FortiGate产品配置经验.pptVIP

FortiGate实施之前 初始安装前, 重新上载FortiOS版本 设备启动时，从Console观察有无错误信息 向Fortinet工程师咨讯最佳FortiOS版本 *1 先格式化CF卡，再上载FortiOS 可能的话，测试相关器件 专门的FortiGate硬件自检工具HQIP *2 去客户现场之前作好准备 收集网络和安全配置方面的需求 获取用户网络拓扑图或根据与用户的交流描绘拓扑图 可能的话，作好相应的配置以节省在客户现场的时间 FortiGate实施之前 物理层 线缆距离 双绞线 100M 适用10/100/1000或SFP铜口 多模光纤 550M 适用SX SFP光口 单模光纤 10KM 适用LX SFP光口 确认线缆质量完好 根据相邻设备的实际情况选择合适的接口协商模式 *3 *4 两端均auto 两端均强制指定为10/100/1000MFull 尽量避免出现一端auto、另一端强制的情况 可能的话，利用802.3AD的链路冗余特性 *5 网路/链路层 为性能和排错需要，路由条目越精简越好。定义适当的缺省路由 FortiGuard服务(AV/IPS/CF/AS)需要缺省路由 如果启用动态路由，建议启用路由认证功能 改用最近最快的DNS服务器 FortiGate实施之前 网路/链路层 STP/CDP/VTP set stpforward enable [conf sys interface] If VLANs are used, make sure you filter traffic only for the appropriate VLAN / Network segment Native vlan 如果交换机上的vlan1不是native vlan，则必须在FGT上创建相对应的vlan1 交换机上的native vlan与FGT上的物理接口相对应 Vlanforward 启用后，未定义的vlan流量将会转发，但不受防火墙策略控制 set vlanforward enable [conf sys interface] *6 Forward-domain 透明模式下，把内外接口的同一个VLAN划分在同一个广播域 set forward-domain integer [conf sys interface] *7 透明模式下，使用单独接口作为管理接口，并将其划入单独的VDOM 降低产生环路的风险 避免网络链路堵塞导致管理的困难 初始安装之后 备份两份配置: 自己一份、客户一份 注意只有加密配置文件备份才可以备份VPN证书 作好标记并安全保存 留下一份解释FortiGate周边设备拓扑的文档 一份文档解释 FG运行模式,接口相关参数,路由定义 防火墙/VPN的策略解释 保护内容表的服务启用情况 客户的注册信息 *8 FortiCare/FortiGuard服务包扩展 *9 一份运行状态文档 CPU/MEM利用率,并发会话数 *10 建立一周或一个月的基本运行状态文档 *11 系统管理 只允许内网的可信主机管理Fortinet设备 管理密码不少于6个字符，最好同时包含字母和数字 管理会话空闲超时不要太长，缺省5分钟是合适的 调整到正确的系统时间和时区 记录的日志与系统时间相关 对有LCD的型号，确认设置了PIN码 当部署多个设备时，用不同的设备主机名 设备序列号作主机名可能带来麻烦 防火墙 策略中尽量不用all作源/目的地址 尽可能不用FQDN地址 FortiGate自己发起DNS查询影响性能 策略中尽可能不用ANY作协议/服务 确有必要才启用流量日志 流量日志会影响系统性能 每条策略加上注释 比如谁是请求者和授权者等 如果可能不要用端口范围作服务 认证审核每个服务端口，避免留出漏洞 尽量使用地址组及服务组，以减少策略条数，既能优化性能，也能便于管理。 定义VIP时要特别小心 VIP采用了ARP代理的方法，而且定义后马上生效。 *13 最后一条是全deny的防火墙策略 防火墙策略尽量精确到单个IP地址、单个端口，这样既提高安全性，也能提高系统的性能和稳定性 入侵检测防护 最好用v3.00 MR6级以上的版本 重新设计，性能更好，配置更方便 在实施之前启用所有IPS检查 启用IPS特征，动作pass，记录日志 启用DoS，缺省阀值，动作pass，记录日志 运行一个工作周期后分析整理所有日志，决定以后的部署方案 只启用相关的IPS/DoS特征集 不要启用无关的IPS特征集 DoS的阀值应根据业务季特征作相应调整 IP-protocol *14 MR5之前, IPS缺省只检测TCP/UDP/ICMP协议 set ignore-session-bytes *15 缺省是200K, 实际