教程篇(7.2) 02. 防火墙策略 FortiGate安全 ❀ Fortinet网络安全专家 NSE4
??在本節課中,你將了解防火墻策略以及如何應用它們來允許和拒絕通過FortiGate的流量。就其核心而言,FortiGate是一個防火墻,因此它對你的流量所做的幾乎所有事情都與你的防火墻策略相關聯。
?這節課,你將學習上圖顯示的主題。
?通過展示識別防火墻策略的不同組件的能力,以及認識到FortiGate如何將流量與防火墻策略匹配并采取適當的操作,你將更好地理解防火墻策略如何與網絡流量交互。
?首先,你將了解什么是防火墻策略。
任何通過FortiGate的流量都必須與防火墻策略相關聯。策略是控制通過FortiGate的流量的一組指令。這些指令決定了流量的去向、如何處理,以及是否允許它通過FortiGate。總之,防火墻策略是一組規則,用于指定允許哪些流量通過FortiGate,以及當流量匹配策略時,FortiGate應該做什么。
應該允許流量通過嗎?FortiGate基于簡單的標準做出這個決定。FortiGate對流量的源、目的IP地址和業務進行分析。如果策略沒有阻止流量,FortiGate會開始計算成本更高的安全配置文件檢查,通常稱為統一威脅管理(UTM),例如反病毒、應用程序控制和web過濾等,前提是你在策略中選擇了它。如果存在安全風險,例如,如果流量包含病毒,這些檢查將阻斷流量。否則,流量允許通過。
是否會應用網絡地址轉換(NAT) ?是否需要認證?防火墻策略也決定了這些問題的答案。處理完成后,FortiGate將數據包轉發到目的地。
FortiGate從上到下查找匹配的防火墻策略,如果匹配,則根據防火墻策略對流量進行處理。如果沒有匹配到,流量將被默認的隱式拒絕防火墻策略丟棄。
??每個策略通過引用你已經定義的對象(如地址和配置文件)來匹配流量并應用安全性。
常見的策略類型有:
●?防火墻策略:防火墻策略由一系列規則組成,用于控制通過FortiGate的流量。
●?防火墻虛似鏈路對策略:虛擬鏈路對策略用于控制虛擬鏈路對中接口之間的流量。
●?組播策略:組播策略允許組播報文從一個接口到另一個接口。
● 本地策略:本地策略策略控制訪問FortiGate接口的流量,可用于限制管理員訪問。
● DoS策略:拒絕服務(DoS)策略檢查到達FortiGate接口的網絡流量中的異常模式。
缺省情況下,策略&對象下只有防火墻策略可見。根據接口配置和通過可見功能啟用的高級功能,可以選擇其他策略。在本節課中,你將了解IPv4防火墻策略,因為它們是最常用的策略。
?當數據包到達時,FortiGate如何找到匹配的策略?每個策略都有匹配條件,可以使用以下對象定義:
● 流入接口
● 流出接口
● 源地址:IP地址、用戶、internet服務
● 目標地址:IP地址或internet服務
● 服務:IP協議和端口號
● 計劃任務:應用策略的具體時間
如果流量匹配到防火墻策略,則按照防火墻策略中的動作執行:
●?如果動作被設置為拒絕, FortiGate將丟棄會話。
●?如果動作為接受,則表示允許該會話通過,并應用其他配置設置對報文進行處理,如用戶認證、源NAT、反病毒掃描、web過濾等。
當FortiGate收到流量時,它會評估報文的源IP地址、目標IP地址和請求的服務(協議和端口號)。它還檢查需要使用的流入接口和流出接口。基于這些信息,FortiGate識別防火墻策略并評估流量。如果流量匹配策略,則FortiGate應用策略中定義的動作(接受/拒絕)。例如,如果要阻斷所有進入FTP服務器的流量,可以將FTP服務器的地址定義為目的地址,并選擇FTP作為服務。你可能不會指定一個源(通常允許在internet上的任何位置)或計劃(FTP服務器通常總是可用的,白天或晚上)。最后,將動作設置為接受。
?為了開始描述FortiGate如何為每個數據包查找策略,讓我們從接口開始。
數據包從一個流入接口到達。路由決定流出接口。在每個策略中,必須設置源地址和目標地址;即使其中一個或兩個都設置為any。為了成功匹配,兩個接口都必須匹配策略的接口標準。
例如,如果你在port3 (LAN)入接口和port1 (WAN)出接口之間配置了策略,當數據包到達port2時,該數據包將不符合你的策略,因此將因為列表末尾的隱式拒絕策略而被丟棄。即使策略是從port3 (LAN)流入接口到任何流出接口,數據包仍然會被丟棄,因為它與流入接口不匹配。
為了簡化策略的配置,可以將接口劃分為邏輯分區。例如,你可以將port4到port7分組為一個DMZ。你可以在接口頁面創建區域。但是,應該注意不能單獨引用區域中的接口,如果需要將接口添加到區域,則必須刪除對該接口的所有引用(例如,防火墻策略、防火墻地址等)。如果你認為可能需要單獨引用接口,則應該在防火墻策略中設置多個源接口和目標接口,而不是使用區域。
?默認情況下,只能選擇一個流入接口和一個流出接口。這是因為在GUI上防火墻策略禁用了選擇多個接口或any接口的選項。
但是,你可以在可見功能頁面上啟用多接口策略選項來禁用單個接口限制。
如果在CLI上配置防火墻策略,也可以指定多個接口,或者使用any選項,而不考慮默認的GUl設置。
另外值得一提的是,當你選擇any接口選項時,你不能為該接口選擇多個接口。在上圖所示的示例中,因為any被選擇為流出接口,所以不能添加任何其他接口,因為any接口意味著已經選擇了所有接口。
?FortiGate考慮的下一個匹配條件是數據包的來源。
在每個防火墻策略中,必須選擇一個源地址對象。此外,你還可以通過選擇用戶或用戶組來細化源地址的定義,這將提供更細粒度的匹配,從而提高安全性。你還可以在防火墻策略中選擇ISDB對象作為源,這將在本課后面學習。
當選擇完全限定域名(FQDN)作為源地址時,FQDN必須通過DNS解析,并緩存在FortiGate中。確保為FortiGate配置了正確的DNS設置。如果FortiGate無法解析FQDN地址,它將顯示警告消息,并且配置了該FQDN的防火墻策略可能無法正常工作。
??如果用戶被添加為源地址的一部分,在允許或拒絕訪問之前,FortiGate必須根據防火墻策略驗證該用戶。用戶可以通過不同的方式進行身份驗證。
對于本地用戶,用戶名和密碼在FortiGate本地配置。當本地用戶進行身份驗證時,他們輸入的憑據必須與在FortiGate上本地配置的用戶名和密碼匹配。
對于遠程用戶(例如LDAP或RADIUS), FortiGate接收遠程用戶的用戶名和密碼,并將此信息傳遞給認證服務器。認證服務器驗證用戶登錄憑證并更新FortiGate。在FortiGate接收到該信息后,它會根據防火墻策略授予對網絡的訪問權。
從域控制器檢索Fortinet單點登錄(FSSO)用戶的信息。根據FortiGate上的組信息授予訪問權限。
?在上圖所示的示例中,源地址選擇標識特定的子網和用戶組。記住,用戶是可選對象。這里使用用戶對象使策略更加具體。如果你希望策略匹配更多的流量,你可以不定義用戶對象。
還可以在防火墻策略中使用internet服務(ISDB)對象作為源。防火墻策略中的internet服務對象和源地址對象是非此即彼的關系。這意味著你可以選擇源地址或internet服務,但不能同時選擇兩者。
?與數據包的源地址一樣,FortiGate也會檢查目標地址是否匹配。
你可以在防火墻策略中使用地址對象或ISDB對象作為目標。地址對象可以是主機名、IP子網或范圍。如果輸入FQDN作為地址對象,請確保已將FortiGate設備配置為DNS服務器。FortiGate使用DNS將這些FQDN主機名解析為IP地址,這些地址出現在IP頭中。
你還可以選擇地理地址,即分配給某個國家的地址組或范圍。FortiGuard用于更新這些對象。
為什么沒有選擇用戶的選項?在流入接口確定用戶身份,認證通過后報文直接轉發到流出接口。
??Internet服務是一個數據庫,它包含最常見的Internet服務使用的IP地址、IP協議和端口號的列表。FortiGate會定期從FortiGuard下載該數據庫的最新版本。可以在防火墻策略中源地址或目標地址中選擇。
如果你只需要允許一些知名的公共互聯網目的地(如Dropbox或Facebook)的流量,會發生什么?
在配置防火墻策略時,可以使用Internet服務作為防火墻策略中的目標地址,其中包含該服務使用的所有IP地址、端口和協議。出于同樣的原因,不能將常規地址對象與ISDB對象混合使用,也不能在防火墻策略上選擇服務。ISDB對象已經擁有硬編碼的服務信息。
與需要經常檢查地址對象以確保沒有任何IP地址被更改或允許使用適當端口的地址對象相比,internet服務有助于使這種類型的部署更加容易和簡單。
??基于地理的ISDB對象允許用戶定義國家、地區和城市。這些對象可以在防火墻策略中使用,以更細粒度地控制父ISDB對象的位置。
ISDB對象在策略中按名稱引用,而不是按ID引用。
??你可以禁用ISDB更新,以便它們只在更改控制窗口期間發生。一旦禁用了ISDB更新,針對IPS、AV等的其他預定FortiGuard更新就不會更新ISDB。默認情況下,ISDB更新是啟用的。
??計劃任務向策略添加時間元素。例如,你可以使用策略允許備份軟件在夜間激活,或者為允許用于測試目的的遠程地址創建測試窗口。
計劃任務可以配置并使用24小時時鐘。這里有一些配置設置值得一提:
●?循環:如果啟用all day,流量將在選定的日期內24小時內被允許。在配置循環時間段時,如果設置的停止時間早于開始時間,則停止時間將發生在第二天。例如,選擇星期日,開始時間為10:00,結束時間為09:00,則計劃任務將在周一的09:00停止。如果開始和停止時間相同,計劃將運行24小時。
●?單次:開始日期和時間必須早于結束日期和時間。你還可以啟用生成事件日志,它將在計劃到期前生成事件日志N天,其中N可以是1到100天。
??FortiGate用來匹配策略的另一個標準是數據包的服務。?
在IP層,協議號(例如TCP、UDP、SCTP等)以及源和目標端口定義了每個網絡服務。通常,只定義一個目標端口(即服務器的偵聽端口)。一些遺留應用程序可能使用特定的源端口,但在大多數現代應用程序中,源端口是在傳輸時隨機識別的,因此不是定義服務的可靠方法。
例如,預定義服務對象HTTP為TCP的目的端口80,預定義服務對象HTTPS為TCP的目的端口443。源端口的持續時間較短,因此不定義源端口。
默認情況下,服務被分組在一起,以按類別簡化管理。如果預定義的服務不能滿足你的組織需求,你可以創建一個或多個新的服務、服務組和類別。
??答案:A
???答案:A
?干得漂亮!你已經了解了防火墻策略中使用的組件以及FortiGate使用的匹配條件。現在,你將學習如何配置防火墻策略。
??通過展示配置防火墻策略的能力,你將能夠將正確的設置(例如安全配置文件、日志記錄和流量整形)應用到FortiGate上的防火墻策略,并使你的網絡更加安全。
?在界面方式下配置防火墻策略時,由于防火墻策略默認啟用需要指定唯一的名稱,而在命令行方式下可選。這有助于管理員快速識別他們正在尋找的策略。但是,你可以通過啟用允許未命名的策略,在可見功能頁面上的GUl上使此功能可選。
注意,如果在CLI上配置的策略沒有策略名,并且在GUl上修改了該現有策略,則必須指定唯一的名稱。FortiGate平面GUl視圖允許您通過單擊或從右側填充的列表中拖放來選擇接口和其他對象。
可以選擇Internet服務作為源。Internet服務是一個或多個地址和一個或多個與互聯網上的服務相關聯的服務的組合,例如軟件更新服務。
你可以在防火墻策略中配置許多其他選項,例如防火墻和網絡選項、安全配置文件、日志記錄選項以及啟用或禁用策略。
在創建防火墻對象或策略時,添加一個通用唯一標識符(UUID)屬性,以便在與FortiManager或FortiAnalyzer集成時記錄這些UUID并改進功能。
在創建防火墻策略時,請記住,FortiGate是一個有狀態防火墻。因此,你只需創建一個與發起會話的流量方向匹配的防火墻策略。FortiGate將自動記住源目標對并允許回復。
?防火墻策略可以應用的最重要的功能之一是安全配置文件,例如IPS和反病毒。安全配置文件檢查流量中的每個數據包,其中會話已經被防火墻策略有條件地接受。
流量檢測有兩種方式:基于流量的檢測和基于代理的檢測。每種巡檢類型支持不同的安全功能。
請注意,默認情況下,視頻過濾器、VOIP和Web應用程序防火墻安全配置文件選項在GUI的策略頁面中不可見。你需要在可見功能頁面上啟用它們。
??如果在策略中開啟了日志功能,當防火墻策略關閉IP后,FortiGate會生成流量日志會話。
默認缺省情況下,記錄許可流量為安全事件,只對防火墻策略中應用的安全配置文件產生日志。但是,你可以將該設置更改為全部會話,即為全部會話生成日志。
如果啟用了會話開始時生成日志,則FortiGate會在會話開始時生成流量日志。FortiGate還會在會話關閉時為同一會話生成第二個日志。但是請記住,增加日志記錄會降低性能,所以只在必要時使用它。
在會話過程中,如果安全配置文件檢測到違規行為,會立即記錄攻擊日志。為了減少日志消息的產生,提高性能,可以啟用會話表丟棄流量項。這將在會話表中創建被拒絕的會話,如果會話被拒絕,該會話的所有報文也將被拒絕。這確保了FortiGate不必為每個匹配拒絕會話的新數據包執行策略查找,從而減少了CPU占用和日志生成。
這個選項在CLI中,稱為ses-deny-traffic。你還可以設置阻止會話的持續時間。它通過在CLI中設置block-session-timer來決定會話在會話表中保留的時間。缺省值為30秒。如果GUI選項會話啟動時生成日志不顯示,這意味著你的FortiGate設備沒有內部存儲。該選項在CLI中,與內部存儲無關,稱為set logtraffic-start enable。
?你可以配置兩種類型的流量整形:共享和每IP。
共享整形器對使用該整形器的所有流量應用總帶寬。范圍可以是每個策略,也可以是所有引用該整形器的策略。FortiGate可以統計進出流量的數據包速率。
FortiGate支持創建三種類型的流量整形策略:
● 共享策略整形:安全策略的帶寬管理
● 每IP整形:對用戶IP地址進行帶寬管理
● 應用控制整形:按應用進行帶寬管理
創建流量整形策略時,匹配條件必須與需要整形的防火墻策略一致。請注意,這些同樣適用于TCP和UDP, UDP協議可能無法從數據包丟失中優雅地恢復。
??默認情況下,IPv4和IPv6策略被合并為一個統一的策略,而不是為IPv4和IPv6創建和維護兩個不同的策略集。
流入接口、流出接口、計劃任務和服務字段可以同時與IPv4和IPv6共享。源地址、目標地址和IP地址池需要同時選擇IPv4地址和IPv6地址。
在配置統一防火墻策略時,可以在策略中配置IPv4源地址、IPv4目標地址和IPv4 IP池,而不需要指定任何IPv6引用。IPv6也可以配置相同行為的策略。如果需要同時配置IPv4地址和IPv6地址,則防火墻策略中的源地址和目標地址必須同時選擇IPv4地址和IPv6地址。源IP版本和目的IP版本必須匹配。例如,一個策略不能只有IPv4源和IPv6目的。GUl中的策略表可以被過濾,以顯示IPv4、IPv6或IPv4和IPv6源和目標的策略。
請注意,默認情況下,IPv6選項在GUI的策略表中是不可見的。必須在可見功能頁面啟用IPv6。
??答案:B
??答案:B
??干得漂亮!現在你已經了解了如何在FortiGate上配置防火墻策略。接下來,你將學習如何管理和微調防火墻策略的設置。
?通過展示管理防火墻策略的能力,你將能夠理解防火墻策略的策略ID的使用。此外,你將能夠精確地確定對象的使用情況,并使用對象組簡化策略。
?防火墻策略顯示在一個有組織的列表中。該列表以接口對視圖或通過順序組織。
默認情況下,在接口對視圖中顯示策略列表。每個部分都包含策略,按照策略匹配流量的順序進行評估,并按照入接口-出接口對進行排列。或者,通過選擇頁面頂部的通過順序,你可以將策略作為單一的綜合列表來查看。在這個視圖中,策略也按照流量匹配評估的順序列出,但它們沒有分組。
在某些情況下,你不能選擇視圖。例如,如果在防火墻策略中使用多個源接口或目標接口,或者any接口,則不能通過接口對將策略劃分為部分(有些可能是三胞胎或更多)。在這種情況下,策略總是出現在單個列表中(通過順序)。
為了幫助你記住每個接口的用法,你可以通過在網絡頁面上編輯接口來添加別名。例如,將port1稱為ISP1。這有助于使你的策略列表更容易理解。
?在編輯策略時,策略信息將可見。
如果管理員希望檢查策略使用情況,例如最后使用、第一次使用、命中計數、活動會話等,則此功能非常有用。
??了解防火墻策略如何工作的一個重要概念是優先順序,或者,如果你更喜歡一個更容易識別的術語,即先到先得。?
策略ID是標識符。默認情況下,策略ID不在策略列表GUl中顯示。你可以使用配置表設置圖標添加策略ID列。
當你在GUl上創建一個新的防火墻策略時,FortiGate自動分配一個策略ID。策略ID永遠不會改變,即使你在順序中向上或向下移動規則。
如果啟用了策略高級選項,則可以在創建新策略時手動分配策略ID。如果發現重復的條目,系統將產生錯誤,因此你可以分配不同的可用策略ID號。
默認情況下,策略高級選項在GUl上不可用,你必須在可見功能頁面上啟用它。
??為了簡化管理,可以對服務和地址對象進行分組。這樣,你就可以在防火墻策略中引用該組,而不必每次都選擇多個對象或制定多個策略。
上圖顯示了用于配置策略的四個服務:HTTP、HTTPS、FTP和DNS。瀏覽器使用DNS將URL解析為IP地址,因為人們記住的是網站的域名而不是IP地址。如果你需要為web和FTP流量制定許多策略,那么創建一個名為web_FTP的服務對象是有意義的。這樣,你就不必在每次制定策略時都手動選擇所有四種服務。策略可以直接引用Web-FTP服務組。
此外,還可以在源組中合并源地址。
??你已經看到了幾個可以在制定策略時重用的組件對象。如果你想刪除一個對象怎么辦?
如果一個對象正在被使用,則不能刪除它。首先,你必須重新配置當前正在使用它的對象。GUI提供了一種簡單的方法來查找FortiGate配置中的對象被引用的位置。看看關聯項欄中的數字。它們是物體被使用的地方的數量。這個數字實際上是一個鏈接,所以如果你點擊它,你可以看到哪些對象正在使用它。
在上圖所示的示例中,all地址對象正由Training地址組和三個防火墻策略使用。如果選擇了防火墻策略,可以使用編輯、查看列表和查看屬性。
●?編輯:對選中對象進行編輯。在本例中,它顯示防火墻策略ID 1的編輯頁面。
●?查看列表:查看所屬類別下的已選對象。在本例中,它將顯示所有防火墻策略的列表。
●?視圖屬性:顯示該對象在該配置中使用的位置。在此例中,地址對象all被用于該防火墻策略的目的地址和源地址。
??你可以右鍵單擊任何防火墻策略,以查看用于編輯或修改策略的不同菜單選項。包括啟用或禁用防火墻策略、插入防火墻策略(上面或下面)、復制和粘貼策略、反向克隆(僅當該策略禁用NAT時)。?
單擊在CLI中編輯將打開所選防火墻策略或對象的CLI控制臺。可以直接在CLI控制臺中修改所選防火墻策略或對象。
?你可以在GUI上使用每個列中的過濾器過濾防火墻策略。添加ID列后,單擊ID列過濾圖標,根據策略ID號對策略進行過濾和搜索。?
單擊名稱過濾器圖標,可以根據策略名稱等搜索策略。
??答案:A
??干得漂亮!你已經了解了如何在FortiGate上管理防火墻策略。現在,你將了解與防火墻策略相關的最佳實踐和故障排除。
?通過展示了解防火墻策略限制和使用策略匹配技術的能力,你將能夠在使用防火墻策略時應用最佳實踐和基本故障排除技術。
??配置防火墻對象名稱時,只支持特定字符。例如, Training(LAN)不是地址對象的有效名稱,因為它包含不受支持的特殊字符。雖然名稱中支持空格,但作為最佳實踐,請避免在名稱中使用空格。相反,應該使用連字符或下劃線。使用空格可能會導致在CLI上修改或故障排除時出現問題。
但是,在密碼、注釋、替換消息等中支持許多特殊字符。
??在對生產網絡進行配置變更之前,應始終規劃維護窗口,并為少數IP地址和用戶創建測試用例。通過GUI或CLI方式進行的配置更改立即生效,且可能導致業務中斷。
作為最佳實踐,盡量配置防火墻策略。這有助于限制對這些資源的訪問。例如,配置地址對象時,請使用正確的子網。
另一個值得一提的設置是安全配置文件。安全配置文件有助于為你的網絡提供適當的安全性。正確的日志配置還可以幫助你分析、診斷和解決常見的網絡問題。
??還記得只應用第一個匹配策略嗎?把你的策略安排在正確的位置很重要。它會影響哪些流量被阻止或允許。在適用接口對的部分中,FortiGate從頂部開始查找匹配策略。所以,你應該把更具體的政策放在上面;否則,更一般的策略將首先匹配流量,而更細粒度的策略將永遠不會應用。
在上圖所示的示例中,你正在將只匹配FTP流量的Block_FTP策略(ID 2)移動到更通用的Full_Access(接受來自所有地方的所有內容)策略之上。否則,FortiGate將始終在適用的接口對中應用第一個匹配策略Full_Access,并且永遠不會到達Block_FTP策略。
在策略列表中移動策略時,策略ID保持不變。
注意,在創建策略時,FortiGate會分配下一個最高的可用ID號。
注意,策略ID是標識符,默認情況下不會顯示在策略列表GUl上。你可以使用配置表設置圖標添加策略ID列。
??為了優化和鞏固防火墻策略,請始終檢查所有配置的設置。在上圖所示的示例中,這兩種防火墻策略在服務、安全配置文件和日志記錄設置方面存在差異。你可以通過組合服務和選擇適當的日志記錄設置來合并這兩種防火墻策略。
如果你日志設置選擇安全事件(UTM),則ALL_ICMP協議不生成流量日志流量。
請注意,ALL_ICMP服務不受web過濾器和反病毒掃描的影響,這意味著對ICMP流量應用這些安全配置文件將導致流量通過而不被檢查。
??你可以根據策略查找輸入條件找到匹配的防火墻策略。策略查找在FortiGate上創建一個沒有實際流量的包流。因此,策略查找可以從流跟蹤中提取策略ID,并在GUI策略配置頁面中突出顯示它。
根據你選擇的協議(例如TCP、UDP、IP、ICMP等等),你需要定義其他輸入條件。例如,選擇TCP協議時,需要定義源地址、源端口(可選)、目標端口和目標地址。當選擇ICMP協議時,需要定義ICMP類型/編碼、源地址和目標地址。
當FortiGate執行策略查找時,它會從上到下對匹配防火墻策略的入口、有狀態檢查和出口進行一系列檢查,然后為匹配策略提供結果。
注意,如果防火墻策略狀態設置為禁用,則策略查找將跳過禁用的策略,并在列表中檢查下一個匹配策略。
透明模式下,不支持策略查找功能。
?根據輸入條件,單擊搜索后,跟蹤結果將被選中,并在防火墻策略頁面中高亮顯示。
為什么策略ID 1或ID 2不匹配輸入條件?
由于策略ID 1狀態設置為禁用,策略查找將跳過禁用的策略。對于防火墻策略ID 2,它與策略查找匹配條件中指定的目標端口不匹配。
?答案:A
??答案:A
??恭喜你!你已經完成了這節課。現在,你將回顧本節課中涉及到的目標。
?上圖展示了你在這節課中涉及到的目標。通過掌握本課所涵蓋的目標,你學習了如何配置、使用和管理防火墻策略。
總結
以上是生活随笔為你收集整理的教程篇(7.2) 02. 防火墙策略 FortiGate安全 ❀ Fortinet网络安全专家 NSE4的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 这波 SpringFramework5.
- 下一篇: Yolov5进阶之七目标追踪最新环境搭建