飞塔防火墙的配置与策略

最新推荐文章于 2024-08-07 17:17:57 发布
最新推荐文章于 2024-08-07 17:17:57 发布
阅读量1.7w 收藏 15
点赞数 4
分类专栏: 网络/服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reigns_/article/details/85242510
版权

最近帮助一家公司做网络维护,公司的防火墙是飞塔的,做了一些配置,对防火墙和访问策略有了进一步熟悉。

配置信息:固件版本200B,os版本4.0

再看看接口信息。

可以看到,port15是外网接口,port9是内网接口。

 看下面这一段策略设置:

可以看到有线网(Wired),无线网(Wireless),无线网访客(Wireless-Guest)都可访问外网(Wired-port15),并且Wired和Wireless可访问内网所有网段(Wired-port9),以及三者的相互访问,但是Wireless-Guest没有直接访问内网权限(Wireless-Guest-port9)。并且内网port9对外网port15只公开192.168.1.0/255.255.255.0网段。

再看下面一段配置

这部分访问策略控制了外网对内网的访问。 

可以看到域名的映射:

域名123.sharpower.cn,ip为106.38.65.38,映射内网192.168.1.68,即为192.168.1.0网段内服务器,符合上面port9-port15的访问策略。

再说说我碰到的问题。

搭建一个隧道通信的ssl-vpn,即所有内网外网的通信只在隧道内实现。

按理说策略是WAN-Tunnel-LAN ,即为port9-ssl.root-port15。

但是无法通信。

通道分割策略需要设置路由,这里ssl.root设置为10.0.1.0,虚拟ip范围为10.0.1.1-10.0.1.10。

挂载vpn之后ppp0e的ip为10.0.0.1,是虚拟ip,这里没有问题,但是无法ping通192.168.1.1。

网上寻找教程,发现隧道模式是在web模式扩展即可。

正常连接vpn。

访问内网服务器。

我的理解应该是我当时搭建策略时多了源地址为ssl-vpn-user,可能限制了ip访问,造成无法通信,并且lan-wan端口的策略已经配置好,我增加了lan-ssl.root-wan,应该是多余的。 

ReignsDu
关注
专栏目录
从零开始学飞塔第一篇:飞塔防火墙基本上网配置(PPPoE拨号&固定IP上网)FortiGate Broadband internet access
Zion_Sue的博客
06-17 1万+
飞塔防火墙基本上网配置一共分三个部分-----接口-----路由-----策略。 1.接口部分:
飞塔防火墙之ACL配置
weixin_44085679的博客
08-05 3446
需求: 1.位于inside设备能够使用ssh和telnet访问DMZ和所有outside设备 2.位于outside设备不能够使用ssh和telnet访问DMZ和所有inside设备 3.位于DMZ设备能够使用ssh和telnet访问所有outside设备,但是不能访问inside设备 4.使用飞塔系列的墙来满足上述需求。 前提已在inside和dmz,outside区域的设备都做了基本的IP配置以及ssh和t...
教程篇(6.0) 02. 防火墙策略 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
12-25 4876
在本课中,你将学习如何理解和应用防火墙策略来允许和拒绝通过 FortiGate 的流量。它的核心是防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联。 在本次课程中,你将探讨以下主题: 防火墙策略 配置防火墙策略 管理防火墙策略 最佳实践和故障排查 在完成这节课程之后,你应该能够: 识别防火墙策略的组件 了解 FortiGate 如何通过接口、区域、...
防火墙策略配置教程/Windows服务器安全策略配置win系统主动安全策略配置计算机服务器防火墙安全策略配置_小白白帽子入门教程
最新发布
程序员三九的博客
08-07 740
Windows服务器安全策略配置——简单实用!Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已
FortiGate 飞塔防火墙配置手册
12-13
飞塔防火墙配置手册,内容丰富,涵盖FortiGate防火墙配置的各个方面,中文。
飞塔防火墙策略设置
Fisher_start的博客
09-07 5489
飞塔防火墙策略设置
修改防火墙策略设置
weixin_33797791的博客
06-12 1338
首先进入到远程端口配置里面然后在22下面插入一行 输入port 12345 保存并退出修改防火墙配置并放行12345和3306端口 在配置文件里面修改selinux并关闭 最后在重启远程端口生效 转载于:https://blog.51cto.com/13803911/2128588...
防火墙安全策略配置
qq_51776588的博客
02-28 1万+
安全策略原理 防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。 安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙防火墙安全区域 默认四种: Trust——信任值85 Untrust——5 Dmz——50 Local——100 防火墙安全策略工作流程 流量通过NGFW时,安全策略的处理流程如下: 1.NGFW会对收到的流量进行检测,检测出流量
飞塔保存配置文件到其他型号
wisiyi的博客
05-08 2179
1:有时候在60D上已经配置好了很多的策略,更换新机器,或者需要用其他机器来测试一下,全部重新配置需要较多功夫 2:可以将60D和90D的配置文件都保存下来,修改文件头的形式更改,就能导入了 3:因两个机器的端口数量不同,所以导入后,需要修正正确的端口流出流入即可。 仅临时适宜测试使用~,长期服役,还需要仔细校正,还是重新对应端口配置为好 ...
飞塔防火墙专业配置文档
03-11
产品型号 FG-62 产品类型 企业级 最大吞吐量 16000Mbps 硬件参数 固定接口 20个千兆自定义WAN`LAN或DMZ电口,2个USB ...策略数 10000个策略数 入侵检测 入侵防护吞吐1Gbps兆 防火墙性能 防病毒吞吐250兆有奖找错
飞塔防火墙201F限速配置
peihang2623的博客
11-07 1150
飞塔防火墙201F限速配置
飞塔防火墙200B4.0系统 在命令模式下配置IPMAC绑定
05-21
51CTO下载-飞塔防火墙 200B 4.0系统 在命令模式下配置IPMAC绑定;
美国飞塔防火墙FG200配置手册
03-19
飞塔防火墙配置手册,详细介绍FG200型号防火墙配置手册,非常实用
SRX防火墙策略控制域名访问
10-15
SRX防火墙策略控制域名访问,实现基于url的数据包过滤
飞塔防火墙策略操作设定说明书
02-17
飞塔防火墙策略操作设定说明书,非常实用的操作指引
01. 禁止指定的 IP 上网 ❀ 飞塔 (Fortinet5.4) 防火墙
m0_37281670的博客
02-24 2515
         【简介】在一个员工比较多的环境里,互联网访问需要做某些限制,最常用的限制就是哪些人员可以上互联网,哪些人员不能上互联网,我们可以通过电脑的IP地址,在防火墙上...
软件升级 防火墙 飞塔_防火墙配置(二十三)
weixin_28862113的博客
12-31 912
点击上方关注我们获取更多防病毒配置一网络拓扑二需求描述配置防火墙使内网 192.168.1.0/24 网段机器访问互联网时,如果访问网站带有病毒,防火墙会对其进行某些动作,并记录到防火墙日志中。三配置步骤第一步:病毒特征库在线更新及启用防病毒配置点击安全/病毒过滤 在右侧任务栏中,点击配置更新选项可以看到病毒服务器升级的域名,可以启用病毒库自动升级功能,手工设置自动升级的时间点。如果需要...
zabbix监控FortiGate防火墙 FortiGate配置SNMP
欢迎关注,共同学习进步!
01-05 1747
zabbix通过SNMP监控FortiGate防火墙
【管理篇 / 登录】❀ 01. 网线连接登录 ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
10-24 1万+
当我们拿到新的防火墙的时候,首先要做的就是将电脑快速、简便的连接到防火墙,登录并进行管理,而最方便的连接方式就是用网线了。这里介绍的是最简单的飞塔防火墙物理连接以及浏览器登录访问。......
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值