FortiGate

FortiGate

基于Fortinet专有的FortiASIC加速芯片
FortiAp

FortiAp

无线接入点的企业级、控制器管理设备
FortiWeb

FortiWeb

Web应用层防火墙
FortiMail

FortiMail

先进的反垃圾邮件和反病毒过滤功能

6.0版本,我要做SD-WAN,有人做过吗?需要注意什么

回复

FortiGategxowei 回复了问题 • 2 人关注 • 1 个回复 • 879 次浏览 • 2018-12-26 16:42 • 来自相关话题

FortiWeb配置防盗链

FortiWebkmliu 发表了文章 • 1 个评论 • 216 次浏览 • 2018-12-25 17:24 • 来自相关话题

盗链的定义为此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。
防盗链是通过在限制HTTP协议中一个表头字段叫referer,referer采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源,就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。本文描述通过FortiWeb的高级防护规则限制http referer来实现防止恶意盗链。 查看全部
盗链的定义为此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。
防盗链是通过在限制HTTP协议中一个表头字段叫referer,referer采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源,就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。本文描述通过FortiWeb的高级防护规则限制http referer来实现防止恶意盗链。

fortigate 怎样开case的呢?

回复

FortiGatetianwen 回复了问题 • 1 人关注 • 1 个回复 • 382 次浏览 • 2018-12-19 14:32 • 来自相关话题

关于重叠子网的站点到站点IPsec VPN场景中的VIP应用问题

VPNkmliu 回复了问题 • 3 人关注 • 1 个回复 • 335 次浏览 • 2018-12-18 16:25 • 来自相关话题

fortigate 30E tunnel interface 如何建立

FortiGatekmliu 回复了问题 • 3 人关注 • 3 个回复 • 425 次浏览 • 2018-12-14 18:42 • 来自相关话题

fortigate 和 ssg140 基于路由的模式 建设点到点的ipsec vpn

VPNkmliu 回复了问题 • 2 人关注 • 6 个回复 • 574 次浏览 • 2018-12-14 15:42 • 来自相关话题

飞塔90E-网站过滤问题

防火墙chang 回复了问题 • 2 人关注 • 1 个回复 • 223 次浏览 • 2018-12-14 11:01 • 来自相关话题

最近在割接防火墙,飞塔替换juniper,遇到些问题来看看大家怎么解决

FortiGatekuky_liu1978 回复了问题 • 3 人关注 • 3 个回复 • 814 次浏览 • 2018-12-10 17:16 • 来自相关话题

策略开启了web-filter拦截了某个网站,但开通网站的白名单后仍然拦截

防火墙lpx 回复了问题 • 6 人关注 • 4 个回复 • 849 次浏览 • 2018-12-10 15:54 • 来自相关话题

Fortigate与监控运维的故事

FortiGate糊涂的金晨曦 发表了文章 • 3 个评论 • 819 次浏览 • 2018-12-07 16:40 • 来自相关话题

     接触飞塔4年有余,浅谈一下个人这些年来的与飞塔运维的故事。我只谈解决方案,个人的解决方案。
 
---------------------------------------------登陆篇--Jumpserver----------------------------------------
这个不多说,为了防止坏人暴力登陆设备,我将飞塔加入了开源跳板机jumpserver平台,并启用MFA认证,保证登陆设备的人员的唯一性,配置回溯准确性。










 
----------------------------------------------监控篇--Zabbix-------------------------------------------
这个也不用多说,大多数公司的监控解决方案,基本包含端口流量,CPU,内存,Session会话,ICMP。其中监控Session是因为有次被攻击,会话数飙到10几万,然后我却不知道,所以加入session监控与告警,了解时事情况。





 
---------------------------------------------日志篇--ELK------------------------------------------------
这个是研究大头,花了不少时间。之所以选择ELK,开源,自定义强大,能达到类似功能的都是商业版的,尝试过OPM和splunk解决方案,感觉也不是我太想要的结果。飞塔日志结合ELK,难点在对于日志的切割,花了不少时间处理这个。解决完日志切割,剩下的就是处理Kibana的报表了。这里我不单独展示大的图,整体的看下效果。日志类型,百分比,登陆事件,应用时间,攻击事件,病毒时间,配置变更事件,都可以进行记录和回溯,还有很多报表可以做。















 
---------------------------------------------告警篇--暂时Grafana--------------------------------------
飞塔实现告警的方式很多,流量,CPU,内存,Session,可以通过zabbix监控解决。
对于日志,可以通过防火墙自带的日志邮件功能解决,但是吧,自带的不能自定义,而且我到现在也没测试成功,可能是我配置问题,社区有很多人好像测试可以的。
因为我用ELK收集日志,所以优先使用ELK方案。关于ELK发送日志告警,网上解决方案较多,我目前还在测试。考虑到过度解决需要解决日志告警问题,目前我利用Grafana拉取ELK日志,在Grafana中配置告警功能,发送到钉钉。当然,这种方式的告警很机械,也不能自定义,实属过度方案。















 
未完待续--------------------------------------------------------------------- 查看全部
     接触飞塔4年有余,浅谈一下个人这些年来的与飞塔运维的故事。我只谈解决方案,个人的解决方案。
 
---------------------------------------------登陆篇--Jumpserver----------------------------------------
这个不多说,为了防止坏人暴力登陆设备,我将飞塔加入了开源跳板机jumpserver平台,并启用MFA认证,保证登陆设备的人员的唯一性,配置回溯准确性。

1544170402(1).jpg


1544170261(1).jpg

 
----------------------------------------------监控篇--Zabbix-------------------------------------------
这个也不用多说,大多数公司的监控解决方案,基本包含端口流量,CPU,内存,Session会话,ICMP。其中监控Session是因为有次被攻击,会话数飙到10几万,然后我却不知道,所以加入session监控与告警,了解时事情况。

1544170669(1).jpg

 
---------------------------------------------日志篇--ELK------------------------------------------------
这个是研究大头,花了不少时间。之所以选择ELK,开源,自定义强大,能达到类似功能的都是商业版的,尝试过OPM和splunk解决方案,感觉也不是我太想要的结果。飞塔日志结合ELK,难点在对于日志的切割,花了不少时间处理这个。解决完日志切割,剩下的就是处理Kibana的报表了。这里我不单独展示大的图,整体的看下效果。日志类型,百分比,登陆事件,应用时间,攻击事件,病毒时间,配置变更事件,都可以进行记录和回溯,还有很多报表可以做。

1544172296(1).jpg


1544171076(1).jpg


1544171201(1).jpg

 
---------------------------------------------告警篇--暂时Grafana--------------------------------------
飞塔实现告警的方式很多,流量,CPU,内存,Session,可以通过zabbix监控解决。
对于日志,可以通过防火墙自带的日志邮件功能解决,但是吧,自带的不能自定义,而且我到现在也没测试成功,可能是我配置问题,社区有很多人好像测试可以的。
因为我用ELK收集日志,所以优先使用ELK方案。关于ELK发送日志告警,网上解决方案较多,我目前还在测试。考虑到过度解决需要解决日志告警问题,目前我利用Grafana拉取ELK日志,在Grafana中配置告警功能,发送到钉钉。当然,这种方式的告警很机械,也不能自定义,实属过度方案。

1544172541(1).jpg


1544171919(1).jpg


1544171936(1).jpg

 
未完待续---------------------------------------------------------------------