在本课中,你将学习如何理解和应用防火墙策略来允许和拒绝通过 FortiGate 的流量。它的核心是防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联。
在本次课程中,你将探讨以下主题:
- 防火墙策略
- 配置防火墙策略
- 管理防火墙策略
- 最佳实践和故障排查
在完成这节课程之后,你应该能够:
- 识别防火墙策略的组件
- 了解 FortiGate 如何通过接口、区域、源、目的地、服务或时间表与防火墙策略相匹配
通过展示识别防火墙策略的不同组件的能力,以及识别 FortiGate 如何将流量与防火墙策略相匹配并采取适当的行动,你将更好地理解防火墙策略如何与网络流量交互。
首先,让我们来谈谈防火墙策略是什么。
防火墙策略定义哪些流量与它们匹配,如果匹配,则 FortiGate 会做什么。
流量允许通过吗?最初,FortiIGate 基于简单的标准,例如流量的来源来决定这个决定。然后,如果策略不阻塞流量,则 FortiGate 将开始进行计算上开销较大的安全配置文件检查(通常称为 UTM,统一威胁管理),如反病毒、应用控制和 Web 过滤(如果你在策略中选择了它)。这些扫描可以阻断流量,例如,如果它包含病毒,流量将会被阻断,否则就会允许通行。
网络地址转换(NAT)会被应用吗?需要认证吗?防火墙策略也决定了这些问题的答案。在完成处理之后,FortiGate 将分组转发到其目的地。
FortiGate 从上到下查找匹配的防火墙策略,如果找到匹配,则根据防火墙策略处理流量。如果未找到匹配项,则默认隐式拒绝策略将拒绝流量。
每个策略通过引用你定义的对象(如地址和配置文件)来匹配流量并应用安全性。
其他防火墙策略类型如何?IPv6 或虚拟接口对是否存在?对,这些策略使用与它们的类型相关的稍微不同的对象。在本课中,我们将讨论 IPv4 防火墙策略,因为它们是最常见的实例。
当数据包到达时,FortiGate 如何找到匹配的策略?每个策略都有匹配标准,可以使用以下对象定义:
- 出入接口
- 源:IP 地址, 用户, 设备ID
- 目的: IP地址或网络服务
- 网络服务: IP协议和端口号
- 时间表:在配置时间中应用
如果流量匹配了防火墙策略,FortiGate 在防火墙策略中应用配置的操作。
- 如果【动作】设置成【拒绝】,FortiGate 将会丢弃会话 。
- 如果【动作】设置成【接受】,FortiGate 将应用其他配置的设置来进行分组处理,例如反病毒扫描、Web 过滤或源 NAT。
例如,如果要阻塞传入 FTP 到除了少数 FTP 服务器之外的所有 FTP,则需要定义 FTP 服务器的地址,选择那些作为目的地,以及选择 FTP 作为服务。你可能不会指定源(通常允许在 Internet 上的任何位置)或时间表(通常 FTP 服务器总是可用的白天或晚上)。最后,你将【动作】设置为【接受】。
这可能是足够的,但通常你需要更全面的安全性。这里,该策略还验证用户、扫描病毒以及记录阻止的连接尝试。
注意:我们将在后续课程中讨论动作中的【学习】。
为了开始描述 FortiGate 如何为每个包找到策略,让我们从接口开始。
数据包到达输入接口,而路由决定输出接口。在每个策略中,必须设置源和目标接口;即使其中一个或两个都设置为 any。这两个接口必须匹配策略的接口标准才能成功匹配。
例如,如果你在 port3(LAN)入口和 port1(WAN)出口之间配置策略,并且包到达port2,则该数据包将不匹配你的策略,因此会因为列表末尾的隐式拒绝策略而被丢弃。即使策略是从 port3(LAN)入口到 any 出口,数据包仍然会被丢弃,因为它与传入的接口不匹配。
为了简化策略配置,可以将接口分组到逻辑区域中。例如,可以将 port4 到 port7 作为一个 DMZ 区域。区域可以从接口页创建。但是,你应该注意,不能单独引用区域中的接口,如果需要将接口添加到该区域,则必须删除对该接口的所有引用(例如防火墙策略、防火墙地址等)。如果你认为可能需要单独引用接口,那么应该在防火墙策略中设置多个源接口和目标接口,而不是使用区域。
默认情况下,只能选择单个接口作为输入接口,也只能选择单个接口作为输出接口。这是因为在 GUI 上禁用选择多个接口或防火墙策略中的 any 接口的选项。但是,你可以在 Feature Visibility 上启用【Multiple Interface Policies】选项来禁用单个接口限制。
还值得一提的是,在选择 any 选项时,不能为该接口选择多个接口。在这个示例中,因为选择 any 接口作为输出接口,所以不能添加任何附加接口,因为任何接口都暗示所有接口都已经被选择了。
FortiGate 考虑的下一个匹配标准是包的来源。
在每条防火墙策略中,必须选择源地址对象。可选地,你还可以通过选择用户、组或特定设备来细化源地址的定义。如果你的组织允许携带你自己的设备(BYOD),那么这三种设备的组合将提供更细粒度的匹配,从而提高安全性。你还可以在防火墙策略中选择 ISDB 对象作为源代码,这将在本课程后面讨论。
当选择一个全限定域名(FQDN)作为源地址时,必须通过 DNS 解析并在 FortiGate 中缓存。确保为 DNS 设置正确配置 FortiGate。如果 FortiGate 不能解析 FQDN 地址,它将发出警告消息,并且用 FQDN 配置的防火墙策略可能不能正常工作。
如果添加用户作为源的一部分,则 FortiGate 必须在基于防火墙策略允许或拒绝访问之前验证用户。用户可以通过不同的方式进行身份验证。
对于远程用户(例如,LDAP 或 RADIUS),FortiGate 从远程用户接收用户名和密码,并将此信息传递给身份验证服务器。验证服务器验证用户登录凭据并更新 FortiGate。在 FortiGate 接收到该信息之后,它基于防火墙策略授予对网络的访问。
一个 Fortinet 单点登录(FSSO)从域控制器检索用户的信息。访问是基于 FortiGate 的组信息授予的。
有两种设备识别技术:具有代理和不具有代理(无代理)。
无代理使用来设备的流量。设备通过它们的MAC地址进行索引,并且有多种方式来识别设备,例如 HTTP 用户代理头、TCP 指纹、MAC 地址 OUI、FortiOS-VM 检测方法等等。只有当 FortiGate 和工作站位于直接连接的网络段上,其中业务被直接发送到 FortiGate,并且在 FortiGate 和工作站之间没有中间路由器或第三层设备时,无代理设备标识才有效。
注意:FortiGate 使用先到先服务的方法来确定设备标识。例如,如果一个设备被 HTTP 用户代理检测到, FortiGate 就用检测到的 MAC 地址更新它的设备表,一旦确定了该 MAC 地址的类型,扫描停止。
基于代理的 FortiClient 应用。FortiClient 将信息发送给 FortitGate,并通过其唯一的 FortiClient 用户 ID(UID)跟踪该设备。
如果在防火墙策略中的【源地址】中启用【设备】类型,并且 FortiGate 在策略的源接口上启用【设备探测】。默认情况下,FortiGate 使用【设备探测】进行被动扫描,它基于到达的流量进行扫描。
如果 FortiGate 无法检测到设备怎么办?
你如果启用【激活扫描】,如果被动检测超过 5 分钟未能检测到设备类型,则触发主动扫描,每 3 分钟扫描一次。如果主动扫描未能检测到设备类型,则下一次扫描发生在 10 分钟后。如果扫描失败,下一次扫描将发生在 15 分钟后。FortiGate 使用一个 (N+1)×5 分钟的扫描算法,其中 N 是已经完成的扫描次数。对设备类型、OS 和 OS 版本进行主动扫描。
【提示】启用设备探测,则进行被动扫描,只有发送流量的设备可以扫描到。启用激活扫描,则进行主动扫描,每次间隔一定的时间进行一次扫描。
FortiGate 可以通过 FortiClient 配置文件和注册来控制 FortiClient 的设置。为了让 FortiClient 注册到 FortiGate,必须在面向网络中的端点接口上启用 FortiTelemetry,因为它侦听来自已安装了 FortiClient 的设备的连接。FortiTelemetry 是一种 TCP 协议,用于在 TCP 端口 8013 上运行的 FortiClient 和 FortiGate 之间的通信。还有其他配置设置值得一提:
强制FortiClient合规检查:如果开启,同样也启用了【设备探测】。不兼容的设备被阻塞并重定向到 Web 门户,该门户解释不兼容并提供下载 FortiClient 的链接。你可以使用源、目的地或服务来免除 FortiClient 强制执行的设备。
在 FortiClient 注册后,将其添加到设备列表中。FortiGate 也将 FortiClient 配置文件推到已注册 FortiClient 中。你可以配置默认的 FortiClient 配置文件或添加其他配置文件。你还可以在 FortiGate 上查看 FortiClient Monitor 页面上的 FortiClient 结点信息。
可以运行 CLI 命令来查看 FortiClient 唯一的 UID。FortiClient 设备有一个唯一的 UID,它可以用作设备的索引。使用唯一的 UID 而不是 MAC 地址,因为当设备具有多个 MAC 地址(例如服务器或虚拟机)时,或者当没有二层设备的可视性时,使用 MAC 地址可能是有问题的。
FortiGate GUI 仪表板上的 License 小部件显示已注册设备的总数和可用于注册的设备的总数。Windows 和 Mac OS X FortiClient 安装程序也可以从这个仪表板小部件中获得。
Device Inventory显示检测到的设备列表。你可以右键单击任何检测到的设备来编辑、删除或在FortiView中显示详细信息。细节包括会话、目的地、策略等。
设备由MAC索引,并从多个源识别。CLI命令显示了比Device Inventory页面更详细的列表,包括检测方法。在这个幻灯片上显示的示例中,设备被源检测为HTTP用户代理和FortiClient。
已探测设备将保存到FortiGate的闪存驱动器上28天。因此,在重新启动时,FortiGate知道设备已经被识别,并且不必对每个设备进行重新分类。但是,如果28天内没有看到来自设备的流量,则设备信息将过期并从设备库存表中删除。可以使用FortitGate的CLI命令在每个VDOM基础上更改此操作。
设备信息中显示的用户只是一个标记;它不能用作身份验证策略的标识手段。
在这个示例中,所有三个源选择器都标识特定的子网、用户组和设备类型。 记住,用户和设备都是可选对象。它们在这里用来使策略更加具体化。如果你希望策略匹配更多的流量,你将脱离用户且设备对象未定义。
你还可以在防火墙策略中使用Internet服务(ISDB)对象作为源。防火墙策略中的Internet服务对象和源地址对象之间可存在任意一个关系。这意味着你可以选择源地址或Internet服务,而不是两者。
象数据包的来源一样,FortiGate也检查一个匹配的目标地址。
你可以在防火墙策略中使用地址对象或ISDB对象作为目的地。地址对象可以是主机名、IP子网或范围。如果你输入FQDN作为地址对象,请确保你已经配置了FortiGate的DNS服务器。FortiGate使用DNS将那些FQDN主机名解析为IP地址,这是IP头中实际出现的IP地址。
可以选择地理地址,这是分配给国家的地址的组或范围。这些对象是通过FortiGuard更新的。
为什么没有选择用户或设备的选项?在接入口处确定用户标识或设备标识,并且在用户或设备认证成功之后仅将分组转发到出接口。
Internet服务是一个数据库,它包含最常见的Internet服务所使用的IP地址、IP协议和端口号的列表。FortiGate定期从FortiGuard下载此数据库的最新版本。这些可以被选择为防火墙策略中的Source或Destination。
如果你需要允许流量只进入一些著名的公共互联网目的地,比如Dropbox或Facebook?
你可以在防火墙策略中使用Internet服务作为目标,该策略包含该服务使用的所有IP地址、端口和协议。出于同样的原因,你不能将常规地址对象与Internet服务数据库(ISDB)对象混合,也不能在防火墙策略上选择服务。ISDB对象已经具有硬编码的服务信息。
与地址对象相比,Internet服务有助于使这种类型的部署更加简单和容易,而地址对象需要经常检查以确保IP地址没有改变或允许适当的端口。
时间表将一个时间元素添加到策略中。例如,允许备份软件的策略可以在夜间激活,或者远程地址可以被允许用于测试目的,而时间表提供测试窗口。
时间表可以配置和使用24小时的时钟。有几个配置设置值得一提:
- Recurring:如果All Day被启用,流量将被允许每天24小时通过。在配置时间表时,如果停止时间比启动时间早,停止时间就会出现在第二天。例如,如果选择星期天为日期,10:00为开始时间,09:00为停止时间,则日程表将在周一的09:00停止。如果启动和停止时间相同,则计划将运行24小时。
- One-time:开始日期和时间必须早于停止日期和时间。还可以启用Pre-expiration event。
- log:它将在时间表过期之前N天产生一个事件日志,其中N可以是1到100天。
FortiGate用于匹配策略的另一个标准是服务及服务组。
在IP层,协议号(例如TCP、UDP、SCTP等)以及源端口和目标端口一起定义每个网络服务。一般来说,只有一个目标端口(即服务器的侦听端口)被定义。一些早期的应用程序可以使用特定的源端口,但是在大多数现代应用程序中,源端口是在传输时随机标识的,因此不是定义服务的可靠方式。
例如,名为HTTP的预定义服务对象是TCP目的地端口80,名为HTTPS的预定服务对象是TCP目的地端口443。然而,源端口是短暂的,因此没有定义。
默认情况下,服务被分组在一起以简化管理,因此你可以按类别或按字母顺序查看服务。如果预定义的服务不满足你的组织需求,则可以创建一个或多个新服务、服务组和类别。
送分题。
现在你了解防火墙策略中使用的组件和FortiGate使用的匹配标准。
接下来,你将学习如何配置防火墙策略。
完成本章节后,你应该能够:
- 使用安全配置文件限制访问并使网络更加安全
- 配置日志记录
- 配置学习模式评估和分析流量
通过演示配置防火墙策略的能力,你将能够将正确的设置(如安全配置文件、日志记录和流量整形)应用于FortiGate上的防火墙策略,并使你的网络更加安全。
在GUI上配置新的防火墙策略时,必须为防火墙策略指定唯一名称,因为它在默认情况下启用,但在CLI中是可选的。这有助于管理员快速识别他们正在寻找的策略。但是,你也可以在GUI的可见功能页面启用允许未命名的策略,不用再指定唯一名称。
注意:如果在CLI上没有策略名称而配置了策略,并且修改了GUI上的现有策略,则必须指定唯一名称。FortiGate平面GUI视图允许你通过在右侧填充的列表中单击或拖放来选择接口和其他对象。
现在你可以选择Internet服务作为源,Internet服务是一个或多个地址和一个或多个与互联网上找到的服务相关联的服务的组合,比如软件的更新服务。
在防火墙策略中可以配置许多其他选项,如防火墙和网络选项、安全配置文件、日志记录选项以及启用或禁用策略。
在创建防火墙对象或策略时,添加一个通用唯一标识(UUID)属性,以便日志可以记录这些UUID,并在与FortiManager或FortiAnalyzer集成时改进功能。
当创建防火墙策略时,记住FortiGate是一个状态防火墙。因此,你只需要创建一个防火墙策略,该策略与启动会话的流量的方向相匹配。FortiGate将自动记住源-目的对并允许答复。
防火墙策略可以应用的最重要的特性之一是安全配置文件,例如IPS和反病毒。安全配置文件检查业务流中的每个分组,其中会话已经被防火墙策略有条件地接受。
在检查流量时,FortiGate可以使用基于流的或基于代理的两种方法之一。每种类型都支持不同的安全特性。
如果你在防火墙策略中启用日志记录功能,则FortiGate将在防火墙策略关闭IP会话之后生成流量日志。
默认情况下,允许记录流量被设置为安全事件,并且只为防火墙策略中应用的安全配置文件生成日志。但是,可以将设置更改为生成所有会话的日志的全部会话。
如果启用在会话启动时生成日志,则FortiGate在会话开始时创建流量日志。FortiGate也在关闭时为同一个会话生成第二个日志。但是请记住,增加日志记录会降低性能,所以只有在必要时才使用它。
在会话期间,如果安全配置文件检测到攻击,则FortiGate立即记录攻击日志。为了减少生成的日志消息的数量并提高性能,可以启用Log Violation Traffic条目。这将在会话表中创建拒绝会话,并且如果会话被拒绝,则该会话的所有分组也被拒绝。这确保了FortiGate不必为匹配被拒绝会话的每个新包执行策略查找,这减少了CPU使用率和日志生成。
这个选项在CLI中,被称为ses-denied-traffic。您还可以设置块会话的持续时间。这通过在CLI中设置块会话定时器来确定会话在会话表中将保持多长时间。默认情况下,设置为30秒。如果GUI选项 “Generate Logs when Session Starts”未显示,则意味着你的FortiGate设备没有内部存储。此选项在CLI中,无论内部存储如何,都设置为开启logtraffic start。
还可以在防火墙策略上启用学习模式。当你设定动作为学习时,它就可以在策略的源接口上进行Device Detection 。防火墙策略自动应用默认静态配置文件,并将流量传递给安全配置文件进行监视。它还支持具有完整功能的日志记录,这些标记被标记为日志中的Learn。
你可以查看Learning Reports页上的学习模式的综合报告。该报告使用所有学习日志,跨越所有流量和安全向量,生成用于推荐目的的完整摘要报告。这使得用户能够容易地实现监视器,然后强制执行过程。
流量整形可配置为两种类型:共享和每IP。
共享整形器使用该整形器将总带宽应用于所有业务。范围可以是每个策略,也可以是引用整形器的所有策略。FortiGate可以计算出入数据包速率对来监督流量。
FortiGate允许你创建三种类型的流量整形策略:
- 共享策略整形:安全策略的带宽管理
- 每IP整形:用户IP地址的带宽管理
- 应用控制整形:应用带宽管理
在创建流量整形策略时,必须确保匹配标准与要应用整形的防火墙策略相同。注意,这些应用同样适用于TCP和UDP,并且UDP协议可能不会从数据包丢失中完美地恢复。
送分题。
你了解了如何在FortiGate上配置防火墙策略。
接下来,你将学习如何管理和微调防火墙策略的设置。
完成本章节之后,你应该能够:
- 标识策略列表视图
- 了解策略ID的使用
- 标识对象引用的位置
通过演示管理防火墙策略的能力,你将能够理解防火墙策略的策略ID的使用。此外,你还可以确定对象使用情况,并使用对象组简化策略。
防火墙策略出现在组织的列表中。列表可以在接口对视图中组织,也可以在按顺序中组织。
通常,列表将出现在接口对视图。每个部分包含该入口出口对的策略。或者,你可以通过在页面顶部选择按顺序,将策略视为单个、全面的列表。
在某些情况下,你将无法选择使用哪个视图。
如果你使用多个源接口或目标接口,或者防火墙策略中的any接口,那么策略不能按接口对划分为多个部分,有些是三元组或更多。因此,策略然后总是显示在单个列表中(按顺序)。
为了帮助你记住每个接口的使用,可以通过编辑网络页上的接口来给接口提供别名。例如,你可以称port1为SP1。这有助于使你的策略列表更容易理解。
在FortiOS 6.0版本中,当编辑策略时,策略信息将是可见的。
如果管理员想要检查策略使用情况,这个特性是非常有用的,如上一次使用、第一次使用、命中计数、活动会话等。
防火墙策略如何工作的一个重要因素是顺序优先的概念,或者,如果你喜欢一个更容易识别的术语,“先到先服务”。
策略ID是标识符,并显示在GUI上。
在GUI上创建新防火墙策略时,FortiGate自动分配策略ID。即使序列中的规则移动得更高或更低,策略ID也不会改变。
为了简化管理,可以对服务和地址对象进行分组。然后,您可以在防火墙策略中引用该组,而不是每次选择多个对象或制定多个策略。
在这个幻灯片上,使用四个服务来配置策略:HTTP、HTTPS、FTP和DNS。浏览器使用DNS将URL解析为IP地址,因为人们记住网站的域名而不是IP地址。如果需要为Web和FTP流量制定许多策略,那么创建一个名为Web-FTP的服务对象是有意义的。这样,在每次制定策略时,你不必手动选择所有四个服务。策略可以替代Web-FTP服务组。
此外,可以合并源组中的源地址。
我们刚刚展示了几个组件对象,它们可以在你制定策略时重用。如果要删除对象,该怎么办?
如果正在使用对象,则不能删除该对象。首先,必须重新配置当前使用它的对象。GUI提供了一种简单的方法来查明FortiGate的配置中,一个对象被引用的位置。看到参考栏中的数字了吗?它们是被使用的对象的数量。这个数字实际上是一个链接,所以如果你点击它,你可以看到哪些对象正在使用它。
在这个例子中,all地址对象都由Training地址组和三个防火墙策略使用。如果选择防火墙策略,则可以使用“Edit”、“View List”列表和“View Properties ”选项卡。
- Edit:允许你编辑所选对象。在这个例子中,它显示了防火墙策略ID 4的编辑页。
- View List:允许查看其类别中的选定对象。在这个例子中,它将显示所有防火墙策略的列表。
- View Properties:显示对象在该配置中使用的位置。在这个例子中,地址对象all都在防火墙策略的目标地址和源地址中使用。
你可以右击任何防火墙策略,以查看不同的菜单选项来编辑或修改策略。这些选项包括启用或禁用防火墙策略、插入防火墙策略(上面或下面)、复制和粘贴策略以及反向克隆(仅在该策略上禁用NAT的情况下)。
单击Edit in CLI打开选定的防火墙策略或对象的CLI控制台。它显示CLI中的配置设置,并可以在CLI Console中直接修改选定的防火墙策略或对象。
右击该对象为你提供修改对象的选项,并显示该对象的引用。
在FortiOS 6.0版本中,你可以通过GUI使用每个列中的筛选器过滤防火墙策略。你可以单击策略ID列筛选图标以基于策略ID号搜索策略,或者单击Name筛选图标以基于策略名称搜索策略等等。
送分题。
现在你了解了如何管理FortiGate防火墙策略。接下来,你将了解与防火墙策略相关的最佳实践和故障排除。
完成本章节之后,你应该能够:
- 确认防火墙策略和对象的命名限制
- 重新排序防火墙策略以进行正确匹配
- 演示如何找到流量类型的匹配策略
通过演示了解防火墙策略限制和使用策略匹配技术的能力,你将能够在使用防火墙策略时应用最佳实践和基本故障排除技术。
在配置防火墙对象的名称时,只支持某些字符。例如,Training(Lan)不是地址对象的有效名称,因为它包含不支持的特殊字符。尽管在名称中支持空格,但作为最佳实践,避免在名称中使用空格。取而代之的是使用连字符或下划线。当尝试修改CLI或故障排除时,使用空格可能会导致问题。
但是,在密码、注释、替换消息等中支持许多特殊字符。
在生产网络中实现配置更改之前,始终计划维护窗口并为几个IP地址、用户或设备创建测试用例。使用GUI或CLI进行的任何配置更改都会立即生效,并且可以中断服务。
作为最优方法,尝试尽可能具体地配置防火墙策略。这有助于仅限制对这些资源的访问。例如,在配置地址对象时使用适当的子网。
值得一提的另一个设置是安全配置文件,它有助于为你的网络提供适当的安全性。适当的日志配置也可以帮助你分析、诊断和解决常见的网络问题。
记得你知道只有第一个匹配策略适用吗?把你的策略安排在正确的位置很重要。它影响哪些流量被阻塞或允许。在适用的接口对的部分中,FortiGate查找从顶部开始的匹配策略。因此,你应该将更具体的策略放在顶部;否则,更一般的策略将首先匹配流量,并且永远不会应用更细粒度的策略。
在上图所示中,你正在将仅与FTP流量匹配的Block_FTP策略(ID 2)移动到更一般的Full_Access(接受来自任何地方的一切)策略之上的位置。否则,FortiGate将始终在适用的接口对Full_Access中应用第一匹配策略,并且永远不会到达Block_FTP策略。
当跨策略列表移动策略时,策略ID保持不变。
注意:FortiGate在创建策略时分配下一个最高可用ID号。
为了优化和合并防火墙策略,始终检查所有配置的设置。在这个示例中,两个防火墙策略在服务、安全配置文件和日志记录设置方面存在差异。可以通过组合服务和选择适当的日志记录设置来合并这两个防火墙策略。
如果你选择日志记录设置为Security Events (UTM) ,将不会为ALL_ICMP流量生成流量日志。
注意:ALL_ICMP服务不受网络过滤器和反病毒扫描的影响,这意味着将这些安全配置文件应用于ICMP流量将导致未经检查的流量通过。
你可以根据策略查找输入标准找到匹配的防火墙策略。策略查找在没有实际流量的情况下在FortiGate上创建包流。由此,策略查找可以从流跟踪中提取策略ID,并在GUI策略配置页上突出显示该策略ID。
根据你选择的协议(例如,TCP、UDP、IP、ICMP等),你需要定义其他输入标准。例如,当选择TCP作为协议时,需要定义源地址、源端口(可选)、目的地端口和目的地地址。当选择ICMP作为协议时, 需要定义ICMP类型/代码、源地址和目的地址。
当FortiGate执行策略查找时,它在为匹配策略提供结果之前,从上到下对匹配防火墙策略的入口、状态检查和出口执行一系列检查。
注意:如果防火墙策略状态被设置为disable,策略查找跳过禁用策略并检查列表中的下一个匹配策略。
根据输入标准,单击搜索后,将在IPv4策略页上选择并突出显示跟踪结果。
为什么策略 ID #1 或 ID #2 不符合输入规则?
因为策略ID #1状态被设置为禁用,所以策略查找跳过禁用的策略。对于防火墙策略ID #2,它与策略查找匹配条件中指定的目标端口不匹配。
送分题。
你已经完成了这一课。现在,你将复习课文所涵盖的目标。
本课程包括以下目标:
- 识别数据包如何匹配防火墙策略基于:
- 接口和区域
- 源和目的地址
- 网络服务
- 时间表
- 配置防火墙策略
- 理解策略ID是如何使用的
- 标识对象使用
- 重新排序策略以首先匹配更细粒度的策略
- 使用策略查找找到匹配策略
扫一扫
1014
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
