开启虚拟接口对并保护上网流量

组网需求

在不改变现有网络拓扑前提下,将防火墙路由模式部署到网络中,放在路由器和交换机之间,在此基础上开启虚拟接口对(VWP),对内网网段192.168.1.0/24的上网数据进行4~7层的安全防护。

虚拟接口对的策略和透明模式的策略/路由模式的策略使用起来几乎一样,没有太多的特别之处。

网络拓扑

image-20240103111754486

配置要点

  • Internet_R路由器的基础配置
  • 配置虚拟接口对(Port1&Port2)
  • 配置虚拟接口对安全策略允许内网PC访问互联网

配置步骤

  1. Internet_R路由器的基础配置。

    hostname Internet_R
    !
    interface Ethernet0/0
    ip address 192.168.1.99 255.255.255.0
    no shutdown
    ip nat inside
    !
    interface Ethernet0/1
    ip address 202.100.1.179 255.255.255.0
    no shutdown
    ip nat outside
    !
    ip route 0.0.0.0 0.0.0.0 202.100.1.192
    !        
    access-list 101 permit ip any any
    ip nat inside source list 101 interface Ethernet0/1 overload
    
  2. 配置虚拟接口对(Port1&Port2),防火墙处于路由模式的情况下,直接创建虚拟接口对:将port1和port2加入到虚拟接口对中并开启通配符VLAN,识别VLAN-Tag的数据。

    image-20221115145740726

    image-20221115145809633

    image-20221115145836776

  3. 虚拟接口对通道正式打通,可以认为port1和port2之间可以透明的传输数据了(需要防火墙策略放通),对应的CLI如下:

    config system virtual-wire-pair
        edit "VWP1"
            set member "port1" "port2"
            set wildcard-vlan enable
        next
    end
    
  4. 配置虚拟接口对安全策略允许内网PC访问互联网,默认情况下FortiGate没有开启任何策略,此时TCP/UDP/ICMP的流量是全部不通的,例如默认FGT没有策略的情况下,内网PC访问网关和互联网资源都是被Drop的。

    image-20221115150434898

  5. 如果需要想要IPV4业务可以通的话,则需要配置相应的安全策略。配置虚拟接口对的策略:允许LAN(port2)到WAN(port1)的上网流量穿过FGT,策略&对象的位置会多出“防火墙虚拟线对策略”(如果没有看到,则刷新页面或注销管理登陆,重新登陆FGT即可看到)。

    image-20221115150738481

  6. 右上角选择VWP1线对,方向选择port2→port1(也可选择双向的方向),新建VWP策略,开启AV功能并引用默认的AV Profile(虚拟连接对可以选择多个,在同一条相同动作的策略中进行多接口控制)。

    image-20221115151043120

    image-20221115151352282

结果验证

  1. 使用内网PC访问外部网络,可以正常访问。

    image-20221115154108126

  2. 测试通过HTTP下载病毒文件(http://www.csm-testcenter.org/test?do=show&subdo=antimalware&test=content_types),被FortiGate阻断。

    image-20221115154148387

    image-20221115154307405

  3. 在FortiGate上查看相应的AV日志。

    image-20221115154539939

  4. 如果是通过HTTPS下载病毒,由于数据被HTTPS加密,如需要检测需要开启SSL深度检测,需要在虚拟接口对策略中调用SSL深度检测。

    image-20221115154706145

  5. 测试通过HTTPS下载病毒文件(http://www.csm-testcenter.org/test?do=show&subdo=antimalware&test=content_types ),被FortiGate阻断。

    image-20221115154816576

  6. 在FortiGate上查看相应的AV日志。

    image-20221115154918355

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-01-03 11:18:00

results matching ""

    No results matching ""