FortiGate

FortiGate

基于Fortinet专有的FortiASIC加速芯片
FortiAp

FortiAp

无线接入点的企业级、控制器管理设备
FortiWeb

FortiWeb

Web应用层防火墙
FortiMail

FortiMail

先进的反垃圾邮件和反病毒过滤功能

FortiSwitch跨三层Fortilink上线指导

在常用的Fortilink部署模式中, FortiSwitch直接连接防火墙,然后通过Fortilink被防火墙直接管理; 但是在有些客户的部署环境中, 核心或是汇聚是第三方厂家的交换机, 而接入交换机使用的是FortiSwitch, 在这种部署环境下, 可以开启交换机的跨三层Fortilink部署。本文详细介绍了交换机的跨三层Fortilink部署的上线指导,包括设备的上线和配置,以及部署实施后的维护指导。
TIM图片20190219155841.png


 
继续阅读 »
在常用的Fortilink部署模式中, FortiSwitch直接连接防火墙,然后通过Fortilink被防火墙直接管理; 但是在有些客户的部署环境中, 核心或是汇聚是第三方厂家的交换机, 而接入交换机使用的是FortiSwitch, 在这种部署环境下, 可以开启交换机的跨三层Fortilink部署。本文详细介绍了交换机的跨三层Fortilink部署的上线指导,包括设备的上线和配置,以及部署实施后的维护指导。
TIM图片20190219155841.png


  收起阅读 »

FortiGate 透明模式配置建议

路由和透明模式是 FortiGate 的两种运行模式,路由模式根据 IP 包进行路由转发,而透明模式则根据以太帧头作转发决定。任何 VDOM 都可以配置为路由或透明模式,NGFW 或者 UTM 功能在两种模式都是有效的。
 
路由和透明模式是 FortiGate 的两种运行模式,路由模式根据 IP 包进行路由转发,而透明模式则根据以太帧头作转发决定。任何 VDOM 都可以配置为路由或透明模式,NGFW 或者 UTM 功能在两种模式都是有效的。
 

Fortiauthenticator & FortiToken解决方案抵御暴力破解威胁

      最近几年,各种无授权访问企业资源的事件频繁发生,给企业带来巨大的损失。对于此类问题,黑客惯常采用暴力破解、撞库或者通过社交工程获取用户名密码,突破访问权限实现核心资源的访问。防范该问题的有效方法是在用户名密码基础上增加实物和一次性动态口令,又称双因子认证。
 
     双因子认证可以很大的加强公司账号管理的安全性,这一点已经在网络安全领域达成了比较一致共识,正因为如此双因子认证在企业的用户管理中越来越流行,但双因子认证如何才可以相对简单的部署到企业网络中这是一个难题,技术的应用如果过于复杂无疑将增加网络管理人员的部署和排错负担。 Fortinet拥有完善且部署简单的双因子认证解决方案,LDAP服务器作为企业统一的账号管理中心,FortiAuthenticator作为Radius服务器动态的同步LDAP服务器上的账号到本地用户组中并自动的为每一个用户分配(通过Email发送) FortiToken Mobile激活码/二维码,FortiGate作为VPN网关或Radius NAS设备,用户只需要在手机(安卓/iOS)上安装FortiToken Moblie APP,然后通过APP扫描邮件中的激活二维码即可启动6或8位数字的动态Token码,这样就可以完善的实现将LDAP上的账号+双因子Token应用到VPN或设备管理中,后期网络管理人员只需要在LDAP上添加一个User(拥有Email属性)即可实现该用户的双因子认证。
 
FAC_TOKEN.png

Fortiauthenticator&FortiToken解决方案 抵御暴力破解威胁.pdf
继续阅读 »
      最近几年,各种无授权访问企业资源的事件频繁发生,给企业带来巨大的损失。对于此类问题,黑客惯常采用暴力破解、撞库或者通过社交工程获取用户名密码,突破访问权限实现核心资源的访问。防范该问题的有效方法是在用户名密码基础上增加实物和一次性动态口令,又称双因子认证。
 
     双因子认证可以很大的加强公司账号管理的安全性,这一点已经在网络安全领域达成了比较一致共识,正因为如此双因子认证在企业的用户管理中越来越流行,但双因子认证如何才可以相对简单的部署到企业网络中这是一个难题,技术的应用如果过于复杂无疑将增加网络管理人员的部署和排错负担。 Fortinet拥有完善且部署简单的双因子认证解决方案,LDAP服务器作为企业统一的账号管理中心,FortiAuthenticator作为Radius服务器动态的同步LDAP服务器上的账号到本地用户组中并自动的为每一个用户分配(通过Email发送) FortiToken Mobile激活码/二维码,FortiGate作为VPN网关或Radius NAS设备,用户只需要在手机(安卓/iOS)上安装FortiToken Moblie APP,然后通过APP扫描邮件中的激活二维码即可启动6或8位数字的动态Token码,这样就可以完善的实现将LDAP上的账号+双因子Token应用到VPN或设备管理中,后期网络管理人员只需要在LDAP上添加一个User(拥有Email属性)即可实现该用户的双因子认证。
 
FAC_TOKEN.png

Fortiauthenticator&FortiToken解决方案 抵御暴力破解威胁.pdf 收起阅读 »

使用Zabbix监控防火墙的SNMP接口数据-Zabbix配置

配置Zabbix监控防火墙的接口流量信息,需自行安装Centos,安装Zabbix SNMP监控平台,安装snmpwalk工具,进行防火墙SNMP配置以及Zabbix添加防火墙等,文档内容仅有配置Zabbix监控防火墙接口的步骤,方法适用于使用无法准确使用Zabbix监控需要监控的接口
文档:https://pan.baidu.com/s/1SdLTXvXqc9XZ-Ra2qtTY5w
 
文档引用kmliu输出的文档及附件,关于防火墙的SNMP配置信息非常详细
http://wen.fortinet.com.cn/article/491
继续阅读 »
配置Zabbix监控防火墙的接口流量信息,需自行安装Centos,安装Zabbix SNMP监控平台,安装snmpwalk工具,进行防火墙SNMP配置以及Zabbix添加防火墙等,文档内容仅有配置Zabbix监控防火墙接口的步骤,方法适用于使用无法准确使用Zabbix监控需要监控的接口
文档:https://pan.baidu.com/s/1SdLTXvXqc9XZ-Ra2qtTY5w
 
文档引用kmliu输出的文档及附件,关于防火墙的SNMP配置信息非常详细
http://wen.fortinet.com.cn/article/491 收起阅读 »

Fortinet SAA上线指南

SAA (Secure Access Architecture) 是Fortinet针对中小企业推出的有线无线一体的安全解决方案, 包括有线无线设备的接入和认证, 通过防火墙来统一管理网络中的有线和无线设备, 并且有线交换机和无线AP都是即插即用,非常方便易用。本文详细介绍了Fortinet的SAA方案上线和部署方法,包括设备的上线和配置,以及部署实施后的维护指导。
SAA.png


 
继续阅读 »
SAA (Secure Access Architecture) 是Fortinet针对中小企业推出的有线无线一体的安全解决方案, 包括有线无线设备的接入和认证, 通过防火墙来统一管理网络中的有线和无线设备, 并且有线交换机和无线AP都是即插即用,非常方便易用。本文详细介绍了Fortinet的SAA方案上线和部署方法,包括设备的上线和配置,以及部署实施后的维护指导。
SAA.png


  收起阅读 »

FortiWeb配置防盗链

盗链的定义为此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。
防盗链是通过在限制HTTP协议中一个表头字段叫referer,referer采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源,就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。本文描述通过FortiWeb的高级防护规则限制http referer来实现防止恶意盗链。
继续阅读 »
盗链的定义为此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。
防盗链是通过在限制HTTP协议中一个表头字段叫referer,referer采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源,就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。本文描述通过FortiWeb的高级防护规则限制http referer来实现防止恶意盗链。 收起阅读 »

Fortigate与监控运维的故事

     接触飞塔4年有余,浅谈一下个人这些年来的与飞塔运维的故事。我只谈解决方案,个人的解决方案。
 
---------------------------------------------登陆篇--Jumpserver----------------------------------------
这个不多说,为了防止坏人暴力登陆设备,我将飞塔加入了开源跳板机jumpserver平台,并启用MFA认证,保证登陆设备的人员的唯一性,配置回溯准确性。

1544170402(1).jpg


1544170261(1).jpg

 
----------------------------------------------监控篇--Zabbix-------------------------------------------
这个也不用多说,大多数公司的监控解决方案,基本包含端口流量,CPU,内存,Session会话,ICMP。其中监控Session是因为有次被攻击,会话数飙到10几万,然后我却不知道,所以加入session监控与告警,了解时事情况。

1544170669(1).jpg

 
---------------------------------------------日志篇--ELK------------------------------------------------
这个是研究大头,花了不少时间。之所以选择ELK,开源,自定义强大,能达到类似功能的都是商业版的,尝试过OPM和splunk解决方案,感觉也不是我太想要的结果。飞塔日志结合ELK,难点在对于日志的切割,花了不少时间处理这个。解决完日志切割,剩下的就是处理Kibana的报表了。这里我不单独展示大的图,整体的看下效果。日志类型,百分比,登陆事件,应用时间,攻击事件,病毒时间,配置变更事件,都可以进行记录和回溯,还有很多报表可以做。

1544172296(1).jpg


1544171076(1).jpg


1544171201(1).jpg

 
---------------------------------------------告警篇--暂时Grafana--------------------------------------
飞塔实现告警的方式很多,流量,CPU,内存,Session,可以通过zabbix监控解决。
对于日志,可以通过防火墙自带的日志邮件功能解决,但是吧,自带的不能自定义,而且我到现在也没测试成功,可能是我配置问题,社区有很多人好像测试可以的。
因为我用ELK收集日志,所以优先使用ELK方案。关于ELK发送日志告警,网上解决方案较多,我目前还在测试。考虑到过度解决需要解决日志告警问题,目前我利用Grafana拉取ELK日志,在Grafana中配置告警功能,发送到钉钉。当然,这种方式的告警很机械,也不能自定义,实属过度方案。

1544172541(1).jpg


1544171919(1).jpg


1544171936(1).jpg

 
未完待续---------------------------------------------------------------------
继续阅读 »
     接触飞塔4年有余,浅谈一下个人这些年来的与飞塔运维的故事。我只谈解决方案,个人的解决方案。
 
---------------------------------------------登陆篇--Jumpserver----------------------------------------
这个不多说,为了防止坏人暴力登陆设备,我将飞塔加入了开源跳板机jumpserver平台,并启用MFA认证,保证登陆设备的人员的唯一性,配置回溯准确性。

1544170402(1).jpg


1544170261(1).jpg

 
----------------------------------------------监控篇--Zabbix-------------------------------------------
这个也不用多说,大多数公司的监控解决方案,基本包含端口流量,CPU,内存,Session会话,ICMP。其中监控Session是因为有次被攻击,会话数飙到10几万,然后我却不知道,所以加入session监控与告警,了解时事情况。

1544170669(1).jpg

 
---------------------------------------------日志篇--ELK------------------------------------------------
这个是研究大头,花了不少时间。之所以选择ELK,开源,自定义强大,能达到类似功能的都是商业版的,尝试过OPM和splunk解决方案,感觉也不是我太想要的结果。飞塔日志结合ELK,难点在对于日志的切割,花了不少时间处理这个。解决完日志切割,剩下的就是处理Kibana的报表了。这里我不单独展示大的图,整体的看下效果。日志类型,百分比,登陆事件,应用时间,攻击事件,病毒时间,配置变更事件,都可以进行记录和回溯,还有很多报表可以做。

1544172296(1).jpg


1544171076(1).jpg


1544171201(1).jpg

 
---------------------------------------------告警篇--暂时Grafana--------------------------------------
飞塔实现告警的方式很多,流量,CPU,内存,Session,可以通过zabbix监控解决。
对于日志,可以通过防火墙自带的日志邮件功能解决,但是吧,自带的不能自定义,而且我到现在也没测试成功,可能是我配置问题,社区有很多人好像测试可以的。
因为我用ELK收集日志,所以优先使用ELK方案。关于ELK发送日志告警,网上解决方案较多,我目前还在测试。考虑到过度解决需要解决日志告警问题,目前我利用Grafana拉取ELK日志,在Grafana中配置告警功能,发送到钉钉。当然,这种方式的告警很机械,也不能自定义,实属过度方案。

1544172541(1).jpg


1544171919(1).jpg


1544171936(1).jpg

 
未完待续--------------------------------------------------------------------- 收起阅读 »

FortiGate与FAC对接 MAC+Portal认证测试介绍

      Portal认证是无线网络部署时经常用到的一种认证方式, 主要用于访客对于无线网络的访问, 在实际使用过程中, 经常会遇到的一种情况,就是用户通过Portal认证后, 离开无线网络一段时间后,又再次接入无线网络时, 需要重新做Portal认证, 这样造成无线用户不方便的使用体验。
 
      针对无线用户的这种使用情况, 我们可以配置无线MAC+Portal认证, 通过后台的MAC无感知认证来代替Portal认证,提高用户无线使用体验。
 
 
继续阅读 »
      Portal认证是无线网络部署时经常用到的一种认证方式, 主要用于访客对于无线网络的访问, 在实际使用过程中, 经常会遇到的一种情况,就是用户通过Portal认证后, 离开无线网络一段时间后,又再次接入无线网络时, 需要重新做Portal认证, 这样造成无线用户不方便的使用体验。
 
      针对无线用户的这种使用情况, 我们可以配置无线MAC+Portal认证, 通过后台的MAC无感知认证来代替Portal认证,提高用户无线使用体验。
 
  收起阅读 »

FortiSwitch连接IP电话Trunk VLAN

      在FortiSwitch实际部署中, FortiSwitch经常会接入有线IP电话, 而IP电话同时工作在bridge模式下又连接一个有线电脑终端;在这种组网模式下, 有的客户需要让IP电话和有线终端工作在不同VLAN, 即有线终端工作在连接的交换机的Native VLAN, 而IP电话工作在一个Trunk VLAN, 并且不需要在IP电话上做任何配置修改。
 
     本文描述了FortiSwitch在遇到这种组网需求时的配置和调试, 对于IP电话的VLAN设置, 是通过LLDP-MED协商来实现的, 交换机端口使能了配置的lldp profile后, 会通过LLDP 报文将包括VLAN在内的相关信息组播发送给对端连接的IP电话, IP电话收到交换机LLDP报文后, 通过LLDP协商获取到相关的VLAN信息。


 
继续阅读 »
      在FortiSwitch实际部署中, FortiSwitch经常会接入有线IP电话, 而IP电话同时工作在bridge模式下又连接一个有线电脑终端;在这种组网模式下, 有的客户需要让IP电话和有线终端工作在不同VLAN, 即有线终端工作在连接的交换机的Native VLAN, 而IP电话工作在一个Trunk VLAN, 并且不需要在IP电话上做任何配置修改。
 
     本文描述了FortiSwitch在遇到这种组网需求时的配置和调试, 对于IP电话的VLAN设置, 是通过LLDP-MED协商来实现的, 交换机端口使能了配置的lldp profile后, 会通过LLDP 报文将包括VLAN在内的相关信息组播发送给对端连接的IP电话, IP电话收到交换机LLDP报文后, 通过LLDP协商获取到相关的VLAN信息。


  收起阅读 »

HA独立管理VDOM(升级版的HA独立管理口)

HA独立管理Vdom通过保留专用于管理的Vdom,提供对集群设备的直接管理访问。
MGMT VDOM的端口分配是被同步的,但是VDOM中的所有配置都不会同步。用户可以登录到每个设备上的任何端口,并为管理VDOM单独设置IP。
该特性允许备设备直接发送系统日志及trap信息到syslog或SNMP服务器等。与此类似,FortiGate具有HA储备管理接口特性。但是HA储备管理接口对于远程syslog日志记录有一些限制。在配置远程日志记录时,所有集群节点日志发送到FortiAnalyzer或其他远程日志服务器时,HA使用路由和 inter-VDOM链路将备设备日志流量通过主设备路由发送到网络当中。在配置HA独立管理Vdom时,可以验证哪些设备正在发送日志到syslog服务器。
继续阅读 »
HA独立管理Vdom通过保留专用于管理的Vdom,提供对集群设备的直接管理访问。
MGMT VDOM的端口分配是被同步的,但是VDOM中的所有配置都不会同步。用户可以登录到每个设备上的任何端口,并为管理VDOM单独设置IP。
该特性允许备设备直接发送系统日志及trap信息到syslog或SNMP服务器等。与此类似,FortiGate具有HA储备管理接口特性。但是HA储备管理接口对于远程syslog日志记录有一些限制。在配置远程日志记录时,所有集群节点日志发送到FortiAnalyzer或其他远程日志服务器时,HA使用路由和 inter-VDOM链路将备设备日志流量通过主设备路由发送到网络当中。在配置HA独立管理Vdom时,可以验证哪些设备正在发送日志到syslog服务器。 收起阅读 »