飞塔防火墙日常维护与操作

防火墙设置与维护措施防火墙是一种网络安全设备，用于保护计算机网络免受未经授权的访问和不良网络活动的侵害。

本文将介绍防火墙的设置和维护措施，以帮助读者确保网络安全。

1. 防火墙设置1.1 选择合适的防火墙类型根据实际需求和网络规模，选择合适的防火墙类型。

常见的类型包括网络层防火墙、应用层防火墙、主机防火墙等。

确保所选防火墙满足网络安全需求。

1.2 定义网络访问策略在设置防火墙时，需要定义网络访问策略。

访问策略包括允许或禁止的网络流量类型、源IP地址、目标IP地址、端口等信息。

精确定义访问策略可以有效地控制网络访问。

1.3 设置安全规则和访问控制列表为了确保网络的安全，设置安全规则和访问控制列表是必要的。

安全规则指定了允许或禁止网络流量通过防火墙的规则，而访问控制列表则用于控制特定用户或IP地址的访问权限。

1.4 进行端口和协议筛选端口和协议筛选是防火墙设置中的重要步骤。

通过筛选指定的端口和协议，防火墙可以限制特定类型的网络流量，提高网络的安全性。

2. 防火墙维护措施2.1 定期更新防火墙软件随着网络威胁的不断演变，防火墙软件需要进行定期更新以保持对最新威胁的防御能力。

及时安装厂商发布的安全补丁和更新，可以有效提升防火墙的功能和性能。

2.2 监控防火墙日志定期监控防火墙的日志记录，可以及时发现并应对网络攻击活动。

防火墙日志可以提供有关网络流量和攻击尝试的信息，帮助管理员及时采取相应的安全措施。

2.3 进行漏洞扫描定期进行漏洞扫描是防火墙维护的关键环节之一。

通过扫描网络设备和应用程序的漏洞，及时修复漏洞，可以有效增强网络的安全性，减少可能的攻击和入侵风险。

2.4 加强不断学习和培训网络安全技术不断发展，防火墙管理员需要不断学习和培训以跟上最新的安全趋势和技术。

通过参加安全培训和专业会议，管理员可以提升防火墙管理的能力，更好地应对不断变化的网络威胁。

结论防火墙的设置和维护对于保障网络安全至关重要。

合理选择防火墙类型、定义网络访问策略、设置安全规则和访问控制列表，以及定期更新防火墙软件、监控日志、进行漏洞扫描和加强培训，都是确保防火墙有效运作和网络安全的关键步骤。

美国FORTINET 公司系列产品技术手册V4.0版2004年7月北京办事处地址:北京市海淀区中关村南大街２号数码大厦Ｂ座９０３室　邮编１０００８６　电话：（010）8251 2622 传真：（010）8251 2630网站：Fortinet 内部资料2004年目 录1． 公司介绍.................................................................................................................................................................4 1.1 公司背景............................................................................................................................................................4 1.2 产品简介............................................................................................................................................................4 1.3 关键技术............................................................................................................................................................4 1.4 总裁介绍............................................................................................................................................................5 1.5 业务范围 (5)2. 产品系列介绍 (6)2.1 F ORTI G ATE -50A................................................................................................................................................7 2.2 F ORTI G ATE -60...................................................................................................................................................7 2.3 F ORTI G ATE -100.................................................................................................................................................7 2.4 F ORTI G ATE -200.................................................................................................................................................8 2.5 F ORTI G ATE -300.................................................................................................................................................8 2.6 F ORTI G ATE -400.................................................................................................................................................9 2.7 F ORTI G ATE -500.................................................................................................................................................9 2.8 F ORTI G ATE -800...............................................................................................................................................10 2.9 F ORTI G ATE -1000............................................................................................................................................10 2.10 F ORTI G ATE -3000............................................................................................................................................10 2.11 F ORTI G ATE -3600............................................................................................................................................11 2.12 F ORTI G ATE -4000............................................................................................................................................12 2.13 F ORTI G ATE -5000............................................................................................................................................13 2.14 F ORTI M ANAGER 系统. (13)3. 产品功能和特点 (14)3.1 病毒防火墙新理念........................................................................................................................................14 3.2 F ORTI G ATE 系列.............................................................................................................................................14 3.3 基于网络的防病毒........................................................................................................................................15 3.4 分区域安全管理的特色...............................................................................................................................15 3.5 VPN 功能..........................................................................................................................................................15 3.6 防火墙功能.....................................................................................................................................................16 3.7 独特的内容过滤.............................................................................................................................................16 3.8 基于网络IDS 的/IDP 功能.............................................................................................................................16 3.9 VPN 远程客户端软件....................................................................................................................................17 3.10F ORTI ASIC F 技术和ORTI OS 操作系统 (17)3.10.1 高性能并行处理................................................................................................17 3.10.2 实时体系结构...................................................................................................17 3.10.3 实时内容级智能................................................................................................17 3.10.4 提供分区间安全的虚拟系统支撑.......................................................................18 3.10.5 高可用性(HA)...................................................................................................18 3.11 F ORTI G ATE 提供整体解决方案. (18)4.FORTIGATE 防火墙典型应用方案..................................................................................................................19 4.1 中小型企业防火墙应用...............................................................................................................................19 4.2 中大型企业防火墙应用...............................................................................................................................20 4.3 分布型企业防火墙应用...............................................................................................................................21 4.4 校园网安全部署应用....................................................................................................................................22 5. 销售许可证和认证证书. (23)5.1 公安部硬件防火墙销售许可证..................................................................................................................23 5.2公安部病毒防火墙销售许可证 (23)5.3中国信息安全产品测评认证中心 (24)5.4计算机世界推荐产品奖 (24)5.5中国 (24)5.6ICSA认证证书 (25)5.7在美国获奖 (26)6.技术支持方式 (27)6.1北京办事处技术支持 (27)6.1.1 技术支持、售后服务及人员培训 (27)6.1.2 服务组织结构 (27)6.1.3 技术咨询和培训 (27)6.2F ORTI P ROTECT防护服务中心 (27)6.3F ORT P ROTECT安全防护小组 (28)6.4F ORTI P ROTECT推进式网络 (28)7.说明 (29)7.1附件：公司与产品介绍资料 (29)7.2联系我们 (29)Fortinet 内部资料2004年1．公司介绍1.1 公司背景美国Fortinet(飞塔)公司是新一代的网络安全设备的技术引领厂家。

文章标题：深度解读FortiGate 7操作手册：从入门到精通在网络安全领域，FortiGate 7作为一款功能强大的网络安全设备备受关注。

它可以为企业提供全面的网络保护和流量管理，而且在不断更新的网络威胁中保持高效和可靠。

本文将深入探讨FortiGate 7操作手册的内容，为读者提供全面、深入和实用的使用指南。

一、FortiGate 7的介绍FortiGate 7是一款集成了网络安全、流量管理和应用加速功能的设备，它采用了先进的硬件和软件技术，为企业提供了一体化的网络安全解决方案。

无论是防火墙、入侵检测系统还是虚拟专用网，FortiGate 7都能够为用户提供高效、可靠和实用的网络保护。

二、FortiGate 7操作手册的使用1. 登录与基本设置我们需要了解如何登录和进行基本设置。

FortiGate 7提供了丰富的登录界面和设置选项，用户可以根据自己的需求进行个性化的设置。

在登录页面上，用户可以输入用户名和密码，然后进行相关的网络配置。

2. 网络安全功能FortiGate 7拥有强大的网络安全功能，包括防火墙、入侵检测系统、反病毒功能等。

用户可以根据自己的需求配置这些功能，并对网络流量进行全面的监控和管理。

3. 应用加速功能在网络传输过程中，FortiGate 7还提供了优化和加速的功能。

用户可以通过设置来提高网络传输速度和优化网络性能，这对于一些对网络速度有较高要求的企业来说尤为重要。

三、个人观点和理解作为一名网络安全专家，我对FortiGate 7的操作手册有着深刻的理解。

在实际使用中，我发现FortiGate 7不仅功能强大，而且操作简单，用户体验非常好。

通过深入研读操作手册，我对FortiGate 7的功能和性能有了更全面、更深入的了解，并且能够更好地应用于实际工作中。

总结回顾通过本文的阐述，我们对FortiGate 7操作手册有了全面的了解。

在网络安全领域，深入掌握FortiGate 7的使用方法对于提高网络安全性和流量管理效率非常重要。

防火墙使用和维护规定一、引言随着现代网络的快速发展，网络安全问题日益突出。

为了保护企业机密信息和个人隐私数据，防火墙作为一种网络安全设备被广泛应用。

本文将介绍防火墙的使用和维护规定，旨在帮助企业建立安全可靠的网络环境。

二、防火墙的使用规定1. 安全策略定义：企业应根据实际情况制定具体的安全策略，明确允许和禁止的网络通信规则，并将其配置到防火墙中。

2. 过滤规则设置：防火墙应按照安全策略进行配置，对进出企业网络的数据包进行过滤。

限制对非授权服务和协议的访问，并严格审查和阻断恶意攻击。

3. 网络分区设置：根据企业的网络结构和需求，将网络划分为不同的安全区域，并为每个区域分配相应的访问控制策略，实现网络隔离和流量控制。

4. 日志记录与监控：防火墙应具备完善的日志记录和监控功能，及时发现和处理异常行为。

管理员应定期查看日志，并进行分析和处理有关的安全事件。

5. 保密措施：防火墙的配置信息应妥善保管，只有授权人员才能进行配置和管理操作。

管理员应定期更换密码，并注意定期备份和更新防火墙的配置文件。

三、防火墙的维护规定1. 定期更新安全策略：随着企业网络环境的变化，安全策略需要不断调整和更新。

管理员应定期评估和优化安全策略，确保其与企业的需求保持一致。

2. 硬件和软件维护：防火墙设备的硬件和软件需要定期进行检查和维护。

管理员应密切关注厂商发布的安全补丁和更新，并及时进行安装和升级。

3. 性能监测和优化：定期监测防火墙的性能指标，如处理速度、负载情况等。

根据监测结果，进行相应的调整和优化，确保防火墙的正常运行。

4. 事件响应与处理：及时响应和处理防火墙相关的安全事件。

一旦发现异常行为或入侵尝试，应立即采取措施进行应对，防止安全事件进一步扩大。

5. 培训和意识提升：管理员和员工应接受相关的培训，提高防火墙使用和维护的技能和意识。

定期组织安全意识教育活动，加强员工对网络安全的重视。

四、总结防火墙的使用和维护规定对于建立安全可靠的网络环境至关重要。

防火墙系统日常运维指南防火墙系统日常运维指南一、每日例行维护1、系统管理员职责为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后，登录防火墙管理界面，查看系统的CPU、内存的使用率及网接口的工作状态是否正常。

确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU及内存使用率过高的情况，查看防火墙设备的会话连接总数、半连接数以及端口流量是否正常。

如果存在会话连接总数、半连接数、端口流量异常，超出平时的正常范围的情况下，可能是有人在进行ARP攻击或蠕虫攻击，通过会话管理查看各会话的连接情况，查找异常会话，并对其进行手动阻断。

如果会话连接总数、半连接数及端口流量处在正常范围内，但此时网络访问效率明显变慢的情况下，重启防火墙设备。

在管理界面中的网络接口状态正常情况下是绿色：如果工作端口出现红色的情况下，需要及时通知网络管理员，配合查看交换机与防火墙之间的端口链路是否正常。

如交换机及线路都正常的情况下，重启防火墙；如果还存在问题请及时电话联系厂商工程师。

按照要求，添加新增的防护对象。

2）安全管理员职责安全管理员在每日上班后定时（每日至少二次，9点、17点），通过数据中心，查看日志是否存在高级别的告警日志（警示级别以上）；如果出现高级别告警日志，立即按以下步骤进行处理：设备本身造成中高级别告警：高级别告警主要为设备本身的硬件故障告警!处理方式如下：立即通知厂商工程师到达现场处理。

处理完毕后，形成报告，并发送主管领导。

网络故障造成的中高级别告警：网络负载过大!（ARP攻击，蠕虫等）处理方式如下：分析会话记录，查询可疑会话，协同系统管理员阻断可疑会话的源地址。

查出源地址后，应立即安排相关技术人员到现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导（主管室主任、主管副部长）。

（下同）网络攻击行为造成的中高级别告警：如IP扫描，端口扫描等防火墙一般会自动阻断该连接，并同时生成告警日志。

手把手学配置FortiGate设备FortiGate CookbookFortiOS 4.0 MR3目录介绍 (1)有关本书中使用的IP地址 (3)关于FortiGate设备 (3)管理界面 (5)基于Web的管理器 (5)CLI 命令行界面管理 (5)FortiExplorer (6)FortiGate产品注册 (6)更多信息 (7)飞塔知识库（Knowledge Base） (7)培训 (7)技术文档 (7)客户服务与技术支持 (8)FortiGate新设备的安装与初始化 (9)将运行于NAT/路由模式的FortiGate设备连接到互联网 (10)面临的问题 (10)解决方法 (11)结果 (13)一步完成私有网络到互联网的连接 (14)面临的问题 (14)解决方法 (15)结果 (16)如果这样的配置运行不通怎么办？ (17)使用FortiGate配置向导一步完成更改内网地址 (20)面临的问题 (20)解决方法 (20)结果 (22)NAT/路由模式安装的故障诊断与排除 (23)面临的问题 (23)解决方法 (23)不更改网络配置部署FortiGate设备（透明模式） (26)解决方法 (27)结果 (30)透明模式安装的故障诊断与排除 (31)面临的问题 (31)解决方法 (32)当前固件版本验证与升级 (36)面临的问题 (36)解决方法 (36)结果 (39)FortiGuard服务连接及故障诊断与排除 (41)面临的问题 (41)解决方法 (42)在FortiGate设备中建立管理帐户 (48)面临的问题 (48)解决方法 (48)结果 (49)FortiGate设备高级安装与设置 (51)将FortiGate设备连接到两个ISP保证冗余的互联网连接 (52)面临的问题 (52)解决方法 (53)结果 (60)使用调制解调器建立到互联网的冗余连接 (63)面临的问题 (63)解决方法 (64)结果 (70)使用基于使用率的ECMP在冗余链路间分配会话 (70)面临的问题 (70)解决方法 (71)结果 (73)保护DMZ网络中的web服务器 (74)面临的问题 (74)解决方法 (75)结果 (81)在不更改网络设置的情况下配置FortiGate设备保护邮件服务器（透明模式） (86)解决方法 (87)结果 (92)使用接口配对以简化透明模式下安装 (96)面临的问题 (96)解决方法 (97)结果 (101)不做地址转换的情况下连接到网络（FortiGate设备运行于路由模式） (101)面临的问题 (101)解决方法 (102)结果 (107)对私网中的用户设置显式web代理 (107)面临的问题 (107)解决方法 (108)结果 (110)私有网络的用户访问互联网内容的web缓存建立 (110)面临的问题 (110)解决方法 (111)结果 (112)应用HA高可用性提高网络的可靠性 (113)面临的问题 (113)解决方法 (114)结果 (118)升级FortiGate设备HA群集的固件版本 (120)面临的问题 (120)解决方法 (121)结果 (123)使用虚拟局域网（VLAN）将多个网络连接到FortiGate设备 (124)面临的问题 (124)解决方法 (124)结果 (129)使用虚拟域,在一台FortiGate设备实现多主机 (130)面临的问题 (130)解决方法 (130)结果 (137)建立管理员帐户监控防火墙活动与基本维护 (138)面临的问题 (138)解决方法 (139)结果 (140)加强FortiGate设备的安全性 (142)面临的问题 (142)解决方法 (143)为内部网站和服务器创建本地DNS服务器列表 (152)面临的问题 (152)解决方法 (152)结果 (154)使用DHCP根据MAC地址分配IP地址 (154)面临的问题 (154)解决方法 (155)结果 (156)设置FortiGate设备发送SNMP陷阱 (157)面临的问题 (157)解决方法 (157)结果 (160)通过数据包嗅探方式（数据包抓包）发现并诊断故障 (161)面临的问题 (161)解决方法 (162)通过数据包嗅探方式（数据包抓包）进行高级的故障发现与诊断 (170)面临的问题 (170)解决方法 (171)创建、保存并使用数据包采集过滤选项（通过基于web的管理器嗅探数据包） (179)面临的问题 (179)解决方法 (180)调试FortiGate设备配置 (184)面临的问题 (184)解决的方法 (185)无线网络 (195)FortiWiFi设备创建安全的无线访问 (196)面临的问题 (196)解决方法 (197)结果 (200)通过FortiAP在FortiGate设备创建安全无线网络 (200)面临的问题 (200)解决方法 (201)结果 (205)使用WAP-enterprise安全提高WiFi安全 (207)面临的问题 (207)解决方法 (208)结果 (211)使用RADIUS建立安全的无线网络 (212)面临的问题 (212)解决方法 (213)结果 (217)使用网页认证建立安全的无线网络 (218)面临的问题 (218)解决方法 (219)结果 (222)在无线与有线客户端之间共享相同的子网 (224)面临的问题 (224)解决方法 (224)结果 (227)通过外部DHCP服务器创建无线网络 (228)面临的问题 (228)解决方法 (229)结果 (232)使用Windows AD验证wifi用户 (234)面临的问题 (234)解决方法 (234)结果 (244)使用安全策略和防火墙对象控制流量 (245)安全策略 (245)定义防火墙对象 (247)限制员工的互联网访问 (250)面临的问题 (250)结果 (255)基于每个IP地址限制互联网访问 (255)面临的问题 (255)解决方法 (256)结果 (259)指定用户不执行UTM过滤选项 (260)面临的问题 (260)解决方法 (260)结果 (263)校验安全策略是否应用于流量 (264)面临的问题 (264)解决方法 (265)结果 (267)以正确的顺序执行安全策略 (270)面临的问题 (270)解决方法 (271)结果 (273)允许只对一台批准的DNS服务器进行DNS查询 (274)面临的问题 (274)解决方法 (275)结果 (278)配置确保足够的和一致的VoIP带宽 (279)面临的问题 (279)解决方法 (280)结果 (283)使用地理位置地址 (285)面临的问题 (285)解决方法 (286)结果 (288)对私网用户(静态源NAT)配置提供互联网访问 (288)面临的问题 (288)解决方法 (289)结果 (290)对多个互联网地址(动态源NAT)的私网用户配置提供互联网访问 (292)面临的问题 (292)解决方法 (292)不更改源端口的情况下进行动态源NAT(一对一源地址NAT) (295)面临的问题 (295)解决方法 (296)结果 (297)使用中央NAT表进行动态源NAT (298)面临的问题 (298)解决方法 (299)结果 (301)在只有一个互联网IP地址的情况下允许对内网中一台web服务器的访问 (303)面临的问题 (303)解决方法 (304)结果 (305)只有一个IP 地址使用端口转换访问内部web 服务器 (307)面临的问题 (307)解决方法 (308)结果 (310)通过地址映射访问内网Web 服务器 (311)面临的问题 (311)解决方法 (312)结果 (313)配置端口转发到FortiGate设备的开放端口 (316)面临的问题 (316)解决方法 (317)结果 (320)对某个范围内的IP地址进行动态目标地址转换(NAT) (321)面临的问题 (321)解决方法 (322)结果 (323)UTM选项 (325)网络病毒防御 (327)面临的问题 (327)解决方法 (328)结果 (329)灰色软件防御 (330)解决方法 (331)结果 (331)网络旧有病毒防御 (332)面临的问题 (332)解决方法 (332)结果 (333)将病毒扫描检测文件的大小最大化 (334)面临的问题 (334)解决方法 (335)结果 (336)屏蔽病毒扫描中文件过大的数据包 (337)面临的问题 (337)结果 (338)通过基于数据流的UTM扫描提高FortiGate设备的性能 (338)面临的问题 (338)解决方法 (339)限制网络用户可以访问的网站类型 (342)面临的问题 (342)解决方案 (342)结果 (343)对设定用户取消FortiGuard web过滤 (344)面临的问题 (344)结果 (346)阻断Google、Bing以及Yahoo搜索引擎中令人不快的搜索结果 (347)面临的问题 (347)解决方法 (347)结果 (348)查看一个URL在FortiGuard Web过滤中的站点类型 (348)面临的问题 (348)解决方法 (349)结果 (349)设置网络用户可以访问的网站列表 (350)面临的问题 (350)解决方法 (351)使用FortiGuard Web过滤阻断对web代理的访问 (353)面临的问题 (353)解决方法 (353)结果 (354)通过设置Web过滤阻断对流媒体的访问 (354)面临的问题 (354)解决方法 (355)结果 (355)阻断对具体的网站的访问 (356)面临的问题 (356)解决方法 (356)结果 (358)阻断对所有网站的访问除了那些使用白名单设置的网站 (358)面临的问题 (358)解决方案 (359)结果 (361)配置FortiGuard Web过滤查看IP地址与URL (361)面临的问题 (361)解决方法 (362)结果 (362)配置FortiGuard Web过滤查看图片与URL (364)面临的问题 (364)解决方法 (364)结果 (365)识别HTTP重新定向 (365)面临的问题 (365)解决方法 (366)结果 (366)在网络中实现应用可视化 (366)面临的问题 (366)解决的方法 (367)结果 (367)阻断对即时消息客户端的使用 (368)面临的问题 (368)结果 (369)阻断对社交媒体类网站的访问 (370)面临的问题 (370)解决方法 (371)结果 (371)阻断P2P文件共享的使用 (372)面临的问题 (372)解决方法 (372)结果 (373)启用IPS保护Web服务器 (374)面临的问题 (374)解决方法 (375)结果 (378)扫描失败后配置IPS结束流量 (378)面临的问题 (378)解决方法 (379)结果 (379)DoS攻击的防御 (380)面临的问题 (380)解决方法 (381)结果 (382)过滤向内的垃圾邮件 (382)面临的问题 (382)解决方法 (383)结果 (384)使用DLP监控HTTP流量中的个人信息 (384)面临的问题 (384)解决方法 (385)结果 (387)阻断含有敏感信息的邮件向外发送 (387)面临的问题 (387)解决方法 (388)结果 (388)使用FortiGate漏洞扫描查看网络的漏洞 (389)解决方法 (389)结果 (391)SSL VPN (392)对内网用户使用SSL VPN建立远程网页浏览 (393)面临的问题 (393)解决方法 (394)结果 (398)使用SSL VPN对远程用户提供受保护的互联网访问 (399)面临的问题 (399)解决方法 (400)结果 (403)SSL VPN 通道分割：SSL VPN 用户访问互联网与远程私网使用不同通道 (405)面临的问题 (405)解决方法 (405)结果 (409)校验SSL VPN用户在登录到SSL VPN时具有最新的AV软件 (411)面临的问题 (411)解决方法 (411)结果 (412)IPsec VPN (414)使用IPsec VPN进行跨办公网络的通信保护 (415)面临的问题 (415)解决方法 (416)结果 (420)使用FortiClient VPN进行到办公网络的安全远程访问 (421)面临的问题 (421)解决方法 (422)结果 (428)使用iPhone通过IPsec VPN进行安全连接 (430)面临的问题 (430)解决方法 (430)结果 (436)使用安卓（Android）设备通过IPsec VPN进行安全连接 (438)面临的问题 (438)结果 (443)使用FortiGate FortiClient VPN向导建立到私网的VPN (444)面临的问题 (444)解决方法 (445)结果 (449)IPsec VPN通道不工作 (450)面临的问题 (450)解决方法 (451)认证 (463)创建安全策略识别用户 (464)面临的问题 (464)解决方法 (464)结果 (466)根据网站类别识别用户并限制访问 (467)面临的问题 (467)解决方法 (468)结果 (468)创建安全策略识别用户、限制到某些网站的访问并控制应用的使用 (470)面临的问题 (470)解决方法 (471)结果 (472)使用FortiAuthenticator配置认证 (474)面临的问题 (474)解决方案 (475)结果 (478)对用户帐户添加FortiT oken双因子认证 (478)面临的问题 (478)解决方法 (479)结果 (482)添加SMS令牌对FortiGate管理员帐户提供双因子认证 (483)面临的问题 (483)解决方法 (484)结果 (486)撤消“非信任连接”信息 (487)解决方法 (488)日志与报告 (490)认识日志信息 (491)面临的问题 (491)解决方法 (492)创建备份日志解决方案 (497)面临的问题 (497)解决方法 (498)结果 (500)将日志记录到远程Syslog服务器 (502)面临的问题 (502)解决方法 (503)结果 (505)SSL VPN登录失败的告警邮件通知 (506)面临的问题 (506)解决方法 (507)结果 (509)修改默认的FortiOS UTM报告 (510)面临的问题 (510)解决方法 (510)结果 (512)测试日志配置 (513)面临的问题 (513)解决方法 (513)结果 (515)介绍本书《手把手学配置FortiGate设备》意在帮助FortiGate设备的管理员以配置案例的形式实现基本以及高级的FortiGate设备配置功能。

防火墙运维指南 Company number【1089WT-1898YT-1W8CB-9UUT-92108】防火墙系统日常运维指南V1.00防火墙系统日常运维指南一、每日例行维护1、系统管理员职责为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后，登录防火墙管理界面，查看系统的CPU、内存的使用率及网接口的工作状态是否正常。

确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU及内存使用率过高的情况，查看防火墙设备的会话连接总数、半连接数以及端口流量是否正常。

如果存在会话连接总数、半连接数、端口流量异常，超出平时的正常范围的情况下，可能是有人在进行ARP攻击或蠕虫攻击，通过会话管理查看各会话的连接情况，查找异常会话，并对其进行手动阻断。

如果会话连接总数、半连接数及端口流量处在正常范围内，但此时网络访问效率明显变慢的情况下，重启防火墙设备。

在管理界面中的网络接口状态正常情况下是绿色：如果工作端口出现红色的情况下，需要及时通知网络管理员，配合查看交换机与防火墙之间的端口链路是否正常。

如交换机及线路都正常的情况下，重启防火墙；如果还存在问题请及时电话联系厂商工程师。

按照要求，添加新增的防护对象。

2）安全管理员职责安全管理员在每日上班后定时（每日至少二次，9点、17点），通过数据中心，查看日志是否存在高级别的告警日志（警示级别以上）；如果出现高级别告警日志，立即按以下步骤进行处理：设备本身造成中高级别告警：高级别告警主要为设备本身的硬件故障告警!处理方式如下：立即通知厂商工程师到达现场处理。

处理完毕后，形成报告，并发送主管领导。

网络故障造成的中高级别告警：网络负载过大!（ARP攻击，蠕虫等）处理方式如下：分析会话记录，查询可疑会话，协同系统管理员阻断可疑会话的源地址。

查出源地址后，应立即安排相关技术人员到现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导（主管室主任、主管副部长）。

目录一实施细则 (2)1 设备基本设置 (2)2 HA配置（可选） (2)3 网络配置 (2)4 安全策略配置 (3)二管理维护流程 (4)三设备配置简要 (5)1 系统管理 (5)2 防火墙 (8)3 用户管理 (12)4 VPN (13)5 IPS (15)6 防病毒 (17)7 Web过滤 (18)8 垃圾邮件过滤 (21)9 系统日志 (25)10 常用的CLI命令 (26)四快速维护流程 (28)一实施细则1 设备基本设置此处配置为HA配置前的单个设备的基本配置。

包括如下内容：✧配置设备名称制定一个全网统一的名称规范，以便管理。

如TJ_FG300A_A、TJ_FG300A_B✧修改设备时钟建议采用NTP server同步全网设备时钟。

如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。

✧设置admin口令缺省情况下，admin的口令为空，需要设置一个口令。

✧设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。

需要设置口令，只允许管理员修改。

✧在fortiprotect注册设备，升级fortiOS、病毒库、IPS特征库到最新（在签订采购合同后，需及时登陆fortinet网站登记该设备）2 HA配置（可选）Fortigate可以提供Active-Active和Active-Passive两种HA模式。

根据目前只有防火墙防护的需求，建议每台设备设置完后都要重启，然后依次设置另一台。

3 网络配置✧接入模式：Fortigate可以提供透明模式和路由/NA T模式两种网络接入模式。

由于机场离港网络和航信网络之间互访时存在地址转换的需求，因此采用路由/NA T模式。

✧根据IP规划设置接口IP地址和路由4 安全策略配置NA T地址转换对应表✧根据需要设置IPS策略✧根据需要设置A V策略二管理维护流程✧设备管理权限的设置从哪个接口、来自哪些IP、可以获得哪些管理方式（建议采用https和ssh方式）✧SNMP的设定：监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况SNMP community：SNMP TRAP host：✧Syslog的设定Syslog server IP：Log发送策略：event log发到syslog服务器，其他log保留在本地硬盘上✧Update策略的设定（update center）：要求先注册因为机场离港网属于生产性网络，不和外网连接，因此fortigate设备的升级需要网络管理员手工完成。