飞塔防火墙的防火墙策略

如何启用防火墙的AV,IPS,Webfilter和AntiSpam服务版本 1.0时间2013年4月支持的版本N/A状态已审核反馈support_cn@1.用Web浏览器打开防火墙的管理页面，进入系统管理-----维护----FortiGuard，如下图，启用“防病毒与IPS选项”里面的定期升级，并在“Web过滤和反垃圾邮件选项”里面的Enable Web过滤和Enable 反垃圾邮件前面复选框中打上勾，这样就在防火墙上启用了AV,IPS,Webfilter和AntiSpam服务功能了。

2.启用防病毒与IPS选项的同时可以手动点击“立即升级”按钮让防火墙马上升级防病毒，入侵检测数据库到最新版本，以后防火墙会按照“定期升级”配置自动定期升级防火墙的防病毒，入侵检测，web过虑和垃圾邮件分类；如果同时选上“允许服务器推送方式升级”的话，我们FortiGuard服务器在有新的升级包的同时会主动把最新的升级包推送到配置了该选项的防火墙上，如下所示：3，检查是否成功升级到最新版本，可以打开防火墙系统管理----状态页面，看许可证信息部分或进入系统管理-----维护----FortiGuard里面也可以查看到许可证相关信息，注意许可证信息会在启用试用或合同注册完后的4个小时内得到更新，那时候才能验证确保防火墙防病毒、入侵检测数据库是最新的：4，进入到防火墙----保护内容表，点击新建或打开一个已经存在的保护内容表，按下图显示内容启用病毒及攻击检测功能：5，同样的在保护内容表里面，如上图所示，可以启用“FortiGuard网页过滤”和“垃圾过滤”功能，如下2图显示：6，在保护内容表的最后一部分，可以把相关的攻击等日志记录下来，送给日志服务器：7，进入到防火墙-----策略里面，在对应的防火墙策略里面引用刚刚建立的防火墙保护内容表：9，启用日志内存记录，基本可以设置为信息：10，可以在日志访问里面查看到对应的病毒事件及攻击日志信息，并且有对应URL链接可以查询详细的事件解释：11，也可以在系统状态页方便的查看到攻击计数器：。

FortiGate防火墙3.0版本的IPSec VPN设置方法总部（中心端）的设置一、定义本地（中心端）与分支机构（客户端）的内部网络地址1. 点击菜单“防火墙”à“地址”à “新建”2. 在地址名称中写入自定义的名称（如：myabc），IP地址栏里填入本地网络地址和掩码（如：192.168.1.0/255.255.255.0）3. 重复以上操作定义对端（客户端）的内部网络地址（不能和本地网段有重复）二、定义VPN通道阶段一的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段1”2. 在“名称”中任意填写一个自定义的名字3. 远程网关选择“连接用户”4. 本地接口选择“WAN1”（当前的公网接口）5. 模式选择“野蛮模式”6. 在预共享密钥里填入自定义的密码（两端设置要相同）三、定义VPN通道阶段二的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段2”2. 在名称中填入自定义的通道名称（任取）3. 阶段一选择在在上一步中建立的网关名称四、建立VPN通道的加密策略1. 点击菜单“防火墙”à“策略”à“新建”2. 源接口区选择从“internal”，地址选择代表本地IP地址的名称3. 目的接口区选择“wan1”（当前的公网接口），地址名选择代表对端（分支机构）内部网络地址的名称4. 模式选“IPSEC”5. VPN通道选择在阶段二中建立的通道名称。

注：建议将VPN策略移到顶部位置。

客户端（分支机构）的设置一、定义本地（客户端）与总部（中心端）的内部网络地址1. 点击菜单“防火墙”à“地址”à “新建”2. 在地址名称中写入自定义的名称，IP地址栏里填入本地网络地址和掩码3. 重复以上操作定义对端（中心端）的内部网络地址二、定义VPN通道阶段一的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段1”2. 在“网关名称”中任意填写一个自定义的名字3. 远程网关选择“静态IP”4. 输入对端（中心端）的公网IP地址5. 本地接口选择“WAN1”（当前的公网接口）6. 模式选择“野蛮模式”7. 在预共享密钥里填入自定义的密码（两端设置要相同）三、定义VPN通道阶段二的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段2”2. 在名称中填入自定义的通道名称（任取）3. 阶段一选择在在上一步中建立的网关名称4. 快速模式选择器中“源地址”填本地（客户端）的内部网络地址，“目标地址”填对端（中心端）的内部网络地址，两个地址分别与策略中定义的地址相对应。

Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息，详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。

fortiguard 服务订制包括：1、fortiguard 反病毒服务2、 fortiguard 入侵防护（ips）服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括：1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。

简介飞塔防火墙是一种网络安全设备，用于保护企业网络免受网络攻击和恶意活动的影响。

本文档将详细介绍飞塔防火墙的特点、工作原理以及在企业网络中的部署方案。

特点飞塔防火墙具有以下特点：1.多层防御：飞塔防火墙采用了多层的安全防护机制，包括包过滤、应用层代理、VPN等，可以有效地防止来自内外部的网络威胁。

2.流量监控：飞塔防火墙可以对网络流量进行实时监控和分析，识别可疑的网络活动并采取相应的措施，从而提升网络安全性。

3.灵活的权限控制：飞塔防火墙支持基于角色和策略的权限控制，可以根据不同用户的需求进行定制化配置，确保网络资源的合理使用。

4.高可用性：飞塔防火墙设备支持冗余配置，当一台设备故障时能够自动切换到备用设备上，以确保网络服务的连续性和可靠性。

工作原理飞塔防火墙的工作原理如下：1.流量过滤：飞塔防火墙根据预设的策略，对流经设备的网络流量进行过滤。

它会检查每个网络数据包的源地址、目标地址、端口号等信息，并按照设定的规则决定是否允许通过或拒绝。

2.应用层代理：飞塔防火墙可以作为应用层代理，对特定的网络应用进行深度检查和控制。

它可以分析网络数据包的应用层协议，防止恶意代码和攻击行为对企业网络造成损害。

3.VPN支持：飞塔防火墙可以提供虚拟专用网络（VPN）的支持。

通过VPN，企业可以建立安全的远程访问通道，实现远程办公和资源共享，同时保障数据的机密性和完整性。

4.日志记录：飞塔防火墙会记录每个数据包的通过与拦截情况，以及系统和应用的运行状态。

这些日志可用于网络安全事件的调查和分析，以及合规性审计。

部署方案在企业网络中，可以采用以下部署方案来使用飞塔防火墙：1.边界防火墙：将飞塔防火墙部署在企业网络的边界位置，作为内部网络和外部网络之间的安全屏障。

它可以过滤来自外部网络的流量，防止潜在的网络攻击和恶意行为。

2.内部防火墙：在企业网络内部的关键节点上部署飞塔防火墙，以提供局部的安全保护。

这种部署方式适用于对内部网络的保护要求较高的场景，如数据中心。

1、虚拟域（VDOMS）----虚拟防火墙配置：（1）首先web 登陆防火墙（真机https://+ip，虚拟机http://+ip），虚拟机用户名：admin，密码：没（空的）。

登陆到管理面板找到虚拟域，默认禁用，点击启用为启动。

（2）然后启动虚拟域后，虚拟重新登陆，用户名和密码不变。

点开VDOM 界面，上面可以新建一个虚拟域（就是新的虚拟防火墙）。

防火墙名和模式，NAT为3层，透明为2层。

3、在左手边系统菜单下面有当前VDOM角色，有全局和VDOM可以选。

2、VDOM 启用后，点击全局配置模式---------网络----接口，可以把接口分配给不同的虚拟域（1）全局点开接口后，选择着需要更改虚拟域的接口，选择上方编辑（2）点开端口编辑，能配置端口IP和相应管理协议还可以设置端口监控，web 代理、分片等。

附加IP地址就是例如一个公网24位的地址，运营商给了10个可以用IP：10.10.10.1 -10地址模式上填写：10.10.10.1 ，剩余10.10.10.2-10就可以通过附加IP地址填写。

3、除了对现有接口进行编辑，也能新建接口，新建接口后能选择接口类型，（根据深信服上端口配置，均为3层口，这次配置具体端口是什么类型，需要客户确认）其余配置和编辑端口时一样。

4、需要对虚拟防火墙进行路由、策略配置需要寻找当前VDOM角色：静态路由配置，配置完静态路由后，能点开当前路由查看路由表：5、防火墙object 虚地址（为外网访问内网服务器做的端口转换）6、policy 这边所做的就是NAT 和其他放通的策略。

可以完成参照深信服防火墙的策略来做。

7、全局模式下，配置HA（1）集群设置：群名和密码，主备要完全一致，启动会话交接（就是主挂了的时候，被会直接把会话复制过去，然后起来运行）（2）主备设置，设备优先级默认128，优先级高的，设备为主，记得勾选储备管理端口集群成员(这样就能对集群的设备进行单个管理)(3)选择端口作为心跳线，例如选择PORT4口,然后把心跳线对接，同步配置就可以。

FortiGate飞塔防⽕墙简明配置指南FortiGate飞塔防⽕墙简明配置指南说明：本⽂档针对所有飞塔 FortiGate设备的基本上⽹配置说明指南。

要求：FortiGate? ⽹络安全平台，⽀持的系统版本为FortiOS v3.0及更⾼。

步骤⼀：访问防⽕墙连线：通过PC与防⽕墙直连需要交叉线（internal接⼝可以⽤直通线），也可⽤直通线经过交换机与防⽕墙连接。

防⽕墙出⼚接⼝配置：Internal或port1：192.168.1.99/24，访问⽅式：https、ping把PC的IP设为同⼀⽹段后（例192.168.1.10/24），即可以在浏览器中访问防⽕墙https://192.168.1.99防⽕墙的出⼚帐户为admin，密码为空登陆到web管理页⾯后默认的语⾔为英⽂，可以改为中⽂在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中⽂）。

如果连不上防⽕墙或不知道接⼝IP，可以通过console访问，并配置IP连线：PC的com1（九针⼝）与防⽕墙的console（RJ45）通过console线连接，有些型号的防⽕墙console是九针⼝，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使⽤选择com1，设置如下图输⼊回车即可连接，如没有显⽰则断电重启防⽕墙即可连接后会提⽰login，输⼊帐号、密码进⼊防⽕墙查看接⼝IP：show system interface配置接⼝IP：config system interfaceedit port1或internal 编辑接⼝set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问⽅式set status upend配置好后就可以通过⽹线连接并访问防⽕墙步骤⼆：配置接⼝在系统管理----⽹络中编辑接⼝配置IP和访问⽅式本例中内⽹接⼝是internal，IP，192.168.1.1 访问⽅式，https ping http telnet本例中外⽹接⼝是wan1，IP，192.168.100.1访问⽅式，https ping步骤三：配置路由在路由----静态中写⼀条出⽹路由，本例中⽹关是192.168.100.254步骤四：配置策略在防⽕墙----策略中写⼀条出⽹策略，即internal到wan1并勾选NAT即可。