宽带篇(5.4) 03. 防火墙策略 ❀ 飞塔 (Fortinet) 防火墙

　　【简介】在这个实验里，你将在FortiGate飞塔防火墙建立防火墙策略。

---

  建立防火墙地址对象和策略

        在这个练习里，你将配置防火墙地址对象，你还将配置IPv4防火墙策略，并在其中使用防火墙地址对象，以及时间表、服务和日志选项。然后，你将测试通过防火墙策略的流量，并检查你的流量的日志。

        ① 选择菜单【策略&对象】－【地址】。我们可以看到系统已经默认建立了很多地址，点击【新建】－【地址】。

        ② 输入用户名，标明是本地内网地址，输入内网地址网段，接口默认any ，也可以直接指定某个接口，这样在策略里只有符合这个接口的地址对象才会显示，点击【确认】。

        ③ 选择菜单【策略&对象】－【IPv4】。新设备通常只有一条隐含策略和一条上网策略，所有的策略都需要我们去新建。点击【新建】。

        ④ 新建一条上网策略，输入易于理解的用户名，流入接口选择内网接口，流入接口选择宽带接口，源地址选择刚才新建的地址对象，很多人也会用默认的ALL，建议在策略里尽量少用ALL地址。服务里我们可以选择常用的上网服务，但在现在上网并不单纯的打开网页，还要使用QQ等软件，所以通常也会默认为ALL。内网访问宽带，一定要启用NAT。日志记录选择全部会话，这样虽然会产生大量日志，影响部分防火墙的性能，但是可以查询、分析故障原因。

       ⑤ 如果要查看通过这条策略的日志，可以在策略上点击鼠标右键，选择【显示区配日志】。

       ⑥ 会跳转到转发流量日志，过滤的条件是策略UUID。

       ⑦ 我们也可以用FortView查看通过此策略的内容，在策略上点击鼠标右键，选择【在FortiView中显示】。

       ⑧ 我们可以看到通过这条策略更多的详细信息。

  对防火墙策略重新排序

       在源接口与目标接口都相同的策略里，FortiGate执行策略的次序是从上到下，所以通常你应该把优先执行的策略放在首位，否则，更一般的策略将首先与流量匹配，而你的更细粒度的策略将永远不会被应用。

        ① 新建一条常规的全开放的上网策略，流入接口和流出接口与上一次建立的策略相同。

        ② 默认情况下，我们只能看到策略的Seq.#，也就是***。在标题上（不是策略上）点击鼠标右键，弹出菜单可用的列里选择ID。

        ③ 鼠标按住ID，拖动鼠标，可以改变ID在列表中的顺序，我们拖到Seq.#下面。

        ④ 现在我们可以看到，Seq.#是策略的顺序ID，而ID才是策略的真实ID，在CLI命令模式下，都是用这个ID的。

       ⑤ 鼠标按住***，上、下拖动鼠标，就可以更改策略的顺序了，顺序在上面的优先执行。例如源地址为ALL的ID号为1的策略在上面的话，将优先执行，而更细粒度的ID为8的策略将不再执行。

  设备识别

       通过在源字段中选择设备，可以通过设备类型来匹配流量。有两种类型的设备识别。一种是无代理设备识别，使用来自设备的流量和由MAC地址索引的设备。另一种是使用FortiClient基于代理的设备识别，它将唯一的FortiClient ID发送到FortiGate。在这个实验室里，你将使用无代理设备识别技术。你将在源字段中添加该设备到现有的防火墙策略，并观察防火墙策略源匹配行为。

        ① 编辑刚才指定了Local_Subnet源地址的上网策略，点击源地址，弹出菜单里选择设备，选择Linux PC。

        ② 这条策略的作用变成了只有internal接口Local_Subnet IP地址的Linux 电脑才可以上网。

        ③ 设置完成会出现提示，将会自动的启用internal接口的设备发现功能。

        ④ 由于策略只允许Linux PC通过，这里我们用Windows上网，无法打开网页，流量被阻止了。

       ⑤ 防火墙默认有一条隐式拒绝策略，就是当所有策略都不运行时，禁止所有接口流量访问。

       ⑥ 编辑隐式拒绝策略，默认情况下是不记录拒绝流量的，如果想查看拒绝信息，可以启用启录拒绝流量。

       ⑦ 鼠标点击隐式拒绝策略，弹出菜单里选择显示匹配日志，就可以显示记录的拒绝信息了。

       ⑧ 鼠标右键点击策略的条目，比如源地址，弹出窗口选择【选择条目】。

       ⑨ 我们看到在没有打开策略编辑窗口的情况下，就可以直接修条目内容了，已经设置的内容会用黄色显示，要删除的话只要点击黄色已选，变成白色就可以了，这里将Linux PC不选择，选择Windows PC。

       ⑩ 选择菜单【用户&设备】-【Device Inventory】，点开【Windows PC】，可以看到搜索到intelnal接口下的所有Windows PC设备信息。

       (11)  在CLI命令模式下输入命令 diagnose user device list ，也可以获得有关设备的具体信息。

       (12)  已识别的设备只是被缓存在FortiGate中，并没有添加到配置文件中。输入命令 show user device ，可以看到配置文件是空的。

       (13)  回到Device Inventory窗口，选择已识别到的我的电脑，点击【编辑】。

       (14)  输入别名和注释，上传使用者的头像图片，当然你还可以根据实际情况划分到工作组。

       (15)  可以看到修改后设备的显示已经改变，通过头像及名称，你可以轻易的在众多设备中找到你要的设备。

       (16)  再次查看用户配置文件，这一次有内容了。

       (17)  再次在策略里选择设备时，就可以选择具体定义的设备了。

       (18)  如果FortiGate有接FortiAP，编辑FortiAP的SSID。

       (19)  启用设备控测功能。

       (20)  那么FortiGate防火墙的Device Inventory，不光可以搜索到连接到防火墙下的设备，还可以搜索到连接到FortiAP下的无线设备。通过策略允许或禁止某些手机上网就可以很轻松的实现了。

  策略查找

        根据策略查找输入条件，可以找到匹配的防火墙策略，它基本上是在FortiGate没有真实流量的情况下创建了包流量。从这个包流量中，FortiGate可以提取策略ID并在GUI 策略配置页面上突出显示。

        ① 选择菜单【策略&对象】－【IPv4】。点击【策略查找】。

        ② 查找经过internl接口的192.168.28.24这台电脑，访问fortinet.com时用的是哪些条策略。

        ③ 防火墙很快有彩色条显示出走的是哪条策略

        ④ Ping内网的一台服务器地址。

       ⑤ 查询Ping 172.16.1.1走的是哪条策略。

       ⑥ 很快得到了结果。

---