问候! 欢迎来到第四本《
Fortinet入门》课程。 在
上一课中,我们为将来的实验室工作部署了布局。 现在该使用它了! 在本课程中,我们将分析区分网络段之间访问的安全策略的基础。 在猫下,介绍了视频的简要理论以及视频课程本身。
防火墙策略是一组标准的依据,将根据这些标准检查落在防火墙上的数据包。 在这里值得注意的是FortiGate是一个statfull防火墙,即具有会话记忆功能的防火墙。 这意味着,如果防火墙策略允许会话中的第一个数据包,则不会检查给定会话中的任何数据包是否符合策略-记住并允许该会话。 接下来,只有流量会作为内容检查的一部分进行检查(但稍后会进行更多介绍)。
重要说明-严格从上到下检查流量是否符合策略。 如果流量符合所有策略标准,则策略中指定的操作将应用于此流量(接受或拒绝)。 如果流量不符合所有策略的条件,则将“隐式拒绝”策略应用于该流量,并将该流量丢弃。
让我们简要回顾一下政策的标准。
前三个条件是入站接口,出站接口和源。 入站和出站接口可以是一个或多个接口。 但是,默认情况下,策略中禁止使用多个接口;该视频教程显示了如何启用此选项。 使用多个接口的一种特殊情况是Any接口。 它包括所有可能的接口。 此外,作为接口,您可以使用预先配置的区域-接口的逻辑组。
大量对象可以用作源;它们在幻灯片上显示。 但是有一些规则:
必须至少将以下对象之一指定为源:IP地址或IP地址范围,子网,FQDN,地理位置或Internet服务数据库中的对象。 此外,如果需要,您可以通过选择用户,用户组或特定设备来指定策略。 用户和用户组可以是本地或远程的。 本课程稍后将考虑使用远程身份验证服务器。 不幸的是,我们不会考虑使用单个设备,这种材料超出了本课程的范围。
类似于源条件,目标条件可以使用以下对象:IP地址或地址范围,子网,FQDN,地理位置或Internet服务的数据库对象。
如果您使用FQDN,请确保FortiGate和DNS服务器正确通信,因为Fortigate使用DNS查询来确定FQDN的IP地址。
地理对象表示分配给特定国家/地区的IP地址的组或范围。 这些对象通过FortiGuard自动更新。
值得一提的是有关Internet服务数据库的几句话。 它包含流行的Internet服务(例如Amazon,Dropbox,Facebook等)的IP地址,协议和端口号。 这些数据也可以通过FortiGuard自动更新。
服务标准定义了传输协议(UDP / TCP等)以及端口号。 您可以使用预安装的服务,必要时还可以创建自己的服务。
最后一个标准是时间表。 它可以分为两种:长期的和一次性的。 从长远来看,您可以选择一周中必要的日子并确定时间。 在这种情况下,将调度的特定标准绑定到的策略将检查数据包通过的日期和时间。 第二种类型是一次性计划。 在这种情况下,您可以设置必要的日期和时间段(例如,由于是一次性工作,员工将需要在特定的日期和时间进行远程访问)。
最后,我们研究了防火墙策略的所有标准。 如我所说,如果网络数据包符合所有这些条件,则策略中指定的操作将应用于流量。
其余的要练习。 在视频教程中将更详细地讨论上述理论和实践部分:
在下一课中,我们将练习使用NAT技术来将用户释放到Internet以及发布内部服务。 为了不错过它,请随时关注以下频道的更新:
优酷VKontakte集团Yandex Zen我们的网站电报频道