返回
02-防火墙策略

02-防火墙策略

ID:42103310

大小:332.50 KB

页数:23页

时间:2019-09-08

02-防火墙策略_第1页
02-防火墙策略_第2页
02-防火墙策略_第3页
02-防火墙策略_第4页
02-防火墙策略_第5页
资源描述:

《02-防火墙策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、防火墙策略Course201二层协议的穿越——基于接口控制非ip的二层协议的穿过FortiGate本身不能够参与STP协议,但是可以设置其通过控制vlan数据包是否直接放过控制arp广播包穿过configsysteminterfaceeditinterface_namesetl2forwardenablesetstpforwardenablesetvlanforwardenablesetarpforwardenableend多播流量的控制多播流量在缺省状态下不能透明穿越防火墙部署多播策略允许多播流量可以对多播流量进行nat在

2、透明模式下,也可以不通过策略方式,而直接设置全局选项multicast-forwardenable是否更改多模的ttl基于RADIUS的防火墙认证FortiGate作为networkaccessserver(NAS)用户信息被送到RADIUSserver用户的认证取决于服务器的响应对象识别识别IP地址和共享密钥,最多支持两个RADIUSserversRADIUS对象可以用来所有的服务的认证Admin用户的Radius认证软交换接口(1)——概念软交换接口模式在物理接口之间创建桥连接每个软交换接口可以指定一个逻辑IP地址MR6

3、中只能使用命令方式配置不能用于HAmonitor或心跳接口软交换接口(2)——配置在MR7加入GUI支持configsystemswitch-interfaceedit"switch-1"setmember"port4""port5"nextendconfigsysteminterfaceedit"switch-1"setvdom"root"setip10.166.0.204255.255.254.0setallowaccesspinghttpssettypeswitchnextend软交换接口(3)———GUI视图GUI视

4、图Ports4&5被从接口列表中删除只有空接口可以被加入到软交换接口已有任何配置的接口(如DNS转发、静态路由、防火墙策略等)的接口都不能加入软交换接口组软交换接口(4)——数据包行为软交换接口组中各接口之间的流量无需防火墙策略控制软交换接口被视为一个物理接口,就像链路聚合接口一样可以在软交换接口上配置VLAN接口软交换接口(5)——注意事项所有的物理接口都可以加入到软交换接口中标准接口FA2接口NP2接口无线接口(FortiWiFi)以上接口可以在软交换接口中混合存在FortiGate不参与spanningtree不发送S

5、TP包不接收STP包因此需要注意LOOPS可能产生!!!软交换接口(6)——NAT/Route方案L2switchL2switch交换机所有接口上都启用SpanningtreeIPbroadcast软交换接口(7)——避免Loop为了避免loop,需要开启FortiGate接口上的stpforward配置软交换组中的物理接口================================================================================PortStg===============

6、=================================================================ENABLEFORWARDCHANGESIDPORT_NUMPRIOSTATESTPFASTSTARTPATHCOSTTRANSITIONDETECTION--------------------------------------------------------------------------------12/12128forwardingtruefalse1012true12/1312

7、8blockingtruefalse1012trueconfigsysteminterfaceedit"port3"setvdom"root"setstpforwardenable软交换接口(8)——TroubleshootingSniffing可以在物理或软交换接口上使用如果在软交换接口上使用sniffer命令,内部的交换流量不会捕获#diagsniffpacketswitch-1interfaces=[switch-1]filters=[none]软交换接口(9)——转发表(FDB)检查软交换接口的FDB#diagnet

8、linkbrctllistlistbridgeinformationswitch-1fdb:size=256used=6num=6depth=1simple=yes#diagnetlinkbrctlnamehostswitch-1showbridgecontrolinterfaceswit

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。