飞塔-防火墙策略

FORTINET防火墙集群实施方案翻译/排版/整理: 路芸隆HA主动-被动集群设置HA主动-被动(A-P)集群可以使用GUI或CLI设置。

这个例子使用以下网络拓扑:要使用GUI设置HA A-P群集，请执行以下操作：1.按照拓扑图所示进行所有必要的连接。

2.登录其中一个FortiGates。

4.除设备优先级外，所有这些设置都必须相同集群中的FortiGates, 将其余设置保留为其默认值。

他们可以改变集群运行后。

5.单击确定。

FortiGate协商建立HA集群。

与随着HA集群的协商，FortiGate可能会暂时丢失。

FGCP更改FortiGate接口的MAC地址。

6.出厂重置将在群集中的其他FortiGate，配置GUI访问，然后重复步骤1至5，省略设置设备优先级即可加入集群。

要使用CLI设置HA A-P群集，请执行以下操作：1.按照拓扑图所示进行所有必要的连接。

2.登录其中一个FortiGates。

更改主机名可以更轻松地识别其中的单个群集单元集群操作。

5.将其余设置保留为默认值。

他们可以改变集群运行后。

6.在其他FortiGate设备上重复步骤1至5以加入集群。

HA高可用性双活群集设置可以使用GUI或CLI设置HA Active-Active（A-A）群集。

本示例使用以下网络拓扑：要使用GUI设置HA A-A群集，请执行以下操作：1.按照拓扑图所示进行所有必要的连接。

2.登录其中一个FortiGates。

4.除设备优先级外，所有这些设置都必须相同集群中的FortiGates。

将其余设置保留为其默认值。

集群运行后可以更改它们。

5.单击确定。

FortiGate协商建立HA集群。

随着HA群集协商以及FGCP更改FortiGate接口的MAC地址，与FortiGate 的连接可能会暂时丢失。

6.出厂重置将在群集中的另一个FortiGate，配置GUI访问，然后重复步骤1至5，省略设置设备优先级，以加入群集。

FORTINET 飞塔防火墙配置SSL VPN 1．SSL VPN功能介绍1．1 SSL VPN功能介绍FortiGate SSL VPN功能使用SSL和代理技术使授权用户得到安全的可靠的Web 客户端，服务器端应用或者其他文件资源共享等等服务。

FortiGate SSL VPN只能工作在NAT模式下面，透明模式不支持SSL VPN功能。

FortiGate SSL VPN提供如下2种工作模式：A、Web模式，远程用户使用浏览器就可以通过这种模式的SSL VPN访问公司内部资源，只限于HTTP/HTTPS,FTP,SMB/CIFS,Telnet,VNC,RDP服务;B、隧道模式，防火墙会虚拟出一个“ssl.root”接口出来，所有使用SSL隧道模式的流量都相当于进出此SSL VPN接口，远程用户需要安装一个SSL VPN的客户端软件，支持所有的应用。

1．2 典型拓扑结构如下，1．3 SSL VPN支持的认证协议有：本地认证Radius认证Tacacs+认证LDAP认证PKI证书认证Windows AD认证1．4 SSL VPN 和 IPSEC VPN比较SSL VPN IPSEC VPN主要针对漫游用户主要用于站点直接基于Web应用基于IP层的安全协议主要应用于2点直接VPN连接主要应用于多点，构建VPN网络有浏览器就可以使用需要安装特定的IPSEC VPN客户端软件基于用户的访问控制策略主要是基于站点的访问控制策略没有备份功能具有隧道备份和连接备份功能2．Web模式配置Web模式配置大概需要如下几个步骤：启用SSL VPN;新建SSL VPN用户新建SSL VPN用户组建立SSL VPN策略下面我们具体介绍一下Web模式的详细配置。

2．1启用SSL VPN打开Web浏览器登陆防火墙，进入虚拟专网---->SSL---->设置，勾上“启动SSL-VPN”，其他配置根据需要修改或使用默认配置就可以了，如下图：2．2新建SSL VPN用户进入设置用户---->本地，点击“新建”按钮新建一个本地用户，用户类型我们同时可以支持本地用户，Radius用户，Tacacs+用户，LDAP用户等等，这里我们只使用本地用户举例，如下图：2．3 新建SSL VPN界面进入 SSL 界面设置，新建SSL VPN 界面，输入名称及选中web访问ssl vpn时所需的应用确认。

Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息，详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。

fortiguard 服务订制包括：1、fortiguard 反病毒服务2、 fortiguard 入侵防护（ips）服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括：1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。

fortigate防火墙怎么样设置fortigate防火墙的设置好坏，会影响到我们电脑的安全，那么要怎么样去设置呢?下面由店铺给你做出详细的fortigate防火墙设置方法介绍!希望对你有帮助!fortigate防火墙设置方法一：近期经常有群友和坛友反映将FortiOS升级到4.0 MR2后经常出现资源利用率很高的情况，大家可以参考下面的一些建议;1，FortiGate设备应该有足够的资源应对攻击资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的。

2，只开启用得着的管理服务如果不用SSH或SNMP，就不要启用,避免开放可用的端口.。

3，将用得最多或最重要的防火墙策略尽量靠前防火墙策略是至上而下执行的。

4，只开启那些必要的流量日志流量日志会降低系统性能。

5，只开启那些必须的应用层协议检查应用层检查对系统性能是敏感的。

6，最小化发送系统告警信息如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。

7，AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。

8，精简保护内容表数量。

9，删除不必要的保护内容表。

10，精简虚拟域数量删除不必要的虚拟域低端设备最好不要用虚拟域。

11，如果性能显示不足就避免启用流量整形流量整形将降低流量处理性能如何优化防火墙内存使用率1，尽量不启用内存日志2，尽量不启用不必要的AV扫描协议3，减小扫描病毒文件的上限值，大多数带病毒的文件文件都小于2、3M4，删除不用的DHCP服务5，取消不用的DNS转发服务6，如IPS不需要，执行命令节省内存 Diag ips global all status disable7，改变session的ttl值set default 300 [conf sys session-ttl]set tcp-halfclose-timer 30 [config sys global]set tcp-halfopen-timer 20 [conf sys global]8，改变fortiguard的ttl值set webfilter-cache-ttl [conf sys fortiguard ]set antispam-cache-ttl [conf sys fortiguard ]9，改变DNS缓存的条数set dns-cache-limit [conf sys dns]10，不启用DNS转发unset fwdintf [conf system dns]上面出现的命令可查看CLI文档中相关用法fortigate防火墙设置方法二：恢复飞塔(FortiGate)防火墙的出厂设置当我们不能登录飞塔(FortiGate)防火墙的管理界面时可以使用此方法，不过必须要知道管理密码。

如何启用防火墙的AV,IPS,Webfilter和AntiSpam服务版本 1.0时间2013年4月支持的版本N/A状态已审核反馈support_cn@1.用Web浏览器打开防火墙的管理页面，进入系统管理-----维护----FortiGuard，如下图，启用“防病毒与IPS选项”里面的定期升级，并在“Web过滤和反垃圾邮件选项”里面的Enable Web过滤和Enable 反垃圾邮件前面复选框中打上勾，这样就在防火墙上启用了AV,IPS,Webfilter和AntiSpam服务功能了。

2.启用防病毒与IPS选项的同时可以手动点击“立即升级”按钮让防火墙马上升级防病毒，入侵检测数据库到最新版本，以后防火墙会按照“定期升级”配置自动定期升级防火墙的防病毒，入侵检测，web过虑和垃圾邮件分类；如果同时选上“允许服务器推送方式升级”的话，我们FortiGuard服务器在有新的升级包的同时会主动把最新的升级包推送到配置了该选项的防火墙上，如下所示：3，检查是否成功升级到最新版本，可以打开防火墙系统管理----状态页面，看许可证信息部分或进入系统管理-----维护----FortiGuard里面也可以查看到许可证相关信息，注意许可证信息会在启用试用或合同注册完后的4个小时内得到更新，那时候才能验证确保防火墙防病毒、入侵检测数据库是最新的：4，进入到防火墙----保护内容表，点击新建或打开一个已经存在的保护内容表，按下图显示内容启用病毒及攻击检测功能：5，同样的在保护内容表里面，如上图所示，可以启用“FortiGuard网页过滤”和“垃圾过滤”功能，如下2图显示：6，在保护内容表的最后一部分，可以把相关的攻击等日志记录下来，送给日志服务器：7，进入到防火墙-----策略里面，在对应的防火墙策略里面引用刚刚建立的防火墙保护内容表：9，启用日志内存记录，基本可以设置为信息：10，可以在日志访问里面查看到对应的病毒事件及攻击日志信息，并且有对应URL链接可以查询详细的事件解释：11，也可以在系统状态页方便的查看到攻击计数器：。

FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟ip映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令：FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令：FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址，即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

飞塔防火墙配置摘要：第一部分：办公网络及10兆共享配置信息：1.10兆共享外网接口ip地址：111.160.195.2 255.255.255.2482.与核心交换机接口ip地址：192.168.7.1 255.255.255.03.全公司上网通过10兆共享接口访问internet,做NAT复用地址转换4.Web服务器做负载均衡，需将防火墙2个端口划为一个网段5.将元易诚用户和供应商用户的VPN账号权限分开，根据用户来划分不同的网段。

元易诚用户网段：192.168.20.1-20 安全策略不限制富基供应商：192.168.30.1-10 只允许访问：192.168.1.251-254、192.168.1.19乐天供应商：192.168.40.1-10 只允许访问：192.168.1.144 192.168.9.1（web发布服务器）北方网供应商：192.168.50.1-10 192.168.8.1-3（两台web服务器做负责均衡）6.添加5条路由：第一条：192.168.1.0 0.0.0.255 192.168.7.2第二条：192.168.2.0 0.0.0.255 192.168.7.2第三条：192.168.5.0 0.0.0.255 192.168.7.2第四条：192.168.6.0 0.0.0.255 192.168.7.2第五条：0.0.0.0 0.0.0.0 111.160.195.17.外网接口屏蔽ping功能，启用病毒扫描保护8.做流量限制第二部分：银河购物中心与商管公司的网络数据信息1.购物中心商户网络接入部分分为四个部分：会员中心和服务台部分、商户pc机部分，pos机部分，信息发布部分。

其中会员中心和服务台部分与商管公司网络交互不做限制，商户pc机部分只允许访问指定的ftp服务器（192.168.1.19）.Pos和信息发布部分只允许访问erp数据库（192.168.1.254）.2.安防网过来的数据只可以访问192.168.2~6.0的网段第三部分: 10兆独享配置信息1.10兆独享外网接口ip地址：2.10兆独享接口与内网物业web服务器接口做NAT静态地址装换、并开启相应端口、如80803.10兆独享接口与内网web服务器接口做NAT静态地址转换、并开启相应端口、如：80端口4.10兆独享接口启用web安全防护功能，如：DoS攻击、SQL注入攻击功能等等5.外网接口屏蔽ping功能，启用病毒扫描保护。