Fortinet網絡接入及安全方案配置步驟

http://sec.chinabyte.com/200/12553700.shtml

　　1、概述：

　　Fortinet無線接入及方案由以下兩類設備組成：

　　AC(Wifi接入控制器)及安全網關：FortiGate

　　AP(Wifi接入點)：FortiAP

　　2、簡要配置步驟

　　1、FortiGate 620B防火牆默認管理地址為https://192.168.1.99(Port1);

　　用戶名：admin

　　密碼：無

　　建議使用IE8.0或Firefox 3.5及以上版本進行訪問，其它瀏覽器可能不能完全兼容FortiGate V4.2以上版本的管理界面。

　　2、修改界面語言為中文

　　3、將系統時間和時區修改為正確值

　　這一點很重要，我遇到這種情況，FortiGate 51B主板電池沒電了，斷電后，時間就變成1999年，啟動后，FortiAP就無法正常與FortiGate建立連接。

　　4、修改接口IP地址及允許的管理接口

　　5、修改默認路由，使FortiGate能正常訪問網絡

　　6、配置FortiGate的DHCP服務，為FortiAP分配IP地址，並指定AC地址。使用DHCP代碼138為FortiAP指定AC地址，注意需要將AC地址翻譯成十六進制形式(例如：192.168.118.113=C0A87671)

　　將FortiAP接入到FortiGate port10所在的VLAN，便可自動獲得IP地址和AC地址，無需對FortiAP進行手工配置。

　　注：也可以通過console口手動配置FortiAP的IP地址和AC地址，命令如下：

　　cfg -a AP_IPADDR="192.168.118.10"

　　cfg -a AP_NETMASK="255.255.255.0"

　　cfg -a IPGW="192.168.118.230"

　　cfg -a AC_IPADDR_1="192.168.118.113"

　　cfg -a ADDR_MODE="STATIC"

　　cfg -c 保存配置

　　7、稍后可以在FortiGate管理界面上看到新加入的FortiAP。

　　點擊該FortiAP，使用“Authorize”按鈕批准其加入網絡。

　　8、配置SSID(虛擬AP)，配置SSID、虛擬接口地址，及該SSID的DHCP地址池

　　安全模式選擇WPA2-Personal，使用預共享密鑰認證方式。

　　可以選擇屏蔽SSID內部流量，這樣連接在同一SSID下的無線終端就無法互訪了。

　　9、清空所有自定義AP profile

　　然后在命令行下(telnet 192.168.118.113)下將wifi的國家設置改成CN。

　　config wireless-controller setting

　　set country CN

　　end

　　10、新建AP profile

　　選擇FortiAP的型號;

　　開啟“無線資源提供”，FortiAP會自動選擇最佳頻道進行wifi通信;

　　選擇本profile中使用的SSID。

　　11、編輯之前加入的FortiAP，選擇接入點屬性profile1。

　　12、配置MAC過濾功能

　　config wireless-controller vap

　　edit "vap1"

　　set mac-filter enable //啟用mac過濾功能

　　set mac-filter-policy-other deny //不在列表內的mac地址全禁止

　　config mac-filter-list //編輯mac列表

　　edit 1

　　set mac 50:63:13:c1:a1:94

　　set mac-filter-policy allow

　　next

　　edit 2

　　set mac 00:09:13:e3:a1:66

　　set mac-filter-policy allow

　　next

　　end

　　end

　　刪除MAC條目方法

　　config wireless-controller vap

　　config mac-filter-list

　　del 1

　　end

　　end

　　13、配置無線用戶訪問網絡的防火牆策略

　　源接口：SSID產生的虛擬接口

　　目的接口：port10(局域網所在接口)

　　可以修改源地址、目標地址、服務，對源IP、目標IP、源端口、目標端口進行控制，限制無線用戶的訪問范圍。

　　如果不啟用NAT，則FortiGate上聯的路由設備(路由器或三層交換機)需要添加到無線終端所在網段(192.168.179.0/24)的路由，指向FortiGate的port10接口(192.168.118.113)。例如：

　　ip route 192.168.179.0 255.255.255.0 192.168.118.113

　　14、配置用戶認證功能

　　添加用戶賬號

　　添加用戶組

　　編輯之前添加的防火牆策略，選擇允許使用的用戶組。

　　修改用戶認證超時時間

　　啟用保持用戶認證狀態功能

　　config system global

　　set auth-keepalive enable

　　end

15、配置FortiGate的HA(高可用性)

　　將port2接口指定為心跳接口，監控port10接口的狀態。

　　備機的設備優先級數字應該小於主機(例如：100)，其余HA配置與主機完全相同。

　　先連接主機和備機的心跳接口(port2)，等待約5分鍾，備機會自動通過主機的所有配置(包括port10接口的IP地址)。

　　然后將備機的port10接口連接到主機port10所在vlan。HA構建完成。

　　16、常用監控及管理界面

　　系統狀態監控，點擊左上角的“+微件”還可增加更多監控控件(如接口流量)。

　　HA監控

　　FortiAP監控

無線上網用戶監控

　　防火牆策略用戶認證監控

　　17、FortiGate配置管理

　　點擊“備份”可以備份文本文件至管理用PC，點擊“還原”可以將PC上備份的配置恢復回FortiGate。

　　FortiGate也會自動備份配置至內置存儲卡，點擊“Revisions”可以選擇存儲在FortiGate上的歷史版本配置進行恢復。

　　恢復后FortiGate會自動重啟。

　　3、同一SSID內漫游

　　同一SSID可以跨越多個AP，無線客戶端可以在同一SSID無縫地切換到不同的AP上，而會話不會中斷。

　　測試可以采用關掉某個當前連接的AP方式來測試。如果跨區域來測試的話，需要的很大的空間：)，信號降低得很弱的時候才能切換。

　　通過圖形界面和命令行都可以看到無線客戶端所連接的FortiAP。

　　diag wireless-controller wlac -c sta

　　STA mac : 00:26:c6:76:54:44

　　authed : yes

　　wtp : 0-192.168.118.4:5246

　　rId : 0

　　aId : 1

　　wId : 0

　　bssid : 00:09:0f:d6:ba:92

　　cap : 0031

　　4、AC的冗余

　　4.1 基於防火牆的HA實現AC的冗余

　　利用FortiGate的HA功能來實現AC的冗余。FortiGate HA集群中的設備根據設備優先級的大小協商產生主機和備機，優先級高的設備成為HA組中的主機，優先級低的設備成為HA組中的備機。主機和備機具有完全相同的接口地址、完全相同的配置。

　　主機和備機的配置通過心跳線實時同步，管理員的配置針對整個HA集群，無需單獨配置每一台設備。主機和備機的相應接口具有完全相同的IP地址，並使用同一個虛擬MAC地址，在發生故障切換時不會產生IP或ARP問題。

　　當主機的任意接口或設備本身發生故障時，產生HA設備切換，主機變為standby狀態，備機變為work狀態，自動接替主機工作。由於會話狀態均在主備機之間同步，因此所有訪問自動切換到備機上進行，所有已建立會話無需重新連接。

　　注意事項：當兩個FortiGate處於HA狀態時，關於AP的配置是同步的，但是AP當前注冊的狀態是不同步的，也就是說，當AC切換時，AP需要重新注冊。這個過程是自動完成的。當FortiGate發生切換后，雖然FortiGate很快就能切換完成，但是AP還是需要等很長時間才能注冊到新的FortiGate上。另外客戶端PC的連接信息也同樣在FortiGate也是不同步的，也需要重新注冊到新的FortiGate。客戶端從切換開始到到正常工作需要幾分鍾。

　　如果要提高這個切換速度，可以采用以下步驟：

　　1、提高設置AC檢測AP的頻率，在FortiGate上設置：

　　config wireless-controller timers

　　set echo-interval 30 ------檢測間隔

　　end

　　2、無線客戶端設置為靜態IP地址，免去了重新獲得IP地址的過程。

　　3、如果主FortiGate切換到備設備，其原有的AP注冊信息和無線終端信息仍舊可以保留一段時間，也就是說當備設備在短時間內切換回來的話，主設備很快就能正常工作，這個時間可以低於一分鍾。

　　4.2 基於AP配置多個AC實現AC的冗余

　　AP可以配置多個AC ，當它無法正常連接第一個AC時，可以自動地連接第二個AC。

　　該功能需要在AP上指定：

　　cfg –a AC_DISCOVERY_TYPE=1

　　cfg -a AC_IPADDR_1="192.168.11.2"配置第一個AC

　　cfg -a AC_IPADDR_2="192.168.11.1"配置第二個AC

　　cfg –c 保存配置

　　這里值得注意的一點是，當以上完成一項配置后，會出現以下提示

　　restarting wtp daemon ...

　　Process '/sbin/cwWtpd' (pid 584) exited. Scheduling it for restart

　　如果沒有出現restart的話，說明配置得不正確

　　注意事項：配置多個AC，AP也僅僅會在一個AC上注冊，當AC發生切換的時候，AP也同樣要在新的AC上注冊，這個過程不比FortiGate做HA更為快捷。

　　5、非法AP檢測與壓制

　　FortiAP可以對非法的AP進行無線壓制。進行無線壓制最好是采用支持2.4G的Radio，並將其設置為“專屬監測”

　　注意事項：一定要開啟非法接入點掃描，否則就會壓制不成功。

　　開啟非法AP檢測，如下圖。

　　該圖上有一個選項“開啟有線接入點檢測技術”(Enable On-Wire Rogue AP Detection Technique)，它的目的是檢測該AP有沒有接入到該FortiGate所在的網絡，檢測方法是看無線空間AP的mac地址有沒有出現在FortiGate的有線環境里。檢測依據是只要在<無線mac-7>~～<無線mac+7>這個范圍之內就可以了。這個規定並不奇怪，因為路由器的不同接口的mac地址應該是連續的幾個MAC地址，比如FortiGate的不同接口mac地址就是連續的。

　　此時，監控所有無線AP，並且可以選擇非法AP進行壓制了

　　注意事項：也許是4.3.4版本的問題，一旦進行壓制(禁止AP——Suppress AP)，就無法通過取消壓制(取消禁止壓制——Unsuppress AP)來關閉壓制。只能將進行壓制的Radio設置回正常模式，才能取消掉AP壓制。

　　6、基於頻段的負載均衡

　　無線AP可以主動引導支持 2.4/5GHz 的無線終端優先采用 5Hz頻段關聯無線接入點。FortiOS 5.0GA可以支持該功能，也就是說當即支持2.4G又支持5G的客戶端接入無線網時，自動地根據實際情況將其引導到5G。該選項是在命令行下設置的。

　　config wireless-controller wtp-profile

　　edit "FAP220A-default"

　　set handoff-rssi 25

　　set handoff-sta-thresh 30 ---設置引導的頻段強度閾值

　　config radio-1

　　set frequency-handoff enable -----在2.4G和5G頻段進行切換

　　set ap-handoff enable -----在AP之間進行切換

　　end

　　next

　　end

　　如果需要測出該效果的話，得具備多個條件，第一個條件是無線終端本身是支持2.4G和5G，第二個條件是無線終端本身缺省連接的是2.4G，因為現在很多新的筆記本電腦優先連接5G。

　　滿足以上兩個條件后，需要先調整handoff-sta-thresh調整很低，比如最小值為5。然后可以看啟用handoff和不啟用handoff的區別了。不啟用handoff時，無線終端始終連接2.4G。啟用handoff時，無線終端連接AP時，就會被推送到5G。這個推送過程是需要終端斷開連接然后重連。

　　7、無線頻段管理

　　在FortiGate中可以實現對Radio(頻段)中的頻道進行管理，以2.4G為例，可以選擇1-11若干的頻道。頻段數量是按照美國標准的，如果按照中國標准，可以達到13個。

　　config wireless-controller setting

　　set country CN設置標准為中國

　　end

　　如果擔心該頻道被其他AP使用，也就是說頻道沖突，可以選擇“無線資源提供”——Radio Resource Provision，這樣它可以自動地回避被其它AP使用的頻道。

　　測試方法(舉例)：

　　1、 准備兩個AP，將一個AP的2.4G頻段設置只能使用6

　　2、 將另外一個AP設置為可以使用1，6，然后啟用“無線資源提供”，這樣觀察該AP使用的頻段，就會發現它只使用1頻段

　　通過查看Managed FortiAP可以看到channel一列顯示為Radio1：1，它表示用的是Radio1的第一個頻段。

　　8、FortiAP獲取FortiGate IP的多種方式

　　FortiAP可以通過多種方式獲得AC的IP地址，廣播方式、DHCP方式和手工配置。

　　8.1 廣播方式

　　缺省狀態下，FortiAP在獲得IP地址后，會自動地發送廣播方式，以尋找網絡中的AC。如下圖所示，192.168.118.4發送尋找AC的Request， 192.168.118.61作為AC給192.168.118.4發送Reponse。

　　也就是說，如果FortiAP和FortiGate在同一個網絡中，根本就不要手工指定什么東西，它會自動地找到FortiGate。

　　下面的工作僅僅是在FortiGate上對FortiAP做一個認證：

　　8.2 DHCP方式

　　配置FortiGate的DHCP服務，為FortiAP分配IP地址，並指定AC地址。使用DHCP代碼138為FortiAP指定AC地址，注意需要將AC地址翻譯成十六進制形式(例如：192.168.118.113=C0A87671)

　　將FortiAP接入到FortiGate port10所在的VLAN，便可自動獲得IP地址和AC地址，無需對FortiAP進行手工配置。

　　8.3 手工配置

　　注：也可以通過console口手動配置FortiAP的IP地址和AC地址，命令如下：

　　cfg -a AP_IPADDR="192.168.118.10"

　　cfg -a AP_NETMASK="255.255.255.0"

　　cfg -a IPGW="192.168.118.230"

　　cfg -a AC_IPADDR_1="192.168.118.113"

　　cfg -a ADDR_MODE="STATIC"

　　cfg -c 保存配置

　　9、空口抓包

　　9.1 wireless-controll抓包命令

　　通過diagnose wireless-controller抓包命令，直接將包直接發送給PC，PC需要啟動抓包軟件，並且關閉防火牆，才能對數據包進行抓取。該種抓包方式與Aruba方式相同。

　　diagnose wireless-controller wlac sniff-cfg <抓包pc的IP><端口>

　　<抓包pc的IP>是指運行抓包軟件的PC，端口是隨意指定的

　　diagnose wireless-controller wlac sniff 2

　　運行上面命令開始抓包。

　　但是我們目前對這種方式支持有限，轉出來的數據包無法正確。以后在FortiOS 5.0會對此部分進行加強。

　　9.2 sniffer命令抓取與FortiAP通訊內容

　　WLAC命令不理想，可以采用diagnose sniffer命令來抓取FortiGate和FortiAP通訊內容。命令如下：

　　Diagnosis sniffer packet any ‘host FortiAP的IP地址’ 3

　　一樣可以抓出802.11頭，DTLS加密的數據包，但是無法看到Beacon頭。如下圖：

　　10、調整發射強度

　　發射強度很容易調整，如下圖：

　　但是從客戶端PC很難被觀察到，需要在客戶端安裝專門的檢測軟件，比如inSSIDer可以觀察到，如下圖。如果你將TX Power調整到最低，觀察到的信號並非一定是最低，會上下波動，波動的平均值是相對比較低的。

　　11、屏蔽SSID內部通訊

　　缺省狀態同一SSID下的PC是可以相互通訊的。但如需要屏蔽通訊的話，也是很容易。

　　命令行下的操作：

　　config wireless-controller vap

　　edit "要編輯的SSID"

　　set intra-vap-privacy enable

　　next

　　end

　　10、通信加密和門戶認證

　　Fortinet無線方案支持多種無線加密方式，包括：

　　開放模式(不加密，不建議使用);

　　WEP(64bit或128bit RC4加密);

　　WPA(256bit TKIP或AES加密);

　　WPA2(256bit TKIP或AES加密，在WPA的基礎上支持802.11i標准的安全要求);

　　強制門戶

　　開放方式和WEP放在命令行下，如下。

　　config wireless-controller vap

　　edit "ssidname"

　　set security

　　captive-portal captive-portal

　　open open

　　wep128 wep128

　　wep64 wep64

　　wpa-enterprise wpa/wpa2-enterprise

　　wpa-only-enterprise wpa-only-enterprise

　　wpa-only-personal wpa-only-personal

　　wpa-personal wpa/wpa2-personal

　　wpa2-only-enterprise wpa2-only-enterprise

　　wpa2-only-personal wpa2-only-personal

　　next

　　end

　　強制門戶方式有點類似防火牆策略的用戶認證，當通過瀏覽器訪問Internet時會自動彈出認證界面。

　　配置界面如下：

　　認證界面如下：

　　認證成功后，可以在菜單項user\monitor\firewall里看到認證成功的用戶。

　　11、關閉SSID廣播

　　關閉SSID廣播需要在命令行下進行，操作的命令如下：

　　config wireless-controller vap

　　edit "ssid-name"

　　set broadcast-ssid disable

　　next

　　end

　　12、MAC地址過濾

　　MAC地址過濾可以建立黑名單也可以建立白名單。所謂黑名單就是缺省狀態下全部允許，但是部分MAC不允許，命令設置如下：

　　config wireless-controller vap

　　edit "ssid-name"

　　set mac-filter enable ------啟動MAC地址過濾

　　set mac-filter-policy-other allow --------缺省的MAC地址是否允許通過

　　config mac-filter-list

　　edit 1

　　set mac 00:00:00:00:00:00 -------設置mac

　　set mac-filter-policy deny ------設置該mac是阻斷還是允許

　　next

　　next

　　end

　　這里值得注意一點是，當某無線設備因mac被阻斷時，其現象與無線WPA認證通不過的現象是一樣的。

　　13、基於Radius認證

　　配置Radius認證有兩種方法，一種是直接啟用，如下圖。這種方法是可以，但是需要修改客戶端無線的認證參數，使用起來不方便。

　　如果要用這種方法的話，需要在客戶端關閉CA證書的認證，這是因為我們測試使用的Radius服務器本身提供的證書，不能為客戶端所認可。如果Radius服務器的證書能夠為客戶端本身的Root證書所認可，則可以認證通過。可能是我是用的Radius服務器所使用證書有問題。

　　抓包文件如下：

　　抓圖如下：

　　另外一種方法是建立一個用戶組，將Radius引入到用戶組里，如下圖，然后在無線設置中調用。

　　該方法做EAP的時候，FortiGate所使用的證書不是來自Radius服務器，而是使用自身所帶的證書，能夠為客戶端所認證通過。