13防火墙 - 随笔分类(第3页) - 星痕1216

FortiGate外网IPSec链路及运维专线链路到个别网段不通

摘要：1.现状：如图，用户网段有192.168.50.0/24、192.168.51.0/24和192.168.52.0/24、192.168.53.0/24。在防火墙上有静态路由到运维专线的10.160.25.0/24网段，且有到10.70.31.0/24的IPSec VPN。 2.现象： 192.1 阅读全文

posted @ 2018-12-09 15:21 星痕1216 阅读(668) 评论(0) 推荐(0)

FortiGate防火墙500D下PC至外网丢包

摘要：1.现状：如图，防火墙堆叠，500D共4个出口方向，联通、电信、FQ、运维专线 2.现象：到网关和防火墙上、下联口不丢包，到网联通和运维专线方向丢包4%左右，电信和FQ方向不丢包 3.分析采用从上向下的方式，一点点加网络设备。如先测试运营商，若没问题加防火墙，若没问题加上网行为管理，以此类推。阅读全文

posted @ 2018-12-09 15:06 星痕1216 阅读(699) 评论(0) 推荐(0)

FortiGate双链路不同运营商上网配置

摘要：1.防火墙端口配置 2.LLB配置阅读全文

posted @ 2018-12-09 15:03 星痕1216 阅读(804) 评论(0) 推荐(0)

FortiGate防火墙HA下联堆叠交换机

摘要：1.拓扑图 2.防火墙配置 3.交换机配置 interface GigabitEthernet1/0/47 switchport access vlan 30 switchport mode access channel-protocol lacp channel-group 31 mode act 阅读全文

posted @ 2018-12-09 15:00 星痕1216 阅读(1233) 评论(0) 推荐(0)

FortiGate上架前准备

摘要：1.收集信息 1、网络拓扑信息（了解网络拓扑信息有助于网络方案的规划） 2、环境信息（了解部署位置、部署模式、最大吞吐、最大用户数有助于对设备性能的评估） 3、客户需求，对FortiGate部署的功能要求（了解客户要求部署上FortiGate后需要开启哪些功能和访问控制策略以明确配置思路） 4、Fo 阅读全文

posted @ 2018-12-09 14:54 星痕1216 阅读(225) 评论(0) 推荐(0)

FortiGate抓包 Sniffer

摘要：1.图形界面抓包系统管理--网络--数据包捕获选择添加好的数据捕获，点击"运行"开关抓包；抓取包后，可以点击"下载"将抓取的数据包保存的本地磁盘，可以用wireshark直接查看。 2.命令格式：diagnose sniffer packet <interface>　<'filter'>　<ve 阅读全文

posted @ 2018-12-09 14:52 星痕1216 阅读(1784) 评论(0) 推荐(0)

FortiGate数据流分析 debug flow

摘要：1.工具说明在防火墙部署中，经常会遇到防火墙接收到了数据包，但并未进行转发。可以通过diagnose debug flow 命令来对数据包的处理过程进行跟踪，可以清晰查看数据包再各个功能模块内的处理过程，判断出数据包如何被转发或者丢弃。 2.命令介绍 diagnose debug enable 开阅读全文

posted @ 2018-12-09 14:46 星痕1216 阅读(1358) 评论(0) 推荐(0)

FortiGate防火墙对数据包处理流程

摘要：1.流程图 2.防火墙对数据包处理过程的各步骤如下： 1）Interface（网卡接口）网卡接口驱动负责接数收据包，并转交给下一过程。 2）DoS Sensor（DoS防御，默认关闭）负责过滤SYN flood、UDP flood、ICMP flood等DoS攻击，并可针对源、目的IP的并发连接阅读全文

posted @ 2018-12-09 14:42 星痕1216 阅读(3103) 评论(1) 推荐(0)

FortiGate安全策略说明

摘要：1.安全策略原理 1）为了对数据流进行统一控制，方便用户配置和管理，FGT设备引入了安全策略的概念。通过配置安全策略，防火墙能够对经过设备的数据流进行有效的控制和管理。 2）当防火墙收到数据报文时，把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配，决定是否建立这条数据流，并且把阅读全文

posted @ 2018-12-09 14:38 星痕1216 阅读(778) 评论(0) 推荐(0)

FortiGate高校图书馆SSLvpn配置案例

摘要：1.组网及需求某高校有一台FGT系列防火墙放置于互联网出口，拓扑如下图：现需求通过组建sslvpn web代理模式和隧道模式以实现： 1.web代理模式：能访问 http://lib.xxxx.edu.cn（位于校园网内）该网址，并通过该网址跳转到校外的中国知网等互联网及校园网地址（目的地址不固阅读全文

posted @ 2018-12-09 14:35 星痕1216 阅读(1302) 评论(0) 推荐(0)

FortiGate SSL VPN配置

摘要：1.配置步骤总结 1）首先配置"ssl 设置"：a.定义sslvpn服务器端口；b.定义sslvpn客户端的地址池； 2）接着配置"ssl 界面"：定义sslvpn用户访问方式，隧道模式或web代理模式（可同时启用）；隧道模式下选择"启动隧道分割"时，客户端将获取明细路由，否则将获取默认路由； 3）阅读全文

posted @ 2018-12-09 14:26 星痕1216 阅读(12) 评论(0) 推荐(0)

FortiGate IPSec VPN配置-拨号

摘要：Hub-spoke模式（星型） 1.某公司总部内部有一台OA服务器，其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问，为了方便配置，总部不想有太多的配置，总部只建立一条vpn隧道，实现所有分支机构和总部的通讯。 2.总部配置要点配置IKE阶段1→配置IKE阶段2→配置IPSec安全阅读全文

posted @ 2018-12-09 13:03 星痕1216 阅读(11) 评论(0) 推荐(0)

FortiGate IPSec VPN配置-点对点

摘要：接口模式 1.配置要点 IKE阶段1→IKE阶段2→路由→策略删除：删除相关策略→删除相关路由→删除阶段2→删除阶段1 删除命令行： FGT5HD3915800383 # config vpn IPSec phase1-interface FGT5HD3915800383 (phase1-inte 阅读全文

posted @ 2018-12-09 12:33 星痕1216 阅读(11) 评论(0) 推荐(0)

部分用户访问Polycom视频会议时故障

摘要：1.现象 Polycom视频会议服务器部署在防火墙下，通过Paloalto防火墙的一对一映射到公网。部分同事使用职场网络或者4G通过公网访问时，出现超时问题。 2.分析： Polycom设备并没有做过调整，而故障出现的时间跟Paloalto防火墙上线的时间基本吻合，故基本确定问题就出在Paloal 阅读全文

posted @ 2018-12-09 12:16 星痕1216 阅读(975) 评论(0) 推荐(0)

FortiGate日常检查

摘要：1.1）CPU利用率：由于防火墙有芯片，正常的流量都走芯片转发，不走cpu，只有开了utm相关的应用层防护功能和DDOS之类的，才会走cpu，所以一般cpu都不会占用太多，甚至很多时间都是0%，如果cpu过高，肯定是开了应用防护功能或者DDOS功能、还有一种可能就是新建连接太多，大多是攻击引起。正阅读全文

posted @ 2018-12-06 11:51 星痕1216 阅读(513) 评论(0) 推荐(0)

FortiGate 路由

摘要：1.静态路由防火墙外网口wan1 ip地址为202.1.1.2，对端ISP路由器G1/0口地址为202.1.1.1. 菜单：路由--静态--静态路由，点击 "创建新的"，按如下方式创建路由表：目的的IP/子网掩码：由于是默认网关，使用默认的0.0.0.0/0.0.0.0即可。设备：该路由所关阅读全文

posted @ 2018-12-06 11:48 星痕1216 阅读(951) 评论(0) 推荐(0)

FortiGate端口聚合配置

摘要：1.端口聚合（LACP）应用场景该功能高端设备上支持，FortiGate60D、FortiGate90D和FortiGate240D等低端型号不支持。 1、在带宽比较紧张的情况下，通过逻辑聚合可以扩展带宽到原链路的n倍 2、在需要对链路进行动态备份的情况下，可以通过配置链路聚合实现同一聚合组各个成阅读全文

posted @ 2018-11-26 09:36 星痕1216 阅读(3558) 评论(0) 推荐(0)

FortiGate路由模式--静态地址线路上网配置

摘要：1.需求：外网接口使用专线，由运营商分配指定的静态地址，内网为192.168.1.0/24网段，实现基本上网功能。运营商分配ip地址：202.1.1.10，网关地址：202.1.1.9， DNS：202.106.196.115 2.配置要点 1、配置接口 wan1口: ip地址配置为互联网运营商所阅读全文

posted @ 2018-11-26 09:36 星痕1216 阅读(2695) 评论(0) 推荐(0)

FortiGate常用命令

摘要：1.命令结构 config Configure object. 对策略，对象等进行配置 get Get dynamic and system information. 查看相关关对象的参数信息 show Show configuration. 查看配置文件 diagnose Diagnose fac 阅读全文

posted @ 2018-11-19 19:14 星痕1216 阅读(7072) 评论(0) 推荐(0)

FortiGate软件版本升级

摘要：1.Web界面升级 1）注意：升级前，务必做好配置备份 2）要点 1、FortiGate防火墙的每款型号都有单独的版本文件，升级前务必确认下当前的设备型号； 2、升级包的后缀名必须为.out，前缀任意； 3、升级前必须准备配置线，以防在升级失败后能及时处理； 4、升级过程中请不要切换到其他界面，更不阅读全文

posted @ 2018-11-19 19:10 星痕1216 阅读(1888) 评论(0) 推荐(0)

随笔分类 - 13防火墙