飞塔配置安装使用手册
飞塔配置安装使用手册
FortiGuard产品家族
fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。
更多fortinet产品信息,详见https://www.360docs.net/doc/1216520384.html,/products.
FortiGuard服务订制
fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。
fortiguard 服务订制包括:
1、fortiguard 反病毒服务
2、fortiguard 入侵防护(ips)服务
3、fortiguard 网页过滤服务
4、fortiguard 垃圾邮件过滤服务
5、fortiguard premier伙伴服务
并可获得在线病毒扫描与病毒信息查看服务。
FortiClient
forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括:
1、建立与远程网络的vpn连接
2、病毒实时防护
3、防止修改windows注册表
4、病毒扫描
forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。
FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。
FortiAnalyzer
fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能:
1、从fortigate与syslog设备收集并存储日志。
2、创建日志用于收集日志数据。
3、扫描与报告漏洞。
4、存储fortigate设备隔离的文件。
fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。
FortiReporter
fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。
FortiBridge
fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。
FortiManager
fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。
关于FortiGate设备
fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。
FortiGate-60/60M/ADSL
fortigate-60设备设计应用于远程工作用户以及零售店操作用户。fortigate-60设备中含有一个外部调制解调器接口,可以作为备用接口或作为与单机连接接入到互联网,该设备中还拥有一个内部调制解调器也能够作为一个到互联网的备份或单机连接。fortigate-60adsl中包括一个内部adsl调制解调器。
FortiWiFi-60
fortiwifi-60设备能够提供一个安全,无线的lan解决方案。fortiwifi病毒防火墙功能集移动性与灵活性,并且能够升级到将来应用的无线通信技术。fortiwifi-60可以作为无线与有线网络的连接点或一个单独的无线网络的中心点。
FortiGate-100A
fortigate-100a 是应用于小型办公、soho以及一些公司机构的分支部门的,易于管理员部署的网络防护设备。fortigate -100a设备支持一些高级的功能例如802.1q vlan、虚拟域以及rip与ospf路由协议。
关于本手册
该文档就如何安装fortigate设备,在网络中配置设备,以及如何安装与升级固件进行了说明。
该手册包含以下章节:
1、安装fortigate设备-安装并启动fortigate设备。
2、出厂默认设置-fortigate设备出厂默认设置信息。
3、在网络中配置fortigate设备-fortigate设备的操作模式说明以及如何将fortigate设备集成到网络中。
4、配置modem接口-如何配置以及使用fortigate-60系列设备的modem。
5、使用无线网络-无线网络的使用注意事项以及使用步骤,使无线网络的使用更为高效。
6、fortigate固件-描述了如何安装,升级,恢复与测试fortigate设备的固件。
ATTENTION:本手册中所述的信息涉及到五个设备fortigate-60/60m、fortiwifi-60以及fortigate-100a。其中大部分的内容适用于所有的设备,针对对具体某个模块所做的说明与描述内容,将使用以下的图标作为描述提示。
该手册中的注释
以下是该手册中的注释:
1、在所举的例子中,私人ip地址既可以用做私人也可以是公共ip地址。
2、注意与警告标识中的提示较为重要的信息。
排版说明
以下是该安装手册中使用的排版说明:
FortiGate技术文档
您可以从fortinet技术文档网站https://www.360docs.net/doc/1216520384.html,,获得最新发布的fortinet技术文档。
公开以下fortinet产品技术手册:
1、fortigate 快速启动指南
提供关于连接与安装fortinet设备的信息。
2、fortigate 设备安装手册
提供有关如何安装fortigate设备的信息。包括硬件信息,默认配置信息,安装操作,连接操作以及基本的配置操作。请查看产品型号选择不同的安装手册。
3、fortigate 管理员使用手册
有关如何配置fortigate设备的基本信息,包括如何定义fortigate病毒防护与防火墙策略;如何应用入侵保护,病毒防护,网页内容过滤以及垃圾邮件过滤服务与配置vpn。
4、fortigate 在线帮助
在线帮助是对fortigate管理员手册的html格式上下文有关的检索与查询。您可以通过基于web的管理其访问在线帮助。
5、fortigate cli 参考手册
有关如何使用fortigate cli(命令行接口)以及所以fortigatecli命令的参考。
6、日志信息参考手册
访问fortinet公司网站的fortinet知识库板块,fortigate 日志信息参考对fortigate日志信息的结构与fortigate设备所生成的日志信息有关内容做了描述。
7、fortigate ha 用户使用指南
深入介绍了fortigate 高可用性的性能与fortigate群集协议的信息。
8、fortigate ips 用户使用指南
对如何配置fortigate设备的入侵检测功能以及ips是如何处理普通的攻击做出了描述。
9、fortigate ipsec vpn 用户指南
对使用基于web的管理器如何配置ipsec vpn进行了逐步详细的说明。
10、fortigatessl vpn 用户使用指南
对fortigate ipsec vpn与fortigate ssl vpn 技术进行比较,并对通过基于web的管理器,远程用户怎样配置只适用于网络模式与通道模式ssl vpn访问做了描述。
11、fortigate pptp vpn 用户使用指南
使用基于web的管理器如何配置pptp vpn。
12、fortigate certificate management user guide 证书管理用户指南管理电子证书的程序包括生成电子证书的请求,安装签发的证书,引入ca根权威证书与证书撤销名单,以及备份与存储安装的证书信息与私人密钥。
13、fortigate vlan and vdom 用户使用指南
在nat/路由与透明模式下如何配置vlan与vdom。
启动FortiGate设备
1. 将ac适配器与设备背后的电源接口连接。
2. 将ac适配器与电源线连接。
3. 将电源线连接到电源插座。
fortigate设备启动,电源与led状态显示灯亮起。fortigate设备启动过程中led状态指示灯闪烁并在设备启动后保持亮着状态。
表4:led显示
关闭fortigate设备
请在闭合电源开关之前,关掉fortigate操作系统,以免造成硬件损伤。
关闭fortigate设备
1. 访问基于web的管理器,进入系统] 状态] 系统状态, 选择关闭系统,然后点击“确认”关闭系统;或者在命令行接口(cli)中,输入execute shutdown
2. 关闭电源开关。
连接到基于web的管理器
根据以下操作步骤建立与基于web管理器的初次链接。在基于web的管理器中所做的配置修改,无需重新设置防火墙或中断运行便可生效。
连接到基于web的管理器,您需要:
1、一台能够连接以太网的计算机
2、微软6.0版本的浏览器或以上的版本,或任何现行的web浏览器
3、一根交叉的以太网网线或一个以太网网络集线器(hub)与两根以太网网线。
ATTENTION:启动ie之前(或其他现行版本的的网页浏览器),ping fortigate设备,检测计算机与fortigate设备之间是否连接正常。
连接到基于web的管理器
1. 设置计算机与以太网连接的ip地址为静态ip地址19
2.168.1.2,掩码为255.255.255.0。
您可以配置管理计算机使用dhcp自动获取ip地址。fortigate dhcp服务器将对管理计算机分配范围为192.168.1.1到192.168.1.254之间的ip地址。
2. 使用交叉线或以太网集线器(hub)与线缆将fortigate设备的内部接口与您的光纤网络接口连接。
3. 启动ie浏览器,浏览地址为https://192.168.1.99的页面(请注意是https://)。
为了支持安全的https识别程序,fortigate设备引入一个自签订的安全认证,每当远程用户对fortigate设备发起一个https连接时,该安全认证便会弹出。当您进行连接时,fortigate 设备在浏览器中显示两个安全警告。
第一个警告信息提示您接受并安装fortigate设备的自签安全证书。如您不接收认证,fortigate设备将拒绝连接。如您接收认证,将转入fortigate登录页面。输入用户名与密码验证信息登录。如您选择永久接受认证,警告信息不再弹出。
在fortigate登录页面显示之前,第二个警告信息告知您fortigate认证与原始请求的区别。该信息弹出是因为fortigate设备试图进行再次连接。是一条报告性信息。点击“ok”键确认,继续登录页。
4. 输入名称字段输入admin登录。
系统操作面板
登录到基于web的管理器后,页面显示系统操作面板。面板显示所有的系统状态信息。连接到CLI(命令行接口)
将管理计算机的串口与fortigate设备的控制台连接器连接并可以访问fortigate设备命令行接口。您也可以在任何网络(包括互联网)中使用telnet或一个安全的ssh连接访问fortigate 设备也可以连接到cli。
cli(命令行接口)支持与基于web的管理器相同的配置与功能。另外,您还可以使用cli 配置一些web管理器不能配置的更高级的选项。本手册中包含一些基本的以及某些高级的cli命令信息。有关连接到fortigate设备使用cli的详细信息,参见fortigate 设备cli 使用参考手册。
连接到cli
除了使用基于web的管理器,您也可以使用cli安装与配置fortigate设备。无需重新设置防火墙或中断设备运行,cli所进行的配置更改便可以生效。
连接到cli,您需要:
1、一台有通信端口的计算机
2、fortigate设备包装中带有的rj-45到db-9的串口线缆。
3、终端模拟软件,如microsoft windows的hyperterminal。
连接到cli
1.使用rj-45到db-9的串口线将您计算机的通信端口与fortigateconsole端口连接。
2.启动hyperterminal,键入连接的名称,点击ok确认。
3.配置将hyperterminal与您计算机的通信端口直接连接并点击ok键确认。
4.输入以下端口设置并点击ok确认。
5.按回车连接到fortigate cli。
bit per second 9600
bata bits 8
partity none
stop bits 1
flow control none
6.按enter键,建立与fortigate cli的连接。
弹出登录页。
7.键入admin的名称并按enter键两次
显示如下提示信息;
welcome!
键入?列出可用的命令。有关如何使用cli(命令行接口)的详细信息,参见fortigate 设备cli 使用参考手册。
使用出厂默认设置快速启动FortiGate设备
使用基于web的管理器与出厂默认的fortigate设备配置,您可以快速在soho情况下配置启用fortigate-60系列设备。您所要做的只是配置您网络中的计算机使用dhcp自动获取ip 地址以及dns服务器ip地址,并访问基于web的管理器对wan1接口配置所需的设置。如需要,您也可以配置fortigate dns服务器并添加默认的路由。
fortigate内部接口可以配置作为一个dhcp服务器在内部网络中自动对计算机设备(最多可达100台)自动分配地址范围为192.168.1.110到192.168.1.210之间的ip地址。
fortigate dhcp服务器也可以对内部网络中的每台计算机分配dns服务器ip地址为192.168.1.99。那么,fortigate设备内部接口将作为内部网络中的一个dns服务器。使用dns 转发,fortigate设备将从内部网络获取的dns请求转发到dns服务器ip地址添加在fortigate 设备配置中并将查询结果返回到内部网络中。
有关dhcp服务器的详细信息,参见“出厂默认dhcp服务器配置”。
以下操作是有关如何配置您的内部网络与fortigate设备使用fortigate设备默认的设置:
1. 将fortigate设备连接在内部网络与互联网之间,并启动设备。
2. 设置网络计算机的tcp/ip属性使用dhcp自动获取ip地址与dns服务器ip地址。
3. 使用管理计算机,浏览:https://192.168.1.99。
登录到fortigate设备基于web管理器页面。
4. 进入系统]网络]接口,点击外部接口的“编辑”图标。
5. 选择以下一种寻址模式:
1)手动模式:输入静态ip地址与掩码,点击ok并进入步骤6。
2)dhcp模式:点击选择dhcp,从isp获取ip地址,并进入步骤9。
3)pppoe模式:点击选择pppoe,从isp获取ip地址,并进入步骤9。
6. 进入系统]网络]选项。
7. 选择以下一种dns设置:
1)自动获取dns服务器地址:设置从isp自动获取dns地址,点击“应用”。
2)使用以下dns服务器地址:输入isp给的dns地址并点击“ok”。
8. 进入路由]静态,编辑路由#1并将网关更改为默认的网关ip地址并点击ok。
9. 如果isp支持服务器或代理内部dns选项,点击获取默认的网关并点击ok确认后继续执行“下一步”。
如果您没有设置这些选项,进入步骤6。
出厂默认的透明模式的网络配置
使用出厂默认的dhcp服务器设置,您可以快速配置内部网络以及fortigate设备。参见“使用出厂默认设置快速安装”。
出厂默认的NAT/路由模式的网络配置
fortigate设备首次启动时,它运行于nat/路由模式,表6所列是该工作模式下的基本网络配置。该配置允许您连接到fortigate设备的基于web的管理器,并建立fortigate设备连接到网络所需的配置。表6中,https管理访问表示您可以通过该接口的https协议连接到基于web的管理器。ping管理访问表示该接口对ping这一命令可以做出响应。
出厂默认的透明模式的网络配置
出厂默认防火墙设置
fortigate防火墙策略是有关fortigate设备对所有通讯流量的控制。除非添加了防火墙策略,否则没有流量通讯能够被fortigate设备接收或经过fortigate设备。您可以添加防火墙策略允许网络流量通过fortigate设备。有关添加防火墙策略,参见fortigate 设备管理员使用手册。
以下是默认的防火墙配置中的策略配置设置:
nat/路由模式与透明模式下防火墙配置的出厂默认设置是相同的。
出厂默认的防火墙保护内容设置
使用防火墙保护设置对防火墙策略控制的流量进行不同的防护设置。
1、给http,ftp,imap,pop3与smtp防火墙策略配置防病毒保护。
2、给http防火墙策略配置网页过滤。
3、给http策略配置网页类别过滤。
4、给imap,pop3与smtp防火墙策略配置垃圾邮件过滤。
5、对所有的服务启动入侵防护系统(ips)。
6、对http,ftp,imap,pop3与smtp防火墙策略启动内容日志通过内容保护列表,您可以构建适用与不同类型防火墙策略的保护配置。并允许您针对不同防火墙策略定制不同类型与级别的防护。
例如,内部与外部地址之间的流量可能需要比较严格的防护,而内部地址之间的流量可能需要中等一般的防护。您可以针对不同的流量使用相同或不同的保护设置配置防火墙策略。
nat/路由模式与透明模式的防火墙策略也可以添加保护设置。
fortigate设备可以预先配置四种保护设置。
strict(严格型)适用于对http,ftp,imap,pop3与smtp流量应用最大限度的保护。一般情况下,不必使用strict(严格型)的保护设置,发现病毒攻击,需要扫描检测时,可以启用strict(严格型)保护。
scan (扫描型)针对http,ftp,imap,pop3,与smtp内容流量采用病毒扫描与文件隔离。
web (网页内容控制型)针对http内容流量采取病毒扫描与网页内容屏蔽。您可以在防火墙策略中添加该保护设置来控制http流量。
unfiltered (无过滤型)如果对于内容流量不愿意采用内容防护,您可以使用无过滤型保护。您可以在不需要内容保护的高可信与安全性较高的网络连接区域,在防火墙的策略中添加该保护设置。
使用基于web的管理器恢复默认的出厂设置
恢复默认的设置
1.进入系统]状态]系统操作。
2.点击“恢复为出厂默认设置”。
3.点击“确认”。
使用CLI恢复默认的出厂设置
键入如下命令恢复为出厂默认设置:
execute factoryreset
规划FortiGate配置
配置fortigate设备之前,先要考虑怎样把fortigate设备集成在网络中。至于其它问题,如还需要决定fortigate设备是否在网络中可见,需要配置哪些防火墙功能,与怎样控制接口间的流量。
您所选择的fortigate设备的操作模式是配置的依据。fortigate设备有两个模式,分别为:nat/路由模式(出厂默认)与透明模式。
您也可以在出厂默认的操作模式设置即nat/路由模式下,在网络中配置fortigate设备。
NAT/路由模式安装
na/路由模式下,fortigate设备在网络中是可见的类似一个路由器,设备的所有接口在不同的子网中。在na/路由模式下,以下接口是可用的。
您可以添加防火墙策略控制nat/路由模式下的fortigate设备是否有通信流量通过。防火墙策略根据源地址、目标地址与每个数据包的服务来控制数据流量。nat模式下,fortigate 设备发送数据包到目标网络之前,先执行网络地址转换。路由模式操作没有地址转换。
nat/路由模式下的fortigate设备的典型的应用是作为私网与公网之间的网关。该配置中,您可以建立nat模式防火墙策略控制内部网、私网与外部网,公网(通常指互联网)之间的数据流量。
ATTENTION:如果是多重内部网络连接,例如内部网之外的dmz网络、私网;您可以建立路由模式下的防火墙策略控制这些多重网络之间的流量。
具有多个外部网络连接的nat/路由模式
nat/路由模式下,您可以配置fortigate设备具有多个冗余连接,连接到外部网络(通常指互联网)。
例如,您可以创建以下配置:
1、wan1是连接到外部网络(通常指互联网)的默认接口。
2、modem是fortigate-60系列设备连接到外部网络的冗余接口。
3、dmz是fortigate-100a设备中连接到外部网络的冗余接口。
4、internal是连接到内部网络的接口。
您必须配置路由支持冗余的网络连接。如果到外部网络的连接失败,路由可以从接口自动重新定向改连接。
另外,安全策略配置类似于单项互联网连接下的nat/路由模式配置。您可以创建nat模式防火墙策略控制内网、死亡以及外网、公共网络(通常指互联网)之间的流量。
透明模式
透明模式下,fortigate设备在网络中是透明的。类似于网络桥梁,所有的fortigate接口都在同一个子网中。您只需配置一个管理ip地址便可以进行配置更改。管理ip地址也可用来配置病毒及攻击的定义更新。透明模式下的fortigate设备的典型应用位于当前的防火墙或路由器之后。fortigate设备具有防火墙、ipsecvpn、病毒扫描、ips、网页过滤与垃圾邮件过滤功能。
根据不同型号的fortigate设备,您最多可以将4个网段连接到fortigate设备上,以控制这些网段之间的数据流量。
ATTENTION:透明模式下,fortigate-60m中modem接口不可用。
设置公共FortiGate接口对Ping命令请求不作出响应出厂默认的fortigate设备允许默认的公共接口对ping请求作出响应。默认的工作接口也称为默认的外部接口,该接口是通常用于连接到互联网的接口。
出于安全操作着想,您应该更改外部接口的配置,对外部的ping请求不作出响应。配置对外部的ping请求不作出响应增强了网络的安全性,增加网络中可能的攻击对fortigate设备的探测。
根据fortigate设备不同的型号,默认的公共接口可以是external接口或wlan1接口。
如果对接口启动了ping管理访问设置,那么fortigate设备将对ping请求作出响应。您可以使用以下操作步骤撤消对fortigate设备外部接口的ping访问。同样的操作适用于任何操作模式下的设备接口。
使用基于web的管理器撤消ping管理访问
1. 登录基于web的管理器。
2. 进入系统]网络]接口。
3. 选择外部接口并点击对应的“编辑”。
4. 撤消ping 管理访问功能。
5. 点击ok保存该配置更改。
使用cli撤消ping管理访问
1. 登录fortigate cli。
2. 输入以下命令,撤消对外部接口的管理访问:
config system interface
edit external
unset allowaccess
end
NAT/路由模式安装
以下内容是有关如何在nat/路由模式下安装fortigate设备。包括以下内容:
1、配置fortigate设备的nat/路由模式准备
2、配置dhcp或pppoe
3、使用基于web的管理器
4、使用命令行接口(cli)
5、将fortigate设备配置到网络中
6、配置网络
配置FortiGate设备的NAT/路由模式准备
参考表11中的信息,您可以定制nat/路由模式设置。您可以使用以下几种方法配置fortigate 设备:
1、通过基于web的管理器的用户界面可以配置设备的大部分设置。参见“使用基于web 的管理器”。
2、使用命令行接口(cli)可以配置设备的全部设置。参见“使用命令行接口(cli)”。
根据配置,访问与设备组合的复杂性与您惯用的接口类型选择合适的配置方法。
配置使用DHCP或PPPoE
您可以配置任何fortigate接口从dhcp或pppoe服务器获得ip地址。您的互联网服务提供商(isp)便是使用这其中的一项协议提供ip地址的。
使用fortigate dhcp服务器,您需要配置该服务器的ip地址范围与默认的路由。将接口配置为使用dhcp便不需要做更多的配置了。
配置使用pppoe需要设置用户名与密码。另外,pppoe未编号配置要求固定一个ip地址。参考表12记录的信息配置pppoe。
使用基于web的管理器
您可以使用基于web的管理器进行fortigate设备的初始配置以及所有fortigate设备的设置。
有关连接到基于web的管理器信息,参见“连接到基于web的管理器”。
配置基本设置
连接到基于web的管理器后,您可以使用以下操作完成fortigate设备的基本配置。
添加或更改管理员密码
1.进入系统] 管理员配置] 管理员。
2.点击“更改密码”图标更改管理员密码。
3.输入新密码,再输入一次确认。
4.点击ok确认。
配置接口
1. 进入系统] 管理员配置] 管理员。
2.点击接口的“编辑”图标。
3.设置接口的地址模式。
从菜单中选择dhcp或pppoe.
4.完成地址配置。
1)对于手动的地址,输入接口的ip地址与掩码
2)对于dhcp地址,点击dhcp并进行任何需要的设置
3)对于pppoe地址,点击pppoe后输入用户名与密码
有关接口设置的配置,参见fortigate在线帮助或fortigate 设备管理员使用手册。
5. 点击“ok”确认
重复以上步骤,对每个接口进行配置。
ATTENTION:如果您想更改连接接口的ip地址,您必须使用新的地址通过网页浏览器重新连接。浏览http://后跟接口新的ip地址。如果接口新的ip地址是不同的子网,您还需将计算机ip地址更改为与该子网相同的ip地址。
配置dns服务器设置
1.进入系统]网络]选项。
2.输入一级dns服务器的ip地址。
3.输入二级dns服务器的ip地址。
4.点击“应用”。
添加默认路由
fortigate设备发送数据包到外部网络(通常指互联网)时,需要配置添加默认的路由。添加默认的路由也需要定义哪个接口连接到外部网络。如果与外部网络连接的接口配置使用了dhcp或pppoe,则不需要添加默认的路由。
1.进入路由]静态路由。
2.如果静态路由表格中有默认的路由设置(ip与掩码设置为0.0.0.0.),点击“删除”图标删除该路由。
3.点击“新建”。
4.设置目标ip地址为0.0.0.0.
5.设置掩码为0.0.0.0.
6.设置网关为默认的网关ip地址
7.设置连接到外部网络接口的驱动。
8.点击ok确认。
校验基于web管理器配置
校验访问设置,进入所校验的接口并点击编辑图标。管理访问字段有检验标识可以确认是否执行了校验。
校验连接
使用以下步骤校验连接:
1、访问https://www.360docs.net/doc/1216520384.html,
2、从您的邮件帐户收发电子邮件
如果您不能浏览fortinet网站或收发电子邮件,请检查以上步骤确保所输入的信息正确,再试一次。
使用基于web的管理器
您可以使用基于web的管理器进行fortigate设备的初始配置以及所有fortigate设备的设置。
有关连接到基于web的管理器信息,参见“连接到基于web的管理器”。
配置基本设置
连接到基于web的管理器后,您可以使用以下操作完成fortigate设备的基本配置。
添加或更改管理员密码
1.进入系统] 管理员配置] 管理员。
2.点击“更改密码”图标更改管理员密码。
3.输入新密码,再输入一次确认。
4.点击ok确认。
配置接口
1. 进入系统] 管理员配置] 管理员。
2.点击接口的“编辑”图标。
3.设置接口的地址模式。
从菜单中选择dhcp或pppoe.
4.完成地址配置。
1)对于手动的地址,输入接口的ip地址与掩码
2)对于dhcp地址,点击dhcp并进行任何需要的设置
3)对于pppoe地址,点击pppoe后输入用户名与密码
有关接口设置的配置,参见fortigate在线帮助或fortigate 设备管理员使用手册。
5. 点击“ok”确认
重复以上步骤,对每个接口进行配置。
ATTENTION:如果您想更改连接接口的ip地址,您必须使用新的地址通过网页浏览器重新连接。浏览http://后跟接口新的ip地址。如果接口新的ip地址是不同的子网,您还需将计算机ip地址更改为与该子网相同的ip地址。
配置dns服务器设置
1.进入系统]网络]选项。
2.输入一级dns服务器的ip地址。
3.输入二级dns服务器的ip地址。
4.点击“应用”。
添加默认路由
fortigate设备发送数据包到外部网络(通常指互联网)时,需要配置添加默认的路由。添加默认的路由也需要定义哪个接口连接到外部网络。如果与外部网络连接的接口配置使用了dhcp或pppoe,则不需要添加默认的路由。
1.进入路由]静态路由。
2.如果静态路由表格中有默认的路由设置(ip与掩码设置为0.0.0.0.),点击“删除”图标删除该路由。
3.点击“新建”。
4.设置目标ip地址为0.0.0.0.
5.设置掩码为0.0.0.0.
6.设置网关为默认的网关ip地址
7.设置连接到外部网络接口的驱动。
8.点击ok确认。
校验基于web管理器配置
校验访问设置,进入所校验的接口并点击编辑图标。管理访问字段有检验标识可以确认是否执行了校验。
校验连接
使用以下步骤校验连接:
1、访问https://www.360docs.net/doc/1216520384.html,
2、从您的邮件帐户收发电子邮件
如果您不能浏览fortinet网站或收发电子邮件,请检查以上步骤确保所输入的信息正确,再试一次。
使用命令行接口(CLI)
您可以使用命令行接口(cli)对fortigate设备进行配置。有关连接到cli的详细信息,参见“连接到cli”。
配置fortigate设备运行于nat/路由模式
参考表11中所采集的信息完成以下步骤。
添加或更改管理员命令
1.登录到cli(命令行接口)
2.更改管理员密码。输入:
config system admin
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
fortigate 简易设置手册
fortigate 简易设置手册 一、更加语言设置: 1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入: https://192.168.1.99进入设置界面,如下图: 2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置), 进入如下图:在红框标注的位置进行语言选择。 二、工作模式的设置:
Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式; 要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。 三、网络接口的设置: 在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。 点击编辑按钮,进入如下图所示: 在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式: 1、采用静态IP的方式:如下图: 在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中,指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。 在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。如下图:
2、如采用ADSL拨号的方式,如下图: 当你选中PPOE就会出现如下图所示的界面: 在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.
飞塔防火墙utm配置
如何启用防火墙的AV,IPS,Webfilter和 AntiSpam服务 版本 1.0 时间2013年4月 支持的版本N/A 状态已审核 反馈support_cn@https://www.360docs.net/doc/1216520384.html, 1.用Web浏览器打开防火墙的管理页面,进入系统管理-----维护----FortiGuard,如下图, 启用“防病毒与IPS选项”里面的定期升级,并在“Web过滤和反垃圾邮件选项”里面的Enable Web过滤和Enable 反垃圾邮件前面复选框中打上勾,这样就在防火墙上启用了AV,IPS,Webfilter和AntiSpam服务功能了。 2.启用防病毒与IPS选项的同时可以手动点击“立即升级”按钮让防火墙马上升级防病 毒,入侵检测数据库到最新版本,以后防火墙会按照“定期升级”配置自动定期升级防火墙的防病毒,入侵检测,web过虑和垃圾邮件分类;如果同时选上“允许服务器推送方式升级”的话,我们FortiGuard服务器在有新的升级包的同时会主动把最新的升级包推送到配置了该选项的防火墙上,如下所示:
3,检查是否成功升级到最新版本,可以打开防火墙系统管理----状态页面,看许可证信息部分或进入系统管理-----维护----FortiGuard里面也可以查看到许可证相关信息,注意许可证信息会在启用试用或合同注册完后的4个小时内得到更新,那时候才能验证确保防火墙防病毒、入侵检测数据库是最新的: 4,进入到防火墙----保护内容表,点击新建或打开一个已经存在的保护内容表,按下图显示内容启用病毒及攻击检测功能:
5,同样的在保护内容表里面,如上图所示,可以启用“FortiGuard网页过滤”和“垃圾过滤”功能,如下2图显示: 6,在保护内容表的最后一部分,可以把相关的攻击等日志记录下来,送给日志服务器:
飞塔防火墙fortigate的show命令显示相关配置
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
飞塔配置安装使用手册
飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见https://www.360docs.net/doc/1216520384.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。 fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、fortiguard 入侵防护(ips)服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括: 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能: 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。
Fortinet防火墙设备维护手册
第1章第2章2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章3.1 3.2 录 FORTINET 配置步骤配置步骤...... 2 FORTINET 防火墙日常操作和维护命令 (29) 防火墙配置......29 防火墙日常检查 (29) 防火墙的会话表:(系统管理-状态-会话)......29 检查防火墙的CPU、内存和网络的使用率......31 其他检查 (31) 异常处理……31 使用中技巧……32 FORTGATE 防火墙配置维护及升级步骤…… 33 FORTIGATE 防火墙配置维护......33 FORTIGATE 防火墙版本升级 (33) 第1章Fortinet 配置步骤章 1.1.1.1 Fortigate 防火墙基本配置 Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理IP 地址,缺省的基本管理地址为P1 口192.168.1.99,P2 口192.168.100.99。但是由于P1 口和P2 口都是光纤接口,因此需要使用Console 口和命令行进行初始配置,为了配置方便起见,建议将P5 口配置一个管理地址,由于P5 口是铜缆以太端口,可以直接用笔记本和交叉线连接访问。之后通过https 方式登陆到防火墙Internal 接口,就可以访问到配置界面 1. 系统管理”菜单 1.1 “状态”子菜单1.1.1 “状态”界面 “状态”菜单显示防火墙设备当前的重要系统信息,包括系统的运行时间、版本号、OS 产品序列号、端口IP 地址和状态以及系统资源情况。如果CPU 或内存的占用率持续超过80%,则往往意味着有异常的网络流量(病毒或网络攻击)存在。 1.1.2 “会话”显示界面 Fortigate 是基于“状态检测”的防火墙,系统会保持所有的当前网络“会话”(sessions)。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的IP”和“源/目的端口”的过滤,可以了解更特定的会话信息。例如,下图是对源IP 为10.3.1.1 的会话的过滤显示 通过“过滤器”显示会话,常常有助于发现异常的网络流量。1.2 “网络”子菜单1.2.1 网络接口 如上图,“接口”显示了防火墙设备的所有物理接口和VLAN 接口(如果有的话),显示IP 地址、访问选项和接口状态。“访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如:对于“PORT1”,我们可以以“HTTPS,TELNET”访问,并且可以PING 这个端口。点击最右边的“编辑”图标,可以更改端口的配置。 如上图,“地址模式”有三类: a.如果使用静态IP 地址,选择“自定义”;b.如果由DHCP 服务器分配IP,选择“DHCP”;c.如果这个接口连接一个xDSL 设备,则选择“PPPoE”。在“管理访问”的选项中选择所希望的管理方式。最后点击OK,使配置生效。 “区”是指可以把多个接口放在一个区里,针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中,没有使用“区”。1.2.2 DNS 如上图,在这里配置防火墙本身使用的DNS 服务器,此DNS 与内部网络中PC 和SERVER 上指定的DNS 没有关系。 1.3 DHCP 如上图,所有的防火墙端口都会显示出来。端口可以1)不提供DHCP 服务;2)作为DHCP 服务器;3)提供DHCP 中继服务。在本例中,External 端口为所有的IPSEC VPN 拨
飞塔防火墙OSPF配置
FortiGate OSPF设置
目录 1.目的 (3) 2.环境介绍 (3) 3.OSPF介绍 (4) 3.1 DR与BDR选举 (4) 3.2 OSPF邻居建立过程 (5) 3.3 LSA的类型 (6) 3.4 OSPF的区域 (7) 4.FortiGate OSPF配置 (8) 4.1 GateA配置 (8) 4.2 GateB配置 (8) 4.3 GateC配置 (8) 4.4 配置完成后各个Gate路由表 (9) 4.5 通过命令查看OSPF状态 (9) 5.OSPF路由重发布 (10) 6.Total stub与T otal NSSA (11) 7.OSPF的Troubleshooting (12) 8.参考 (13)
1.目的 本文档针对FortiGate的OSPF动态路由协议说明。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统,即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器。 2.环境介绍 本文使用4台FortiGate进行说明, 本文使用的系统版本为FortiOS v4.0MR2 Patch8。 Router Router ID Role Interface IP Area
飞塔无线配置1
FortiAP 介绍 FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。 FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。FortiAP与FortiGate 设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。 FortiAP 外观与连接 这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO 技术。FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准。 这是FortiAP 210B正面的样子。
FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1.5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。 FortiAP 访问 和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192.168.1.2,用户名为admin,密码为空。笔记本电脑IP设为同网段的192.168.1.8,打开火狐浏览器,输入http://192.168.1.2进行访问。 输入用户名admin,密码不填,直接点击登录; 可以看到FortiAP 210B的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个AP时为了不引起冲突,又能访问每个IP,建议修改默认的192.168.1.2 IP地址。
FortiGate防火墙常用配置命令(可编辑修改word版)
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
飞塔 FortiGate-1000A安装使用手册
I N S T A L L G U I D E FortiGate-1000A and FortiGate-1000AFA2 FortiOS 3.0 MR4 https://www.360docs.net/doc/1216520384.html,
FortiGate-1000A and FortiGate-1000AFA2 Install Guide FortiOS 3.0 MR4 15 February 2007 01-30004-0284-20070215 ? Copyright 2007 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc. Trademarks Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, and FortiWiFi are trademarks of Fortinet, Inc. in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. Regulatory compliance FCC Class A Part 15 CSA/CUS Risk of Explosion if Battery is replaced by an Incorrect Type.
飞塔防火墙双机操作步骤-300D
HA配置步骤 步骤1、配置设备1的HA 进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置200(主机高于从机);组名:SYQ-300D/密码:123456;勾选"启用会话交接"。 模式:单机模式、主动-被动、主动-主动。修改单机模式为HA模式的时候,需要确保所有接口的"IP地址模式"处于"自定义"的方式,不能有启用PPPOE和DHCP的方式。 如果无法在命令行下配置A-P、A-A模式,命令行会提示: "The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode." 步骤2、配置设备2的HA 进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置100;组名:SYQ-300D/密码:123456;勾选"启用会话交接"。
步骤3、组建HA a)连接心跳线,FGT-主的port2、port4,连接到 FGT-从的port2、port4; b)防火墙开始协商建立HA集群,此时会暂时失去和防火墙到连接,这是因为在HA协商过程中会改变防火墙接口到MAC地址。可以通过更新电脑的arp表来恢复连接,命令为arp -d。c)连接业务口链路。 d)组建好HA后,两台防火墙配置同步,具有相同的配置,通过访问主防火墙来进行业务配置,如IP地址,策略等,更新的配置会自动同步。 步骤4、查看HA集群 进入菜单" 系统管理--配置--高可用性",就可以看到HA的建立情况。
飞塔防火墙日常维护与操作
纳智捷汽车生活馆 IT主管日常操作指导 目录 一、设备维护 (02) 二、网络设备密码重置步骤 (20) 三、飞塔限速设置 (05) 四、飞塔SSLVPN设置及应用 (07) 五、服务需求 (15) 六、安装调试流程 (16) 七、备机服务流程 (17) 八、安装及测试 (18) 九、注意事项 (19)
一、设备维护 1、登录防火墙 内网登录防火墙,可在浏览器中https://172.31.X.254 或 https://192.168.X.254(注:登录地址中的X代表当前生活馆的X值),从外网登录可输当前生活馆的WAN1口的外网IP 地址(例如:https://117.40.91.123)进入界面输入用户名密码即可对防火墙进行管理和配置。 2、登录交换机 从内网登录交换机,在浏览器输入交换机的管理地址即可。 http://172.31.X.253\252\251\250 (注:同样登录地址中的X代表当前生活馆的X值) 3、登录无线AP 从内网登录无线AP,在浏览器输入无线AP的管理地址即可。 员工区http://172.31.X.241 客户区 http://192.168.X.241 (注:同样登录地址中的X代表当前生活馆的X值) 二、网络设备密码重置步骤 2.1 防火墙Fortigate-80C重置密码 1,连上串口并配置好; 2,给设备加电启动; 3,启动完30秒内从串口登陆系统,用户名为:maintainer; 4,密码:bcpb+序列号(区分大小写);注意:有些序列号之间有-字符,需要输入.如序列号为FGT-100XXXXXXX,则密码为bcpbFGT-100XXXXXXX.不然无法登陆. 5,在命令行下执行如下系列命令重新配置“admin”的密码:
飞塔防火墙fortigate的show命令显示相关配置精编版
飞塔防火墙f o r t i g a t e 的s h o w命令显示相关 配置 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
1,Fortinet FortiGate产品安装及快速配置
FortiGate产品安装及快速配置 Fortinet公司是全球网络安全行业领导者,FortiGate正是这家公司的旗舰产品。FortiGate拥有强大的网络和安全功能,服务于全球数万家客户,产品型号也是业界覆盖最广的,从几十兆产品到几百G产品,能够满足不同规模用户的使用需求。对于大企业和运营商客户来说,IT人员能力强,资源多,对于设备的配置自然不在话下。但是对于规模不大的中小企业来说,IT人员的运维能力可能就没有那么强了。 大家印象中传统的企业级设备配置安装都比较麻烦,友好性远不如家用路由器。因此很多用户也希望他们购买的企业级产品能够像家用级设备一样简单配置。FortiGate就是一款这样的产品。我们以FortiGate-90D-POE设备为演示,来为大家介绍一下FortiGate产品的安装、配置。后续我们还会有设备功能的使用介绍。 图1:FortiGate-90D-POE包装 图2:FortiGate-90D-POE和配件
如上图所示,FortiGate-90D-POE内置了电源,光盘,手册,RJ45网线和一根USB 管理数据线。PC可以通过USB管理数据线,使用FortiExplorer软件实现设备的快速配置。稍后我们会有讲解。 图3:FortiGate-90D-POE前面板和后面板 如图3,前面板的左侧接口是用于调试的console口,中间四个灯为电源,状态等指示灯,右侧的双排指示灯是WAN口和交换口的状态指示灯,红色的ABCD四个灯标示了POE供电的四个接口。后面板的左侧为电源接口,螺丝钉为固定地线用,避免在漏电的情况下用户触电。螺丝钉下面的接口为USB2.0小接口,用于手机连接设备进行配置。再往右两个为USB管理口。后面板上的16个接口中,最右面两个为WAN口,其余14个为交换接口,红色标示的ABCD接口为POE供电口。 FortiGate管理方式 图4:接口示意图
飞塔防火墙HA配置
FortiGate HA功能说明 1.1 主用-备用模式 FortiGate防火墙HA的主用-备用(A-P)模式提供了一个双机热备份集群的机制来对网络连接进行可用性保护,在HA集群里面只有一台主用设备在处理所有的网络流量,其他的一台或几台则处于备用状态FortiGate不处理任何网络流量只是在实时的监控着主用FortiGate是否仍然正常工作。 备机主要的工作有: ?实时和主用FortiGate同步配置; ?监控主用FortiGate状态; ?如果启用了会话备份功能(session pick-up)的话,备用设备需要实时同步主用设备上的会话以确保在主用设备出现问题是可以透明接替主用 设备,所有主用设备上已经建立的会话不需要重新建立,会话备份功能目前可以支持没有启用防火墙保护内容表的所有TCP/UDP/ICMP/多播/广播数据流; ?如果没有启用了会话备份功能(session pick-up)的话,备用设备不会实时同步主用设备上的会话,所有主用设备上已经建立的会话在发生HA 切换时需要重新建立; 1.2 主用-主用模式 第1 页共14 页
A-P模式部署的防火墙虽然有多台在网但实际上只有一台设备在工作其他所有的设备都在实时的监控主用机发生故障才会有一台接替工作,这样带来的一个问题是设备资源利用率不足。FortiGate防火墙HA功能同时提供了主用-主用(A-A)模式,也就是在所有HA集群中的所有设备都同时工作以同时达到负载均衡和热备份的功能,在A-A集群里面默认配置下的主设备不会负载均衡没有启用保护内容表的流量给非主工作设备,它只会负载均衡所有的启用了防火墙保护内容表的网络连接,处理时它会先接收下来所有的流量同时根据负载均衡配置把相关连接动态分配给其他的非主工作设备处理。这样处理的原因是:通常启用了防火墙保护内容表的网络连接才是CPU和内存消耗主要来源,这样可以大大增加A-A部分是集群的高层安全处理能力。 实际上也可以开启A-A集群负载所有TCP网络流量的功能,需要进入命令行下面开启HA的load-balance-all功能就可以了。 FortiGate防火墙HA的A-A集群不支持UDP/ICMP/多播/广播流量的负载均衡功能,也不支持VoIP、IM、IPSec VPN、HTTPS和SSL VPN负载均衡功能,所有的以上流量都将只有A-A集群里面的主工作设备处理。 FortiGate防火墙HA的A-A集群会话备份功能(session pick-up)支持没有启用防火墙内容保护表的TCP流量,并不提供基于防火墙内容保护表的流量的会话备份功能(session pick-up),也不支持UDP/ICMP/多播/广播流量会话备份功能(session pick-up)。 第2 页共14 页
Fortinet 飞塔防火墙操作管理员手册V4.3
手把手学配置FortiGate设备FortiGate Cookbook FortiOS 4.0 MR3
目录 介绍 (1) 有关本书中使用的IP地址 (3) 关于FortiGate设备 (3) 管理界面 (5) 基于Web的管理器 (5) CLI 命令行界面管理 (5) FortiExplorer (6) FortiGate产品注册 (6) 更多信息 (7) 飞塔知识库(Knowledge Base) (7) 培训 (7) 技术文档 (7) 客户服务与技术支持 (8) FortiGate新设备的安装与初始化 (9) 将运行于NAT/路由模式的FortiGate设备连接到互联网 (10) 面临的问题 (10) 解决方法 (11) 结果 (13) 一步完成私有网络到互联网的连接 (14) 面临的问题 (14) 解决方法 (15) 结果 (16) 如果这样的配置运行不通怎么办? (17) 使用FortiGate配置向导一步完成更改内网地址 (20) 面临的问题 (20) 解决方法 (20) 结果 (22) NAT/路由模式安装的故障诊断与排除 (23) 面临的问题 (23) 解决方法 (23) 不更改网络配置部署FortiGate设备(透明模式) (26)
解决方法 (27) 结果 (30) 透明模式安装的故障诊断与排除 (31) 面临的问题 (31) 解决方法 (32) 当前固件版本验证与升级 (36) 面临的问题 (36) 解决方法 (36) 结果 (39) FortiGuard服务连接及故障诊断与排除 (41) 面临的问题 (41) 解决方法 (42) 在FortiGate设备中建立管理帐户 (48) 面临的问题 (48) 解决方法 (48) 结果 (49) FortiGate设备高级安装与设置 (51) 将FortiGate设备连接到两个ISP保证冗余的互联网连接 (52) 面临的问题 (52) 解决方法 (53) 结果 (60) 使用调制解调器建立到互联网的冗余连接 (63) 面临的问题 (63) 解决方法 (64) 结果 (70) 使用基于使用率的ECMP在冗余链路间分配会话 (70) 面临的问题 (70) 解决方法 (71) 结果 (73) 保护DMZ网络中的web服务器 (74) 面临的问题 (74) 解决方法 (75) 结果 (81) 在不更改网络设置的情况下配置FortiGate设备保护邮件服务器(透明模式) (86)
fortinet飞塔防火墙配置
Fortinet产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见 https://www.360docs.net/doc/1216520384.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低 的运行成本考虑设计。
fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、 fortiguard 入侵防护(ips)服务 3、 fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。 forticlient的功能包括: 1、建立与远程网络的vpn连接
2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到 几个用户的计算机。 FortiMail fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的 邮件威胁。
fortigate 200简易使用手册
1.FortiGate-200A fortigate-200a设备包装盒中部件: 1 fortigate-200a防火墙设备 2 一根橙色以太网交叉线缆(fortinet 部件号:cc300248) 3 一根灰色以太网普通线缆(fortinet 部件号:cc300249) 4 一根rj-45到db-9串连线缆(fortinet 部件号:cc300302) 5 两个19英寸大小的安装架 6 一根电源线 7 fortigate-200a设备快速启动指南册页 8 fortinet技术手册cd一张 图1:fortigate-200a设备部件 安装 fortigate-200a可以固定在标准的19英寸的机架上。需要占据机架1u的垂直空间。fortigate-200a 设备也可作为独立的器件放置在任何水平的表面。 表1:技术参数
尺寸:16.8×10×1.75英尺(42×25.4×4.5厘米) 重量:7.3磅(3.3千克) 功率:最大功率:50w 工作需求: ac输入电压:100至240vac ac输入电流:1.6a 频率:50至60hz 工作温度:32至104华氏度(0至40度摄氏度) 工作环境: 放置温度:-13至158华氏度(-25至70摄氏度) 湿度:5至95%(非冷凝) 2.启动FortiGate设备 1. 确定fortigate设备背面的电源开关是关闭的。 2. 将电源线与位于fortigate设备背面的电源接口连接。 3. 将电源线连接到电源插座。 4. 闭合电源开关。 数秒后, led 显示system staring(系统启动)。
系统启动后,led显示menu (主菜单)。 fortigate设备开始运行,led指示灯亮起。fortigate设备启动过程中led状态指示灯闪烁并在设备启动后保持亮着状态。 表6:led显示 关闭fortigate设备 请在闭合电源开关之前,关掉fortigate操作系统,以免造成硬件损伤。 关闭fortigate设备 1. 访问基于web的管理器,进入系统] 状态] 系统状态, 选择关闭系统,然后点击“确认”关闭系统;或者在命令行接口(cli)中,输入execute shutdown 2. 关闭电源开关。 3. 将电缆线从电源连接处拔掉。