fortigate(飞塔)防火墙策略问题
你理解错了…如果是LAN主动发起的,那么防火墙允许。而如果是WAN主动发起的,那么防火墙拦截。
内网向外网主动发出请求,外网只是对内网的请求做一个响应和回复,实际发起者还是内网。
而如果是黑客攻击,则就是外网主动向内网发出请求,此时防火墙将会拦截。
如何优化飞塔防火墙的性能
近期经常有群友和坛友反映将FortiOS升级到4.0 MR2后经常出现资源利用率很高的情况,大家可以参考下面的一些建议;
1,FortiGate设备应该有足够的资源应对攻击 资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的 。
2,只开启用得着的管理服务 如果不用SSH或SNMP,就不要启用,避免开放可用的端口.。
3,将用得最多或最重要的防火墙策略尽量靠前 防火墙策略是至上而下执行的。
4,只开启那些必要的流量日志 流量日志会降低系统性能。
5,只开启那些必须的应用层协议检查 应用层检查对系统性能是敏感的。
6,最小化发送系统告警信息 如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。7,AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。
8,精简保护内容表数量。
9,删除不必要的保护内容表。
10,精简虚拟域数量 删除不必要的虚拟域 低端设备最好不要用虚拟域。
11,如果性能显示不足就避免启用流量整形 流量整形将降低流量处理性能
如何优化防火墙内存使用率
1,尽量不启用内存日志
2,尽量不启用不必要的AV扫描协议
3,减小扫描病毒文件的上限值,大多数带病毒的文件文件都小于2、3M
4,删除不用的DHCP服务
5,取消不用的DNS转发服务
6,如IPS不需要,执行命令节省内存 Diag ips global all status disable
7,改变session的ttl值
set default 300 [conf sys session-ttl]
set tcp-halfclose-timer 30 [config sys global]
set tcp-halfopen-timer 20 [conf sys global]
8,改变fortiguard的ttl值
set webfilter-cache-ttl [conf sys fortiguard ]
set antispam-cache-ttl [conf sys fortiguard ]
9,改变DNS缓存的条数
set dns-cache-limit [conf sys dns]
10,不启用DNS转发
unset fwdintf [conf system dns]
上面出现的命令可查看CLI文档中相关用法
如何做好网络安全管理
第一、物理安全
除了要保证要有电脑锁之外,我们更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备UPS,以确保网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。
第二、系统安全(口令安全)
我们要尽量使用大小写字母和数字以及特殊符号混合的密码,但是自己要记住,我也见过很多这样的网管,他的密码设置的的确是复杂也安全,但是经常自己都记不来,每次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的,这样很容易被一些黑客识破。
我们也可以在屏保、重要的应用程序上添加密码,以确保双重安全。
第三、打补丁
我们要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁,例如IE、OUTLOOK、SQL、OFFICE等应用程序。
另外我们要把那些不需要的服务关闭,例如TELNET,还有关闭Guset帐号等。
第四、安装防病毒软件
病毒扫描就是对机器中的所有文件和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一台隔离文件夹里面。所以我们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件,并保持最新的病毒定义码。我们知道病毒一旦进入电脑,他会疯狂的自我复制,遍布全网,造成的危害巨大,甚至可以使得系统崩溃,丢失所有的重要资料。所以我们要至少每周一次对全网的电脑进行集中杀毒,并定期的清除隔离病毒的文件夹。
现在有很多防火墙等网关产品都带有反病毒功能,例如netscreen总裁谢青旗下的美国飞塔Fortigate防火墙就是,她具有防病毒的功能。
第五、应用程序
我们都知道病毒有超过一半都是通过电子邮件进来的,所以除了在邮件服务器上安装防病毒软件之外,还要对PC机上的outlook防护,我们要提高警惕性,当收到那些无标题的邮件,或是你不认识的人发过来的,或是全是英语例如什么happy99,money,然后又带有一个附件的邮件,建议您最好直接删除,不要去点击附件,因为百分之九十以上是病毒。我前段时间就在一个政府部门碰到这样的情况,他们单位有三个人一直收到邮件,一个小时竟然奇迹般的收到了2000多封邮件,致使最后邮箱爆破,起初他们怀疑是黑客进入了他们的网络,最后当问到这几个人他们都说收到了一封邮件,一个附件,当去打开附件的时候,便不断的收到邮件了,直至最后邮箱撑破。最后查出还是病毒惹的祸。
除了不去查看这些邮件之外,我们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。
很多黑客都是通过你访问网页的时候进来的,你是否经常碰到这种情况,当你打开一个网页的时候,会不断的跳出非常多窗口,你关都关不掉,这就是黑客已经进入了你的电脑,并试图控制你的电脑。
所以我们要将IE的安全性调高一点,经常删除一些cookies和脱机文件,还有就是禁用那些Active X的控件。
第六、代理服务器
代理服务器最先被利用的目的是可以加速访问我们经常看的网站,因为代理服务器都有缓冲的功能,在这里可以保留一些网站与IP地址的对应关系。
要想了解代理服务器,首先要了解它的工作原理:
环境:局域网里面有一台机器装有双网卡,充当代理服务器,其余电脑通过它来访问网络。
1、内网一台机器要访问新浪,于是将请求发送给代理服务器。
2、代理服务器对发来的请求进行检查,包括题头和内容,然后去掉不必要的或违反约定的内容。
3、代理服务器重新整合数据包,然后将请求发送给下一级网关。
4、新浪网回复请求,找到对应的IP地址。
5、代理服务器依然检查题头和内容是否合法,去掉不适当的内容。
6、重新整合请求,然后将结果发送给内网的那台机器。
由此可以看出,代理服务器的优点是可以隐藏内网的机器,这样可以防止黑客的直接攻击,另外可以节省公网IP。缺点就是每次都要经由服务器,这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候,其余电脑将不能访问网络。
第七、防火墙
提到防火墙,顾名思义,就是防火的一道墙。防火墙的最根本工作原理就是数据包过滤。实际上在数据包过滤的提出之前,都已经出现了防火墙。
数据包过滤,就是通过查看题头的数据包是否含有非法的数据,我们将此屏蔽。
举个简单的例子,假如体育中心有一场刘德华演唱会,检票员坐镇门口,他首先检查你的票是否对应,是否今天的,然后撕下右边的一条,将剩余的给你,然后告诉你演唱会现场在哪里,告诉你怎么走。这个基本上就是数据包过滤的工作流程吧。
你也许经常听到你们老板说:要增加一台机器它可以禁止我们不想要的网站,可以禁止一些邮件它经常给我们发送垃圾邮件和病毒等,但是没有一个老板会说:要增加一台机器它可以禁止我们不愿意访问的数据包。实际意思就是这样。接下来我们推荐几个常用的数据包过滤工具。
飞塔防火墙怎么样?FortiGate下一代防火墙 (NGFW) 虚拟设备靠谱吗?
飞塔防火墙还是不错的,FortiGate下一代防火墙 (NGFW) 已经连续多年是Gartner网络防火墙魔力象限的领导者了。 FortiGate-VM虚拟防火墙支持多数的公有云平台部署包括阿里云、AWS、微软Azure等,以及私有云VMWare,KVM等环境的部署。其云原生的能力,使得FortiGate-VM可以在主流云平台上,与平台的各项服务无缝结合,为客户创造出满足多种需求的部署模式,提供充分的安全防护。直接闭眼入!
山东fotinet
飞塔 FortiGate-3810A-E4防火墙:企业级防火墙;人数限制:无用户限制;并发连接数:2000000;吞吐量:48000Mbps;入侵检测:Dos,DDoS;过滤带宽:19000Mbps;主要功能:防病毒、防火墙、VPN、防侵入(IPS)、防垃圾邮件、反间谍软件、内...详细参数¥48.9万对比飞塔 FortiGate-3810A防火墙:企业级防火墙;人数限制:无用户限制;并发连接数:2000000;吞吐量:48000Mbps;入侵检测:Dos,DDoS;主要功能:防病毒、防火墙、VPN、防侵入(IPS)、防垃圾邮件、反间谍软件、内容过滤和流量控制,UTM...详细参数¥38万对比Fortinet FortiGate 1000-AFA2防火墙:企业级防火墙;人数限制:无用户数限制;并发连接数:600000;吞吐量:1000Mbps;入侵检测:Dos,DDoS;过滤带宽:250Mbps;主要功能:30000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描, 支持VLAN、...详细参数¥26.99万对比Fortinet FortiGate 3600LX4防火墙:企业级防火墙;人数限制:无用户数限制;并发连接数:1000000;吞吐量:4000Mbps;入侵检测:Dos,DDoS;过滤带宽:600Mbps;主要功能:30000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描, 支持VLAN、...详细参数¥26.4万对比Fortinet FortiGate 4000S防火墙:企业级防火墙;人数限制:无用户数限制;并发连接数:10000000;吞吐量:20480Mbps;入侵检测:Dos,DDoS;过滤带宽:6144Mbps;主要功能:提供高性能的防火墙、防病毒、VPN、入侵检测/阻断、Web Email内...详细参数¥25万对比Fortinet FortiGate 1000A防火墙:病毒防火墙;人数限制:无用户数限制;并发连接数:600000;吞吐量:1000Mbps;入侵检测:Dos,DDoS;过滤带宽:250Mbps;主要功能:4口(10/100)以太网口, 2个1000base-T口, 30000条策略数, 支持内容过滤,...详细参数¥22.49万对比Fortinet FortiGate 500A-HD防火墙:企业级防火墙;人数限制:无用户数限制;并发连接数:400000;吞吐量:500Mbps;入侵检测:Dos,DDoS;过滤带宽:150Mbps;主要功能:5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描, 支持VLAN、流...详细参数¥17.24万
飞塔防火墙的产品参数
中小型企业系列产品/适合于家庭办公室和中小企业的 FortiGate; 安全平台
FortiGate–50B、60系列、100A、200A 和 300A 病毒防火墙是功能强大,多
合一的网络安全解决方案。本系列的产品适合于小型办公室、家庭办公室、
中小企业、分公司办公室等等客户。产品管理界面简单易操作,为客户降
低了使用成本和超额的价值。 本产品具有多种安全功能 – 包括防病毒、防
火墙、VPN、入侵检测/防御、内容过滤和流量控制等。现在我们的企业客户
能够在不降低网络性能和不增加成本的基础上,享受网络安全服务。 FortiG
ate的安装向导可以帮助客户经过简单的几步,几分钟内就可以完成安装和运
转。设备的吞吐量从30Mbps到200Mbps。FortiGate-50B、60 系列、100A、
200A 和 300A 能够保护企业的网络,使其免受网络的攻击与威胁。
FortiGate-50B 5 10/100 ,并发25000新建2000,50M/48,20VPN
FortiGate-50B 可以满足小型办公室/家庭办公(SOHO)应用需求。安装向导使得安装部署简便易行,几分钟内就可以让FortiGate-50B运行起来。FortiGate-50B 功能全面,可以抵御混合攻击,适合于10个以内人员的远程办公和小公司的使用。
对与远程办公室、零售店面、远程办公和企业应用来说是非常理想的。
可以在基于网络的病毒、Web和邮件的内容过滤、VPN、防火墙、网络入侵与防护、流量整形等方面,立体构成网络防御体系。 FortiGate-60/60M 支持双WAN接入,实现冗余 7 10/100 ,并发50000新建2000,70M/20,50VPN
的Internet连接。FortiGate-60M还支持模拟modem,实现线路的备份。
采用了硬件加速、基于ASIC加速,实现极高的性能和稳定性
对于需要防火墙、防病毒、VPN和入侵检测与防御等多种安全的功能的企业来说是非常理想。
FortiGate-60 ADSL 7 10/100 ,并发50000新建2000,70M/20,50VPN
FortiGate-60 ADSL 集成了ADSL modem。它支持多种ADSL标准,包括ANSI T1.413 issue 2, ITU G.dmt and ITU G.lite, 以及Annex A。
在外地办公室和远程办公通过ADSL连接到总部这种环境下,该产品提供了一个完整的安全解决方案
所集成的4个交换接口减少了额外的交换机和HUB的需求,节省了资源和管理成本 FortiWifi-60 是第一款为无线环境提供一体化安全解决方案的产品,它是中小企业、零售连锁店、远程办公的最佳选择。
支持802.11a/b/g无线和有线接入,这样可以对无线和有线接入都部署防病毒、防火墙、VPN、内容过滤、入侵检测与阻断等网络安全服务
对WLAN可以实现IPSEC加密VPN和WEP,实现了无线接入的安全体系
FortiWifi-60AM 集成了一个模拟Modem,用作线路备份
FortiGate-100A 8 10/100 ,并发200000新建4000,100M/40,80VPN
FortiGate-100A 是小公司的理想的选择。支持双WAN连接,可以实现Internet接入冗余,集成的4个交换接口,可以替代一个交换机或HUB。
双 DMZ接口,方便服务器的部署
双WAN接口实现了多ISP的冗余、负载均衡
FortiGate-200A 8 10/100 ,并发400000新建4000,150M/70,200VPN
FortiGate-200A 适用于中小型企业。FortiGate-200A支持双WAN连接,可以实现冗余的Internet接入,集成的4个交换接口,可以替代一个交换机或HUB。
中小型企业和组织的高性能的、实时的解决方案
四个可路由的10/100接口和4个内部交换接口 FortiGate-224B 是Fortinet将立体多层安全防护与网络登陆集成在一起的首款产品。FortiGate-224B实现的端口级别的访问控制,是将2层交换设备与传统的FortiOS技术集成在一起的产品。它是全面的有效的局域网的安全解决方案。
将网络安全策略部署于接口级别上,强化了网络安全体系。FortiGate-224B是针对入侵攻击、病毒、蠕虫、拒绝服务攻击、间谍软件。
把安全体系与网络交换功能整合在一起,降低了部署的复杂性。
自动地响应和自我修复性隔离,降低了网络管理的运行成本。
FortiGate-300A 4 10/100.2 G ,并发400000新建10000,400M/120,1500VPN
FortiGate-300A 病毒防火墙的性能、灵活性和安全足以满足中小规模的网络的需求。FortiGate-300A平台具有两个10/100/1000 三速以太网接口,适合于千兆网络和要升级到千兆网络的环境。
和市场上其它产品来比,其性能、价格、功能都值得称道
有两个千兆接口和四个用户可定义的10/100接口
0条大神的评论