然后为匹配的策略提供结果。
请注意,如果防火墙策略状态设置为禁用,策略查找将跳过禁用的策略,并检查列表中的下一个匹配策略。
为什么策略ID 1或ID 2不匹配输入条件?
由于策略ID 1状态设置为禁用,因此策略查找将跳过禁用的策略。对于防火墙策略ID 2,它不匹配策略查找匹配条件中指定的目的端口。
通过掌握本课所涉及的目标,你了解了如何配置、使用和管理防火墙策略。
365
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
