zabbix监控 fortigate防火墙模板 防火墙控制模块

2.1              工作模式概述

M8600-FW防火墙模块可以工作在路由模式或透明模式。

Ø         路由模式：

该模式的防火墙模块可以让处于不同网段的设备通过路由转发的方式进行               相互通信，IP报文到达防火墙业务模块后按路由模式进行转发（即按目的IP地址进行选路），缺省情况下为该模式。

Ø         透明模式：

该模式的防火墙模块表现为一个透明网桥，它可以连接在IP地址属于同一子网的两个物理子网之间，报文在接口间进行转发时，需要根据报文的 MAC 地址来寻找出接口。

在使用时，用户可以根据实际情况进行选择，让防火墙模块在透明模式和路由模式下进行切换。

2.2              理解路由模式

2.2.1       路由模式概述

缺省情况下防火墙模块工作在路由模式。

为了配置防火墙工作在路由模式，需要在交换机和防火墙模块上进行如下的配置。

u       交换机

1)        创建2个VLAN，把报文的入端口和出端口加入不同的VLAN

2)        配置交换机与防火墙模块相连接的2个万兆以太口为聚合口，工作在trunk模式，允许上述的VLAN通过

u       防火墙模块

1)        配置防火墙工作模式为路由模式

2)        创建2个VLAN 接口，接口号分别对应于交换机的2个VLAN ID

3)        为2个VLAN 接口配置ip地址

若要实现在多个 VLAN 的任意两个 VLAN 间进行三层转发，需要在交换机中创建多个VLAN，将防火墙保护的流量经过的各端口划分到各个独立的VLAN中，同时在防火墙创建多个对应的VLAN接口并配置IP地址。

2.2.2       路由模式配置

2.2.2.1     配置交换机

下述为在交换机设备线卡端的配置：

	命令	作用
Step 1	Ruijie# configure terminal	进入全局配置模式。
Step 2	Ruijie(config)#vlan vlan-id	创建第一个VLAN
Step 3	Ruijie(config-vlan)#exit	退出VLAN模式
Step 4	Ruijie(config)#interface interface-name interface-number	进入指定的接口模式
Step 5	Ruijie(config-if)#switchport access vlan vlan-id	将指定 Access 端口加入到第一个 VLAN 中
Step 6	Ruijie(config)#vlan vlan-id	创建第二个VLAN
Step 7	Ruijie(config-vlan)#exit	退出VLAN模式
Step 8	Ruijie(config)#interface interface-name interface-number	进入指定的接口模式
Step 9	Ruijie(config-if)#switchport access vlan vlan-id	将指定 Access 端口加入到第二个 VLAN 中
Step 10	Ruijie(config)#interface TenGigabitethernet interface-number	进入与防火墙卡相连的万兆以太网接口一
Step 11	Ruijie(config-if)#port-group port-group-number	将该接口加入一个AP口
Step 12	Ruijie(config)#interface TenGigabitethernet interface-number	进入与防火墙卡相连的万兆以太网接口二
Step 13	Ruijie(config-if)#port-group port-group-number	将该接口加入同一个AP口
Step 14	Ruijie(config)#interface Aggretegateport port-group-number	进入聚合口
Step 15	Ruijie(config-if)#switchport  mode trunk	配置聚合口为trunk口
Step 16	Ruijie(config-if)# switchport trunk allowed vlan {all | [add | remove | except] } vlan-list	配置上述步骤中创建的两个VLAN 能通过trunk口，其他VLAN 报文不能通过
Step 17	Ruijie# show vlan	检查接口所属的VLAN

 

2.2.2.2     配置防火墙模块

登录防火墙模块后进行下述配置，具体登录方法请见< href="Cap1.htm#_配置防火墙模块进行登录" target="b">“配置防火墙模块进行登录”一节说明。

	命令	作用
Step 1	M8600-FW# configure terminal	进入全局配置模式。
Step 2	M8600-FW(config)#no firewall transparent	配置防火墙工作在路由模式（缺省防火墙就工作在路由模式）
Step 3	M8600-FW(config)#interface vlan vlan-id	创建第一个VLAN 接口
Step 4	M8600-FW(config-if)# ip address ip_addrss mask	接口配置IP地址
Step 5	M8600-FW(config)#interface vlan vlan-id	创建第二个VLAN接口
Step 6	M8600-FW(config-if)# ip address ip_addrss mask	接口配置IP地址

2.2.3       路由模式典型配置举例

2.2.3.1     组网需求

交换机（作为网关）的G3/1口连接某公司内网，G3/2口连接Internet，内外网互相交换的所有报文都需要经过防火墙过滤。要求采用交换机加防火墙模块的方案，并使用防火墙路由模式转发的技术实现。

2.2.3.2     组网拓扑

图 3 路由模式应用拓扑图

2.2.3.3     配置要点

见上述< href="Cap2.htm#_路由模式配置" target="b">“路由模式配置”部分说明

2.2.3.4     配置步骤

1）配置交换机

# 创建VLAN 2和VLAN 3。配置端口GigabitEthernet 3/1和GigabitEthernet 3/2是Access口，分别加入VLAN 2和VLAN 3。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# vlan 2

Ruijie(config-vlan)# exit

Ruijie(config)# vlan 3

Ruijie(config-vlan)# exit

Ruijie(config)# interface Gigabitethernet 3/1

Ruijie(config-if)# switchport access vlan 2

Ruijie(config-if)# exit

Ruijie(config)# interface Gigabitethernet 3/2

Ruijie(config-if)# switchport access vlan 3

Ruijie(config-if)# exit

# （防火墙模块位于交换机机箱的第7槽）配置TenGigabitethernet 7/1和TenGigabitethernet 7/2 (这两个口是交换机和防火墙模块互联的接口)做为聚合口Aggretegateport 2的成员：

Ruijie(config)# interface TenGigabitethernet 7/1

Ruijie(config-if)# port-group 2

Ruijie(config-if)# exit

Ruijie(config)# interface TenGigabitethernet 7/2

Ruijie(config-if)# port-group 2

Ruijie(config-if)# exit

# 配置聚合口Aggretegateport 2 工作在Trunk 模式下，允许VLAN 2 和VLAN 3

报文通过。

Ruijie(config)# interface Aggretegateport 2

Ruijie(config-if)# switchport mode trunk

Ruijie(config-if)# switchport trunk allowed vlan remove 1,4-4094

 

2）配置防火墙

# 防火墙工作在路由模式

M8600-FW(config)#no firewall transparent

M8600-FW(config)#interface vlan 2

M8600-FW(config-if)#ip address 202.1.1.1 255.255.255.0

M8600-FW(config)#interface vlan 3

M8600-FW(config-if)# ip address 101.1.1.1 255.255.255.0

2.2.3.5     显示验证

用内网的一个用户PC（假设IP为202.1.1.2）ping 外网的一个地址（假设为101.1.1.2），可以ping通（说明三层转发生效），同时查看防火墙模块相应的流量信息，类似如下所示：

M8600-FW#show ip fpm counters

Droped packet counters:

Count      Reason   

0          Non-IPv4 packet

0          Bad IPv4 header length

0          Bad IPv4 total length

0          IPv4 fragment with DF bit set

0          Too small IPv4 fragment

0          Bad IPv4 fragment offset

0          IPv4 fragment timeout

0          Bad IPv4 checksum

0          Invalid IPv4 address

0          Invalid TCP flags

0          Invalid TCP initial flags

0          Invalid TCP initial ACK number

0          Invalid TCP initial window

0          Invalid TCP sequence

0          Invalid ICMP message type

0          Invalid ICMP initial message type

0          Exceptional connection state

0          Droped by policy

0          Out of capability

<end>

Rejected or terminated connection counters:

Count      Reason   

0          Out of life time

0          Exceptional TCP connection

0          Exceptional UDP connection

8          Exceptional ICMP connection

0          Exceptional RawIP connection

0          Rejected by policy

<end>

M8600-FW#show ip fpm statistics

The capacity of the flow table:2000000

Number of active flows:10

2.3              理解透明模式

2.3.1       透明模式概述

当防火墙工作在透明模式（也可以称为桥接模式）下时，接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。

防火墙在该模式下表现为一个透明网桥，防火墙接收到的 IP 报文通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式支持ACL规则检查、状态过滤、防攻击检查、流量监控等功能。

为了配置防火墙透明模式，需要在交换机和防火墙模块上进行如下的配置。

u       交换机

1)        创建两个VLAN，把报文的入端口和出端口加入不同的VLAN

2)        配置交换机与防火墙卡相连接的两个万兆以太口为聚合口，工作在trunk模式，允许上述的VLAN通过

u       防火墙

1)        配置防火墙工作模式是透明模式

2)        创建2个VLAN 接口，接口号分别对应于交换机的两个VLAN ID

3)        将2个VLAN 接口加入同一个桥组

若要实现透明防火墙对多个端口二层流量的监控，需要将被监控的端口分别加入到不同VLAN中，同时在防火墙创建多个VLAN接口，并将VLAN接口加入对应的桥组（每个桥组只能含有2个接口）。

2.3.2       透明模式配置

2.3.2.1     配置交换机

下述为在交换机设备线卡端的配置：

	命令	作用
Step 1	Ruijie# configure terminal	进入全局配置模式。
Step 2	Ruijie(config)#vlan vlan-id	创建第一个VLAN
Step 3	Ruijie(config-vlan)#exit	退出VLAN模式
Step 4	Ruijie(config)#interface interface-name interface-number	进入指定的接口模式
Step 5	Ruijie(config-if)#switchport access vlan vlan-id	将指定 Access 端口加入到第一个 VLAN 中
Step 6	Ruijie(config)#vlan vlan-id	创建第二个VLAN
Step 7	Ruijie(config-vlan)#exit	退出VLAN模式
Step 8	Ruijie(config)#interface interface-name interface-number	进入指定的接口模式
Step 9	Ruijie(config-if)#switchport access vlan vlan-id	将指定 Access 端口加入到第二个 VLAN 中
Step 10	Ruijie(config)#interface TenGigabitethernet interface-number	进入与防火墙卡相连的万兆以太网接口一
Step 11	Ruijie(config-if)#port-group port-group-number	将该接口加入一个AP口
Step 12	Ruijie(config)#interface TenGigabitethernet interface-number	进入与防火墙卡相连的万兆以太网接口二
Step 13	Ruijie(config-if)#port-group port-group-number	将该接口加入同一个AP口
Step 14	Ruijie(config)#interface Aggretegateport port-group-number	进入聚合口
Step 15	Ruijie(config-if)#switchport mode trunk	配置聚合口为trunk 口
Step 16	Ruijie(config-if)# switchport trunk allowed vlan {all | [add | remove | except] } vlan-list	配置上述步骤中创建的两个VLAN 能通过trunk口，其他VLAN 报文不能通过
Step 17	Ruijie# show vlan	检查接口所属的VLAN

2.3.2.2     配置防火墙模块

登录防火墙模块后进行下述配置，具体登录方法请见< href="Cap1.htm#_配置防火墙模块进行登录" target="b">“配置防火墙模块进行登录”一节说明。

	命令	作用
Step 1	M8600-FW# configure terminal	进入全局配置模式。
Step 2	M8600-FW(config)#firewall transparent	配置防火墙工作在透明模式
Step 3	M8600-FW(config)#interface vlan vlan-id	创建第一个VLAN 接口
Step 4	M8600-FW(config-if)#bridge-group group-num	接口加入bridge-group
Step 5	M8600-FW(config)#interface vlan vlan-id	创建第二个VLAN接口
Step 6	M8600-FW(config-if)#bridge-group group-num	接口加入同一个bridge-group

2.3.3       配置防火墙透明模式工作参数

 

2.3.3.1     透明模式缺省配置

下表用来描述透明模式缺省配置参数。

	功能特性	缺省值
	对未知目的 MAC 地址的报文的处理方式	FLOOD
	MAC学习控制功能	学习
	MAC地址表老化时间	5分钟
	ARP 检查	关闭

2.3.3.2     配置MAC学习控制功能

配置MAC学习控制功能开关：

命令	作用
M8600-FW(config-if)#mac-learning disable	关闭 MAC 学习
M8600-FW(config-if)#no mac-learning disable	允许 MAC 学习。缺省允许 MAC 学习。

2.3.3.3     配置对未知目的 MAC 地址的报文的处理方式

当工作在透明模式下的防火墙接收到未知目的 MAC 地址的IP 报文时，即不能根据目的MAC 地址找到出接口，则防火墙模块根据配置情况可用以下两种方式进行处理：

Ø         直接丢弃该未知目的 MAC 地址的IP 报文。（配置为禁止flood）

Ø         将此未知目的 MAC 地址的IP 报文从除接收接口外的其它所有接口（接口必须属于某一安全区域）发送出去，待收到响应报文后，将建立MAC 地址与接口之间的对应关系。（缺省配置为允许flood）

命令	作用
M8600-FW(config)# mac-flood	目的MAC没有命中时进行flood，缺省配置。
M8600-FW(config)# [no] mac-flood	目的MAC没有命中时不进行flood

2.3.3.4     配置MAC地址表老化时间

设置MAC地址表的老化时间：

命令	作用
M8600-FW(config)#mac-address-table aging-timeaging-time	aging-time：配置的老化时间值，单位：min，范围：5-720
M8600-FW(config)#no mac-address-table aging-time	老化时间恢复缺省值5分钟

2.3.3.5     配置静态MAC地址表

命令	作用
M8600-FW(config)#mac-address-table staticmac_address interface ifname	配置静态MAC地址表。 mac_address：MAC地址。 ifname：接口名。
M8600-FW(config)#no mac-address-table staticmac_address interface ifname	删除静态MAC地址表。 mac_address：MAC地址。 ifname：接口名。（此处为防火墙模块上的相应接口名）

2.3.3.6     显示MAC地址表

命令	作用
M8600-FW# show mac-address-table  [static | dynamic] [address mac_address] [interface ifname]	static: 静态MAC dynamic:动态MAC mac_address: MAC地址。 Ifname: 接口名。

2.3.3.7     清除MAC地址表

命令	作用
M8600-FW#clear mac-address-table [static |dynamic] [address mac_address] [interface ifname]	static: 静态MAC dynamic:动态MAC mac_address: MAC地址。 Ifname: 接口名。

2.3.3.8     配置ARP检查

当启用ARP 检查命令，便将ARP帧中的MAC与IP与已配置的静态ARP项（防火墙上配置）进行比较，若违背了静态ARP项（即IP 命中了一个静态arp 项，但二者的MAC不等）。则认为是攻击欺骗而将ARP帧丢弃。

命令	作用
M8600-FW(config)#arp-inspection	启用ARP 检查
M8600-FW(config)#[no] arp-inspection	关闭ARP 检查，缺省配置。

2.3.4       透明模式典型配置举例

2.3.4.1     组网需求

交换机（作为网关）的G3/1口连接某公司内网，G3/2口连接Internet，内外网互相交换的所有报文都需要经过防火墙过滤。要求采用交换机加防火墙模块的方案，并使用防火墙透明模式转发的技术实现。

2.3.4.2     组网拓扑

图 4 透明模式应用拓扑图

2.3.4.3     配置要点

见上述< href="Cap2.htm#_透明模式配置" target="b">“透明模式配置”部分说明。

2.3.4.4     配置步骤

1）配置交换机

# 创建VLAN 2和VLAN 3，配置端口GigabitEthernet 3/1和GigabitEthernet 3/2是Access口，分别加入VLAN 2 和 VLAN 3。

Ruijie# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Ruijie(config)# vlan 2

Ruijie(config-vlan)# exit

Ruijie(config)# vlan 3

Ruijie(config-vlan)# exit

Ruijie(config)# interface Gigabitethernet 3/1

Ruijie(config-if)# switchport access vlan 2

Ruijie(config-if)# exit

Ruijie(config)# interface Gigabitethernet 3/2

Ruijie(config-if)# switchport access vlan 3

Ruijie(config-if)# exit

# （防火墙模块位于交换机机箱的第7槽）配置TenGigabitethernet 7/1  和TenGigabitethernet 7/2 (这两个口是交换机和防火墙模块互联的接口)做为聚合口Aggretegateport 2的成员。

Ruijie(config)# interface TenGigabitethernet 7/1

Ruijie(config-if)# port-group 2

Ruijie(config-if)# exit

Ruijie(config)# interface TenGigabitethernet 7/2

Ruijie(config-if)# port-group 2

Ruijie(config-if)# exit

# 配置聚合口Aggretegateport 2 工作在Trunk 模式下，允许VLAN 2 和VLAN 3报文通过。

Ruijie(config)# interface Aggretegateport 2

Ruijie(config-if)# switchport mode trunk

Ruijie(config-if)# switchport trunk allowed vlan remove 1,4-4094

 

2）配置防火墙

# 防火墙工作在透明模式

M8600-FW(config)#firewall transparent

M8600-FW(config)#interface vlan 2

M8600-FW(config-if)#bridge-group 5

M8600-FW(config)#interface vlan 3

M8600-FWconfig-if)#bridge-group 5

2.3.4.5     显示验证

参见路由模式说明，可以通过使用show ip fpm flows，show ip fpm counters，show ip fpm statistics查看防火墙卡上过滤的相关流量信息。