飞塔防火墙双互联网出口配置实例

量配置成防火墙的网关（请先确认此网关允许被ping，在拨号环境中同时确认网关地址不会由于客户端地址改变而发生改变）。

3．3 配置相关防火墙策略需要同时配置相关的防火墙策略来允许从内网分别到两个不同的出网口，例如，出口是WAN1和WAN2，内网是Internal，那么需要同时配置Internal->WAN1和Internal->WAN2的出网防火墙策略以保证无论是WAN1还是WAN2启用防火墙策略都是合理的。

如果觉得这样配置的防火墙策略数量太多了的话，有另一个变通的方法就是可以新建一个防火墙区域，同时把WAN1和WAN2这两个接口包含起来比如说名字是WAN，那么这样只需要设置从Internal->WAN的防火墙策略就可以了。

4．情况二，双链路没有链路备份功能但具有负载均衡功能在网络出口连通性可以保证的前提下或者无须线路热备份时或者出口用途不是完全一样的时候，可以配置FortiGate为这种模式工作，这种情况下配置如下两个步骤：4．1 路由可以配置一条默认的出网路由。

同时配置相关的策略路由以设置某些符合指定条件的数据流从另一个出口出去。

4．2 防火墙策略和情况一类似，需要配置相关的防火墙策略以允许相关的数据流可以正常的通过防火墙。

5．情况三，双链路同时具有链路备份和负载均衡功能就是在两个出口都正常工作的情况下FortiGate可以把从内网出去的数据流按照特定的算法分流到两个不同的出口；当其中的某一个出口失效的时候，FortiGate又可以保证让所有的数据流可以从正常工作的出口出网。

这样一来，就同时达到了链路热备份和负载均衡的功能。

具体的配置步骤如下：5．1 路由如果是静态路由的话可以把出网路由的管理距离配置成相等的，也就是等价路由。

如果是ADSL、DHCP等动态获取的网关的话可以把“从服务器中重新得到网关”选中同时动态获取的路由的管理距离配置成一样的就可以了。

在默认路由已经配置完成的情况下，如果仍然有某些特定的数据流需要从指定的出口出网的话，可以使用策略路由功能来完成这样的需求。

双出口链路nat配置案例（outbound）1防火墙双链路出口nat策略路由配置案例一、用户组网二、需求场景需求一：●10.0.0.0及30.10.0.0网段内网用户的走G0/0/0口，通过External networt a访问公网，nat转化为地址1.0.0.1 ；20.0.0.0及30.20.0.0的内网用户走G0/0/1口，通过External network b访问公网，nat转化为地址2.0.0.1。

●防火墙出口到External networt a或External network b任意链路故障后，所有内网用户转化为同一出口地址访问公网。

●G5/0/0启子接口，下行30.10.0.0和30.20.0.0网段，网关配置在防火墙上。

需求二：●访问公网地址，如果访问的External networt a地址走External networt a访问公网；如果访问的为External networt b地址走External networt b访问公网需求三：●内网用户均可通过External networt a或External networt b访问公网需求四：●所有网络均走External networt a访问公网，当G/0/0链路down时，内网用户通过External networt b访问公网。

三、适用产品版本●设备型号：usg●软件版本：V100R002C01SPC100四、配置步骤需求一配置步骤：1、进入系统视图< USG >sys2、配置外网接口地址#配置External network a出口地址[USG ]interface GigabitEthernet 0/0/0[USG -GigabitEthernet0/0/0]ip address 1.0.0.1 255.255.255.0 #配置External network a出口地址[USG ]interface GigabitEthernet 0/0/1[USG -GigabitEthernet0/0/1]ip address 2.0.0.1 255.255.255.03、创建vlan，并将接口加入vlan（如果加入接口为三层口，也可在接口下配置地址）#创建vlan 2和vlan 3，并加入相应接口。

HA配置步骤步骤1、配置设备1的HA进入菜单" 系统管理--配置--高可用性；模式选择"主动-被动"模式，优先级配置200（主机高于从机）；组名：SYQ-300D/密码：123456；勾选"启用会话交接"。

模式：单机模式、主动-被动、主动-主动。

修改单机模式为HA模式的时候，需要确保所有接口的"IP地址模式"处于"自定义"的方式，不能有启用PPPOE和DHCP的方式。

如果无法在命令行下配置A-P、A-A模式，命令行会提示："The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode."步骤2、配置设备2的HA进入菜单" 系统管理--配置--高可用性；模式选择"主动-被动"模式，优先级配置100；组名：SYQ-300D/密码：123456；勾选"启用会话交接"。

步骤3、组建HAa）连接心跳线，FGT-主的port2、port4，连接到 FGT-从的port2、port4；b）防火墙开始协商建立HA集群，此时会暂时失去和防火墙到连接，这是因为在HA协商过程中会改变防火墙接口到MAC地址。

可以通过更新电脑的arp表来恢复连接，命令为arp -d。

c）连接业务口链路。

d）组建好HA后，两台防火墙配置同步，具有相同的配置，通过访问主防火墙来进行业务配置，如IP地址，策略等，更新的配置会自动同步。

步骤4、查看HA集群进入菜单" 系统管理--配置--高可用性"，就可以看到HA的建立情况。

Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息，详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。

fortiguard 服务订制包括：1、fortiguard 反病毒服务2、 fortiguard 入侵防护（ips）服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括：1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。

FortiGate防火墙的LAN TO LAN型式的VPN设置方法服务器端的设置首先在服务器端定义客户端的私网网段，依次选择主页面左侧菜单中的“防火墙”→“地址”，在地址栏页面中点击“新建”按钮，在地址名称中写入自定义的名称，在IP地址栏里填入对方的私网网段和掩码，如下图：下面建立一个提供远程接入的VPN通道，依次选择菜单中的“虚拟专网”→“IPSec”，先选择阶段1，点击“新建”按钮新建一个VPN网关，在网关名称中任意填写一个自定义的名字，远程网关中选择“连接用户”，点击“野蛮模式”，在预共享密钥里填入自定义的认证码（两端设置要相同），在接受此对等体ID里填入自定义的ID名字（两端设置要相同），在加密算法里选择“DES”、认证选择“MD5”，点击下面一行的“减号”，DH组只选择“1”即可，密钥周期如有改动要确保两端设置相同。

如下图所示：接下来新建一个通道，点击此页面中的“阶段2”标签，在通道名称里任意填写一个名字，远程网关里选择在阶段一里建立的网关名称，点击“高级选项”进行高级设置，在阶段2交互方案中选择DES加密算法和MD5认证算法，点击下面一行的“减号”，取消“启用数据重演检测”和“启用完全转发安全性”选项，密钥周期如有改动需保证两端相同，确保保持存活选项的状态为启用，快速模式鉴别选项选择“在策略中选择”。

如下图所示：建立一条从内网通向上面定义的对方网段的加密策略，并移动该策略到所有策略的首位置，依次选择菜单中的“防火墙” “策略”，点击“新建”按钮，接中区选择从“internal”到“wan1”，地址名选择内部网络地址池到上面建好的对端地址池，模式选“ENCRYPT”，VPN通道选择在阶段二中建立的通道名。

客户端的设置客户端的设置与服务器端基本相同，首先在客户端定义服务器端的私网网段，依次选择主页面左侧菜单中的“防火墙” “地址”，在地址栏页面中点击“新建”按钮，在地址名称中写入自定义的名称，在IP地址栏里填入对方的私网网段和掩码，及本地的私网网段和掩码如下图：下面建立一个提供远程接入的VPN通道，依次选择菜单中的“虚拟专网” “IPSec”，选择阶段1，点击“新建”按钮新建一个VPN网关，在网关名称中任意填写一个自定义的名字，远程网关中选择“静态IP地址”，在IP地址栏里填写对端的公网IP，点击“野蛮模式”，在预共享密钥里填入自定义的认证码（两端设置要相同），点击“高级选项”，在加密算法里选择“DES”、认证选择“MD5”，点击下面一行的“减号”，DH组只选择“1”即可，在本地ID里输入自定义的ID名称（与对端接受的ID名称设置要相同），密钥周期如有改动要确保两端设置相同。

1、虚拟域（VDOMS）----虚拟防火墙配置：（1）首先web 登陆防火墙（真机https://+ip，虚拟机http://+ip），虚拟机用户名：admin，密码：没（空的）。

登陆到管理面板找到虚拟域，默认禁用，点击启用为启动。

（2）然后启动虚拟域后，虚拟重新登陆，用户名和密码不变。

点开VDOM 界面，上面可以新建一个虚拟域（就是新的虚拟防火墙）。

防火墙名和模式，NAT为3层，透明为2层。

3、在左手边系统菜单下面有当前VDOM角色，有全局和VDOM可以选。

2、VDOM 启用后，点击全局配置模式---------网络----接口，可以把接口分配给不同的虚拟域（1）全局点开接口后，选择着需要更改虚拟域的接口，选择上方编辑（2）点开端口编辑，能配置端口IP和相应管理协议还可以设置端口监控，web 代理、分片等。

附加IP地址就是例如一个公网24位的地址，运营商给了10个可以用IP：10.10.10.1 -10地址模式上填写：10.10.10.1 ，剩余10.10.10.2-10就可以通过附加IP地址填写。

3、除了对现有接口进行编辑，也能新建接口，新建接口后能选择接口类型，（根据深信服上端口配置，均为3层口，这次配置具体端口是什么类型，需要客户确认）其余配置和编辑端口时一样。

4、需要对虚拟防火墙进行路由、策略配置需要寻找当前VDOM角色：静态路由配置，配置完静态路由后，能点开当前路由查看路由表：5、防火墙object 虚地址（为外网访问内网服务器做的端口转换）6、policy 这边所做的就是NAT 和其他放通的策略。

可以完成参照深信服防火墙的策略来做。

7、全局模式下，配置HA（1）集群设置：群名和密码，主备要完全一致，启动会话交接（就是主挂了的时候，被会直接把会话复制过去，然后起来运行）（2）主备设置，设备优先级默认128，优先级高的，设备为主，记得勾选储备管理端口集群成员(这样就能对集群的设备进行单个管理)(3)选择端口作为心跳线，例如选择PORT4口,然后把心跳线对接，同步配置就可以。