Fortigate防火墙二层接口的几种实现方式

最新推荐文章于 2024-11-28 10:05:40 发布
原创 最新推荐文章于 2024-11-28 10:05:40 发布 · 3.3k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#network #security #firewall #Fortigate

初始配置

FortiGate出厂配置默认地址为192.168.1.99(MGMT接口),可以通过https的方式进行web管理(默认用户名admin,密码为空),不同型号设备用于管理的接口略有不同。

console接口的配置

在这里插入图片描述

防火墙查看命令

show full-configuration              #查看设备全部的配置信息
get system performance status        #查看设备运行状态,包括cpu、内存利用率
get system session status            #查看会话数
get system arp                       #查看arp列表
get system ha status                 #查看ha状态
get system interface physical        #查看物理接口状态
get system status                    #查看系统信息,包括软硬件版本、设备名、时间等等
get router info routing-table all    #查看路由表
get system session list              #查看会话列表
get system admin list                #查看登录用户信息

防火墙修改管理协议

FG1240B # config system interface
FG1240B (interface) # 
# show命令可以查看现有配置信息
FG1240B (interface) # show
    edit "port28"
        set vdom "root"
        set ip 10.1.1.11 255.255.255.240
        set allowaccess ping snmp telnet
        set vlanforward enable
        set type physical
        set alias "outside"
        set snmp-index 28
    next
FG1240B (interface) # edit port28 
# 在set allowaccess命令中增加http
FG1240B (port28) # set allowaccess ping http snmp telnet
# 输入命令end,退出后直接保存
FG1240B (port28) # end
FG1240B #

交换接口

使用交换接口的目的在于两个接口共享一个IP地址,由于Camtel只能给大学提供一条链路,为了减少单点故障,Camtel的设备最好能够同时连接两台大学的NE40路由器,且使用一个IP地址,Fortigate 500设备提供了这种功能,可以通过软交换或交换接口来实现,具体区别如下:

VLAN/Hardware与Software Switch的区别:

功能VLAN/Hardware switchSoftware switch
转发数据包由设备硬件交换机或SPU在硬件层面处理数据包由CPU处理
STP支持不支持
无线SSIDs不支持支持
交换接口互访默认允许默认允许,可以通过策略控制

软交换

软交换口是将防火墙的多个3层接口,通过软件的方式,组成一个2层交换接口。 当FortiGate的每个口都为3层路由接口时,可以将其中的接口组成软件交换接口。

功能配置

添加聚合接口,进入网络→接口,新建接口。

在这里插入图片描述

类型选择软件交换,选择物理接口成员。

在这里插入图片描述

注意:建议在不需要的情况下关闭接口配置下的“设备探测”(Device detection)功能,该功能用于MAC地址厂商设备信息识别及MAC地址过滤,会消耗较多的设备资源,可能导致流量无法被芯片加速。
接口配置页面查看建立的软交换口。

在这里插入图片描述

在命令行查看软交换接口的配置。

FortiGate # show full-configuration system switch-interface sw1
config system switch-interface
    edit "sw1"
        set vdom "root"
        set member "port2" "port3"
        set type switch
        set intra-switch-policy implicit
        set mac-ttl 300
        set span disable
    next
end
使用限制

软交换口是通过软件的方式模拟出的,需要由CPU处理,无法被芯片加速,会影响系统的性能,谨慎使用。(部分型号的设备自带硬交换接口,支持硬件加速,如100F)。
默认配置下,交换机内部的成员接口之间通信是放通的,可以通过如下命令修改为必须匹配防火墙策略。

FortiGate # config sys switch-interface 
FortiGate (switch-interface) # edit sw1
FortiGate (test) # set intra-switch-policy ?
implicit    Traffic between switch members is implicitly allowed.    //默认配置,成员之间的流量全部放通
explicit    Traffic between switch members must match firewall policies.    //根据配置的防火墙策略执行放通或拒绝动作

模拟器下做出来的效果

在这里插入图片描述

FortiGate-VM64-KVM # show full-configuration system switch-interface Inter
config system switch-interface
    edit "Inter"
        set vdom "root"
        set member "port2" "port3"
        set type switch
        set intra-switch-policy implicit
        set mac-ttl 300
        set span disable
    next
end

VLAN/Hardware Switch

VLAN/Hardware Switch是一个虚拟交换机接口,它将不同的物理接口组合在一起,以便FortiGate可以将这些成员接口组合成单个接口。部分支持此接口的FortiGate型号有一个默认的硬件交换接口,称为internal或lan,VLAN/Hardware Switch可以被硬件级别的芯片支持。
连接到同一VLAN/Hardware Switch的接口,类似于位于同一广播域中的同一物理交换机上一样。接口成员可以从VLAN/Hardware Switch中移除并分配给另一个交换机或用作独立物理接口。

VLAN Switch和Hardware Switch的区别

  1. 60F、80F、100F、200F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为VLAN Switch。这些型号的设备一般在默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口。包括500E和501E
  2. 40F、300E、400E、1100E、2200E、3600E、3980E、400F、600F、1800F、2600F、3000F、4400F等具有硬件交换模块的型号,通过内部硬件交换机创建的交换接口为Hardware Switch。
  3. VLAN Switch接口可以直接在接口下配置VLAN ID,同时配置IP后,可以直接将VLAN Switch配置为VLAN Interface(携带VLAN Tag),实现接口成员同属于该VLAN Interface的效果,而无需在VLAN Switch接口上再配置VLAN接口,而Hardware Switch无法配置VLAN ID,想实现上述效果,必须在Hardware Switch上配置VLAN Interface。

除此之外,VLAN Switch与Hardware Switch这两种交换接口在功能使用上没有差别。

功能配置
  1. 在SoC平台(如40F、60F、80F、100F、200F等)默认配置下会存在一个名称为lan或Internal的VLAN Switch接口,编辑该接口,交换接口成员默认包含硬件交换模块中的成员接口,这些接口可以从预置的交换接口中取出,变为普通物理口,也可将硬件交换模块的接口加入该交换接口,如下FortiGate101F所示。

将物理口加入Switch接口时,接口需要清除IP地址(配置为0.0.0.0/0),且不能被其他功能引用。

在这里插入图片描述

  1. 创建新的VLAN/Hardware Switch,进入“网络→接口”页面,新建接口。

在这里插入图片描述

  1. 选择类型为“VLAN交换/硬件交换”,如下图所示为FortiGate601F,交换接口为“硬件交换”,并添加或删除接口成员。

在这里插入图片描述

  1. 通过CLI删除VLAN/Hardware Switch接口。
config system virtual-switch
    edit "internal"
        config port
            delete internal2
            delete internal7
            ...
        end
    next
end
Copy
  1. 通过CLI添加VLAN/Hardware Switch接口。
config system virtual-switch
    edit "internal"
        set physical-switch "sw0"
        config port
            edit "internal3"
            next
            edit "internal5"
            next
            edit "internal4"
            next
            edit "internal6"
            next
        end
    next
end
网络工程师:什么是防火墙二层透明接入?
网络技术联盟站
09-10 447
透明接入防火墙类似于二层交换机!
锅总浅析防火墙
专注于输出大概有用的软硬件技术!
08-03 1824
防火墙是一种网络安全设备或软件,用于监控和控制进出网络流量,基于一组预定义的安全规则来决定允许或阻止特定的网络流量。防火墙的主要目的是保护网络和计算机系统免受未经授权的访问、攻击和其他安全威胁。文中列举的硬件防火墙品牌在各自领域内提供了可靠和全面的网络安全解决方案,帮助企业和组织保护其网络免受各种网络威胁。在选择防火墙时,应根据自身网络规模、业务需求和预算来选择最合适的产品。防火墙通过多种技术手段来分析和过滤网络流量,从而保护网络免受各种威胁。
FortiGate 防火墙配置手册
12-13
防火墙配置手册,内容丰富,涵盖FortiGate防火墙配置的各个方面,中文。
二层交换机与防火墙连通上网实验
weixin_42185241的博客
05-06 1936
华为二层交换机与防火墙连通上网实验
接口与抽象类有哪些区别?
weixin_50102151的博客
09-19 468
我们常说接口,但是接口和抽象类到底又有哪些区别呢,下面我们来总结一下接口与抽象类的区别: 接口的方法默认是 public,所有方法在接口中不能有实现(Java 8 开始接口方法可以有默认实现),抽象类可以有非抽象的方法。 接口中的实例变量默认是 final 类型的,而抽象类中则不一定。 一个类可以实现多个接口,但最多只能实现一个抽象类。 一个类实现接口的话要实现接口的所有方法,而抽象类不一定。 接口不能用 new 实例化,但可以声明,但是必须引用一个实现接口的对象 从设计层面来说,抽象是对类的抽象,是一
防火墙链路聚合配置-静态模式
weixin_44675999的博客
06-06 1737
edit “LAN”nextend。
FortiGate 201F防火墙简易配置
peihang2623的博客
11-06 2358
FortiGate 201F防火墙简易配置外网
防火墙聚合对接三层交换机
最新发布
03-19
### Fortinet 防火墙与三层交换机聚合接口配置教程 #### 一、基本概念 在配置Fortinet防火墙与三层交换机之间的链路聚合之前,需理解几个核心概念。链路聚合(Link Aggregation),也称为端口通道或EtherChannel,...
设有100个用户同时在线,每个用户分配10Mbps带宽。为了确保所有用户都能全速上网,防火墙的吞吐量至少要达到1Gbps​DHCP Snooping是 DHCP 的一种安全特性,主要应用在 交换机
xtggbmdk的博客
11-28 474
防护设备,广泛应用于企业和数据中心环境。本文将重点解析FortiGate防火墙的主要性能参数,以及其工作原理,帮助您更好地了解这款产品的实力和优势。FortiGate防火墙是Fortinet公司推出的一款高效。
基于ZStack云平台部署FortiGate
zstack_org的博客
03-12 1249
作者:邵悠锋 前言 随着云计算技术的不断完善和发展,云计算已经得到了广泛的认可和接受,许多组织已经或即将进行云计算系统建设。同时,以信息服务为中心的模式深入人心, 大量的应用正如雨后春笋般出现, 组织也开始将传统的应用向云中迁移。 云计算技术给传统的 IT 基础设施、应用、数据以及IT 运营管理都带来了革命性改变,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战,也...
防火墙详细配置指南
07-16
防火墙的详细配置指南从安装到配置一条龙教程超详细
防火墙手册中文版
07-16
防火墙手册中文版,需要自提,文档超详细!!!!
携程网络防火墙自动化运维
u012396362的博客
09-02 2030
作者简介:田国华,携程高级网络安全经理,14年网络安全行业工作经验。2010年加入携程网站运营中心,负责携程技术安全体系建设,包括网络安全架构规划设计、安全方案、产品评估及安全系统运维管理工作。 声明:本文为优快云投稿文章,未经许可,禁止任何形式的转载。 随着互联网技术的不断发展,在线网站的规模越来越大,防火墙作为网站的安全屏障,被大量的使用。防火墙数量的增加以及防火墙中安全策略条目...
【管理篇 / 配置】❀ 02. 常用设置 ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
10-24 2万+
这个实验提供FortiGate防火墙命令及图形管理入门,此外,这个实验将指导你怎样正确的备份和恢复一个配置文件、建立一个新的管理员帐号和改变管理员访问权限。
Fortigate防火墙的几个配置说明
funnycoffee123的博客
10-31 442
Fortigate防火墙的几个配置说明
防火墙开局百篇——002.FortiGate上网配置——透明模式配置(Transparent)
Aggy阿吉的博客
03-12 2976
在不改变现有网络拓扑前提下,将防火墙NGFW以透明模式部署到网络中,放在路由器和交换机之间,防火墙为透明模式,对内网网段192.168.1.0/24的上网进行4~7层的安全防护。界面,配置。
防火墙开局百篇——000.FortiGate上网配置——第一次登录web界面
Aggy阿吉的博客
03-06 3223
通过web可视化操作界面对FortiGate防火墙进行配置管理。
接口篇 / Lan】(5.6) ❀ 04. 与思科交换机二层链路聚合连接 ❀ FortiGate 防火墙
防火墙技术专栏
12-22 9131
思科交换机除了支持三层的链路聚合外,同样支持二层链路聚合,也就是说二层的思科交换机也可以与防火墙用链路聚合连接。
FortiGate防火墙部署SSL接入功能
wendr的博客
10-16 1358
网安运营 - 建设篇 第一章 FortiGate防火墙部署SSLVPN接入功能
FORTIGATE防火墙内部接口DHCP配置与管理教程
本篇文章主要介绍了如何在FORTIGATE防火墙(具体型号未明确提及,但提到至少包含Internal接口)上进行实验配置网络的IP地址,以及FORTIGATE防火墙的基本安装和管理指南。首先,实验步骤包括在Internal接口上配置DHCP...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

-风中叮铃-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值