【控制篇 / 应用】(5.6) ❀ 01. NGFW 模式下使用应用控制 ❀ FortiGate 防火墙
【简介】飞塔防火墙5.6版本,可以通过策略直接使用应用控制功能。
启用下一代防火墙模式
下一代防火墙(NGFW)模式只能是基于流的检测模式下使用。
① 选择菜单【系统管理】-【设定】,在〖System Operation Settings〗下选择检测模式为【基于流的】,NGFW模式为【基于策略】,SSL/SSH检测下拉选择【certificate-inspection】。
建立禁止使用百度的策略
NGFW模式将应用控制与策略绑定,这里我们禁止使用百度的所有功能。
① 选择菜单【策略&对象】-【IPv4策略】,新建一条上网策略,这时可以看到,和原来的策略相比,多出了〖应用〗和〖URL类别〗两项选择,在应用选项下〖应用程序〗里,我们输入baidu,找到所有关于百度的应用签名。
② 选择所有的百度签名后,我们将动作选择为【拒绝】,并启用【记录拒绝流量】。
③ 新建立的拒绝策略按顺序排在最下面,我们需要把拒绝策略放在允许上网策略的最上面。鼠标按住策略最前面数字,拖动鼠标,可以调整策略顺序。
④ 将策略2拖到策略1上方,顺序调整完成,我们可以看到,原有的上网策略NAT显示自定义,而且网络都断开了。
建立中央SNAT
中映SNAT是定义源NAT的另一种方法,这使得网络地址转换在控制IP地址、协议和端口转换方面具有更大的粒度。
① 选择菜单【系统管理】-【中央SNAT】,象建立上网策略一样,输入上网策略的正常参数,启用【启用NAT】。
② 中央SNAT建立完成。需要注意的是,看上去和上网策略设置有些相同,但这里只是设置NAT,原来的上网策略仍然有效,只是NAT转到这里了。
效果测试
配置完成后,我们可以测试一下应用控制的效果。由于除了百度自己的网站,还有很多和其它网站的链接,所以我们测试最主要的,那就是百度官网和搜索。
① 用浏览器打开 www.baidu.com 网站,一直没有反应。在基于流模式下,象这样的类似Web过滤的情况下,都不会出现反馈提示。
② 再试一下百度的其它功能,比如百度地图。
③ 出现了应用被防火墙阻止的提示,说明防火墙的应用控制起了作用,通过Baidu.Services签名,在流量中找到并阻止了百度地图的使用。
④ 选择菜单【日志&报表】-【转发流量】,可以看到Baidu.Services被UTM阻断的日志。
FortiCloud报告
如果有配置FortiCloud,我们可以在FortiCloud查看百度被阻止的情况。
① 选择菜单【日志&报表】-【日志设置】,可以启用【发送日志FortiCloud】,FortiCloud可以申请和购买。
② 选择菜单【日志&报表】-【FortiCloud报告】,点击【登录Portal】。
③ 在FortiCloud,首先选择【FortiView】,然后选择菜单【Traffic Analysis】- 【Application】,可以看到最后60分钟内的应用,双击baidu.services。
④ 显示有哪些IP使用了这个应用,双击指定IP。
⑤ 就可以看到百度被阻止的详细记录了。
飞塔技术-老梅子 QQ:57389522
【控制篇 / 应用】(5.6) ❀ 01. NGFW 模式下使用应用控制 ❀ FortiGate 防火墙相关推荐
- 【控制篇 / 流量】(5.2) ❀ 03. 对每个 IP 进行限速 ❀ FortiGate 防火墙
[简介]在大型企业中人员比较多而带宽又不太够的情况下,需要对上网进行限速,但是领导的速你不能限吧,在限制员工上网的速度同时又要保证领导上网的速度,这就需要用到针对每个IP限速了. 地址对象 我们需 ...
- VIM - 01. 标准模式 - 下简单操作
1. 概述 标准模式下, 简单操作 移动 删除 复制粘贴 收益 熟练后, 编辑文本基本不需要鼠标操作了 思路 只讲最基本的, 避免初学时的混淆 把基本操作归类了, 方便理解 2. 准备 一篇篇幅较长的 ...
- 【控制篇 / 流量】(5.4) ❀ 01. 限制下载和上传网速 ❀ FortiGate 防火墙
[简介]当带宽有限,而上网的人比较多的时候,就需要对带宽的使用加以限制.飞塔防火墙可以制定不同的流量整形,允许不同的IP使用不同的带宽流量. 什么是带宽 在单位时间内从网络中的某一点到另一点所能通 ...
- 【交换篇】(6.4) ❀ 01. HA 状态下的核心交换机连接方法 (上) ❀ FortiSwitch 交换机
[简介]FortiSwtich大多是二层交换机,那么在防火墙HA的环境下,FortiSwitch二层交换机是不是也能做到象其它三层交换机堆叠功能那样,保证两台核心交换机始终有一台能正常工作呢? 网 ...
- Android开发笔记(一百六十)休眠模式下的定时器控制
定时器AlarmManager常常用于需要周期性处理的场合,比如闹钟提醒.任务轮询等等.并且定时器来源于系统服务,即使App已经不在运行了,也能收到定时器发出的广播而被唤醒.似此回光返照的神技,便遭到 ...
- OPCDA通信--工作在透明模式下的CISCO ASA 5506-X防火墙配置
inside OPCSERVER 一台 outside OPCCLIENT 一台 route模式 配置没成功,放弃,采用透明模式 !----进入全局配置-- configure terminal !- ...
- 【接口篇 / Wan】(7.0) ❀ 03. 配置固定 IP 宽带上网 ❀ FortiGate 防火墙
绝大多数企业都会使用固定IP宽带,优点很明显:网速稳定,上行带宽比较大,适合映射服务器到公网,连接VPN等等.而且通常运营商会给你多个公网IP地址,这个是ADSL拨号宽带没法比的. 配置使用固定IP ...
- 【隧道篇 / IPsec】(5.6) ❀ 02. IPsec 对宽带的要求 ❀ FortiGate 防火墙
[简介]VPN与宽带有关系吗?答案是有的,在飞塔防火墙,不同的宽带VPN的连接设置是不同的. 宽带运营商 我们常用的宽带接入,有电信.移动.联通三家运营商. 我们国家从上世纪末就开展了八纵八横光纤 ...
- ELMO驱动器用arm板子控制,并工作在 PVT(position-velocity-time)模式
Elmo驱动器 SimplIQ系列可以结合编码器信息,以多种模式控制伺服电机,常用的模式有速度控制模式,力矩控制模式,微步控制模式.实验室使用的场景基本就是速度模式控制伺服电机的旋转,对于四轮独立驱动 ...
最新文章
- 解决CSDN免登陆复制问题
- 汇编语言程序设计-钱晓捷(第五版)第三章-汇编语言程序格式
- FFPlay命令入门教程
- rplidar适配说明
- pdfminer识别pdf无法识别问题
- 计算机图形点阵表示实例,[计算机图形学的应用实例计算机图形作业).doc
- GitHub 上这份计算机自学指南火了~
- 基于Android汽车违章查询app系统
- 输入汉语星期几输出英文c语言程序,C根据英文星期获取对应汉字或数字的星期函数(1)...
- PMP 易错题汇总(二)
- vim常用插件安装及使用
- 学习认识使用大数据数据采集工具
- Elasticsearch:运用 Java 创建索引并写入数据
- 中国15家外卖O2O大盘点-2014
- 7-ZIP压缩软件设置文件关联及设置密码
- DFMEA之严重度/频度/探测度/风险优先系数
- 远程桌面连接出错解决方案
- 基于HttpClient接口开发实例(一)
- VMware Pro v14.1.1 官方版本及激活密钥(转载)
- 29.【C语言】进制转换:10转16、10转2、2转10、16转10(Demo)
热门文章
- mongodb php auth,mongodb 3.0改变了authMechanism
- 微信公众平台开发-入门教程
- 微信公众号 php sdk,GitHub - yuanchenglu/wechat-php-sdk: 微信公众平台 PHP SDK
- OCL(对象约束语言)简易教程
- 怎么做二维码?二维码制作的简单方法
- 线性代数(预备知识)
- Unity3D|Animation:动画位置与对象位置不一致如何改正
- ccf公共钥匙盒python_CCF/CSP 公共钥匙盒
- Sitecore 8.2 防火墙规则的权威指南
- HEG安装教程以及闪退问题解决