V3.0 FortiGate-800_800F 设备安装手册 www.fortinet.
I N S T A L L G U I D E V3.
目 录 简介 ................................................................ 5 FortiOS国际与美国国内发行信息............................................................................................... 5 Fortinet 产品家族....................................................................................................................... 6 FortiGuard服务订制 ...................................................................................................................... 6 FortiClient ...................................
NAT/路由模式安装....................................................................................................................... 25 具有多个外部网络连接的 NAT/路由模式 ......................................................................... 26 透明模式............................................................................................................................... 27 NAT/路由模式安装.......................................................................................................................
简介 欢迎并感谢您选择Fortinet产品,用以构筑您的实时网络防护系统。 TM FortiGate 统一威胁管理系统增强了网络的安全性,避免了网络资 源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络 性能。FortiGate病毒防火墙获得了ICSA 防火墙认证,IP 安全认证和 防病毒服务认证。 FortiGate统一威胁管理系统是致力于网络安全的,易于管理的安全设 备。其功能齐备,包括: ·应用层服务,例如病毒防护和内容过滤, ·网络层服务,例如防火墙、入侵检测、VPN,以及流量控制等。 FortiGate统一威胁管理系统采用了先进的行为加速(Accelerated Behavior)和内容分析系统技术(ABACASTM),具有芯片设计、网络 通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上 的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在 网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保 护。 FortiOS国际与美国国内发行信息 FortiOS v3.
Fortinet 产品家族 Fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日 志,报告,网络管理,安全性管理以及FortiGate 统一安全性威胁管 理系统的既有软件也有硬件设备的产品。 更多Fortinet产品信息,点击 www.fortinet.com/products .
· 收集存储FortiGate与syslog设备的日志。 · 创建许多日志用于收集日志数据。 · 扫描与报告漏洞。 · 存储FortiGate单元隔离的文件。 FortiAnalyzer也可以配置作为网络分析器用来在未使用防火墙的网 络区域捕捉实时的网络流量。您也可以将FortiAnalyzer作为用户可以 访问并分享文件包括存储在FortiAnalyzer硬盘的报告与日志的存储 设备。 FortiReporter TM FortiReporter 安全性分析软件生成简洁明了的报告,并可以从任何 的FortiGate设备收集日志。FortiReporter可以暴露网络滥用情况, 管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网 络。FortiReporter还允许IT管理员能够识别并对攻击作出响应,包括 在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge TM FortiBridge 产品是设计用于当停电或是FortiGate系统故障时,提 供给企业公司用户持续的网络流量。FortiBridge绕过FortiGate设备, 确保网络能够继续进行流量处理。FortiB
可以自行定义,支持VLAN,与虚拟域名。FortiGate-800通过HA高可用性的冗余备份特性提供了 无单点故障的安全保护;是要求较高网络安全性能的大型企业的理想选择。 Esc Enter CONSOLE I N T E R N A L E X T E R N A L D M Z HA 1 2 3 4 USB 8 PWR FortiGate-800F FortiGate-800F的性能与FortiGate-800相同,应用了光纤内部与外部接口,DMZ接口以及HA接 口。FortiGate-800同样通过HA高可用性的 冗余备份特性提供了无单点故障的安全保 护并支持配置RIP与OSPF路由协议。 FortiGate-800F的高度灵活性,可靠性与 易于管理的特性正是大型企业所期待的。 Esc Enter CONSOLE I N T E R N A L E X T E R N A L D M Z HA 1 2 3 4 USB 800F PWR 关于本手册 该文档就如何安装并将FortiGate设备配置到网络中进行了描述。该文 档也包括在您的FortiGate设备中如何安装并升级新的固件版本信息。 该手册
排版说明 键盘输入 代码范例 CLI命令syntax 文档名称 菜单命令 程序输出 变量 举例 在网关名称字段,键入远程VPN或用户(例如, Central_office_1) Config sys global Set ips-open enable end Config firewall policy edit id_integer set http_retry_count set natip end FortiGate管理员指南 进入 VPN>IPSEC>Phase 1并点击 Create New (新建) Welcome! FortiGate 技术文档 您可以从Fortinet技术文档网站http://kc.forticare.
深入介绍了FortiGate 高可用性的性能与FortiGate群集协议的信息。 · FortiGate IPS 用户指南 对如何配置FortiGate入侵检测系统与FortiGate IPS是如何处理一些 一般的入侵作了描述。 · FortiGate IPSec VPN 用户指南 对使用基于web的管理器如何配置IPSec VPN进行了逐步详细的说明。 · FortiGateSSL VPN 用户指南 对FortiGate IPSec VPN与FortiGate SSL VPN 技术进行比较,并对通 过基于web的管理器,远程用户怎样配置只适用于网络模式与通道模式 SSL VPN访问做了描述。 · FortiGate PPTP VPN 用户指南 使用基于web的管理器如何配置PPTP VPN。 · FortiGate Certificate Management User Guide 证书管理用户指南 管理电子证书的程序包括生成电子证书的请求,安装签发的证书,引 入CA根权威证书与证书撤销名单,以及备份与存储安装的证书信息与 私人密钥。 · FortiGate VLAN and VDOM 用户指南 在N
FortiGate设备安装 该章节讲述在网络中安装与建立FortiGate设备,包括以下内容: ·设备包装 ·空气流通 ·机械性负荷 ·启动FortiGate设备 ·连接FortiGate设备 设备包装 请检查FortiGate设备包装盒所有部件。 FortiGate-800/800F FortiGate-800与FortiGate800F设备包装盒中部件: ·FortiGate-800或800F统一威胁管理系统 ·一根橙色以太网交叉线缆(Fortinet 部件号:CC300248) ·一根灰色以太网普通线缆(Fortinet 部件号:CC300249) ·一根交叉MODEM线(Fortinet 部件号:CC300247) ·RJ-45到DB-9串行电缆 (Fortinet部件号:CC300302) ·SFP收发器 (FortiGate-1000AFA2专用) ·一根电源线 ·SFP收发器(只适用于FortiGate-800F) ·两个19英寸安装架 ·一本FortiGate-3000 快速启动指南 ·一张Fortinet技术手册CD 图1:FortiGate-800设备部件 图2:FortiGate-
安装 FortiGate-800与800F可以固定在标准的19英寸的机架上。需要占据机 架一个U的垂直空间。FortiGate-800与FortiGate800F设备也可作为独 立的器件放置在任何水平的表面。 表1:技术参数 尺寸 重量 功率 工作需求 工作环境说明 16.75×12.5×1.75英尺 (42.7×30.5×4.5厘米) 10磅 (4.5千克) 最大功率:300W AC输入电压:100至240VAC AC输入电流:6A 频率:50至60Hz · FortiGate-3000可能会对供电电路造成负载,或对过电流保 护造成影响。请用适当名牌标注该影响。 · 确保FortiGate-3000有接地线。Fortinet公司建议与支路直 接连接。 工作温度:41至95华氏度(5至35度摄氏度) 放置温度:-4至176华氏度 (-20至80摄氏度) 湿度:10至95% (非冷凝) 空气流通 ·机架安装时,确保有一定的空气流量与通风以便FortiGate设备能够 正常工作。 ·FortiGate-1000A/FA2独立安装时,确保FortiGate设备周边至少有 15英寸(3.
作环境温度将会高于工作间的温度。确保工作环境温度不超过设备制 造商规定的工作温度。 机械性负荷 进行机架安装时,确保FortiGate设备的机械性负荷平均分担避免发生 危险。 启动FortiGate设备 FortiGate-800与800F设备中设计有on/off开关。 启动FortiGate设备 1. 确定FortiGate设备后面的电源开关是关闭的。 2. 将AC适配器与设备后边的电源连接。 3. 将AC适配器与电源线连接。 4. 将电源线与电源插口连接。 5. 打开电源开关。 1.将电源线与位于FortiGate设备背后的电源连接。 2.
请在闭合电源开关之前,关掉FortiGate操作系统,以免造成硬件损伤。 关闭FortiGate设备 1. 基于web的管理器中,进入 System > Status > System Operation, 点 击Reboot,然后点击Go;或者在命令行接口(CLI)中,输入 execute shutdown 2. 将电缆线从电源连接处拔掉。 连接FortiGate设备 三种方法可以连接并配置基本FortiGate设置: · 基于web的管理器 · 前面板控制按键与LCD · 命令行接口(CLI) 基于web的管理器 您可以通过任何运行微软Internet Explorer 6.
·一根交叉的以太网网线或一个以太网网络集线器(hub)与两根以太 网网线。 注意:启动IE之前(或其他现行版本的网页浏览器),ping一下您的 FortiGate设备,检测计算机与FortiGate设备之间是否连接正常。 连接到基于web的管理器 1. 设置计算机与以太网连接的IP地址为静态IP地址192.168.1.2,掩 码为255.255.255.0。 2. 使用交叉线或以太网hub(集线器)与线缆建立FortiGate设备的 接口与计算机以太网的连接。 3. 启动IE浏览器,浏览地址为 https://192.168.1.
4.
使用中时,其状态显示呈绿色。 ·系统信息(System Information) - 操作系统信息的显示包括设 备串行数量与固件版本。在该区域,可以进行固件升级,设置系统时 间或更改操作模式。 ·系统资源(System Recourse) - 显示系统资源使用情况。 ·许可证信息(License Recourse) - 显示FortiGate设备中当前的 病毒防护与安全性升级的情况。 · 警告信息Console (Alert Message Console) - 显示最近 FortiGate设备发出的警告日志信息。 ·统计表(Statistics) - 提供FortiGate设备的实时流量与攻击信 息。 连接到CLI(命令行接口) 除了使用基于web的管理器,您也可以使用CLI安装与配置FortiGate 设备。无需重新设置防火墙或中断设备运行,CLI所进行的配置更改便 可以生效。 ·一台有通信端口的计算机 ·RJ-45到DB-9串行电缆 ·终端模拟软件,如Microsoft Windows的HyperTerminal。 注意:执行以下操作需要使用Micrososft Windows Hypter Ter
LCD与前面板控制按键 您可以使用前面板控制按键与LCD对FortiGate设备进行基本的设置。 该方法简单快捷。您可以配置: ·IP地址 ·掩码 ·默认网关 ·操作模式 ·恢复出厂默认设置 LCD显示FortiGate设备的操作模式信息与该设备是否是HA(高可用性) 群集的一部分。 图5:默认LCD主菜单设置 表3:LCD主菜单定义 Manu 「FortiGate_>」 NAT Standalone LCD现在所显示的菜单 FortiGate 设备 FortiGate设备现在说运行的模式 FortiGate设备不作为HA群集的一部分,有关 Standalone模式与HA的详细信息,参见FortiGate 管理员使用手册。 通过前面板控制按键,您可以进入与退出不同的菜单,配置不同的端 口与接口。在配置IP地址,默认网关地址或是掩码时,前面板控制按 键也可以增加或删减数值。下表是按键的作用与功能,进行FortiGate 设备的基本配置。 表4:前面板控制按键定义 Enter 移动进行配置菜单模块的选择 ESC 后退键,或从您所进入的菜单中退出 UP IP地址,默认网关,或掩码值的增加 Dow
当LCD显示主菜单设置时,您便可以开始设置IP地址,掩码与默认网关; 如需要,还可以更改操作模式。在24页中在网络中配置FortiGate设备 时,以下操作可作为指导。 设置IP地址 用以下步骤设置FortiGate设备的IP地址。 输入IP地址 1.按Enter键选择端口。 2.按UP与Down键加亮显示您所选择做IP地址设置的端口,然后按Enter 键确认。 3.按Enter键,进行IP设置。 4.用UP与Down键增加或删减IP地址的数值。 5.Enter键选择数值。 6.重复4与5完成IP地址的设置。 以上操作步骤同样适用于设置掩码与默认的网关。 更改操作模式 使用以下步骤更改FortiGate设备的操作模式。 更改操作模式 1.确定LCD显示的是主菜单设置。 2.按Enter键选择端口。 3.
出厂默认设置 FortiGate设备有出厂默认设置。该默认设置允许您连接到FortiGate 设备并能够使用FortiGate基于web的管理器在网络中配置FortiGate 设备。在网络中配置FortiGate,您需要添加管理员密码,更改网络接 口IP地址与DNS服务器的IP地址,如有必要,可以配置基本的路由。 如果您打算以透明模式运行FortiGate设备,可以从出厂默认配置中切 换到透明模式,并根据您的网络配置透明模式下的FortiGate设备。 完成网络配置后,您还可以进行其他的配置操作,如设置系统时间, 配置病毒及攻击的定义更新,注册FortiGate设备等。 出厂时默认的防火墙配置包括单一网络地址转换(NAT)策略,该策略 允许您内部网络的用户连接到外部网络,同时阻止外部网络中的用户 连接到内部网络。您可以添加更多其它的策略,对通过FortiGate 设 备的流量进行更多的控制。 出厂时默认的防火墙保护设置可以用来快速地在防火墙策略中设置不 同级别的防病毒保护、网页内容过滤、垃圾邮件过滤,以便控制网络 通讯。 该章节包括以下内容: ·出厂默认的NAT/路由模式的网络配置 ·出厂默认的透明模式的网络
出厂默认的NAT/ 路由模式的网络配置 FortiGate设备首次启动时,运行于NAT/路由模式,表5所列是该工作 模式下的基本网络配置。该配置允许您连接到FortiGate设备的基于 web的管理器,并建立FortiGate设备连接到网络所需的配置。20页中 表5中,HTTPS管理访问表示您可以通过该接口的HTTPS协议连接到基于 web的管理器。Ping管理访问表示该接口对ping这一命令可以做出响 应。 表5:出厂默认的NAT/路由模式的网络配置 管理员账号 内部接口 外部接口 端口1 端口2 端口3 端口4 端口4/HA 与端口5/HA 网络设置 用户名: Admin 密码: (无) 192.168.1.99 IP: 255.255.255.0 子网掩码: HTTPS,Ping 管理访问: 192.168.100.99 IP: 255.255.255.0 子网掩码: Ping 管理访问: 0.0.0.0. IP: 0.0.0.0. 子网掩码: Ping 管理访问: 0.0.0.0. IP: 0.0.0.0. 子网掩码: Ping 管理访问: 0.0.0.0. IP: 0.0.0.0.
出厂默认的透明模式的网络配置 23页表7是透明模式下,FortiGate设备默认的网络配置。 表7:出厂默认的透明模式网络配置 管理员 帐户 管理IP DNS 管理访问 用户名: 密码: IP: 掩码: 一级DNS服务器 二级DNS服务器 Internal(内部网络接口) External (外部网络接口) DMZ 端口1 端口2 端口3 端口4 Admin (无) 0.0.0.0. 0.0.0.0. 65.39.139.53 65.39.139.
·给HTTP,FTP,IMAP,POP3与SMTP防火墙策略配置防病毒保护。 ·给HTTP防火墙策略配置网页过滤。 ·给HTTP策略配置网页类别过滤。 ·给IMAP, POP3与SMTP防火墙策略配置垃圾邮件过滤。 ·对所有的服务启动入侵防护系统(IPS)。 ·对HTTP,FTP,IMAP,POP3与SMTP防火墙策略启动内容日志 通过防火墙保护,您可以构建适用与不同类型防火墙策略的保护配置。 并允许您针对不同防火墙策略定制不同类型与级别的防护。 例如,内部与外部地址之间的流量可能需要比较周到严格的控制,而 内部地址之间的流量可能需要中等一般的防护。您可以针对不同的流 量使用相同或不同的保护设置配置防火墙策略。 NAT/路由模式与透明模式的防火墙策略也可以添加保护设置。 FortiGate设备可以预先配置四种保护设置。 Strict(严格型) 适用于对HTTP,FTP, IMAP,POP3与SMTP流量应用 最大限度的保护。一般情况下,不必使用Strict(严格型)的保护设 置,发现病毒攻击,需要扫描检测时,可以启用Strict(严格型)保 护。 Scan (扫描型) 针对HTTP,FTP,IMAP,POP
使用基于web的管理器恢复默认的出厂设置 恢复默认的设置 1.进入System > Status > System Operation 2.点击“Reset to factory default”(恢复为出厂默认设置) 3.
在网络中配置FortiGate设备 本章是FortiGate设备的操作模式说明。开始配置FortiGate设备之前, 先要考虑怎样将FortiGate设备集成到网络中。 针对不同的操作模式, NAT/路由模式或透明模式,进行对应的配置。 该章节包括以下内容: · 规划FortiGate配置 · NAT/路由模式安装 · 透明模式安装 · 下一步 规划FortiGate配置 配置FortiGate设备之前,先要考虑怎样把FortiGate设备集成在网络 中。至于其它问题,如还需要决定FortiGate设备是否在网络中可见, 需要配置哪些防火墙功能,与怎样控制接口间的流量。 您所选择的FortiGate的操作模式是配置的依据。FortiGate拥有两个 工作模式,分别为:NAT/路由模式(出厂默认)与透明模式。 您也可以在出厂默认的操作模式设置即NAT/路由模式下,在网络中配 置FortiGate设备。 NAT/路由模式安装 NA/路由模式下,FortiGate设备在网络中是可见的,类似一个路由器, 设备的所有接口在不同的子网中。在NA/路由模式下,以下接口是可用 的。 · External(外部)是指连接到
图7:FortiGate-800 NAT/路由模式下的网络配置举例 具有多个外部网络连接的NAT/路由模式 NAT/路由模式下,您可以配置FortiGate设备具有多个冗余连接,连接 到外部网络(通常指互联网)。 例如,您可以创建以下配置: ·Port 1(端口1)是连接到外部网络(通常指互联网)的默认接口。 ·Port 3(端口3)指连接到内部网络的接口。 ·Port 2(端口2)是连接外部网络的冗余接口。 您需要配置路由以支持冗余的Internet(互联网)连接。如果连接外 部网络失败,路由可以自动从接口选择,重新定向连接。 否则,安全策略配置类似一个具有单向互联网(Internet)连接的NAT/ 路由模式。您可以创建NAT模式防火墙策略控制内部网,私网与外部网, 公网(通常指互联网)之间的流量。
图8:FortiGate-800设备NAT/路由模式下多重internet(互联网)连 接配置举例 透明模式 透明模式下,FortiGate设备在网络中是透明的。类似于网络桥梁,所 有的FortiGate接口都在同一个子网中。您只需配置一个管理IP地址便 可以进行配置更改。管理IP地址也可用来配置病毒及攻击的定义更新。 透明模式下的FortiGate典型应用在当前的防火墙或路由器之后。 FortiGate设备具有防火墙,IPsec,病毒扫描,IPS 网页过滤与垃圾 邮件过滤功能。 您最多可以将6个网段连接到FortiGate设备上,以控制这些网段之间 的数据流量。 ·External接口可以连接到外部防火墙或路由器。 ·Internal接口可以连接到内部网络。 ·如果您安装了HA群集,HA可以连接到其它FortiGate设备。 ·DMZ与端口1到4可以连接到其它网段。 图9:FortiGate-800设备NAT/路由模式下网络配置举例
NAT/路由模式安装 本章介绍了如何安装Fortigate设备NAT/路由模式。包括以下内容: ·配置FortiGate设备的NAT/路由模式准备 ·DHCP或PPPoE配置 ·使用基于web的管理器 ·使用前面板控制按键与LCD ·使用命令行接口(CLI) ·将FortiGate设备配置到网络中 ·配置网络 配置FortiGate设备的NAT/路由模式准备 参考27页表9收集的信息,您可以定制NAT/路由模式设置。 您可以使用以下几种方法配置FortiGate设备: ·基于web的管理器的GUI中列出配置绝大部分设置的全部接口。参见 31页“使用基于web的管理器”。 ·使用前面板控制按键与LCD可以进行基本设置。参见32页“使用前面 板控制按键与LCD”。 ·命令行接口(CLI)是配置全部设置的基于文本的接口。参见34页“ 使用命令行接口(CLI)”。 根据配置,访问与设备组合的复杂性与您惯用的接口类型选择合适的 配置方法。 表8:NAT/路由模式设置 管理员密码 端口1 IP: 子网掩码: 端口2 IP: 子网掩码 端口3 IP: 子网掩码 端口4 IP: 子网掩码 端口5 IP: 子网掩码 端口6
端口7 端口8 端口9 端口10 网络设 置 IP: · · 子网掩码 · · IP: · · 子网掩码 · · IP: · · 子网掩码 · · IP: · · 子网掩码 · · 默认网关: · · (与外部网络连接的接 口) 默认路由由默认的网关与连接到外部网络(通常指互联网) 的接口组成。默认的网关将所有非本地流量集中到该接口与 外部网络中。 一级DNS服务器: · · 二级DNS服务器: · · 配置DHCP或PPPoE 您可以配置任何FortiGate接口从DHCP或PPPoE服务器获得IP地址。您 的互联网服务提供商(ISP)便是使用这其中的一项协议提供IP地址的。 使用FortiGate DHCP服务器,您需要配置该服务器的IP地址范围与默 认的路由。将接口配置为使用DHCP便不需要做更多的配置了。 配置PPPoE需要输入用户名与密码。另外,PPPoE未编号配置要求固定 一个IP地址。参考表10记录的信息配置PPPoE。 表10:PPPoE设置 用户名 密码 使用基于web的管理器 您可以使用基于web的管理器进行FortiGate设备的初始配置以及所有 FortiGate设备的设置。
添加或更改管理员密码 1.进入System > Admin > Administrators 2.点击Chang Password(更改密码)图标更改admin管理员密码 3.输入新密码,再输入一次确认 4.点击“OK”确认 配置接口 1.进入System > Admin > Administrators 2.点击接口的Edit(编辑)图标 3.设置接口的地址模式 从菜单中选择,DHCP或PPPoE. 4.完成地址配置 ·对于手动的地址,输入接口的IP地址与掩码 ·对于DHCP地址,点击DHCP并进行任何需要的设置 ·对于PPPoE地址,点击PPPoE后输入用户名与密码 有关接口设置的配置,参见FortiGate在线帮助或FortiGate管理员指 南。 5.点击“OK”确认 注意:如果您想更改连接接口的IP地址,您必须使用新的地址通过网 页浏览器重新连接。浏览http://后跟接口新的IP地址。如果接口新 的IP地址是不同的子网,您还须将计算机IP地址更改为与该子网相同 的IP地址。 配置DNS服务器设置 1.进入System > Network > Options 2.
2.如果静态路由(Static Route)表格中有默认的路由设置(IP与掩 码设置为0.0.0.0.),点击Delete(删除)图标删除该路由。 3.点击“Create New”(创建) 4.设置目标IP地址为0.0.0.0. 5.设置掩码为0.0.0.0. 6.设置网关为默认的网关IP地址 7.设置连接到外部网络接口的驱动 8.点击“OK”确认 校验基于web管理器配置 校验访问设置,进入所校验的接口并点击edit(编辑)图标。管理访 问字段有检验标识可以确认是否执行了校验。 校验连接 使用以下步骤校验连接: ·访问www.fortinet.
通常对与互联网连接的接口配置网关。您可以使用以下步骤对任何接 口配置默认的网关。 给接口添加默认的网关 1.按Enter键显示接口列表 2.使用下方向键加亮显示与互联网连接的接口,按Enter键 3.使用下方向键选择Default Gateway(默认网关)。 4.按Enter键,设置默认网关 5.设置了全部默认网关数值后,按Enter键 6.按Ese返回主菜单设置 校验前面板控制按键与LCD配置 校验访问设置,进入所要校验的接口并点击edit(编辑)图标。管理 访问字段有检验标识可以确认是否是否执行了校验。 校验连接 使用以下步骤校验连接: ·访问www.fortinet.com ·从您的邮件帐户收发电子邮件 如果您不能浏览fortinet网站或从您的帐户收发电子邮件,请检查以 上步骤确认所输入的信息正确,再试一次。 使用命令行接口(CLI) 您可以使用命令行接口(CLI)对FortiGate设备进行配置。有关连接 到CLI的详细信息,参见14页“连接到CLI”。 配置FortiGate设备运行NAT/路由模式 参考27页表8中所收集的信息完成以下步骤。 添加或更改管理员命令 1.
1.登录到CLI(命令行接口) 2.设置内部接口的IP地址与掩码为27页表格8中所记录的内部IP地址 与掩码。输入: config system interface edit internal set mode static set ip end 举例 config system interface edit internal set mode static set ip 192.168.120.99 255.255.255.0 end 3. 设置外部接口的IP地址与掩码为27页表格8中所记录的外部IP地址 与掩码。输入: config system external edit external set mode static set ip end 举例 config system external edit external set mode static set ip 204.28.1.5 255.255.255.
配置DNS服务器设置 设置一级与二级DNS服务器的IP地址。输入: config system dns set primary set secondary end 举例 config system dns set primary 293.44.75.21 set secondary 293.44.75.22 end 添加默认的路由 FortiGate设备发送数据包到外部网络(通常指互联网)时,需要配置 添加默认的路由。添加默认的路由也需要定义哪个接口连接到外部网 络。如果与外部网络连接的接口配置使用了DHCP或PPPoE,则不需要默 认的路由。 添加默认的路由 设置默认网关IP地址的路由。输入: config router static edit 1 set dst 0.0.0.0 0.0.0.0 set gateway set device end 举例 如果默认的网关IP地址是204.23.1.2,该网关连接到端口1: config router static edit 1 set dst 0.0.0.
将FortiGate设备连接到网络中 Fortigate设备的初始化配置完成后,便可以将FortiGate设备连接在 内部网与互联网之间了。 以下是FortiGate设备中可用的网络连接: ·Internal可以连接到您的内部网络 ·External可以连接到互联网。 ·DMZ接口可以连接到DMZ网络。 与FortiGate设备建立连接: 1.将Port2(端口2)与互联网连接。 2.将Port1(端口1)与连接内部网络的hub或者交换机连接。 3.
透明模式安装 本章介绍了如何安装FortiGate设备的透明模式。包括以下内容: ·配置透明模式的准备 ·使用基于web的管理程序 ·使用前面板控制按键与LCD ·使用命令行接口 ·将FortiGate设备连接到网络中 配置透明模式的准备 参考表10的收集的信息定制透明模式设置。 以下三种方法均可配置透明模式: ·基于web管理程序的GUI ·前面板控制按键与LCD ·命令行接口(CLI) 根据配置,访问与设备的复杂性与您惯用的接口类型选择配置透明模 式的方法。 表10:透明模式设置 管理员密码: IP: · · · 掩码: · · · 管理IP 默认网关: · · · 管理IP地址与掩码对于您所管理的FortiGate设备来讲 必须是有效的网络地址。如果FortiGate设备需要连接 到路由器后才能到达管理计算机,那么需要添加默认的 网关。 DNS设置 一级DNS服务器: · · · 二级DNS服务器: · · · 使用基于web的管理器 您可以使用基于web的管理器完成FortiGate设备初始化配置。并可以 继续使用基于web的管理器设置FortiGate设备。 有关连接到基于web的管理器信息,参
输入35页表10中收集的管理IP/掩码地址与默认网关地址。 4.点击应用(Apply) 这次不需要与基于web的管理器重建建立连接。点击应用(Apply后), 更改立即生效,您可以进入系统面板对更改为透明模式的FortiGate 设备进行校验。 配置DNS服务器设置 1.进入System > Network > Options 2.输入一级DNS服务器的IP地址 3.输入二级DNS服务器的IP地址 4.点击应用(Apply) 使用前面板控制按键与LCD 以下操作有关如何使用控制按键与LCD配置透明模式的IP地址。35页表 10所记录的信息可以协助完成该操作。LCD显示主菜单设置时,便可以 开始以下操作。 更改管理IP地址与掩码 1.按Enter键显示选项列表 2.用方向键加亮显示Management Interface(管理接口) 3.设置管理接口IP地址 使用上下方向增加或删减每位IP地址的数值。Enter移动到下一位数 值,Ese返回上一位数值。 4.设置完IP地址后,按Enter键。 5.使用下方向键移动到掩码并加亮显示 6.按Enter键并更改管理IP掩码 7.设置完掩码后,按Enter键 8.
4.按Enter键,设置默认的网关 5.设置完默认的网关后,按Enter键 6.按Ese返回主菜单设置 校验LCD配置 校验访问设置,进入所要校验的接口并点击edit(编辑)图标。管理 访问字段有检验标识可以确认是否是否执行了校验。 校验连接 使用以下步骤校验连接: ·访问www.fortinet.com ·从您的邮件帐户收发电子邮件 如果您不能浏览fortinet网站或从您的帐户收发电子邮件,请检查以 上步骤确认所输入的信息正确,再试一次。 使用命令行接口(CLI) 除了使用基于web的管理器,您也可以使用命令行接口(CLI)对 FortiGate设备进行初始化配置,参见14页“连接到命令行接口(CLI) ”说明。 使用CLI更改为透明模式 1.切换到透明模式。输入: config system settings set opmode transparent set manageip set gateway end 几秒后,显示以下信息: Changing to TP mode 2.
键入上述CLI命令后显示如下DNS服务器设置信息: config system dns set primary 293.44.75.21 set secondary 293.44.75.22 set fwdintf internal end 配置DNS服务器设置 设置一级与二级DNS服务器IP地址。输入命令: config system dns set primary set secondary end 将FortiGate设备连接到网络 完成设备初始化配置,便可以将FortiGate连接到您的内部网络与互联 网之间。 与透明模式运行下的FortiGate设备连接 1.与连接到您内部网络的网络集线器(hub)或交换机通过内部接口建 立连接。将Port2(端口2)与连接内部网的hub或交换机连接。 2.将Port 1 (端口1)与连接到外部防火墙或路由器的网段连接。 3.
如果您不能够正常浏览网站或收发电子邮件,检查以上步骤确定输入 的信息正确,然后再试一次。
下一步 以下内容有关配置FortiGate系统时间,FortiGate设备注册,以及配 置病毒与攻击定义的更新。 参考FortiGate管理员指南有关FortiGate设备的配置,监控与维护信 息。 设置日期与时间 为了便于部署与记录日志,要准确设置FortiGate系统的时间与日期。 您可以手动设置系统时间与日期,或通过与网络时间协议(NTP)服务 器同步自动校准时间。 设置日期与时间 1.进入System > Status 2.System Information > System Time下,点击Change(更改) 3.点击Refresh(刷新)显示当前的FortiGate系统日期与时间 4.从时区(Time Zone)列表中选择时区 5.可选Automatically(自动)调整夏令时 6.点击Select Time(设置时间),设置FortiGate系统日期与时间 7.设置时,分,秒,月,日,年 8.点击OK确认 注意:如果您选择了根据夏令时自动调整时间,系统的时间必须在夏 令时后做自动调整。 使用NTP设置FortiGate设备的日期与时间 1.进入System > Status 2.
(防病毒,入侵检测等)并确保您能够访问Fortinet技术支持。 更新病毒防护与IPS特征 您可以配置FortiGate设备连接到FortiGuard Distribution Network 进行病毒防护升级,反垃圾邮件与IPS攻击的定义更新。 FDN是遍及全世界范围的FDS服务器网络。 当FortiGate设备连接到 FDN,根据就近原则,所有的FortiGate设备根据设备配置中的时区中 相隔最近的时区进行划分。 通过基于web的管理器或CLI,您可以更新病毒保护与IPS特征。在您接 收更新之前,须在Fortinet网站进行注册。有关FortiGate设备注册的 详细信息,参见40页“FortiGate设备注册”。 FortiGate设备注册后,校验是否能够与FDN连接: ·检查FortiGate设备的系统时间是否正确。 ·登录基于web管理程序,在FortiGuard Center选项中点击Refresh (刷新)。 如果您不能连接到FDN,检查注册FortiGate设备步骤是否正确后,再 试一次连接;或参见44页“添加替代的FDN服务器”。 使用基于web的管理器更新病毒防护与IPS特征 注册For
使用CLI接口更新IPS特征。以下步骤更新IPS特征: 使用CLI更新IPS特征 1.登录到CLI 2.键入以下CLI命令: configure system autoupdate ips set accept-recommended-settings enable end 制定病毒防护与IPS更新时间 使用基于web的管理器或CLI制定定期,自动更新病毒防护与IPS特征。 使用基于web的管理器制定更新时间 1.进入System > Maintenance > FortiGuard Center 2.点击制定更新(Scheduled Update)的检查框 3.选择以下的更新时间之一并下载更新 Every (每天)24小时之间。选择每次更新间隔的时间。 Daily(每天)您可以指定每天检查更新的时间。 Weekly (每周)您可以指定每周检查更新的时间。 4.点击应用(Apply) FortiGate设备将根据新指定的更新时间执行接下来的更新。 只要FortiGate设备执行所制定时间进行更新,更新事件将被记录都 ForiGate时间日志中。 使用CLI制定更新时间 1.登录CLI 2.
2.点击使用替代FDN服务器地址(Use override server address)的 检查框 3.键入有效的FortiGuard 服务器域名或IP地址 4.点击应用(Apply) FortiGate设备检测与替代FDN服务器的连接。 如果FDN设置更改为available(连接)状态,说明FortiGate设备与替 代FDN服务器建立了连接。 如果FDN保持not availabe(无法连接)状态,说明FortiGate设备不 能与替代FDN建立连接。请检查是否是FortiGate配置或网络配置设置 阻碍了FortiGate设备与替代FDN服务器的连接。 使用CLI添加替代FDN服务器 1.登录CLI 2.
FortiGate固件 Fortinet定期更新Fortigate固件加强其性能与锁定问题并诊断。 FortiGate设备注册后,便可以从fortinet网站的技术支持中心 http://support.fortinet.com 下载FortiGate固件。只有FortiGate 管理员(具有对系统模块读和写权限的)与FortiGate admin 用户可 以更改FortiGate固件。 本章包括以下内容: ·升级为新的固件版本 ·恢复为旧的固件版本 ·使用CLI在系统重启过程中安装固件镜像 ·在安装前检测新的固件镜像 注意:如果您使用的是FortiOS固件更早的版本如FortiOS v2.50, 升级为FortiOS v3.0之前,请先升级为FortiOS v2.80MR10(或 FortiOS v2.
FortiGate设备上传固件镜像文件,升级到新的固件版本,重新启动并 显示FortiGate登录页面。该操作过程将花费几分钟的时间。 7.登录基于web的管理器 8.进入System > Status并检查固件版本确认新固件升级成功 9.升级防病毒与攻击定义。有关升级防病毒与攻击定义的详细信息, 参见FortiGate管理员指南 使用CLI升级固件 应用以下步骤时,您须配备一台FortiGate设备能够连接到的TFTP服务 器。 注意:安装固件替代您现行的防病毒与攻击定义。安装您的固件后, 确保防病毒与攻击定义已经更新。您也可以使用CLI命令execute update-now进行防病毒与攻击定义的更新。 详细信息,参见FortiGate管理员指南。 注意:执行以下步骤,您须登录使用管理员帐户,或拥有系统配置读写 权限的管理员帐户。 使用CLI升级固件 1.确定TFTP服务器已运行 2.将新的固件镜像拷贝到TFTP服务器的根目录。 3.登录CLI 4.
恢复为旧的固件版本 使用基于web的管理器或CLI操作可以恢复为旧的固件版本。该操作将 FortiGate设备恢复为出厂默认配置。 使用基于web的管理器恢复为旧的固件版本 以下操作将FortiGate设备恢复为出厂默认的配置并删除IPS自定义特 征,网页内容列表,邮件过滤列表以及对替换信息所作的修改。 执行该操作之前,建议您: ·备份FortiGate设备配置 ·备份IPS自定义特征 ·备份网页内容与邮件过滤列表 详细信息,参见FortiGate 管理员指南。 恢复为旧的FortiOS版本(例如,从FortiOSv3.0恢复到FortiOSv2.80 版本),从备份的配置文件中,不能恢复旧版本的配置。 使用基于web的管理器恢复为旧的固件版本 1.拷贝固件镜像到管理计算机 2.登录到FortiGate基于web的管理器 3.进入System > Status 4.在System Information > Firmware Version下,点击升级(Update) 5.键入固件镜像文件的路径与文件名,或点击浏览(Browse)查找文 件 6.
·使用命令execute backup config备份FortiGate设备系统配置 ·使用命令execute backupipsuserdefsig备份FortiGate设备系统配置 ·备份网页内容与邮件过滤列表 详细信息,参见FortiGate管理员指南。 恢复为旧的FortiOS版本(例如,从FortiOSv3.0恢复到FortiOSv2.80 版本),从备份的配置文件中,不能恢复旧版本的配置。 注意:安装固件替代您现行的防病毒与攻击定义。安装您的固件后, 确保防病毒与攻击定义已经更新。您也可以使用CLI命令execute update-now进行防病毒与攻击定义的更新。 详细信息,参见FortiGate管理员指南。 注意:执行以下步骤,您须登录使用管理员帐户,或拥有系统配置读 写权限的管理员帐户。 执行以下操作,您须配备一台FortiGate设备可以连接到的TFTP服务 器。 使用CLI恢复为旧的固件版本 1.确定TFTP服务器已运行。 2.拷贝固件镜像文件到TFTP服务器的根目录。 3.登录到CLI。 4.
动。该操作过程将花费几分钟时间。 8.重新连接到CLI 9. 输入命令get system status,确认新的固件镜像已经安装 10.如需要,使用命令execute restore config 恢复为以前配置 11.
Do you want to continue? (y/n) 7.键入y FortiGate设备启动时,显示一系列的系统启动信息。当以下信息之一 出现时: ·运行v2.xBIOS的FortiGate设备 Press Any Key To Download Boot Image.... ·运行v3.xBIOS的FortiGate设备 Press any key to display configuration menu.......... 按任意键中断系统启动。 注意: 3秒内按任意键。如果您没有按下任意键,FortiGate设备继续 重启过程,您须重新登录并重复execute reboot命令。 如果您成功中断了重启过程,将显示以下信息之一: ·运行v2.xBIOS的FortiGate设备 Enter TFTP Server Address [192.168.1.168]: 转入步骤 9 ·运行v3.xBIOS版本的FortiGate设备 [G]: Get firmware image from TFTP server. [F]: Format boot device.
12.键入D 设备安装新的固件镜像并重启启动。安装过程需要持续几分钟完成。 恢复新的固件安装之前的配置 如需要,更改内部接口地址。您可以在CLI中执行以下命令: config system interface edit internal set ip set allowaccess {ping https ssh telnet http} end 更改接口地址后,您可以通过基于web的管理器访问FortiGate设备并 恢复配置。 ·恢复FortiGate设备配置 ·恢复IPS自定义特征 ·恢复网页内容过滤 ·恢复邮件过滤列表 ·升级病毒与攻击定义为最新的版本 详细信息,参见FortiGate管理员指南。 恢复为旧的FortiOS版本(例如,从FortiOSv3.0恢复到FortiOSv2.
5.点击立即升级(Update Now)后查看浏览(Browse)项 6.在FortiUSB中查找下载的新固件的文件名,然后打开文件。 7.点击“OK”确认。 使用FortiUSB备份与恢复固件镜像 您可以使用FortiUSB密钥备份现运行的固件镜像或是恢复使用以前的 镜像。您也可以加密备份在您PC机或FortiUSB的配置文件。执行以上 操作时,确保FortiUSB已经插入到FortiGate设备的USB接口。 注意:请在拔出FortiUSB密钥之前,确认FortiGate设备已经关闭。该 操作是确定系统知道FortiUSB从FortiGate设备中拔出。 注意:如果加密固件文件,您只可以保存VPN证书。确保启动了配置加 密程序,那样您可以将VPN证书与配置文件一起保存。 使用基于web的管理器备份FortiGate设备配置 1.进入System>Maintenance>Backup and Restore 2.将所要备份的配置文件加入USB磁盘列表中 3.输入配置文件的文件名 4.点击备份(Backup) 使用基于web的管理器恢复FortiGate设备配置 1.
1.进入System>Maintenance>Backup and Restore 2.点击蓝色箭头扩展高级选现(Advanced options) 3.选中以下信息: ·如果USB磁盘中有默认的配置文件名,在系统重启时自动升级 FortiGate配置文件。 ·如果USB磁盘中有默认的镜像,在系统重启时自动升级FortiGate固 件镜像。 4.输入配置与镜像的文件名或使用默认的配置文件名(system.conf) 与默认的镜像名称(image.out)。 7. 点击应用“Apply”。 使用CLI配置使用USB自动安装功能 1.登录CLI 2.输入以下命令: config system auto-install set default-config-file set auto-insatll-config set default-image-file set auto-install-image end 3.
必须使用FortiGate console接口与一根交叉线连接到CLI。该操作使 用当前的配置,暂时性的安装新的固件镜像。 执行该操作时,您需要: ·使用交叉线与FortiGate console端口连接,访问CLI。 ·安装您可以通过FortiGate内部接口连接的TFTP服务器。TFTP服务器 应与内部接口处于同一子网。 检测新的固件镜像 1.使用RJ-45到DB-9串行电缆与FortiGate console端口连接到CLI。 2.确定TFTP服务器运行。 3.将新的固件镜像拷贝到TFTP服务器的根目录。 4.确认内部接口与TFTP服务器连接的同一网段。 使用以下操作ping FortiGate设备是否连接到TFTP服务器。例如,如 果TFTP服务器的IP地址是192.168.1.168,执行命令: execute ping 192.168.1.168 5.输入以下命令重启FortiGate设备: execute reboot 6.FortiGate设备重启时,按任意键中断系统启动。FortiGate设备重 启时,显示一系列的系统启动信息: ·运行v2.
Enter File Name [image.out]: 11.输入固件镜像文件名并按Enter键。 TFTP服务器上传固件镜像到FortiGate设备并显示信息: ·运行v2.x BIOS的FortiGate设备 Do You Want To Save The Image? [Y/n] 键入n ·运行v3.x BIOS的FortiGate设备 Save as Default firmware/Run image without saving: [D/R] 或 Save as Default firmware/Backup firmware/Run image without saving: [D/B/R] 12. 键入R FortiGate镜像安装在系统内存中,FortiGate设备以当前的配置启动 运行新的固件镜像。 13.您可以使用任何管理帐户登录到CLI或基于web的管理器。 14.
