FortiGate最常见配置
如何设置FortiGate文件过滤器-FGT、AV、配置说明
设置FortiGate文件过滤器
说明:
本文档针对所有FortiGate设备文件过滤器配置进行说明。
文件过滤是病毒检查的一个子项,它可以根据文件的名称或类型过滤文件,是减少通过网络下载到病毒的方法之一。
更多:
环境介绍:
本文使用FortiGate400A做演示。
本文支持的系统版本为FortiOS v3.0及更高。
步骤一:新建过滤器
在病毒检查----文件过滤器中点击新建,创建一个过滤器
步骤二:定义过滤文件名称
写好名称后点击新建,定义文件名称或文件类型
文件名称模式:可以自定义要过滤的文件名称或文件名称的关键字,本例中*rar 表示过滤文件名(含后缀)中带有rar字样的文件。
模式:定义过滤的文件名如:*rar
操作:阻断则不允许该类文件通过,允许则放行该类文件
启动:勾选则启动过滤功能
步骤三:定义文件类型
文件类型:FortiGate预定义好的类型
文件类型:选择一个预定义的类型,FortiGate会察看文件内容去判断它的类型,而不是简单的根据文件后缀去判断。
操作:阻断则不允许该类文件通过,允许则放行该类文件
启动:勾选则启动过滤功能
定义好后可以看到过滤列表
步骤四:调用文件过滤器
在防火墙----保护内容表中点击编辑
在防病毒----文件过滤器中定义检查的协议如,HTTP;并选择定义好的文件过滤器
在日志中勾选阻断的文件
步骤五:应用策略
在防火墙----策略中编辑一条策略,启用保护内容表,并选择上一步中编辑好的保护内容表
更多:。
fortigate 简易设置手册
fortigate 简易设置手册一、更加语言设置:1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入:https://192.168.1.99进入设置界面,如下图:2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置),进入如下图:在红框标注的位置进行语言选择。
二、工作模式的设置:Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式;要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。
三、网络接口的设置:在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。
点击编辑按钮,进入如下图所示:在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式:1、采用静态IP的方式:如下图:在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。
在管理访问的红框中,指定您要通过哪种方式进行远程管理。
如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。
在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。
如下图:2、如采用ADSL拨号的方式,如下图:当你选中PPOE就会出现如下图所示的界面:在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。
在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.四、防火墙的设置:防火墙的设置,首先要规化地址和地址池,如下图:输入你要过滤和保护的地址和地址段。
点击上图标注处进入地址设置栏,首先从类型中选择你要的地址类型,然后根据所选的类型输入IP地址或地址段以及网络接口。
接着就是计划时间表和保护内容列表的设置,其中保护内容列表包括有病毒过滤、网址过滤、内容过滤、防入侵等。
设置FortiGate
设置FortiGate 阻断迅雷,QQ说明:本文档针对所有FortiGate设备阻断迅雷,QQ配置进行说明。
FortiOS4.0通过应用控制可以识别一千多种应用程序,并可以对其阻断。
应用控制通过IPS特征值识别应用程序。
通过应用控制管理员可以限制大部分非法流量,提高带宽利用率。
环境介绍:本文使用FortiGate400A做演示。
本文支持的系统版本为FortiOS v4.0。
步骤一:配置应用控制在UTM----应用控制中新建列表(点击放大)按下图中选择应用,动作为阻止,启用日志说明:目前所有的应用程序只支持英文名称第二个应用可以阻断迅雷使用BT、电驴、P2P下载如何选择应用程序:以qq为例,如果不知道它属于哪个分类只知道名称可以点击应用的下拉菜单,按键盘的“q”键,即可来到以q开头的应用名称,多次按“q”键即可向下查找,直到找到为止。
创建好列表后点击OK(点击放大)步骤二:配置保护内容表在防火墙----保护内容表中编辑相应的保护内容表,应用控制选择定义好的名称(点击放大)在日志中勾选记录应用控制(点击放大)步骤三:配置策略在防火墙----策略中编辑出网策略,选择定义好的保护内容表步骤四:察看日志在日志与报告----日志访问中选择应用控制,察看当前日志(点击放大)步骤五:说明应用控制对下列p2p软件支持限速:BitTorrent,eDonkey,Gnutella,KaZaa,WinNY应用控制对下列im软件支持阻止文件传输,阻止音频,检测非标准端口AIM,ICQ,MSN,Yahoo!设置FortiGate 静态路由和策略路由本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。
环境介绍:本文使用FortiGate400A做演示。
本文支持的系统版本为FortiOS v2.8及更高。
一,静态路由:不用动态路由协议,手工制定的路由条目路由表:路由表根据目的网段掩码和管理距离决定路由优先级。
FortiGate防火墙常用配置命令(可编辑修改word版)
FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加 ip 池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟 ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启 natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟 ip 映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把 internal 交换接口修改为路由口确保关于 internal 口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看 arp 表FortiGate # get system arp5、查看 arp 丰富信息FortiGate # diagnose ip arp list6、清楚 arp 缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或 FortiGate # diagnose sys session full- stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看 ospf 相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all1、查看 HA 状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum3.诊断命令:FortiGate # diagnose debug application ike -1execute 命令:FortiGate #execute ping 8.8.8.8 //常规 ping 操作FortiGate #execute ping-options source 192.168.1.200 //指定 ping 数据包的源地址 192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入 ping 的目标地址,即可通过 192.168.1.200 的源地址执行 ping 操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行 telnet 访问FortiGate #execute ssh 2.2.2.2 //进行 ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
FortiGate 防火墙常用配置命令
FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令:FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令:FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
飞塔防火墙配置
Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。
更多fortinet产品信息,详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。
fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。
fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。
fortiguard 服务订制包括:1、fortiguard 反病毒服务2、fortiguard 入侵防护(ips)服务3、fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。
FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。
forticlient的功能包括:1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。
FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。
fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。
在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。
(完整版)FortiGate防火墙常用配置命令
(完整版)FortiGate防火墙常用配置命令FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令:FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令:FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
FortiGate最常见配置
• 配置:
– – 系统管理-->网络-->接口 外网接口参数配置
• 选择接口地址模式为PPPoE • 输入用户名和密码 • MTU设置为1492
–
内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
外网接口参数配置:
内网接口参数配置:
实例
策略配置:
故障排除
• 地址范围是否定义正确 • 协议类型选择是否正确 • 端口是否定义正确
• 是否将要控制的服务添加到组中
• 策略中的源地址和目的地址是否选择正确 • 策略中的服务是否选择正确 • 策略中的模式是否选择正确
备份与负载均衡
配置过程
备份与负载均衡
实例 故障排除
配置过程
• 接口配置(操作步骤见共享上网部分) • 若要对服务进行分流控制,则要在防火墙菜单中服务下面定制服务 • 若要针对内部网络的IP地址进行分流控制,则要在防火墙菜单中地址下面 定义地址段 • 策略配置
– 宽带线路2:
• IP:192.168.10.147 • 掩码:255.255.255.0 • 网关:192.168.10.1
实例
• 要求:
– 财务部单独使用一条宽带线路,市场、技术等其他部门共同 使用另一条宽带线路,实现数据分流,以保证带宽利用
实例
配置:
• 接口配置(操作步骤见共享上网部分,只是要在配置时将PING服务器打开,并输 入一个有效的公网IP地址)
FortiGate培训讲义
2005.09.23
FortiGate培训讲义
共享上网
PPPoE
共享上网
DHCP
静态
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实例
财务地址段定义:
其他地址段定义:
实例
第一条默认路由:
第二条默认路由:
实例
配置:
• 添加策略路由
– – – – – – – 防火墙-->策略路由-->新建 进入接口中选择Internal 源地址/掩码中输入192.168.1.0/255.255.255.128 目的地址/掩码使用默认值0.0.0.0/0.0.0.0 流出接口选择WAN1 目的端口使用默认值0 按上述操作步骤再建一条源地址为192.168.1.128/25的策略路由 ,流出接口选择WAN2
Internet接入。
配置: • 系统管理-->网络-->接口(接口参数配置)
– 外网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入222.1.2.3/255.255.255.0
– 内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
• 系统管理-->路由-->静态(路由配置)
– 修改默认路由的网关为222.1.2.1 – 在设备中选择连接公网的接口
• 系统管理-->防火墙-->策略(策略配置)
– 系统默认已有一条没有任何限制的策略可用
外网接口参数配置:
表态路由配置:
策略配置:
故障排除
• • • • • 检查本地PC机的IP地址、掩码、网关、DNS设置是否正确 检查公网线路连接是否正确 检查防火墙的外网指示灯工作是否正常 检查防火墙内、外网络接参数设置是否正确 检查防火墙策略设置是否正确
地址/端口控制
• 配置过程 • 实例 • 故障排除
配置过程
• 防火墙-->地址-->新建
– 输入自定义的地址名称 – 输入要控制的IP地址范围
• 防火墙-->服务-->定制
– – – – – – – 在名称中输入自定义的服务名称 在协议中选择协议类型 在源端口中输入要控制的源端口范围 在目的端口中输入要控制的目的端口范围 在组标签页中新建一个组 任取一个组的名称 在可用服务中选择要控制的服务名称并添加到成员中
进入接口是否选择正确 源地址和掩码是否填写正确 流出接口是否选择正确 是否两条出口的策略都已建立 源接口和地址名称是否选择正确 目的接口和地址名称是否选择正确 NAT选项是否已启用
• 策略路由是否正确
• 策略控制是否正确
• 默认路由、策略路由与策略的配置是否一至 • 注:不具动态负载均衡
端口映射
配置过程
• 添加策略
– 防火墙-->策略-->新建 – 添加从内网到WAN1的控制策略 – 添加从内网到WAN1的控制策略
实例
双WAN口的策略路由配置:
故障排除
• 默认路由是否正确
– – –
– – – – – – –
到两个外网口的默认路由是否都已建立 两个外网的网关是否都设置正确 注:如是ADSL拨号上网,则不需要建立静态路由
– 默认用户名是admin,密码为空
• 接口配置
– 系统管理-->网络-->接口 – 选择接口的地址模式为PPPoE – 配置用户名和密码 – 选择从服务器中重新得到网关 – 配置MTU为1492
实例
• 网络环境:某公司有20台计算机,现使用192.168.0.x/24网段,网
关为192.168.1.1,宽带线路为ADSL拨号。 • 要求:内部的所有计算机共享宽带线路,通过FG防火墙实现Internet 接入。
– 策略的优先级别调整是否正确 – 源接口为内网端口LAN或Internal – 目的接口为WAN1或External,如有多WAN口请检查是否与实际连接线路的 接口对应 – 源地址、目的地址为ALL(默认定义为所有地址0.0.0.0) – 时间表为always(默认定义为任意时间段) – 服务为ANY(默认定义为所有服务) – 模式为ACCEPT(默认定义为允许通过) – NAT选项为启用状态 – 保护内容表的选项是否过于严格
– 宽带线路2:
• IP:192.168.10.147 • 掩码:255.255.255.0 • 网关:192.168.10.1
实例
• 要求:
– 财务部单独使用一条宽带线路,市场、技术等其他部门共同 使用另一条宽带线路,实现数据分流,以保证带宽利用
ห้องสมุดไป่ตู้例
配置:
• 接口配置(操作步骤见共享上网部分,只是要在配置时将PING服务器打开,并输 入一个有效的公网IP地址)
• 在可用服务中选择135和HTTP并添加到成员中
实例
地址配置:
端口定制:
实例
定义组:
实例
– 防火墙-->策略-->新建
• 源接口选择内网接口名称 • 源地址选择自定义的地址名称CW • 目的接口选择连接宽带的外网接口名称 • 目的地址选择ALL • 服务选择自定义的服务组的名称Test-Group • 模式选择DENY • 其它参数使用默认值即可
FortiGate培训讲义
2005.09.23
FortiGate培训讲义
共享上网
PPPoE
共享上网
DHCP
静态
PPPoE
• 配置过程 • 实例 • 故障排除
配置过程
• 登录防火墙
– 用双绞线将PC机的网卡与防火墙内网口连通 – 将本地PC的IP地址设置正确 – 防火墙的默认地址是192.168.1.99
– 建立从内网到WAN2的策略
配置过程
• 策略路由配置
– 建立从内网到WAN1的策略路由
• • • • • • 进入接口选择希望从WAN1出去的接口名称 源地址选/掩码填入希望从WAN1出去的地址段 目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可 目的端口填入希望从WAN1接口出去的服务端口范围或者不写 流出接口选择WAN1 网关地址填入公网网关,或使用0.0.0.0(ADSL)
– 某公司内网有30台计算机,使用192.168.1.x/24网段,网关为 192.168.1.1 – 宽带线路为固定IP的光纤接入
• IP地址:222.1.2.3
• 掩码:255.255.255.0 • 网关:222.1.2.1 • DNS:222.2.2.2
• 要求:内部的所有计算机共享宽带线路,通过FG防火墙实现
• 防火墙-->策略-->新建
– – – – 源接口选择内网接口名称 源地址选择自定义的地址名称 目的地址选择ALL 其它参数由用户自行定义
实例
• 网络环境:
– 某公司内部有20台计算机 – 使用FG60实现宽带共享接入Internet – 财务部使用192.168.1-126的地址段
• 要求:禁止财务部上网浏览网页并禁止冲击波等病毒 使用的端口135
实例
配置:
• 定义要控制的地址段
– 防火墙-->地址-->新建 – 地址名称中输入自定义的名称(CW) – IP地址范围中输入192.168.1.[1-126] – 按上面操作步骤再建一个129-253的地址段(Other)
• 添加默认路由
– 防火墙-->策略路由-->新建 – 在目的IP中使用默认值0.0.0.0,网关中填写 192.168.253.1,设备选择WAN1 – 再建一条网关中填写192.168.10.1,设备选择WAN2
– 建立从内网到WAN2的策略路由
• • • • • • 进入接口选择希望从WAN2出去的接口名称 源地址选/掩码填入希望从WAN2出去的地址段 目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可 目的端口填入希望从WAN2接口出去的服务端口范围或者不写 流出接口选择WAN2 网关地址填入公网网关,或使用0.0.0.0(ADSL)
• 检查外网口是否已成功获得公网合法IP地址 • 检查本地PC机的IP地址、掩码、网关、DNS设置是否正确 • 检查策略设置是否正确
– 不能获得公网地址
• 检查线路连接是否正确 • 使用PC机直接连接公网线路进行测试
静态IP
• 配置过程 • 实例 • 故障排除
配置过程
• 系统管理-->网络-->接口
• 配置:
– – 系统管理-->网络-->接口 外网接口参数配置
• 选择接口地址模式为PPPoE • 输入用户名和密码 • MTU设置为1492
–
内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
外网接口参数配置:
内网接口参数配置:
– 防火墙-->策略
• 选择新建进行新的策略编辑 • 保护内容表中选择QQ、MSN(在保护内容表中定义的名称) • 其它参数与共享上网的策略相同
控制QQ、MSN
QQ屏蔽配置:
控制QQ、MSN
• 故障排除
– IPS特征中的动作是否为丢弃 – 保护内容表中IPS特征是否为启用状态 – 策略中是否使用了正确的保护内容表 – 策略的优先位置是否调整正确
端口映射
实例 故障排除
配置过程
• 防火墙-->虚拟IP-->新建 • 填写名称(自定义) • 选择外部接口
实例
策略配置:
故障排除
• 地址范围是否定义正确 • 协议类型选择是否正确 • 端口是否定义正确
• 是否将要控制的服务添加到组中
• 策略中的源地址和目的地址是否选择正确 • 策略中的服务是否选择正确 • 策略中的模式是否选择正确
备份与负载均衡
配置过程
备份与负载均衡
实例 故障排除
配置过程
• 接口配置(操作步骤见共享上网部分) • 若要对服务进行分流控制,则要在防火墙菜单中服务下面定制服务 • 若要针对内部网络的IP地址进行分流控制,则要在防火墙菜单中地址下面 定义地址段 • 策略配置