Installation and 安装和配置指南 Configuration Guide FortiGate 500 FortiGate 500 INTERNAL Esc EXTERNAL DMZ HA 1 2 3 Enter FortiGate 用户手册 第一卷 2.
© Copyright 2003 美国飞塔有限公司版权所有。 本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司的 许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传 播或发布。 FortiGate-500 安装和配置指南 2.50 版 2003 年 7 月 21 日 注册商标 本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。 服从规范 FCC Class A Part 15 CSA/CUS 注意:如果更换的电池型号错误,有可能会导致爆炸。请根据使用说明中的 规定处理用过的电池。 请访问 http://www.fortinet.com 以获取技术支持。 请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送 到 techdoc@fortinet.
目录 目 录 简介 ................................................................... 1 防病毒保护 ................................................................... Web 内容过滤 ................................................................. 电子邮件过滤 ................................................................. 防火墙 ....................................................................... 1 2 2 3 NAT/ 路由模式 .............................................................. 3 透明模式 ...........................................
目录 FortiGate 出厂默认设置 ...................................................... 出厂默认的 NAT/ 路由模式的网络配置 ......................................... 出厂默认的透明模式的网络设置 .............................................. 出厂时默认的防火墙配置 .................................................... 出厂时默认的内容配置文件 .................................................. 严谨型内容配置文件 ........................................................ 扫描型内容配置文件 ........................................................ 网页型内容配置文件 ......................................
目录 使用安装向导 ................................................................ 47 切换到透明模式 ............................................................ 48 启动安装向导 .............................................................. 48 重连接到 基于 Web 的管理程序 ............................................... 48 使用前面板控制按钮和 LCD .................................................... 48 使用命令行接口 .............................................................. 49 切换到透明模式 ............................................................
目录 管理 HA 组 ................................................................... 查看 HA 簇成员状态 ......................................................... 监视簇成员 ................................................................ 监视簇会话 ................................................................ 查看和管理簇日志消息 ...................................................... 单独管理簇中的设备 ........................................................ 同步簇配置 ................................................................ 返回到独立模式配置 ......
目录 病毒和攻击定义升级及注册 .............................................. 95 病毒防护定义和攻击定义更新 .................................................. 连接到 Forti 响应发布网络 .................................................. 配置周期性更新 ............................................................ 配置更新日志 .............................................................. 添加后备服务器 ............................................................ 手工更新病毒防护定义和攻击定义 ............................................ 配置推送更新 ....................................
目录 配置路由 ................................................................... 添加默认路由 ............................................................. 向路由表添加基于目的的路由 ............................................... 添加路由 (透明模式)..................................................... 配置路由表 ............................................................... 策略路由 ................................................................. 在您的内部网络中提供 DHCP 服务 ..............................................
目录 配置策略列表 ............................................................... 策略匹配的细节 ........................................................... 更改策略列表中策略的顺序 ................................................. 启用和禁用策略 ........................................................... 地址 ....................................................................... 添加地址 ................................................................. 编辑地址 ................................................................. 删除地址 ................
目录 配置 LDAP 支持 ............................................................. 添加 LDAP 服务器 .......................................................... 删除 LDAP 服务器 .......................................................... 配置用户组 ................................................................. 添加用户组 ............................................................... 删除用户组 ............................................................... 176 177 177 178 178 179 IPSec VPN .............................................
目录 L2TP VPN 配置 .............................................................. 把 FortiGate 配置为 L2TP 网关 .............................................. 配置 Windows2000 客户的 L2TP .............................................. 配置 WindowsXP 客户的 L2TP ................................................ 211 212 214 216 防病毒保护 ........................................................... 219 一般配置步骤 ............................................................... 防病毒扫描 .......................................................
目录 邮件排除列表 ............................................................... 239 在邮件排除列表中添加地址模板 ............................................. 239 添加一个主题标签 ........................................................... 240 日志和报告 ........................................................... 241 记录日志 ................................................................... 在远程电脑上记录日志 ..................................................... 在 NetIQ WebTrends 服务器上记录日志 ......................................
FortiGate-500 安装和配置指南 2.
Web 内容过滤 简介 如果 FortiGate 设备内配有硬盘,可以将被感染或被阻塞的文件隔离。FortiGate 管理员可以下载被隔离的文件,然后对它们进行病毒扫描,杀毒,再将它们发送给原 来的接收者。您也可以将 FortiGate 设备配置为每过一段时间就自动删除被隔离的文 件。 当 FortiGate 设备从内容流中检测到病毒并将它删除的时候,它可以向系统管理员 发送一封报警邮件。 ICSA LABS 认证了 FortiGates 的以下功能: ·100% 检测到 The Wild List(www.wildlist.
简介 防火墙 防火墙 ICSA 认证的 FortiGate 防火墙可以在互联网这个充满敌意的环境中保护您的电脑 网络。ISCA 已对 FortiGate 防火墙 4.
网络入侵检测系统 (NIDS) 简介 网络入侵检测系统 (NIDS) FortiGate 网络入侵侦测系统 (NIDS) 是一种实时网络入侵探测器,它能对外界各 种可疑的网络活动进行识别及采取行动。NIDS 通过攻击特征来识别超过 1000 种的攻 击。您可以启用或禁止 NIDS 对某一类型的攻击进行检测。还可以自行编写攻击特征从 而生成用户自定义的攻击类型检测。 NIDS 可以防止探测、大部分常见的拒绝服务攻击和基于数据包的攻击。您可以启 用或禁用预防攻击的特征,和定制攻击检测的灵敏度和其他参数。 为通知系统管理员有攻击,NIDS 将此攻击及一切可疑流通记录到攻击日志中,并 根据设置发送报警 EMAIL。 Fortinet 可定期更新攻击数据库。您可下载并手动安装攻击数据库。也可设置 FortiGate 自动查询和下载更新的 IDS 数据库。 虚拟专用网络 (VPN) 使用 FortiGate 虚拟专用网 (VPN), 可为您在办公网络和分散的办公室网络、从 远程安全通讯系统登陆到公司网的用户或旅行者 之间提供一个安全的网络连接。服务 供应商还可以使用 FortiGate 设备为他们的客户提供 VPN
简介 高可用性 高可用性 高可用性 (HA) 提供两个或多个 FortiGate 之间的 失效恢复机制。Fortinet 通过 冗余硬件实现 HA 功能,匹配在 NAT/ 路由模式运行下的 FortiGate。您可以将 FortiGates 配置为主动 - 被动 (A-P) 模式或主动 - 主动 (A-A)HA 模式。 A-P 模式和 A-A 模式的 HA 均使用类似的高可用性冗余硬件配置。高可用性软件保 证了当 HA 组中一个 FortiGate 失效,所有功能及已建的防火墙连接仍能维持现状。 安全安装、配置、管理 安装过程即快捷又简单。 初次启动 FortiGates 时,它已经配置为使用默认的 IP 地址及安全策略配置。为了使 FortiGate 开始保护您的网络,只需连接到基于 Web 的 管理程序,设置操作模式并使用安装向导来配置您网络的 FortiGate IP 地址。在此基 础上,可用基于 Web 的管理程序来进行更进一步的配置以满足您更多的需要。 您也可使用 FortiGate 面板上的控制按钮和 LCD 对其进行基本配置。 基于 Web 的管理程序 从任何一个装有 IE 流览器的电脑
安全安装、配置、管理 简介 图 1: FortiGate 基于 Web 的管理程序 和设置向导 命令行接口 (CLI) 您可以将管理员计算机的串行通讯接口连接到 FortiGate 的 RS-232 串行控制台接 口上,从而访问 FortiGate 命令行控制界面 (CLI)。或者也可以使用 Telnet 或者安 全的 SSH 连接方式从任何与 FortiGate 连接的网络,包括互联网,中访问 CLI 界面。 CLI 具有和 基于 Web 的管理程序相同的管理和监视功能。另外,您可以使用 CLI 进行一些高级配置工作,这是 基于 Web 的管理程序无法实现的。安装和配置指南 中 包含了有关基本 CLI 命令和高级 CLI 命令的信息。您可以在 FortiGate CLI 参考指南 中找到关于如何连接到 CLI 和如何使用 FortiGate CLI 的更加完整和详细的说明。 日志和报告 FortiGate 支持记录各种类别的流通和配置修改。您可将日志设置如下: ·报告连接到防火墙接口的通讯, ·报告被使用的网络服务, ·报告被防火墙策略允许的通讯, ·报告被防火墙策略拒绝的通讯, ·报告配置改变和其
简介 2.50 版本的新特点 日志可被传送到远程系统日志服务器或以 WebTrends 增强日志格式传输到远程 WebTrends NetIQ 安全报告中心和防火墙服务器上。某些型号的防火墙可将日志存储在 可选择的内置硬盘上。如果没有安装硬盘,您可配置 FortiGate 日志和报告,把最近 的事件记录到共享系统内存中去。 2.50 版本的新特点 本节主要描述了 Forti0S v2.
2.
简介 2.
关于本手册 简介 关于本手册 安装和配置向导描述了如何安装和配置 FortiGate-500。本手册包含以下内容: ·开始 描述了拆包,安置,和启动 FortiGate。 ·NAT/ 路由 模式安装 描述了如果您希望 FortiGate 运行于 NAT/ 路由模式,应当如何 安装。 ·透明模式安装 描述了如果您希望 FortiGate 运行于透明模式,应当如何安装。 ·高可用性 描述了如何安装和配置以高可用性方式配置和运行的 FortiGate 设备。 ·系统状态 描述了如何查看您的 FortiGate 设备的当前状态,以及相关的系统进度, 包括安装更新的 FortiGate 固件,备份和恢复系统设置,在透明模式和 NAT/ 路由 模式间切换等等。 ·病毒和攻击定义升级及注册 描述了病毒和攻击定义自动更新的配置方法。本章还包 括了连接到 FortiGate 技术支持网站和注册您的 FortiGate 设备所需的步骤。 ·网络配置 描述了如何配置接口、区域、VLANs 和配置路由。 ·RIP 配置 描述了 FortiGate RIP2 如何实现以及如何配置 RIP 的相关设置。 ·系统配置 描述了在系统 >
简介 Fortinet 的文档 要执行 restore config < 文件名 _ 字符串 > 您应当输入 restore config myfile.
Fortinet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您将有 关信息发送到 techdoc@fortinet.
简介 客户服务和技术支持 客户服务和技术支持 请访问我们的技术支持网站,以获取防病毒保护和网络攻击定义更新、固件更新、 产品文档更新,技术支持信息,以及其他资源。网址: http://support.fortinet.com。 您也可以到 http://support.fortinet.com 注册您的 FortiGate 防病毒防火墙或 在任何时间登陆到该网站更改您的注册信息。 以下电子邮件信箱用于 Fortinet 电子邮件支持: amer_support@fortinet.com 为美国、加拿大、墨西哥、拉丁美洲和南美地区的客户提供服 务。 apac_support@fortinet.com 为日本、韩国、中国、中国香港、新加坡、马来西亚、以及其 他所有亚洲国家和澳大利亚地区的客户提供服务。 eu_support@fortinet.com 为英国、斯堪的纳维亚半岛、欧洲大陆、非洲和中东地区的客 户提供服务。 关于 Fortinet 电话支持的信息,请访问 http://support.fortinet.
客户服务和技术支持 14 简介 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
包装中的物品 开始 包装中的物品 FortiGate-500 包装中含有以下物品: ·FortiGate-500 防病毒防火墙 ·一根黄色交叉连接以太网电缆 ·一根灰色普通以太网电缆 ·一根串行通信电缆 ·FortiGate-500 快速入门手册 ·一根电源线 ·包含了用户手册内容的光盘 ·两个 19 英寸机架安装支架 图 2: FortiGate-500 包装中的物品 安置 FortiGate-500 可安置在 19 英寸标准机架上。它需占据机架中 1 U 的空间。 FortiGate-500 也可被独立安装在任何稳定平台上。独立安装需确保在其周围每側 留有 1.5 英寸 (3.
开始 启动 尺寸 ·16.75 x 12 x 1.75 英寸 (42.7 x 30.5 x 4.
连接到基于 Web 的管理程序 开始 连接到基于 Web 的管理程序 当初始启动 FortiGate 时,可按如下步骤连接到基于 Web 的管理程序。在基于 Web 的管理程序中所做的配置修改,无需重启动防火墙或中断服务即可生效。 欲连接到基于 Web 的管理程序,您需要 : ·一台能连接以太网的控制电脑, ·IE 4.0 及以上版本, ·一根交叉电缆或以太网集线器,和两根以太网电缆。 注意:您可以使用大多数常见的老版本的网页浏览器访问 基于 Web 的管理程序。微软互联网浏 览器 4.0 及以上版本能够完全支持 基于 Web 的管理程序 。 连接到 基于 Web 的管理程序 1 将与以太网相连的控制电脑的静态 IP 地址设定为 :192.168.1.2,网络掩码 255.255.255.0。 2 用交叉电缆或以太网集线器及电缆 , 控制电脑与 FortiGate 设备的内部接口相连。 3 启动 Internet 浏览器并访问 https://192.168.1.
开始 连接到命令行接口 (CLI) 连接到命令行接口 (CLI) 除了基于 Web 的管理程序,您可使用 CLI 来安装和设置 FortiGate。在 CLI 中所做 的配置修改,无需重启动防火墙或中断服务即可生效。 欲连接到 CLI 上,您需具备如下器材: ·一台拥有可用的通信端口的电脑, ·一个 FortiGate 套装包中带有的零调制解调器连接线, ·终端端模拟软件,如 Windows 中的超级终端程序 (HyperTerminal)。 注意:以下步骤描述了如何用 Windows HyperTerminal 软件与 CLI 连接。您可以使用任何一种终 端模拟软件。 连接到 CLI: 1 用串行通讯线将电脑的通信端口和 FortiGate 控制台端口相连。 2 确认 FortiGate 的电源已打开。 3 运行超级终端,为连接输入一个名称,然后单击 “确定”。 4 将超级终端的连接方式配置为直接连接到计算机的串行通讯接口,这个接口即串行通 讯线所连接的接口,单击 “确定”。 5 选择以下端口设置并单击确定。 每秒比特数 9600 数据位 8 奇偶校验 无 停止位 1
FortiGate 出厂默认设置 开始 FortiGate 出厂默认设置 FortiGate 设备出厂时已经根据默认的配置方式进行了设置。这一默认设置允许您 连接到 FortiGate 并根据您的网络配置 FortiGate 设备。要将 FortiGate 设备配置为 在您的网络中工作,您需要添加管理员密码、修改网络接口的 IP 地址、DNS 服务器地 址、如果需要的话还可以配置路由。 如果您准备让 FortiGate 设备运行于透明模式,您可以将 FortiGate 设备从出厂默 认配置切换到透明模式,并根据您的网络配置透明模式下的 FortiGate 设备。 完成网络配置之后,您还可以做一些其他的配置工作,例如设置系统时间,配置防 病毒和攻击定义更新,注册 FortiGate 设备等。 出厂时默认的防火墙配置包括了单一网络地址转换策略,允许您的内部网络中的用 户连接到外部网络,而禁止外部网络中的用户连接到内部网络。您可以添加更多的策 略,从而对通过 FortiGate 设备的通讯进行更多的控制。 出厂时默认的内容配置文件可以用来快速地在防火墙策略中设置不同级别的防病毒 保护、网页内容过滤、电子邮件过滤
开始 FortiGate 出厂默认设置 表 2: 出厂默认的 NAT/ 路由模式网络配置 ( 续 ) HA 接口 接口 1 接口 2 接口 3 接口 4 接口 5 接口 6 接口 7 接口 8 IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping IP: 0.0.0.0 网络掩码: 0.0.0.0 管理访问: Ping a.
FortiGate 出厂默认设置 开始 表 3: 出厂默认的透明模式网络设置 管理访问 Internal HTTPS, Ping External Ping DMZ HTTPS, Ping 接口 1 Ping 接口 2 Ping 接口 3 Ping 接口 4 Ping 接口 5 Ping 接口 6 Ping 接口 7 Ping 接口 8 Ping 出厂时默认的防火墙配置 NAT/ 路由模式和透明模式具有相同的出厂默认的防火墙配置。 表 4: 出厂默认防火墙设置 IP: 0.0.0.0 内部 _ 全部 外部地址 外部 _ 全部 DMZ 地址 DMZ_ 全部 循环任务 计划 总是 任务计划始终有效。这意味着防火墙策略始终有 效。 防火墙策 略 内部 -> 外部 从内部网络到外部网络的防火墙策略 掩码: 0.0.0.0 IP: 0.0.0.0 表示外部网络中的全部 IP 地址 掩码: 0.0.0.0 IP: 0.0.0.0 22 表示内部网络中的全部 IP 地址 内部地址 表示 DMZ 网络中的全部 IP 地址。 掩码: 0.0.
开始 FortiGate 出厂默认设置 表 4: 出厂默认防火墙设置 ( 续 ) " 认证 认证没有被选中。用户在建立到目的地址的连接之 前,无须通过防火墙的认证。您可以在防火墙上配 置用户组,并启用认证功能,要求用户在通过防火 墙建立连接之前先取得防火墙的认证。 " 防病毒和网页内容过滤 防病毒和网页内容过滤功能没有被选中。此策略不 包含关于在此策略所处理的通讯中应用防病毒保 护、网页内容过滤、或电子邮件过滤的内容配置文 件。您可以选中此选项,并选择一个内容配置文 件。根据配置文件,可以对此策略所处理的通讯进 行不同级别的保护。 " 通讯日志 通讯日志没有被选中。此策略不会将策略所处理的 通讯记录到通讯日志中。您可以配置 FortiGate 日 志功能,启用通讯日志以记录此策略所接受的全部 通过防火墙的通讯。 出厂时默认的内容配置文件 您可以使用内容配置文件对防火墙策略所控制的通讯内容应用不同级别的保护设置 方式。您可以使用内容配置文件设置以下项目: ·HTTP, FTP, IMAP, POP3, 和 SMTP 网络通讯的防病毒保护 ·HTTP 网络通讯的网页内容过滤 ·IMAP 和 POP3
FortiGate 出厂默认设置 开始 表 5: 严谨型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 ! ! ! ! ! 文件阻塞 ! ! ! ! ! 隔离 ! ! ! ! ! Web URL 阻塞 ! Web 内容阻塞 ! Web 脚本过滤 ! Web 排除列表 ! Email 阻塞列表 ! ! Email 排除列表 ! ! Email 内容阻塞 ! ! 阻塞 阻塞 阻塞 " " " 超大型文件 / 邮件阻塞 阻塞 阻塞 传输邮件片段 扫描型内容配置文件 使用扫描型内容配置文件可以对 HTTP、FTP、IMAP、POP3 和 SMTP 通讯的内容应用 防病毒扫描。同时,隔离功能也被启用了,并适用于所有类型的服务。在 FortiGate 设备中装备了一个硬盘,如果防病毒扫描功能发现了在某个文件中有病毒,这个文件 可以被隔离到 FortiGate 的硬盘上。系统管理员可以根据需要决定是否恢复被隔离的 文件。 表 6: 扫描型内容配置文件 选项 HTTP FTP IMA
开始 规划您的 FortiGate 设备的配置 表 7: 网页型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 ! " " " " 文件阻塞 " " " " " 隔离 ! " " " " Web URL 阻塞 ! Web 内容阻塞 ! Web 脚本过滤 " Web 排除列表 " Email 阻塞列表 " " " Email 排除列表 " " Email 内容阻塞 " " 传输 传输 传输 " " " 超大型文件 / 邮件阻塞 传输 传输 传输邮件片段 非过滤型内容配置文件 如果您不希望对通讯内容施加任何内容保护,可以选择非过滤型内容配置文件。您 可以在控制无须保护的通讯类型的防火墙策略上添加这一内容配置文件,例如两个高 度可信或高度安全的网络之间的通讯。 表 8: 非过滤型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 " " " " " 文件阻塞 " " " " " 隔离 " " " " "
规划您的 FortiGate 设备的配置 开始 您所选择的操作模式决定了 FortiGate 的配置方式。FortiGate 有两种配置方式: NAT/ 路由模式 (默认),或者透明模式。 NAT/ 路由模式 在 NAT/ 模式,FortiGate 在网络中是可见的。此时它类似于路由器,所有的网络 接口连接到不同的子网中。在 NAT/ 路由模式下有以下接口可用: ·外部 是默认的连接到外部网络 (通常是互联网)的接口, ·内部 是连接到内部网络的接口, ·DMZ 是连接到 DMZ 网络的接口。 ·如果您建立了 HA簇,HA 是用于连接其他 FortiGate-500 的接口。 ·接口 1 到 8 可以连接到其他网络上。 无论 FortiGate-500 工作在 NAT 模式或是路由模式,您都可以添加安全策略以控制 通过 FortiGate-500 的通讯连接。安全策略根据每个数据包的源地址、目的地址和服 务控制数据流。在 NAT 模式下,FortiGate 在将数据包发送到目的网络之前进行网络地 址转换。在路由模式下,不进行转换。 默认情况下,FortiGate 只有一个 NAT 模式的策略,它使内部网
开始 规划您的 FortiGate 设备的配置 您必须将路由配置为支持到互联网的冗余连接。当到外部网络的某个连接失效时, 路由可以自动地将所有连接重定向到其他可用的外部网络连接上。 除此之外,安全策略的配置基本上等同于 NAT/ 路由模式下的单互联网连接的配置 方式。您需要创建控制从内部的私有网络到外部的公共网络 (通常是互联网)的通讯 的 NAT 模式策略。 如果您拥有多个内部网络,例如除了内部私有网络之外,还有 DMZ 网络,您为它们 之间的通讯创建路由模式策略。 图 5: NAT/ 路由模式下多重互联网连接配置的例子 透明模式 在透明模式下,FortiGate 设备在网络中是不可见的。此时它如同一个网桥,所有 的 FortiGate 设备接口必须在同一子网内。您必须配置一个管理 IP 地址以便修改 FortiGate 的配置。这个管理 IP 地址还将用于获得防病毒保护和攻击定义的更新。 透明模式下的 FortiGate 设备一个比较典型的应用是安装在一个位于防火墙或路由 器后面的私有网络中。FortiGate 提供一些基本的防护,例如防病毒和内容扫描,但是 不支持 VPN。 图 6: 透明模式
FortiGate 系列产品参数最大值列表 开始 配置选项 选择了透明模式或 NAT/ 路由模式操作之后,您可以继续完成您的配置计划,并开 始配置 FortiGate 设备。 您可以使用基于 Web 的管理程序上的设置向导,控制按钮和 LCD 或命令行界面 (CLI) 对 FortiGate 进行基本配置。 配置向导 如果您将 FortiGate 设备设置为以 NAT/ 路由模式 (默认)运行,设置向导会提醒 您添加管理员密码,内部网络的接口地址。也可以使用设置向导为外部接口添加 DNS 服务器 IP 地址和默认路由。 在 NAT/ 路由模式下,您还可以将 FortiGate 设备配置为允许从互联网访问您的内 部网络中的网页、FTP 或电子邮件服务器。 如果您计划将 FortiGate 设备设置为透明模式,您可以使用基于 Web 的管理程序切 换到透明模式,设置向导会提醒您添加管理员密码,管理 IP 地址和网关,以及 DNS 服 务器地址。 CLI 如果您将 FortiGate 设备设置为以 NAT/ 路由模式 (默认)运行,您可以添加管理 员密码,内部网络的接口地址。使用 CLI,您也可以为外部接口
开始 下一步 表 9: FortiGate 参数最大值列表 FortiGate 产品型号 50 60 100 200 300 400 500 1000 2000 3000 3600 一次性任务计划 256 256 256 256 256 256 256 256 256 256 256 用户 20 500 1000 1000 1000 1000 1000 1000 1000 1000 1000 用户组 100 100 100 100 100 100 100 100 100 100 100 组成员 300 300 300 300 300 300 300 300 300 300 300 虚拟 IP 500 500 500 500 500 500 500 500 500 500 500 IP/MAC 绑定 500 500 500 500 500 500 500 500 500 500 500 路由 500 500 500 500 500
下一步 30 开始 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.50 版 NAT/ 路由 模式安装 本章说明了如何进行 FortiGate NAT/Route( 路由 ) 模式的安装。如果要在透明模 式下安装 FortiGate ,请参阅 第 47 页 “ 透明模式安装” 。如果您要在 HA 模式 下安装两个或多个 FortiGate ,请参阅 第 59 页 “ 高可用性” 。 本章叙述了以下内容: ·准备配置 NAT/ 路由模式 ·使用安装向导 ·使用前面板控制按钮和 LCD ·使用命令行界面 ·完成配置 ·将 FortiGate 连接到网络中 ·配置网络 ·完成配置 ·配置举例:到互联网的多重连接 准备配置 NAT/ 路由模式 使用 表 10 收集您设置 NAT/ 路由 模式配置所需的信息。 表 10: NAT/ 路由 模式配置 管理员密码: 内部接口 FortiGate-500 安装和配置指南 IP: _____._____._____._____ 网络掩码 : _____._____._____.
使用安装向导 NAT/ 路由 模式安装 表 10: NAT/ 路由 模式配置 ( 续 ) 外部接口 内部服务器 IP: _____._____._____._____ 网络掩码 : _____._____._____._____ 默认网关 : _____._____._____._____ 主 DNS 服务器 : _____._____._____._____ 辅助 DNS 服务器 : _____._____._____._____ Web 服务器 : _____._____._____._____ SMTP 服务器 : _____._____._____._____ POP3 服务器 : _____._____._____._____ IMAP 服务器 : _____._____._____._____ FTP 服务器 : _____._____._____.
NAT/ 路由 模式安装 使用前面板控制按钮和 LCD 2 根据 第 31 页 表 10 向导的若干页面。 中所获得的信息进行设置,选 “下一步”按顺序逐步完成安装 3 确保您的输入无误后按完成按钮结束。 注意:如果您使用安装向导来配置内部服务器设置,FortiGate 会向每个配置的服务器分配端口 转送 IPs 和防火墙策略。对位于内部网的每个服务器,FortiGate 添加一个外部 --> 内部策略。 对位于 DMZ 里的每个服务器,FortiGate 则添加一个外部 ->DMZ 策略。 重连接到 基于 Web 的管理程序 如果您使用安装向导修改了内部接口的 IP 地址,必须使用新 IP 地址重新连接基于 Web 的管理程序。浏览 https:// 后跟着 内部接口的新 IP 地址。或者,您也可通过 https://192.168.1.99.
使用命令行界面 NAT/ 路由 模式安装 将 FortiGate 配置为在 NAT/ 路由模式操作 使用您在 第 31 页 表 10 中收集的信息完成以下操作。 配置 NAT/ 路由模式 IP 地址 1 如果您还没有登录,首先登录到 CLI。 2 将内部网络接口的 IP 地址和网络掩码设置为您在 第 31 页 表 10 中记录的 IP 地址和 网络掩码。输入: set system interface internal mode static ip < 网络掩码 > 例如 set system interface internal mode static ip 192.168.1.1 255.255.255.0 3 将外部网络接口的 IP 地址和网络掩码设置为您在 第 31 页 表 10 中记录的外部 IP 地 址和网络掩码。输入: set system interface external mode static ip < 网络掩码 > 例如 set system interface external mode static ip 204.23.1.
NAT/ 路由 模式安装 将 FortiGate 连接到网络中 9 设置到默认路由的默认网关的 IP 地址。 set system route number < 路由编号 _ 整数 > dst 0.0.0.0 0.0.0.0 gw1 < 网关 IP 地址 > 例如 set system route number 0 dst 0.0.0.0 0.0.0.0 gw1 204.23.1.
将 FortiGate 连接到网络中 NAT/ 路由 模式安装 图 7: FortiGate-500 NAT/ 路由模式连接 用户定义接口的连接 按以下方式连接 FortiGate-500 的用户定义接口: 36 1 将用户定义接口连接到您所要连接的网络的交换机或集线器上。 2 对所有您已经配置了的用户定义接口重复这一操作。 图 8 中的例子显示了将内部网络连接到用户定义接口 1 和将外部网络连接到用户定义 接口 4。 美国飞塔有限公司
NAT/ 路由 模式安装 配置网络 图 8: FortiGate-500 用户定义接口连接的例子 配置网络 如果在 NAT/ 路由模式下运行 FortiGate, 您需要将网络设置为将所有 Internet 流 通路由到它们所连接到的 FortiGate 接口的 IP 地址上。 一旦 FortiGate 连接好,可通过从内部网的电脑连接到 Internet 来确保其运行是 否正常。您应该能连接到任何的 Internet 地址。 完成配置 根据用本节内容来完成 FortiGate 的初始配置。 配置 DMZ 接口 按照如下步骤配置 DMZ 接口: 1 登录到 基于 Web 的管理程序。 2 进入 系统 > 网络 > 接口。 3 选择 DMZ 接口 并单击 修改 FortiGate-500 安装和配置指南 。 37
完成配置 NAT/ 路由 模式安装 4 根据需要改变 IP 地址和子网掩码。 5 单击 应用 。 配置接口 1 到 8 按照如下步骤配置 8 个用户自定义接口: 1 登录到 基于 Web 的管理程序 . 2 进入 系统 > 网络 > 接口。 3 选择一个用户定义接口并单击修改 。 依次选择接口 1 到 8。 4 根据需要改变 IP 地址和子网掩码。 5 单击 应用 。 设置日期和时间 为了有效的安排日程和记录日志, FortiGate 的日期和时间必须精确。 您可手动 设置时间,或通过配置 FortiGate 来自动与网络时间协议服务器 (NTP) 同步从而更正 时间。 设置 FortiGate 日期和时间,请参阅 第 133 页 “ 设置系统日期和时间” .
NAT/ 路由 模式安装 配置举例:到互联网的多重连接 要配置自动防病毒和攻击定义更新,请访问 义更新” 。 第 95 页 “ 病毒防护定义和攻击定 配置举例:到互联网的多重连接 本节描述了 FortiGate 设备使用多重连接到互联网的 (见图 9)一些基本的路由 和防火墙策略配置的例子。在这种拓扑结构中,该组织使用的 FortiGate 设备分别通 过两个互联网服务供应商连接到互联网。FortiGate 设备使用外部接口和 DMZ 接口连接 到互联网。外部接口连接到 ISP1 提供的网关 1,DMZ 连接到 ISP2 提供的网关 2。 在接口上添加了 ping 服务器,并配置了路由之后,您可以控制通讯如何使用每个 到互联网的连接。在这种路由配置方式下您可以继续创建支持到互联网的多重连接的 防火墙策略。 本节提供了一些具有到互联网的多重连接的 FortiGate 设备中配置路由和防火墙 的例子。要使用本节中的所提供的信息,我们建议您先熟悉一下关于 FortiGate 路由 ( 请见 第 113 页 “ 配置路由” ) 和 FortiGate 防火墙配置 ( 见 第 143 页 “ 防火墙配置” )。
配置举例:到互联网的多重连接 NAT/ 路由 模式安装 图 9: 到互联网的多重连接的配置的例子 配置 Ping 服务器 按照以下步骤将网关 1 设置为外部接口的 Ping 服务器,将网关 2 设置为 DMZ 接口 的 Ping 服务器。 1 进入系统 > 网络 > 接口。 2 在外部接口上选择修改 。 ·Ping 服务器 : 1.1.1.1 ·选择启用 Ping 服务器 ·单击确定 3 在 DMZ 接口上选择修改 。 ·Ping 服务器 : 2.2.2.
NAT/ 路由 模式安装 配置举例:到互联网的多重连接 使用 CLI 1 将 ping 服务器添加到外部接口。 set system interface external config detectserver 1.1.1.1 gwdetect enable 2 Add a ping server to the DMZ interface. set system interface dmz config detectserver 2.2.2.1 gwdetect enable 基于目的地的路由配置举例 本节描述了以下基于目的地的路由的例子: ·到互联网的主连接和备份连接 ·负载分配 ·负载分配与主连接、备份连接 到互联网的主连接和备份连接 按照以下步骤添加默认的基于目的地的路由,以将所有向外的通讯定向到网关 1。 如果网关 1 失效了,所有连接会被重定向到网关 2。网关 1 是到互联网的主连接,网关 2 是备份连接。 1 进入 系统 > 网络 > 路由表。 2 选择 新建。 ·目的 IP: 0.0.0.0 ·掩码 : 0.0.0.0 ·网关 #1: 1.1.1.1 ·网关 #2: 2.2.
配置举例:到互联网的多重连接 NAT/ 路由 模式安装 表 13: 负载分配路由 目的 IP □ 掩码 网关 #1 设备 #1 网关 #2 设备 #2 100.100.100.0 255.255.255.0 1.1.1.1 external 2.2.2.1 dmz 200.200.200.0 255.255.255.0 2.2.2.1 dmz 1.1.1.1 external 第一条路由将所有的到 100.100.100.0 的通讯定向到外部接口上 IP 为 1.1.1.1 的网 关 1。如果这条路由不通,到 100.100.100.0 的网络的通讯将被重定向到 DMZ 接口上 IP 地址为 2.2.2.
NAT/ 路由 模式安装 配置举例:到互联网的多重连接 4 单击新建以添加到 ISP2 的网络的路由。 ·目的 IP: 0.0.0.0 ·掩码 : 0.0.0.0 ·网关 #1: 1.1.1.1 ·网关 #2: 2.2.2.1 ·设备 #1: dmz ·设备 #2: 外部 ·单击确定。 5 将路由表中的路由排序,将默认路由移动到路由表的最下方。 ·在默认路由上单击移动 。 ·在移动栏输入输入数字将这条路由移动到路由表的底部。 如果只有 3 个路由,就输入 3。 ·单击确定。 使用 CLI 添加路由 1 添加到 ISP1 的网络的路由。 set system route number 1 dst 100.100.100.0 255.255.255.0 gw1 1.1.1.1 dev1 external gw2 2.2.2.1 dev2 dmz 1 添加到 ISP2 的网络的路由。 set system route number 2 dst 200.200.200.0 255.255.255.0 gw1 2.2.2.1 dev1 dmz gw2 1.1.1.
配置举例:到互联网的多重连接 NAT/ 路由 模式安装 只有您已经定义了类似于在前面章节中描述的目的路由之后,在这些例子中描述的 策略路由才能正常工作。 ·将通讯从内部子网路由到不同的外部网络 ·路由到外部网络的服务 关于策略路由的详细信息,请见 第 122 页 “ 策略路由” 。 将通讯从内部子网路由到不同的外部网络 如果 FortiGate 提供了从多个内部子网到互联网的访问,您可以使用策略路由控制 从各个内部子网到互联网的通讯的路由。例如,如果内部网络包含了 192.168.10.0 子 网和 192.168.20.0 子网,您可以输入如下策略路由: 1 输入以下命令路由从 192.168.10.0 子网到外部网络 100.100.100.0 的通讯: set system route policy 1 src 192.168.10.0 255.255.255.0 dst 100.100.100.0 255.255.255.0 gw 1.1.1.1 2 输入以下命令路由从 192.168.20.0 子网到外部网络 200.200.200.
NAT/ 路由 模式安装 配置举例:到互联网的多重连接 按以下步骤添加冗余的默认策略: 1 进入 防火墙 > 策略 > 内部 ->DMZ。 2 单击新建。 3 根据默认策略配置相应的策略。 4 源 内部 _ 全部 目的 DMZ_ 全部 任务计划 总是 服务 任意 动作 接受 NAT 选种 NAT。 单击确定以保存您所做的修改。 添加更多的防火墙策略 大多数情况下您的防火墙配置中不只包含了默认的策略。然而,创建冗余策略将使 得防火墙的配置变得更加复杂。为了将 FortiGate 设备配置为使用到互联网的多重连 接,您必须为从内部网络到每个连接到互联网的接口的连接方式创建双重的策略。而 且,您添加了冗余策略后,还需要在两个策略列表中将他们按照相同的顺序排列。 限制到单一互联网连接的访问 在某些情况下,您可能希望将一些通讯限制为仅能通过一个到互联网的线路进行连 接。例如,在 第 40 页 图 9 所示的拓扑结构中,该机构可能希望只有通过 ISP1 的到 SMTP 服务器可以连接到他们的邮件服务器。为此,您需要为 SMTP 连接添加一个内部 > 外部防火墙策略。因为没有添
配置举例:到互联网的多重连接 46 NAT/ 路由 模式安装 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.50 版 透明模式安装 本章说明了如何进行透明模式的安装。如果要在 FortiGate NAT/ 路由模式下安装 FortiGate ,请参阅 第 31 页 “ NAT/ 路由 模式安装” 如果您要在 HA 模式下安装 两个或多个 FortiGate ,请参阅 第 59 页 “ 高可用性” 。 本章叙述了以下内容: ·准备配置透明模式 ·使用安装向导 ·使用前面板控制按钮和 LCD ·使用命令行接口 ·完成配置 ·将 FortiGate 连接到网络中 ·透明模式配置的例子 准备配置透明模式 使用 表 15 收集您设置 NAT/ 路由 模式配置所需的信息。 表 15: 透明模式设置 管理员密码: 管理用 IP 地址 IP: _____._____._____._____ 子网掩码: _____._____._____._____ 默认网关: _____._____._____.
使用前面板控制按钮和 LCD 透明模式安装 切换到透明模式 当首次连接到 FortiGate 时,它被预设在 NAT/ 路由模式下运行。欲切换为透明模 式需使用基于 Web 的管理程序 : 1 进入系统 > 状态。 2 单击 更改 以切换到透明模式。 3 在操作模式列表中选择 透明模式 。 4 单击 确定 。 至此,FortiGate 已切换为透明模式。 要重新连接到基于 Web 的管理程序,需要将您的管理员电脑的 IP 地址改为 10.10.10.2。然后连接到内部接口或 DMZ 接口,用浏览器访问 https:// 后边跟上透明 模式的管理 IP 地址。默认的 FortiGate 透明模式管理 IP 地址是 10.10.10.
透明模式安装 使用命令行接口 5 按回车并设置内部子网掩码。 6 在输入完最后一位子网掩码地址后按回车。 7 按 退出 (Esc)返回主菜单。 8 如需要,重复如上步骤来设置缺省网关。 使用命令行接口 除了使用连接向导以外,您还可以使用命令行接口 (CLI)配置 FortiGate。要连 接到 CLI 接口,请参阅 第 19 页 “ 连接到命令行接口 (CLI)” 。使用您在 第 47 页 表 15 中收集的信息完成以下步骤。 切换到透明模式 1 如果您还没有登录,首先登录到 CLI。 2 切换到透明模式。输入: set system opmode transparent 几秒种后,会出现登录提示。 3 输入 admin 然后回车。 将出现以下提示: Type ? for a list of commands.
完成配置 透明模式安装 完成配置 根据用本节内容来完成 FortiGate 的初始配置。 设置日期和时间 为了有效的安排日程和记录日志, FortiGate 的日期和时间必须精确。 您可手动 设置时间,或通过配置 FortiGate 来自动与网络时间协议服务器 (NTP) 同步从而更正 时间。 设置 FortiGate 日期和时间,请参阅 第 133 页 “ 设置系统日期和时间” 。 启用防病毒保护 按以下步骤启用防病毒保护,可以防止您的内部网络中的用户从互联网上下载病 毒: 1 进入 防火墙 > 策略 > 内部 -> 外部。 2 单击编辑 3 单击 防病毒和网络过滤,以启用这个策略的防病毒防火墙功能。 4 选择扫描型内容配置文件。 5 单击确定以保存您所做的修改。 以编辑这个策略。 注册 FortiGate 设备 在购买和安装了一个新的 FortiGate 设备之后,您可以进入 系统 > 更新 > 支持来 注册您的设备,或者使用网页浏览器连接到 http://support.fortinet.
透明模式安装 将 FortiGate 连接到网络中 FortiGate-500 有十二个 10/100 BaseTX 接口: ·内部接口,用于连接到您的内部网络, ·外部接口 , 用于连接到您的公共交换机或集线器和互联网, ·DMZ 接口 , 用于连接到其他网络, ·HA 接口和 1 到 8 , 用于将 9 个附加的网络连接到 FortiGate-500。 按以下方式连接运行于透明模式的 FortiGate: 1 将内部接口连接到您的内部网络的交换机或集线器上, 2 将外部接口连接到您的互联网服务供应商提供的公共交换机或集线器上, 3 可以选择将 DMZ 接口、HA 接口和接口 1 到 8 连接到您的其他网络的交换机或集线器 上。 图 10: FortiGate-500 透明模式连接 在透明模式下,FortiGate 不改变网络的第三层拓扑结构。这意味着它的所有接口 在相同的子网中,并且对于其他设备来说它相当于一个网桥。FortiGate 透明模式的一 个典型的应用是在一个已有的防火墙配置后面提供防病毒和内容扫描。 透明模式的 FortiGate 也可以提供防火墙功能,尽管它不是第三层拓扑结
透明模式配置的例子 透明模式安装 透明模式配置的例子 运行于透明模式的 FortiGate 也需要一个基本配置,以成为 IP 网络中的一个结 点。至少,FortiGate 必须配置一个 IP 地址和子网掩码。它们可以用来对 FortiGate 进行管理访问,并允许 FortiGate 进行防病毒和攻击定义的更新。另外,FortiGate 必 须有足够的信息达到: ·管理员电脑, ·Forti 响应发布网络 (FDN), ·DNS 服务器。 无论何时,FortiGate 都需要一个路由配置以连接到路由器,从而连接到目的地 址。如果所有的目的地址都在外部网络中,您可能只需要输入一个默认路由。然而, 如果网络拓扑比较复杂,您可能需要再输入一个或多个路由。 本节描述了: ·默认路由和静态路由 ·到外部网络的默认路由的例子 ·到外部目的地址的静态路由的例子 ·到内部目的地址的静态路由的例子 默认路由和静态路由 要创建到一个目的地的路由,您需要根据 IP 网络地址和相应的网络掩码定义一个 IP 前缀。一个默认的路由匹配任何前缀,可以将数据流转发到下一个路由器 (或默认 网关)。一个静态的路由匹配特定的前缀,并将数据
透明模式安装 透明模式配置的例子 图 11: 到外部网络的默认路由 通用配置步骤 1 将 FortiGate 设置为透明模式。 2 配置 FortiGate 的管理 IP 地址和网络掩码。 3 配置到外部网络的默认路由。 FortiGate-500 安装和配置指南 53
透明模式配置的例子 透明模式安装 基于 Web 的管理程序配置步骤的例子 使用基于 Web 的管理程序配置基本的透明模式设置和默认路由: 1 进入 系统 > 状态。 ·选择切换到透明模式。 ·在操作模式列表中选择 透明。 ·单击 确定。 FortiGate 已切换到透明模式。 2 进入 系统 > 网络 > 管理。 ·修改管理 IP 地址和网络掩码: IP: 192.168.1.1 掩码 : 255.255.255.0 ·单击 应用。 3 进入系统 > 网络 > 路由。 ·单击 新建 添加到外部网络的默认路由。 IP: 0.0.0.0 掩码 : 0.0.0.0 网关 : 192.168.1.2 ·单击 确定。 CLI 配置步骤 要使用 CLI 配置 FortiGate 基本设置和路由: 1 将系统操作模式修改为透明模式。ode. set system opmode transparent 2 添加管理 IP 地址和掩码。 set system management ip 192.168.1.1 255.255.255.
透明模式安装 透明模式配置的例子 图 12: 到外部地址的静态路由 通用配置步骤 1 将 FortiGate 设置为透明模式。 2 配置 FortiGate 的管理 IP 地址和网络掩码。 3 配置到 FortiResponse 服务器的静态路由。 4 配置到外部网络的默认路由。 基于 Web 的管理程序配置步骤 要使用基于 Web 的管理程序配置基本的 FortiGate 设置和静态路由: 1 进入 系统 > 状态。 ·选择 切换到透明模式。 ·在操作模式列表中选择透明。 ·单击 确定。 FortiGate 现在已经切换到透明模式。 FortiGate-500 安装和配置指南 55
透明模式配置的例子 透明模式安装 2 进入 系统 > 网络 > 管理。 ·修改管理 IP 地址和网络掩码: IP: 192.168.1.1 掩码 : 255.255.255.0 ·单击 应用。 3 进入 系统 > 网络 > 路由。 ·选择新建 添加到 FortiResponse 服务器的静态路由。 IP: 24.102.233.5 掩码 : 255.255.255.0 网关 : 192.168.1.2 ·单击 确定。 ·选择新建 添加到外部网络的默认路由。 IP: 0.0.0.0 掩码 : 0.0.0.0 网关 : 192.168.1.2 ·单击 确定。 CLI 配置步骤 要使用 CLI 配置 FortiGate 基本设置和静态路由: 1 将系统操作模式设置为透明模式。 set system opmode transparent 2 添加管理 IP 地址和网络掩码。 set system management ip 192.168.1.1 255.255.255.
透明模式安装 透明模式配置的例子 图 13: 到内部目的地址的静态路由 通用配置步骤 1 2 3 4 FortiGate-500 安装和配置指南 将 FortiGate 切换到透明模式。 配置 FortiGate 的管理 IP 地址和网络掩码。 配置到内部网络中的管理工作站的静态路由。 配置到外部网络的默认路由。 57
透明模式配置的例子 透明模式安装 基于 Web 的管理程序的配置步骤举例 要使用基于 Web 的管理程序配置 FortiGate 基本设置、静态路由和默认路由: 1 进入 系统 > 状态。 ·选择切换到透明模式。 ·在操作模式列表中选择透明模式。 ·单击 确定。 FortiGate 已经切换到透明模式。 2 进入 系统 > 网络 > 管理。 ·修改管理 IP 和网络掩码: IP: 192.168.1.1 掩码 : 255.255.255.0 ·单击 应用。 3 进入 系统 > 网络 > 路由。 ·选择新建 添加到管理工作站的静态路由。 IP: 172.16.1.11 掩码 : 255.255.255.0 网关 : 192.168.1.3 ·单击 确定。 ·选择新建添加到外部网络的默认路由。 IP: 0.0.0.0 掩码 : 0.0.0.0 网关 : 192.168.1.
FortiGate-500 安装和配置指南 2.
主动 - 主动 HA 高可用性 主 FortiGate 设备通过 FortiGate HA 接口向附属设备发送会话信息。在同一个 HA 簇中的所有设备共同维护所有的会话信息。如果主 FortiGate 设备失效了,附属设备 会互相协商选出一个新的主设备。新的主设备负责恢复所有已经建立的连接。 在失效恢复期间,HA 组会通知附近的网络设备,以使得整个网络可以迅速地转换 到新的数据路径中。新的主设备还会将 HA 簇中发生的变动通知管理员。它会在它自己 的事件日志中写入一条消息,发送一个 SNMP 陷阱 (如果启用了 SNMP),并且发送一个 报警邮件。 如果一个附属的 FortiGate 设备失效了,主 FortiGate 设备会在它自己的事件日志 中写入一条消息,发送一个 SNMP 陷阱和一个报警邮件。主 FortiGate 设备还将调整 HA 簇中剩下的设备的优先级。 主动 - 主动 HA 主动 - 主动 (A-A)HA 为同一个 HA 簇中的所有 FortiGate 设备提供负载均衡。一 个主动 - 主动 HA 簇包括一个主动 FortiGate 设备和一个或多个附属 FortiGate 设备, 所有
高可用性 NAT/ 路由模式下的 HA 在失效恢复期间,HA 组会通知附近的网络设备,以使得整个网络可以迅速地转换 到新的数据路径中。新的主设备还会将 HA 簇中发生的变动通知管理员。它会在它自己 的事件日志中写入一条消息,发送一个 SNMP 陷阱 (如果启用了 SNMP),并且发送一个 报警邮件。 如果一个附属的 FortiGate 设备失效了,主 FortiGate 设备会在它自己的事件日志 中写入一条消息,发送一个 SNMP 陷阱和一个报警邮件。主 FortiGate 设备还将调整 HA 簇中剩下的设备的优先级。 NAT/ 路由模式下的 HA 按照以下步骤将 NAT/ 路由模式下的一组 FortiGate 设备配置以 HA 方式工作。 ·安装和配置 FortiGate 设备 ·配置 HA 接口 ·配置 HA 簇 ·将 HA 簇连接到您的网络 ·启动 HA 簇 安装和配置 FortiGate 设备 按照 第 31 页 “ NAT/ 路由 模式安装” 的指示安装和配置 FortiGate 设备。HA 组中的所有 FortiGates 应具有相同的配置。在完成 “配置 HA 接口”之前,先不要将 Fo
NAT/ 路由模式下的 HA 高可用性 6 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息。 TELNET 允许通过此接口建立到 CLI 的 Telnet 连接。Telnet 连接并不安全,有可能被第三 方截获。 单击应用。 现在您已经完成了对 HA 接口的配置,可以进入下一步 “配置 HA 簇”。 配置 HA 簇 按照以下步骤配置 HA 簇中的 FortiGate。对于 HA 簇中的每一台 FortiGate 都需重 复这些步骤。 注意:以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备。 您还可以使用 第 63 页 “ 将 HA 簇连接到您的网络” 中的步骤先将 HA 簇连接到您的网络。 62 1 连接到 FortiGate 设备并登录基于 Web 的管理程序。 2 进入 系统 > 配置 > HA。 3 单击 HA。 4 选择 HA 模式。 选择 主动 - 被动模式 可以创建一个主动 - 被动的 HA 组。HA 组中的一台 FortiGate 处 于主动模式,处理所有的连接,其它的 Forti
高可用性 NAT/ 路由模式下的 HA 8 IP 根据 IP 地址的负载均衡。如果 FortiGate 设备使用交换机连接,选择 IP 负载均衡可以根据包的源 IP 地址和目的 IP 地址将通讯分配到 HA 簇 的设备上。 IP 端口 根据 IP 地址和端口的负载均衡。如果 FortiGate 设备使用交换机连接, 选择 IP 和端口负载均衡可以根据包的源 IP 地址、目的 IP 地址、源端 口、目的端口将通讯分配到 HA 簇的设备上。 在 端口监视器 的选项中,选择要监视的的 FortiGate 网络接口的名称。 监视 FortiGate 接口可以确认它们是否已经连接到他们的网络上并且工作正常。如果 一个被监视的接口失效或者从它的网络断开,FortiGate 设备将停止处理通讯并从这个 HA 簇中删除。如果您重建通过这个接口的通讯流 (例如,如果您重新连接了一个断开 的线缆),FortiGate 设备将重新加入 HA 簇。您只能监视连接到网络的接口。 9 单击应用。 FortiGate 设备相互协商以建立一个 HA 簇。当您选择了应用之后,在 HA 簇协商期间您 可能会暂时丢失到 Fort
NAT/ 路由模式下的 HA 高可用性 无论您将 FortiGate 设备配置为主动 - 主动 HA 模式或主动 - 被动 HA 模式,所需的 网络设备和配置的步骤都十分相似。 以下操作用于把 FortiGate 连接到您的网络上: 1 将每一台 FortiGate 的内部网络接口都连接到一个与您内部网络相连的交换机或者集 线器上。 2 将每一台 FortiGate 的外部网络接口都连接到一个与您外部网络相连的交换机或者集 线器上。 3 可以选择将 FortiGate 的 DMZ 接口连接到 DMZ 网络的交换机或者集线器上。 4 可以选择将 FortiGate 的接口 1 到 8 连接到其它网络的交换机或者集线器上。 5 把 FortiGates 的 HA 接口连接到一台单独的交换机或者集线器上。 图 15: HA 网络配置 当您连接完 HA 簇之后,可以进行 “启动 HA 簇”操作。 64 美国飞塔有限公司
高可用性 透明模式下的 HA 启动 HA 簇 将 HA 簇中的全部 FortiGate 设备都配置为 HA 并且将这个簇连接起来之后,可以使 用以下操作启动 HA 簇。 1 为簇中的所有 HA 设备加电。 在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商过程是自动进 行的,无须用户干预。 当协商完成后,这个簇已经准备好处理网络通讯了,您可以使用 第 68 页 “ 管理 HA 组” 中的信息在这个簇登录和进行管理。 透明模式下的 HA 按照如下步骤将运行于透明模式的 FortiGate 设备配置成 HA 簇。 ·安装和配置 FortiGate 设备 ·配置 HA 接口和 IP 地址 ·配置 HA 簇 ·将 HA 簇连接到您的网络中 ·启动 HA 簇 安装和配置 FortiGate 设备 按照 第 31 页 “ NAT/ 路由 模式安装” 的指示安装和配置 FortiGate 设备。HA 组中的所有 FortiGates 应具有相同的配置。在完成 “配置 HA 接口”之前,先不要将 FortiGate 设备接入网络。 配置 HA 接口和 IP 地址 FortiGate-500 使用它的
透明模式下的 HA 高可用性 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息。 TELNET 允许通过此接口建立到 CLI 的 Telnet 连接。Telnet 连接并不安全,有可能被第三 方截获。 4 根据需要修改 IP 地址和子网掩码。 5 可以选择配置其他接口的管理访问方式。 6 单击应用。 现在您已经完成了对 HA 接口的配置,可以进入下一步 “配置 HA 簇”。 配置 HA 簇 在将 HA 簇连接到您的网络之前,按照如下步骤为每个 FortiGate 设备配置 HA。 注意:以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备。 您还可以使用 第 67 页 “ 将 HA 簇连接到您的网络中” 中的步骤先将 HA 簇连接到您的网络。 66 1 连接到 FortiGate 设备并登录进基于 Web 的管理程序。 2 进入 系统 > 配置 > HA。 3 单击 HA。 4 选择 HA 模式。 选择 主动 - 被动模式 可以创建一个主动 - 被动的 HA 组。HA 组中的一台 FortiG
高可用性 透明模式下的 HA 8 随机 随机负载均衡。如果 FortiGate 设备使用交换机连接,选择随机负载均 衡可以将通讯随机分配到 HA 簇中的设备上。 IP 根据 IP 地址的负载均衡。如果 FortiGate 设备使用交换机连接,选择 IP 负载均衡可以根据包的源 IP 地址和目的 IP 地址将通讯分配到 HA 簇 的设备上。 IP 端口 根据 IP 地址和端口的负载均衡。如果 FortiGate 设备使用交换机连接, 选择 IP 和端口负载均衡可以根据包的源 IP 地址、目的 IP 地址、源端 口、目的端口将通讯分配到 HA 簇的设备上。 在 端口监视器 的选项中,选择要监视的的 FortiGate 网络端口。 监视 FortiGate 接口可以确认它们是否已经连接到他们的网络上并且工作正常。如果 一个被监视的接口失效或者从它的网络断开,FortiGate 设备将停止处理通讯并从这个 HA 簇中删除。如果您重建通过这个接口的通讯流 (例如,如果您重新连接了一个断开 的线缆),FortiGate 设备将重新加入 HA 簇。您只能监视连接到网络的接口。 9 单击应用。 Fort
管理 HA 组 高可用性 无论将 FortiGate 设备配置为主动 - 主动模式 HA 或者主动 - 被动模式 HA,网络设 备连接和下面的操作步骤都完全相同。 以下操作用于把 FortiGate 连接到您的网络上: 1 将每一台 FortiGate 的内部网络接口都连接到一个与您的内部网络相连的交换机或者 集线器上。 2 将每一台 FortiGate 的外部网络接口都连接到一个与您外部网络相连的交换机或者集 线器上。 3 可以选择将 FortiGate 的 DMZ 接口连接到 DMZ 网络的交换机或者集线器上。 4 可以选择将 FortiGate 的接口 1 到 8 连接到其它网络的交换机或者集线器上。 5 把 FortiGates 的 HA 接口连接到一台单独的交换机或者集线器上。 当您连接了 HA 簇之后,可以进行 “启动 HA 簇”操作。 启动 HA 簇 将 HA 簇中的全部 FortiGate 设备都配置为 HA 并且将这个簇连接起来之后,可以使 用以下操作启动 HA 簇。 1 为簇中的所有 HA 设备加电。 在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商
高可用性 管理 HA 组 查看 HA 簇成员状态 按以下步骤查看 HA 簇成员的状态: 1 连接到 HA 簇中,登录基于 Web 的管理程序。 2 进入 系统 > 状态 > 簇成员。 基于 Web 的管理程序显示了这个 HA 簇中的 FortiGate 设备的序列号。主设备的识别符 是本地,列表中还包括了簇成员的运行时间和状态。 图 17: 簇成员列表的例子 监视簇成员 按如下步骤操作可以监视每一个簇成员的状态信息。 1 连接到簇并登录基于 Web 的管理程序。 2 进入系统 > 状态 > 监视器。 显示每个簇成员的 CPU、内存状态和硬盘状态。主设备的标识符是本地,其他设备则按 照序列号列出。 显示内容还包括了当前 CPU 和内存使用率的柱状图示,以及过去数分钟的 CPU 和内存 使用率的曲线图。 关于详细信息请见 第 91 页 “ 查看 CPU 和内存状态” 。 3 选择会话和网络。 显示出每个簇成员的会话和网络状态。主设备的识别标志是本地,其他设备根据他们 的序列号列出。 显示的内容还包括当前会话数和当前网络利用率的柱状显示,以及过去数分钟内的会 话数和网络利用率的曲线图。曲线图
管理 HA 组 高可用性 图 18: 4 簇会话数和网络显示的例子 选择病毒和入侵。 显示出每个簇成员的病毒和入侵状态。主设备的识别标志是本地,其他设备根据他们 的序列号列出。 显示的内容还包括当前每小时检测到的病毒数和当前入侵次数的柱状显示,以及过去 20 小时内的病毒数和入侵次数的曲线图。曲线图的比例尺在图的左上角显示。 有关详细信息,请见 第 92 页 “ 查看病毒和入侵状态” 。 5 选择数据包和字节。 显示每个簇成员处理的数据包数和字节数。 6 您可以设置上述显示内容的刷新次数,然后单击执行以控制基于 Web 的管理程序更新 显示的次数。 刷新得越频繁,消耗的系统资源和网络通讯就越多。然而,只有在您使用基于 Web 的 管理程序查看显示的时候才会出现这种情况。曲线图比例尺显示在图的右上角。 监视簇会话 如下操作可以查看当前主设备上的会话。 1 连接到簇并登录进基于 Web 的管理程序。 2 进入 系统 > 状态 > 会话。 会话表显示了簇中的主设备处理的会话。会话包括主设备和附属设备之间的 HA 通讯。 查看和管理簇日志消息 按如下步骤查看每个簇成员的日志消息: 1 7
高可用性 管理 HA 组 2 进入日志和报告 > 记录日志。 显示主设备通讯日志、事件日志、攻击日志、病毒防护日志、网页过滤日志和电子邮 件日志。 右上角的下拉列表控制着要显示的日志类别。主设备的识别标志是本地,其他设备根 据他们的序列号列出。 3 选择簇中的一个设备的序列号可以显示这个簇成员的日志。 您可以查看保存在内存中的日志或者保存在硬盘中的日志,这取决于这个簇成员的配 置。 4 对于簇中的每个设备: ·您可以查看和搜索日志消息(请见 第 248 页 “ 查看记录到内存的日志” 和 249 页 “ 查看和管理保存在硬盘上的日志” )。 第 ·如果簇中的设备装备了硬盘您可以管理日志消息 (请见 第 250 页 “ 将日志文 件下载到管理员电脑” , 第 250 页 “ 删除当前日志中的全部消息” , 和 第 251 页 “ 删除一个保存了的日志文件” )。 注意:您可以查看和管理全部簇成员的日志消息。然而,从主设备上您只能配置主设备的日志记 录。要配置簇中其他设备的日志记录,您必须单独对簇中的设备进行管理。 单独管理簇中的设备 您可以通过使用基于 Web 的管理程序或者 CLI 连接到
管理 HA 组 高可用性 同步簇配置 当运行于簇模式的时候,为了达到较好的效果,必须确保簇中的全部设备的配置始 终同步。您可以在主设备上对配置做修改,然后在 HA 簇中的每个附属设备上使用 execute ha synchronize 命令手工将它的配置和主设备的配置同步。您可以使用 这个命令同步如下内容: 表 17: execute ha synchronize 关键字 关键字 说明 config 同步 FortiGate 配置。包括常规系统配置、防火墙配置、VPN 配置以及其他保 存在 FortiGate 配置文件中的内容。 avupd 同步主设备从 Forti 响应发布网络 (FDN)接收的防病毒引擎和防病毒定义。 attackdef 同步主设备从 FDN 接收的 NIDS 攻击定义更新。 weblists 同步主设备上添加或更改的网页过滤列表。 emaillists 同步主设备上添加或更改的电子邮件过滤列表。 resmsg 同步主设备上修改的替换信息。 ca 同步添加到主设备的 CA 证书。 localcert 同步主设备上的本地证书。 all 同步以上全部内
高可用性 高级 HA 选项 一旦重新配置或者更换了新的 FortiGate 设备,需要改变它的 HA 配置以与原来失 效的 FortiGate 的配置相匹配。然后把它重新连接到网络中。这个 FortiGate 将自动 地加入 HA 组中。 高级 HA 选项 可以从 FortiGate CLI 使用以下 HA 高级选项: 从 FortiGate 设备中选择一个主设备 在一个典型的 FortiGate 簇配置中,主设备的选择过程是自动的。HA 簇每次启动 之后选定的主设备都可能不同。此外作为主设备运行的 FortiGate 设备也可能会改变 (例如,如果当前的主设备重新启动,另一个设备可能会代替它成为主设备)。 在某些情况下,您可能希望控制哪一个设备最终成为主设备。您可以将一个 FortiGate 设备配置为主设备,只需要修改这个设备的优先级使它能控制其他设备。 当簇中的 FortiGate 设备协商主设备的时候,总是拥有最低优先权的设备成为主设 备。如果两个设备有同样的优先权,则使用标准的协商过程选择主设备: 以下操作将一个 FortiGate 设备配置为 HA 簇中的永久性的主设备: 1 连接到永久
高级 HA 选项 高可用性 这个命令有以下结果: ·第一个连接由主设备处理 ·下面的三个连接由第一个附属设备处理 ·在下面的三个连接由第二个附属设备处理 附属设备将比主设备处理更多的连接,而两个附属设备处理的连接数一样多。 74 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
修改 FortiGate 主机名 系统状态 修改 FortiGate 主机名 FortiGate 设备的主机名显示在系统 > 状态页和 FortiGate CLI 提示符中。主机名 也被用做 SNMP 系统名 (见 第 137 页 “ 配置 SNMP” )。 默认的主机名是 FortiGate-500。 按如下步骤修改 FortiGate 主机名: 1 进入 系统 > 状态。 2 单击编辑主机名 3 输入一个新的主机名。 4 单击确定。 新的主机名将显示在系统状态页并添加到 SNMP 系统名中。 。 修改 FortiGate 固件 您从 Fortinet 中下载了一个 FortiGate 固件映像之后,您可以按照表 1 中所列的 步骤在您的 FortiGate 设备中安装固件映像。 表 1: 固件升级步骤 步骤 说明 升级到新版本的固件 通常使用基于 Web 的管理程序和 CLI 操作将 FortiOS 升级到一个新 的 FortiOS 固件版本或者同一固件版本的较新的子版本。 恢复到一个旧的固件版 本 使用基于 Web 的管理程序 或 CLI 恢复到一个从前版本的固件。这一
系统状态 修改 FortiGate 固件 2 使用 admin 管理员帐号登录到基于 Web 的管理程序。 3 进入 系统 > 状态。 4 单击 固件升级 5 输入固件升级文件的文件名,或者单击 浏览 然后定位那个文件。 6 单击确定。 FortiGate 设备将上载固件映像文件,升级到新的固件版本,重新启动,然后显示 FortiGate 登录界面。这一步骤需要数分钟时间。 7 登录到基于 Web 的管理程序。 8 进入 系统 > 状态检查固件的版本,确认固件的升级版本已经成功地安装了。 9 使用 第 99 页 “ 手工更新病毒防护定义和攻击定义” 中的操作更新病毒防护定义 和攻击定义。 。 使用 CLI 升级固件 必须有一个可以从 FortiGate 连接到的 TFTP 服务器才能按照下述步骤升级。 注意:安装固件将使用您所安装的固件中包含的病毒防护定义和攻击定义替换您当前的病毒防护 定义和攻击定义。当您安装一个新的固件时,使用 第 99 页 “ 手工更新病毒防护定义和攻击 定义” 中的步骤确保病毒防护定义和攻击定义是最新的。您也可以使用 CLI 命令 execute
修改 FortiGate 固件 系统状态 9 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、 病毒和攻击定义的版本,合同有效期和最新更新信息。 get system objver 恢复到一个旧的固件版本 按照如下操作可以将您的 FortiGate 设备恢复到一个旧的固件版本。 使用基于 Web 的管理程序恢复到一个旧版本的固件 以下操作将您的 FortiGate 设备恢复到它的出厂时的默认配置状态,并删除 NIDS 用户定义的特征,网页内容列表,电子邮件过滤列表和您对替换信息所做的修改。 您可以在进行这一操作之前先进行: ·备份 FortiGate 设备的配置,使用 第 88 页 “ 备份系统设备” 中的步骤。 ·备份 NIDS 用户定义的特征,请见 FortiGate NIDS 指南。 ·备份网页内容和电子邮件过滤列表,请见 FortiGate 内容保护指南。 如果您要恢复到一个旧版本的 FortiOS (例如,从 FortiOS v2.50 恢复到 v2.
系统状态 修改 FortiGate 固件 您可以在进行这一操作之前先进行: ·使用命令 execute backup config 备份 FortiGate 设备的配置。 ·使用命令 execute backup nidsuserdefsig 备份 NIDS 用户定义的特征。 ·备份网页内容和电子邮件过滤列表,请见 FortiGate 内容保护指南。 如果您要恢复到一个旧版本的 FortiOS (例如,从 FortiOS v2.50 恢复到 v2.
修改 FortiGate 固件 系统状态 10 使用 第 99 页 “ 手工更新病毒防护定义和攻击定义” 中描述的步骤更新病毒防护 定义和攻击定义,或从 CLI 输入 execute updatecenter updatenow 11 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、 病毒和攻击定义的版本,合同有效期和最新更新信息。 get system objver 使用 CLI 重新启动系统安装固件 这一方法可以安装给定的固件映像并把 FortiGate 恢复到默认设置。您可以使用这 一方法把固件升级到一个新版本,或者恢复一个固件的旧版本,或者重新安装当前版 本的固件。 注意:在不同的版本的 FortiGate BIOS 中这一操作有一些细微的不同。这些不同在受到影响的 操作步骤中有相应的说明。您使用串行通讯线缆连接到 FortiGate 串行通讯接口访问 CLI 的时 候,您的 FortiGate 设备会在重新启动过程中显示所运行的 BIOS 版本。 要执行这一操作您需要: ·使用一条串行通讯线缆连接到 FortiGate 串行通讯接口访问 CLI。 ·安装一个
系统状态 修改 FortiGate 固件 6 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: ·运行 v2.x 版 BIOS 的 FortiGate 设备 Press Any Key To Download Boot Image. ... ·运行 v3.x 版 BIOS 的 FortiGate 设备 Press any key to enter configuration menu..... ...... 7 立刻按任意键中断系统启动过程。 I 注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新 启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。 如果您成功地中断了启动过程,将显示下面的消息之一: ·运行 v2.x 版 BIOS 的 FortiGate 设备 Enter TFTP Server Address [192.168.1.168]: 转到步骤 9。 ·运行 v3.
修改 FortiGate 固件 系统状态 11 输入固件文件的名称然后回车。 TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息: ·运行 v2.x 版 BIOS 的 FortiGate 设备 Do You Want To Save The Image? [Y/n] 输入 Y。 ·运行 v3.
系统状态 修改 FortiGate 固件 4 确认 FortiGate 的内部接口和 TFTP 服务器连接到内部网络上。 确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运行 TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168: execute ping 192.168.1.168 5 输入以下命令重新启动 FortiGate: execute reboot 6 在 FortiGate 重新启动过程中,按任意键中断系统启动过程。 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: ·运行 v2.x 版 BIOS 的 FortiGate 设备 Press Any Key To Download Boot Image. ... ·运行 v3.x 版 BIOS 的 FortiGate 设备 Press any key to enter configuration menu..... ......
修改 FortiGate 固件 系统状态 11 输入固件文件的名称然后回车。 输入固件文件的名称然后回车。 TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息: ·运行 v2.x 版 BIOS 的 FortiGate 设备 Do You Want To Save The Image? [Y/n] 输入 N。 ·运行 v3.x 版 BIOS 的 FortiGate 设备 Save as Default firmware/Run image without saving:[D/R] 输入 R。 FortiGate 固件映像将被安装到系统内存,然后 FortiGate 开始使用新的固件映像 并保持当前的配置。 12 您可以使用任何管理员帐号登录到 CLI 或者基于 Web 的管理程序。 13 要确认新版本的固件已经加载了,可以从 CLI 输入: get system status 您可以根据需要测试新版本的固件。 安装和使用一个备份了的固件映像 如果您的 FortiGate 设备运行的 BIOS 是 v3.
系统状态 修改 FortiGate 固件 5 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: Press any key to enter configuration menu..... ...... 6 立刻按任意键中断系统启动过程。 I 注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新 启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。 如果您成功地中断了启动过程,将显示下面的消息之一: [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot with default firmware.
修改 FortiGate 固件 系统状态 2 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: Press any key to enter configuration menu..... ...... 3 立刻按任意键中断系统启动过程。 I 注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新 启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。 如果您成功地中断了启动过程,将显示下面的消息之一: [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot with default firmware.
系统状态 手动更新病毒防护定义库 如果您成功地中断了启动过程,将显示下面的消息之一: [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot with default firmware. [H]: Display this list of options.
显示 FortiGate 的序列号 系统状态 5 单击 确定 将攻击定义库文件上载到 FortiGate。 FortiGate 将更新新的攻击定义库,整个过程将持续约 1 分钟。 6 进入 系统 > 状态 查看攻击定义库的信息,确认它已经被更新了。 显示 FortiGate 的序列号 1 进入 系统 > 状态。.
系统状态 将系统设置恢复到出厂设置 2 选择 系统设置恢复 。 3 输入系统设置文件的名称和路径,或者单击 浏览 然后在浏览器中定位文件。 4 单击 确定 将系统设置文件恢复到 FortiGate 上。 FortiGate 将上载系统设置文件并重新启动,调入新的系统设置。 5 重新连接到基于 Web 的管理程序并查看您的系统设置,确认上载的系统设置已经生效 了。 将系统设置恢复到出厂设置 按照以下步骤可以将系统设置恢复到出厂时的设置值。这一操作不会改变固件版 本、病毒防护定义库或是攻击定义库。 ! 警告:这一操作将删除您在 FortiGate 配置中所做的任何改动,并将系统恢复到原始状态,包括 复位网络接口的地址。 1 进入 系统 > 状态。 2 选择 恢复出厂设置 。 3 单击 确定 以确认操作。 FortiGate 将使用第一次加电时的配置重新启动。 4 重新连接到基于 Web 的管理程序并查看系统配置,确认它已经恢复到了默认设置。 要恢复您的系统设置,请参阅 第 88 页 “ 恢复系统设置” 。 转换到透明模式 使用如下操作可以将 FortiGate 设备从
转换到 NAT/ 路由模式 系统状态 转换到 NAT/ 路由模式 使用如下操作可以将 FortiGate 设备从透明模式转换到 NAT/ 路由模式。当 FortiGate 设备改到 NAT/ 路由模式式之后,它的配置将被设置为 NAT/ 路由模式的默认 配置。 1 进入 系统 > 状态。 2 选择 转换到 NAT/ 路由模式 。 3 在 操作模式列表 中选择 NAT/ 路由 选项。 4 单击 确定 。 FortiGate 现在已经转换到了 NAT/ 路由模式。 5 用以下方法重新连接到基于 Web 的管理程序:将浏览器连接到为管理访问配置的网络 接口,使用 https:// 后边跟上该接口的 IP 地址。 在 NAT/ 路由模式的默认情况下,您可以连接到内部接口或者 DMZ 接口。默认的 NAT/ 路由模式管理所用的 IP 地址是 192.168.1.
系统状态 系统状态 您可以设置一个自动更新时间间隔每过一段时间就更新当前的显示。这个时间间隔 可以从 5 秒到 30 秒。您还可以手工刷新显示的内容。 ·查看 CPU 和内存状态 ·查看会话和网络状态 ·查看病毒和入侵状态 查看 CPU 和内存状态 当前 CPU 和内存状态指示了 FortiGate 设备接近于满负荷运行的程度。 基于 Web 的管理程序只显示核心进程对 CPU 和内存的使用率。 被管理进程所使用的 CPU 和内存 (例如,用于到基于 Web 的管理程序的 HTTPS 的连接)没有被统计进去。 如果 CPU 和内存使用率很低,这个 FortiGate 设备还有能力处理比它现在所运行的 更多的网络通讯。如果 CPU 和内存使用率很高,FortiGate 设备已经接近于满负荷工 作。此时再增加更多的任务可能会导致系统对通讯的处理出现延迟。 对 CPU 和内存要求较多的进程,例如 IPSec VPN 通讯的加密和解密、病毒扫描以及 包含了小数据包的网络通讯的高级处理将增加 CPU 和内存的使用率。 1 进入 系统 > 状态 > 监视器。 将显示 CPU 和内存的状态。显示的内容包括图形显示的
系统状态 系统状态 查看会话和网络状态 使用会话和网络状态显示可以跟踪 FortiGate 设备正在处理的网络会话并查看可用 网络带宽上的会话数量。另外通过对比 CPU、内存使用率和网络、会话状态,您可以知 道系统资源可以承担多少网络通讯。 会话显示了当前 FortiGate 设备的全部接口所处理的会话总数。会话还显示了 FortiGate 设备当前处理的会话数占它设计的处理能力的百分比。 网络使用显示了通过 FortiGate 全部网络接口的网络带宽的总量。网络使用还显示 了当前所使用的网络带宽占 FortiGate 设备能处理的最大网络带宽的百分比。 1 进入 系统 > 状态 > 监视器。 2 单击会话和网络。 显示会话和网络状态。显示的内容包括图形化显示的当前会话数和当前网络使用量, 以及过去数分钟内的会话数曲线和网络使用量曲线。曲线图的比例显示在图的左上角。 3 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率。 频繁地刷新将消耗系统资源并增加网络通讯。然而,这只发生在您使用 基于 Web 的管 理程序查看显示的时候。 4 单击刷新可以手工更新当前显示
系统状态 会话列表 2 单击病毒和入侵。 显示病毒和入侵状态。显示的内容包括以条形图方式显示的每小时检测到的病毒和入 侵数量,以及过去 20 小时内的病毒和入侵数量统计曲线。 3 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率。 频繁地刷新将消耗系统资源并增加网络通讯。然而,这只发生在您使用 基于 Web 的管 理程序查看显示的时候。 4 单击刷新可以手工更新当前显示的信息。 图 3: 病毒和入侵状态监视器 会话列表 会话列表显示了关于 FortiGate 设备当前处理的通讯会话的信息。您可以使用会话 列表查看当前会话。FortiGate 有读写权限的管理员以及 FortiGate 的 admin 管理员可 以终止活动的通讯会话。 查看会话列表 1 进入系统 > 状态 > 会话。 基于 Web 的管理程序在 FortiGate 设备会话列表中显示了会话的总数并列出前 16 个会 话。 2 要在列表中翻页浏览会话,单击上一页 3 单击更新 4 如果您使用具有读写权限的管理员用户或者 admin 用户登录,您可以单击清除 停止任何活动的会话。 F
会话列表 系统状态 会话列表中的每一行显示了以下信息: 协议 源 IP 连接的源 IP 地址。 源端口 连接的源端口。 目的 IP 连接的目的 IP 地址。 目的端口 连接的目的端口。 到期时间 在连接到期前剩余的时间,以秒为单位。 清除 中断一个处于活动状态的通讯会话。 图 4: 94 连接的服务类型或者协议类型。例如 TCP、UDP、ICMP 会话列表举例 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 本节描述了以下内容: ·连接到 Forti 响应发布网络 ·配置周期性更新 ·配置更新日志 ·添加后备服务器 ·手工更新病毒防护定义和攻击定义 ·配置推送更新 ·通过 NAT 设备的推送更新 ·通过代理服务器定期更新 连接到 Forti 响应发布网络 FortiGate 设备必须能够连接到 Forti 响应发布网络 (FDN)才能接受病毒防护和 攻击定义更新。FortiGate 设备使用 HTTPS 协议和 8890 端口连接 FDN。ForitGate 外部 接口必须能够使用 8890 端口连接到更新中心。要配置定期更新,请见 第 97 页 “ 配置周期性更新” 也可以将 FortiGate 配置为允许推送更新。推送更新由 FDN 使用 UDP 端口 9443 和 HTTPS 协议提供给 FortiGate 设备。要接收推送更新,FDN 必须有一条使用 UDP 端口 9443 连接到 ForitGate 外部接口的路径。要配置推送更新,请见 第 99 页 “ 配置 推送更新” FDN 是 Forti 响应分布服务器 (FDS)组成的一个世界范围的网
病毒和攻击定义升级及注册 病毒防护定义和攻击定义更新 表 1: 连接到 FDN 连接 状态 说明 推送更新 可用 FDN 可以连接到 FortiGate 设备以发送推送更新。您可 以将 FortiGate 设备配置为接收推送更新。请见 第 99 页 “ 配置推送更新” 。 不可用 FDN 不能连接到 FortiGate 设备发送推送更新。如果您 没有注册您的 FortiGate 设备 (请见 第 105 页 “ 注册 FortiGate 设备” ),推送更新可能无法使用。如 果在 FortiGate 设备和 FDN 之间有一个 NAT 设备(请见 第 100 页 “ 通过 NAT 设备的推送更新” ),或者您 的 FortiGate 设备使用代理服务器 (请见 第 104 页 “ 通过代理服务器定期更新” )连接到互联网,推送 更新也可能无法使用。 配置周期性更新 您可以将 FortiGate 设备配置为根据您指定的时间表,每小时、每天、每周检查并 下载病毒防护定义和攻击定义的更新。 1 进入 系统 > 更新。 2 单击周期性更新。 3 选择检查和下载更新的时间表: 4 For
病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 图 1: 配置病毒防护和攻击定义自动更新 配置更新日志 使用如下步骤配置 FortiGate 日记记录可以在 FortiGate 设备更新病毒防护和攻击 定义的时候记录日志消息。更新日志消息记录在 FortiGate 事件日志中。 1 进入 日志和报告 > 日志设置。 2 在 FortiGate 设备要记录的日志类型上单击配置策略。 请见 第 241 页 “ 记录日志” 。 3 单击更新,FortiGate 设备将在更新病毒防护和攻击定义时记录日志消息。 4 选择以下更新日志选项: 5 更新失败 FortiGate 设备在试图更新失败的时候记录一条日志消息。 更新成功 FortiGate 设备在成功地更新之后记录一条日志消息。 FDN 错误 FortiGate 设备在无法连接到 FDN 或者它从 FDN 接收到一条错误信息时记录 一条日志消息。 单击确定。 添加后备服务器 如果您不能连接到 FDN 或者您所在的机构使用他们自己的 Forti 响应服务器提供病 毒防护和攻击定义的更新,您可以按照如下步骤添加一个 Fo
病毒和攻击定义升级及注册 3 病毒防护定义和攻击定义更新 单击应用。 FortiGate 设备将测试到这个后备服务器的连接。 如果 Forti 响应发布网络的修改是正确的,FortiGate 设备应当可以连接到后备服务 器。 如果 Forti 响应发布网络的设置仍旧不可用,FortiGate 设备就无法连接到后备服务 器。检查 FortiGate 的配置和网络配置,确保您可以从 FortiGate 设备连接到后备服 务器。 手工更新病毒防护定义和攻击定义 您可以在任何时候按照如下步骤更新病毒定义和攻击定义。要进行如下操作,您的 FortiGate 设备必须可以连接到 FDN 或者一个 Forti 响应代理服务器。 1 进入 系统 > 更新。 2 单击现在更新以更新病毒防护和攻击定义。 如果到 FDN 或者后备服务器的连接成功,基于 Web 的管理程序将显示类似下面的消 息: 您的更新请求已经发出。您的数据库将在几分钟内被更新。请检查您的更新页面以 获取当前的更新工作的状态。 数分钟后,如果有更新可用,系统更新页面将显示出病毒防护定义、病毒防护引 擎、或攻击定义的新版本的信息。系统状态页还将显示病
病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 不建议将启用推送更新作为唯一的获取更新的方式。FortiGate 设备可能无法收到 推送更新。同样,当 FortiGate 设备接收到一个更新通报的的时候,它只尝试一次连 接到 FDN 和下载更新。 通过 NAT 设备的推送更新 如果 FDN 必须通过一个 NAT 设备才能连接到 FortiGate 设备,您必须在 NAT 设备上 配置端口转发并在推送更新配置中添加端口转发信息。使用端口转发,FDN 使用 9443 或者您指定的备份端口连接到 FortiGate 设备。 注意:如果 NAT 设备的外部接口 IP 地址的动态的 (例如,使用 PPPoE 或 DHCP 设置的接口),您 将无法通过 NAT 设备接收推送更新。 例子:通过一个 NAT 设备的推送更新 这个例子描述了如何配置一个 FortiGate NAT 设备以向安装在它的内部网络中的一 个 FortiGate 设备转发推送更新。为了让内部网络中的 FortiGate 设备能够接收推送 更新,这个 FortiGate NAT 设备必须配置一个端口转发虚拟 IP。这个虚拟 IP 将这个 F
病毒和攻击定义升级及注册 病毒防护定义和攻击定义更新 图 2: 网络拓扑结构举例:通过一个 NAT 设备的推送更新 一般配置步骤 使用以下步骤配置 FortiGate NAT 设备和内部网络中的 FortiGate 设备,使得内部 网络中的 FortiGate 设备可以接收推送更新: 1 向 FortiGate NAT 设备添加一个端口转发虚拟 IP。 2 向包含了端口转发虚拟 IP 的 FortiGate NAT 设备添加一个防火墙策略。 3 为内部网络中的 FortiGate 设备配置一个代理推送 IP 地址和端口。 注意:在完成如下操作之前,您需要注册您的内部网络中的 FortiGate 设备,这样它才能接收推 送更新。 在 FortiGate NAT 设备上添加端口转发虚拟 IP 使用以下步骤配置 FortiGate NAT 设备,使用端口转发将来自 FDN 的推送更新连接 转发到内部网络的一个 FortiGate 设备上。 FortiGate-500 安装和配置指南 101
病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 按照如下步骤配置 FortiGate NAT 设备: 1 进入 防火墙 > 虚拟 IP。 2 单击新建。 3 为虚拟 IP 地址添加一个名称。 4 选择 FDN 连接到的外部接口。 对于例子中的拓扑结构,选择外部接口。 5 选择端口转发。 6 输入 FDN 连接到的外部 IP 地址。 对于例子中的拓扑结构,输入 64.230.123.149。 7 输入 FDN 连接到的外部服务端口。 对于例子中的拓扑结构,输入 45001。 8 将映射到的 IP 地址设置为内部网络中的 FortiGate 设备的 IP 地址。 如果这个 FortiGate 设备运行于 NAT/ 路由模式,输入外部接口的 IP 地址。 如果这个 FortiGate 设备运行于透明模式,输入管理 IP 地址。 对于例子中的拓扑结构,输入 192.168.1.
病毒和攻击定义升级及注册 病毒防护定义和攻击定义更新 按照如下步骤配置 FortiGate NAT 设备: 1 添加一个新的外部到内部的防火墙策略。 2 使用如下设置配置策略: 源地址 3 外部 _ 全部 目的地址 前面步骤中添加的虚拟 IP 地址。 任务计划 总是。 服务 任意。 动作 接受。 NAT 选中。 单击确定。 使用一个代理 IP 地址和端口配置 FortiGate 设备 按照如下步骤配置内部网络中的 FortiGate 设备 : 1 进入 系统 > 更新。 2 选择允许推送更新。 3 选择使用代理推送更新。 4 将 IP 地址设置为添加到虚拟 IP 的外部 IP 地址。 对于例子中的拓扑结构,输入 64.230.123.
注册 FortiGate 设备 病毒和攻击定义升级及注册 通过代理服务器定期更新 如果您的 FortiGate 设备必须通过一个代理服务器才能连接到互联网,您可以使用 set system autoupdate tunneling 命令使得 FortiGate 设备 可以使用这个代理 服务器连接到 (或者通过通道)FDN。您可以使用这个命令来指定代理服务器的 IP 地 址和端口号。如果代理服务器要求认证的话,您最好为自动更新配置添加代理服务器 所须的用户名和密码。启用通过代理服务器的更新的完整的语法是: set system autouopdate tunneling enable [address < 代理服务器 _IP> [port <代理服务器端口> [username <用户名_字符串> [password <密码_字符 串 >]]]] 例如,如果代理服务器的 IP 地址是 64.23.6.89,端口是 8080,您需要输入如下命 令: set system autouopdate tunneling enable address 64.23.6.
病毒和攻击定义升级及注册 注册 FortiGate 设备 很快您将可以获得如下服务: ·访问 Fortinet 用户文档 ·访问 Fortinet 知识库 ·下载固件升级 所有注册信息存储在 Fortinet 客户支持数据库中。这些信息用来确保您所注册的 FortiGate 设备能够被更新。所有信息都是严格保密的。Fortinet 不会以任何理由同 第三方分享这些信息。 本节描述了如下内容: ·FortiCare 服务合同 ·注册 FortiGate 设备 FortiCare 服务合同 新的 FortiGate 设备的所有者有资格享受 90 天的技术支持服务。当 90 天的技术支 持服务到期后,如果您要继续享受技术支持服务,,您必须从 Fortinet 授权的分销商 处购买 FortiCare 支持合同。您可以根据您所需要的支持购买不同级别的服务。为了 最大限度地保护您的网络,Fortinet 强烈建议所有的客户购买包含病毒防护和攻击定 义更新再内的服务合同。请联系您的 Fortinet 分销商以获得关于包装和价格的详细信 息。 您必须注册您的 FortiGate 设备并在注册信息中添加 FortiCa
注册 FortiGate 设备 病毒和攻击定义升级及注册 1 进入 系统 > 更新 > 支持。 2 在产品注册单中输入您的联系信息。 图 5: 3 提供一个安全提示问题和这个问题的答案。 4 选择要注册的产品的型号。 5 输入 FortiGate 设备的序列号。 6 如果您为这个 FortiGate 设备购买了 FortiCare 支持合同,请输入支持合同号。 图 6: 7 106 注册 FortiGate 设备 (联系信息和安全提示问题) 注册 FortiGate 设备 (产品信息) 单击完成。 如果您还没有输入 FortiCare 支持合同号 (SCN),您可以回到上一个页面并输入这个 号码。如果您没有购买 FortiCare 支持合同您可以选择继续以完成注册过程。 如果您输入了一个支持合同号,将出现一个实时确认提示以验证 SCN 信息是否与 FortiGate 设备匹配。如果信息不匹配您可以尝试再次输入信息。 包含了可用于您注册的 FortiGate 设备的 Fortinet 技术支持服务的详细信息将显示在 一个网页中。 您的 Fortinet 支持用户名和密码将被发
病毒和攻击定义升级及注册 更新注册信息 更新注册信息 您可以在任何时间使用您的 Fortinet 支持用户名和密码登录到 Fortinet 支持网站 以查看和更新您的 Fortinet 支持信息。 本节描述了以下内容: ·找回丢失的 Fortinet 支持密码 ·查看注册的 FortiGate 设备列表 ·注册一个新的 FortiGate 设备 ·添加或修改 FortiCare 支持合同号 ·修改您的 Fortinet 支持密码 ·修改您的联系信息或安全提示问题 ·下载病毒防护和攻击定义更新 找回丢失的 Fortinet 支持密码 如果您在注册到 Fortinet 支持网站时提供了一个安全提示问题和答案,您可以按 照如下步骤接收一个临时密码。如果您没有提供安全提示问题和答案,请联系 Fortinet 技术支持。 1 进入 系统 > 更新 > 支持。 2 选择支持登录。 3 输入您的 Fortinet 支持用户名。 4 单击 忘记了您的密码? 5 输入您的电子邮件地址并单击提交。 您在注册时输入的安全提示问题将会显示。 6 输入您的安全提示问题的答案并单击获取密码。 如果您输入的答案
更新注册信息 病毒和攻击定义升级及注册 图 7: 注册的 FortiGate 设备列表举例 注册一个新的 FortiGate 设备 1 进入 系统 > 更新 > 支持单击支持登录。 2 输入您的 Fortinet 支持用户名和密码。 3 单击登录。 4 单击添加注册。 5 选择您要注册的产品的型号。 6 输入您要注册的 FortiGate 设备的序列号。 7 如果您为这个 FortiGate 设备购买了 FortiCare 支持,请输入支持合同号。 8 单击完成。 将显示您已经注册了的 FortiGate 产品列表。这个列表现在包括您刚注册的 FortiGate 设备。 添加或修改 FortiCare 支持合同号 108 1 进入 系统 > 更新 > 支持 单击支持登录。 2 输入您的 Fortinet 支持用户名和密码。 3 单击登录。 4 单击添加 / 修改合同号。 5 选择您要添加或修改 FortiCare 合同号的 FortiGate 设备的序列号。 6 添加一个新的支持合同号。 7 单击完成。 将显示您已经注册的 FortiGate
病毒和攻击定义升级及注册 更新注册信息 修改您的 Fortinet 支持密码 1 进入 系统 > 更新 > 支持 并单击支持登录。 2 输入您的 Fortinet 支持用户名和密码。 3 单击登录。 4 单击我的配置文件。 5 单击修改密码。 6 输入您当前的密码。 7 输入并确认一个新的密码。 一个确认您的密码已修改的电子邮件将被发送到您的电子邮件信箱中。下次您登录到 Fortinet 技术支持网站时需要使用您当前的用户名和新的密码。 修改您的联系信息或安全提示问题 1 进入 系统 > 更新 > 支持 并单击支持登录。 2 输入您的 Fortinet 支持用户名和密码。 3 单击登录。 4 单击我的配置文件。 5 单击修改配置文件。 6 根据需要修改您的联系信息。 7 根据需要修改您的安全提示问题。 8 单击更新配置文件。 您所做的修改将被保存到 Fortinet 技术支持数据库中。如果您修改了您的联系信息, 您所做的改动将被显示。 下载病毒防护和攻击定义更新 按照如下步骤手工下载病毒防护和攻击定义更新。下述步骤还包括了如何在您的 FortiG
RMA 之后注册 FortiGate 设备 病毒和攻击定义升级及注册 图 8: 下载病毒和攻击定义更新 关于如何安装下载的文件的详细信息,请见 第 87 页 “ 手动更新病毒防护定 义库” 和 第 87 页 “ 手动更新攻击定义库” 。 RMA 之后注册 FortiGate 设备 返修设备授权 (RMA)过程发生在用户注册的 FortiGate 设备出现硬件故障无法正 常工作的时候。如果这一情况发生在 FortiGate 设备的硬件维修期内,您可以将出现 故障的 FortiGate 设备送回到您的分销商处。 RMA 是有记录的,而您将收到一个代替的设备。Fortinet 会将 RMA 信息添加到 Fortinet 支持数据库中。当您受到代替的设备之后,您可以按照如下步骤更新您的产 品注册信息。 1 进入 系统 > 更新 > 支持 并单击支持登录。 2 输入您的 Fortinet 支持用户名和密码以登录到 Fortinet 支持。 3 单击添加注册。 4 单击 从 RMA 用新设备替换现有设备的链接。 5 如果 RMA 已经被输入了 Fortinet 的支持数据库,您可以选择替换现有设
FortiGate-500 安装和配置指南 2.
配置区域 网络配置 4 您可以选择阻塞区域内部通讯功能以阻塞在同一区域中的两个网络接口之间的通讯。 5 单击确定以添加区域。 这个区域现在将显示在防火墙策略网格中。 在区域中添加接口 您可以在一个区域中添加一个或多个网络接口。如果您为接口添加了防火墙地址, 在将接口添加到区域之前您必须删除这些防火墙地址。请见 第 154 页 “ 删除地 址” 。当您将一个网络接口添加到区域的时候,您不能为这个接口添加防火墙地址, 这个接口也不会出现在策略网格中。 1 进入 系统 > 网络 > 接口。 2 对于要添加到区域的接口,单击修改 3 使用区域列表选择您要将这个接口添加到的区域。 4 单击确定以保存您所做的修改。 5 重复以上步骤在区域中添加更多的接口。 。 在区域中添加 VLAN 子接口 您可以在一个区域中添加一个或多个 VLAN 子网络接口。如果您为 VLAN 子接口添加 了防火墙地址,在将 VLAN 子接口添加到区域之前您必须删除这些防火墙地址。请见 第 154 页 “ 删除地址” 。当您将一个 VLAN 子网络接口添加到区域的时候,您不能 为这个 VLAN 子接口添加防火墙地址
网络配置 配置网络接口 配置网络接口 按照以下步骤配置 FortiGate 的网络接口: ·查看接口列表 ·启动一个接口 ·修改一个接口的静态 IP 地址 ·为接口添加第二个 IP 地址 ·为接口添加 ping 服务器 ·控制到接口的管理访问 ·为接口的连接配置通讯日志 ·修改外部网络接口的 MTU 大小以提高网络性能 ·配置管理接口 (透明模式) 查看接口列表 按照如下步骤查看接口列表。 1 进入 系统 > 接口。 显示出接口列表。接口列表显示了所有的 FortiGate 接口和 VLAN 子接口的以下状态信 息: ·接口的 IP 地址 ·接口的网络掩码 ·这个接口所添加到的区域 ·这个接口的管理访问配置 ·这个接口的连接状态 (VLAN 子网络接口没有连接状态 ) 如果连接状态是一个绿色的箭头,表示接口在工作中且可以接收网络通讯。如果连 接状态是一个红色箭头,表示此接口已经关闭不能接收通讯。要启动一个已经关闭 了的接口,请见 “启动一个接口”。 启动一个接口 如果一个接口的接口连接状态是关闭,您可以使用以下步骤启动这个接口。 1 进入 系统 > 接口。 显示接口列表。 2 单击您要启动的接
配置网络接口 网络配置 4 单击确定以保存您所做的修改。 如果您修改了你用来连接到 FortiGate 设备进行管理操作的接口的 IP 地址,您必 须使用新的 IP 地址重新连接到基于 Web 的管理程序。 为接口添加第二个 IP 地址 您可以使用 CLI 为任何 FortiGate 接口添加第二个 IP 地址。第二个 IP 地址不能 和主 IP 地址相同,但是它们可以在同一子网内。 用以下 CLI 命令添加第二个 IP 地址: set system interface internal config secip < 第二 ip> < 网络掩码 > 您还可以为第二个 IP 地址配置管理访问和添加 PING 服务器。 set system interface < 接口 _ 字符串 > config secallowaccess ping https ssh snmp http telnet set system interface < 接口 _ 字符串 > config secgwdetect enable 为接口添加 ping 服务器 如果您希望 FortiGate 设备确认连接到一个网络接口的网络
网络配置 配置网络接口 HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序。 PING 如果您希望网络接口对 PING 作出响应,选中此项。用于验证您的安装和测试。 HTTP 允许 HTTP 连接通过此接口连接到 基于 Web 的管理程序。 HTTP 连接是不安全的, 可能被第三方所截获。 SSH 允许安全 SSH 连接通过此接口连接到 CLI。 SNMP 允许远程 SNMP 管理者连接到这个接口请求 SNMP 信息。见 第 137 页 “ 配置 SNMP” 。 TELNET 允许通过这个接口使用 CLI 的 Telnet 连接。Telnet 连接是不安全的,可能被第三 方所截获。 配置对一个连接到互联网的接口的管理访问方式将允许从互联网中的任何地方对这个 FortiGate 设备进行远程管理。允许来自互联网的对您的 FortiGate 设备的远程管理可 能会危及您的设备的安全性。您应当禁止对连接到互联网的网络接口的管理访问的许 可,除非这是必须的。要提高允许从互联网访问的 FortiGate 设备的安全性,需要为 有管理权限的用户设置安全的密码,定期
配置虚拟局域网 (VLAN) 网络配置 4 设置 MTU 尺寸 。 可以将最大的数据包尺寸设定在 68 字节到 1500 字节之间。默认的 MTU 尺寸是 1500 字 节。您可以试着减小 MTU 的尺寸以找到网络性能最高的时对应的 MTU 尺寸。 配置管理接口 (透明模式) 在透明模式下,您可以配置 FortiGate 用于管理访问的管理接口。 1 进入 系统 > 网络 > 管理。 2 根据需要修改管理用的 IP 地址 和 子网掩码 。 设置的 IP 地址和子网掩码必须是您用来管理 FortiGate 的网络中的有效地址和掩码。 3 如果 FortiGate 必须通过一个默认网关才能连接到管理员计算机,则需要添加一个默 认网关。 4 选择每个网络接口的 管理访问方式 。 5 HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序。 PING 如果您希望网络接口对 PING 作出响应,选中此项。用于验证您的安装和测试。 SSH 允许安全 SSH 连接通过此接口连接到 CLI。 SNMP 允许远程 SNMP 管理者连接到这个接口请求 SNMP 信
网络配置 配置虚拟局域网 (VLAN) 在标准的 VLAN 配置里,一组物理网络可以连接到一个服从 IEEE 802.1Q 标准的路 由器。这个路由器被配置为可以在它从网络上接收到的数据包上添加 VLAN ID,可以把 这些数据包路由到一个连接到外部的 FortiGate 接口的网络接口上。 FortiGate 可以配置包含了 VLAN ID 的子网络接口以匹配路由器所添加的 VLAN ID。当 FortiGate 接收带有 VLAN ID 的数据包时,它会把这些数据包重定向到正确的 子网络接口。 图 9: VLAN 网络典型配置 添加 VLAN 子网络接口 每个 VLAN 子网络接口的 VLAN ID 必须和服从 IEEE 802.
配置虚拟局域网 (VLAN) 网络配置 您可以将 VLAN 子网络接口添加到物理接口上。您可以在每个 FortiGate 设备上添 加超过 1000 个 VLAN 子接口。 VLAN ID 的规则 添加到同一物理接口的两个 VLAN 子接口不能有相同的 VLAN ID。然而,您可以在 不同的物理接口上添加具有相同 VLAN ID 的两个或多个 VLAN 子接口。在有相同的 VLAN ID 的 VLAN 接口之间不存在内部通讯或连接。它们之间的关系与系统两个主接口的关 系一样。 VLAN IP 地址的规则 通常情况下,全部 FortiGate 接口的 IP 地址不能重叠。全部接口的 IP 地址必须在 不同的子网内。然而,有些 VLAN 子接口的重叠是允许的。重叠的 VLAN 子接口 IP 地址 的规则是: ·两个或者多个 VLAN 子网络接口可以具有相同的 IP 地址,只要它们有不同的 LVAN ID。 ·两个或多个 VLAN 子网络接口的 IP 地址可以在同一子网内,只要它们使用不同的 VLAN ID。 ·一个 VLAN 子网络接口的 IP 地址必须不同与它所添加到的网络接口的 IP 地址。 ·一个
网络配置 配置路由 9 SSH 允许安全 SSH 连接通过此接口连接到 CLI。 SNMP 允许远程 SNMP 管理者连接到这个接口请求 SNMP 信息。见 第 137 页 “ 配置 SNMP” 。 TELNET 允许通过这个接口使用 CLI 的 Telnet 连接。Telnet 连接是不安全的,可能被第三 方所截获。 图 10: 添加 VLAN 子接口 单击 确定以保存您所做的修改。.
配置路由 网络配置 添加默认路由 以下操作将为外部网络接口向外发出的数据设定一个默认的路由。 1 进入 系统 > 网络 > 路由 表。 2 单击 新建 。 3 将 源 IP 地址 和 子网掩码 设置为 0.0.0.0。 4 将 目的 IP 地址 和 子网掩码 设置为 0.0.0.
网络配置 配置路由 注意:将路由表中的路由按照从特殊到一般的顺序排列。有关路由表中的路由的排列顺序,请参 阅 “配置路由表”。 添加路由 (透明模式) 以下操作用于 FortiGate 在透明模式运行时添加路由: 1 进入 系统 > 网络 > 路由。 2 单击 新建 以添加新的路由。 3 输入这个路由的 目的 IP 地址 和 子网掩码 。 4 输入这个路由的 网关的 IP 地址。 5 单击 确定 以保存新的路由。 6 如果需要的话重复以上操作添加更多路由。 配置路由表 路由表显示了每个路由的目的地址、网络掩码和添加到路由的网关和设备。路由表 还显示了网关的连接状态。 一个绿色的对勾表示 FortiGate 使用 ping 服务器和网关失 效检测判断可以连接到这个网关,一个红色的叉子意味着 FortiGate 无法建立到这个 网关的连接。兰色问号的意思是这个连接的状态未知。关于更进一步的信息,请见 第 114 页 “ 为接口添加 ping 服务器” 。 FortiGate 选用路由的方式是从上到下地扫描路由表寻找匹配的路由,直到它找到 第一个匹配的路由为止。您必须把路由在路由表中按
在您的内部网络中提供 DHCP 服务 网络配置 策略路由 策略路由拓展了目的路由的功能。您可以使用策略路由根据以下内容路由通讯: ·源地址 ·协议、服务类型或端口范围 ·进入的或源接口 您可以使用策略路由创建一个路由策略数据库 (RPDB),从一组路由规则中为通讯 找出适当的路由。要为通讯选择一个路由,FortiGate 从头搜索 RPDB 寻找与通讯匹配 的路由策略。搜索到的第一个匹配的策略将被用于设置通讯的路由。路由支持网络跳 跃网关和用于此通讯的 FortiGate 接口。 数据包在匹配目的策略之前先匹配策略路由。如果一个数据包不能匹配策略路由, 它将使用目的路由进行路由。 添加到策略路由的网关必须也添加到一条目的路由。当 FortiGate 设备使用 RPDB 中的一条路由匹配数据包的时候,FortiGate 设备在目的路由表中寻找添加到策略路由 的网关。如果找到了一条匹配的内容,FortiGate 将使用匹配的目的路由记录路由这个 数据包。如果没有找到匹配的内容,FortiGate 将使用常规路由条目进行路由。 在寻找带有匹配的网关的路由的过程中,FortiGate 设备从目的路由表顶部开始搜
网络配置 在您的内部网络中提供 DHCP 服务 表 2: 设置 system dhcpserver 命令语法 ( 续 ) 关键词 说明 exclusionrange {< 起点 ip1-终点 ip1> | none} [{< 起点 ip2-终点 ip2>| none}] [{< 起点 ip3-终点 ip3> | none}] [{< 起点 ip4-终点 ip4> | none}] 最多可以输入 4 个 IP 地址排除范围。输入排除范围的起点 IP 地址和终点 IP 地址,这些 IP 地址不能分配给 DHCP 客户端。使 用连词符 “-”分隔同一范围内的 IP 地址。不要使用空格。空 格用来分隔不同的范围。默认路由、排除范围、IP 范围和保留 IP 地址必须和内部接口在同一子网内。 要修改排除范围,您必须重新定义全部的排除范围。要删除全 部排除范围,将第一个排除范围替换为 none。 iprange < 起点 ip-终点 ip> FortiGate 设备用来分配给 DHCP 客户端的 IP 地址的范围的起点 IP 地址和终点 IP 地址。默认路由、排除范围、IP 范围和保留 IP 地址必须和内部接口
在您的内部网络中提供 DHCP 服务 124 网络配置 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
RIP 设置 RIP 配置 RIP 设置 配置 RIP 设置以启用基本的 RIP 功能和度量,以及配置 RIP 计时器。 1 进入 系统 >RIP> 设置。 2 单击启用 RIP 服务器以将 FortiGate 设备配置为一个 RIP 服务器。 3 单击启用广告默认值以使得 FortiGate 设备在 RIP 路由表更新中包含它的默认路由。 4 单击启用自动归纳以自动将子网路由归纳进网络级路由中。 如果自动归纳功能没有启用,FortiGate 将穿过常规网络的边界传输子网络后缀路由。 5 修改以下 RIP 默认设置以调整并优化 RIP 性能。 RIP 默认设置在大多数配置中是有效的。只有当您的 RIP 配置出现问题的时候您才有必 要修改这些设置。 6 7 126 默认度量 对默认度量的修改将应用到带有不兼容的度量的路由上。默认的度量帮助解 决如何分配带有不兼容的度量的路由问题。任何时候当度量无法被转换时, RIP 使用默认的度量提供一个合理的替代度量以使得重新分配工作可以继续进 行。默认度量的默认设置是 2。 输入队列 修改 RIP 输入队列的长度。设置的数值越大,则队列越
RIP 配置 为 FortiGate 接口配置 RIP 图 1: 配置 RIP 设置 为 FortiGate 接口配置 RIP 您可以为每个 FortiGate 接口和 VLAN 子网络接口创建一个单独的配置。这样一来 您就可以为您的 FortiGate 设备的每个接口和 VLAN 子网络接口上所连接的网络定制专 用的 RIP。例如: ·如果您有一个复杂的内部网络,其中包含了使用 RIP2 协议的设备。您可能希望在内 部接口上配置 RIP2 发送和接收功能。 ·如果外部接口是连接到互联网的,您可能不希望在这个接口上启用 RIP 发送功能,使 得内部路由不被暴露到互联网上。然而,您可能希望配置 RIP 接收功能使得 FortiGate 设备可以从您的 ISP 接收路由信息。 ·如果 DMZ 接口连接到一个小型的 DMZ 网络,您可能无须为这个接口配置 RIP。 按如下步骤配置 FortiGate 接口的 RIP 1 进入 系统 >RIP> 接口。 在本页您可以看到每个 FortiGate 接口的 RIP 设置的摘要。 2 对要配置 RIP 设置的接口单击修改 3 配置以下 RIP 设置: Fo
为 FortiGate 接口配置 RIP RIP 配置 RIP1 发送 本接口可以将 RIP1 路由广播发送到此网络上的其他路由器。路由信息是目的 端口为 520 的 UDP 数据包。 RIP1 接收 这个接口可以接收 RIP1 广播。这个接口将在 520 端口监听 RIP1 路由消息。 RIP2 发送 此接口可以向它所连接的网络中的路由器广播 RIP2 路由消息。路由消息是目 的端口为 520 的 UDP 数据包。 RIP2 接收 这个接口可以接收 RIP2 广播。这个接口将在 520 端口监听 RIP2 路由消息。 水平分割 配置水平分割可以防止路由循环。默认情况下,水平分割已经被启用。只有 您确定这一接口所连的网络中不会产生路由循环时才能禁用此选项。 被动 此版本不支持被动模式。 认证 启用这个接口发送的 RIP2 数据包的认证。只有 RIP2 支持认证。如果您将接 口配置为使用 RIP1,不要选择认证功能。 密码 在 RIP2 请求中输入密码。密码最多可以有 16 个字符。 模式 定义 FortiGate RIP2 数据包的认证方式。可以选择明文或 MD5。 无
RIP 配置 添加 RIP 邻居 添加 RIP 邻居 添加 RIP 邻居可以定义用于交换路由信息的邻近的路由器。将邻居添加到非广播网 络中。 当您添加邻居的时候,FortiGate 设备与邻居直接交换信息,而不是依赖于广播路 由。这种 FortiGate 和添加到邻居列表的路由器之间的点对点的路由信息交换更加安 全,并且可以减少网络通讯。在非广播网络中必须添加邻居以交换路由。 当使用组合的 RIP 过滤器时,FortiGate 设备可以配置为与路由器的子网交换路由 和访问一个局域网中的服务器。 添加 RIP 邻居 1 进入 系统 >RIP> 邻居。 2 单击新建以添加 RIP 邻居。 3 添加您希望 FortiGate 与之交换路由信息的邻居路由器的 IP 地址。 4 单击发送 RIP1 以将 RIP1 消息发送到邻居。 5 单击启用发送 RIP2 以将 RIP2 消息发送到邻居。 6 单击确定以将 RIP 邻居添加到列表。 添加 RIP 过滤器 使用 RIP 过滤器可以控制 FortiGate 设备接收的路由信息和 FortiGate 设备发送的 路由信息。您可以创建两种过滤器:
添加 RIP 过滤器 RIP 配置 本节叙述了如下内容: ·添加单一 RIP 过滤器 ·添加一个 RIP 过滤列表 ·添加一个邻居过滤器 ·添加一个路由过滤器 添加单一 RIP 过滤器 添加单一 RIP 过滤器可以过滤单一过滤。您可以对邻居过滤器或路由过滤器应用单 一 RIP 过滤器。您最多可以添加 4 个 RIP 过滤器或 RIP 过滤列表。 如果您希望过滤多条路由,可以使用 RIP 过滤器列表。请见 一个 RIP 过滤列表” 。 1 进入 系统 >RIP> 过滤器。 2 单击新建以添加一个 RIP 过滤器。 3 配置这个 RIP 过滤器。 4 第 130 页 “ 添加 过滤器名 为这个 RIP 过滤器输入一个名称。每个 RIP 过滤器和 RIP 过滤器列表必须有 一个单独的名称。这个名称的长度为 15 个字符,可以包含大写和小写字母、 数字和特定字符。名称不能包含空格。 空白过滤器 使用过滤器列表。请见 第 130 页 “ 添加一个 RIP 过滤列表” 。 IP 添加路由的 IP 地址。 掩码 添加路由的网络掩码。 动作 选择允许可以使过滤器允许这个路由的通讯。选
RIP 配置 添加 RIP 过滤器 IP 添加这个路由的 IP 地址。 掩码 添加这个路由的掩码。 动作 选择允许可以使过滤器允许这个路由的通讯。选择拒绝可以阻止这个路由被 交换。 接口 选择这个 RIP 过滤器要应用到的接口。 7 单击确定以将路由前缀添加到这个过滤器。 8 重复步骤 5 到 7 将路由前缀添加到这个过滤器。 添加一个邻居过滤器 您可以将一个 RIP 过滤器或者 RIP 过滤器列表设置为邻居过滤器。 1 进入 系统 >RIP> 过滤器。 2 根据需要添加 RIP 过滤器和 RIP 过滤器列表。 3 对于邻居过滤器,选择一个 RIP 过滤器或 RIP 过滤器列表的名称,使之成为邻居过滤 器。 4 单击应用。 从邻居接收到的路由将被选定的 RIP 过滤器或 RIP 过滤器列表过滤。 添加一个路由过滤器 您可以将一个 RIP 过滤器或者 RIP 过滤器列表设置为路由过滤器。 1 进入 系统 >RIP> 过滤器。 2 根据需要添加 RIP 过滤器和 RIP 过滤器列表。 3 对于路由过滤器,选择一个 RIP 过滤器或 RIP 过滤器列表的名称,使
添加 RIP 过滤器 132 RIP 配置 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.50 版 系统配置 进入 系统 > 配置 可以对 FortiGate 系统配置做以下改动: ·设置系统日期和时间 ·更改基于基于 Web 的管理程序的选项 ·添加和编辑管理员帐号 ·配置 SNMP ·定制替换信息 设置系统日期和时间 为了有效地设定任务计划和记录日志,需要精确地设定 FortiGate 的时钟。您可以 手工设置时间,也可以将 FortiGate 配置为自动地和一个网络时间协议 (NTP)服务器 的时钟保持同步。 如欲得到关于 NTP 的更多信息或需要查找可用的 NTP 服务器,请访问 http://www.ntp.
更改基于基于 Web 的管理程序的选项 系统配置 图 1: 日期和时间设置的例子 更改基于基于 Web 的管理程序的选项 在 系统 > 配置 > 选项页,您可以: ·设置系统空闲超时。 ·设置认证超时。 ·选择基于 Web 的管理程序所用的语言。 ·修改网关失效检测的设置。 您还可以要求使用控制按钮和 LCD 时先输入一个 PIN ( 个人识别码 )。 设置系统空闲超时 1 在空闲超时栏输入以分钟为单位的数字。 2 单击应用。 设定的空闲超时时间控制着基于 Web 的管理程序在要求管理员重新登录前所经历的非 活动状态的等待时间。 默认的空闲超时时间是 5 分钟。可以设置的最大空闲超时时间是 480 分钟 (8 小时)。 设置认证超时 1 在认证超时栏输入一个以分钟为单位的数字。 2 单击应用。 认证超时时间控制了防火墙在要求用户再认证前所等待的非活动时间的时间间隔。查 看 第 173 页 “ 用户与认证” 以获取更多信息。 默认的认证超时时间是 15 分钟。您可以设置的最大认证超时时间是 480 分钟 (8 小 时)。 134 美国飞塔有限公司
系统配置 添加和编辑管理员帐号 选择基于 Web 的管理程序所用的语言 1 在语言列表中选择基于 Web 的管理程序使用的语言。 2 单击应用。 您可以选择英文、简体中文、日文、韩文或繁体中文。 注意:如果基于 Web 的管理程序的语言被设定为使用简体中文、日文、韩文或者繁体中文,您可 以使用基于 Web 的管理程序右上角的 Englsih 按钮切换回英文。 为 LCD 控制面板设置 PIN 保护 1 单击 LCD 面板的 PIN 保护。 2 输入 6 位数的 PIN。 管理员必须输入 PIN 才能使用控制按钮和 LCD。 3 单击应用。 修改失效网关检测设置 修改失效网关检测可以控制 FortiGate 设备如何使用添加到网络接口的 ping 服务 器确认连接是否有效。要在接口添加 ping 服务器,请见 第 114 页 “ 为接口添加 ping 服务器” 。 1 在时间间隔栏,输入以秒为单位的数字以指定 FortiGate 设备测试到 ping 目标的时间 间隔。 2 在失效检测栏,输入 FortiGate 设备在确认连接已经中断之前检测到的失败次数。 3 单击应用。
添加和编辑管理员帐号 系统配置 添加新的管理员帐号 使用 admin 帐号按照以下步骤可以在 FortiGate 中添加新的管理员帐号和设定他们 的权限: 1 进入 系统 > 配置 > Admin。 2 单击 新建 以添加新的管理员帐号。 3 输入管理员帐号登录时所用的 用户名 。 用户名的长度不能少于 6 个字符。用户名可以包括数字 (0-9),大写或者小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 4 输入并确认一次这个管理员帐号的 密码 。 为了提高安全性,密码的长度应当不少于 6 个字符。密码可以包括除了空格以外的任 何字符。 5 可以选择是否输入受信任主机的 IP 地址 和 子网掩码 。这将限制这个管理员帐号只 能从指定的位置登录到基于 Web 的管理程序上。 如果希望管理员可以从任何地方访问 FortiGate,就需把受信任主机的 IP 地址设置为 0.0.0.0,掩码设置为 0.0.0.
系统配置 配置 SNMP 7 ( 可选的)输入受信任主机的的 IP 地址 和 网络掩码 ,从而允许这个管理员用来访 问基于 Web 的管理程序。 如果您希望管理员可以从任何地方访问 FortiGate,就把受信任主机的 IP 地址设置为 0.0.0.0,把掩码设置为 255.255.255.255。 如果要限制管理员只能从指定的网络访问 FortiGate,只需要把受信任主机的地址设置 为该网络的地址,并把掩码设置为该网络的网络掩码。例如,如果要限制管理员只能 从内部网络访问 FortiGate,需把受信任主机的地址设置为您的内部网络地址 (例如, 192.168.1.0),把掩码设置为 255.255.255.
配置 SNMP 系统配置 4 接受团体 也可以称做读团体。接受团体是一个用来识别发送到 FortiGate 上的 SNMP 访问请求的密码。当一个 SNMP 管理程序发送访问请求到 FortiGate 的时候,它必须包括正确的访问团体的字符串。 默认的接受团体字符串是 “public”。修改这个默认的接受团体字符串 可以防止入侵者通过 SNMP 的访问请求获取您的网络配置信息。而您的 SNMP 管理程序必须使用这个接受团体字符串才能取得 FortiGate SNMP 信息。 访问团体字符串的长度最长为 31 个字符。可以包含数字 (0-9),大写 和小写字母 (A-Z,a-z)以及特殊字符 - 和 _。空格符和 \<>[]` $ % & 等符号都不能使用。 陷阱团体 陷阱团体字符串类似于密码,在发送 SNMP 陷阱时被一起发送出去。 默认的陷阱团体名称字符串是 “public”。如果需要可把这个字符串改 为接收您发送的陷阱消息的管理程序的名称。 陷阱团体字符串的长度最长为 31 个字符。可以包含数字 (0-9),大写 和小写字母 (A-Z,a-z)以及特殊字符 - 和 _。空格符和 \<>[]`
系统配置 定制替换信息 表 1: FortiGate MIBs MIB 文件名 描述 EtherLike.mib 以太网连接 MIB 是基于 RFC2665 的标准 MIB。这个 MIB 包含了用来管理以 太网接口的信息。 FN-TRAP.mib Fortinet 陷阱 MIB 是一个私有 MIB。您的 SNMP 管理者需要用它来接收来 自 FortiGateSNMP 代理的陷阱消息。关于 FortiGate 陷阱的详细信息,请 见 第 139 页 “ FortiGate 陷阱” 。 FORTINET.mib Fortinet MIB 是一个私有 MIB,它包含了 FortiGate 系统配置的详细信 息。您需要将这个 MIB 添加到您的 SNMP 管理者以监视所有的 FortiGate 配 置设置。 RFC1213.
定制替换信息 系统配置 本节描述了以下内容: ·定制替换信息 ·定制报警邮件 图 3: 替换信息的例子 定制替换信息 替换信息列表中的每个替换信息由不同的几个部分组成。您可以利用这些部分的组 合创建您自己的替换信息。 您可以编辑替换信息列表中的任何替换信息,并且可以根据需要添加替换信息片 段。 1 进入 系统 > 配置 > 替换信息。 2 对于您要定制的替换信息单击修改 3 在消息设置对话框,编辑这个消息的内容。 表 3 列出了可以添加到替换信息的替换信息片段和每个片段的标签书写格式。对于每 个合法的标签您可以添加任何文字。对于电子邮件和 HTTP 消息您还可以添加 HTML 编 码。 4 单击确定以保存您所做的修改。 。 表 3: 替换信息片段 文件阻塞 用于阻塞文件 (所有服务)。 片段开始 <**BLOCKED**> 允许的标签 %%FILE%% 这个名字的文件被阻塞。 %%URL%% 被阻塞的网页页面的 URL。 片段结束 140 <**/BLOCKED**> 美国飞塔有限公司
系统配置 定制替换信息 表 3: 替换信息片段 扫描 用于病毒扫描 (所有服务)。 片段开始 <**INFECTED**> 允许的标签 %%FILE%% 被感染的文件的文件名。 %%VIRUS%% 感染文件的病毒名称。 %%URL%% 被阻塞的网页页面或文件的 URL。 片段结束 <**/BLOCKED**> 隔离 当隔离功能被启用时使用。(可以被电子邮件的阻塞服务和所有的扫描服务 使用。) 片段开始 <**QUARANTINE**> 允许的标签 %%QUARFILENAME %% 片段结束 <**/QUARANTINE**> 被隔离的文件的文件名。 定制报警邮件 定制报警邮件可以控制发送给系统管理员的报警邮件的内容。 1 进入 系统 > 配置 > 替换信息。 2 对于您要定制的报警邮件信息,单击修改 3 在消息设置对话框,编辑消息的文本。 表 4 列出了可以添加到报警邮件的替换信息片段和每个片段的标签的书写方法。对于 合法的标签您还可以添加任何文字和 HTML 编码。 4 单击确定以保存您所做的任何修改。 。 表 4: 报警邮件消息的片段 NI
定制替换信息 系统配置 表 4: 报警邮件消息的片段 ( 续 ) 阻塞事件 用于文件阻塞报警邮件消息 片段开始 <**BLOCK_ALERT**> 允许的标签 %%FILE%% %%PROTOCOL%% 被阻塞的文件所用的服务。 %%SOURCE_IP%% 接收被阻塞的文件时的源 IP 地址。对于电子邮件, 这个 IP 地址是发送包含了被阻塞的文件的电子邮 件的邮件服务器的地址。对于 HTTP,它是发送被阻 塞的文件的网页页面的 IP 地址。 %%DEST_IP%% 要接收被阻塞的文件的计算机的 IP 地址。对于电 子邮件这个 IP 地址是试图下载含有被感染了的病 毒的消息的用户计算机的 IP 地址。 %%EMAIL_FROM%% 含有被阻塞的文件的消息的发件人的邮件地址。 %%EMAIL_TO%% 142 含有被阻塞的文件的消息的收件人的邮件地址。 紧急事件 用于紧急防火墙报警邮件。 片段开始 <**CRITICAL_EVENT**> 允许的标签 %%CRITICAL_EVENT%% 片段结束 <**/CRITICAL_EVENT**> 防火墙紧急事件消息。
FortiGate-500 安装和配置指南 2.
默认防火墙配置 防火墙配置 默认防火墙配置 防火墙策略控制接口之间的连接。默认情况下,您内部网络中的用户可以通过 FortiGate 设备连接到互联网。防火墙阻塞其他所有的连接。防火墙被配置为用一条默 认策略匹配从内部网络上收到的所有的连接请求。这条策略指示防火墙将这些连接转 发到互联网上。 图 4: 默认防火墙策略 • 接口 • VLAN 子接口 • 区域 • 地址 ·服务 ·任务计划 ·内容配置文件 接口 添加策略可以控制 FortiGate 接口之间的连接和到这些接口的网络之间的连接。默 认情况下您可以添加控制内部、外部和 DMZ 接口之间的连接的策略。 要添加包含接口 1 到 8 的策略,您必须按照如下步骤将这些接口添加到防火墙策略 网格: 1 如果它们处在关闭状态,首先要启动接口。 请见 第 113 页 “ 启动一个接口” 。 2 为接口添加 IP 地址。 请见 第 113 页 “ 修改一个接口的静态 IP 地址” 。 3 为接口添加防火墙策略。 请见 第 152 页 “ 添加地址” 。 VLAN 子接口 您也可以将 FortiGate 设备的配置中添加 VLA
防火墙配置 默认防火墙配置 要在区域中添加策略,您必须使用以下步骤将区域添加到防火墙网格: 1 将区域添加到 FortiGate 配置。 请见 第 111 页 “ 添加区域” 。 2 将接口和 VLAN 子网络接口添加到这个区域。 请见 第 112 页 “ 在区域中添加接口” 和 接口” 。 3 第 112 页 “ 在区域中添加 VLAN 子 为这个区域添加防火墙地址。 请见 第 152 页 “ 添加地址” 。 地址 要添加接口、VLAN 子接口和区域之间的策略,防火墙的配置中必须包含每个接口、 VLAN 子接口和区域的地址。默认情况下 FortiGate 设备配置中包含的地址在表 5 中列 出。 表 5: 默认地址 接口 地址 描述 内部 内部 _ 全部 这个地址匹配于内部网络的全部地址。 外部 外部 _ 全部 这个地址匹配于外部网络的全部地址。 DMZ DMZ _ 全部 这个地址匹配于 DMZ 网络的全部地址。 防火墙使用这些地址匹配防火墙接收到的数据包的源地址和目的地址。默认的策略 匹配从内部网络来的全部连接,因为它包含了内部 _ 全部 地址。默认策略也匹配到外
添加防火墙策略 防火墙配置 内容配置文件 内容配置文件可以添加到策略中以应用对网页、文件传输和电子邮件服务的防病毒 保护、网页内容过滤和电子邮件过滤。FortiGate 设备包括了以下默认的内容配置文 件: ·严谨 : 对 HTTP, FTP, IMAP, POP3, 和 SMTP 内容通讯应用最大程度的内容保护。 ·扫描 : 对 HTTP, FTP, IMAP, POP3, 和 SMTP 内容通讯应用防病毒扫描。 ·网页 : 对 HTTP 内容通讯应用防病毒扫描和网页内容阻塞。 ·不过滤 : 允许超大型的文件不经过防病毒扫描直接通过 FortiGate 设备。 关于内容配置文件的详细信息,请见 第 169 页 “ 内容配置文件” 。 添加防火墙策略 添加防火墙策略可以控制 FortiGate 接口、VLAN 子接口和区域之间的连接和通讯。 1 进入 防火墙 > 策略。 2 选择您要添加策略的策略 列表。 3 单击新建以添加一个新的策略。 也可以在策略列表中的一条策略前面单击在策略前面插入 加一条新策略。 4 146 配置这个策略: 关于策略选项的详细信息请见 ,在这个策略的上面添
防火墙配置 添加防火墙策略 图 5: 添加 NAT/ 路由策略 防火墙策略选项 本节叙述了您可以在防火墙策略中设置的选项。 源地址 选择与数据包源地址匹配的地址或地址组。在您把这个地址添加到策略之前,必须 先把它添加到源网络接口上。关于添加地址,见 第 152 页 “ 地址” 。 目的地址 选择与数据包目的地址匹配的地址或者地址组。在您把这个地址添加到策略之前, 必须先把它添加到目的网络接口、VLAN 子接口或区域上。关于添加地址,请参阅 第 152 页 “ 地址” 。 NAT 模式下的策略,目的网络上的地址是源网络中使用 NAT 隐藏的地址。目的地址 还可以是一个虚拟 IP 地址,它将数据包的目的地址映射到一个隐藏的目的地址。请见 第 162 页 “ 虚拟 IP” 。 FortiGate-500 安装和配置指南 147
添加防火墙策略 防火墙配置 任务计划 选择任务计划可以控制策略生效和用于匹配连接的时间,见 计划” 。 第 159 页 “ 任务 服务 选择一个服务与数据包的服务 (端口)相对应。您可以从大量的预定义服务中选 择,或者添加自己定制的服务类型和服务组。 见 第 155 页 “ 服务” 。 动作 选择当策略与连接尝试相匹配时防火墙的响应方式。 接受 接受连接。如果您选择接受,可以配置这个策略的 NAT 和认证选项。 拒绝 拒绝连接。在这种情况下您唯一能配置的其他选项就是记录日志。记录日志 选项 将此策略拒绝的连接记录到日志中。 加密 把这个策略设置为 IPSec VPN 策略。如果选择了 加密,可以为这个策略选择 一个自动密钥交换的 VPN 通道或者一个手工密钥的 VPN 通道,并配置其它 IPSec 设置。您不能为加密策略设置认证。并且加密在透明模式下不可用。请 见 第 194 页 “ 配置加密策略” 。 NAT 配置策略的 NAT 选项。NAT 把策略接收到的数据包的源地址和源端口进行转换。如 果您选择了 NAT,您还可以选择一个动态 IP 池和一个固定的端口。NAT 在透明模式下 不可
防火墙配置 添加防火墙策略 流量控制 流量控制功能控制可以使用的带宽并设置被策略处理的数据流的优先权。在大量的 数据通过 FortiGate 时,流量控制可以控制哪个策略具有更高的优先权。例如,为网 页服务器设定的策略可能被分配比大多数为雇员电脑设定的策略更高的优先级。当一 个雇员需要非同寻常的对互联网的高速访问的时候,可以为他设置一个具有较高带宽 的特定的向外连接策略。 如果设置保证带宽和最大带宽均为 0,策略将拒绝所有流通流量。 保证带宽 最大带宽 数据流优先级 使用 流量控制可以保证策略允许经过防火墙的通讯享有一定的带宽。 保证 带宽 ( 以 kbps 为单位 ) 确保对优先级高的服务有足够的带宽可用。 您还可以使用 流量控制 限制某个策略经过防火墙的带宽的限度。限制带宽 可以限制重要程度较低的服务使用更为重要的服务所需要带宽。 可以选择高、中、低。选择数据流优先级可以使 FortiGate 管理不同类型的 数据流的优先权关系。例如,连接到一个安全的网页服务器的策略用于支持 电子商务通讯,应当被分配给一个较高的优先权。而对于重要程度较低的服 务应当标上较低的优先权。只有当高优先级的连接不再需要带宽
配置策略列表 防火墙配置 图 6: 添加透明模式策略 记录流通日志 选择记录流通日志可以在策略处理一个连接的时候向日志写入一条消息。关于记录 日志的详细信息请见 第 241 页 “ 日志和报告” 。 注释 可以选择添加一个关于这个策略的描述或者其他信息。注释的长度最多可以到 63 个字符,包括空格。 配置策略列表 防火墙从策略列表的顶端向下搜索匹配的策略,直到找到第一个匹配的策略为止。 您必须把策略列表中的策略按照从特殊到一般的顺序排列。 例如,默认策略是非常一般的策略,因为它匹配所有的连接尝试。当创建这个策略 的一个例外策略时,必须把这些例外的策略添加到默认策略的上方。任何在默认策略 下面的策略都永远不会被匹配到。 150 美国飞塔有限公司
防火墙配置 配置策略列表 本节讨论了以下内容: ·策略匹配的细节 ·更改策略列表中策略的顺序 ·启用和禁用策略 策略匹配的细节 当 FortiGate 从网络接口上收到一个连接请求时,它首先要选择一个策略列表,在 这个策略列表中查找与这个连接请求匹配的策略。FortiGate 根据连接请求的源地址和 目的地址决定使用哪个策略列表。 随后 FortiGate 从选定的策略列表的顶端开始向下搜索策略列表,查找第一个与连 接请求的源地址、目的地址、服务端口以及接收到连接请求的日期和时间相匹配的策 略。匹配的第一个策略将被应用于连接。如果没有找到匹配的策略,连接将被丢弃。 默认的策略接受所有的从内部网络到互联网的连接请求。用户可以从内部网络浏览 网页、使用 POP3 接收邮件、使用 FTP 通过 FortiGate 下载文件等等。如果 默认的策 略在内部 -> 外部策略列表的顶端,防火墙将允许全部从内部网络到互联网的连接,因 为所有的连接都和默认策略匹配。如果有其他特殊策略被添加到了策略列表并处在默 认策略的下方,他们永远也不会被匹配。 对于默认策略的例外策略,例如,一个阻塞 FTP 连接的策略,必须在内部 -
地址 防火墙配置 启用一个策略 启用一个被禁用了的策略可以使防火墙继续用这个策略匹配连接: 1 进入 防火墙 > 策略。 2 选择含有要启用的策略的策略列表的标签。 3 选中要启用的策略的选中标志。 地址 所有的策略都需要配置源地址和目的地址。要为两个接口之间的策略添加地址,您 必须先把这些地址添加到这个策略的接口、VLAN 子接口和区域的地址列表中去。 您可以根据需要添加、编辑和删除全部的防火墙地址。您也可以将相关的地址编入 地址组以简化创建的策略。 ·一个防火墙地址由一个 IP 地址和一个网络掩码构成。这一信息可以描述为: ·子网的地址 (例如,对于一个 C 类子网,IP 地址:192.168.20.0 和网络掩码: 255.255.255.0)。 ·一个单独的 IP 地址 (例如,IP 地址:192.168.20.1 和网络掩码: 255.255.255.255) ·全部可能的 IP 地址 (表示方式为 IP 地址:0.0.0.0 和网络掩码:0.0.0.0)。 注意:IP 地址:0.0.0.0 和网络掩码: 255.255.255.
防火墙配置 地址 5 输入这个 IP 地址。 这个 IP 地址可以是: ·单个电脑的 IP 地址 (例如,192.45.46.45)。 ·一个子网的地址 (例如,一个 C 类子网 192.168.1.0)。 ·0.0.0.0 来表示全部可能的 IP 地址。 6 输入子网掩码。 子网掩码应当对应于所添加的 IP 地址的类型。例如: ·对于单个主机的 IP 地址的子网掩码应当是 255.255.255.255。 ·A 类子网的子网掩码应该是 255.0.0.0。 ·B 类子网的子网掩码应该是 255.255.0.0。 ·C 类子网的子网掩码应该是 255.255.255.0。 ·全部地址的网络掩码应当是 0.0.0.0。 注意:要添加一个地址以表示在一个网络中的任意地址,可以将 IP 地址设置为 0.0.0.0,并将 网络掩码设置为 0.0.0.
地址 防火墙配置 删除地址 删除一个地址可以把此地址移出地址列表。一旦地址被删除了,这个地址就不能再 添加到策略中。要删除一个已经添加到策略的地址,必须先把它从那个策略中删除。 1 进入 防火墙 > 地址。 2 选择含有您要删除的地址的列表。 您可以删除被列出的地址中带有 删除标志 3 选择要删除的地址,单击 删除 4 单击 确定 以删除地址。 的任何地址。 。 将地址编入地址组 您可以把相关的地址编入一个地址组,这样便于以后添加到策略。例如,如果添加 三个地址并将其添加到一个地址组,您只需要为这个地址组创建一个策略,而不用去 为三个地址创建三个单独的策略。 您可以把地址组添加到任何网络接口、VLAN 子接口或区域中。地址组只能包含已 经添加到这个网络接口、VLAN 子接口或区域的地址。地址组可以用于网络接口、VLAN 子接口或区域的源地址或者目的地址列表。 地址组的名字不能和独立地址相同。如果一个地址组已经被加到一个策略中了,就 不能删除它,除非先从这个策略中删除这个地址组。 154 1 进入 防火墙 > 地址 > 组。 2 选择要添加地址组的接口、VLAN 子接口或区域。
防火墙配置 服务 图 8: 添加一个内部地址组。 服务 使用服务可以控制防火墙接受或者拒绝的流通类型。可以为一个策略添加任何预定 义的服务。也可以创建您自己定制的服务然后把服务添加到服务组中去 本节叙述了以下内容: ·预定义的服务 ·访问定制服务 ·服务分组 预定义的服务 FortiGate 预定义服务在表 6 中列出。您可以将这些服务添加到任何策略中。 表 6: FortiGate 预定义的服务 FortiGate-500 安装和配置指南 服务名称 内容 协议 端口 任意 可以在任何端口匹配连接。使用任何预定义服 全部 务的连接都可以通过防火墙。 全部 GRE 通用路由封装。通过把协议的数据包封装为 GRE 数据包的方式,允许任意一个网络协议通 过任意一个另外的网络协议传输的协议。 47 AH 认证头。AH 提供安全主机认证和数据验证, 但是不加密。这个协议用于设置为积极模式的 IPSec 远程网关的认证。 51 155
服务 防火墙配置 表 6: FortiGate 预定义的服务 ( 续 ) 服务名称 内容 ESP 封装安全有效载荷。这个服务用于自动密钥交 换的 VPN 通道和手工密钥 VPN 通道,以传输加 密的数据。自动密钥交换 VPN 通道在使用 IKE 建立连接之后使用 ESP 传输数据。 AOL AOL 即时消息协议。 tcp 5190-5194 BGP 边界网关协议路由协议。BGP 是一个内部 / 外 部路由协议。 tcp 179 DHCP- 中继 DHCP 中继协议。 udp 67 DNS 域名解析服务,用于查找域名对应的 IP 地 址。 tcp 53 udp 53 Finger 服务。 tcp 79 FINGER 156 协议 端口 50 FTP FTP 文件传输协议。 tcp 21 GOPHER Gopher 通讯服务。 tcp 70 H323 H.323 多媒体协议。H.
防火墙配置 服务 表 6: FortiGate 预定义的服务 ( 续 ) 服务名称 内容 PPTP 点对点通道协议是一个允许组织结构通过公共 tcp 网络上的私有通道拓展他们自己的网络的协 议。 协议 1723 端口 QUAKE 流行的多人电脑游戏 Quake 的连接协议。 udp 26000, 27000, 27910, 27960 RAUDIO 用于实时多媒体音频流传输。 udp 7070 RLOGIN 用于远程登录到服务器的 Rlogin 服务。 tcp 513 RIP 路由信息协议是一个公共距离向量路由协议。 udp 520 SMTP 用于在互联网上的电子邮件服务器之间发送邮 tcp 件。 25 SNMP 简单网络管理协议是用于管理复杂网络的一组 tcp 协议。 udp 161-162 SSH 用于安全连接到一台电脑进行远程管理的 SSH tcp 服务。 udp 22 SYSLOG 用于远程记录日志的系统日志服务。 udp 514 TALK 一种支持两个或多个用户之间交谈的协议。 udp 517-518 TCP 全部 T
服务 防火墙配置 5 通过输入 最高端口号 和 最低端口号 ,为这个协议指定一个源端口和一个目的端口 号的范围。如果服务仅使用一个端口,就在最高和最低端口号上输入相同的数字。 6 如果这个服务有多于一个的 端口地址范围 ,选择 添加 以指定附加的协议和端口范 围。 如果错误地添加了太多的端口地址范围,可以单击 删除 删除多余的行。 7 单击 确定 以添加这个定制服务。 现在您可以把这个服务添加到策略中了。 服务分组 为了便于添加策略,可以创建服务组,然后添加一个接受或者阻塞此组中的全部服 务的策略。一个服务组可以包括预定义服务和定制服务并以任何方式将其组合。您不 能把一个服务添加到其它服务组里。 1 进入 防火墙 > 服务 > 组。 2 单击 新建 。 3 输入一个用于识别这个组的 组名。 当添加策略的时候,这个名字将出现在服务列表中。这个名字不能和预定义服务相同。 这个名字可以包含数字 (0-9),大写或者小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 4 要向服务组中 添加服务,从可用服务列表中选择服务,然后单击向右箭头把服务复制 到
防火墙配置 任务计划 任务计划 任务计划用来控制策略生效和无效的时间。可以创建一次性的任务计划和周期性的 任务计划。您可以使用一次性的任务计划创建策略,这个策略只在任务计划指定的时 间段内有效。周期性的任务计划不断地重复生效;可以使用周期性任务计划创建策略, 这个策略只在每天的特定时间或者每周的特定日期生效。 本节叙述了以下内容: ·创建一个一次性任务计划 ·创建周期性任务计划 ·在策略中添加一个任务计划 创建一个一次性任务计划 可以创建一个一次性任务计划用于在特定的时间内激活策略或者解除对策略的激 活。例如,您的防火墙可能被配置为默认的 内部到外部 策略,它允许在任何时间从 内部网络访问互联网上的任何服务。您可以添加一个一次性任务计划以阻止在节日期 间对互联网的访问。 1 进入 防火墙 > 任务计划 > 一次性。 2 单击 新建 。 3 输入一个任务计划任务计划的 名称。 这个名字可以包含数字 (0-9),大写或者小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 4 输入任务计划的 开始日期 和 时间 。 如果需要任务计划在一整天中都有效,就把开始
任务计划 防火墙配置 图 10: 添加一次性任务计划任务计划 创建周期性任务计划 可以创建一个周期性的任务计划在每天的特定时间或者每周的特定天数里激活策略 或者取消对策略的激活。例如,您可能需要创建一个任务计划阻止在工作时间以外的 时间里访问互联网。 如果创建了一个结束时间在开始时间之前的周期性任务计划,这个任务计划将于您 所设置的开始时间开始,并于第二天的结束时间终止。您可以使用这种方法创建一个 周期性任务计划让它从第一天运行到第二天。也可以创建一个 24 小时运行的周期性任 务计划,只需要把它的开始时间和结束时间设置成相同的时间既可。 160 1 进入 防火墙 > 任务计划 > 周期性。 2 单击 新建 以添加新的任务计划。 3 输入任务计划的 名称 。 这个名字可以包含数字 (0-9),大写或者小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 4 选择在一周里任务计划生效的 日期 。 5 设置 开始时间 和 结束时间 ,在这段时间里任务计划是激活的。 周期性任务计划使用 24 小时制的时间表示法。 6 单击 确定 以保存周期性任务计
防火墙配置 任务计划 图 11: 添加周期性任务计划 在策略中添加一个任务计划 在创建一个任务计划之后,您可以把它添加到策略中,以控制策略生效的时间。在 创建策略的时候,可以在策略中添加新的任务计划,或者可以编辑现有的策略,向其 添加一个新的任务计划。 1 进入 防火墙 > 策略。 2 选择要添加的策略类型对应的标签。 3 单击 新建 以添加新的策略,或者单击 编辑 间。 4 根据需要配置策略。 5 从任务计划列表中选择要添加的 任务计划 。 6 单击 确定 以保存策略。 7 安排这个策略在策略列表中的顺序,以达到预期的效果。 以编辑一个策略,改变它的运行时 例如,使用一个一次性任务计划来拒绝对一个策略的访问,可以添加一个与这个策 略相匹配的新策略来拒绝任何访问,并选择您所添加的一次性任务计划,把动作方式 设置为拒绝。然后把这个包含一次性任务计划的策略放到策略列表中要被拒绝的策略 的上方。 FortiGate-500 安装和配置指南 161
虚拟 IP 防火墙配置 虚拟 IP NAT 模式的安全策略可以对较不安全的网络隐藏较安全的网络中的地址。要允许从 一个较不安全的网络连接到一个较安全的网络中的某个地址上,您必须创建一个从较 不安全的网络中的地址到较安全的网络中的地址的映射。这个映射称为虚拟 IP。 例如,如果在您的 DMZ 网络中有一台提供 Web 服务的电脑,它可以使用一个诸如 10.10.10.
防火墙配置 虚拟 IP 注意:防火墙把从主机向外发出的数据包的源地址从被映射的 IP 地址转换为外部的虚拟 IP 地 址,而不是防火墙的地址。 8 单击 确定 以保存虚拟 IP 地址。 您现在可以把这个虚拟 IP 地址添加到防火墙的策略中了。 图 12: 添加静态 NAT 虚拟 IP 添加端口转发虚拟 IP 1 进入 防火墙 > 虚拟 IP。 2 单击 新建 以添加新的虚拟 IP。 3 输入虚拟 IP 的 名称 。 这个名字可以包含数字 (0-9),大写或者小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 4 选择虚拟 IP 外部接口。 外部接口是接收转发到目的网络的数据包的源网络的接口。 您可以选择一个防火墙接口或者一个 VLAN 子接口。 5 修改端口转发的类型。 6 在外部 IP 地址一栏,输入被影射到目的区域的地址上的外部地址。 您可以将外部地址设置为在步骤 4 中选择的外部接口的地址或者其他任何地址。 例如,如果虚拟 IP 提供了从互联网到您内部网络上的一台服务器的访问,那么此外部 地址必须是由您的 ISP 分配给这个服务器的
虚拟 IP 防火墙配置 8 在 映射 IP 地址 一栏中,需要输入在目的网络上的 真实 IP 地址 。 例如,真实 IP 地址可以是位于您的内部网络中的 Web 服务器的地址。 9 把 映射到端口 设置为转发数据包时要给它们添加的端口号。 如果您不希望转换端口,可以输入和外部服务端口相同的端口号。 如果您希望转换端口,输入要转换到的目的端口的端口号,当数据包被防火墙转发时, 它们的目的端口将被按照这个号码被修改。 10 选择被转发的端口所要使用的 协议。 11 单击 确定 以保存端口转发虚拟 IP。 图 13: 添加端口转发虚拟 IP 添加使用虚拟 IP 的策略 按照如下步骤添加使用虚拟 IP 转发数据包的策略。 1 进入 防火墙 > 策略。 2 选择要添加的策略的 类型 : ·源接口必须匹配于外部接口列表中选中的接口。 ·目的区域必须匹配于映射到的 IP 地址所在网络相连接的接口。 3 164 使用以下信息配置策略。 源地址 选择用户可以用来访问服务器的源地址。 目的地址 选择虚拟 IP。 任务计划 根据需要选择任务计划。 服务 选择的服务应当对应于您选择的端
防火墙配置 IP 池 动作 将 动作 设置为 接受以接受到内部网络服务器的连接。也可以选择拒 绝以拒绝对服务器的访问。 NAT 如果防火墙对于源地址网络隐藏了目的网络上的私有地址,则选择 NAT。 认证 可选项。选择认证并选择一个用户组可以要求用户在使用端口转发访 问服务器的时候先取得防火墙的认证。 记录流通日志 可以选中此项启用对端口转发的数据流记录日志,并启用对数据流应 病毒防护与 Web 过滤器 用防病毒保护、Web 内容过滤功能。 4 单击 确定 以保存这个策略。 IP 池 一个 IP 池 (也称做动态 IP 池)是一个添加到防火墙网络接口的 IP 地址范围。如 果您为一个接口添加了 IP 池,当配置一个其目的地址设为此接口的策略时可以选择动 态 IP 池。如果您希望添加一个 NAT 模式的策略,以将源地址转换为从 IP 池中随机选 择的地址,而不仅仅是使用目的接口的地址,您也可以添加一个 IP 池。 IP 池中的地址必须和此网络接口的 IP 地址在同一子网内。例如,如果一个 FortiGate 网络接口是 192.168.1.99,那么一个有效的 IP 池可以是从 192.
IP/MAC 绑定 防火墙配置 图 14: 添加一个 IP 池 使用固定端口的防火墙策略的 IP 池 如果一个 NAT 防火墙策略转换连接所使用的数据报的源端口,有些网络配置就无法 正常工作。NAT 通过转换源端口来跟踪特定服务的连接。您可以为 NAT 策略选择固定的 端口以防止源端口转换。然而,选择固定端口意味着这个服务只有一个连接可以通过 防火墙。为了支持多个连接,您可以为目的接口添加一个 IP 池,然后在这个策略中选 择动态 IP 池。防火墙将从 IP 池中随机选择 IP 地址并将它们分配给每个连接。在这种 情况下防火墙能够支持的连接的数量仅仅受这个 IP 池中 IP 地址数量的限制。 IP 池和动态 NAT 您可以在动态 NAT 中使用 IP 池。例如,您所在的机构可能购买了某个地址范围内 的 IP 地址,但是您可能只有一个到互联网的连接:您的 FortiGate 设备的外部接口。 您可以为您的 FortiGate 设备的外部接口指定一个您所在的机构购买的互联网 IP 地址。如果您的 FortiGate 设备运行在 NAT/ 路由模式,所有从您的网络到互联网的连 接看起来都来自于这个地址。 如
防火墙配置 IP/MAC 绑定 IP/MAC 绑定可以应用于连接到防火墙的数据包或者穿过防火墙的数据包。 注意:在您启用了 IP/MAC 绑定后,如果您修改了一台电脑的 IP 地址或者 MAC 地址,且此 IP 地 址和 MAC 地址已经在 IP/MAC 绑定列表中,则您必须同时修改 IP/MAC 列表中的相应的条目。否则 这台电脑将无法访问 FortiGate 或者通过 FortiGate。您必须为网络中的新增的电脑在 IP/MAC 地址列表中添加 IP/MAC 地址对,否则这台新添加到您的网络中的电脑也无法访问 FortiGate 或 者通过 FortiGate。 本节讨论了以下内容: ·为穿过防火墙的数据包配置 IP/MAC 绑定 ·为连接到防火墙的数据包配置 IP/MAC 绑定 ·添加 IP/MAC 地址 ·查看动态 IP/MAC 列表 ·启用 IP/MAC 地址绑定 为穿过防火墙的数据包配置 IP/MAC 绑定 对匹配于防火墙策略,可以使用防火墙策略穿越防火墙的数据包,使用以下操作可 以对它进行 IP/MAC 绑定过滤。 1 进入 防火墙 > IP/MAC 绑定 > 设置 。 2 选择
IP/MAC 绑定 防火墙配置 所有能正常连接到防火墙的数据包都将首先在 IP/MAC 绑定列表中查找匹配的 IP/MAC 地址对。 例如,如果 IP 地址为 1.1.1.1 和 MAC 地址为 12:34:56:78:90:ab:cd 的 IP/MAC 地 址对已经添加到 IP/MAC 地址绑定列表了: ·一个 IP 地址为 1.1.1.1 ,MAC 地址为 12:34:56:78:90:ab:cd 的数据包将被允许连 接到防火墙 ·一个 IP 地址为 1.1.1.
防火墙配置 内容配置文件 4 配置 IP/MAC 地址绑定如何处理在 IP/MAC 地址列表中没有定义 IP 和 MAC 地址的数据 包: 选择允许流通可以允许所有具有不在 IP/MAC 地址列表中的 IP/MAC 地址对的数据包通 过。 选择阻塞流通可以阻塞所有具有不在 IP/MAC 地址列表中的 IP/MAC 地址对的数据包通 过。 5 单击应用以保存您所做的修改。 图 15: IP/MAC 设置 内容配置文件 使用内容配置文件可以对防火墙策略控制的内容通讯应用不同的保护设置。您可以 使用内容配置文件完成以下任务: ·为 HTTP, FTP, POP3, SMTP, 和 IMAP 策略配置防病毒保护 ·为 HTTP 策略配置网页过滤 ·为 IMAP 和 POP3 策略配置电子邮件过滤 ·为 HTTP, FTP, POP3, SMTP, 和 IMAP 策略配置超大型邮件过滤 ·为 POP3, SMTP, 和 IMAP 策略配置邮件片段传输 您可以使用内容配置文件建立对不同类型的防火墙策略都易于配置的保护配置方 式。这就使得您可以为不同的防火墙策略定制不同类型和不同级别的保护。 例如,内部和外部
内容配置文件 防火墙配置 默认的内容配置文件 FortiGate 设备具有以下四种默认的内容配置文件,它们位于防火墙 > 内容配置文 件。 您可以使用现有的内容配置文件或者创建您自己的: 严谨 使用严谨的内容配置文件可以对 UHTTP, FTP, IMAP, POP3, 和 SMTP 等通讯的内容应用最大限度的防护。通常情况下您不需要使用严谨型 内容配置文件,但是如果您受到病毒的严重威胁,需要最大限度地屏 蔽病毒,可以选择严谨型内容配置文件。 扫描 使用扫描型内容配置文件可以对 HTTP、FTP、IMAP、POP3 和 SMTP 通讯的内 容应用防病毒扫描。同时,隔离功能也被启用了,并适用于所有类型的服 务。在 FortiGate 设备中装备了一个硬盘,如果防病毒扫描功能发现了在某 个文件中有病毒,这个文件可以被隔离到 FortiGate 的硬盘上。系统管理员 可以根据需要决定是否恢复被隔离的文件。 网页 使用网页型内容配置文件可以对 HTTP 通讯的内容应用防病毒扫描和网页内 容阻塞。您可以在控制 HTTP 通讯的防火墙策略中添加这一内容配置文件。 非过滤 如果您不希望对通讯内容施加任何内
防火墙配置 内容配置文件 7 电子邮件阻塞列表 对来自不受欢迎的地址的邮件添加主题标签。请见 子邮件阻塞列表” 。 第 238 页 “ 电 电子邮件排除列表 从电子邮件过滤中排除某些发件人地址模板。请见 第 239 页 “ 邮 件排除列表” 。 电子邮件内容阻塞 对包含不受欢迎的词汇活短语的电子邮件 添加主题标签。请见 237 页 “ 电子邮件禁忌词汇列表” 。 第 启用邮件片段和超大型文件 / 邮件选项。 超大型文件 / 邮件阻塞 阻塞或传输超过了配置中指定的系统内存的百分比的文件或邮件。请 见 第 225 页 “ 阻塞过大的文件和电子邮件” 。 传输邮件片段 8 允许被分割成片段的邮件不经防病毒扫描直接传输。请见 第 225 页 “ 对邮件片段免除阻塞” 。 单击确定。 图 16: 内容配置文件举例 将内容配置文件添加到策略 您可以将内容配置文件添加到一个策略,这个策略的动作可以是接受或拒绝、服务类 型可以是任意、HTTP、FTP、IMAP、POP3、SMTP 或一个包含以上服务的服务组。 1 FortiGate-500 安装和配置指南 进入 防火墙 > 策略。 17
内容配置文件 172 防火墙配置 2 单击包含了您要添加内容配置文件的那个策略的策略列表。 例如,要内部网络用户从网站上下载的文件启用网络保护,选择一个内部到外部的策 略。 3 单击新建以添加一个新的策略,或选择一个策略并单击编辑 4 选择病毒防护和网页过滤。 5 选择内容配置文件。 6 如果需要的话配置其余的策略选项。 7 单击确定。 8 对您要启用网络保护的任何策略重复以上步骤。 。 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
设置认证超时 用户与认证 设置认证超时 按以下步骤设置认证超时: 1 2 进入 系统 > 配置 > 选项。 设置 认证超时 以控制在用户再次认证以取得对防火墙的访问权之前,防火墙能够保 持空闲的时间。 默认的认证超时是 15 分钟。 添加用户名并配置认证 使用以下操作添加用户名并配置认证。 本节讨论了以下内容: ·添加用户名和配置认证 ·从内部数据库中删除用户名 添加用户名和配置认证 1 进入 用户 > 本地。 2 单击 新建 以添加新的用户名。 3 输入用户名。 用户名可以包括数字 (0-9),大写和小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 4 从以下内容中选择一项认证配置认证: 禁用 阻止这个用户认证。 密码 输入用户用于认证的密码。这个密码的长度不得少于 6 个字符。这个密码可 以包含数字 (0-9),大写和小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 174 LDAP 用于要求用户取得 LDAP 服务器的认证。选择用于用户认证的 LDAP 服务器的 名字。您只能选择一个已经添加
用户与认证 配置 RADIUS 支持 图 17: 添加用户名 从内部数据库中删除用户名 您不能删除已经添加到用户组的用户名。在删除用户之前必须将它们从所添加到的 用户组中删除。 1 进入用户 > 本地。 2 对于要删除的用户的用户名,单击 删除用户 3 单击 确定。 。 注意:删除用户名将删除这个用户的认证配置。 配置 RADIUS 支持 如果您配置了 RADIUS 支持,当某个用户被配置为要求使用 RADIUS 服务器认证的时 候,FortiGate 将连接 RADIUS 服务器以获得认证。 本节描述了以下内容: ·添加 RADIUS 服务器 ·删除 RADIUS 服务器 添加 RADIUS 服务器 按照以下步骤为 FortiGate 配置 RADIUS 认证: 1 进入 用户 > RADIUS。 2 单击 新建 以添加新的 RADIUS 服务器。 FortiGate-500 安装和配置指南 175
配置 LDAP 支持 用户与认证 3 输入 RADIUS 服务器的名称。 您可以输入任何名称。此用户名可以包括数字 (0-9),大写和小写字母 (A-Z,a-z), 以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 4 输入 RADIUS 服务器的域名 或者 IP 地址。 5 输入 RADIUS 服务器 密码。 6 单击 确定 。 图 18: RADIUS 配置举例 删除 RADIUS 服务器 您不能删除已经添加到用户组的 RADIUS 服务器。 1 进入用户 > RADIUS。 2 对您要删除的 RADIUS 服务器,单击服务器名旁边的 删除 3 单击 确定。 。 配置 LDAP 支持 如果您配置了 LDAP 支持,当某个用户被配置为要求使用 LDAP 服务器认证的时候, FortiGate 将连接 LDAP 服务器以获得认证。要通过 FortiGate 设备进行认证,这个用 户需要输入一个用户名和对应的密码。FortiGate 将拥护名和密码发送到 LDAP 服务 器。如果 LDAP 服务器认证了这个用户,那么用户即可成功地通过 FortiGate 设备的认 证
用户与认证 配置 LDAP 支持 添加 LDAP 服务器 按以下步骤配置 FortiGate 设备的 LDAP 认证: 1 进入用户 > LDAP。 2 单击新建以添加新的 LDAP 服务器。 3 输入 LDAP 服务器的名称。 您可以输入任何名称。此用户名可以包括数字 (0-9),大写和小写字母 (A-Z,a-z), 以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 4 输入 LDAP 服务器的域名 或者 IP 地址。 5 输入与 LDAP 服务器通讯的端口。 默认的 LDAP 使用 389 端口。 6 为这个 LDAP 服务器输入一个通用标识符。 大多数 LDAP 服务器的通用标识符是 cn。然而有些服务器可能会使用其他标识符例如 uid。 7 输入用于在 LDAP 服务器上搜索条目的名称。 使用适当的 X.
配置用户组 用户与认证 3 单击 确定。 配置用户组 要启用认证,您必须在一个或多个用户组中添加用户名和 / 或 RADIUS 服务器。当 您需要认证时,可以选择一个用户组。您可以对以下情况选择一个用户组: ·需要认证的策略。只有被选中的组中的用户和可以被添加到这个用户组的 RADIUS 服 务器认证的用户才能使用这些策略认证。 ·拨号用户的 IPSec VPN 第一阶段配置。只有选定用户组中的用户可以通过认证使用 VPN 通道。 ·IPSec VPN 第一阶段配置的 XAuth 。 只有选定用户组中的用户可以通过认证使用 VPN 通道 XAuth。 ·FortiGate PPTP 配置。只有选定用户组中的用户可以使用 PPTP。 ·TFortiGate L2TP 配置。只有选定用户组中的用户可以使用 L2TP。 当您将用户名、RADIUS 服务器和 LDAP 服务器添加到用户组中时,您添加它们的顺 序决定了 FortiGate 设备使用他们请求认证的顺序。如果用户名在前,FortiGate 设备 在本地用户中检索匹配的用户名。如果没有找到匹配的用户名,FortiGate 设备将检索 RADIUS 服
用户与认证 配置用户组 图 20: 3 添加用户组 输入一个用于识别此用户组的 组名 。 这个组名可以是数字 (0-9),大写和小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不 能使用其它特殊字符和空格符。 4 要向这个用户组中添加 用户 ,需从 有效用户列表 中选择用户,然后单击右箭头将 用户名添加到成员列表中。 5 要向用户组中添加 RADIUS 服务器,从 有效用户列表 中选择 RADIUS 服务器名然后单 击右箭头将 RADIUS 服务器添加到成员列表中。 6 要向用户组中添加 LDAP 服务器,从 有效用户列表 中选择 LDAP 服务器名然后单击右 箭头将 RADIUS 服务器添加到成员列表中。 7 要从用户组中删除用户、RADIUS 服务器或 LDAP 服务器,选中 成员列表 中要删除的用 户、RADIUS 服务器或 LDAP 服务器,然后单击右箭头将用户名或者 RADIUS 服务器从组 中删除。 8 单击 确定 。 删除用户组 您不能删除已经被策略、远程网关、PPTP 或 L2TP 配置选用的用户组。 按以下步骤删除用户组: 1 进入 用户 > 用户组
配置用户组 180 用户与认证 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
手工密钥 IPSec VPN IPSec VPN IPSec 提供了两种控制密钥交换和管理的方法:手工密钥和 IKE 自动密钥管理。 ·“手工密钥” ·“使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE)” 手工密钥 当选择了手工密钥之后,通道两端的安全参数必须互相匹配。包括加密和认证密钥 在内的这些设置必须保密,从而避免未经授权的人员对数据解密,哪怕他们知道加密 所使用的算法。 使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE) 为了便于部署多个通道,自动密钥管理系统是必须的。IPSec 支持使用互联网密钥 交换协议进行自动密钥生成和协商。这种密钥管理方法通常被称做自动 IKE。Fortinet 支持预置密钥的 IKE 和证书 IKE。 预置密钥的自动 IKE 通过在会话的两端配置相同的预置密钥,可以使他们通过这一方法彼此验证对方。 对等的双方不必真正把密钥发送给对方。取而代之的是,作为安全协商过程的一部分, 他们可以将密钥和 Diffie-Hellman 组结合起来创建一个会话密钥。这个会话密钥可以 用于加密和认证的目的,并且在通讯会话的过程中通过 IKE 自动重建。 预置密钥与
IPSec VPN 手工密钥 IPSec VPN 本地和远端的加密和认证密钥必须匹配;并且彼此的 SPI 值也必须互为镜像。当您 输入了这些值之后,无须再协商认证和加密算法即可发起 VPN 通道。只要您正确、完 整地输入了所有的值,双方之间即可建立通道。实质上通道一直存在于双方之间。结 果是当被一个策略所匹配的通讯请求通道时,它可以立刻被认证和加密。 ·手工密钥 VPN 的一般配置步骤 ·添加一个手工密钥 VPN 通道 手工密钥 VPN 的一般配置步骤 一个手工密钥 VPN 的配置由手工密钥通道、通道两端的源和目的地址、以及用于控 制对这个 VPN 通道访问的加密策略组成。 按以下步骤创建手工密钥 VPN 配置: 1 添加一个手工密钥 VPN 通道。请见 第 183 页 “ 添加一个手工密钥 VPN 通道” 。 2 配置一个包含了这个通道、通道两端的源地址和目的地址的加密策略。请见 页 “ 配置加密策略” 。 第 194 添加一个手工密钥 VPN 通道 配置手工密钥通道可以在 FortiGate 和同样使用手工密钥的远程 IPSec VPN 客户或 网关之间建立 IPSec VPN 通道。
自动 IKE IPSec VPN IPSec VPN AES128 AES192 AES256 9 输入一个 32 个字符 (16 字节 ) 的十六进制数 (0- 9, 个字符的部分。 输入一个 48 个字符 (24 字节 ) 的十六进制数 (0- 9, 个字符的部分。 输入一个 64 个字符 (32 字节 ) 的十六进制数 (0- 9, 个字符的部分。 A- F)。将这个数分成两个 16 A- F)。将这个数分成三个 16 A- F)。将这个数分成四个 16 从列表中选择一个认证算法。 在通道的两端需要使用相同的认证算法。 10 输入认证密钥。 每两个字符的组合表示十六进制格式中的一个字节。在通道的两端需要使用相同的认 证密钥。 输入一个 32 个字符 (16 字节 ) 的十六进制数 (0- 9, A- F)。将这个数分成两个 16 个字符的部分。 输入一个 40 个字符 (20 字节 ) 的十六进制数 (0- 9, A- F)。将这个数分成一个 16 个字符的部分和一个 24 个字符的部分。 MD5 SHA1 11 如果您希望通道成为星型 VPN 配置的一部分,就选择集中器选项。见
IPSec VPN 自动 IKE IPSec VPN 为自动 IKE VPN 添加第一阶段配置 当您添加第一阶段配置的时候,您需要定义 FortiGate 设备和 VPN 远端 (网关或 客户)用于彼此认证以建立 IPSec VPN 通道的有关条件。 第一阶段配置和第二阶段配置彼此相关。在第一阶段中 VPN 的两端是经过认证的, 在第二阶段则建立起了通道。您可以选择使用相同的第一阶段参数建立多个通道。换 句话说,同一个远程 VPN 端点 (网关或客户)可以有多个连接到本地 VPN 端点 (FortiGate 设备)的多个通道。 当 FortiGate 设备收到一个 IPSec VPN 连接请求时,它首先根据第一阶段参数认证 VPN 端点。然后,它根据请求的源地址和目的地址发起一个 IPSec VPN 通道和应用加密 策略。 按以下步骤添加第一阶段配置: 1 进入 VPN > IPSEC > 第一阶段。 2 单击新建以添加新的第一阶段配置。 3 输入远程 VPN 端点的网关名称。 远端 VPN 端点可以是另一个网络的网关或者互联网上的一个独立的客户。 这个名称可以含有数字 (0-9),大写和小写字
自动 IKE IPSec VPN IPSec VPN 8 输入密钥寿命。 指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单 位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中 的密钥有效期可以从 120 秒到 172800 秒。 9 认证方式可以设置为预置密钥或者 RSA 签名。 ·如果您选择了预置密钥,输入一个由 VPN 双方共享的密钥。这个密钥可以包含任何字 符但是长度不能少于 6 个字符。只有网络管理员有权知道这个密钥。要防御密码猜 测攻击,一个好的预置密钥应当包含至少 16 个随机选择的字符。 ·如果您选择了 RSA 签名,选择一个由认证中心 (CA)进行数字签名的本地认证。要 为 FortiGate 设备添加一个本地认证,请见 第 190 页 “ 获得签名的本地证 书” 。 10 (可选的)输入 FortiGate 设备的本地 ID。 只有当 FortiGate 设备作为客户并用它的本地 ID 对 VPN 远端认证它自己的时候,才需 要输入本地 ID。(如果您没有添加本地 ID,FortiGate 设备将发送它的 IP 地址。) 只
IPSec VPN 自动 IKE IPSec VPN 4 5 加密方法 选择 XAuth 客户端、FortiGate 设备和认证服务器之间的加密方法。 PAP ——密码认证协议。 CHAP ——挑战 - 握手认证协议。 混合 ——选择混合可以在 XAuth 客户端和 FortiGate 设备之间使用 PAP, 在 FortiGate 设备和认证服务器之间使用 CHAP。 只要可能就能使用 CHAP。如果认证服务器不支持 CHAP 则使用 PAP。(所有 的 LDAP 和部分微软 RADIUS 使用 PAP)。如果认证服务器支持 CHAP 但是 XAuth 客户端不支持 CHAP,就使用混合 (Fortinet 远程 VPN 客户端使用混 合)。 用户组 选择 XAuth 认证的一组用户。这个用户组中的单独的一个用户可以由本地认 证或者由一个或多个 LDAP 或 RADIUS 服务器认证。 在用户组被选中之前它必须被添加到 FortiGate 的配置中。 (可选的) NAT 跨越。 启用 选择启用,如果您希望 IPSec VPN 的数据流通过一个执行 NAT 的网关。如果 没有检测到 NAT
自动 IKE IPSec VPN IPSec VPN 图 21: 添加第一阶段配置 为自动 IKE VPN 添加第二阶段配置 添加第二阶段配置以指定在本地 VPN 端点 (Fortigate 设备)和远程 VPN 端点 (VPN 网关或客户端)之间创建和维护 VPN 通道所用的参数。 注意:使用预置密钥 VPN 和证书 VPN 的第二阶段配置相同。 按以下方法添加第二阶段配置: 1 进入 VPN > IPSEC > 第二阶段。 2 单击新建以添加新的第二阶段配置。 3 输入一个通道名称。 这个名称可以含有数字 (0-9),大写和小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不能使用其它特殊字符或者空格符。 4 选择一个连接到这个 VPN 通道的远程网关。 远程网关可以是另一个网络中的网关或者互联网上的一个独立的客户。远程网关是作 为第一阶段配置的一部分添加的。有关的详细信息请见 第 185 页 “ 为自动 IKE VPN 添加第一阶段配置” 。 可以选择单独的拨号远程网关或者最多三个静态远程网关。如果您要配置 ISec 冗余, 就需要多个静态远程网关。关于 IPSec 冗余的详
IPSec VPN 自动 IKE IPSec VPN 5 配置 P2 提议。 可以为第二阶段的提议最多选择三个加密和认证算法组合。 VPN 通道的两端必须使用相同的 P2 提议设置。 6 (可选的)启用重放检测。 重放检测可以保护 VPN 通道以抵御重放攻击。 注意:如果您已经为 P2 提议选择了无认证,则不用选择重放检测。 7 (可选的)启用向前保密 (PFS)。 PFS 通过在密钥过期时启动一个新的 Diffie-Hellman 交换提高了安全性。 8 选择 DH 组。 VPN 双方必须使用相同的 DH 组设置。 9 输入密钥有效期。 密钥有效期限制第二阶段的密钥在一定时间内,或者千字节的数据被 VPN 通道处理过 之后过期,或者两者都有。如果您选择两者都是,则直到经过了指定的时间并且处理 了指定量的数据之后,密钥才会过期。 当密钥过期之后,无须中断服务就可以生成一个新的密钥。P2 提议中的密钥有效期可 以从 120 秒到 172800 秒或者从 5120 千字节到 99999 千字节。 10 (可选的)启用自动密钥保持激活。 启用自动密钥保持激活可以在没有数据传输的时候也保持
管理数字证书 IPSec VPN 图 22: 添加第二阶段配置 管理数字证书 在一个 IPSec 通讯会话的参与双方建立一个加密的 VPN 通道之前,数字证书可以用 来保证参与双方是可信的。 Fortinet 使用手工操作获得证书。这包括从您的本地电脑将文本文件复制和粘贴 到认证中心,或从认证中心到您的本地电脑。 ·获得签名的本地证书 ·获得一个 CA 证书 注意:配置 fortiGate VPN 无须数字证书。数字证书是一项高级功能,它为系统管理提供了便 利。这一操作假定用户具有如何在他们的应用中配置数字证书的有关知识。 获得签名的本地证书 签名的本地证书可以为 FortiGate 设备提供其他设备鉴别它的能力。 注意: VPN 端点的数字证书必须遵从 X.
IPSec VPN 管理数字证书 2 单击生成。 3 输入一个证书名称。 输入的名称。这个名称可以含有数字 (0-9),大写和小写字母 (A-Z,a-z),以及特 殊字符 - 和 _。不能使用其它特殊字符或者空格符。 4 配置要认证的对象的主题信息。 最好使用一个 IP 地址或域名。如果不能用 (例如一个拨号客户),使用一个电子邮件 地址。 5 6 7 FortiGate-500 安装和配置指南 主机 IP 输入被认证的 FortiGate 设备的 IP 地址作为主机 IP。 域名 输入被人证的 FortiGate 设备的完整的域名。不包括协议标识 (http://)或任何端口号或路径名。 E-Mail 输入被认证的 FortiGate 设备的所有者的电子邮件地址。典型情况下,只 有客户才需要电子邮件地址,网关不需要。 配置要认证的对象的用于进一步识别的可选信息。 组织单位 输入请求这个 FortiGate 设备的证书的组织中的部门或单位的识别名称 (例如制造商或 MF)。 组织 输入请求这个 FortiGate 设备的证书的组织的依法登记的名称 (例如 Fortin
管理数字证书 IPSec VPN 图 23: 添加本地证书 下载证书请求 您可以使用如下操作将证书请求从 FortiGate 设备下载到管理员电脑。 按照如下步骤下载证书请求: 1 进入 VPN > 本地证书。 2 单击下载 3 单击保存。 4 命名这个文件并将它保存到管理员电脑中。 以将本地证书下载到管理员电脑。 请求签名的本地证书 在下面的操作中,您可以从管理员电脑中将证书请求复制和粘贴到 CA 网页服务 器。 按照如下步骤请求签名的本地证书: 192 1 在管理员电脑中使用一个文本编辑器打开本地证书请求。 2 复制证书请求。 3 连接到 CA 网页服务器。 美国飞塔有限公司
IPSec VPN 管理数字证书 4 申请一个签名了的本地证书。 按照 CA 网页服务器的指令进行如下操作: ·将一个 base64 编码的 PKCS#10 认证请求添加到 CA 网页服务器, ·将证书请求粘贴到 CA 网页服务器, ·在 CA 网页服务器上提交证书请求。 现在证书请求已经提交到 CA 以进行签名。 图 24: 在文本编辑器中打开证书请求 领取一个签名的本地证书 在下面的操作中,您可以连接到 CA 网页服务器并将一个签名的本地证书下载到管 理员电脑 (在 CA 已经对证书请求签名之后再领取证书)。 按照如下步骤领取一个签名了的本地证书: 1 连接到 CA 网页服务器。 2 按照 CA 网页服务器的指示下载签名了的本地证书。 将显示文件下载对话框。 3 单击保存。 4 在管理员电脑中的一个目录中保存文件。 导入签名的本地证书 在下面的操作中,您可以从管理员电脑中将签名的本地证书导入 FortiGate 设备 中。 按照如下步骤导入签名的本地证书: 1 进入 VPN > 本地证书。 2 单击导入。 3 输入路径或通过浏览在管理员电脑中定位签名的本地证书。 Fo
配置加密策略 IPSec VPN 4 单击确定。 在本地证书列表中将显示签名的本地证书,其状态为 OK。 获得一个 CA 证书 VPN 双方为了让对方认证自己,必须从同一个证书授权获得 CA 证书。CA 认证为 VPN 双方提供了坚定他们从其他设备中收到的数字证书是否有效的方法。 FortiGate 设备为了验证它从远程 VPN 端点获得的数字证书而获取 CA 证书。远程 VPN 端点为了验证它从 FortiGate 设备收到的数字证书而获取 CA 证书。 注意:CA 证书必须遵循 X.
IPSec VPN 配置加密策略 尽管加密策略同时控制进入和发出的连接,它必须被配置成为一个向外的策略。一 个向外的策略具有一个内部网络的源地址和一个外部网络上的目的地址。源地址标识 VPN 在内部网络中的部分。目的地址标识了 VPN 在远程网络中的部分。典型的向外策略 包括内部到外部的策略和 DMZ 到外部的策略。 注意:目的地址可以是互联网上的一个 VPN 客户端地址或是一个远程 VPN 网关后边的一个网络中 的地址。 除了用定义 VPN 成员的地址之外,您可以配置加密策略的服务,例如 DNS、FTP 和 POP3,以及根据预定义的时间表 (根据一天当中的时间或者一周、月或年当中的日 期)来接受连接。您还可以配置加密策略的以下内容: ·向内 NAT 可以转换进入的数据包的源地址。 ·向外 NAT 可以转换向外发出的数据包的源地址。 ·流量控制 可以控制 VPN 可用的带宽和 VPN 的优先级。 ·内容配置文件 可以对 VPN 中的网页、文件传输和电子邮件服务应用防病毒保护、网 页过滤和电子邮件过滤。 ·日记记录 可以使 FortiGate 设备对所有使用 VPN 的连接记录日志。 策略必须包含您所创
配置加密策略 IPSec VPN 4 输入互联网上的一个 VPN 客户端或是远程 VPN 网关后边的一个网络的地址名,IP 地址 和网络掩码。 5 单击确定以保存目的地址。 添加一个加密策略 1 进入 防火墙 > 策略。 2 使用策略网格选择要添加策略的策略列表。 例如,内部 -> 外部或 DMZ-> 外部。 3 单击 新建 以添加新的策略。 4 把 源地址 设为源地址。 5 把 目的地址 设置为目的地址。 6 设置服务以控制允许 VPN 连接的服务。 您可以选择 任意 以允许所有支持的类型的服务通过 VPN 连接,或者选择一个特定的 服务或服务组,以限制允许通过这个 VPN 连接的服务。 7 将动作设置为接受。 8 配置加密的参数。 VPN 通道 为这个加密策略选择一个自动密钥通道。 允许向内 选择 允许向内 可以允许向内连接的用户连接到源地址上。 允许向外 选择 允许向外 可以允许向外连接的用户连接到目的地址上。 向内 NAT FortiGate 可以把接收到的向内的数据包的源地址转换为连接到源地址网络 上的 FortiGate 内部网络接口的 IP
IPSec VPN IPSec VPN 集中器 图 25: 添加一个加密策略 IPSec VPN 集中器 在一个星型配置的网络中,所有的 VPN 通道都终结在一个起集线器作用的端点上。 其他的端点就象辐条一样连接到这个集线器上。这个集线器的功能如同网络中的一个 集中器,管理着辐条之间的 VPN 连接。 星型配置的网络的优势在于辐条的配置更加简单,因为它们只需较少的策略。一个 星型配置的网络能够提供同样的处理效率,特别是在辐条上。星型配置的网络的劣势 是它依赖于一个端点去管理所有的 VPN。如果这个端点发生故障或关闭,这个网络中将 无法进行任何加密通讯。 一个星型配置的 VPN 网络需要一个特定的配置。配置的不同取决于 VPN 端点所扮演 的角色的不同。如果 VPN 端点是一个作为集线器或集中器的的 FortiGate 设备,它需 要一个 VPN 配置以将它连接到每个辐条 (自动 IKE 第一阶段和第二阶段设置或手工密 钥设置,加上加密策略)。还需要一个集中器配置以将星型配置的通道彼此分组。这个 集中器配置将 FortiGate 设备定义为星型配置网络中的集线器。 FortiGate-500 安装和配置
IPSec VPN 集中器 IPSec VPN 如果 VPN 端点是一个辐条,它需要一个通道以将它连接到集线器 (但是不连接到 其他辐条)。它还需要控制它到其他辐条的加密连接策略和到其他网络,例如互联网的 非加密连接的策略。 ·VPN 集中器 ( 集线器 ) 一般配置步骤 ·添加一个 VPN 集中器 ·VPN 辐条一般配置步骤 VPN 集中器 ( 集线器 ) 一般配置步骤 作为集线器的中心 FortiGate 设备需要以下配置: ·每个辐条一个通道 ( 自动 IKE 第一阶段和第二阶段或手工密钥配置)。 ·每个辐条一个目的地址。 ·一个集中器配置。 ·每个辐条一个加密策略。 按照如下步骤创建一个 VPN 集中器配置: 1 为每个辐条配置一个通道。选择手工通道或者 IKE 通道。 ·一个手工密钥通道包括通道名、通道另一端的辐条 (客户端或网关)的 IP 地址,以 及这个通道所用的加密和认证算法。 请见 第 182 页 “ 手工密钥 IPSec VPN” 。 ·一个自动 IKE 通道,包括第一阶段和第二阶段参数。第一阶段参数包括辐条 (客户 或网关)的名称,辐条如何接收它的 IP 地址 (静态)的指示
IPSec VPN IPSec VPN 集中器 源 内部 _ 全部。 目的 VPN 辐条地址。 动作 加密。 VPN 通道 VPN 辐条通道名。 允许向内 选择允许向内的通讯。 允许向外 选择允许向外的通讯。 向内 NAT 如果需要选择向内 NAT。 向外 NAT 如果需要选择向外的 NAT。 请见 5 第 196 页 “ 添加一个加密策略” 。 按以下顺序排列策略: ·加密策略 ·默认的非加密策略 (内部 _ 全部 -> 外部 _ 全部) 添加一个 VPN 集中器 按以下步骤添加一个 VPN 集中器配置: 1 进入 VPN > IPSec > 集中器。 2 单击 新建 以添加新的 VPN 集中器。 3 在 集中器名称 一栏输入新集中器的名称。 4 把通道添加到 VPN 集中器,从 可用通道列表 中选择 VPN 通道然后单击右箭头。 5 要从集中器中删除通道,从 成员列表 中选定要删除的通道然后单击左箭头。 6 单击 确定 添加 VPN 集中器。 图 26: FortiGate-500 安装和配置指南 添加 VPN 集中器 199
IPSec VPN 集中器 IPSec VPN VPN 辐条一般配置步骤 一个实现辐条功能的远程 VPN 端点需要以下配置: ·一个到集线器的通道 (自动 IKE 第一阶段和第二阶段配置或手工密钥配置)。 ·本地 VPN 辐条的源地址。 ·每个远程 VPN 辐条的目的地址。 ·每个远程 VPN 辐条一个独立的向外加密策略。这些策略允许本地 VPN 辐条初始化加密 连接。 ·一个单独的向内加密策略。这个策略允许本地 VPN 辐条接受加密连接。 按以下步骤创建 VPN 辐条配置: 1 在辐条和集线器之间配置通道。 选择手工密钥通道或者自动 IKE 通道。 ·要添加手工密钥通道,请见 第 182 页 “ 手工密钥 IPSec VPN” 。 ·要添加一个自动 IKE 通道,请见 2 添加源地址。需要一个本地 VPN 辐条的源地址。 请见 第 195 页 “ 添加源地址” 。 3 为每个远程 VPN 辐条输入一个目的地址。目的地址是辐条 (互联网上的客户端或者网 关后边的网络)的地址。 请见 第 195 页 “ 添加目的地址” 。 4 为每个远程 VPN 辐条设置一个独立的向外加密策略。这个策略控制
IPSec VPN 冗余 IPSec VPN 向内 NAT 如果需要,选择向内 NAT。 向外 NAT 如果需要,选择向外的 NAT。 请见 6 第 196 页 “ 添加一个加密策略” 。 按照如下顺序排列策略: ·向外加密策略 ·向内加密策略 ·默认的非加密策略 (内部 _ 全部 -> 外部 _ 全部) 注意: 为了允许 VPN 辐条访问其他网络,例如互联网,默认的非加密策略是必须的。 冗余 IPSec VPN 为了保证一个 IPSec VPN 通道的连续有效,您可以配置本地 FortiGate 设备和远程 VPN 端点 (远程网关)之间的多重连接。使用了冗余配置后,如果一个连接失败了, FortiGate 设备将使用其他连接建立通道。 配置由每个 VPN 端点拥有的到互联网的连接数量决定。例如,如果本地 VPN 端点有 两个到互联网的连接,那么它可以提供两个到远程 VPN 端点的冗余连接。 单独一个 VPN 端点最多可以配置三个冗余连接。 VPN 连接双方不需要具有相同的互联网连接数。例如,在两个 VPN 端点之间,一个 可以有多个到互联网的连接,而另一个可以只有一个到互联网的连接。当
VPN 监视和问题解答 IPSec VPN 按如下步骤配置 IPSec 冗余: 1 最多可以为三个 VPN 连接添加第一阶段参数。 除了网关名和 IP 地址以外,为每个 VPN 连接输入一样的数值。确保远程 VPN 端点 (远 程网关)有静态 IP 地址。 请见 第 185 页 “ 为自动 IKE VPN 添加第一阶段配置” 。 2 最多为三个 VPN 连接添加第二阶段参数 (VPN 通道)。 ·如果到互联网的连接在同一区域内,添加一个 VPN 通道和到它的远程网关。您最多可 以添加三个远程网关。 ·如果到互联网的连接在不同的区域内,或分配到了单独的接口,为输入的每个远程网 关添加一个 VPN 通道。 请见 3 添加源地址和目的地址。 请见 请见 4 第 188 页 “ 为自动 IKE VPN 添加第二阶段配置” 。 第 195 页 “ 添加源地址” 。 第 195 页 “ 添加目的地址” 。 最多为三个 VPN 连接添加加密策略。 ·如果 VPN 连接在同一区域内,添加一个向外的加密策略;例如一个内部 -> 外部策 略。为这个策略添加自动 IKE 密钥通道。 ·如果 VPN 连接在不同
IPSec VPN VPN 监视和问题解答 图 27: 自动 IKE 密钥通道状态 查看拨号 VPN 连接的状态 您可以使用拨号监视器查看拨号 VPN 的连接状态。拨号监视器列出了远程网关和每 个网关上处于活动状态的 VPN 通道。监视器上还列出了每个通道的通道有效期、超时、 源代理 ID 和目的代理 ID。 按以下步骤查看拨号连接状态 1 进入 VPN > IPSec > 拨号。 有效期 列显示了这个连接建立以来经历的时间。 超时 列显示了下次密钥交换之前剩下的时间。这个时间等于密钥有效期减去上次密钥 交换以来经历的时间。 源代理 ID 列 显示了远端的实际的 IP 地址或者子网地址。 目的代理 ID 列 显示了本地院的实际 IP 地址或者子网地址。 图 28: 拨号监视器 测试 VPN 为了确认位于两个网络之间的 VPN 是否配置正确,可以使用 PING 命令从一个内部 网络连接另一个内部网络中的一台计算机。当 FortiGate 收到第一个发往 VPN 的数据 包时,就会发起 VPN 连接。 为了确认一个在网络和一个或多个远程用户之间的 VPN 是否配置正确,可以发起一 个 VPN 客户端连
VPN 监视和问题解答 204 IPSec VPN 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
配置 PPTP PPTP 和 L2TP VPN 图 29: Windows 客户和 FortiGate 之间的 PPTP VPN 把 FortiGate 配置为 PPTP 网关 按照以下步骤将 FortiGate 设备配置问 PPTP 网关: 添加用户名和组 按以下步骤为每个 PPTP 客户端添加一个用户: 1 进入 用户 > 本地。 2 添加并配置 PPTP 用户。 请见 第 174 页 “ 添加用户名并配置认证” 。 3 进入 用户 > 用户组。 4 添加并配置 PPTP 用户组。 请见 第 178 页 “ 配置用户组” 。 启用 PPTP 并指定一个地址范围 206 1 进入 VPN > PPTP > PPTP 范围。 2 单击启用 PPTP。 3 输入 PPTP 地址范围的起点 IP 地址和终点 IP 地址。 4 选择您在 第 206 页 “ 添加用户名和组” 中添加的用户组。 5 单击 应用 以启用通过 FortiGate 的 PPTP。 美国飞塔有限公司
PPTP 和 L2TP VPN 配置 PPTP 图 30: PPTP 地址范围配置的例子 添加一个源地址 对 PPTP 地址范围中的每个地址添加一个源地址。 1 进入 防火墙 > 地址。 2 选择 PPTP 客户要连接到的接口。 可以是接口、VLAN 子接口或区域。 3 单击新建以添加一个地址。 4 为 PPTP 地址范围内的一个地址输入地址名,IP 地址和网络掩码。 5 单击确定以保存源地址。 6 对 PPTP 地址范围内的所有地址重复上述步骤。 注意:如果 PPTP 地址范围包含某个子网的全部地址,您可以添加这个子网的地址。不 要添加地址组。 添加一个地址组 将源地址编进地址组。 1 进入 防火墙 > 地址 > 组。 2 在 PPTP 客户连接到的网络接口添加一个新的地址组。 可以是网络接口、VLAN 子接口或区域。 3 输入一个用于识别地址组的组名称。 这个名称可以包含数字 (0- 9), 大写或小写字母 (A-Z, a-z), 以及特殊字符 - 和 _。 不能包含其他字符和空格。 4 要添加地址组,在可用地址列表中选择一个地址,单击右箭头将它添加到成员列表
配置 PPTP PPTP 和 L2TP VPN 6 单击确定以添加这个地址组。 添加一个目的地址 添加一个 PPTP 用户可以连接到的地址。 1 进入 防火墙 > 地址。 2 选择一个内部接口或者 DMZ 接口。( 对于不同型号的的 FortiGate,方法一些差别。) 3 单击新建以添加新的地址。 4 为本地 VPN 的内部接口上的单个电脑或一个子网输入地址名,IP 地址和网络掩码。 5 单击确定以保存目的地址。 添加一个防火墙策略 添加一个指定了源地址和目的地址的策略,并将策略的服务类型设置为 PPTP VPN 通道内的通讯类型。 1 进入 防火墙 > 策略。 2 使用策略网格选择您要添加策略的策略列表。 3 单击新建以添加新的策略。 4 将源地址设置为与 PPTP 地址范围匹配的组。 5 将目的地址设置为 PPTP 用户可以连接到的地址。 6 将服务设置为与 PPTP VPN 通道内的通讯匹配的类型。 例如,如果 PPTP 用户可以访问网页,选择 HTTP。 7 将动作设置为 接受。 8 如果需要地址转换则选择 NAT。 您还可以配置 PPTP
PPTP 和 L2TP VPN 配置 PPTP 9 重新启动电脑。 配置 PPTP 拨号连接 1 进入我的电脑 > 拨号 网络 > 配置。 2 双击新建拨号连接。 3 为连接起一个名字,然后单击下一步。 4 输入要连接到的 FortiGate 的主机名或者 IP 地址,然后单击下一步。 5 单击完成。 在拨号网络文件夹将出现新的连接的 图标。 6 鼠标右键单击新图标,选择 属性。 7 转到服务器类型。 8 取消对 IPX/SPX 兼容 的选中。 9 选择 TCP/IP 设置。 10 取消对 IP 头压缩 的选中。 11 取消对 使用远程网络的默认网关 的选中。 12 单击两次 确定。 连接到 PPTP VPN 1 启动您在上面步骤中刚刚建立的拨号连接。 2 输入您的 PPTP VPN 用户名和密码。 3 单击 连接。 配置 Windows2000 的 PPTP 客户端 按照以下步骤配置运行 Windows2000 操作系统的电脑以使它可以连接到 FortiGate PPTP VPN 上。 配置 PPTP 拨号网络连接 1 进入开始 > 设
配置 PPTP PPTP 和 L2TP VPN 连接到 PPTP VPN 1 启动您在上面步骤中刚刚建立的拨号连接。 2 输入您的 PPTP VPN 用户名和密码。 3 单击 连接。 4 在连接窗口,输入您用来连接到您的拨号网络连接的用户名 和密码。 这个用户名和密码不同于您的 VPN 用户名和密码。 配置 WindowsXP 的 PPTP 客户端 按照以下步骤配置运行 WindowsXP 操作系统的电脑 , 即可连接到 FortiGate PPTP VPN。 配置一个 PPTP 拨号网络连接 1 进入开始 > 控制面板。 2 选择 网络和互联网连接。 3 选择 建立一个您的工作间的网络连接,单击 下一步。 4 选择 虚拟专用网络连接, 单击 下一步。 5 为连接输入一个名字,单击 下一步。 6 如果弹出公共网络对话框,选择 自动初始化连接, 单击 下一步。 7 在 VPN 服务器选择 对话框,输入您要连接到的 FortiGate 的主机名或者 IP 地址,单 击 下一步。 8 单击 完成。 配置 VPN 连接 1 鼠标右键单击您在上面操作中创建的连接图
PPTP 和 L2TP VPN L2TP VPN 配置 11 确定以下选项没有没选中: ·微软网络的文件和打印共享 ·微软网络客户 12 单击 确定。 连接到 PPTP VPN 1 连接到您的 ISP。 2 启动您在上面步骤中刚刚配置的 VPN 连接。 3 输入您的 PPTP VPN 用户名和密码。 4 单击 连接。 5 在 连接 窗口,输入您用来连接到您的 拨号网络连接 的用户名和密码。 这个用户名和密码不同于 VPN 连接的用户名和密码。 L2TP VPN 配置 有些 L2TP 的应用支持 IPSec 元素。在 FortiGate 设备中使用 L2TP 时必须禁用这些 IPSec 元素。 注意:只有在 NAT/ 路由模式下才支持 L2TP VPN。 本节叙述了以下内容: ·把 FortiGate 配置为 L2TP 网关 ·配置 Windows2000 客户的 L2TP ·配置 WindowsXP 客户的 L2TP FortiGate-500 安装和配置指南 211
L2TP VPN 配置 PPTP 和 L2TP VPN 图 31: Windows 客户和 FortiGate 之间的 L2TP VPN 把 FortiGate 配置为 L2TP 网关 按以下步骤将 FortiGate 设备配置为 L2TP 网关: 添加用户和用户组 为每个 L2TP 客户端添加一个用户: 1 进入 用户 > 本地。 2 添加并配置 L2TP 用户。 请见 第 174 页 “ 添加用户名并配置认证” 。 3 进入 用户 > 用户组。 4 添加并配置 L2TP 用户组。 请见 第 178 页 “ 配置用户组” 。 启用 L2TP 并指定地址范围 212 1 进入 VPN > L2TP > L2TP 范围。 2 选择启用 L2TP。 3 输入 L2TP 地址范围的 起点 IP 地址 和 终点 IP 地址。 4 选择您在 第 212 页 “ 添加用户和用户组” 添加的用户组。 5 单击应用 以启动通过 FortiGate 的 L2TP。 美国飞塔有限公司
PPTP 和 L2TP VPN L2TP VPN 配置 图 32: L2TP 地址范围配置的例子 6 把 L2TP 地址范围中的地址添加到外部区域地址列表。这些地址可以放进一个外部地址 组里。 7 在连接到目的区域中添加 L2TP 用户可以连接的网络地址。这些地址可以放进一个地址 组里。 例如,如果您希望 L2TP 用户可以连接到内部区域中,您可以在内部区域地址列表里添 加这个地址。 8 添加一个允许 L2TP 用户通过 FortiGate 连接的策略。 添加源地址 对 L2TP 地址范围中的每个地址添加一个源地址。 1 进入 防火墙 > 地址。 2 选择 L2TP 客户要连接到的接口。 可以是接口、VLAN 子接口或区域。 3 单击新建以添加一个地址。 4 为 L2TP 地址范围内的一个地址输入地址名,IP 地址和网络掩码。 5 单击确定以保存源地址。 6 对 L2TP 地址范围内的所有地址重复上述步骤。 注意:如果 L2TP 地址范围包含某个子网的全部地址,您可以添加这个子网的地址。不 要添加地址组。 添加一个地址组 将源地址编进地址组。 1 进入 防火墙 >
L2TP VPN 配置 PPTP 和 L2TP VPN 3 输入一个用于识别地址组的组名称。 这个名称可以包含数字 (0-9), 大写或小写字母 (A-Z, a-z), 以及特殊字符 - 和 _。 不能包含其他字符和空格。 4 要添加地址组,在可用地址列表中选择一个地址,单击右箭头将它添加到成员列表。 5 要从地址组中删除地址,从成员列表中选择一个地址,然后单击左箭头以将它从组中 删除。 6 单击确定以添加这个地址组。 添加一个目的地址 添加一个 L2TP 用户可以连接到的地址。 1 进入 防火墙 > 地址。 2 选择一个内部接口或者 DMZ 接口。( 对于不同型号的的 FortiGate,方法一些差别。) 3 单击新建以添加新的地址。 4 为本地 VPN 的内部接口上的单个电脑或一个子网输入地址名,IP 地址和网络掩码。 5 单击确定以保存目的地址。 添加一个防火墙策略 添加一个指定了源地址和目的地址的策略,并将策略的服务类型设置为 L2TP VPN 通道内的通讯类型。 1 进入 防火墙 > 策略。 2 使用策略网格选择您要添加策略的策略列表。 3 单击新建
PPTP 和 L2TP VPN L2TP VPN 配置 4 在 目的地址 一栏,输入您要连接的 FortiGate 的地址,单击 下一步。 5 将连接设置为 只有我自己可以使用此连接,单击 下一步。 6 单击 完成。 7 在连接窗口,单击 属性。 8 选择 安全 属性页。 9 确定 需要数据加密 已经被选中了。 注意:如果使用 RADIUS 服务器做认证,不要选择需要数据加密。 RADIUS 服务器认证不支持 L2TP 加密。 10 选择 网络 属性页。 11 将 VPN 服务器类型设置为第二层隧道协议 (L2TP)。 12 保存您所做的修改,继续以下操作。 禁用 IPSec 1 选择 网络 属性页。 2 选择互联网协议 (TCP/IP) 属性。 3 双击 高级 属性页。 4 进入选项 页,选择 IP 安全 属性。 5 确认 不使用 IPSec 被选中了。 6 单击 确定 关闭连接属性窗口。 注意:缺省的 Windows2000L2TP 传输策略不允许 L2TP 传输不使用 IPSec 加密。您可以通过修改 Windows2000 注册表来禁用缺省
L2TP VPN 配置 PPTP 和 L2TP VPN 4 在连接窗口,输入您的拨号网络连接的用户名和密码。 这个用户名和密码不同于您的 L2TP VPN 用户名和密码。 配置 WindowsXP 客户的 L2TP 按照以下步骤配置运行 WindowsXP 系统的电脑使得它能够连接到 FortiGate L2TP VPN。 配置 L2TP VPN 拨号网络连接 1 进入开始 > 设置。 2 选择 网络和互联网连接。 3 选择 建立一个您的工作间的网络连接,单击 下一步。 4 一选择 虚拟专用网络连接, 单击 下一步。 5 为连接输入一个名字,单击 下一步。 6 如果弹出公共网络对话框,选择 自动初始化连接, 单击 下一步。 7 在 VPN 服务器选择 对话框,输入您要连接到的 FortiGate 的主机名或者 IP 地址,单 击 下一步。 8 单击 完成。 配置 VPN 连接 1 鼠标右键单击您在上面操作中创建的连接图标。 2 选择 属性 > 安全。 3 选择 常规 以进行常规设置。 4 选择 需要数据加密。 注意:如果是用 RADIUS 服务器进行认证
PPTP 和 L2TP VPN L2TP VPN 配置 禁用 IPSec 1 选择 网络 标签。 2 选择互联网 (TCP/IP)协议属性。 3 双击 高级 标签。 4 进入 选项标签,选择 IP 安全 属性。 5 确认 不使用 IPSec 被选中了。 6 单击 确定 关闭连接属性对话框。 注意:缺省的 WindowsXP L2TP 传输策略不允许 L2TP 传输不使用 IPSec 加密。您可以通过修改 WindowsXP 注册表来禁用缺省的行为。具体方法在下面步骤中讨论。在修改 Windows 注册表之前 请详细查阅 Windows 文档。 7 使用注册表编辑器 (regedit)定位注册表中的以下主键: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\ Parameters 8 添加以下键值: Value Name: ProhibitIpSec Data Type: REG_DWORD Value: 1 9 保存您所做的改动并重新启动电脑以使修改生效。 您必须添加 ProhibitIpSec 注册
L2TP VPN 配置 PPTP 和 L2TP VPN 218 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
防病毒扫描 防病毒保护 6 配置 FortiGate 设备在阻塞或删除被感染的文件时发送的报警邮件,请见 日志和消息 参考指南中的 “配置报警邮件”。 注意:要接收病毒日志消息,请见日志配置和参考指南中的 “配置日志”,关于日志消息的内容 和格式的信息,请见日志配置和参考指南中的 “病毒日志消息”。 防病毒扫描 病毒扫描可以从启用了防病毒保护功能的内容流中截取大多数的文件 (包括使用 ZIP、RAR、GZIP、UPX 和 OLE 压缩了 12 层的文件)。病毒扫描功能将测试每个文件的 文件类型和使用最有效的方法在文件中扫描病毒。例如,使用二进制病毒扫描功能扫 描二进制文件,使用宏病毒扫描功能扫描含有宏的 Microsoft Office 文件。 FortiGate 病毒扫描功能不扫描以下类型的文件: ·cd 映像 ·软盘映像 ·扩展名为 .ace 的文件 ·扩展名为 .bzip2 的文件 ·扩展名为 .
防病毒保护 文件阻塞 图 33: 病毒扫描的内容配置文件的例子 文件阻塞 启用文件阻塞删除所有的文件以阻止潜在的威胁,并对计算机病毒攻击提供最好的 保护。只有出现防病毒扫描功能不能发现的新病毒的时候才有必要使用文件阻塞功能 提供对病毒的防护。通常情况下您没有必要启用 FortiGate 设备的文件阻塞功能。然 而,在极度危险的情况下,当没有其它的方式能够保护您的网络免受文件型病毒的危 害的时候,文件阻塞是唯一有效的方法。 在配备了硬盘的 FortiGate 设备中,如果启用了对应通讯协议的文件阻塞的隔离功 能,FortiGate 设备会将文件添加到隔离列表。 文件阻塞功能会删除所有与文件样板列表匹配的文件。FortiGate 设备会用一条警 告消息替换掉文件并转发给用户。同时,如果做了相应的配置,FortiGate 设备还会在 病毒日志中写入一条消息,并发送一封报警邮件。 注意:如果同时启用了阻塞和扫描,FortiGate 设备直接阻塞与文件名样板列表匹配 的文件,而不对它们进行病毒扫描。 FortiGate-500 安装和配置指南 221
隔离 防病毒保护 默认情况下,当阻塞功能启用时,FortiGate 按照以下文件名样板阻塞文件: ·可执行文件 (*.bat, *.com, 和 *.exe) ·压缩或存档文件 (*.gz, *.rar, *.tar, *.tgz, 和 *.zip) ·动态链接库文件 (*.dll) ·HTML 应用程序 (*.hta) ·Microsoft Office 文件 (*.doc, *.ppt, *.xl?) ·Microsoft Works 文件 (*.wps) ·Visual Basic 文件 (*.vb?) ·屏幕保护程序 (*.
防病毒保护 隔离 在 FortiGate 设备中,被隔离的文件的文件名显示在隔离列表里。列表显示每个被 隔离的文件的状态、副本数和时间信息。您可以根据这些条件对列表进行排序和过滤。 您也可以从这个列表中删除或下载文件。 ·隔离被感染的文件 ·隔离被阻塞的文件 ·查看隔离列表 ·隔离列表排序 ·过滤隔离列表 ·从隔离区中删除文件 ·下载被隔离的文件 ·配置隔离选项 隔离被感染的文件 使用内容配置文件可以隔离在由防火墙策略控制的 HTTP, FTP, POP3, IMAP, 和 SMTP 通讯中发现的被感染的文件。 1 进入 病毒防护 > 隔离 > 隔离配置。 2 选择要隔离被感染的文件的内容协议。 3 在内容配置文件中选择防病毒扫描。 请见 第 170 页 “ 添加一个内容配置文件” 。 4 选择隔离以将任何已发现被病毒感染的文件隔离。 5 将这个内容配置文件添加到防火墙策略,以隔离由这个防火墙策略控制的通讯中发现 的被感染的文件。 请见 第 171 页 “ 将内容配置文件添加到策略” 。 隔离被阻塞的文件 使用内容配置文件可以隔离在由防火墙策略控制的 HTTP, FTP, POP
隔离 防病毒保护 文件名 被隔离的文件的文件名。文件名中的空格将被删除。当文件被隔离时,它会 被添加一个 32 比特的校验和并用以下格式存贮在 FortiGate 硬盘上: <32bit CRC>.< 被处理过的文件名 > 例如,一个名为 Over Size.exe 的文件按以下格式存储: 3fc155d2.oversize.exe。 隔离日期 文件被隔离时的日期和时间,按如下格式存储:天天 / 月月 / 年年年年 时 时 : 分分。如果这个文件存在多个副本,这个时间指的是第一个被隔离的文 件被存储的时间。 服务 被隔离的文件所用的协议 (HTTP, FTP, IMAP, POP3, SMTP)。 状态 用颜色表示的状态指示: t 红:文件被感染 t 黄:文件被启发式扫描捕获 t 绿:文件被阻塞样板所阻塞 t 蓝:文件大小超过了限制 Fortinet 建议您将状态为黄色的文件发送到 Forti 响应中心,因为这些文 件可能含有新的病毒或已知病毒的变种。 状态描述 指出与状态相关的信息。例如 “文件被 ‘W32/Klez.
防病毒保护 阻塞过大的文件和电子邮件 2 单击下载 以原始格式下载被隔离的文件。 配置隔离选项 您可以指定 FortiGate 设备是否隔离被感染的文件、被阻塞的文件或两者都隔离。 您可以指定从网页、FTP 和电子邮件通讯中进行隔离。您还可以设置文件的有效期限, 文件的最大尺寸和当 FortiGate 设备的硬盘满时如何处理文件。 1 进入病毒防护 > 隔离 > 隔离配置。 2 对于每种通讯协议,单击隔离被感染的文件和隔离被阻塞的文件核选框。 FortiGate 设备在选定的通讯中隔离被感染和被阻塞的文件。 注意:隔离阻塞文件的选项不适用于 HTTP 或 FTP,因为在文件名在请求时已经被阻塞 了并且这个文件不被下载到 FortiGate 设备。 3 输入以小时为单位的有效期限 (TTL) 以指定文件在隔离区中保存的时间。 最大时间是 480 小时。当 TTL 达到 00:00 时 FortiGate 设备自动删除文件。 4 输入隔离区中被隔离文件尺寸的最大值 (兆字节)。FortiGate 设备保留现有的大小超 过了这一限制的被隔离的文件。FortiGate 设备不再隔离任何新的大小
查看病毒列表 防病毒保护 ! 警告:FortiGate 不能扫描邮件碎片中的病毒或者使用文件名样板从这些邮件中删除文件。 按以下方法将 FortiGate 设备配置为传递邮件片段: 1 在内容配置文件中启用邮件片段传递。 2 在防火墙策略中选种 病毒防护和网页过滤。例如,要传递由内部网络用户到外部网络 的邮件片段,选择一个内部到外部的策略。 3 对您希望 FortiGate 设备扫描的策略,选择一个已经启用了邮件片段传递的内容配置 文件。 查看病毒列表 使用以下操作可以显示当前病毒定义库列表中的病毒和蠕虫列表。 226 1 要显示病毒列表,进入 病毒防护 > 配置 > 病毒列表。 2 卷动病毒和蠕虫列表可以查看列表中的所有病毒和蠕虫名称。 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
内容阻塞 网页内容过滤 4 配置当 FortiGate 设备阻塞不受欢迎的内容或不受欢迎的 URL 的时候用户收到的信息。 请见 第 139 页 “ 定制替换信息” 。 5 配置 FortiGate 设备在阻塞或删除一个受感染的文件的时候发送一封报警邮件。请见 日志配置和参考指南中的 “配置报警邮件”。 注意:要接收网页过滤日志消息,请见日志配置和参考指南中的 “配置日志记录”关于日志消 息的内容和格式,请见日志配置和参考指南中的 “网页过滤日志消息”。 内容阻塞 当 FortiGate 阻塞某个网页时,对那个被阻塞了的网页发出请求的用户会收到一个 阻塞信息,同时 FortiGate 会在网页过滤日志中写入一条消息。 您可以使用多种语言在禁忌词汇列表中添加词汇和短语。可以使用西方语言、简体 中文、繁体中文、日文或者韩文字符集。.
网页内容过滤 阻塞对 URL 的访问 图 34: 禁忌词汇列表举例 阻塞对 URL 的访问 您可以使用 FortiGate 网页过滤功能或 Cerberian 网页过滤器阻塞不受欢迎的内 容。 ·使用 FortiGate 网页过滤器 ·使用 Cerberian 网页过滤器 使用 FortiGate 网页过滤器 您可以阻塞某个网站的所有页面,只需要把顶级 URL 或者 IP 地址添加到阻塞列 表。或者,您可以单独阻塞某个页面,方法是在阻塞列表里添加这个页面的整个路径 和文件名。 本节讨论了: ·在阻塞列表中添加 URL 或者 URL 样板 ·清除 URL 阻塞列表 ·下载 URL 阻塞列表 ·上载 URL 阻塞列表 在阻塞列表中添加 URL 或者 URL 样板 1 进入 Web 过滤器 > URL 阻塞。 2 单击 新建 ,在 URL 阻塞列表中添加新的条目。 FortiGate-500 安装和配置指南 229
阻塞对 URL 的访问 网页内容过滤 3 输入要阻塞的 URL。 输入一个顶级 URL 或者 IP 地址可以阻塞对一个站点上所有网页的访问。例如, www.badsite.com 或者 122.133.144.155 阻塞了对这个站点上所有网页的访问。 输入一个顶级 URL 后面加上路径和文件名可以阻塞对这个站点中单个页面的访问。例 如, www.badsite.com/news.html 或者 122.133.144.155/news/html 阻塞 了对这个站点中 news 页面的访问。 要阻塞一个含有 badsite.com 结尾的 URL 中的所有页面,把 badsite.com 添加进 阻塞列表。例如,添加 badsite.com 阻塞了对 www.badsite.com,mail.badsite.com,www,finace,badsite.com 等等站点 的访问。 注意:不要在要阻塞的 URL 中包含 http://。 不要使用星号 (*)来代表任意字符。您 可以输入一个顶级域名的后缀 ( 例如,不带前边的 “.
网页内容过滤 阻塞对 URL 的访问 下载 URL 阻塞列表 您可以将 URL 阻塞列表备份,方法是将它下载到管理员电脑上保存为文本文件。 1 进入 Web 过滤器 > URL 阻塞。 2 选择 下载 URL 阻塞列表 。 FortiGate 将把 URL 阻塞列表下载到控制电脑上保存为一个文本文件。您可以指定保存 文本文件的位置和文件名。 上载 URL 阻塞列表 您可以用一个文本编辑器创建一个 URL 阻塞列表然后把这个文本文件上载到 FortiGate。在文本文件中每个 URL 占独立的一行。您可以在 URL 后面加上一个空格然 后加上一个 1 来启用它或者一个零 (0)来禁用这个 URL。如果您不添加不在文本文件 中添加这些信息,FortiGate 将自动启用您所上载的文本文件中的所有的 URL。 图 36: URL 阻塞列表的文本文件举例 www.badsite.com/index 1 www.badsite.com/products 1 182.63.44.
阻塞对 URL 的访问 网页内容过滤 如果您为您的 FortiGate 设备购买了 Cerberian 网页过滤功能,按照以下步骤为 FortiGate 设备配置 Cerberian 网页过滤器。 一般配置步骤 要使用 Cerberian 网页过滤器,您需要: 1 安装 Cerberian 网页过滤器许可密钥。请见 Cerberian 许可密钥” 。 第 232 页 “ 在 FortiGate 设备上安装 2 添加要使用 Cerberian 网页过滤器的用户。请见 中添加一个 Cerberian 用户” 。 3 配置 Cerberian 网页过滤器。请见 4 启用 Cerberian URL 过滤。请见 第 232 页 “ 在 FortiGate 设备 第 231 页 “ 使用 Cerberian 网页过滤器” 。 第 231 页 “ 使用 Cerberian 网页过滤器” 。 注意:要使用 Cerberian 网页过滤,FortiGate 设备必须能够访问互联网。 在 FortiGate 设备上安装 Cerberian 许可密钥 在您使用 Cerberian 网页过滤之前,您必
网页内容过滤 阻塞对 URL 的访问 配置 Cerberian 网页过滤 您在 FortiGate 设备中添加了 Cerberian 网页过滤用户之后,可以将用户添加到 Cerberian 网页过滤服务器的用户组中。然后您可以创建策略并将策略应用到这个用户 组。 关于默认组和策略 在 Cerberian 网页过滤器中存在一个默认用户组,并和默认策略关联。 您可以在默认组中添加用户,并将任何策略应用到这个组。 默认组可以用于: ·所有在 FortiGate 设备中没有指派别名的用户。 ·所有没有添加到其他用户组的用户。 Cerberian 网页过滤器将网页分成 53 类。默认的策略阻塞 12 类的 URL。您可以修 改默认策略并将他应用到任何用户组。 按以下方法配置 Cerberian 网页过滤 1 根据您添加到 FortiGate 设备的别名将用户添加到 Cerberian 服务器的用户组。因为 网页策略只能应用到用户组。如果您没有为 FortiGate 设备中的用户 IP 输入别名,用 户 IP 自动添加到默认组中。 2 选择您要阻塞的网页类别,创建您册策略。 3 将策略应用到包含这个用户的用
脚本过滤 网页内容过滤 脚本过滤 使用以下方法可以将 FortiGate 配置为从网页中删除脚本。您可以将 FortiGate 配 置为阻塞 java 小程序、cookies 和 ActiveX。 注意:阻塞这些内容中的任何一项都可能会使得某些网页无法正常工作。 ·启用脚本过滤 ·选择脚本过滤选项 启用脚本过滤 1 进入 防火墙 > 内容配置文件。 2 选择您要启用脚本过滤的内容配置文件。 3 单击脚本过滤。 4 单击确定。 选择脚本过滤选项 1 进入 Web 过滤器 > 脚本过滤。 2 选择您要启用的脚本过滤选项。 您可以阻塞 java 小程序、cookies 和 ActiveX。 3 单击 应用 。 图 37: 234 脚本过滤设置为阻塞 java 小程序和 ActiveX 的例子 美国飞塔有限公司
网页内容过滤 URL 排除列表 URL 排除列表 在 URL 排除列表中添加的 URL 是为了避免正常的数据流被内容过滤或 URL 过滤功能 意外地阻塞掉。例如,如果内容过滤被设置为阻塞含有关于色情描写的词汇而一个著 名的站点上有一个色情故事,那么这个站点上的全部网页就会被阻塞。把这个站点的 URL 添加到 URL 排除列表里就可以避免内容阻塞功能对这个站点上的网页的阻塞。 注意:从被排除的 URL 上下载的内容将不会被防病毒保护功能扫描或阻塞。 在 URL 排除列表中添加 URL 1 进入 Web 过滤器 > 排除 URL。 2 选择 新建 在 URL 排除列表中添加新的 URL。 3 输入要排除的 URL。 输入一个包括路径和文件名的完整的 URL,可以排除对这个站点上的这个网页的阻塞。 例如, www.goodsite.com/index.html 可以排除对这个站点的主页的阻塞。您也 可以指定 IP 地址,例如, 122.63.44.67/index.
URL 排除列表 236 网页内容过滤 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
电子邮件阻塞列表 电子邮件过滤 您可以用西方字符集、简体中文、繁体中文、日文、或韩文字符集使用多种语言在 列表中添加禁忌词汇。 在禁忌词汇列表中添加单词或短语 1 进入 Web 过滤器 > 内容阻塞。 2 单击 新建 ,在禁忌词汇列表中添加新的词汇或短语。 3 输入禁忌词汇或者短语。 如果您输入的是单个词汇 (例如,禁忌),FortiGate 将标记所有包含了这个词汇 的 IMAP 和 POP3 电子邮件。 如果输入的是一个短语 (例如,禁忌 短语),FortiGate 将标记所有同时包含这 两个词汇的 IMAP 和 POP3 电子邮件。当这个短语出现在禁忌词汇列表中时,FortiGate 将在两个词汇之间的空格处插入一个加号 (+) (例如,禁忌 + 短语)。 如果输入了一个被引号包围的短语 (例如,“禁忌 词汇”),FortiGate 将标记所 有内容中包含这两个词汇并以一个短语的形式出现的 IMAP 和 POP3 电子邮件。 内容过滤并不区分大小写字母。您也不能在禁忌词汇中包含特殊字符。 4 选择禁忌词汇或短语使用的语言或字符集。 您可以选择西方语言、简体中文、繁体中文、日文或是韩文
电子邮件过滤 邮件排除列表 3 输入一个阻塞模板。 ·要标记来自一个特定地址的所有邮件,只需输入这个邮件的地址。例如, sender@abccompany.com。 ·要标记从特定域来的邮件,输入域名。例如, abccompany.com。 ·要标记从特定子域来的邮件,输入子域名。例如, mail.abccompany.com。 ·要标记从某一类地址来的全部邮件,输入顶级域名。例如,输入 com 可以标记所有使 用 .
添加一个主题标签 电子邮件过滤 添加一个主题标签 当 FortiGate 设备从一个不受欢迎的地址收到电子邮件、或收到含有邮件禁忌词汇 列表中的词汇的邮件的时候,FortiGate 设备将在主题中添加一个标签并将消息发送到 邮件的目的地址。邮件用户可以使用他们的电子邮件客户端软件根据主题中的标签过 滤电子邮件。 按以下方法添加主题标签 1 进入 电子邮件过滤 > 配置。 2 输入您希望在主题栏显示的标签。这一标签将显示在从不受欢迎的地址受到的邮件或 含有禁忌词汇的邮件的主题栏中。例如,输入 “不受欢迎的邮件”。 注意:不要在主题标签中使用引号。 3 240 单击应用。 FortiGate 设备将在所有不受欢迎的邮件的主题栏中添加这一标签。 美国飞塔有限公司
FortiGate-500 安装和配置指南 2.
记录日志 日志和报告 在远程电脑上记录日志 以下操作用于将 FortiGate 配置为将日志消息记录到一台远程电脑上。这台远程电 脑必须配置为一个系统日志服务器。 1 进入 日志与报告 > 日志设置。 2 选择 记录日志到远程主机 以发送日志到一个日志服务器上。 3 输入运行系统日志服务器软件的远程主机的 IP 地址 。 4 输入系统日志服务器的端口号。 5 选择您希望记录到日志的消息的紧急程度。 FortiGate 会将所有不低于您所选择的级别的消息记录进日志。例如,如果您希望记录 紧急、警报、危险和错误消息,选择错误。 6 单击配置策略。 ·选择您希望 FortiGate 设备记录的日志的类型。 ·对于每一种日志类型,选择选择您希望 FortiGate 设备进行的记录操作。 ·单击确定。 关于日志类型和记录活动的详细信息请见 245 页 “ 配置通讯日志” 。 7 第 244 页 “ 过滤日志消息” 和 第 单击应用。 在 NetIQ WebTrends 服务器上记录日志 以下操作可以将 FortiGate 配置为在一台远程的 NetIQ 防火墙报告服务器上记录 日志
日志和报告 记录日志 以下操作设置日志的记录方式为记录到硬盘: 1 进入日志与报告 > 日志设置。 2 选择 记录到本地 。 3 输入一个日志文件的 最大值 ( 以兆字节为单位) 。 当日志文件的大小达到这一最大值的时候,当前日志文件将被保存并关闭。系统将创 建一个新的当前日志文件用来记录日志。默认的最大系统日志文件的大小是 10M 字节, 您可以设置的最大值为 2G 字节。 4 输入一个创建日志的 时间间隔 (以天为单位) 在达到指定的时间间隔后,当前日志文件将被保存和关闭,一个新的文件被创建。默 认的时间间隔是 10 天。 5 选择您希望记录到日志的消息的紧急程度。 FortiGate 会将所有不低于您所选择的级别的消息记录进日志。例如,如果您希望记录 紧急、警报、危险和错误消息,选择错误。 6 单击配置策略。 要对 FortiGate 过滤的日志类型和记录的事件进行配置,按照 第 244 页 “ 过滤 日志消息” 和 第 245 页 “ 配置通讯日志” 中的步骤操作。 7 设置当磁盘被写满时的日志选项: 8 覆盖 当硬盘满的时候删除最早的日志文件。覆盖是默认的选项。
过滤日志消息 日志和报告 过滤日志消息 您可以选择记录哪种日志和在每种日志中记录哪类消息。 244 1 进入 日志和报告 > 日志设置。 2 选择配置策略设置您在 3 选择您希望 FortiGate 设备记录的日志类型。 第 241 页 “ 记录日志” 选择的日志记录位置。 通讯日志 记录所有到该接口和通过该接口的连接。 要配置通讯过滤,请见 第 247 页 “ 添加通讯过滤的条目” 。 事件日志 将管理和活动事件记录到事件日志里。 管理事件包括系统配置的修改、管理员和用户的登录和注销。活动日志包 括系统活动,例如建立 VPN 通道,HA 失效恢复事件。 病毒日志 记录病毒入侵事件,例如当 FortiGate 设备检测到一个病毒阻塞某个类型 的文件,或者阻塞一个超大型的文件或电子邮件的时候,发生此事件。 网页过滤日志 记录系统活动事件,例如 URL 和内容阻塞,以及从阻塞的 URL 中排除指定 的 URL。 攻击日志 记录由 NIDS 检测到的攻击和 NIDS 预防功能阻止的攻击企图。 电子邮件过滤日志 记录活动事件,例如检测到包含有不受欢迎的内容的邮件或者由不受欢
日志和报告 配置通讯日志 图 39: 日志过滤配置的例子 配置通讯日志 您可以将 FortiGate 设备配置为记录以下连接的通讯日志消息: ·任意接口 ·任意 VLAN 子网络接口 ·任意防火墙策略 FortiGate 设备可以根据任何源地址、目的地址或服务类型对通讯日志进行过滤。 您还可以起用以下全局设置: ·将 IP 地址解析为主机名, ·记录会话或包信息, ·显示端口号或服务。 通讯过滤列表显示了过滤的通讯的名称、源地址、目的地址和协议类别。 本节描述了以下内容: ·启用通讯日志 ·配置通讯过滤设置 ·添加通讯过滤的条目 FortiGate-500 安装和配置指南 245
配置通讯日志 日志和报告 启用通讯日志 您可以对任何接口、VLAN 子接口和防火墙策略启用日志记录。 在网络接口上启用通讯日志 如果您对某个网络接口启用了通讯日志记录,所有到此接口和通过此接口的网络连 接将被记录进通讯日志。 1 进入 系统 > 网络 > 接口。 2 在你要启用日志记录的接口的一侧,单击修改列上的编辑 3 对日志,单击 启用。 4 单击确定。 5 对每个您希望启用日志记录功能的接口重复这一操作。 。 对 VLAN 子网络接口启用通讯日志 如果您在一个 VLAN 子网络接口上启用了通讯日志记录,所有到此 VLAN 子接口和通 过此接口的网络连接将被记录进通讯日志。 1 进入 系统 > 网络 > 接口。 2 在你要启用日志记录的 VLAN 子接口的一侧,单击修改列上的编辑 3 对日志,单击 启用。 4 单击确定。 5 对每个您希望启用日志记录功能的 VLAN 子接口重复这一操作。 。 对防火墙策略启用通讯日志 如果您启用了某个防火墙策略的通讯日志记录,这个防火墙策略接受的全部连接都 将被记录进通讯日志。 1 进入 防火墙 > 策略。 2 选择
日志和报告 配置通讯日志 3 类型 选择 会话或包。如果您选择了会话,FortiGate 设备将每个会话发送和接 收的包的数量。如果您选择了包,FortiGate 设备将记录每个会话的包的 平均长度 (以字节为单位)。 显示 如果您希望通讯日志消息列出端口号,例如,80/TCP,则选择端口号。如 果您希望通讯日志消息列出服务的名称,例如,TCP,则选择服务名称。 单击应用。 图 40: 通讯过滤列表的例子 添加通讯过滤的条目 在通讯过滤列表中添加条目可以过滤通讯日志记录的消息。如果您不在通讯过滤列 表中添加任何条目,FortiGate 记录所有的通讯日志消息。您可以在通讯过滤列表中添 加条目来限制通讯日志记录的内容。您可以选择记录来自某个指定源 IP 地址和网络掩 码、到某个指定目的地址和掩码以及某个特定类型服务的通讯日志。通讯过滤条目可 以包含源地址、目的地址和服务类型的任意组合。 按照以下步骤在通讯过滤列表中添加条目。 1 进入 日志和报告 > 日志设置 > 通讯过滤。 2 单击新建。 3 配置通讯过滤,选择您希望通讯日志记录的通讯的类型。 4 名称 输入一个名称以识别这
查看记录到内存的日志 日志和报告 图 41: 新通讯地址条目的例子 查看记录到内存的日志 如果 FortiGate 被配置为在内存中记录日志。您可以使用基于 Web 的管理程序来查 看、搜索和清除日志中的消息。本节讨论了: ·查看日志 ·搜索日志 查看日志 在日志消息列表中,消息按照时间顺序排列,生成时间晚的消息排在上面。以下操 作用于查看保存在系统内存中的日志消息: 1 进入日志与报告 > 记录日志。 2 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 基于 Web 的管理程序列出保存在系统内存中的日志消息。 3 滚动窗口可以查看到更多的日志消息。 4 要查看日志中的某一行,只需在转到某行的空白处填写行号,然后单击 5 要在日志消息中翻页,单击 向下翻页 或 向上翻页 。 。 搜索日志 使用以下操作可以搜索保存在系统内存里的日志消息。 248 1 进入 日志与报告 > 记录日志。 2 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 3 单击 4 选择 与 可以搜索与所有给定条件匹配的消息。 可以在选定的日志
日志和报告 查看和管理保存在硬盘上的日志 5 选择 或 可以搜索与某个或多个给定条件匹配的消息。 6 选择以下一个或多个搜索条件: 7 关键词 可以搜索包含在消息中的任何文字。关键词搜索中区分大小写字母。 时间 搜索日志中创建时间符合给定的年、月、日、小时条件的日志。 单击 确定 开始搜索 基于 Web 的管理程序 会显示出符合给定搜索条件的日志消息。您可以卷动窗口查看消 息或者进行另一次搜索。 注意:在进行了一次搜索之后,如果想再次显示所有的日志消息,只需清空所有的搜索条件并再 次执行搜索。 查看和管理保存在硬盘上的日志 如果您的 FortiGate 的日志是记录在硬盘上的,您可以用以下方法查看、搜索和维 护日志: ·查看日志 ·搜索日志 ·将日志文件下载到管理员电脑 ·删除当前日志中的全部消息 ·删除一个保存了的日志文件 查看日志 在日志消息列表中,最近生成的消息被排在最上面。您可以用以下操作查看活动的 或者保存了的日志: 1 进入日志与报告 > 记录日志。 2 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 基于 Web 的管理程序 列出选定类型的
查看和管理保存在硬盘上的日志 日志和报告 2 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 3 对要查看的日志文件,单击查看 4 单击 5 选择 与 可以搜索与所有给定条件匹配的消息。 6 选择 或 可以搜索与某个或多个给定条件匹配的消息。 7 选择以下一个或多个搜索条件: 在您正在查看的日志文件中搜索消息。 关键词 8 。 用于搜索日志消息里包含的任何文字。关键词搜索是区分大小写的。 源 用于搜索任何源 IP 地址。 目的 用于搜索任何目的 IP 地址。 Time 用于搜索在给定的年、月、日和时间内记录的消息。 单击确定以执行搜索。 基于 Web 的管理程序会显示出符合给定搜索条件的日志消息。您可以卷动窗口查看消 息或者进行另一次搜索。 注意:在进行了一次搜索之后,如果想再次显示所有的日志消息,只需清空所有的搜索条件并再 次执行搜索。 将日志文件下载到管理员电脑 您可以将日志文件下载到管理员电脑并保存为纯文本文件或者逗号分隔值 (CSV) 文件。下载完之后,您可以使用任何文本编辑器查看文本文件,或者使用一个电子表 格软件查看 CS
日志和报告 配置报警邮件 删除一个保存了的日志文件 按照如下步骤操作可以删除一个保存了的日志文件: 1 进入日志和报告 > 记录日志。 2 选择流量日志,事件日志,攻击日志,病毒防护日志,网页过滤日志,或者电子邮件 日志。 基于 Web 的管理程序列出了符合选定的类型的全部日志,在列表的顶部是当前日志。 对于每个日子后,列表显示了添加到这个日志的最后一个条目的日期和时间,日志文 件的大小和文件名。 3 要删除一个保存了的日志文件,单击删除 。 单击确定以删除这个日志文件。 配置报警邮件 您可以为 FortiGate 的报警邮件配置最多三个发送地址。您可以为病毒事件、阻塞 事件、入侵事件和防火墙或者 VPN 事件或者异常事件的启用报警邮件发送功能。在您 设置完邮件地址之后,可以通过发送测试邮件来测试您的设置是否正确。 ·添加报警邮件地址 ·测试报警邮件 ·启用报警邮件 添加报警邮件地址 因为 FortiGate 设备使用 SMTP 服务器名来连接邮件服务器,所以它必须能够在您的 DNS 服务器上解析这个服务器名。因此,在您配置报警邮件之前确保您已经配置了至少 一个 DNS 服务器。 按以下
配置报警邮件 日志和报告 6 在 邮件发送到 一栏最多可以输入三个目的地址。 这个地址是 FortiGate 将报警邮件实际发送到的电子邮件地址。 7 单击 应用 以保存您的报警邮件设定。 测试报警邮件 您可以通过发送测试邮件的方法测试报警邮件设置是否正确: 1 进入 日志与报告 > 报警邮件 > 配置。 2 单击 测试 ,从 FortiGate 发送测试邮件到您所配置的邮件地址。 启用报警邮件 您可以配置 FortiGate 发送报警邮件来响应以下事件:病毒事件、入侵企图、以及 防火墙或者 VPN 事件。如果您已经配置了将日志存储到本地硬盘,则可以启用当硬盘 快被写满时发送报警邮件的功能。按照以下步骤启用报警邮件: 252 1 进入 日志与报告 > 报警邮件 > 分类。 2 选中启用病毒事件的报警邮件 可以使 FortiGate 在防病毒扫描功能发现病毒时发送报 警邮件。 当病毒文件阻塞功能删除一个文件时不会发送此邮件。 3 选中启用阻塞事件报警邮件可以使 FortiGate 在阻塞被病毒感染的文件时发送报警邮 件。 4 选中启用入侵报警邮件 可以使 FortiGate
FortiGate-500 安装和配置指南 2.
术语表 MTU,最大传输单元: 一个网络可以传输的数据包的最 大物理尺寸,以字节为单位。任何大于 MTU 的数据包在 发送之前都会被分成较小的数据包。理想情况下,网络 中的 MTU 应当等于从您的电脑到目的地之间所经过的所 有网络中的最小 MTU。如果您的消息大于其中的任何一 个 MTU,它们会把它分割 (破碎),这将会减慢传输速 度。 网络掩码: 也称做子网掩码。忽略了一个完整的 IP 地 址中的一部分的一组规则,从而可以无须广播就可以达 到目的地址。它表示一个大的 TCP/IP 网络中的子网部 分。有时用来表示一个地址掩码。 NTP,网络时间协议: 用来把一台电脑的时间同步为 NTP 服务器的时间。NTP 互联网提供精确到十毫秒以内 的互联网时间 (UTC)。 包: 通过包交换网络传送的消息的一部分。包的一个关 键特征是它除了数据之外还包含了目的地的地址。在 IP 网络中包通常被称做数据包。 Ping,数据包互联网分组: 一个用来判定特定 IP 地址 是否可以访问的工具。它的工作原理是向指定的地址发 送一个数据包并等待回复。 POP3,邮局协议: 用于从邮件服务器通过互联网向邮件 客户端传输电子邮件的协
FortiGate-500 安装和配置指南 2.
索引 从内容和 URL 阻塞中排除 URL 235 connection user-defined interface 36 cookies 阻塞 234 测试 报警邮件 252 超时 防火墙认证 134 IPSec VPN 202, 203 基于 Web 的管理程序 134 空闲 134 重新启动 90 操作模式 转换 89, 90 D DHCP 内部网络 122 带宽 保证 149 最大 149 端口地址转换 163 端口号 通讯过滤显示 247 端口转发 163 添加虚拟 IP 163 虚拟 IP 162 代理服务器 定期更新病毒防护和攻击定义 104 推送更新 104 DMZ 接口 定义 253 配置 37 定期更新 通过代理服务器 104 当前日志 查看 249 查看和维护保存的日志 249 删除所有消息 250 搜索 248, 249 到期时间 系统状态 94 动态 IP/MAC 列表 查看 168 动态 IP 池 IP 池 148 读写级别访问 管理员帐号 135 电源要求 17 地址 152 编辑 153, 154 IP/MAC 绑定 168 删除 154 添加 152 虚拟 IP 162
索引 服务组 158 H G HA 59 安装和配置 FortiGate 设备 61, 65 返回独立模式 72 FortiGate 失效后的替换 72 管理 HA 簇 68 介绍 5 NAT/ 路由模式 61 配置 HA 簇 62, 66 配置 HA 接口 65 配置 HA 接口 61, 65 透明模式 65 网络连接 63, 67 高可用性 59 HA 接口 配置为 HA 模式 65 配置为 HA 模式 61 恢复系统设置 88 会话 清除 93 恢复 到旧版本的固件 80 互联网 阻塞对互联网站点的访问 229, 238 阻塞对 URL 的访问 229, 238 互联网密钥交换 253 黑名单 URL 231 HTTP 启用网页过滤 237, 227 HTTPS 5, 115, 116, 118, 156, 253 高可用性 介绍 5 关闭 90 固定端口 148 过大的文件和电子邮件 阻塞 225 固件 安装 80 从 CLI 升级 77 重新安装当前版本 80 恢复到旧的版本 80 升级 76 使用 CLI 升级 78 使用基于 WEB 的管理程序升级 76 使用基于 Web 的管理程序升级
索引 IPSec VPN 远程网关 178 用户组认证 178 超时 202, 203 禁用 215, 217 手工密钥 182 预置密钥 182 自动 IKE 182 证书 182 状态 202 IPSec VPN 通道 测试 203 J Java 小程序 234 从网页中删除 234 脚本 从网页中删除 234 脚本过滤 234 设置举例 234 拒绝 策略 148 防火墙策略 148 禁忌词汇列表 添加词汇 228, 238 接口 RIP 127 用户定义 38 用户定义配置 38 记录日志 241 查看日志 249 更新日志 244 记录到 WebTrends 242 将日志记录到内存 243 配置通讯设置 246 删除日志文件 251 删除所有消息 250 搜索日志 248, 249 下载日志文件 250 在 FortiGate 硬盘上记录日志 242 记录日志到本地 记录日志 243 记录日志 记录到本地 243 加密 策略 148 加密策略 向内 NAT 148 向外 NAT 148 允许向内 148 允许向外 148 将日志记录到内存 设置 243 监视器 系统状态 90, 91, 92,
索引 路由 配置 119 配置路由表 121 添加到路由表 120 添加静态路由 120 路由表 254 配置 121 添加到路由表 ( 透明模式 ) 121 添加路由 120 添加路由 ( 通明模式 ) 121 添加默认 120 添加默认路由 120 路由器 下一个跳跃 114 内部网络 配置 37 NIDS 4 内容过滤 227, 237 内容配置文件 默认 170 内容阻塞 排除 URL 235 网页 228, 237 NTP 38, 50, 156, 254 NTP 服务器 133 设置系统日期和时间 133 M PAT 163 PING 管理访问 115, 116, 118 POP3 156, 254 匹配 策略 151 PPTP 178, 254 配置网关 206 配置 Windows 2000 客户端 209 配置 Windows 98 客户端 208 配置 Windows XP 客户端 210 起点 IP 206 启用 206 网络配置 206 终点 IP 地址 206 PPTP 拨号连接 配置 Windows 2000 客户端 209 配置 Windows 98 客户端 209 配置
索引 RADIUS 服务器 删除 176 添加服务器地址 175 蠕虫防护 226 蠕虫列表 显示 226 任务计划 一次性 160 RIP 过滤器 129 接口配置 127 邻居 129 配置 125 设置 126 日期和时间设置 例子 134 入侵企图 报警邮件 252 日期设置 133 任务计划 159 创建一次性任务计划 159 创建周期性任务计划 160 策略选项 148 应用到策略 161 自动更新病毒防护和攻击定义 97 周期性 161 认证 173 策略选项 149 超时 134 LDAP 服务器 177 配置 174 启用 178 RADIUS 服务器 175 日志 6, 241 不记录日志 243 查看 249 过滤日志消息 244 记录 241 通讯会话 245 维护 249 选择记录的内容 244 在 NetIQ WebTrends 服务器上记录 242 阻塞流通 243 日志设置 过滤日志条目 244 通讯过滤 246 日志文件 下载 250 日志硬盘 状态 88 S 删除日志文件 251 手工密钥 介绍 182 接受 策略 148 260 升级 从 CLI 升级固件 77 固
索引 通讯 过滤 245 记录日志 245 配置全局设置 246 通讯策略 149 通讯过滤 包 247 端口号 247 会话 247 解析 IP 246 类型 247 日志设置 246 添加条目 247 显示 247 服务名称 247 通讯日志 244 U URL 添加到 URL 排除列表 235 添加到 URL 阻塞列表 229, 238 阻塞对 URL 的访问 229, 238 URL 排除列表 235 参阅 URL 排除列表 235 添加 URL 235 URL 阻塞 URL 排除列表 235 URL 阻塞列表 清除 230 上载 231 添加 URL 229, 238 下载 231 URL 阻塞信息 228 user-defined interface connections 36 V VLAN 配置 116 网络配置 116 VLAN 网络 典型配置 117 VPN 介绍 4 L2TP 配置 212 PPTP 配置 206 配置 L2TP 211 配置 L2TP 网关 212 配置 PPTP 网关 206 通道 148 查看拨号连接状态 203 VPN 紧急事件 报警邮件 252 VPN 配置
索引 虚拟 IP 162 虚拟 IP 端口转发 162 虚拟 IP 端口转发 163 向内 NAT 加密策略 148 系统名称 SNMP 137 系统配置 133 系统日期和时间 设置 133 系统设置 备份 88 恢复 88 恢复到出厂状态 89 系统位置 SNMP 137 系统状态 75, 125 系统状态监视器 90, 91, 92, 93 向外 NAT 加密策略 148 协议 服务 155 系统状态 94 下一个路由器 114 下载 病毒定义更新 110 攻击定义更新 110 下载日志文件 250 Y 源 日志搜索 250 一次性任务计划 创建 159 源端口 系统状态 94 预定义的服务 155 源地址 策略选项 147 系统状态 94 用户定义的服务 157 用户定义接口 配置 38 用户名和密码 添加 175 添加用户名 174 用户认证 173 用户组 配置 178 删除 179 一次性任务计划 160 邮件警报 测试 252 与 NTP 服务器同步 133 262 硬盘 记录日志 242 状态 88 硬盘满 报警邮件 252 运行环境 17 允许流通 IP/MAC 绑定 167, 16
索引 阻塞流通 IP/MAC 绑定 167, 168 记录日志选项 243 状态 查看拨号连接状态 203 查看 VPN 通道状态 202 IPSec VPN 通道 202 FortiGate-500 安装和配置指南 静态 IP/MAC 列表 166 子网地址 定义 254 子网掩码 管理员帐号 136, 137 263
索引 264 美国飞塔有限公司
