FortiGate-60/60M/ADSL, FortiWiFi-60, FortiGate-100A V3.0 MR1 设备安装手册 www.fortinet.
INSTALLGUI V3.
目录 简介........................................................ 6 Fortinet 产品家族 ................................................. 6 FortiGuard服务订制............................................................................................. 6 FortiClient ............................................................................................................. 7 FortiMail ............................................................................................................... 7 FortiAnalyzer ..........
使用基于web的管理器恢复默认的出厂设置.................................................. 24 使用CLI恢复默认的出厂设置 .......................................................................... 25 在网络中配置FortiGate设备 .................................. 26 规划FortiGate配置 ................................................ 26 NAT/路由模式安装 ................................................. 26 设置公共FortiGate接口对Ping命令请求不作出响应 .................... 29 NAT/路由模式安装 ................................................. 30 配置FortiGate设备的NAT/路由模式准备 ...............
无线安全 ......................................................... 61 无线等效协议(WEP) .................................................................................... 61 WPA .................................................................................................................... 61 其它的无线网络安全方式................................................................................. 62 MAC地址过滤 ................................................................................................... 62 服务设置标识符(SSID)..
简介 欢迎选购Fortinet产品构筑实时网络防护。 FortiGate TM 统一威胁管理系统增强了网络的安全性,避免了网络资源 的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络的 性能。FortiGate病毒防火墙获得了ICSA 防火墙认证,IP 安全认证和 防病毒服务认证。 FortiGate统一威胁管理系统是致力于网络安全的,易于管理的安全设 备。其功能齐备,包括: ·应用层服务,例如病毒防护和内容过滤, ·网络层服务,例如防火墙、入侵检测、VPN以及流量控制等。 FortiGate 统 一 威 胁 管 理 系 统 采 用 了 先 进 的 行 为 加 速 ( Accelerated Behavior)和内容分析系统技术(ABACASTM),具有芯片设计、网 络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC 上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署 在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全 保护。 Fortinet 产品家族 Fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志, 报告,网络管理,安全性管理以及Fort
FortiClient FortiClient TM 主机安全软件为使用微软操作系统的桌面与便携电脑用 户提供了安全的网络环境。FortiClient的功能包括: • 建立与远程网络的VPN连接 • 病毒实时防护 • 防止修改Windows注册表 • 病毒扫描 FortiClient还提供了无人值守的安装模式,管理员能够有效的将预先配 置的FortiClient分配到几个用户的计算机。 FortiMail FortiMail TM安全信息平台针对邮件流量提供了强大且灵活的启发式扫 描 与 报 告 功 能 。 FortiMail 单 元 在 检 测 与 屏 蔽 恶 意 附 件 例 如 DCC (Distributed Checksum Clearinghouse)与Bayesian扫描方面具有可靠 的 高 性 能 。 在 Fortinet 卓 越 的 FortiOS 与 FortiASIC 技 术 的 支 持 下 , FortiMail反病毒技术深入扩展到全部的内容检测功能,能够检测到最 新的邮件威胁。 FortiAnalyzer FortiAnalyzer TM 为网络管理员提供了有关网络防护与安全性的信
需要。拥有该系统,您可以配置多个FortiGate并监控其状态。您还能 够查看FortiGate设备的实时与历史日志,包括管理FortiGate更新的固 件镜像。FortiManager 系统注重操作的简便性包括与其他第三方系统 简易的整合。 关于FortiGate设备 FortiGate-60系列以及FortiGate-100A设备是应用于小型企业级别的(包 括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、VPN 以 及 基 于 网 络 的 入 侵 检 测 与 防 护 为 一 体 的 FortiGate 系 统 模 块 。 FortiGate-60系列以及FortiGate-100A设备支持高可靠性(HA)性能。 FortiGate-60/60M/ADSL FortiGate-60设 备 设 计 应用于远程工作用户 以及零售店操作用户。 FortiGate-60设 备 中 含 有一个外部调制解调 器接口,可以作为备用 接口或作为与单机连接接入到互联网,该设备中还拥有一个内部调制 解调器也能够作为一个到互联网的备份或单机连接。 FortiGate-60ADSL中包括一个内部ADSL调制解调器。
与升级固件进行了说明。 该手册包含以下章节: 安装FortiGate设备- 安装并启动FortiGate设备。 出厂默认设置 - FortiGate设备出厂默认设置信息。 在网络中配置FortiGate设备 - FortiGate设备的操作模式说明 以及如何将FortiGate设备集成到网络中。 配置Modem接口 - 如何配置以及使用FortiGate-60系列设备 的Modem。 使用无线网络 - 无线网络的使用注意事项以及使用步骤,使 无线网络的使用更为高效。 FortiGate固件 - 描述了如何安装,升级,恢复与测试FortiGate 设备的固件。 注意:本手册中所述的信息涉及到五个设备FortiGate-60/60M、 FortiWiFi-60以及FortiGate-100A。其中大部分的内容适用于所有的 设备,针对对具体某个模块所做的说明与描述内容,将使用以下的 图标作为描述提示。 该手册中的注释 以下是该手册中的注释: • 在所举的例子中,私人IP地址既可以用做私人也可以是公共IP地址。 • 注意与警告标识中的提示较为重要的信息。 注意:突出另外其它的有用信息。 警告:对可能造成意外的不良
文档名称 菜单命令 程序输出 变量 set natip end FortiGate管理员使用手册 进入 VPN>IPSEC>阶段1并点击“新建”。 Welcome! FortiGate技术文档 您可以从Fortinet技术文档网站http://kc.forticare.
使用基于web的管理器如何配置PPTP VPN。 • FortiGate Certificate Management User Guide证书管理用户指南 管理电子证书的程序包括生成电子证书的请求,安装签发的证书,引 入CA根权威证书与证书撤销名单,以及备份与存储安装的证书信息与 私人密钥。 • FortiGate VLAN and VDOM 用户使用指南 在NAT/路由与透明模式下如何配置VLAN与VDOM。 Fortinet 知识库 其 它 有 关 Fortinet 技 术 手 册 信 息 都 可 以 从 Fortinet 公 司 网 站 (www.fortinet.com)中的知识库板块获得。知识库涵盖涉及fortinet产 品故障排除与解释说明性的文章,FAQ,技术说明等。 Fortinet 技术文档的建议与意见 如果您在本文档或任何Fortinet 技术文档中发现了错误或疏漏之处, 欢迎您将有关信息发送到 techdoc@fortinet.
FortiGate设备安装 本章节就如何安装以及在网络中配置FortiGate设备进行了详细说明。 具体包括: •设备包装 •空气流通 •机械性负荷 •启动FortiGate设备 •连接FortiGate设备 设备包装 请检查FortiGate设备包装盒所有部件。 FortiGate-60/60M/ADSL FortiGate-60/60M/ADSL设备包装盒中部件: • FortiGate防火墙设备 • 一根橙色以太网交叉线缆(Fortinet 部件号:CC300248) • 一根灰色以太网普通线缆(Fortinet 部件号:CC300249) • 一根RJ-45到DB-9串连线缆(Fortinet 部件号:CC300247) • 一根RJ-11电话线 (FortiGate -60M专用) • 一根电源线以及一个AC适配器 • FortiGate-60快速启动指南册页、FortiGate-60M设备快速启动指南册 页或FortiGate-60ADSL设备快速启动指南册页 • Fortinet技术手册CD一张 图1:FortiGate-60/60M设备部件 表1:技术参数 尺寸 重量 工作需求 12
工作环境 工作温度:32至104华氏度(0至40度摄氏度) 放置温度:-13至158华氏度 (-25至70摄氏度) 湿度:5至95% (非冷凝) FortiWiFi-60 FortiWiFi-60设备包装盒中部件: • FortiWiFi-60防火墙设备 • 一根橙色以太网交叉线缆(Fortinet 部件号:CC300248) • 一根灰色以太网普通线缆(Fortinet 部件号:CC300249) • 一根RJ-45到DB-9串连线缆(Fortinet 部件号:CC300247) • 一根电源线以及一个AC适配器 • FortiWiFi-60快速启动指南册页 • Fortinet技术手册CD一张 图2:FortiWiFi-60设备部件 表2:技术参数 尺寸 重量 工作需求 无线连接 工作环境 8.63×6.13×1.38英尺 (21.9×15.6×3.5厘米) 1.5磅 (0.68千克) DC输入电压:12V DC输入电流:3A 工作温度:32至104华氏度(0至40度摄氏度) 天线型号:外部固定双天线 天线范围:802.11 b/g: 2.
• 一根灰色以太网普通线缆(Fortinet 部件号:CC300249) • 一根RJ-45到DB-9串连线缆(Fortinet 部件号:CC300302) • 一根电源线以及一个AC适配器 • FortiGate-100A快速启动指南册页 • Fortinet技术手册CD一张 图3:FortiGate-100A设备部件 表3:技术参数 尺寸 重量 工作需求 工作环境 10.25×6.13×17.5英尺 (26×15.6×34.5厘米) 1.5磅 (0.68千克) DC输入电压:12V DC输入电流:5A 工作温度:32至104华氏度(0至40度摄氏度) 放置温度:-13至158华氏度 (-25至70摄氏度) 湿度:5至95% (非冷凝) 安装 FortiGate设备可以安装在任何稳固且水平的表面。请保持设备安装相 隔至少1.5英寸(3.75厘米)的距离,便于通风与冷却。 启动FortiGate设备 FortiGate设备中没有ON/OFF开关。 启动FortiGate设备 1. 将AC适配器与设备背后的电源接口连接。 2. 将AC适配器与电源线连接。 3.
LED Power 状态 链接 (内部(Internal), DMZ1 DMZ2 WAN1 WAN2) DMZ1 DMZ2 WAN1 WAN2 状态 绿色 熄灭 绿色 绿色闪烁 熄灭 绿色 绿色闪烁 熄灭 描述 FortiGate设备启动。 FortiGate设备断电。 连接线使用正确,连接的设备已启动。 FortiGate设备正在启动。 设备已断电。 连接线使用正确,连接的设备已启动。 此接口有网络活动。 没有建立链接。 绿色 接口达到速率为100Mbps的连接。 关闭FortiGate设备 请在闭合电源开关之前,关掉FortiGate操作系统,以免造成硬件损伤。 关闭FortiGate设备 1. 访问基于web的管理器,进入系统> 状态> 系统状态, 选择关闭系统, 然后点击“确认”关闭系统;或者在命令行接口(CLI)中,输入 execute shutdown 2. 关闭电源开关。 连接FortiGate设备 有二种方法连接并配置基本FortiGate设置: • 基于web的管理器 • 命令行接口(CLI) 基于web的管理器 您可以通过任何运行微软Internet Explorer 6.
连接到基于web的管理器 根据以下操作步骤建立与基于web管理器的初次链接。在基于web的管 理器中所做的配置修改,无需重新设置防火墙或中断运行便可生效。 连接到基于web的管理器,您需要: ·一台能够连接以太网的计算机 ·微软6.0版本的浏览器或以上的版本,或任何现行的web浏览器 ·一根交叉的以太网网线或一个以太网网络集线器(hub)与两根以太 网网线。 注意:启动IE之前(或其他现行版本的的网页浏览器),ping FortiGate 设备,检测计算机与FortiGate设备之间是否连接正常。 连接到基于web的管理器 1. 设置计算机与以太网连接的IP地址为静态IP地址192.168.1.2,掩码 为255.255.255.0。 您可以配置管理计算机使用DHCP自动获取IP地址。FortiGate DHCP 服务器将对管理计算机分配范围为192.168.1.1到192.168.1.254之间的 IP地址。 2. 使用交叉线或以太网集线器(hub)与线缆将FortiGate设备的内部接 口与您的光纤网络接口连接。 3. 启动IE浏览器,浏览地址为 https://192.168.1.
图4:FortiGate登录页面 4. 输入名称字段输入admin登录。 系统操作面板 登录到基于web的管理器后,页面显示系统操作面板。面板显示所有 的系统状态信息。 图5:FortiGate-60M系统面板 面板中包括以下信息: · 端 口 状 态 - 面 板 中 显 示 有 FortiGate 设 备 的 正 面 镜 像 图 。 包 括 FortiAnalyzer连接状态-X表示没有连接,当检测标志中没有标注X时, 说明存在连接。滑动鼠标到每个端口,可以查看端口信息,如 IP地址 与掩码,速率,以及接收或发送的数据包信息。当端口使用中时,其 状态显示呈绿色。 ·系统信息-操作系统信息的显示包括设备串行数量与固件版本。在该 区域,可以进行固件升级,设置系统时间或更改操作模式。 17 V. 3.
·系统资源-显示系统资源使用情况。 ·许可证信息-显示FortiGate设备中当前的病毒防护与安全性升级的情 况。 ·报警信息Console-显示最近FortiGate设备发出的警告日志信息。 ·统计表 - 提供FortiGate设备的实时流量与攻击信息。 连接到CLI(命令行接口) 将管理计算机的串口与FortiGate设备的控制台连接器连接并可以访问 FortiGate设备命令行接口。您也可以在任何网络(包括互联网)中使 用Telnet或一个安全的SSH连接访问FortiGate设备也可以连接到CLI。 CLI(命令行接口)支持与基于web的管理器相同的配置与功能。另外, 您还可以使用CLI配置一些web管理器不能配置的更高级的选项。本手 册中包含一些基本的以及某些高级的CLI命令信息。有关连接到 FortiGate设备使用CLI的详细信息,参见FortiGate设备CLI使用参考手 册。 连接到CLI 除了使用基于web的管理器,您也可以使用CLI安装与配置FortiGate设 备。无需重新设置防火墙或中断设备运行,CLI所进行的配置更改便可 以生效。 连接到CLI,您需要: ·一台有通信端口的计算
键入?列出可用的命令。有关如何使用CLI(命令行接口)的详细信息, 参见 FortiGate设备CLI使用参考手册。 使用出厂默认设置快速启动FortiGate设备 使用基于web的管理器与出厂默认的FortiGate设备配置,您可以快速在 soho情况下配置启用FortiGate-60系列设备。您所要做的只是配置您网 络中的计算机使用DHCP自动获取IP地址以及DNS服务器IP地址,并访 问基于web的管理器对WAN1接口配置所需的设置。如需要,您也可 以配置FortiGate DNS服务器并添加默认的路由。 FortiGate内部接口可以配置作为一个DHCP服务器在内部网络中自动 对计算机设备(最多可达100台)自动分配地址范围为192.168.1.110到 192.168.1.210之间的IP地址。 图6:适用默认设置快速配置设备 FortiGate DHCP服务器也可以对内部网络中的每台计算机分配DNS服 务器IP地址为192.168.1.
PPPoE模式:点击选择PPPoE,从ISP获取IP地址,并进入步 骤9。 6. 进入系统>网络>选项。 7. 选择以下一种DNS设置: 自动获取DNS服务器地址:设置从ISP自动获取DNS地址,点击“应 用”。 使用以下DNS服务器地址:输入ISP给的DNS地址并点击“OK”。 8. 进入路由>静态,编辑路由#1并将网关更改为默认的网关IP地址并 点击OK。 9. 如果ISP支持服务器或代理内部DNS选项,点击获取默认的网关并点 击OK确认后继续执行“下一步”。 如果您没有设置这些选项,进入步骤6。 20 V. 3.
出厂默认设置 FortiGate设备有出厂默认设置。该默认设置允许您连接到FortiGate设 备并能够使用FortiGate基于web的管理器在网络中配置FortiGate设备。 在网络中配置FortiGate,您需要添加管理员密码,更改网络接口IP地 址与DNS服务器的IP地址,如有必要,可以配置基本的路由。 如果您打算以透明模式运行FortiGate设备,可以从出厂默认配置中切 换到透明模式,并根据您的网络结构与情况配置透明模式下的 FortiGate设备。 完成网络配置后,您还可以进行其他的配置操作,如设置系统时间, 配置病毒及攻击的定义更新,注册FortiGate设备等。 出厂时默认的防火墙配置包括单一网络地址转换(NAT)策略,该策 略允许您内部网络的用户连接到外部网络,同时阻止外部网络中的用 户连接到内部网络。您可以添加更多其它的策略,对通过FortiGate 设 备的流量进行更多的控制。 出厂时默认的内容配置文件可以用来快速地在防火墙策略中设置不同 级别的防病毒保护、网页内容过滤、垃圾邮件过滤,以便控制网络通 讯。 本章包括以下内容: ·出厂默认的DHCP服务器配置 ·出厂默认的NAT/路由模
FortiGate设备首次启动时,它运行于NAT/路由模式,表6所列是该工 作模式下的基本网络配置。该配置允许您连接到FortiGate设备的基于 web的管理器,并建立FortiGate设备连接到网络所需的配置。表6中, HTTPS管理访问表示您可以通过该接口的HTTPS协议连接到基于web 的管理器。Ping管理访问表示该接口对ping这一命令可以做出响应。 表6:出厂默认的NAT/路由模式的网络配置 管理员账号 内部接口(internal接 口) WAN1接口 WAN2接口 DMZ接口 DMZ1 (FortiGate-100A) DMZ2接口 (FortiGate-100A) Modem接口 ADSL Modem接口 WLAN 网络设置 22 Admin 用户名: (无) 密码: 192.168.1.99 IP: 255.255.255.0 子网掩码: Ping HTTP,HTTPS 管理访问: 192.168.100.99 IP: 255.255.255.0 子网掩码: Ping 管理访问: 192.168.100.99 IP: 255.255.255.0.
出厂默认的透明模式的网络配置 表7是透明模式下,FortiGate设备默认的网络配置。 表7:出厂默认的透明模式网络配置 管理员帐户 管理IP DNS 管理访问 用户名: 密码: IP: 子网掩码: 一级DNS服务器 二级DNS服务器 Internal DMZ DMZ1 DMZ2 WAN1 WAN2 WLAN Admin (无) 0.0.0.0. 0.0.0.0. 65.39.139.53 65.39.139.
·给HTTP,FTP,IMAP,POP3与SMTP防火墙策略配置防病毒保护。 ·给HTTP防火墙策略配置网页过滤。 ·给HTTP策略配置网页类别过滤。 ·给IMAP,POP3与SMTP防火墙策略配置垃圾邮件过滤。 ·对所有的服务启动入侵防护系统(IPS)。 ·对HTTP,FTP,IMAP,POP3与SMTP防火墙策略启动内容日志 通过内容保护列表,您可以构建适用与不同类型防火墙策略的保护配 置。并允许您针对不同防火墙策略定制不同类型与级别的防护。 例如,内部与外部地址之间的流量可能需要比较严格的防护,而内部 地址之间的流量可能需要中等一般的防护。您可以针对不同的流量使 用相同或不同的保护设置配置防火墙策略。 NAT/路由模式与透明模式的防火墙策略也可以添加保护设置。 FortiGate设备可以预先配置四种保护设置。 Strict(严格型) 适用于对HTTP,FTP, IMAP,POP3与SMTP流量 应用最大限度的保护。一般情况下,不必使用Strict(严格型)的保护 设置,发现病毒攻击,需要扫描检测时,可以启用Strict(严格型)保 护。 Scan (扫描型) 针对HTTP,FTP,IMAP,POP3,与
1.进入系统>状态>系统操作。 2.点击“恢复为出厂默认设置”。 3.点击“确认”。 使用CLI恢复默认的出厂设置 键入如下命令恢复为出厂默认设置: execute factoryreset 25 V. 3.
在网络中配置FortiGate设备 本章是FortiGate设备的操作模式说明。开始配置FortiGate设备之前, 先要考虑怎样将FortiGate设备集成到网络中。 针对不同的操作模式, NAT/路由模式或透明模式,进行对应的配置。 该章节包括以下内容: • 规划FortiGate配置 • 设置公共FortiGate接口对Ping命令请求不作出响应 • NAT/路由模式安装 • 透明模式安装 • 下一步 规划FortiGate配置 配置FortiGate设备之前,先要考虑怎样把FortiGate设备集成在网络中。 至于其它问题,如还需要决定FortiGate设备是否在网络中可见,需要 配置哪些防火墙功能,与怎样控制接口间的流量。 您所选择的FortiGate设备的操作模式是配置的依据。FortiGate设备 有两个模式,分别为:NAT/路由模式(出厂默认)与透明模式。 您也可以在出厂默认的操作模式设置即NAT/路由模式下,在网络中配 置FortiGate设备。 NAT/路由模式安装 NA/路由模式下,FortiGate设备在网络中是可见的类似一个路由器,设 备的所有接口在不同的子网中。在NA/路由模式
务来控制数据流量。 NAT模式下,FortiGate设备发送数据包到目标网 络之前,先执行网络地址转换。路由模式操作没有地址转换。 NAT/路由模式下的FortiGate设备的典型的应用是作为私网与公网之 间的网关。该配置中,您可以建立NAT模式防火墙策略控制内部网、 私网与外部网,公网(通常指互联网)之间的数据流量。 注意:如果是多重内部网络连接,例如内部网之外的DMZ网络、私网; 您可以建立路由模式下的防火墙策略控制这些多重网络之间的流量。 .
(通常指互联网)之间的流量。 图8:FortiGate-100A设备NAT/路由模式下多重internet(互联网)连 接配置举例 透明模式 透明模式下,FortiGate设备在网络中是透明的。类似于网络桥梁,所 有的FortiGate接口都在同一个子网中。您只需配置一个管理IP地址便 可以进行配置更改。管理IP地址也可用来配置病毒及攻击的定义更新。 透明模式下的FortiGate设备的典型应用位于当前的防火墙或路由器之 后。FortiGate设备具有防火墙、IPsecVPN、病毒扫描、IPS、网页过滤 与垃圾邮件过滤功能。 根据不同型号的FortiGate设备,您最多可以将4个网段连接到FortiGate 设备上,以控制这些网段之间的数据流量。 表10:透明模式下的网络分段 FortiGate设备 内部接口 外部接口 FortiGate-60 Internal(1,2, WAN1 3,4) FortiGate-60M Internal WAN1 WAN2 FortiWiFi-60 Internal WLAN 28 FortiGate-60ADSL Internal FortiGate-100A
DMZ1 DMZ2 注意:透明模式下,FortiGate-60M中modem接口不可用。 图9:FortiGate-100A设备透明模式下的网络配置举例 设置公共FortiGate接口对Ping命令请求不作出响应 出厂默认的FortiGate设备允许默认的公共接口对ping请求作出响应。 默认的工作接口也称为默认的外部接口,该接口是通常用于连接到互 联网的接口。 出于安全操作着想,您应该更改外部接口的配置,对外部的ping请求 不作出响应。配置对外部的ping请求不作出响应增强了网络的安全性, 增加网络中可能的攻击对FortiGate设备的探测。 根据FortiGate设备不同的型号,默认的公共接口可以是external接口或 WLAN1接口。 如果对接口启动了ping管理访问设置,那么FortiGate设备将对ping请求 作出响应。您可以使用以下操作步骤撤消对FortiGate设备外部接口的 ping访问。同样的操作适用于任何操作模式下的设备接口。 29 使用基于web的管理器撤消ping管理访问 1. 登录基于web的管理器。 2. 进入系统>网络>接口。 3.
4. 撤消Ping 管理访问功能。 5. 点击OK保存该配置更改。 使用CLI撤消ping管理访问 1. 登录FortiGate CLI。 2.
(Fortigate-100A) DMZ2 (Fortigate-100A) ADSL (Fortigate-60ADSL) WAN 网络设置 · · 子网掩码: · · IP: · · 子网掩码: · · IP: · · 子网掩码 · · IP: · · 子网掩码: · · 默认网关: (与外部网络连接的 接口) 默认路由由默认的网关与连接到外部网络(通常指互 联网)的接口组成。默认的网关将所有非本地流量集 中到该接口与外部网络中。 · · 一级DNS服务器: · · 二级DNS服务器: 配置使用DHCP或PPPoE 您可以配置任何FortiGate接口从DHCP或PPPoE服务器获得IP地址。您 的互联网服务提供商(ISP)便是使用这其中的一项协议提供IP地址的。 使用FortiGate DHCP服务器,您需要配置该服务器的IP地址范围与默认 的路由。将接口配置为使用DHCP便不需要做更多的配置了。 配置使用PPPoE需要设置用户名与密码。另外,PPPoE未编号配置要求 固定一个IP地址。参考表12记录的信息配置PPPoE。 表12:PPPoE设置 用户名 密码 使用基于web的管理器 您可以使用基
2.点击“更改密码”图标更改管理员密码。 3.输入新密码,再输入一次确认。 4.点击OK确认。 配置接口 1. 进入系统> 管理员配置> 管理员。 2.点击接口的“编辑”图标。 3.设置接口的地址模式。 从菜单中选择DHCP或PPPoE. 4.完成地址配置。 ·对于手动的地址,输入接口的IP地址与掩码 ·对于DHCP地址,点击DHCP并进行任何需要的设置 ·对于PPPoE地址,点击PPPoE后输入用户名与密码 有关接口设置的配置,参见FortiGate在线帮助或FortiGate设备管理员 使用手册。 6. 点击“OK”确认 重复以上步骤,对每个接口进行配置。 注意:如果您想更改连接接口的IP地址,您必须使用新的地址通过网 页浏览器重新连接。浏览http://后跟接口新的IP地址。如果接口新的 IP地址是不同的子网,您还需将计算机IP地址更改为与该子网相同的 IP地址。 配置DNS服务器设置 1.进入系统>网络>选项。 2.输入一级DNS服务器的IP地址。 3.输入二级DNS服务器的IP地址。 4.
6.设置网关为默认的网关IP地址 7.设置连接到外部网络接口的驱动。 8.点击OK确认。 校验基于web管理器配置 校验访问设置,进入所校验的接口并点击编辑图标。管理访问字段有 检验标识可以确认是否执行了校验。 校验连接 使用以下步骤校验连接: ·访问www.fortinet.com ·从您的邮件帐户收发电子邮件 如果您不能浏览fortinet网站或收发电子邮件,请检查以上步骤确保所 输入的信息正确,再试一次。 使用命令行接口(CLI) 您可以使用命令行接口(CLI)对FortiGate设备进行配置。有关连接到 CLI的详细信息,参见“连接到CLI”。 配置FortiGate设备运行于NAT/路由模式 参考表11中所采集的信息完成以下步骤。 添加或更改管理员命令 1.登录到CLI(命令行接口) 2.更改管理员密码。输入: config system admin edit admin set password end 配置接口 33 1.登录到CLI(命令行接口) 2.
end 3. 设置外部接口的IP地址与掩码为表11中所记录的外部IP地址与掩 码。输入: config system external edit wan1 set mode static set ip end 举例 config system external edit wan1 set mode static set ip 204.28.1.5 255.255.255.0 end 设置外部接口使用DHCP config system interface edit wan1 set mode dhcp end 设置外部接口使用PPPoE config system interface edit wan1 set mode pppoe set connection enable set username set password end 4.根据需要使用命令句法模式配置每个接口的IP地址。 5.
默认的路由。 添加默认的路由 设置默认网关IP地址的路由。输入: config router static edit 1 set dst 0.0.0.0 0.0.0.0 set gateway set device end 举例 如果默认的网关IP地址是204.23.1.2,该网关连接到端口1: config router static edit 1 set dst 0.0.0.0 0.0.0.0 set gateway 204.23.1.
图10:FortiWiFi-60 NAT/路由模式连接 配置网络 如果FortiGate设备运行于NAT/路由模式,您需要给网络配置路由,使 所有的网络流量都能够流向与网络连接的接口。 对于内部网络,更改与内部网络直接连接的所有计算机与路由器 默认的网关地址为FortiGate内部接口的IP地址。 对于DMZ网络,更改与您的DMZ网络直接连接的所有计算机与路 由器默认的网关地址为FortiGate设备DMZ接口的IP地址。 对于WAN网络,更改与您的WAN网络直接连接的所有计算机与 路由器默认的网关地址为FortiGate设备WAN接口的IP地址。 对于处于WLAN网络中的FortiWiFi-60/60M设备,更改与您的 WAN网络直接连接的所有计算机与路由器默认的网关地址为 FortiGate设备WAN接口的IP地址。 如果您将FortiGate设备作为内部网络中的DHCP服务器使用,需要配置 内部网络的计算机使用DHCP。 通过内部网络的计算机连接到互联网,确定连接的FortiGate设备工作 正常。您应该可以连接到任何互联网地址。 透明模式安装 本章介绍了如何安装透明模式下安装FortiGate设备
配置透明模式的准备 参考表13的信息定制透明模式设置。 以下三种方法均可配置透明模式: ·基于web管理程序的GUI ·命令行接口(CLI) 根据配置,访问与设备的复杂性与您惯用的接口类型选择配置透明模 式的方法。 表13:透明模式设置 管理员密码: · · · IP: · · · 掩码: · · · 管理IP 默认网关: 管理IP地址与掩码对于您所管理的FortiGate设备来讲 必须是有效的网络地址。如果FortiGate设备需要连接 到路由器后才能到达管理计算机,那么需要添加默认 的网关。 · · · DNS设置 一级DNS服务器: · · · 二级DNS服务器: 使用基于web的管理器 您可以使用基于web的管理器完成FortiGate设备初始化配置以及设置 功能选项。 有关连接到基于web的管理器信息,参见“连接到基于web的管理器”。 初次连接到FortiGate设备时,默认操作模式是NAT/路由模式。 使用基于 web 的管理器切换到透明模式 1.进入系统>状态。 2.点击“操作模式”选项旁边的的“更改”。 3.在操作模式列表中选择透明(Transparent)模式。 4.
3.输入二级DNS服务器的IP地址 4.点击应用。 使用命令行接口(CLI) 除了使用基于web的管理器,您也可以使用命令行接口(CLI)对 FortiGate设备进行初始化配置,参见“连接到命令行接口(CLI)”说明。 表13中的收集的信息,可以协助完成以下操作。 使用CLI更改为透明模式 1.登录到CLI 2.切换到透明模式。输入: config system settings set opmode transparent set manageip set gateway end 几秒后,显示以下信息: Changing to TP mode 3.
到基于web的管理器。键入HTTP://加新的IP地址。如果您通过一个 路由器连接到管理接口,请确认是否在管理IP默认的网关字段添加了 路由连接的网关。 将FortiGate设备连接到网络 完成设备初始化配置,便可以将FortiGate连接到您的内部网络与互联 网之间,或是通过DMZ接口连接到其它网络中。 运 行 于 透 明 模 式 下 FortiGate-60M 以 及 FortiGate-60ADSL 设 备 的 Modem 连接不可用。 与透明模式运行下的FortiGate设备连接 1.将内部端口与连接到内部网络的网络集线器(hub)或交换机连接。 2.将外部端口与连接到您外部网络的网络集线器(hub)或交换机连接。 连接到ISP服务商的公共交换机或路由器。 3.根据需要,将DMZ接口连接到hub或交换机。 校验连接 使用以下操作校验连接: ·Ping FortiGate设备 ·登录到基于web的管理器 ·从您的邮件帐户收发电子邮件 如果您不能够正常浏览网站或收发电子邮件,检查以上步骤确定输入 的信息正确,然后再试一次。 图11:FortiGate-60透明模式连接 39 V. 3.
下一步 以下是关于配置FortiGate系统时间、FortiGate设备注册以及配置病毒 与攻击定义的更新的内容说明。 参见FortiGate管理员使用手册有关FortiGate设备的配置,监控与维护 信息。 设置系统日期与时间 为了便于部署与记录日志,需要准确设置FortiGate设备的系统时间与 日期。您可以手动设置系统时间与日期,或通过与网络时间协议(NTP) 服务器同步自动校准时间。 设置日期与时间 1.进入系统>状态。 2.系统信息>系统时间菜单选项下,点击“更改”。 3.点击“刷新”显示当前的FortiGate系统日期与时间。 4.从时区(Time Zone)列表中选择时区。 5.可选择“自动”选项自动调整夏令时。 6.点击“设置时间”,设置FortiGate系统日期与时间。 7.设置时,分,秒,月,日,年。 8.点击OK确认。 注意:如果您选择了根据夏令时自动调整时间,系统的时间必须在夏 令时结束后手动重新调整。 使用NTP设置FortiGate设备的日期与时间 1.进入系统管理>状态。 2.系统信息> 系统时间选项下,点击更改。 3.
更新病毒防护与IPS特征 您可以配置FortiGate设备连接到FortiGuard Distribution Network进行病 毒防护升级,反垃圾邮件与IPS攻击的定义更新。 FDN是遍及全世界范围的FDS服务器网络。 当FortiGate设备连接到 FDN,根据就近原则,所有的FortiGate设备根据设备配置中的时区中 相隔位于最近时区的FDN进行划分。 通过基于web的管理器或CLI,您可以更新病毒保护与IPS特征。设备 在接收更新之前,需要先登录Fortinet网站进行注册。有关FortiGate设 备注册的详细信息,参见“FortiGate设备注册”。 FortiGate设备注册后,校验是否能够与FDN连接: ·检查FortiGate设备的系统时间是否正确。 ·登录基于web管理程序,在FortiGuard Center选项中点击“刷新”。 如果您不能连接到FDN,检查注册FortiGate设备步骤是否正确后,再 试一次连接;或参见“添加替代的FDN服务器”。 使用基于web的管理器更新病毒防护与IPS特征 FortiGate设备注册完成后,您可以使用基于web的管理器更新病毒防护 与IPS特
注意:您也可以从基于web管理器更新病毒定义。 使用CLI接口更新IPS特征。使用以下步骤更新IPS特征: 使用CLI更新IPS特征 1.登录到CLI 2.键入以下CLI命令: configure system autoupdate ips set accept-recommended-settings enable end 制定病毒防护与IPS更新时间 使用基于web的管理器或CLI制定定期、自动更新病毒防护与IPS特征。 使用基于web的管理器制定更新时间 1.进入系统管理>维护> FortiGuard 中心。 2.点击“制定更新”的功能框。 3.选择以下的更新时间之一并下载更新 Every (每天)24小时之间。选择每次更新间隔的时间。 Daily(每天)您可以指定每天检查更新的时间。 Weekly (每周)您可以指定每周检查更新的时间。 4.点击应用。 FortiGate设备将根据新指定的更新时间执行接下来的更新。 只要FortiGate设备执行所制定时间进行更新,更新事件均将被记录都 事件日志中。 使用CLI制定更新时间 1.登录CLI。 2.
1.进入系统管理>维护> FortiGuard中心。 2.选中“使用替代FDN服务器地址”的功能框。 3.键入有效的FortiGuard 服务器域名或IP地址 4.点击应用。 FortiGate设备检测与代理FDN服务器的连接。 如果FDN设置更改为“连接”状态,说明FortiGate设备与替代FDN服务 器建立了连接。 如果FDN保持“无法连接”状态,说明FortiGate设备不能与替代FDN建 立连接。请检查是否是FortiGate配置或网络配置设置阻碍了FortiGate 设备与替代FDN服务器的连接。 使用CLI添加替代FDN服务器 1.登录CLI。 2.键入以下命令: config system autoupdate override set address set status end 43 V. 3.
配置modem接口 除了FortiGate-60ADSL设备其余FortiGate-60系列设备中的modem接口 都是可用的。 以下是基于web管理器,如何配置FortiGate-60M设备的modem接口, 以及通过CLI配置FortiGate-60以及FortiWiFi-60 modem接口。 FortiGate-60系列设备在NAT/路由模式下支持冗余或单机modem接口。 冗余模式下,当Ethernet接口不可用的情况下,modem接口自动从 所选的Ethernet接口承接连接。 单机模式下,modem接口是FortiGate设备到互联网之间的连接。 以上两种配置模式下连接ISP时,modem接口可以自动对三个帐户进行 拨号直到其中一个连接到ISP。 本章包括以下内容: 设置modem接口模式 配置modem设置 单机模式下,连接与断开与modem的连接 配置FortiGate-60以及FortiWiFi-60的modem设置 添加ping服务器 对modem连接添加防护墙策略 设置modem接口模式 Modem接口可以运行于两种模式: 冗余模式 单机模式 冗余模式配置 冗余modem接口作为
通过CLI配置FortiGate-60与FortiWiFi设备 1. 登录CLI。 2. 输入以下命令配置冗余modem: config system modem set status enable set status mode redundant end 单机模式配置 单机模式下,您可以手动设置modem连接到拨号帐户。Modern接口将 作为与互联网的首选连接。FortiGate设备通过modem接口路由数据包, 该接口将成为与拨号帐户的永久连接。 如果到拨号帐户的连接失败,FortiGate设备modem将自动重拨号码。 重拨次数可以在配置中设置,或直至连接到该帐户。 单机模式下,modem接口将代替外部Ethernet接口。您必须也需要对 modem接口以及其它FortiGate接口之间的连接配置防火墙策略。 注意:不要对代替Ethernet接口的modem接口添加任何路由。 注意:不要对代替Ethernet接口的modem接口与其它接口之间的连接 添加防火墙策略。 运行于单机模式的FortiGate-60M设备 1. 进入系统>网络>Modem。 2.
配置modem设置 配置modem设置,以便FortiGate设备modem连接到ISP拨号帐户。您可 以配置modem最多连接三个拨号帐户。您也可以启动或撤消FortiGate 设备modem支持,配置modem拨号帐户并选择modem作为设备哪个接 口的冗余。 图12:modem设置(单机与冗余模式) 启动Modem Modem状态 拨号连接/挂断 模式 自动拨号 冗余 请求时拨号 闲置超时 等待时间 重拨次数 46 选中启动功能框,启动FortiGate设备modem设置。 Modem的状态显示:“未激活”,“连接中”,“已连接”, “断开连接”或“挂断”。(只适用于单机模式) 点击拨号连接,自动连接到一个拨号帐户。如果与 modem建立了连接,点击“挂断”断开与modem的连接。 选择独立或冗余模式。独立模式下,modem是一个独 立的接口。冗余模式下,modem作为在选择以太网接 口后的备用设备。 (只适用于独立模式)如果失去连接或FortiGate重新 启动,选择自动拨号modem。 “请求时拨号”与“自动 拨号”不能同时选择。 (只适用于独立模式)点击以太网接口,modem作为
数。 拨号帐户 最多可以配置三个帐户。SecPath F1800-AW设备逐个 与每个帐户连接,直到连接已经建立。 电话号码 与拨号帐户连接需要的电话号码。请不要在电话号码 的填写之间加空格。根据modem连接到拨号帐户的要 求填写。 用户名 发送到ISP的用户名称。(最多可以设置为63个字符长 度) 密码 发送到ISP的密码。 Modem设置只有在NAT/路由模式配置使用使用。 配置modem设置 1. 进入系统>网络>Modem。 2. 选中“启动modem”功能框。 3. 更改拨号连接的设置。 4. 输入拨号帐户1的设置。 5. 如果有多个拨号帐户,输入电话号码、用户名以及帐户2与帐户3 的密码。 6. 点击“应用”。 单机模式下,建立以及断开与modem的连接 连接到拨号帐户 1. 进入系统>网络>modem。 2. 选中“启动modem”功能框。 3. 确认拨号帐户中的信息输入正确。 4. 如果更改了设置,点击“应用”。 5.
表12:CLI命令 关键字与命令 altmode {enable|disable} auto-dial {enable|disable} connect_timeout dial-on-demand {enable|disable} holddown-timer idle-timer interface mode passwd1 passwd2 passwd3 peer_modem1 {actiontec|ascendTNT|generic} 48 描述 启动PPP设置。 缺省值 enable 如果连接断开,或FortiGate设备重 启时启动modem自动拨号。 必须将dial-on-demand disable。 mode 设置为standalone。 设置连接超时(30到255秒)。 disable 当数据包路由到modem接口时启 动modem拨号。在idle-timer设定的 时间之后,断开modem连接
peer_modem2 {actiontec|ascendTNT|generic} peer_modem3 {actiontec|ascendTNT|generic} phone1 phone2 phone3 redial status {enable|disable} username1 username2 username3 及FortiWiFi-60M设备。 如 果 与 phone2 连 接 的 modem 是 Actiontec或Ascend TNT,点击选 择型号,或者保留该栏目为 generic 。 该 设 置 只 适 用 于 FortiGate-50AM,FortiGate-60M以 及FortiWiFi-60M设备。 如 果 与 phone3 连 接 的 modem 是 Actiontec或Ascend TNT,点击选 择型号,或者保留该栏目为 generic 。 该 设 置 只 适 用 于
set username1 acct1user end 添加 Ping 服务器 Modem在冗余模式下发生路由故障时,需要添加ping服务器。用来确 定到Ethernet接口的连接性。 对接口添加ping服务器 1. 进入系统>网络>接口。 2. 选择接口并点击“编辑”。 3. 对与接口连接的网络中的下一个中继路由的IP地址添加ping服务 器。 4. 选中“启动”功能框。 5. 点击OK保存设置更改。 失效网关检测 FortiGate设备使用失效网关检测功能发送ping命令到Ping服务器的IP 地址查看FortiGate设备是否能够连接到该IP地址。 更改失效网关检测的配置可以控制FortiGate设备是如何确认与添加到 接口的ping服务器连接性。有关在接口添加ping服务器的详细信息,参 见上文。 修改失效网关检测设置 1. 进入系统>网络>选项。 2. 在“检测间隔”字段,输入FortiGate设备检测与ping目标连接性的频 率。 3. 在“失效检测”字段,输入在FortiGate设备认为网关已经不再起作用 之前连接检测失效的次数。 4.
配置ADSL接口 只有FortiGate-60ADS设备设置有ADSL modem接口。 本章是有关配置FortiGate-60ADSL设备ADSL接口的内容,尤其是 ADSL接口与其它接口之间不同的配置步骤。详细信息,参见FortiGate 设备管理员使用手册。 FortiGate-60ADSL设备包含一个非对称数字用户线(ADSL)接口。该 接口能够提供比标准电话线modem更高的通信速度。 注意:ADSL接口只有在FortiGate设备运行于NAT/路由模式下生 效。更改为透明模式将撤消ADSL接口的功能。 使用web管理器配置ADSL接口 以下描述是有关配置ADSL接口与ISP服务商连接的步骤。您需要获得 您ADSL ISP的有关信息。 配置基本ADSL设置 ADSL接口与任何其它FortiGate设备物理接口配置类似。根据ISP要求 使用的寻址模式提供配置信息。如果设置使用IPOA或EOA的静态寻址 模式,需要输入IP地址与掩码。如果使用动态寻址模式,您需要根据“在 ADSL接口配置使用DHCP”或“配置ADSL接口使用PPPoE或PPPOA”的 配置步骤填写配置信息。 进入系统>网络>接口
连接到服务器 虚电路标识 MUX类型 启动“连接到服务器”,那么接口可以自动建立连接。 如果您配置接口处于离线状态,可以撤消该选项。 输入ISP提供的VPI与VCI值。 选择MUX类型:LLC Encap或VC Encap。ISP需要提 供该信息。 配置ADSL接口使用DHCP 如果您配置接口使用DHCP,FortiGate设备将自动发送一个DHCP请 求。 进入系统>网络>接口,点击“新建”或点击现有接口的编辑图标。在寻 址模式下,选择“DHCP”。 图13:ADSL接口 DHCP设置 管理距离 从服务器获取 默认网关 代理内部DNS 连接到服务器 输入从DHCP服务器获取默认网关的管理距离。管理距离可以设 置为1到255之间的任何整数,表示在有多个路由同时到达同一目 的时,相对具有优先性的路由。 启动“从服务器自动获取默认”,从DHCP服务器自动获取默认的 网关IP地址。默认的网关将被添加到静态路由表中。 启动“代理内部DNS”,从DHCP服务器获取DNS地址,而不是从 DNS页面获取DNS服务器的IP地址。进入系统>网络>选项,您应 该同时启动“获取DNS”,自动获取DNS服务器地址。 启动
输入以下信息,并点击“确认”。 用户名 密码 未编号IP 初始发现超时 初始PADT超时时间 验证 管理距离 从服务器获取默认 网关 代理内部DNS 连接到服务器 状态 输入ISP服务商提供的PPPoE或PPPoA帐户用户名。 输入ISP服务商提供的PPPoE或PPPoA帐户密码。 指定接口的IP地址。如果您的ISP服务商分配给您一批IP 地址,使用其中的一个。否则,该IP地址可能与其它接 口的IP地址相同或作为任何其它IP地址。 重新开始一个PPPoE有效发现之前的等待时间。设置初 始发现的时间为0将在任何时间下都不会终止会话。 如果闲置的时间超出了设置的时间,PPPoE将被关闭。 PADT功能需要ISP服务商的支持。设置初始PADT的时 间为0将在任何时间下都不会终止会话。 选择ISP使用的验证方法: PAP,CHAP,MACHAPv1,MSCHAPv2或 Auto。 输入默认从PPPoE服务器获取默认网关的管理距离参 数。管理距离可以设置未1到255之间的整数,指定在多 个路由到相同目的地的情况下选择一条当对较为优先 的路由。管理距离越小表示其路由资源越值得信赖。默 认网关的管理距离设置为1
其它信息。 使用CLI配置ADSL接口 ADSL接口与任何其它FortiGate设备物理接口配置类似。根据ISP要求 使用的寻址模式提供配置信息。 本节所示设置,是配置ADSL接口所特有的,在其它FortiGate技术文件 中没有描述。许多适用于一般接口的设置也适用于ADSL接口。这里只 对您需要配置与ISP建立通信的设置信息进行了说明。有关接口设置的 全部列表,参见FortiGate设备CLI使用参考手册。 命令句法 config system interface edit adsl set ip 10.10.10.1 255.255.255.0 set mux_type vc-encaps ……..
connection {enable | disable} defaultgw {enable | disable} disc-retry-timeout dns-server-overrise {enable | disable} edit gwdetect {enable | disable} idle-timeout ip 55 只有mode设置为pppoe时, auth-type可用。 启动或撤消与一个PPPoE或 PPPoA服务器连接对接口配 置使用PPPoE或PPPoA。 只有当设备运行于NAT/路 由模式,并且mode是dhcp, pppoe或pppoa时,该功能才 可用。 启动或撤消接口作为默认网 关。 设置初始发现超时。重新启 动一个PPPoE发现之前等待 的时间。将disc-retry-timeout 设备为0,表示撤消该功能。 只有当设备运行于NAT/路 由模式,并且mode是pppoe 时,该功能才可用。
Ipunnumbered mode mtu 56 对PPPoE或PPPoA启动IP未 没有默认值 编号模式。注明从接口借用 的IP地址。该IP地址可以与 其它接口的地址相同,或是 其它任何地址。未编号的地 址可以用于设置了PPPoE或 PPPoA的接口,在这样的接 口中不没有唯一性的本地地 址。如果您的ISP提供了一个 IP地址段,您可以将这些地 址中的任意一个添加在未编 号IP中。 对接口配置连接模式。只有 eoa 当设备运行于NAT/路由模 式,该功能才可用。 dhcp 配置接口从DHCP服务 器获取IP地址。 pppoe 配置接口从PPPoE服务 器获取IP地址。 pppoa 配置接口从PPPoA服务 器获取IP地址。 eoa 在 ADSL EoA 桥 模 式 下,对接口配置静态IP 地址。 ipoa 在ADSL IPoA路由模式 下,对接口配置静态IP 地址。 设置ADSL接口PPPoE会话 1500 的最大传输单元(MTU)。 最理想的MTU值应该与该 FortiGate设备与目标数据包 地址之间的所
mtu-override {enable | disable} padt-retry-timeout password status {down | up} username 所有接口的MTU值更改以 匹配新的MTU值。 该 功 能 只 有 在 mtu-override 启动后才可以生效。 启动使用用户定义MTU值 功能,而不是默认的MTU值 (1500)。 初始PDAT超时时间。该设 置可以在PPPoE会话超过规 定的闲置时间后自动切断会 话。您的ISP必须支持PADT 功能。将PDAT超时设置为0 表示使用默认值。只有当设 备运行于NAT/路由模式,并 且mode是pppoe时,该功能 才可用。 输入连接到PPPoE或PPPoA 服务器的密码。 启动或停止接口的功能,如 果接口被停止通信,将不接 收或发送任何数据包。 如 果您 撤消物 理接 口的功 能,与该接口相应的VLAN 接口的功能也将停止。 输入与PPPoE或PPPoA服务 器连接的用户名。只有当设 备运行于NAT/路由模式,并 且m
置。 config system interface edit adsl set mode dhcp set mux-type 11c-encaps set connection enable end end PPPoE或PPPoA举例 以下是使用默认的VCI与VPI设置与ISP连接所需设置举例。如果您将 mode关键字更改为pppoa,该例子同样适用于PPPoA设置。 config system interface edit adsl set mode pppoe set username user1 set password hard_to_guess set suth-type pap set mux-type pap set connection enable end end 对ADSL连接添加防火墙策略 ADSL接口需要添加防火墙地址与策略。您可以在ADSL接口添加一个 或多个地址。有关添加地址的详细信息,参见FortiGate设备管理员使 用手册。对ADSL接口添加地址时,ADSL接口将出现在策略栏中。 对FortiGate设备ADSL接口与其它接口之间的连接添加防火墙策略可 以控制其数据包流量
无线网络的使用 本章是针对FortiWiFi-60设备的说明。 有线网络中,计算机设备是通过线缆联接传输信息的。而无线网络中 是通过无线电波来传输信息。无线电波在空气中的数据传输受很多因 素的影响,在搭建无线网络时需要将这些因素考虑在内。 本章包括以下内容: 建立无线网络 无线网络安全 FortiWiFi-60的操作模式 设置FortiWiFi-60作为访问点 建立无线网络 无线网络的终极简单的形式是,一个无线网络是一个无线设备与一个 访问点之间的通信。一个访问点(AP, asscess point)是能够在无线网 络中提供通讯集点的设备。AP与无线设备使用相同的无线频率。 FortiWiFi-60作为一个AP,将所有的无线用户集中在同一个子网,通 过使用恰当的防火墙策略与路由,无线用户可以与内网或外网(例如 互联网)中的用户通信。 图15:FortiWiFi-60设备作为一个连接点(AP) AP定位 当FortiWiFi-60设备放置在网络中AP,最主要的考虑因素是如果对所 有的用户提供稳定强烈的信号。强的信号可以保证较快的连接速度与 高效的数据传输。信号弱意味着数据传输出错的几率较大,并且需要 重复
号。 将FortiWiFi-60作为访问点,放置在空间中中心且突出的位置,避 免放置在拐角。 建筑物或大厦使用的建筑材料也可以削弱无线电信号。混凝土或 金属建筑的墙壁也影响信息的强弱。 无线电频率对接 802.11标准使用的频率是2.4到2.483GHz。 当其它设备正常运行时使 用的频率与FortiWiFi-60作为访问点发送的频率相同时,就会发生无线 电频率干涉。无线电装置例如2.4GHz无线电话、微波炉与蓝牙设备干 扰无限网络中的数据包传输。 避免无线电频率干涉的方法: 将这些设备从用户使用的无线网络区域移开。一个如果蓝牙启动 的鼠标可能会导致数据传输的中断。 将FortiWiFi-60 AP与无线设备同诸如微波炉与无线电话这样工具 保持至少10英尺的距离。 如果您必须使用无线电话,选择一个频率不在2.
办公室拐角相对的位置,可以提供最大的信号覆盖范围。 无线安全 无线电波载无线设备与访问点之间传输提供无线设备与网络服务器之 间的链接。无线网络通过无线电传输信息数据,无线电是公共传输介 质,所以风险比较大。802.
其它的无线网络安全方式 FortiWiFi-60设备具有其它措施保障无线网络的安全。您可以屏蔽一些 不必要的用户对您无线网络的访问。通过设置几项额外的配置,确保 您的网络以及信息的安全。 MAC地址过滤 为了加强无线网络的安全,在FortiWiFi-60设备中可以启动MAC地址 过滤。通过启动该功能,您可以定义无线设备使用系统MAC地址访问 网络。当一个用户试图访问无线网络时,FortiWiFi-60设备根据您建立 的MAC地址列表查看用户的用户的MAC地址。如果列表中没有用户 地址的记录,用户对无线网络的访问将被拒绝。MAC地址过滤功能对 黑客使用随便的MAC地址访问网络或骗取MAC地址访问网络的机 率。 服务设置标识符(SSID) 服务设置标识符(SSID)是无线网络中所有用户共享的网络名称。无 线用户应该设置其计算机设备与播放其网络名称的网络连接。为了网 络安全,不要将默认的“fortinet”作为网络名称。 网络名称播放可以使无线用户找到使用网络。FortiWiFi-60设备中的功 能选项可以设置不播放SSID。这提供了额外的安全保护。如果您配置 所有的无线用户使用正确的SSID,则不需要启动SS
用户模式 FortiWiFi-60设备运行于用户模式时,作为一个数据接收设备从其它访 问点接收数据。该设置可以使您利用无线网络协议从没有有线设施的 位置连接到远程用户。 举例说明,仓库中,货物的发送与接收分别在库中对角的位置,仓库 中的环境不适合搭建有线。 这个时候,FortiWiFi-60设备可以支持有 线用户使用四个Ethernet接口,连接到其它无线网络中的访问点(AP)。 该连接可以使用802.11无线标准作为主干网与有线网络中的用户连 接。 图18:运行于用户模式的FortiWiFi-60/60M设备 更改操作模式 1. 进入系统>无线>设置。 2. 在操作模式中,点击“更改”。 3. 选择操作模式,并点击“更改”。 63 V. 3.
在网络中配置FortiWiFi-60设备作为访问点(AP) 本节是有关如何快速配置FortiWiFi-60作为一个AP,允许处于同一个 无线LAN网络中的作为无线工作站的设备对网络的访问。以及如何配 置防火墙策略以及无线安全防护提供安全的无线网络环境。在初始建 立时,使用内网中一个桌面计算机将TCP/IP设置为一个DHCP用户。 包括以下配置步骤: 配置DHCP设置 设置安全选项 配置防火墙策略 配置DHCP设置 对FortiWiFi-60设备的WLAN接口配置一个DHCP服务器。作为一个 DHCP服务器,接口可以自动对与WLAN接口连接的主机分配地址。 配置FortiWiFi-60/60M作为一个DHCP服务器 1. 进入系统>DHCP>服务。 2. 点击蓝色三角扩展WLAN选项。 3. 配置DHCP服务器设置: 名称: 输入DHCP服务器的名称。例如,DHCPserver_1。 启动: 选中DHCP服务器选项。 类型: 除非您配置了远程用户端对WLAN接口使用IPSec VPN连接,设 置为ruglar(常规)。 IP范围: 输入WLAN网络的IP地址范围。例如10.10.80.1到10.10.80.
注意:步骤2与5的设置,同样需要无线网络中的用户作同样的设 置,才能够连接到无线网络。 注意:强烈建议请不要将这些设置项保留为空,这样容易给黑客 造成攻击的机会。 配置防火墙策略 FortiWiFi-60设备中带有到互联网连接的WAN接口。通过该接口,您 可以配置内网中有线网络和/或外网中的DMZ接口与无线网络与互联 网连接。 您可以创建防火墙策略控制从WLAN接口到WAN1或WAN2接口的流 量,对无线用户提供安全的互联网访问。 以下是对无线用户(WLAN接口)到互联网(WAN1 接口)之间的流 量创建了防火墙策略,控制网络流量、防火墙验证以及默认的“严格型” 内容过滤。 创建防火墙策略 1. 进入防火墙>策略。 2. 点击WLAN到WAN1的蓝色箭头。 3. 点击“新建”。 配置以下设置: WLAN 接口/区域源地址 接口/区域目标地址 WAN1 地址名称源地址 全部 地址名称目标地址 全部 时间表 总是 服务 任何 动作 接受 NAT 启动 保护内容表 严格 4. 点击“高级选项”。 5. 点击“流量控制”。 6. 根据需要,配置带宽以及流量优先级设置。 7. 点击“OK”。 65 V. 3.
FortiGate固件 Fortinet公司定期更新Fortigate设备固件加强其性能与锁定问题并诊断 的功能。FortiGate设备注册完成后,便可以从fortinet网站的技术支持 中心http://support.fortinet.com 下载FortiGate设备固件。只有具有对系 统模块读和写权限的管理员与设备admin用户可以更改FortiGate设备 固件。 本章包括以下内容: 升级为新的固件版本 恢复为旧的固件版本 使用CLI在系统重启过程中安装固件镜像 FortiUSB密钥 在安装前检测新的固件镜像 安装并使用备份的固件镜像(只适用于FortiGate-100A) 注意:如果FortiGate设备中的固件是较老的版本,例如FortiOS v.2.50 版,在升级到FortiOS v.3.0版之前请先升级到v.2.
使用CLI升级固件 使用以下步骤时,您须配备一台FortiGate设备能够连接到的TFTP服务 器。 注意:新的固件安装后将替代您现行的防病毒与攻击定义。因此,新 的固件安装完成后,请进行更新防病毒与攻击定义。您也可以使用CLI 命令execute update-now进行防病毒与攻击定义的更新。 详细信息,参见FortiGate设备管理员使用手册。 注意:执行以下步骤,您必须使用管理员帐户,或拥有系统配置读写权 限的管理员帐户登录设备。 使用CLI升级固件 1.确定TFTP服务器已运行。 2.将新的固件镜像拷贝到TFTP服务器的根目录。 3.登录CLI。 4.确定FortiGate设备能够连接到TFTP服务器。 您可以ping一下FortiGate设备是否连接到TFTP服务器。例如,如果 TFTP服务器的IP地址是192.168.1.168,那么执行以下命令: execute ping 192.168.1.168 5.
FortiGate设备恢复为出厂默认配置。 使用基于web的管理器恢复为旧的固件版本 以下操作将FortiGate设备恢复为出厂默认的配置并删除IPS自定义特 征、网页内容列表、邮件过滤列表以及对替换信息所作的修改。 执行该操作之前,建议您: ·备份FortiGate设备配置。 ·备份IPS自定义特征。 ·备份网页内容与邮件过滤列表。 详细信息,参见FortiGate设备管理员使用手册。 恢复为旧的FortiOS版本(例如,从FortiOSv3.0恢复到FortiOSv2.80版 本),从备份的配置文件中,不能恢复旧版本的配置。 注意:新的固件安装后将替代设备现运行的防病毒与攻击定义。新的 固件安装成功后,请下载更新防病毒与攻击定义。 详细信息,参见FortiGate设备管理员使用手册。 注意:执行以下步骤,您必须先登录使用管理员帐户,或拥有系统配 置读写权限的管理员帐户。 使用基于web的管理器恢复为旧的固件版本 1.拷贝固件镜像到管理计算机 2.登录到FortiGate基于web的管理器 3.进入系统管理>状态。 4.在系统信息>固件版本菜单项下,点击“升级”。 5.
详细信息,参见FortiGate设备管理员使用手册。 恢复为旧的FortiOS版本(例如,从FortiOSv3.0恢复到FortiOSv2.80版 本),从备份的配置文件中,不能恢复旧版本的配置。 注意:安装固件替代您现行的防病毒与攻击定义。安装您的固件后, 确 保 防 病 毒 与 攻 击 定 义 已 经 更 新 。 您 也 可 以 使 用 CLI 命 令 execute update-now进行防病毒与攻击定义的更新。 详细信息,参见FortiGate设备管理员使用手册。 注意:执行以下步骤,您必须先登录使用管理员帐户,或拥有系统配 置读写权限的管理员帐户。 执行以下操作,您须配备一台FortiGate设备可以连接到的TFTP服务 器。 使用CLI恢复为旧的固件版本 1.确定TFTP服务器已运行。 2.拷贝固件镜像文件到TFTP服务器的根目录。 3.登录到CLI。 4.确定FortiGate设备能够连接到TFTP服务器。 您可以ping一下FortiGate设备是否连接到TFTP服务器。 例如,如果TFTP服务器的IP地址是192.168.1.168,那么执行以下命令: execute ping 192.
为以前配置。 11.
Press any key to display configuration menu.......... 按任意键中断系统启动。 注意: 3秒内按任意键。如果您没有按下任意键,FortiGate设备继续 重启过程,您须重新登录CLI并重复输入execute reboot命令。 如果您成功中断了重启过程,将显示以下信息之一: ·运行v2.xBIOS的FortiGate设备 Enter TFTP Server Address [192.168.1.168]: 转入步骤 9 ·运行v3.xBIOS版本的FortiGate设备 [G]: Get firmware image from TFTP server. [F]: Format boot device. [Q]: Quit menu and continue to boot with default firmware. [H]: Display this list of options. 输入 G, F, Q, 或 H: 8.键入G从TFTP服务器进入新的固件镜像 显示以下信息: Enter TFTP server address [192.168.1.
set allowaccess {ping https ssh telnet http} end 更改接口地址后,您可以通过基于web的管理器访问FortiGate设备并恢 复配置。 详细信息,参见FortiGate设备管理员使用手册。 恢复为旧的FortiOS版本(例如,从FortiOSv3.0恢复到FortiOSv2.
统识别FortiUSB从FortiGate设备中拔出。 注意:如果加密固件文件,您只可以保存VPN证书。确保启动了配置 加密程序,那样您可以将VPN证书与配置文件一起保存。 使用基于web的管理器备份FortiGate设备配置 1.进入系统>维护>备份与恢复。 2.将所要备份的配置文件加入USB磁盘列表中。 3.点击“备份”。 如果需要加密配置文件,点击“加密”并输入密码后点击“备份”。该密 码在恢复文件时使用。 使用基于web的管理器恢复FortiGate设备配置 1.进入系统>维护>备份与恢复。 2.从USB磁盘中选出所要恢复的配置文件 3.从列表中选择已经备份的配置文件 如果对配置文件进行了加密,输入密码。 4.点击恢复“恢复” 使用CLI备份配置文件 1.登录到CLI 2.输入以下命令备份配置文件: exec back config usb 3. 输入以下命令查看配置文件是否备份到了密钥中 Exec usb-disk list 使用CLI恢复配置文件 1.登录到CLI 2.
注意:该功能需要用到不加密的配置文件,配置文件image.out与 fgt_system.conf必须在根目录下。 注意:安装之前,请确定FortiGate设备已经安装了FortiOS v.30 MR 1。 使用基于web的管理器配置USB自动安装功能 1.进入系统>维护>备份与恢复。 2.点击蓝色箭头扩展“高级选项”。 3.选中以下信息: ·如果USB磁盘中有默认的配置文件名,在系统重启时自动升级 FortiGate配置文件。 ·如果USB磁盘中有默认的镜像,在系统重启时自动升级FortiGate固件 镜像。 4.输入配置与镜像的文件名或使用默认的配置文件名(system.conf)与 默认的镜像名称(image.out)。 5.点击应用“应用”。 使用CLI配置使用USB自动安装功能 1.登录CLI 2.
以当前的配置运行使用最初安装的固件镜像。如果新的镜像运行良好, 您可以使用的“升级为新的固件版本”操作,永久安装使用该镜像。 安装新镜像之前,使用以下操作测试新的固件镜像。执行该操作时, 您需要使用FortiGate console接口与一根交叉线连接到CLI。该操作使 用当前的配置,暂时性的安装新的固件镜像。 执行该操作时,您需要: ·使用RJ-45到DB-9线与FortiGate console端口连接,访问CLI。 ·安装一台您可以通过FortiGate内部接口连接的TFTP服务器。TFTP服 务器应与内部接口处于同一子网。 检测新的固件镜像 1.使用RJ-45到DB-9线与FortiGate console端口连接到CLI。 2.确定TFTP服务器运行。 3.将新的固件镜像拷贝到TFTP服务器的根目录。 4.确认内部接口与TFTP服务器连接的同一网段。 Ping一下FortiGate设备是否连接到TFTP服务器。例如,如果TFTP服务 器的IP地址是192.168.1.168,执行命令: execute ping 192.168.1.168 5.
认没有误输入网络中其他设备的IP地址。 显示以下信息: Enter File Name [image.out]: 11.输入固件镜像文件名并按Enter键。 TFTP服务器上传固件镜像到FortiGate设备并显示信息: ·运行v2.x BIOS的FortiGate设备 Do You Want To Save The Image? [Y/n] 键入n ·运行v3.x BIOS的FortiGate设备 Save as Default firmware/Run image without saving: [D/R] 或 Save as Default firmware/Backup firmware/Run image without saving: [D/B/R] 12. 键入R FortiGate镜像安装在系统内存中,FortiGate设备以当前的配置启动运 行新的固件镜像。 13.您可以使用任何管理帐户登录到CLI或基于web的管理器。 14.
键中断系统重启,您必须重新登录并再一次输入execute reboot命令。 [G]: Get firmware image from TFTP server. [F]: Format boot device. [Q]: Quit menu and continue to boot with default firmware. [H]: Display this list of options. 输入 G, F, Q, 或 H: 7.键入G从TFTP服务器获得新的固件镜像,显示以下信息: Enter TFTP server address [192.168.1.168]: 8.输入TFTP服务器的IP地址并按Enter键: 显示如下信息: Enter Local Address [192.168.1.188]: 9.键入一个FortiGate设备用以连接TFTP服务器的IP地址。 该IP地址须是与TFTP服务器处于同一网段的地址。查看该IP地址,确 认没有误输入网络中其他设备的IP地址。 显示以下信息: Enter File Name [image.out]: 10.