manualshive.com logo in svg

Fortinet FortiBridge 1000, Configuration

Share
Download
Fortinet FortiBridge 1000 Configuration Download Page 157

防火墙配置

 

默认防火墙配置

FortiGate-1000 

安装和配置指南

 143

区域

添加策略

,您

使用以

下步骤

区域添加

到防火墙网

1

区域添加

FortiGate

配置。

  

 109 

 

 

添加区域

 

2

将接口和

VLAN

子网络接口

添加

区域

  

 110 

 

 

区域

添加

接口

 

 

  

 110 

 

 

区域

添加

VLAN

接口

 

3

区域添加

防火墙

地址

  

 150 

 

 

添加地址

 

地址

要添加

接口、

VLAN

子接口和

区域

策略

,防火墙的配置中

包含

个接口、

VLAN

子接口和

区域

地址

。默认

情况

FortiGate

设备配置中包含的

地址

5

中列

出。

 

防火墙使用

这些

地址匹

配防火墙接

到的

据包的

源地址

和目的

地址

。默认的

策略

配从内部网络

的全部连接,因

它包含

内部

_

全部

 

地址

。默认

策略

配到外

部网络的全部连接,因

它包含

 

外部

_

全部

 

地址

您可以在

个接口

上添加

更多的

地址

增强

对通

过防火墙的连接的

控制

。关

于防火墙

地址

信息,请

 

  

 150 

 

 

地址

 

可以

添加

网络

地址转

换 (

NAT

能的防火墙

策略

使用

NAT

换目的

地址

添加

虚拟

IP

。虚拟

IP

将一个网络中的

地址映

一个网络中的

被转

换的

地址上

。关于虚拟

IP

信息请

  

 160 

 

 

虚拟

 IP

 

服务

防火墙

策略

可以根据

据包的服务或目的

控制

连接。默认的

策略

使用

任何服务或目的

口的连接。防火墙配置中包含

40

多个

的服务。您可以将

服务

添加

策略

中以提高

使用

这些

服务

过防火墙的连接的

控制

。您

可以

添加

用户自定

的服务。关于服务的

信息,请

  

 153 

 

 

服务

 

任务

策略

可以根据防火墙

到的连接在一

中的时

或一

中的日子

控制

连接。

默认的

策略

可以在任何时

连接。防火墙配置中包

括了

一个在任何时

连接

的任务

划。您可以

添加

更多的任务

划以

控制策略

的时

。关于任务

划的

信息,请

  

 157 

 

 

任务

 

5: 

默认

地址

接口

地址

内部

内部

_

全部

地址匹

配于内部网络的全部

地址

外部

外部

_

全部

地址匹

配于外部网络的全部

地址

Summary of Contents for FortiBridge 1000

Page 1: ...FortiGate 1000 Installation and Configuration Guide Esc Enter INTERNAL EXTERNAL 1 2 3 4 HA FortiGate 用户手册 第一卷 2 50 版 2003 年 7 月 21 日 安装和配置指南 FortiGate 1000 ...

Page 2: ... 机械 人工 光学或其它任何手段翻印 传 播或发布 FortiGate 1000 安装和配置指南 2 50 版 2003 年 7 月 21 日 注册商标 本手册中提及的产品由他们各自的所有者拥有其商标或注册商标 服从规范 FCC Class A Part 15 CSA CUS 注意 如果更换的电池型号错误 有可能会导致爆炸 请根据使用说明中的 规定处理用过的电池 请访问 http www fortinet com 以获取技术支持 请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送 到 techdoc fortinet com ...

Page 3: ...3 网络入侵检测系统 NIDS 4 虚拟专用网络 VPN 4 高可用性 5 安全安装 配置 管理 5 基于 Web 的管理程序 5 命令行接口 CLI 6 日志和报告 6 2 50 版本的新特点 7 系统管理 7 防火墙 Firewall 8 用户和认证 8 VPN 8 NIDS 9 防病毒 9 网页过滤 9 电子邮件过滤 9 日志和报告 9 关于本手册 10 文档中的约定 10 Fortinet 的文档 11 Fortinet 技术文档的注释 12 客户服务和技术支持 13 开始 15 包装中的物品 16 安置 16 启动 17 连接到基于 Web 的管理程序 18 连接到命令行接口 CLI 19 ...

Page 4: ...NAT 路由模式 26 透明模式 26 配置选项 27 FortiGate 系列产品参数最大值列表 28 下一步 29 NAT 路由 模式安装 31 准备配置 NAT 路由模式 31 使用安装向导 32 启动安装向导 32 重连接到 基于 Web 的管理程序 32 使用前面板控制按钮和 LCD 33 使用命令行界面 33 将 FortiGate 配置为在 NAT 路由模式操作 33 将 FortiGate 连接到网络中 34 配置网络 35 完成配置 36 配置接口 1 2 和 3 36 配置接口 4 HA 36 设置日期和时间 36 启用防病毒保护 36 注册 FortiGate 设备 37 配置防病毒和攻击定义更新 37 配置举例 到互联网的多重连接 37 配置 Ping 服务器 38 基于目的地的路由配置举例 39 策略路由的例子 41 防火墙策略举例 42 透明模式安装 45 准备...

Page 5: ...间 48 启用防病毒保护 48 注册 FortiGate 设备 48 配置防病毒和攻击定义更新 48 将 FortiGate 连接到网络中 48 透明模式配置的例子 50 默认路由和静态路由 50 到外部网络的默认路由的例子 50 到外部目的地址的静态路由的例子 52 到内部目的地址的静态路由的例子 54 高可用性 57 主动 被动 HA 57 主动 主动 HA 58 NAT 路由模式下的 HA 59 安装和配置 FortiGate 设备 59 配置 HA 接口 59 配置 HA 簇 60 将 HA 簇连接到您的网络 61 启动 HA 簇 63 透明模式下的 HA 63 安装和配置 FortiGate 设备 63 配置 HA 接口和 IP 地址 63 配置 HA 簇 64 将 HA 簇连接到您的网络中 65 启动 HA 簇 66 ...

Page 6: ...71 系统状态 73 修改 FortiGate 主机名 74 修改 FortiGate 固件 74 升级到新版本的固件 74 恢复到一个旧的固件版本 76 使用 CLI 重新启动系统安装固件 78 在安装新版本的固件之前进行测试 80 安装和使用一个备份了的固件映像 82 手动更新病毒防护定义库 85 手动更新攻击定义库 85 显示 FortiGate 的序列号 86 显示 FortiGate 运行时间 86 显示日志硬盘状态 86 备份系统设备 86 恢复系统设置 86 将系统设置恢复到出厂设置 87 转换到透明模式 87 转换到 NAT 路由模式 88 重新启动 FortiGate 设备 88 关闭 FortiGate 设备 88 系统状态 88 查看 CPU 和内存状态 89 查看会话和网络状态 90 查看病毒和入侵状态 90 会话列表 91 ...

Page 7: ...5 找回丢失的 Fortinet 支持密码 105 查看注册的 FortiGate 设备列表 105 注册一个新的 FortiGate 设备 106 添加或修改 FortiCare 支持合同号 106 修改您的 Fortinet 支持密码 107 修改您的联系信息或安全提示问题 107 下载病毒防护和攻击定义更新 107 RMA 之后注册 FortiGate 设备 108 网络配置 109 配置区域 109 添加区域 109 在区域中添加接口 110 在区域中添加 VLAN 子接口 110 重命名区域 110 删除区域 110 配置网络接口 111 查看接口列表 111 启动一个接口 111 修改一个接口的静态 IP 地址 111 为接口添加第二个 IP 地址 112 为接口添加 ping 服务器 112 控制到接口的管理访问 112 为接口的连接配置通讯日志 113 修改外部网络接口的 ...

Page 8: ... 配置 123 RIP 设置 124 为 FortiGate 接口配置 RIP 125 添加 RIP 邻居 127 添加 RIP 过滤器 127 添加单一 RIP 过滤器 128 添加一个 RIP 过滤列表 128 添加一个邻居过滤器 129 添加一个路由过滤器 129 系统配置 131 设置系统日期和时间 131 更改基于基于 Web 的管理程序的选项 132 添加和编辑管理员帐号 133 添加新的管理员帐号 134 编辑管理员帐号 134 配置 SNMP 135 为 SNMP 监视配置 FortiGate 设备 135 配置 FortiGate 的 SNMP 支持 135 FortiGate 管理信息库 MIB 136 FortiGate 陷阱 137 定制替换信息 137 定制替换信息 138 定制报警邮件 139 ...

Page 9: ... 地址 150 添加地址 150 编辑地址 151 删除地址 152 将地址编入地址组 152 服务 153 预定义的服务 153 访问定制服务 155 服务分组 156 任务计划 157 创建一个一次性任务计划 157 创建周期性任务计划 158 在策略中添加一个任务计划 159 虚拟 IP 160 添加静态 NAT 虚拟 IP 160 添加端口转发虚拟 IP 161 添加使用虚拟 IP 的策略 162 IP 池 163 添加 IP 池 163 使用固定端口的防火墙策略的 IP 池 164 IP 池和动态 NAT 164 IP MAC 绑定 164 为穿过防火墙的数据包配置 IP MAC 绑定 165 为连接到防火墙的数据包配置 IP MAC 绑定 165 添加 IP MAC 地址 166 查看动态 IP MAC 列表 166 启用 IP MAC 地址绑定 166 ...

Page 10: ...置用户组 176 添加用户组 176 删除用户组 177 IPSec VPN 179 密钥管理 179 手工密钥 180 使用预置密钥或证书的自动互联网密钥交换 自动 IKE 180 手工密钥 IPSec VPN 180 手工密钥 VPN 的一般配置步骤 181 添加一个手工密钥 VPN 通道 181 自动 IKE IPSec VPN 182 自动 IKE VPN 的一般配置步骤 182 为自动 IKE VPN 添加第一阶段配置 183 为自动 IKE VPN 添加第二阶段配置 186 管理数字证书 188 获得签名的本地证书 188 获得一个 CA 证书 192 配置加密策略 192 添加源地址 193 添加目的地址 193 添加一个加密策略 194 IPSec VPN 集中器 195 VPN 集中器 集线器 一般配置步骤 196 添加一个 VPN 集中器 197 VPN 辐条一般配置步...

Page 11: ...08 L2TP VPN 配置 209 把 FortiGate 配置为 L2TP 网关 210 配置 Windows2000 客户的 L2TP 212 配置 WindowsXP 客户的 L2TP 214 网络入侵检测系统 NIDS 217 检测攻击 217 选择要监视的网络接口 217 禁用 NIDS 217 验证校验和的配置 219 查看攻击特征列表 219 查看攻击描述 219 启用和禁用 NIDS 攻击特征 220 添加 用户定义的特征 221 NIDS 攻击预防 221 启用 NIDS 攻击预防 222 启用 NIDS 攻击预防特征 222 设置特征临界值 223 配置握手溢出特征值 224 记录 NIDS 攻击日志 224 将攻击消息记录到攻击日志 224 减少 NIDS 攻击日志消息和报警邮件的数量 225 防病毒保护 227 一般配置步骤 227 防病毒扫描 228 文件阻塞 ...

Page 12: ...容阻塞 236 在禁忌词汇列表中添加单词或短语 236 阻塞对 URL 的访问 237 使用 FortiGate 网页过滤器 237 使用 Cerberian 网页过滤器 239 脚本过滤 242 启用脚本过滤 242 选择脚本过滤选项 242 URL 排除列表 243 在 URL 排除列表中添加 URL 243 电子邮件过滤 245 一般配置步骤 245 电子邮件禁忌词汇列表 245 在禁忌词汇列表中添加单词或短语 246 电子邮件阻塞列表 246 在邮件阻塞列表中添加地址模板 246 邮件排除列表 247 在邮件排除列表中添加地址模板 247 添加一个主题标签 248 日志和报告 249 记录日志 249 在远程电脑上记录日志 250 在 NetIQ WebTrends 服务器上记录日志 250 将日志记录到 FortiGate 硬盘 250 将日志记录到系统内存 251 过滤日志消息...

Page 13: ... 配置通讯日志 253 启用通讯日志 254 配置通讯过滤设置 254 添加通讯过滤的条目 255 查看记录到内存的日志 256 查看日志 256 搜索日志 256 查看和管理保存在硬盘上的日志 257 查看日志 257 搜索日志 257 将日志文件下载到管理员电脑 258 删除当前日志中的全部消息 258 删除一个保存了的日志文件 259 配置报警邮件 259 添加报警邮件地址 259 测试报警邮件 260 启用报警邮件 260 术语表 261 索引 263 ...

Page 14: ...目录 xiv 美国飞塔有限公司 ...

Page 15: ...网络边界布署的防护关键应用程序 对您的网络进行最有效的安全保护 FortiGate 系列对现有的一些解决方案 如以主机为基础的防病毒保护进行补充 并在大力降低 设备 管理和维修成本的同时 为您提供一些新的应用和服务 FortiGate 2000C 型提供了满足大型 企业及服务供应商所需的企业重载级性能 和可靠性 FortiGate 200 使用多个 CPU 和 FortiASIC 芯片提供了高达 2G 的吞吐 量 能满足大多数大型应用中对设备的严 格要求 每个 FortiGate 2000C 都包括冗余供电设备以避免单点失效的影响 同时它 还支持负载均衡和不中断服务的失效恢复 高兼容性 高可靠性和易于管理使得 FortiGate 2000C 成为提供可管理服务的最佳选择 防病毒保护 ICSA 认证的 FortiGate 防病毒保护 可将通过 FortiGate 传输的 WEB HTTP 文...

Page 16: ...匹配的条目 或在网页中发现了内容阻 塞列表中的词或短语 FortiGate 将阻塞此页 被阻塞的网页会被一条内容阻塞消息 所替代 您可以使用基于 Web 的管理程序编缉这个消息 通过设置 URL 阻塞可以阻挡来自某一网站上的所有或部分网页 利用这一特点 可拒绝某个站点中的部分而不是阻塞整个网站 为防止无意封锁到一些合法的网页 可将 URLs 添加到一则例外列表中 从而覆盖 URL 封锁及内容封锁列表中的设置 Web 网页内容过滤也包括脚本过滤 它可以配置为阻塞如下一些非安全 web 内容 如 Java 小程序 Cookies ActiveX 您还可以使用 Cerberian URL 阻塞去阻塞不受欢迎的 URL 电子邮件过滤 通过配置 FortiGate 的电子邮件过滤功能 可以扫描所有的 IMAP 和 POP3 邮件内 容 找出不受欢迎的发件人或不受欢迎的内容 如果发现某个邮件的发件人地...

Page 17: ...用户在获取访问之 前进行用户认证 包含了流通控制用以设置每条策略的访问优先权和带宽保证或带宽限制 包含日志用以逐个追记某策略下的网络连接 包含网络地址转换 路由 NAT 路由 模式策略 包含混合 NAT 和路由模式策略 FortiGate 防火墙支持网络地址转换 路由模式或透明模式 NAT 路由模式 在 NAT 路由模式下 您可创建 NAT 模式和路由模式策略 NAT 模式策略通过网络地址转换对较不安全区域中的用户隐藏较安全区域中的地址 路由模式策略在不执行地址转换下接受或拒绝区域间的连接 透明模式 透明模式提供了与 NAT 模式相同的基本防火墙保护 从 FortiGate 中接收到的数据 包根据防火墙策略可被智能地转发或阻塞掉 FortiGate 可插入到网络的任何一点而不 需要对此网络或其它相关组件做任何的改变 然而 VPN VLAN 多区域功能及一些高 级防火墙功能只能在 NAT 路...

Page 18: ...虚拟专用网 VPN 可为您在办公网络和分散的办公室网络 从 远程安全通讯系统登陆到公司网的用户或旅行者 之间提供一个安全的网络连接 服务 供应商还可以使用 FortiGate 设备为他们的客户提供 VPN 服务 FortiGate VPN 包括以下特性 执行行业标准及 ICSA 认证的 IPSec VPN 包括 在通道模式下的 IPSec ESP 安全 DES 和 3DES triple DES 加密的硬件加速 HMAC MD5 和 HMAC SHA1 认证和数据整体化 基于预置密钥隧道的自动密钥交换 使用本地验证或 CA 验证的 IPSec VPN 手工密钥通道 Diffie Hellman 组 1 2 和 5 积极模式和主模式 重放检测 向前保密 XAuth 认证 失效对等检测 易于连接的 PPTP 支持为大多数常用的操作系统所支持的 VPN 标准 易于连接的 L2TP 支持为大多数常...

Page 19: ...置为使用默认的 IP 地址及安全策略配置 为了使 FortiGate 开始保护您的网络 只需连接到基于 Web 的 管理程序 设置操作模式并使用安装向导来配置您网络的 FortiGate IP 地址 在此基 础上 可用基于 Web 的管理程序来进行更进一步的配置以满足您更多的需要 您也可使用 FortiGate 面板上的控制按钮和 LCD 对其进行基本配置 基于 Web 的管理程序 从任何一个装有 IE 流览器的电脑上以 HTTP 或安全 HTTPS 方式连接到基于 Web 的 管理程序 即可对 FortiGates 设备进行配置和管理 基于 Web 的管理程序支持多种语 言 您可以从任何 FortiGate 接口将 FortiGate 设备配置为使用 HTTP 或 HTTPs 进行管 理维护 您可以使用基于 Web 的管理程序完成大部分 FortiGate 配置工作 也可以使用基于 We...

Page 20: ... 中访问 CLI 界面 CLI 具有和 基于 Web 的管理程序相同的管理和监视功能 另外 您可以使用 CLI 进行一些高级配置工作 这是 基于 Web 的管理程序无法实现的 安装和配置指南 中 包含了有关基本 CLI 命令和高级 CLI 命令的信息 您可以在 FortiGate CLI 参考指南 中找到关于如何连接到 CLI 和如何使用 FortiGate CLI 的更加完整和详细的说明 日志和报告 FortiGate 支持记录各种类别的流通和配置修改 您可将日志设置如下 报告连接到防火墙接口的通讯 报告被使用的网络服务 报告被防火墙策略允许的通讯 报告被防火墙策略拒绝的通讯 报告配置改变和其它一些管理事件 如 IPSec 通道协商 病毒检测 攻击 web 网 页阻塞 报告被 NIDS 检测到的攻击 向系统管理员发送报警 EMAIL 以报告病毒事件 入侵及防火墙或 VPN 事件及异常违法...

Page 21: ... 现在可以以小时为单位进行定期更新 并且 系统 更新页面显示关于更新状态的 更多的详细信息 详情请见 第 93 页 病毒防护定义和攻击定义更新 可以从基于 Web 的管理程序直接连接到 Fortinet 技术支持网页的页面 您可以注册 您的 FortiGate 设备并获得访问其他技术支持资源的权利 详情请见 第 102 页 注册 FortiGate 设备 网络配置 关于如何添加和使用区域的内容有所改动 详细内容请见 第 109 页 配置区 域 关于如何添加和使用 VLANs 的内容有一些改动 详细内容请见 第 115 页 配置 虚拟局域网 VLAN 新的网络接口配置选项 详情请见 第 111 页 配置网络接口 在所有网络接口上的 Ping 服务器和失效网关检测 从任何接口进行 HTTP 和 Telnet 管理访问 所有 FortiGate 网络接口的第二个 IP 地址 路由 简单的基于方向...

Page 22: ...被阻塞时 发送警报邮件时 详情请见 第 137 页 定制替换信息 防火墙 Firewall 防火墙的默认配置有一些改动 详情请见 第 142 页 默认防火墙配置 在所有接口上添加了虚拟 IP 详情请见 第 160 页 虚拟 IP 为防火墙策略添加了内容配置文件 可以组合有关阻塞 扫描 隔离 网页内容阻塞 和电子邮件过滤的有关配置信息 详情请见 第 167 页 内容配置文件 用户和认证 LDAP 认证 详情请见 第 174 页 配置 LDAP 支持 VPN 关于 FortiGateVPN 功能的详细说明请见 FortiGate VPN 指南 新的特性包括 第一阶段 AES 加密 证书 高级选项 包括拨号组 对等 Peer XAUTH NAT 跨越 DPD 第二阶段 AES 加密 加密策略选择服务 生成和导入本地证书 导入 CA 证书 ...

Page 23: ...ate 防病毒功能的完整说明请见 FortiGate 内容保护指南 新特性包 括 内容配置文件 隔离含有病毒的文件或被阻塞的文件 阻塞大小超过限制的文件 网页过滤 关于 FortiGate 网页过滤功能的完整说明 请见 FortiGate 内容保护指南 新特 性包括 Cerberian URL 过滤 电子邮件过滤 关于 FortiGate 电子邮件过滤功能的完整说明请见 FortiGate 内容保护指南 日志和报告 关于 FortiGate 日志记录的详细说明请见 FortiGate 日志和消息参考指南 使用 CSV 格式将日志记录到远程主机 日志消息级别 紧急 警报 危急 错误 警告 注意 信息 日志级别策略 通讯日志过滤 新病毒 网页过滤和电子邮件过滤日志 支持认证的报警邮件 抑制邮件泛滥 扩展的 WebTrends 活动图表支持 ...

Page 24: ...配置 描述了 FortiGate RIP2 如何实现以及如何配置 RIP 的相关设置 系统配置 描述了在系统 配置 基于 Web 的管理程序页可以进行的系统管理操作 本章描述了如何设置系统时间 添加和更改有管理权限的用户 配置 SNMP 以及编 辑可自定义的消息 防火墙配置 描述了如何配置防火墙策略以控制通过 FortiGate 设备的数据通讯 和 对数据通讯应用内容过滤 用户与认证 描述了如何在 FrotiGate 用户数据库中添加用户名 如何将 FortiGate 配置为连接到一个 RADIUS 服务器进行用户认证 IPSec VPN 描述如何配置 FortiGate IPSec VPN PPTP 和 L2TP VPN 描述了如何在 FortiGate 和 windows 客户端之间配置 PPTP 和 L2TP VPN 网络入侵检测系统 NIDS 描述了如何配置 FortiGate N...

Page 25: ...iGate 安装和配置指南 描述了 FortiGate 设备的安装和基本配置方法 还描述了如何使用 FortiGate 的防 火墙策略去控制通过 FortiGate 设备的网络通讯 以及如何使用防火墙策略在通过 FortiGate 设备的网络通讯中对 HTTP FTP 和电子邮件等内容应用防病毒保护 网 页内容过滤和电子邮件过滤 第二卷 FortiGate 虚拟专用网络 VPN 指南 包含了在 FortiGate IPSec VPN 中使用认证 预置密钥和手工密钥加密的更加详细 的信息 还包括了 Fortinet 远程 VPN 客户端配置的基本信息 FortiGate PPTP 和 L2TP VPN 配置的详细信息 以及 VPN 配置的例子 第三卷 FortiGate 内容保护指南 描述了如何配置防病毒保护 网页内容过滤和电子邮件过滤 以保护通过 FortiGate 的内容 第四卷 For...

Page 26: ...12 美国飞塔有限公司 Fortinet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处 欢迎您将有 关信息发送到 techdoc fortinet com ...

Page 27: ...登陆到该网站更改您的注册信息 以下电子邮件信箱用于 Fortinet 电子邮件支持 关于 Fortinet 电话支持的信息 请访问 http support fortinet com 当您需要我们的技术支持的时候 请您提供以下信息 您的姓名 公司名称 位置 电子邮件地址 电话号码 FortiGate 设备生产序列号 FortiGate 型号 FortiGate FortiOS 固件版本 您所遇到的问题的详细说明 amer_support fortinet com 为美国 加拿大 墨西哥 拉丁美洲和南美地区的客户提供服 务 apac_support fortinet com 为日本 韩国 中国 中国香港 新加坡 马来西亚 以及其 他所有亚洲国家和澳大利亚地区的客户提供服务 eu_support fortinet com 为英国 斯堪的纳维亚半岛 欧洲大陆 非洲和中东地区的客 户提供服务 ...

Page 28: ...14 美国飞塔有限公司 客户服务和技术支持 简介 ...

Page 29: ... 防病毒防火墙的内容 一旦完 成此章内容 您可按如下章节进行配置 如果要在 NAT 路由 模式下运行 FortiGate 请参阅 第 31 页 NAT 路由 模式 安装 如果要在 透明 模式下运行 FortiGate 请参阅 第 45 页 透明模式安装 如果要在 HA 模式下运行两个或多个 FortiGate 请参阅 第 57 页 高可用性 本章叙述了以下内容 包装中的物品 安置 启动 连接到基于 Web 的管理程序 连接到命令行接口 CLI FortiGate 出厂默认设置 规划您的 FortiGate 设备的配置 FortiGate 系列产品参数最大值列表 下一步 ...

Page 30: ...iGate 1000 防病毒防火墙 两根黄色交叉连接以太网电缆 两根灰色普通以太网电缆 一根串行通信电缆 FortiGate 1000 快速入门手册 电源线 包含了用户手册内容的光盘 两个 19 英寸机架安装支架 图 2 FortiGate 1000 包装中的物品 安置 FortiGate 1000 可安置在 19 英寸标准机架上 它需占据机架中 2 U 的空间 FortiGate 1000 也可被独立安装在任何稳定平台上 独立安装需确保在其周围每 側留有 1 5 英寸 3 75 厘米 的空间以保证空气流通和风冷 ...

Page 31: ... 70 摄氏度 湿度 5 至 95 非冷凝 启动 按以下步骤启动 FortiGate 1000 1 将电源线连接到 FortiGate 1000 背面的电源接口处 2 将电源线接到电源插座 数秒后 LCD 显示 SYSTEM STARTING 系统启动 当系统启动完毕并正常运行后 LCD 将显示主菜单 MAIN MENU 表 1 FortiGate 1000 LED 指示灯 LED 状态 说明 Power 绿色 FortiGate 设备已经加电 熄灭 FortiGate 设备已经断电 1 到 4 HA 橙色 当前电缆使用中 并且所连接的设备已经加电 橙色闪烁 此接口有网络活动 绿色 此接口已建立速率为 100Mbps 的连接 熄灭 未建立连接 Internal External 橙色 当前电缆使用中 并且所连接的设备已经加电 橙色闪烁 此接口有网络活动 绿色 此接口已建立速率为 100Mb...

Page 32: ...连接到 基于 Web 的管理程序 1 将与以太网相连的控制电脑的静态 IP 地址设定为 192 168 1 2 网络掩码 255 255 255 0 2 用交叉电缆或以太网集线器及电缆 控制电脑与 FortiGate 设备的内部接口相连 3 启动 Internet 浏览器并访问 https 192 168 1 99 需要输入 https 将显示 FortiGate 登录界面 4 在登录页面的姓名域中输入 admin 后按登录按钮 现在注册 页面将显示 根据此页所给信息来注册 FortiGate 这样 以便 Fortinet 在需要固件升级时与您联系 同时 也为了您可及时收到更新的防病毒和入 侵侦测数据库 图 3 FortiGate 登录 注意 您可以使用大多数常见的老版本的网页浏览器访问 基于 Web 的管理程序 微软互联网浏 览器 4 0 及以上版本能够完全支持 基于 Web 的管理程序...

Page 33: ...超级终端程序 HyperTerminal 连接到 CLI 1 用串行通讯线将电脑的通信端口和 FortiGate 控制台端口相连 2 确认 FortiGate 的电源已打开 3 运行超级终端 为连接输入一个名称 然后单击 确定 4 将超级终端的连接方式配置为直接连接到计算机的串行通讯接口 这个接口即串行通 讯线所连接的接口 单击 确定 5 选择以下端口设置并单击确定 6 按回车键 连接到 CLI 将出现以下提示 FortiGate 1000 login 7 输入 admin 后按两次回车键 将出现以下提示 Type for a list of commands 关于如何使用 CLI 请参阅 FortiGate CLI 参考手册 注意 以下步骤描述了如何用 Windows HyperTerminal 软件与 CLI 连接 您可以使用任何一种终 端模拟软件 每秒比特数 9600 数据位 8 奇...

Page 34: ...多的策 略 从而对通过 FortiGate 设备的通讯进行更多的控制 出厂时默认的内容配置文件可以用来快速地在防火墙策略中设置不同级别的防病毒 保护 网页内容过滤 电子邮件过滤 以控制网络通讯 出厂默认的 NAT 路由模式的网络配置 出厂默认的透明模式的网络设置 出厂时默认的防火墙配置 出厂时默认的内容配置文件 出厂默认的 NAT 路由模式的网络配置 FortiGate 设备首次加电时 它运行于 NAT 由模式 并具有表 2 中列出的基本网 络配置 这一配置允许您连接到 FortiGate 设备的基于 Web 的管理程序 并根据您网 络连接的要求配置 FortiGate 设备 在 表 2 中 HTTPS 管理访问意味着您可以使用这 一接口连接到 基于 Web 的管理程序 Ping 管理访问意味着这一接口可以响应 ping 请 求 表 2 出厂默认的 NAT 路由模式网络配置 管理员帐号 用...

Page 35: ... 0 0 0 管理访问 Ping a 当您修改外部接口的 IP 地址时 FortiGate 设备将删除默认路由 表 2 出厂默认的 NAT 路由模式网络配置 续 表 3 出厂默认的透明模式网络设置 管理员帐号 用户名 admin 密码 无 管理 IP IP 10 10 10 1 网络掩码 255 255 255 0 DNS 主 DNS 服务器 207 194 200 1 辅助 DNS 服务器 207 194 200 129 管理访问 Internal HTTPS Ping External Ping 接口 1 Ping 接口 2 Ping 接口 3 Ping 接口 4 HA Ping 表 4 出厂默认防火墙设置 内部地址 内部 _ 全部 IP 0 0 0 0 表示内部网络中的全部 IP 地址 掩码 0 0 0 0 外部地址 外部 _ 全部 IP 0 0 0 0 表示外部网络中的全部 IP ...

Page 36: ...外部网络的防火墙策略 源 内部 _ 全部 策略的源地址 内部 _ 全部意味着策略接受来自任 何内部 IP 地址的连接请求 目的 外部 _ 全部 策略的目的地址 外部 _ 全部意味着策略接受到外 部网络中的任何 IP 地址的连接请求 任务计划 总是 策略的任务计划 总是 意味着这个策略始终有效 服务 任意 策略的服务 任意 意味着这个策略可以处理所有服 务类型的连接 动作 接受 策略的动作 接受 意味着策略允许建立连接 NAT NAT 在 NAT 路由模式的默认策略中被选中 以使得 策略对其处理的通讯进行网络地址转换 NAT 在透 明模式下不可用 流量控制 流量控制未被选中 策略不会对其所控制的通讯应 用流量控制 您可以选中这一选项 以控制这一策 略所处理的通讯的最大或最小带宽 认证 认证没有被选中 用户在建立到目的地址的连接之 前 无须通过防火墙的认证 您可以在防火墙上配 置用户组 并启用...

Page 37: ...扫描 同时 隔离功能也被启用了 并适用于所有类型的服务 在 FortiGate 设备中装备了一个硬盘 如果防病毒扫描功能发现了在某个文件中有病毒 这个文件 可以被隔离到 FortiGate 的硬盘上 系统管理员可以根据需要决定是否恢复被隔离的 文件 表 5 严谨型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 邮件阻塞 阻塞 阻塞 阻塞 阻塞 阻塞 传输邮件片段 表 6 扫描型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 E...

Page 38: ...制无须保护的通讯类型的防火墙策略上添加这一内容配置文件 例如两个高 度可信或高度安全的网络之间的通讯 表 7 网页型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 邮件阻塞 传输 传输 传输 传输 传输 传输邮件片段 表 8 非过滤型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 邮件阻塞 传输 传输 传输 传输 传输 传输邮件片段 ...

Page 39: ... 接口 1 和 3 可以连接到任何网络上 接口 2 可以连接到 DMZ 网络或其他任何网络上 接口 4 HA 可以连接到其它网络上 如果您建立了 HA 簇 接口 4 HA 也可以连接到 其他 FortiGate 2000 上 无论 FortiGate 1000 工作在 NAT 模式或是路由模式 您都可以添加安全策略以控 制通过 FortiGate 1000 的通讯连接 安全策略根据每个数据包的源地址 目的地址和 服务控制数据流 在 NAT 模式下 FortiGate 在将数据包发送到目的网络之前进行网络 地址转换 在路由模式下 不进行转换 默认情况下 FortiGate 只有一个 NAT 模式的策略 它使内部网络中的用户可以安 全地从外部网络下载内容 如果您没有配置其他安全策略 其他的数据流都将被阻塞 FortiGate 1000 的 NAT 路由模式的一个比较典型的应用是作为私有网络和公...

Page 40: ...自动地将所有连接重定向到其他可用的外部网络连接上 除此之外 安全策略的配置基本上等同于 NAT 路由模式下的单互联网连接的配置 方式 您需要创建控制从内部的私有网络到外部的公共网络 通常是互联网 的通讯 的 NAT 模式策略 如果您拥有多个内部网络 例如除了内部私有网络之外 还有 DMZ 网络 您为它们 之间的通讯创建路由模式策略 图 5 NAT 路由模式下多重互联网连接配置的例子 透明模式 在透明模式下 FortiGate 设备在网络中是不可见的 此时它如同一个网桥 所有 的 FortiGate 设备接口必须在同一子网内 您必须配置一个管理 IP 地址以便修改 FortiGate 的配置 这个管理 IP 地址还将用于获得防病毒保护和攻击定义的更新 透明模式下的 FortiGate 设备一个比较典型的应用是安装在一个位于防火墙或路由 器后面的私有网络中 FortiGate 提供一些基本的防...

Page 41: ... 默认 运行 设置向导会提醒 您添加管理员密码 内部网络的接口地址 也可以使用设置向导为外部接口添加 DNS 服务器 IP 地址和默认路由 在 NAT 路由模式下 您还可以将 FortiGate 设备配置为允许从互联网访问您的内 部网络中的网页 FTP 或电子邮件服务器 如果您计划将 FortiGate 设备设置为透明模式 您可以使用基于 Web 的管理程序切 换到透明模式 设置向导会提醒您添加管理员密码 管理 IP 地址和网关 以及 DNS 服 务器地址 CLI 如果您将 FortiGate 设备设置为以 NAT 路由模式 默认 运行 您可以添加管理 员密码 内部网络的全部接口地址 使用 CLI 您也可以为外部接口添加 DNS 服务器 IP 地址和默认路由 如果您计划将 FortiGate 设备设置为透明模式 您可以使用 CLI 切换到透明模式 添加管理员密码 管理 IP 地址和网关 以...

Page 42: ...300 300 300 虚拟 IP 500 500 500 500 500 500 500 500 500 500 500 IP MAC 绑定 500 500 500 500 500 500 500 500 500 500 500 路由 500 500 500 500 500 500 500 500 500 500 500 策略路由网关 500 500 500 500 500 500 500 500 500 500 500 管理员权限用户 500 500 500 500 500 500 500 500 500 500 500 IPsec 第一阶段 20 50 80 200 1500 1500 3000 5000 5000 5000 5000 VPN 集中器 500 500 500 500 500 500 500 500 500 500 500 VLAN 子接口 N A N A N A N ...

Page 43: ...开始 下一步 FortiGate 1000 安装和配置指南 29 下一步 至此 FortiGate 已启动并正常运行 您可继续配置如下设置 如果要在 NAT 路由模式下运行 FortiGate 请参阅 第 31 页 NAT 路由 模式 安装 如果要在 透明 模式下运行 FortiGate 请参阅 第 45 页 透明模式安装 如果要在 HA 模式下运行 FortiGate 请参阅 第 57 页 高可用性 ...

Page 44: ...30 美国飞塔有限公司 下一步 开始 ...

Page 45: ...装向导 使用前面板控制按钮和 LCD 使用命令行界面 完成配置 将 FortiGate 连接到网络中 配置网络 完成配置 配置举例 到互联网的多重连接 准备配置 NAT 路由模式 使用 表 10 收集您设置 NAT 路由 模式配置所需的信息 表 10 NAT 路由 模式配置 管理员密码 内部接口 IP _____ _____ _____ _____ 网络掩码 _____ _____ _____ _____ 外部接口 IP _____ _____ _____ _____ 网络掩码 _____ _____ _____ _____ 默认网关 _____ _____ _____ _____ 主 DNS 服务器 _____ _____ _____ _____ 辅助 DNS 服务器 _____ _____ _____ _____ 接口 1 IP _____ _____ _____ _____ 网络掩码...

Page 46: ... 可以进入 第 36 页 完成配 置 接口 2 IP _____ _____ _____ _____ 网络掩码 _____ _____ _____ _____ 接口 3 可选为连接到 DMZ 网络 IP _____ _____ _____ _____ 网络掩码 _____ _____ _____ _____ 接口 4 HA IP _____ _____ _____ _____ 网络掩码 _____ _____ _____ _____ 内部服务器 Web 服务器 _____ _____ _____ _____ SMTP 服务器 _____ _____ _____ _____ POP3 服务器 _____ _____ _____ _____ IMAP 服务器 _____ _____ _____ _____ FTP 服务器 _____ _____ _____ _____ 如果要从 Interne...

Page 47: ...缺省网关 以及其他接口 您已完成 FortiGate 初始 配置 可进入 第 36 页 完成配置 使用命令行界面 除了使用设置向导 您还可以使用命令行界面 CLI 配置 FortiGate 要连接到 CLI 请参阅 第 19 页 连接到命令行接口 CLI 将 FortiGate 配置为在 NAT 路由模式操作 使用您在 第 31 页 表 10 中收集的信息完成以下操作 配置 NAT 路由模式 IP 地址 1 如果您还没有登录 首先登录到 CLI 2 将内部网络接口的 IP 地址和网络掩码设置为您在 第 31 页 表 10 中记录的 IP 地址和 网络掩码 输入 set system interface internal mode static ip IP_ 地址 网络掩码 例如 set system interface internal mode static ip 192 168 1 1...

Page 48: ... system interface port3 mode static ip 192 45 56 73 255 255 255 0 5 确认地址是正确的 输入 get system interface CLI 列出每个 FortiGate 网络接口的 IP 地址 网络掩码和其它设置信息 6 设置主 DNS 服务器的 IP 地址 输入 set system dns primary IP 地址 例如 set system dns primary 293 44 75 21 7 还可以选择是否输入辅助 DNS 服务器 IP 地址 输入 set system dns secondary IP 地址 例如 set system dns secondary 293 44 75 22 8 设置到默认路由的默认网关的 IP 地址 set system route number 路由编号 _ 整数 dst 0...

Page 49: ...tiGate 2000C 详情请见 第 57 页 高可用性 或连接到第四个网络 按以下方式连接运行于 NAT 路由模式的 FortiGate 1 将内部接口连接到您的内部网络的交换机或集线器上 2 将外部接口连接到您的互联网服务供应商提供的公共交换机或集线器上 3 可以选择是否将接口 1 2 3 和 4 HA 连接到网络 图 7 FortiGate 2000C NAT 路由模式连接 配置网络 如果在 NAT 路由模式下运行 FortiGate 您需要将网络设置为将所有 Internet 流 通路由到它们所连接到的 FortiGate 接口的 IP 地址上 注意 您也可以把两个接口连接到不同的互联网连接 以提供一个到互联网的冗余连接 例如 将外部接口和接口1分别连接到由不同的互联网服务供应商提供的互联网连接线路上 详情请见 第 37 页 配置举例 到互联网的多重连接 ...

Page 50: ...2 和 3 4 根据需要改变 IP 地址和子网掩码 5 单击 应用 配置接口 4 HA 按照如下配置接口 4 HA 以连接到网络 1 登录到 基于 Web 的管理程序 2 进入 系统 网络 接口 3 选择 4 HA 接口 并单击 修改 4 确保没有选中工作在 HA 模式 5 根据需要改变 IP 地址和子网掩码 6 单击 应用 设置日期和时间 为了有效的安排日程和记录日志 FortiGate 的日期和时间必须精确 您可手动 设置时间 或通过配置 FortiGate 来自动与网络时间协议服务器 NTP 同步从而更正 时间 设置 FortiGate 日期和时间 请参阅 第 131 页 设置系统日期和时间 启用防病毒保护 按以下步骤启用防病毒保护 可以防止您的内部网络中的用户从互联网上下载病 毒 1 进入 防火墙 策略 内部 外部 2 单击编辑 以编辑这个策略 3 单击 防病毒和网络过滤 以启用这...

Page 51: ...ate 设备使用 8890 端口的 HTTPS 方式连接去检查更新 FortiGate 外部接 口必须能够使用 8890 端口访问更新中心 要配置自动防病毒和攻击定义更新 请访问 第 93 页 病毒防护定义和攻击定 义更新 配置举例 到互联网的多重连接 本节描述了 FortiGate 设备使用多重连接到互联网的 见图 8 一些基本的路由 和防火墙策略配置的例子 在这种拓扑结构中 该组织使用的 FortiGate 设备分别通 过两个互联网服务供应商连接到互联网 FortiGate 设备使用外部接口和接口 3 接口连 接到互联网 外部接口连接到 ISP1 提供的网关 1 接口 3 连接到 ISP2 提供的网关 2 在接口上添加了 ping 服务器 并配置了路由之后 您可以控制通讯如何使用每个 到互联网的连接 在这种路由配置方式下您可以继续创建支持到互联网的多重连接的 防火墙策略 本节提供了一些...

Page 52: ...联网的多重连接 NAT 路由 模式安装 图 8 到互联网的多重连接的配置的例子 配置 Ping 服务器 按照以下步骤将网关 1 设置为外部接口的 Ping 服务器 将网关 2 设置为接口 3 的 Ping 服务器 1 进入系统 网络 接口 2 在外部接口上选择修改 Ping 服务器 1 1 1 1 选择启用 Ping 服务器 单击确定 3 在接口 3 接口上选择修改 Ping 服务器 2 2 2 1 选择启用 Ping 服务器 单击确定 ...

Page 53: ...联网的主连接和备份连接 按照以下步骤添加默认的基于目的地的路由 以将所有向外的通讯定向到网关 1 如果网关 1 失效了 所有连接会被重定向到网关 2 网关 1 是到互联网的主连接 网关 2 是备份连接 1 进入 系统 网络 路由表 2 选择 新建 目的 IP 0 0 0 0 掩码 0 0 0 0 网关 1 1 1 1 1 网关 2 2 2 2 1 设备 1 外部 设备 2 端口 3 单击确定 使用 CLI 1 在路由表中添加路由 set system route number 0 dst 0 0 0 0 0 0 0 0 gw1 1 1 1 1 dev1 port2 gw2 2 2 2 1 dev2 port3 负载分配 您也可以将基于目的的路由配置为同时将通讯定向到两个网关 如果您的内部网络 中的用户连接到 IPS1 和 IPS2 的网络中 您可以为每个目的地添加路由 每个路由可 以包括一...

Page 54: ...组合起来 为用户提供一个到互联网的 主连接和一个备份连接 并根据需要将通讯分配到每个 ISP 的网络上 下面所描述的路由允许内部网络中的用户通过网关 1 和 ISP1 访问互联网 同时 这个用户还可以通过 ISP2 的网关 2 去访问他的电子邮件服务器 使用 基于 Web 的管理程序添加路由 1 进入 系统 网络 路由表 2 单击新建以添加到互联网的主连接和备份连接的默认路由 目的 IP 0 0 0 0 掩码 0 0 0 0 网关 1 1 1 1 1 网关 2 2 2 2 1 设备 1 外部 设备 2 端口 3 单击确定 3 单击新建以添加到 ISP1 的网络的路由 目的 IP 0 0 0 0 掩码 0 0 0 0 网关 1 1 1 1 1 网关 2 2 2 2 1 设备 1 外部 设备 2 端口 3 表 12 负载分配路由 目的 IP 掩码 网关 1 设备 1 网关 2 设备 2 100...

Page 55: ... 200 0 255 255 255 0 gw1 2 2 2 1 dev1 port3 gw2 1 1 1 1 dev2 external 2 添加到互联网的主连接和备份连接的默认路由 set system route number 3 dst 0 0 0 0 0 0 0 0 gw1 1 1 1 1 dev1 external gw2 2 2 2 1 dev2 port3 路由表中的路由应当按照 表 13 中的顺序排序 策略路由的例子 添加策略路由可以增强您对数据包被路由的方式的控制能力 策略路由工作在基于 目的的路由的顶部 这意味着您应当先配置基于目的的路由并在顶部建立策略路由以 增强由基于目的的路由提供的控制能力 例如 如果您为一个到互联网的双重连接配置了基于目的的路由 您可以使用策略 路由对通讯被发送到哪条目的路由进行控制 本节描述了以下策略路由的例子 它们 基于类似于 第 38 页...

Page 56: ...2 2 2 1 路由到外部网络的服务 您可以使用以下策略路由将所有 HTTP 通讯 使用 80 端口 定向到一个外部网络 而将其他的全部通讯定向到另一个外部网络 1 输入以下命令将使用 80 端口的全部 HTTP 通讯路由到 IP 地址为 1 1 1 1 的网关 set system route policy 1 src 0 0 0 0 0 0 0 0 dst 0 0 0 0 0 0 0 0 protocol 6 port 1 1000 gw 1 1 1 1 2 输入以下命令将其他的全部通讯路由到 IP 地址为 2 2 2 1 的网关 Set system route policy 2 src 0 0 0 0 0 0 0 0 dst 0 0 0 0 0 0 0 0 gw 2 2 2 1 防火墙策略举例 防火墙策略控制着通过 FortiGate 设备的通讯流 一旦配置了到互联网的多重连接 的...

Page 57: ...变得更加复杂 为了将 FortiGate 设备配置为使用到互联网的多重连 接 您必须为从内部网络到每个连接到互联网的接口的连接方式创建双重的策略 而 且 您添加了冗余策略后 还需要在两个策略列表中将他们按照相同的顺序排列 限制到单一互联网连接的访问 在某些情况下 您可能希望将一些通讯限制为仅能通过一个到互联网的线路进行连 接 例如 在 第 38 页 图 8 所示的拓扑结构中 该机构可能希望只有通过 ISP1 的到 SMTP 服务器可以连接到他们的邮件服务器 为此 您需要为 SMTP 连接添加一个内部 外部防火墙策略 因为没有添加冗余策略 来自内部网络的 SMTP 通讯总是连接到 ISP1 如果到 ISP1 的连接失败 SMTP 连接就无法建立 地址 接口 3_ 全部 IP 地址 0 0 0 0 掩码 0 0 0 0 源 内部 _ 全部 目的 接口 3_ 全部 任务计划 总是 服务 任意 动...

Page 58: ...44 美国飞塔有限公司 配置举例 到互联网的多重连接 NAT 路由 模式安装 ...

Page 59: ...行接口 完成配置 将 FortiGate 连接到网络中 透明模式配置的例子 准备配置透明模式 使用 表 14 收集您设置 NAT 路由 模式配置所需的信息 使用安装向导 从 基于 Web 的管理程序 使用安装向导来建立您 FortiGate 的初始配置 欲连接 到基于 Web 的管理程序 请参阅 第 18 页 连接到基于 Web 的管理程序 表 14 透明模式设置 管理员密码 管理用 IP 地址 IP _____ _____ _____ _____ 子网掩码 _____ _____ _____ _____ 默认网关 _____ _____ _____ _____ 管理 FortiGate 的网络中的管理 IP 地址和子网掩码必须有效 如 FortiGate 须连接到路由器来到达控制电脑 则需填入缺省网关地址 DNS 设置 主 DNS 服务器 _____ _____ _____ _____ ...

Page 60: ...获得的信息进行设置 单击下一步按顺序逐步完成安装向 导的若干页面 3 保您的输入无误后按完成按钮结束 重连接到 基于 Web 的管理程序 如果使用安装向导更换内部接口的 IP 地址 必须使用新 IP 地址重连接到基于 Web 的管理程序上 流览 https 跟着管理接口的新 IP 地址 或者 您也可通过 https 10 10 10 1 重连到基于 Web 的管理程序 如果要通过一路由器连接到管理 接口 请确保在管理 IP 缺省网关域里填入此路由器的缺省网关值 使用前面板控制按钮和 LCD 以下步骤描述了如何使用控制按钮和 LCD 配置透明模式下的 IP 地址 使用您在 第 45 页 表 14 中记录的信息完成如下步骤 从 LCD 上显示的主菜单开始 使用前面 板的控制按钮和 LCD 1 按回车键三次来配置管理 的 IP 地址 2 设置管理接口的 IP 地址 使用上箭头和下箭头增加或减少 ...

Page 61: ...Type for a list of commands 4 确认 FortiGate 已经切换到了透明模式 输入 get system status CLI 显示 FortiGate 的状态 最后一行显示了当前的操作模式 Operation mode Transparent 配置透明模式的管理 IP 地址 1 如果您还没有登录 首先登录到 CLI 2 将管理用 IP 地址和网络掩码设置为您在 第 45 页 表 14 输入 set system management ip IP 地址 网络掩码 例如 set system management ip 10 10 10 2 255 255 255 0 3 确认地址是正确的 输入 get system management CLI 列出管理 IP 地址和网络掩码 配置透明模式的默认网关 1 如果您还没有登录 首先登录到 CLI 2 将默认路由设置...

Page 62: ...tiGate 设备 在购买和安装了一个新的 FortiGate 设备之后 您可以进入 系统 更新 支持来 注册您的设备 或者使用网页浏览器连接到 http support fortinet com 然后选择 产品注册 注册内容包括您的联系方式 您或者您所在的机构购买的 FortiGate 设备的产品序 列号 注册过程非常方便快捷 您可以一次就注册多个 FortiGate 设备 而无须重复 输入您的联系方式 关于注册的更多信息 请见 第 102 页 注册 FortiGate 设备 配置防病毒和攻击定义更新 您可以进入 系统 更新 以配置 FortiGate 设备的自动检查新版本的防病毒定义和 攻击定义 如果它发现了新的版本 FortiGate 设备会自动下载和安装更新的定义 FortiGate 设备使用 8890 端口的 HTTPS 方式连接去检查更新 FortiGate 外部接口 必须能够...

Page 63: ...不同的网络 您可以 在任何配置方式中连接它们 按以下方式连接运行于透明模式的 FortiGate 1 将内部接口连接到您的内部网络的交换机或集线器上 2 将外部接口连接到您的互联网服务供应商提供的公共交换机或集线器上 3 可以选择将 接口 1 2 3 和 4 HA 连接到您的其他网络的交换机或集线器上 图 9 FortiGate 2000C 透明模式连接 在透明模式下 FortiGate 不改变网络的第三层拓扑结构 这意味着它的所有接口 在相同的子网中 并且对于其他设备来说它相当于一个网桥 FortiGate 透明模式的一 个典型的应用是在一个已有的防火墙配置后面提供防病毒和内容扫描 透明模式的 FortiGate 也可以提供防火墙功能 尽管它不是第三层拓扑结构中的一 部分 但是它可以检验第三层头信息以决定是否阻塞或允许流通 ...

Page 64: ...本节描述了 默认路由和静态路由 到外部网络的默认路由的例子 到外部目的地址的静态路由的例子 到内部目的地址的静态路由的例子 默认路由和静态路由 要创建到一个目的地的路由 您需要根据 IP 网络地址和相应的网络掩码定义一个 IP 前缀 一个默认的路由匹配任何前缀 可以将数据流转发到下一个路由器 或默认 网关 一个静态的路由匹配特定的前缀 并将数据流转发到下一个路由器 默认路由的例子 静态路由的例子 到外部网络的默认路由的例子 图 10 展示了 FortiGate 中包括管理站点在内的所有目的地址都位于外部网络的例 子 要达到这些地址 FortiGate 必须连接到通向外部网络的上游路由器 为了便于连 接 您需要输入单一的默认路由指向上游路由器 使之成为下一个跳跃 默认网关 IP 前缀 0 0 0 0 IP 地址 0 0 0 0 网络掩码 下一个跳跃 192 168 1 2 IP 前缀 172...

Page 65: ...透明模式安装 透明模式配置的例子 FortiGate 1000 安装和配置指南 51 图 10 到外部网络的默认路由 通用配置步骤 1 将 FortiGate 设置为透明模式 2 配置 FortiGate 的管理 IP 地址和网络掩码 3 配置到外部网络的默认路由 ...

Page 66: ... 配置 FortiGate 基本设置和路由 1 将系统操作模式修改为透明模式 ode set system opmode transparent 2 添加管理 IP 地址和掩码 set system management ip 192 168 1 1 255 255 255 0 3 添加到外部网络的默认路由 set system route number 1 gw1 192 168 1 2 到外部目的地址的静态路由的例子 图 11 展示了需要到 FDN 的路由的 FortiGate 配置的例子 FortiGate 不需要到 DNS 服务器或管理工作站的路由 因为它们位于内部网络中 要连接到 FDN 您只需要输入一个到外部网络的默认路由 然而如果您希望使用更 加安全的方法 除了到外部网络的默认路由外 还可以输入到一个特定 FortiResponse 服务器的静态路由 如果静态路由不可用 可能...

Page 67: ... 53 图 11 到外部地址的静态路由 通用配置步骤 1 将 FortiGate 设置为透明模式 2 配置 FortiGate 的管理 IP 地址和网络掩码 3 配置到 FortiResponse 服务器的静态路由 4 配置到外部网络的默认路由 基于 Web 的管理程序配置步骤 要使用基于 Web 的管理程序配置基本的 FortiGate 设置和静态路由 1 进入 系统 状态 选择 切换到透明模式 在操作模式列表中选择透明 单击 确定 FortiGate 现在已经切换到透明模式 ...

Page 68: ...置和静态路由 1 将系统操作模式设置为透明模式 set system opmode transparent 2 添加管理 IP 地址和网络掩码 set system management ip 192 168 1 1 255 255 255 0 3 添加到主 FortiResponse 服务器的静态路由 set system route number 1 dst 24 102 233 5 255 255 255 0 gw1 192 168 1 2 4 添加到外部网络的默认路由 set system route number 2 gw1 192 168 1 2 到内部目的地址的静态路由的例子 图 12 展示了 FDN 位于一个外部子网而管理工作站位于一个远程的内部子网的 FortiGate 连接的例子 要达到 FDN 您需要输入一个默认路由指向作为下一个跳跃 默认网关的上游路由器 要达到管理...

Page 69: ...透明模式安装 透明模式配置的例子 FortiGate 1000 安装和配置指南 55 图 12 到内部目的地址的静态路由 通用配置步骤 1 将 FortiGate 切换到透明模式 2 配置 FortiGate 的管理 IP 地址和网络掩码 3 配置到内部网络中的管理工作站的静态路由 4 配置到外部网络的默认路由 ...

Page 70: ... 选择新建 添加到管理工作站的静态路由 IP 172 16 1 11 掩码 255 255 255 0 网关 192 168 1 3 单击 确定 选择新建添加到外部网络的默认路由 IP 0 0 0 0 掩码 0 0 0 0 网关 192 168 1 2 单击 确定 CLI 配置步骤 使用 CLI 配置 FortiGate 基本设置和静态路由 默认路由 1 将系统操作模式设置为透明模式 set system opmode transparent 2 添加管理 IP 地址和掩码 set system management ip 192 168 1 1 255 255 255 0 3 添加到管理工作站的静态路由 set system route number 1 dst 172 16 1 11 255 255 255 0 gw1 192 168 1 3 4 添加到外部网络的默认路由 set sy...

Page 71: ...报告各自的系统状态 这个 HA 簇中的设备会一直进行 HA 状态信息通讯以保证 HA 簇工 作正常 因此 在这个 HA 簇中全部 FortiGate 设备的 HA 接口之间的连接必须妥善地 维护 这些通讯的任何中断都将导致不可预知的后果 您可以连接到主 FortiGate 的任何接口去管理 HA 簇 FortiGate 设备可以设置为以主动 被动 A P 模式或主动 主动 A A 模式 运行 NAT 路由模式和透明模式下的 FortiGate 设备都支持主动 主动模式和主动 被动模式的 HA 本章提供了一个关于 HA 功能的概述 并描述了在 NAT 路由模式和透明模式下如何 创建一个 HA 簇 主动 被动 HA 主动 主动 HA NAT 路由模式下的 HA 透明模式下的 HA 管理 HA 组 高级 HA 选项 主动 被动 HA 主动 被动 A P 式的 HA 也可以称作热备份型的 HA 它...

Page 72: ...e 设备中去 在主动 主动 HA 模式下 主设备使用下面所列出的算法之一在 HA 簇的成员设备中 分配网络会话 HA 簇的成员在启动过程中协商推选出主设备 主设备可以允许其他 FortiGate 设 备作为附属设备加入这个 HA 簇 并为每个附属设备分配优先权 FortiGate 设备通过 FortiGate HA 接口传输状态和会话信息 在同一个 HA 簇中的 所有设备共同维护所有的会话信息 在使用负载均衡的工作模式下 主 FortiGate 设 备将数据包转发到附属设备 它将数据包从收到数据包的那个接口发送到附属 FortiGate 设备的对应的接口上 如果主设备失效 在已经失效的主设备上注册的第一个附属设备将成为新的主设 备 新的主设备会通知其他的 FortiGate 设备它已经成为主设备 并重新设置剩下的 附属设备的优先级 新的主设备还将重新分配 HA 簇中的每个设备所负担的通讯会...

Page 73: ...式安装 的指示安装和配置 FortiGate 设备 HA 组中的所有 FortiGates 应具有相同的配置 在完成 配置 HA 接口 之前 先不要将 FortiGate 设备接入网络 配置 HA 接口 将 HA 簇中的全部 FortiGate 2000 的 4 HA 接口配置为 HA 模式 当您将 4 HA 接口 配置为 HA 模式的时候 系统 配置 HA 选项变成活动状态 在 HA 模式下运行时 4 HA 接口不能连接到其他网络 因为它们是 HA 通讯专用的 每个 FortiGate 2000 的 4 HA 接口必须配置不同的 IP 地址 4 HA 接口的 IP 地址 必须在同一子网内 并且他们必须配置为可以进行管理访问 对 HA 组中的所有 FortiGate 重复以下操作 1 连接 FortiGate 设备 并登录基于 Web 的管理程序 2 进入 系统 网络 接口 3 对于 4 ...

Page 74: ...须相同 5 为这个 HA 簇设置一个密码 在这个 HA 簇中 所有的密码必须相同 6 为这个 HA 簇选择一个组 ID 在这个 HA 中的所有 FortiGate 必须使用相同的组 ID 7 如果您将设备配置为以主动 主动 HA 模式工作 选择一个负载均衡算法 算法控制主动 主动 HA 簇中的 FortiGate 设备之间的负载均衡 在这个 HA 簇中的所 有 FortiGate 设备的负载均衡算法必须相同 SSH 允许通过此接口建立到 CLI 的 SSH 连接 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息 TELNET 允许通过此接口建立到 CLI 的 Telnet 连接 Telnet 连接并不安全 有可能被第三 方截获 注意 以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备 您还可以使用 第 61 页 ...

Page 75: ...每个 FortiGate 重复以上操作 当您配置完全部的 FortiGate 设备之后 可以进行 将 HA 簇连接到您的网络 操作 将 HA 簇连接到您的网络 要将 HA 簇接入您的网络 您必须将 HA 簇内所有对应的接口连接到同一个集线器或 交换机上 然后您必须将这些接口通过相同的交换机或集线器分别连接到对应的网络 上 加权循环 加权循环负载均衡 类似于循环算法 但它是为 HA 簇中的每个设备根据 他们的容量和其当前处理的连接数计权 例如 主设备应该具有最低的 权重 因为它要负责处理和分配通讯连接 加权循环负载均衡能够将通 讯分配得更加均匀 因为处理较少通讯的设备将比处理较多通讯的设备 更容易被分配到通讯连接 随机 随机负载均衡 如果 FortiGate 设备使用交换机连接 选择随机负载均 衡可以将通讯随机分配到 HA 簇中的设备上 IP 根据 IP 地址的负载均衡 如果 FortiGa...

Page 76: ...妥善地维护 这个通讯的任何中断都将导致不可预料的后果 建议您使用交换机以提高网络的性能 无论您将 FortiGate 设备配置为主动 主动 HA 模式或主动 被动 HA 模式 所需的 网络设备和配置的步骤都十分相似 以下操作用于把 FortiGate 连接到您的网络上 1 将每一台 FortiGate 的内部网络接口都连接到一个与您内部网络相连的交换机或者集 线器上 2 将每一台 FortiGate 的外部网络接口都连接到一个与您外部网络相连的交换机或者集 线器上 3 可以选择将 FortiGate 的接口 1 2 3 连接到其它网络的交换机或者集线器上 4 把 FortiGates 的 4 HA 接口连接到一台单独的交换机或者集线器上 图 14 HA 网络配置 当您连接完 HA 簇之后 可以进行 启动 HA 簇 操作 ...

Page 77: ...FortiGates 应具有相同的配置 在完成 配置 HA 接口 之前 先不要将 FortiGate 设备接入网络 配置 HA 接口和 IP 地址 将 HA 簇中的全部 FortiGate 1000 的 4 HA 接口配置为 HA 模式 当您将 4 HA 接口 配置为 HA 模式的时候 系统 配置 HA 选项必须设置为活动 在 HA 模式下运行时 4 HA 接口不能连接到其他网络 因为它们是 HA 通讯专用的 每个 FortiGate 1000 的 4 HA 接口必须配置不同的 IP 地址 4 HA 接口的 IP 地址 必须在同一子网内 并且他们必须配置为可以进行管理访问 对 HA 组中的所有 FortiGate 重复以下操作 1 连接 FortiGate 设备 并登录 基于 Web 的管理程序 2 进入 系统 网络 接口 3 For the port4 ha interface sele...

Page 78: ...Gate 设备的 HA 模式必须相同 5 为这个 HA 簇设置一个密码 在这个 HA 簇中 所有的密码必须相同 6 为这个 HA 簇选择一个组 ID 在这个 HA 中的所有 FortiGate 必须使用相同的组 ID 7 如果您将设备配置为以主动 主动 HA 模式工作 选择一个负载均衡算法 算法控制主动 主动 HA 簇中的 FortiGate 设备之间的负载均衡 在这个 HA 簇中的所 有 FortiGate 设备的负载均衡算法必须相同 SSH 允许通过此接口建立到 CLI 的 SSH 连接 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息 TELNET 允许通过此接口建立到 CLI 的 Telnet 连接 Telnet 连接并不安全 有可能被第三 方截获 注意 以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备...

Page 79: ...tiGate 设备重复以上操作 当您完成了对每个 FortiGate 设备的配置工作之后 可以进入下一步 将 HA 簇 连接到您的网络中 将 HA 簇连接到您的网络中 要将 HA 簇接入您的网络 必须将 HA 簇内所有对应的接口连接到同一个集线器或交 换机上 然后您必须将这些接口通过相同的交换机或集线器分别连接到对应的网络上 加权循环 加权循环负载均衡 类似于循环算法 但是为 HA 簇中的每个设备根据他 们的容量和他们当前处理的连接数计权 例如 主设备应该具有最低的 权重 因为它要负责处理和分配通讯连接 加权循环负载均衡能够将通 讯分配得更加均匀 因为处理的通讯少的设备将比任务重的设备更容易 被分配到通讯连接 随机 随机负载均衡 如果 FortiGate 设备使用交换机连接 选择随机负载均 衡可以将通讯随机分配到 HA 簇中的设备上 IP 根据 IP 地址的负载均衡 如果 FortiGat...

Page 80: ...口连接到一台单独的交换机或者集线器上 当您连接了 HA 簇之后 可以进行 启动 HA 簇 操作 启动 HA 簇 将 HA 簇中的全部 FortiGate 设备都配置为 HA 并且将这个簇连接起来之后 可以使 用以下操作启动 HA 簇 1 为簇中的所有 HA 设备加电 在设备启动过程中 它们将协商以选出主簇设备和附属设备 这个协商过程是自动进 行的 无须用户干预 当协商完成后 这个簇已经准备好处理网络通讯了 您可以使用 第 66 页 管理 HA 组 中的信息在这个簇登录和进行管理 管理 HA 组 当 FortiGate 设备启动并运行时 您可以把它作为一个簇进行管理 而不是管理一 组独立的 FortiGate 设备 对 HA 簇的管理 可以通过将基于 Web 的管理程序或者 CLI 连接到为管理访问配置好的任何接口来实现 因为这个簇中的全部设备都配置了相同 的接口 IP 地址 除了 HA 接...

Page 81: ...示了这个 HA 簇中的 FortiGate 设备的序列号 主设备的识别符 是本地 列表中还包括了簇成员的运行时间和状态 图 16 簇成员列表的例子 监视簇成员 按如下步骤操作可以监视每一个簇成员的状态信息 1 连接到簇并登录基于 Web 的管理程序 2 进入系统 状态 监视器 显示每个簇成员的 CPU 内存状态和硬盘状态 主设备的标识符是本地 其他设备则按 照序列号列出 显示内容还包括了当前 CPU 和内存使用率的柱状图示 以及过去数分钟的 CPU 和内存 使用率的曲线图 关于详细信息请见 第 89 页 查看 CPU 和内存状态 3 选择会话和网络 显示出每个簇成员的会话和网络状态 主设备的识别标志是本地 其他设备根据他们 的序列号列出 显示的内容还包括当前会话数和当前网络利用率的柱状显示 以及过去数分钟内的会 话数和网络利用率的曲线图 曲线图的比例尺在图的左上角显示 有关详细信息 请见 ...

Page 82: ...曲线图 曲线图的比例尺在图的左上角显示 有关详细信息 请见 第 90 页 查看病毒和入侵状态 5 选择数据包和字节 显示每个簇成员处理的数据包数和字节数 6 您可以设置上述显示内容的刷新次数 然后单击执行以控制基于 Web 的管理程序更新 显示的次数 刷新得越频繁 消耗的系统资源和网络通讯就越多 然而 只有在您使用基于 Web 的 管理程序查看显示的时候才会出现这种情况 曲线图比例尺显示在图的右上角 监视簇会话 如下操作可以查看当前主设备上的会话 1 连接到簇并登录进基于 Web 的管理程序 2 进入 系统 状态 会话 会话表显示了簇中的主设备处理的会话 会话包括主设备和附属设备之间的 HA 通讯 查看和管理簇日志消息 按如下步骤查看每个簇成员的日志消息 1 连接到簇并登录基于 Web 的管理程序 ...

Page 83: ... 首先 每个设备的 HA 接口必须配置为允许 HTTPS 和 SSH 管理访问 您还可以按照如下操作连接到簇中的每个设备的 CLI 从基于 Web 的管理程序单独管理设备 1 使用 SSH 连接到簇并登录基于 Web 的管理程序 连接到簇的任何配置了 SSH 管理访问的接口可以自动地登录到主设备 您还可以使用直接电缆连接登录到主设备的 CLI 首先您要知道哪个设备是主设备 请见 第 71 页 从 FortiGate 设备中选择一个主设备 以控制哪个 FortiGate 设 备成为主设备 2 输入以下命令 后边加上一个空格和一个问号 execute ha manage 将显示簇中的全部附属设备的列表 这个列表中的每个簇设备从 1 开始编号 显示的 每个簇设备的信息包括设备序列号和主机名 3 在命令后加上附属设备的编号即可登录 例如 要登录到一号附属设备 输入如下命 令 execute ha ...

Page 84: ...eb 的管理程序 2 进入 系统 配置 HA 3 选择 独立模式 然后单击 应用 现在 FortiGate 设备退出了 HA 模式 并返回到了 独立模式 在失效恢复后替换 FortiGate 失效 恢复 出现在软件或者硬件有问题的情况下 当 失效 恢复出现时 您可以 尝试关闭失效的 FortiGate 的电源再打开它 重新启动这台 FortiGate 如果这个 FortiGate 能够正常地启动 它将重新加入到 HA 组中并正常工作 如果 FortiGate 没 能正常启动或者无法重新加入 HA 组中 您必须把它从网络中取出 更换它或者重新配 置它 表 16 execute ha synchronize 关键字 关键字 说明 config 同步 FortiGate 配置 包括常规系统配置 防火墙配置 VPN 配置以及其他保 存在 FortiGate 配置文件中的内容 avupd 同步主设备...

Page 85: ... 设置永久主设备的优先级 输入 set system ha priority 优先级 _ 整数 优先级 _ 整数 是永久主设备要设置的优先级 优先级最低的设备将成为主设备 默 认的优先级 128 将永久性主设备的优先级设置为一个小于 128 的数 例如 将永久性主设备的优先级设置为 10 使用如下命令 set system ha priority 10 3 确保这个簇中的其他所有设备的优先级高于这个永久性主设备的优先级 get system ha mode 命令显示您当前连接到的 FortiGate 设备的优先级 4 当永久性主设备加入簇时覆盖一个现有的主设备的设置 使用如下命令 set system ha override enable 启用覆盖可以使永久性主设备总是能够覆盖其他主设备的设置 例如 如果永久性主 设备关机 簇中的其他另一个设备将代替它成为主设备 当永久性主设备重新启动后 ...

Page 86: ...72 美国飞塔有限公司 高级 HA 选项 高可用性 这个命令有以下结果 第一个连接由主设备处理 下面的三个连接由第一个附属设备处理 在下面的三个连接由第二个附属设备处理 附属设备将比主设备处理更多的连接 而两个附属设备处理的连接数一样多 ...

Page 87: ...ortiGate 系统设置做以下修改 修改 FortiGate 主机名 修改 FortiGate 固件 手动更新病毒防护定义库 手动更新攻击定义库 备份系统设备 恢复系统设置 将系统设置恢复到出厂设置 转换到透明模式 转换到 NAT 路由模式 重新启动 FortiGate 设备 关闭 FortiGate 设备 如果您使用任何其他管理员帐号登录到基于 Web 的管理程序 您可以进入系统 状 态 以查看包括如下系统设置 显示 FortiGate 的序列号 显示 FortiGate 运行时间 显示日志硬盘状态 所有的管理员用户还可以进入系统 状态 监视器 查看 FortiGate 系统的状态 系统状态显示了 FortiGate 的健康状态监视信息 包括 CPU 和内存状态 会话和网络 状态 系统状态 所有的管理员用户也可以进入系统 状态 会话查看连接到 FortiGate 设备和通过 该设备的活...

Page 88: ...Web 的管理程序和 CLI 操作将 FortiOS 升级到一个新 的 FortiOS 固件版本或者同一固件版本的较新的子版本 恢复到一个旧的固件版 本 使用基于 Web 的管理程序 或 CLI 恢复到一个从前版本的固件 这一 操作可以将您的 FortiGate 设备恢复到它的出厂默认设置 使用 CLI 重新启动系统 安装固件 使用这一操作可以安装新版本的固件或者恢复一个老版本的固件 您只能使用 FortiGate 串行通讯接口和串行通讯线缆通过 CLI 执行 这一操作 这一操作将您的 FortiGate 设备恢复到它的出厂默认设 置 在安装新版本的固件之 前进行测试 使用这一操作可以在安装新版本的固件映像之前对它进行测试 您 只能使用 FortiGate 串行通讯接口和串行通讯线缆通过 CLI 执行这 一操作 这一操作临时安装新版本的固件映像并使用您当前的系统 配置 您可以在永久性地安装...

Page 89: ...FPT 服务的电脑 例如 如果 TFTP 服务器的 IP 地址是 192 168 1 168 execute ping 192 168 1 168 5 输入下述命令将固件映像文件从 TFPT 服务器拷贝到 FortiGate 上 execute restore image 名称 _ 字符串 tftp_ip 名称_字符串 是TFTP服务器上的固件映像文件的文件名 tftp_ip 是TFTP 服务器的 IP 地址 例如 如果固件映像文件的文件名是 FGT 60 v236 build068 FORTINET out TFTP 服务器的 IP 地址为 192 168 1 168 输入 execute restore image FGT 60 v236 build068 FORTINET out 192 168 1 168 FortiGate 上载固件映像文件 升级到新版本的固件 重新启动 这一过程...

Page 90: ...v2 36 您可能无法恢复您的配置备份文件中保存的从前的配置 1 将固件映像文件拷贝到您的管理员电脑 2 使用 admin 管理员帐号登录到基于 Web 的管理程序 3 进入 系统 状态 4 单击 固件升级 5 输入固件升级文件的文件名和路径 或者单击 浏览 然后定位那个文件 6 单击 确定 FortiGate 将上载升级文件 回复到旧版本的固件并重新启动 复位系统配置 重新 启动 显示 FortiGate 登录提示 这一过程需要几分钟的时间 7 登录到基于 Web 的管理程序 当 FortiGate 设备设置为出厂默认设置时 关于登录到基于 Web 的管理程序的详细信 息请见 第 18 页 连接到基于 Web 的管理程序 8 进入 系统 状态 检查固件的版本 确认固件已经被成功地安装上了 9 恢复您的配置 请见 第 86 页 恢复系统设置 如何恢复您从前的配置 10 使用 第 97 页 ...

Page 91: ...cute restore image 名称 _ 字符串 tftp_ip 名称 _ 字符串 是 TFTP 服务器上的固件映像文件的文件名 tftp_ip 是 TFTP 服务器的 IP 地址 例如 如果固件映像文件的文件名是 FGT 60 v236 build068 FORTINET out TFTP 服务器的 IP 地址为 192 168 1 168 输入 execute restore image FGT_300 v250 build045 FORTINET out 192 168 1 168 FortiGate 将上载升级文件 一旦文件上载完成 将显示如下信息 Get image from tftp server OK This operation will downgarde the current firmware version Do you want to continue y ...

Page 92: ...的步骤 备份 NIDS 用户定义的特征 请见 FortiGate NIDS 指南 备份网页内容和电子邮件过滤列表 请见 FortiGate 内容保护指南 如果您要恢复到一个旧版本的 FortiOS 例如 从 FortiOS v2 50 恢复到 v2 36 您可能无法恢复您的配置备份文件中保存的从前的配置 从系统重新启动中安装固件 1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI 2 确认 TFTP 服务器工作正常 3 将新版本的固件映像文件拷贝到您的 TFTP 服务器的根目录下 4 确认 FortiGate 的接口 3 和 TFTP 服务器连接到同一网络上 5 确认您可以从 FortiGate 连接到 TFTP 服务器上 具体方法是使用以下命令 ping 运行 TFPT 服务的电脑 例如 如果 TFTP 服务器的 IP 地址是 192 168 1 168 exec...

Page 93: ...ess 192 168 1 168 转到步骤 9 运行 v3 x 版 BIOS 的 FortiGate 设备 G Get firmware image from TFTP server F Format boot device B Boot with backup firmware and set as default Q Quit menu and continue to boot with default firmware H Display this list of options Enter G F B Q or H 8 按 G 从 TFTP 服务器获得新版本的固件 9 输入 TFTP 服务器的地址并按回车 将显示以下信息 Enter Local Address 192 168 1 188 10 输入 FortiGate 设备的接口 3 的地址然后回车 将会出现以下消息 Enter...

Page 94: ...tiGate 设备并恢复您的 配置 要恢复您的 FortiGate 设备的配置 请见 第 86 页 恢复系统设置 要恢 复 NIDS 用户定义特征 请见 FortiGate NIDS 指南 要恢复网页内容和邮件过滤列 表 请见 FortiGate 内容保护指南 如果您是回复到一个从前版本的固件 例如 从 FortiOS2 50 回复到 FortiOS v2 36 您可能无法恢复您保存过的配置文件 12 将病毒防护和攻击定义更新到最新版本 请见 第 97 页 手工更新病毒防护定义 和攻击定义 在安装新版本的固件之前进行测试 您可以在从系统重新启动安装新版本固件之前先测试这个版本的固件映像并将它保 存到系统内存 这一操作完成之后 FortiGate 设备将使用新的固件映像运行 但是仍 旧使用当前的配置 这一新版本的固件映像并没有永久性地安装 下一次 FortiGate 重新启动的时候将重新使用...

Page 95: ... to enter configuration menu 7 立刻按任意键中断系统启动过程 I 如果您成功地中断了启动过程 将显示下面的消息之一 运行 v2 x 版 BIOS 的 FortiGate 设备 Enter TFTP Server Address 192 168 1 168 转到步骤 9 运行 v3 x 版 BIOS 的 FortiGate 设备 G Get firmware image from TFTP server F Format boot device Q Quit menu and continue to boot with default firmware H Display this list of options Enter G F Q or H 8 按 G 从 TFTP 服务器获得新版本的固件 9 输入 TFTP 服务器的地址并按回车 将显示以下信息 Ente...

Page 96: ...理程序 13 要确认新版本的固件已经加载了 可以从 CLI 输入 get system status 您可以根据需要测试新版本的固件 安装和使用一个备份了的固件映像 如果您的 FortiGate 设备运行的 BIOS 是 v3 x 版 您可以安装一个备份固件映像 在备份固件映像安装成功之后您可以在需要时切换到备份映像上 本节叙述了如下内容 安装备份固件映像 切换到备份固件影象 切换回默认的固件映像 安装备份固件映像 要进行这一操作您需要 使用一根零调制解调器电缆连接到 FortiGate 的控制端口 以访问 CLI 安装一个您可以从 FortiGate 连接到的 TFTP 服务器 如同 第 78 页 使用 CLI 重新启动系统安装固件 中的步骤所描述的那样 要安装备份固件映像 1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI 2 确认 TFTP 服务器工作正常 3...

Page 97: ...按回车 将显示以下信息 Enter Local Address 192 168 1 188 9 输入 FortiGate 设备可以连接到 TFTP 服务器的接口地址然后按回车 将显示以下信息 Enter File Name image out 10 输入固件文件的名称然后回车 TFPT 服务器会把固件的映像文件上载到 FortiGate 上 并会出现类似以下消息 Save as Default firmware Backup firmware Run image without saving D B R 11 输入 B FortiGate 设备将保存备份固件映像并重新启动 当 FortiGate 设备重新启动时它 将运行原先安装的版本的固件 切换到备份固件影象 使用如下步骤将您的 FortiGate 设备切换到以您安装过的备份固件影响运行 当您 将 FortiGate 设备切换到备份固件映...

Page 98: ...this list of options Enter G F B Q or H 4 输入 B 加载备份固件映像 FortiGate 设备将加载固件映像并重新启动 当 FortiGate 重新启动时它将运行备 份固件并将配置设置为出厂默认状态 切换回默认的固件映像 使用下面的操作可以将您的 FortiGate 设备切换到以曾经作为默认固件映像运行过 的备份固件运行 当您切换到备份固件映像的时候 同这个固件一起被保存的配置将 被恢复 1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI 2 输入以下命令重新启动 FortiGate execute reboot 在 FortiGate 设备启动过程中 将显示一系列的系统启动信息 当下面信息之一显示的时候 Press any key to enter configuration menu 3 立刻按任意键中断系统启动过程 I...

Page 99: ...载最新的病毒防护定义库更新文件 然后把它拷贝到用来连接基于 Web 的管理程序的电脑上 2 启动基于 Web 的管理程序 进入 系统 状态 3 在 病毒防护定义库的右边 单击 更新定义 4 输入病毒防护定义库更新文件的路径和文件名 或者单击 浏览 然后在浏览器中定位 该文件 5 单击 确定 将病毒防护定义库文件上载到 FortiGate 设备上 FortiGate 将上载病毒防护定义库更新文件 整个过程将持续约 1 分钟 6 进入 系统 状态 检查病毒防护定义库的版本信息 确定它已经被更新了 手动更新攻击定义库 按照以下步骤手动更新的攻击定义库 1 从 Fortinet 下载最新版本的攻击定义库更新文件 并将文件拷贝到您用来连接基于 WEB 的管理程序的电脑上 2 启动基于 WEB 的管理程序并进入系统 状态 3 在 攻击定义库版本 的右边 单击 更新定义 4 输入攻击定义库更新文件的路径...

Page 100: ...Gate 的唯一标识 即使固件更新了也不会改变 显示 FortiGate 运行时间 1 进入 系统 状态 FortiGate 运行时间以天 小时 分钟显示了 FortiGate 设备从启动到现在所经历的时 间 显示日志硬盘状态 1 进入 系统 状态 如果 FortiGate 设备包含了一个硬盘则可显示日志硬盘状态 如果没有安装硬盘 则此功能不可用 FortiGate 设备使用硬盘保存日志消息和隔离的被病毒感染的文件或 被防病毒保护功能阻塞的文件 备份系统设备 可以将系统设置下载到管理员电脑上并保存成一个文本文件 从而以这种方式备份 它们 1 进入 系统 状态 2 选择 系统设置备份 3 选择 备份系统设置 4 输入 文件名 和 路径 系统设置文件将被保存到管理员电脑上 5 单击 返回 即可回到状态页面 恢复系统设置 可以通过上载一个以前下载过的系统设置文件的方式来恢复系统设置 1 进入 系...

Page 101: ... 恢复出厂设置 3 单击 确定 以确认操作 FortiGate 将使用第一次加电时的配置重新启动 4 重新连接到基于 Web 的管理程序并查看系统配置 确认它已经恢复到了默认设置 要恢复您的系统设置 请参阅 第 86 页 恢复系统设置 转换到透明模式 使用如下操作可以将 FortiGate 设备从 NAT 路由模式转换到透明模式 当 FortiGate 设备改到透明模式之后 它的配置将被设置为透明模式的默认配置 1 进入 系统 状态 2 选择 转换到透明模式 3 选择 操作模式列表 中的 透明模式 选项 4 单击 确定 FortiGate 现在已经转换到了透明模式 5 用以下方法重新连接到基于 Web 的管理程序 将浏览器连接到为透明模式管理访问设 置的网络接口上 在地址栏输入 https 后边是透明模式管理所用的接口的 IP 地址 在透明模式的默认情况下 您可以连接到内部接口 默认的透明...

Page 102: ...模式式的默认情况下 您可以连接到内部接口 默认的 NAT 路由模式管 理所用的 IP 地址是 192 168 1 99 请见 第 18 页 连接到基于 Web 的管理程序 或 第 19 页 连接到命令行接 口 CLI 重新启动 FortiGate 设备 1 进入 系统 状态 2 单击 重新启动 FortiGate 将重新启动 关闭 FortiGate 设备 1 进入 系统 状态 2 单击 关机 FortiGate 将会关闭 所有的连接都被断开 FortiGate 关闭后 只有切断电源然后再次接通 才能重新启动 系统状态 您可以使用系统状态监视器显示 FortiGate 系统当前的健康状态信息 系统的健康 状态信息包括 CPU 和内存使用率 活动的通讯会话数 当前使用的网络带宽统计等 基于 Web 的管理程序同时显示当前的统计信息和过去数分钟内的统计信息 如果 FortiGate 设备配备了...

Page 103: ... 的连接 没有被统计进去 如果 CPU 和内存使用率很低 这个 FortiGate 设备还有能力处理比它现在所运行的 更多的网络通讯 如果 CPU 和内存使用率很高 FortiGate 设备已经接近于满负荷工 作 此时再增加更多的任务可能会导致系统对通讯的处理出现延迟 对 CPU 和内存要求较多的进程 例如 IPSec VPN 通讯的加密和解密 病毒扫描以及 包含了小数据包的网络通讯的高级处理将增加 CPU 和内存的使用率 1 进入 系统 状态 监视器 将显示 CPU 和内存的状态 显示的内容包括图形显示的当前 CPU 和内存的使用率 过 去数分钟内的 CPU 和内存的使用率曲线 如果您的 FortiGate 设备配备了硬盘 将显示 CPU 内存和硬盘状态 2 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率 频繁地刷新将消耗系统资源并增加网络通讯 然而 这...

Page 104: ...处理能力的百分比 网络使用显示了通过 FortiGate 全部网络接口的网络带宽的总量 网络使用还显示 了当前所使用的网络带宽占 FortiGate 设备能处理的最大网络带宽的百分比 1 进入 系统 状态 监视器 2 单击会话和网络 显示会话和网络状态 显示的内容包括图形化显示的当前会话数和当前网络使用量 以及过去数分钟内的会话数曲线和网络使用量曲线 曲线图的比例显示在图的左上角 3 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率 频繁地刷新将消耗系统资源并增加网络通讯 然而 这只发生在您使用 基于 Web 的管 理程序查看显示的时候 4 单击刷新可以手工更新当前显示的信息 图 2 会话和网络监视器 查看病毒和入侵状态 使用病毒和入侵状态显示可以跟踪 FortiGate 病毒防护系统发现的病毒和 NIDS 检 测到的网络攻击 1 进入 系统 状态 监视器 ...

Page 105: ...将消耗系统资源并增加网络通讯 然而 这只发生在您使用 基于 Web 的管 理程序查看显示的时候 4 单击刷新可以手工更新当前显示的信息 图 3 病毒和入侵状态监视器 会话列表 会话列表显示了关于 FortiGate 设备当前处理的通讯会话的信息 您可以使用会话 列表查看当前会话 FortiGate 有读写权限的管理员以及 FortiGate 的 admin 管理员可 以终止活动的通讯会话 查看会话列表 1 进入系统 状态 会话 基于 Web 的管理程序在 FortiGate 设备会话列表中显示了会话的总数并列出前 16 个会 话 2 要在列表中翻页浏览会话 单击上一页 或下一页 3 单击更新 可以更新会话列表 4 如果您使用具有读写权限的管理员用户或者 admin 用户登录 您可以单击清除 以 停止任何活动的会话 ...

Page 106: ...92 美国飞塔有限公司 会话列表 系统状态 会话列表中的每一行显示了以下信息 图 4 会话列表举例 协议 连接的服务类型或者协议类型 例如 TCP UDP ICMP 源 IP 连接的源 IP 地址 源端口 连接的源端口 目的 IP 连接的目的 IP 地址 目的端口 连接的目的端口 到期时间 在连接到期前剩余的时间 以秒为单位 清除 中断一个处于活动状态的通讯会话 ...

Page 107: ...册信息 RMA 之后注册 FortiGate 设备 病毒防护定义和攻击定义更新 您可以将 FortiGate 设备配置为连接到 Forti 响应发布网络 FDN 并自动更新病毒 防护定义和攻击定义 以及病毒防护引擎 FortiGte 设备支持以下病毒防护和攻击定 义更新功能 用户定义的从 FDN 手工更新 每小时 每天或每周定期从 FDN 更新病毒防护定义 攻击定义和病毒防护引擎 来自 FDN 的推送更新 查看更新状态 包括版本号 有效期 更新日期和时间 通过 NAT 设备的推送更新 基于 Web 的管理程序的系统 更新页面显示了以下病毒防护定义和攻击定义更新信 息 版本 显示当前的防病毒引擎 病毒定义和攻击定义的版本号 有效期 显示您的病毒防护引擎 病毒定义和攻击定义更新许可证的有效期 最后更新企图 显示 FortiGate 设备最后一次试图下载病毒防护引擎 病毒定义和攻击定义 更新的日...

Page 108: ... FDN 是 Forti 响应分布服务器 FDS 组成的一个世界范围的网络 当您的 FortiGate 设备连接到 FDN 时 它实际上连接的是最近的 FDS 这是因为所有的 FortiGate 设备内部都保存了一个 FDS 地址列表 这个地址列表根据 FortiGate 设备的 时区设置 按照距离这个时区的远近排序 要确保 FortiGate 设备从最近的 FDS 接收 更新 进入系统 配置 时间并确认您根据您所在的区域正确选择了时区设置 以下方法可以确认 FortiGate 设备能否连接到 FDN 1 进入 系统 配置 时间 并确保时区已经根据您所在的区域正确地设置了 2 进入 系统 更新 3 单击更新 FortiGate 设备将测试它到 FDN 的连接 测试结果显示在系统更新页的顶部 表 1 连接到 FDN 连接 状态 说明 Forti 响应发布网络 可用 FortiGate 设备可...

Page 109: ... 可用 FDN 可以连接到 FortiGate 设备以发送推送更新 您可 以将 FortiGate 设备配置为接收推送更新 请见 第 97 页 配置推送更新 不可用 FDN 不能连接到 FortiGate 设备发送推送更新 如果您 没有注册您的 FortiGate 设备 请见 第 103 页 注册 FortiGate 设备 推送更新可能无法使用 如 果在 FortiGate 设备和 FDN 之间有一个 NAT 设备 请见 第 98 页 通过 NAT 设备的推送更新 或者您的 FortiGate 设备使用代理服务器 请见 第 102 页 通过代理服务器定期更新 连接到互联网 推送更新 也可能无法使用 表 1 连接到 FDN 连接 状态 说明 每小时 每 1 小时到每 23 小时检查一次 选择两次更新请求之间的时间间隔 可以精确 到小时和分钟 每天 每天检查一次 您可以指定一天当中检查更新的具...

Page 110: ... FortiGate 设备要记录的日志类型上单击配置策略 请见 第 249 页 记录日志 3 单击更新 FortiGate 设备将在更新病毒防护和攻击定义时记录日志消息 4 选择以下更新日志选项 5 单击确定 添加后备服务器 如果您不能连接到 FDN 或者您所在的机构使用他们自己的 Forti 响应服务器提供病 毒防护和攻击定义的更新 您可以按照如下步骤添加一个 Forti 响应后备服务器 1 进入 系统 更新 2 单击使用后备服务器地址并添加一个 Forti 响应服务器的 IP 地址 更新失败 FortiGate 设备在试图更新失败的时候记录一条日志消息 更新成功 FortiGate 设备在成功地更新之后记录一条日志消息 FDN 错误 FortiGate 设备在无法连接到 FDN 或者它从 FDN 接收到一条错误信息时记录 一条日志消息 ...

Page 111: ...毒防护定义 病毒防护引 擎 或攻击定义的新版本的信息 系统状态页还将显示病毒防护定义和攻击定义的新 的日期和版本信息 无论更新工作成功与否 都将在事件日志中记录一条消息 配置推送更新 FDN 可以将更新主动发送到 FortiGate 设备上 以最快的速度对紧急的事态作出响 应 您必须先注册您的 FortiGate 设备才能接收推送更新 请见 第 103 页 注 册 FortiGate 设备 如果 FDN 必须通过一个 NAT 设备才能连接到 FortiGate 设备上 请见 通过 NAT 设备的推送更新 如果 FortiGate 设备必须使用一个代理服务器才能连接到 FDN 则无法支持推送更 新 有关的详细信息请见 第 102 页 通过代理服务器定期更新 按照如下步骤启用推送更新 1 进入 系统 更新 2 单击允许推送更新 3 单击应用 关于推送更新 当您将 FortiGate 设备配置为...

Page 112: ...个 NAT 设备的推送更新 这个例子描述了如何配置一个 FortiGate NAT 设备以向安装在它的内部网络中的一 个 FortiGate 设备转发推送更新 为了让内部网络中的 FortiGate 设备能够接收推送 更新 这个 FortiGate NAT 设备必须配置一个端口转发虚拟 IP 这个虚拟 IP 将这个 FortiGate NAT 设备的外部接口的 IP 地址和一个指定的端口影射到内部网络中的那个 FortiGate 设备的 IP 地址上去 如果这个 FortiGate 设备运行于 NAT 路由模式 这个 IP 地址可以是它的外部接口 IP 地址 如果这个 FortiGate 设备运行于透明模式 那么 这个 IP 地址可以是它的管理 IP 地址 注意 如果 NAT 设备的外部接口 IP 地址的动态的 例如 使用 PPPoE 或 DHCP 设置的接口 您 将无法通过 NAT 设备...

Page 113: ...中的 FortiGate 设备 使得内部 网络中的 FortiGate 设备可以接收推送更新 1 向 FortiGate NAT 设备添加一个端口转发虚拟 IP 2 向包含了端口转发虚拟 IP 的 FortiGate NAT 设备添加一个防火墙策略 3 为内部网络中的 FortiGate 设备配置一个代理推送 IP 地址和端口 在 FortiGate NAT 设备上添加端口转发虚拟 IP 使用以下步骤配置 FortiGate NAT 设备 使用端口转发将来自 FDN 的推送更新连接 转发到内部网络的一个 FortiGate 设备上 注意 在完成如下操作之前 您需要注册您的内部网络中的 FortiGate 设备 这样它才能接收推 送更新 ...

Page 114: ... 选择外部接口 5 选择端口转发 6 输入 FDN 连接到的外部 IP 地址 对于例子中的拓扑结构 输入 64 230 123 149 7 输入 FDN 连接到的外部服务端口 对于例子中的拓扑结构 输入 45001 8 将映射到的 IP 地址设置为内部网络中的 FortiGate 设备的 IP 地址 如果这个 FortiGate 设备运行于 NAT 路由模式 输入外部接口的 IP 地址 如果这个 FortiGate 设备运行于透明模式 输入管理 IP 地址 对于例子中的拓扑结构 输入 192 168 1 99 9 将影射到的端口设置为 9443 10 将协议设置为 UDP 11 单击确定 图 3 推送更新端口转发虚拟 IP 为端口转发虚拟 IP 添加一个防火墙策略 ...

Page 115: ...更新 3 选择使用代理推送更新 4 将 IP 地址设置为添加到虚拟 IP 的外部 IP 地址 对于例子中的拓扑结构 输入 64 230 123 149 5 将端口号设置为添加到虚拟 IP 的外部服务端口 对于这个例子中的拓扑结构 输入 45001 6 单击应用 FortiGate 设备将代理推送更新 IP 地址和端口发送给 FDN 现在 FDN 使用这个 IP 地址 和端口向内部网络中的 FortiGate 设备发送推送更新 如果外部 IP 地址或者外部服务端口有所改变 将所做的改变添加到使用代理推送更新 的配置中并单击应用 即可更新 FDN 的推送更新信息 图 4 推送更新配置举例 7 单击应用 8 您可以单击刷新以确定推送更新是否正常工作 推送更新的状态应当变为可用 源地址 外部 _ 全部 目的地址 前面步骤中添加的虚拟 IP 地址 任务计划 总是 服务 任意 动作 接受 NAT 选中...

Page 116: ...代理服务器 这一方法在 RFC2616 中有详细描述 FortiGate 设备将一个 HTTP CONNECT 连接请求发送到代理服务器 可 选是否附加认证信息 指定请求连接到 FDN 的 IP 地址和端口 代理服务器建立到 FDN 的连接并在 FortiGate 设备和 FDN 之间传输信息 CONNECT 方法通常被用于 SSL 通讯通道 有些代理服务器不允许 CONNECT 连接到任 意端口 他们将允许连接的端口范围限制在使用 HTTPS 连接众所周知的端口和类似的 服务 因为 FortiGate 自动更新使用 HTTPS 协议和 8890 端口来连接 FDN 所以您所使 用的代理服务器必须被配置为允许连接到这一端口 如果您已经配置了一个连接到 FDN 的代理服务地址 就无须指定通道 如果 FortiGate 设备必须通过一个代理服务器连接到互联网 则无法支持推送更 新 注册 For...

Page 117: ...请联系您的 Fortinet 分销商以获得关于包装和价格的详细信 息 您必须注册您的 FortiGate 设备并在注册信息中添加 FortiCare 支持合同号以激活 您的 FortiCare 支持合同 您也可以不购买 FortiCare 支持合同 仅仅注册 FortiGate 设备 在这种情况下 当您购买一个 FortiGate 支持合同的时候 您可以更新您的注 册信息 添加这个支持合同号 一个 FortiGate 支持合同可以覆盖多个 FortiGate 设备 您必须为这个服务合同涵 盖的每一个 FortiGate 设备输入相同的合同号 注册 FortiGate 设备 在您注册 FortiGate 设备之前 您需要以下信息 您的联系方式 包括 姓名 全名 公司名 电子邮件地址 您的 Fortinet 支持登录用户名和密码将被发送到这个地址 地址 联系电话 安全提示问题和答案 这一信息用...

Page 118: ...tiGate 设备的序列号 6 如果您为这个 FortiGate 设备购买了 FortiCare 支持合同 请输入支持合同号 图 6 注册 FortiGate 设备 产品信息 7 单击完成 如果您还没有输入 FortiCare 支持合同号 SCN 您可以回到上一个页面并输入这个 号码 如果您没有购买 FortiCare 支持合同您可以选择继续以完成注册过程 如果您输入了一个支持合同号 将出现一个实时确认提示以验证 SCN 信息是否与 FortiGate 设备匹配 如果信息不匹配您可以尝试再次输入信息 包含了可用于您注册的 FortiGate 设备的 Fortinet 技术支持服务的详细信息将显示在 一个网页中 您的 Fortinet 支持用户名和密码将被发送到您在联系信息中提供的电子邮件地址 ...

Page 119: ...密码 如果您在注册到 Fortinet 支持网站时提供了一个安全提示问题和答案 您可以按 照如下步骤接收一个临时密码 如果您没有提供安全提示问题和答案 请联系 Fortinet 技术支持 1 进入 系统 更新 支持 2 选择支持登录 3 输入您的 Fortinet 支持用户名 4 单击 忘记了您的密码 5 输入您的电子邮件地址并单击提交 您在注册时输入的安全提示问题将会显示 6 输入您的安全提示问题的答案并单击获取密码 如果您输入的答案是正确的 一个含有新密码的电子邮件将被发送到您的电子邮件信 箱中 您可以使用您的当前用户名和这个密码登录到 Fortinet 支持网站 7 单击支持登录 8 当您收到新的密码后 输入您的用户名和新密码以登录到 Fortinet 支持网站 查看注册的 FortiGate 设备列表 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持...

Page 120: ... 选择您要注册的产品的型号 6 输入您要注册的 FortiGate 设备的序列号 7 如果您为这个 FortiGate 设备购买了 FortiCare 支持 请输入支持合同号 8 单击完成 将显示您已经注册了的 FortiGate 产品列表 这个列表现在包括您刚注册的 FortiGate 设备 添加或修改 FortiCare 支持合同号 1 进入 系统 更新 支持 单击支持登录 2 输入您的 Fortinet 支持用户名和密码 3 单击登录 4 单击添加 修改合同号 5 选择您要添加或修改 FortiCare 合同号的 FortiGate 设备的序列号 6 添加一个新的支持合同号 7 单击完成 将显示您已经注册的 FortiGate 产品列表 这个列表现在包括新的支持合同信息 ...

Page 121: ...登录到 Fortinet 技术支持网站时需要使用您当前的用户名和新的密码 修改您的联系信息或安全提示问题 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持用户名和密码 3 单击登录 4 单击我的配置文件 5 单击修改配置文件 6 根据需要修改您的联系信息 7 根据需要修改您的安全提示问题 8 单击更新配置文件 您所做的修改将被保存到 Fortinet 技术支持数据库中 如果您修改了您的联系信息 您所做的改动将被显示 下载病毒防护和攻击定义更新 按照如下步骤手工下载病毒防护和攻击定义更新 下述步骤还包括了如何在您的 FortiGate 设备上安装定义的更新 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持用户名和密码 3 单击登录 4 单击下载病毒 攻击更新 5 如果需要 选择 FortiOS 的版本 6 单击病毒和攻击定义以下...

Page 122: ...候 如果这一情况发生在 FortiGate 设备的硬件维修期内 您可以将出现 故障的 FortiGate 设备送回到您的分销商处 RMA 是有记录的 而您将收到一个代替的设备 Fortinet 会将 RMA 信息添加到 Fortinet 支持数据库中 当您受到代替的设备之后 您可以按照如下步骤更新您的产 品注册信息 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持用户名和密码以登录到 Fortinet 支持 3 单击添加注册 4 单击 从 RMA 用新设备替换现有设备的链接 5 如果 RMA 已经被输入了 Fortinet 的支持数据库 您可以选择替换现有设备并输入那个 替代设备的序列号 6 单击完成 将显示您已注册的 FortiGate 产品列表 这个列表现在包括了那个替换的 FortiGate 设备 所有您原有的支持服务都将被转到这个替换的设备上 ...

Page 123: ...将网络接口和 VLAN 子网络接口分组可以简化创建的防火墙策略 例如 如果您有两个 网络接口都连接到互联网 您可以将这两个接口添加到同一个区域中 然后您可以为 连接到这个区域和从这个区域发出的连接配置策略 而不必为每个接口都配置一个策 略 您可以添加新的区域 也可以重新命名和编辑任何现有的区域 最后您可以删除出 现在区域列表中并带有删除图标的区域 在您为新的区域添加防火墙地址之前 它不会出现在策略网格中 请见 第 150 页 添加地址 本节描述了如下内容 添加区域 在区域中添加接口 在区域中添加 VLAN 子接口 重命名区域 删除区域 添加区域 使用 基于 Web 的管理程序添加区域 1 进入 系统 网络 区域 2 单击 新建 以添加新的区域 3 输入区域的名称 这个名称可以包含数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它字符和空格符 ...

Page 124: ...更多的接口 在区域中添加 VLAN 子接口 您可以在一个区域中添加一个或多个 VLAN 子网络接口 如果您为 VLAN 子接口添加 了防火墙地址 在将 VLAN 子接口添加到区域之前您必须删除这些防火墙地址 请见 第 152 页 删除地址 当您将一个 VLAN 子网络接口添加到区域的时候 您不能 为这个 VLAN 子接口添加防火墙地址 这个 VLAN 子接口也不会出现在策略网格中 1 进入 系统 网络 接口 2 对于要添加到区域的 VLAN 子接口 单击修改 3 使用区域列表选择您要将这个 VLAN 子接口添加到的区域 4 单击确定以保存您所做的修改 5 重复以上步骤在区域中添加更多的 VLAN 子接口 重命名区域 您可以修改区域列表中的任一区域的名称 1 进入 系统 网络 区域 2 选择要修改的区域 单击修改区域图标 3 输入这个区域的新名称 4 单击确定以保存您所做的修改 删除区域 在...

Page 125: ...有的 FortiGate 接口和 VLAN 子接口的以下状态信 息 接口的 IP 地址 接口的网络掩码 这个接口所添加到的区域 这个接口的管理访问配置 这个接口的连接状态 VLAN 子网络接口没有连接状态 如果连接状态是一个绿色的箭头 表示接口在工作中且可以接收网络通讯 如果连 接状态是一个红色箭头 表示此接口已经关闭不能接收通讯 要启动一个已经关闭 了的接口 请见 启动一个接口 启动一个接口 如果一个接口的接口连接状态是关闭 您可以使用以下步骤启动这个接口 1 进入 系统 接口 显示接口列表 2 单击您要启动的接口的启动按钮 修改一个接口的静态 IP 地址 使用以下步骤可以修改任何 FortiGate 接口的 IP 地址 您还可以使用以下步骤为 一个接口添加 IP 地址 1 进入 系统 网络 接口 2 对你要修改的接口单击修改 3 根据需要修改 IP 地址和网络掩码 接口的 IP 地址必...

Page 126: ...e 接口 _ 字符串 config secallowaccess ping https ssh snmp http telnet set system interface 接口 _ 字符串 config secgwdetect enable 为接口添加 ping 服务器 如果您希望 FortiGate 设备确认连接到一个网络接口的网络中的下一个路由器到这 个接口的连接是否有效 可以为这个接口添加一个 ping 服务器 路由失效功能需要添 加 ping 服务器 请见 第 119 页 向路由表添加基于目的的路由 1 进入 系统 网络 接口 2 在您要添加 ping 服务器的接口上单击修改 3 将 PING 服务器设置为到连接到这个接口的网络中的下一个路由器的 IP 地址 4 单击启用 FortiGate 设备使用死网关检测功能 ping 您所设置的 ping 服务器的 IP 地址 以确定 Fo...

Page 127: ... 如果 FortiGate 单元发送的 MTU 大于这一尺寸 数据包在传输过程中将 被分割成碎片 这将减慢传输速度 只有一种方法能够找出最优的 MTU 尺寸 那就是反复实验 但是也有一些指导方 法能对我们提供帮助 例如 多数点对点协议 PPP 连接的 MTU 是 576 所以如果您 是通过 PPP 或者 PPPoE 连接到互联网的 您可以试试将 MTU 的尺寸设为 576 DSL 调制 解调器使用很小的 MTU 尺寸 大多数以太网使用的 MTU 是 1500 以下操作将改变从外部网络接口发出的数据包的 MTU 尺寸 1 进入 系统 网络 接口 2 对外部网络接口 单击 修改 3 选择 大于 MTU 的发出数据包 HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序 PING 如果您希望网络接口对 PING 作出响应 选中此项 用于验证您的安装和测试 HTTP 允...

Page 128: ... 4 HA 设 置为 HA 模式 在 HA 模式中 您不能把接口 4 HA 连接到网络 您也不能在这个接口上 添加 VLAN 接口 它只能连接同一 HA 组中的其它 FortiGate 1000 的接口 4 HA HA 组 中的 FortiGate 1000 使用这个连接在 HA 组的成员之间传输状态和配置信息 将接口 4 HA 配置为 HA 模式 1 进入 系统 网络 接口 2 在接口 4 HA 上单击修改 3 选择 工作在 HA 模式 把接口配置在 HA 模式 一旦接口 4 HA 配置成了 HA 模式 您不能再把它连接到网络上 4 单击 确定 以保存您所做的修改 将接口 4 HA 配置为防火墙接口 要将接口 4 HA 配置为防火墙接口 禁用 HA 功能 并将接口 4 HA 添加到一个区 域 1 进入 系统 网络 接口 2 在接口 4 HA 上单击修改 3 确认 工作在 HA 模式 没有...

Page 129: ... 只有在 NAT 路由模式中才支持 VLAN 本节描述了如下内容 VLAN 网络配置 添加 VLAN 子网络接口 VLAN 网络配置 FortiGate 支持服从 IEEE802 1Q 标准的虚拟局域网 VLAN 标签 VLAN 标签是添 加到以太网帧头的一个序列号 它标识了这个帧属于哪个特定的 VLAN FortiGate 不添加或者改变 VLAN 标签 然而 您可以把它配置为可以分割 VLAN 标 签数据包 或者应用策略以控制它们通过防火墙的连接方式 在标准的 VLAN 配置里 一组物理网络可以连接到一个服从 IEEE 802 1Q 标准的路 由器 这个路由器被配置为可以在它从网络上接收到的数据包上添加 VLAN ID 可以把 这些数据包路由到一个连接到外部的 FortiGate 接口的网络接口上 FortiGate 可以配置包含了 VLAN ID 的子网络接口以匹配路由器所添加的 V...

Page 130: ... 网络配置 图 9 VLAN 网络典型配置 添加 VLAN 子网络接口 每个 VLAN 子网络接口的 VLAN ID 必须和服从 IEEE 802 1Q 标准的路由器所添加的 VLAN ID 相匹配 VLAN ID 可以是从 1 到 4096 的任意数字 每个 VLAN 子网络接口必须 配置它自己的 IP 地址和网络掩码 您可以将 VLAN 子网络接口添加到物理接口上 您可以在每个 FortiGate 设备上添 加超过 1000 个 VLAN 子接口 ...

Page 131: ...加到的网络接口的 IP 地址在同一子网 内 您不能在具有相同 IP 地址或者在同一子网内的 IP 地址的两个 VLAN 子网络接口之间 添加防火墙策略 即使它们的 VLAN ID 不同 添加一个 VLAN 子网络接口 按照如下步骤添加 VLAN 接口 1 进入 系统 网络 接口 2 单击 新 VLAN 以添加新的 VLAN 子网络接口 3 输入一个用于识别这个 VLAN 子网络接口的名称 这个名称可以包含数字 0 9 大写或小写字母 A Z a z 和特殊字符 和 _ 不 能使用其它特殊字符和空格符 4 选择要接收发给这个子网络接口的 VLAN 数据包的网络接口 5 输入与这个子网络接口要接收的数据包的 VLAN ID 相匹配的 VLAN ID VLAN ID 可以是 1 到 4096 之间的任何数字 但是它必须和服从 IEEE 802 1Q 标准的路 由器所分配的 VLAN ID 相匹配...

Page 132: ... 路由器的静态路由 您还可以使用策略路由提高 FortiGate 路由的灵活性 以提供更 高级的路由功能 您也可以使用多重路由网关和建立广域网的多重配置以提供对两个互联网连接的冗 余和负载均衡的支持 关于为到互联网的多重连接配置路由 和配置举例 请见 第 37 页 配置举 例 到互联网的多重连接 本节描述了如下内容 添加默认路由 向路由表添加基于目的的路由 添加路由 透明模式 配置路由表 策略路由 添加默认路由 以下操作将为外部网络接口向外发出的数据设定一个默认的路由 SNMP 允许远程 SNMP 管理者连接到这个接口请求 SNMP 信息 见 第 135 页 配置 SNMP TELNET 允许通过这个接口使用 CLI 的 Telnet 连接 Telnet 连接是不安全的 可能被第三 方所截获 ...

Page 133: ...效恢复 必须将每个网关的 IP 地址添加到同一网络内的对应的 FortiGate 设备的网络接口的 ping 服务器设置中 请见 第 112 页 为接口添加 ping 服务器 为路由表添加基于目的的路由 1 进入 系统 网络 路由表 2 单击 新建 以添加一个新的路由 3 输入这个路由的 目的 IP 地址 和 子网掩码 4 输入一号网关的 IP 地址 一号网关是这个路由的主目的地址的 IP 地址 一号网关必须和 FortiGate 网络接口在同一子网内 如果您是从 ForitGate 设备添加一个到单一目的路由器的静态路由 您只须指定一个 网关 5 可选的 如果您希望为路由通讯提供多重网关 可以选择添加二号网关的 IP 地址 6 可选的 选择一号设备以指定 FortiGate 用来将路由通讯连接到一号网关的接口 您可以选择一个 FortiGate 接口或 VLAN 子网络接口 7 可选的 ...

Page 134: ...示 FortiGate 使用 ping 服务器和网关失 效检测判断可以连接到这个网关 一个红色的叉子意味着 FortiGate 无法建立到这个 网关的连接 兰色问号的意思是这个连接的状态未知 关于更进一步的信息 请见 第 112 页 为接口添加 ping 服务器 FortiGate 选用路由的方式是从上到下地扫描路由表寻找匹配的路由 直到它找到 第一个匹配的路由为止 您必须把路由在路由表中按照专用的路由到通用路由的顺序 排列 默认的路由是通用路由中的最后一个 所以如果添加了默认路由 它应该位于 路由表的最底端的位置 1 进入 系统 网络 路由表 2 选择要移动的路由 然后单击 移动 以改变它在路由表中的位置 3 在 移动到的位置 一栏输入序号 这个序号是您想要这个路由移动到路由表中的位置 序号 然后单击 确定 4 单击 删除 可以从路由表中删除一个路由 图 11 路由表 注意 将路由表中的...

Page 135: ...程中 FortiGate 设备从目的路由表顶部开始搜 索 直到它发现了第一条匹配的路由 这个匹配的路由被用来路由数据包 关于策略路由的例子 请见 第 41 页 策略路由的例子 策略路由命令语法 使用以下 CLI 命令配置策略路由 set system route policy 路由编号_整数 src 源_ip 源_掩码 iifname 源接口_名称 dst 目的_ip 目的_掩码 oifname 目的接口_名 称 protocol 协议 _ 整数 port 低端口 _ 整数 高端口 _ 整数 gw 网关 _ip 在第六卷 FortiGateCLI 参考指南中有关于策略路由语法的完整叙述 在您的内部网络中提供 DHCP 服务 如果 FortiGate 设备运行在 NAT 路由模式 您可以使用 CLI 命令 set system dhcpserver将FortiGate设备配置为您的内部网络中...

Page 136: ...客户端的 IP 地址的范围的起点 IP 地址和终点 IP 地址 默认路由 排除范围 IP 范围和保留 IP 地址必须和内部接口在同一子网内 leaseduration lease_int 以秒为单位的时间间隔 过期后 DHCP 客户端必须向 DHCP 服务 器申请一个新的地址 有效期的范围是 300 秒到 8000000 秒 netmask 掩码 FortiGate DHCP 服务器分配给 DHCP 客户端的网络掩码 reserve 保留 ip 保留 mac 名称字符串 none 保留一个 IP 地址 FortiGate DHCP 服务器总是将这个 IP 地址 分配给使用特定的 MAC 地址的设备 可以选择指定 IP 和 MAC 地 址对的名称 保留 IP 地址不能分配给其他的设备 您一次只能 添加一个 IP 地址或 MAC 地址 默认路由 排除范围 IP 范围和 保留 IP 地址必须和内...

Page 137: ... 将一个路径中允许的 最大跳跃数限制为 15 以防止路由循环 这一特性也将 RIP 网络的最大半径限制为 15 个跳跃 RIP 使用水平分割来防止网络拓扑改变引起的临时路由循环 水平分割可以保证永 远不会将关于路由器的信息发送回它发出的地方 例如 路由器 1 可以告诉路由器 2 它有一个关于网络 A 的路由 路由器 2 通过从路由器 1 获取信息知道了这一事实 所 以当路由器 2 将它自己的更新发送给路由器 1 时 它不会把关于网络 A 的路由更新信 息包括进去 在本例中 如果路由器 1 收到了路由器 2 发送的关于网络 A 的路由信息 路由器 1 可能会试图使用这一路由去连接网络 A 而不是使用它自己的路由 RIP 使用计时器来调节性能 一个路由更新计时器控制了两次路由更新之间的时间 间隔 通常这一计时器被设置为 30 秒 每个路由表中的条目都有一个路由超时设置 当发生路由超时的时候此路...

Page 138: ...数值越大 则队列越长 如果您的 FortiGate 设备使用很高的速度向一个可能无法以此速度接收的低速的路由器 发送数据 则您可以修改队列长度以适应这一情况 修改这一配置可以防止 路由表丢失信息 可以设置的值的范围是从 0 到 1024 默认的输入队列的长 度是 50 长度为 0 的输入队列意味着没有输入队列 输出延迟 修改输出延迟可以在多数据包 RIP 更新的数据包时间添加毫秒级的延迟 标 准的输出延迟是 8 到 50 毫秒 如果您配置 RIP 的 FortiGate 设备要将更新数 据包发送到一个路由器 而这个路由器又无法以 FortiGate 设备发送的速率 接收更新数据包 那么您可以为 FortiGate RIP 设定一个输出延迟 默认的 输出延迟是 0 毫秒 更新 两次发送路由表更新之间的以秒为单位的时间间隔 默认的间隔是 30 秒 失效 路由被宣布为失效的以秒为单位的时间间隔 ...

Page 139: ...的每个接口和 VLAN 子网络接口上所连接的网络定制专 用的 RIP 例如 如果您有一个复杂的内部网络 其中包含了使用 RIP2 协议的设备 您可能希望在内 部接口上配置 RIP2 发送和接收功能 如果外部接口是连接到互联网的 您可能不希望在这个接口上启用 RIP 发送功能 使 得内部路由不被暴露到互联网上 然而 您可能希望配置 RIP 接收功能使得 FortiGate 设备可以从您的 ISP 接收路由信息 如果 DMZ 接口连接到一个小型的 DMZ 网络 您可能无须为这个接口配置 RIP 按如下步骤配置 FortiGate 接口的 RIP 1 进入 系统 RIP 接口 在本页您可以看到每个 FortiGate 接口的 RIP 设置的摘要 2 对要配置 RIP 设置的接口单击修改 3 配置以下 RIP 设置 ...

Page 140: ...口发送的 RIP2 数据包的认证 只有 RIP2 支持认证 如果您将接 口配置为使用 RIP1 不要选择认证功能 密码 在 RIP2 请求中输入密码 密码最多可以有 16 个字符 模式 定义 FortiGate RIP2 数据包的认证方式 可以选择明文或 MD5 无 意味着不发送密码 明文 意味着不加密 密码为明文 MD5 意味着使用 MD5 加密算法加密密码 度量 修改由这个接口发送的路由的度量 从这个接口发送的全部路由将把这个度 量值添加到他们的当前度量值中 您可以设置接口的度量值以提高一些接口 的优先级 例如 如果您有两个接口可以为同一个目的地提供路由 如果您 将其中一个接口的度量值设置得比另一个接口高 这个接口上的度量值较低 的路由看起来代价较低 所以大多数通讯将使用这个接口上的度量值较低的 路由 度量的值范围是从 1 到 16 注意 MD5 认证用于 FortiGate 设备发送...

Page 141: ...单击确定以将 RIP 邻居添加到列表 添加 RIP 过滤器 使用 RIP 过滤器可以控制 FortiGate 设备接收的路由信息和 FortiGate 设备发送的 路由信息 您可以创建两种过滤器 RIP 过滤器包括路由的 IP 地址和网络掩码 对这个路由执行的操作 接受或拒 绝 以及这个过滤器应用到的接口 在 RIP 过滤器中找不到匹配的路由将被允许接 受 单一 RIP 过滤器包含对单一路由的接受或拒绝的指令 您可以在同一个 RIP 过滤器 名下添加多个 RIP 路由入口 以创建一个 RIP 过滤器列表 您可以使用一个 RIP 过滤 列表过滤多个路由 创建完 RIP 过滤器和过滤器列表之后 您可以通过为每种类型的过滤器选择一个过 滤器或者过滤列表来配置邻居过滤器或路由过滤器 如果您没有为邻居或路由选择 RIP 过滤器 则不会对它们应用过滤 您最多可以添加 4 个 RIP 过滤器或过滤列表 ...

Page 142: ...P 过滤器或者 RIP 过滤器列表 当一个 RIP 过滤器列表被添加到邻居过滤器或者路由过滤器时 RIP 过滤器列表中 的所有路由都将被过滤 1 进入 系统 RIP 过滤器 2 单击新建以添加一个 RIP 过滤器 3 配置这个 RIP 过滤器列表 4 单击确定以保存 RIP 过滤器列表 5 对 RIP 过滤器列表名 单击 添加前缀 可以将路由前缀添加到这个过滤器列表 6 配置路由前缀 过滤器名 为这个 RIP 过滤器输入一个名称 每个 RIP 过滤器和 RIP 过滤器列表必须有 一个单独的名称 这个名称的长度为 15 个字符 可以包含大写和小写字母 数字和特定字符 名称不能包含空格 空白过滤器 使用过滤器列表 请见 第 128 页 添加一个 RIP 过滤列表 IP 添加路由的 IP 地址 掩码 添加路由的网络掩码 动作 选择允许可以使过滤器允许这个路由的通讯 选择拒绝可以阻止这个路由被 交...

Page 143: ...对于邻居过滤器 选择一个 RIP 过滤器或 RIP 过滤器列表的名称 使之成为邻居过滤 器 4 单击应用 从邻居接收到的路由将被选定的 RIP 过滤器或 RIP 过滤器列表过滤 添加一个路由过滤器 您可以将一个 RIP 过滤器或者 RIP 过滤器列表设置为路由过滤器 1 进入 系统 RIP 过滤器 2 根据需要添加 RIP 过滤器和 RIP 过滤器列表 3 对于路由过滤器 选择一个 RIP 过滤器或 RIP 过滤器列表的名称 使之成为路由过滤 器 4 单击应用 FortiGate 设备发送的路由将被选定的 RIP 过滤器或 RIP 过滤器列表过滤 图 3 RIP 过滤器配置举例 IP 添加这个路由的 IP 地址 掩码 添加这个路由的掩码 动作 选择允许可以使过滤器允许这个路由的通讯 选择拒绝可以阻止这个路由被 交换 接口 选择这个 RIP 过滤器要应用到的接口 ...

Page 144: ...130 美国飞塔有限公司 添加 RIP 过滤器 RIP 配置 ...

Page 145: ...同步 如欲得到关于 NTP 的更多信息或需要查找可用的 NTP 服务器 请访问 http www ntp org 按以下步骤设置日期和时钟 1 进入 系统 配置 时间 2 单击 刷新 以显示 FortiGate 中的当前日期和时间 3 从列表中选择您所在的 时区 4 如果您希望 FortiGate 系统时钟当您所在的时区调整为夏令时的时候自动调整 请单 击自动调整时钟 5 可以选择 设置时间 然后将 FortiGate 的日期和时间设定为当前的日期和时间 6 如果要将 FortiGate 配置为使用 NTP 选择 与 NTP 服务器同步 您可以从 www ntp org 站点中流览关于网络时间协议 NTP 的信息并选择您地区的 NTP 服务器 7 输入 FortiGate 设备用于设置日期和时间的 NTP 服务器的 IP 地址 或域名 8 指定 FortiGate 把自己的时钟同步到 NT...

Page 146: ...语言 修改网关失效检测的设置 您还可以要求使用控制按钮和 LCD 时先输入一个 PIN 个人识别码 设置系统空闲超时 1 在空闲超时栏输入以分钟为单位的数字 2 单击应用 设定的空闲超时时间控制着基于 Web 的管理程序在要求管理员重新登录前所经历的非 活动状态的等待时间 默认的空闲超时时间是 5 分钟 可以设置的最大空闲超时时间是 480 分钟 8 小时 设置认证超时 1 在认证超时栏输入一个以分钟为单位的数字 2 单击应用 认证超时时间控制了防火墙在要求用户再认证前所等待的非活动时间的时间间隔 查 看 第 171 页 用户与认证 以获取更多信息 默认的认证超时时间是 15 分钟 您可以设置的最大认证超时时间是 480 分钟 8 小 时 ...

Page 147: ...时间 间隔 2 在失效检测栏 输入 FortiGate 设备在确认连接已经中断之前检测到的失败次数 3 单击应用 添加和编辑管理员帐号 在最初安装 FortiGate 时 只为它配置了一个管理员帐号 这个帐号的用户名是 admin 您可以使用这个管理员帐号再添加和编辑其它的管理员帐号 也可以控制您所 添加的每个管理员帐号的访问级别 另外还可以选择限制管理员用来连接到 FortiGate 的 IP 地址 管理员帐号可以有三种访问级别 注意 如果基于 Web 的管理程序的语言被设定为使用简体中文 日文 韩文或者繁体中文 您可 以使用基于 Web 的管理程序右上角的 Englsih 按钮切换回英文 admin 拥有所有权限 可以查看 添加 编辑和删除管理员帐号 可以查看和修改配 置 只有拥有管理级别访问权限的管理员可以进行以下操作 进入 系统 状 态 手工升级固件 更新病毒防护定义库 更新攻击定...

Page 148: ... FortiGate 就需把受信任主机的 IP 地址设置为 0 0 0 0 掩码设置为 0 0 0 0 如果要限制管理员只能从指定的网络访问 FortiGate 只需要把受信任主机的地址设置 为那个网络的地址 并把掩码设置为那个网络的网络掩码 例如 如果要限制管理员 只能从您的内部网络访问 FortiGate 需把受信任主机的地址设置为内部网络地址 例如 192 168 1 0 把掩码设置为 255 255 255 0 6 设置这个管理员帐号的 访问级别 7 单击确定以添加这个管理员帐号 编辑管理员帐号 拥有管理权限的帐号的用户可以更改其它管理员帐号的密码 配置允许管理员帐号 访问 FortiGate 基于 Web 的管理程序的 IP 地址和更改管理员帐号的权利级别 拥有读 写访问权限的管理员帐号用户可以更改他们自己的帐号的密码 按以下步骤编辑管理员帐号 1 进入 系统 配置 Admin ...

Page 149: ... RFC2665 FortiGateSNMP 实现是只读的 服从 SNMP v1 和 v2c 的 SNMP 管理者可以只读访问 FortiGate 系统信息和接收 FortiGate 陷阱 要监视 FortiGate 系统信息和接收 FortiGate 陷阱 您必须将 Fortinet 特征 MIB 和标准 MIB 编译进 SNMP 管理器 本节描述了以下内容 为 SNMP 监视配置 FortiGate 设备 配置 FortiGate 的 SNMP 支持 FortiGate 管理信息库 MIB FortiGate 陷阱 为 SNMP 监视配置 FortiGate 设备 只有将一个或几个网络接口配置为接受 SNMP 连接之后 远程的 SNMP 管理程序才能 连接到您的 FortiGate SNMP 代理 要获得这方面的更多信息 请参阅 第 112 页 控制到接口的管理访问 以及相关的网络接口...

Page 150: ...接受团体 也可以称做读团体 接受团体是一个用来识别发送到 FortiGate 上的 SNMP 访问请求的密码 当一个 SNMP 管理程序发送访问请求到 FortiGate 的时候 它必须包括正确的访问团体的字符串 默认的接受团体字符串是 public 修改这个默认的接受团体字符串 可以防止入侵者通过 SNMP 的访问请求获取您的网络配置信息 而您的 SNMP 管理程序必须使用这个接受团体字符串才能取得 FortiGate SNMP 信息 访问团体字符串的长度最长为 31 个字符 可以包含数字 0 9 大写 和小写字母 A Z a z 以及特殊字符 和 _ 空格符和 等符号都不能使用 陷阱团体 陷阱团体字符串类似于密码 在发送 SNMP 陷阱时被一起发送出去 默认的陷阱团体名称字符串是 public 如果需要可把这个字符串改 为接收您发送的陷阱消息的管理程序的名称 陷阱团体字符串的长度最长为...

Page 151: ...口的信息 FN TRAP mib Fortinet 陷阱 MIB 是一个私有 MIB 您的 SNMP 管理者需要用它来接收来 自 FortiGateSNMP 代理的陷阱消息 关于 FortiGate 陷阱的详细信息 请 见 第 137 页 FortiGate 陷阱 FORTINET mib Fortinet MIB 是一个私有 MIB 它包含了 FortiGate 系统配置的详细信 息 您需要将这个 MIB 添加到您的 SNMP 管理者以监视所有的 FortiGate 配 置设置 RFC1213 mib RFC 1213 MIB 是服从 MIB II 标准的 MIB 它描述了用于 TCP IP 网络的网 络管理协议 表 2 FortiGate 陷阱 陷阱消息 描述 接口名称 接口的 IP 地址更改为 新 _IP Fortigate 序列号 FortiGate_ 序列号 FortiGate ...

Page 152: ...的组 合创建您自己的替换信息 您可以编辑替换信息列表中的任何替换信息 并且可以根据需要添加替换信息片 段 1 进入 系统 配置 替换信息 2 对于您要定制的替换信息单击修改 3 在消息设置对话框 编辑这个消息的内容 表 3 列出了可以添加到替换信息的替换信息片段和每个片段的标签书写格式 对于每 个合法的标签您可以添加任何文字 对于电子邮件和 HTTP 消息您还可以添加 HTML 编 码 4 单击确定以保存您所做的修改 表 3 替换信息片段 文件阻塞 用于阻塞文件 所有服务 片段开始 BLOCKED 允许的标签 FILE 这个名字的文件被阻塞 URL 被阻塞的网页页面的 URL 片段结束 BLOCKED ...

Page 153: ...BLOCKED 隔离 当隔离功能被启用时使用 可以被电子邮件的阻塞服务和所有的扫描服务 使用 片段开始 QUARANTINE 允许的标签 QUARFILENAME 被隔离的文件的文件名 片段结束 QUARANTINE 表 3 替换信息片段 表 4 报警邮件消息的片段 NIDS 事件 用于 NIDS 事件报警邮件 片段开始 NIDS_EVENT 允许的标签 NIDS_EVENT NIDS 攻击消息 片段结束 NIDS_EVENT 病毒警报 用于病毒警报邮件消息 片段开始 VIRUS_ALERT 允许的标签 VIRUS 病毒名称 PROTOCOL 检测到病毒的服务 SOURCE_IP 接收到病毒所来自的 IP 地址 对于电子邮件 这 个 IP 地址是发送包含病毒的电子邮件的邮件服务 器的地址 对于 HTTP 协议数据流这是发送病毒的 网页的 IP 地址 DEST_IP 会接收到病毒的计算机的 ...

Page 154: ...地址 对于电子邮件 这个 IP 地址是发送包含了被阻塞的文件的电子邮 件的邮件服务器的地址 对于 HTTP 它是发送被阻 塞的文件的网页页面的 IP 地址 DEST_IP 要接收被阻塞的文件的计算机的 IP 地址 对于电 子邮件这个 IP 地址是试图下载含有被感染了的病 毒的消息的用户计算机的 IP 地址 EMAIL_FROM 含有被阻塞的文件的消息的发件人的邮件地址 EMAIL_TO 含有被阻塞的文件的消息的收件人的邮件地址 紧急事件 用于紧急防火墙报警邮件 片段开始 CRITICAL_EVENT 允许的标签 CRITICAL_EVENT 防火墙紧急事件消息 片段结束 CRITICAL_EVENT 表 4 报警邮件消息的片段 续 ...

Page 155: ...前要求认证 或将数据包 作为 IPSec VPN 包处理 您还可以在策略中添加任务计划使得防火墙可以在每天不同 时间 一周 月或年中的不同日子用不同的方式处理连接 每个策略都可以单独地配置为路由连接或应用网络地址转换 NAT 以转换源地 址 目的地址和端口 您可以添加 IP 池使防火墙转换源地址的时候使用动态 NAT 您 可以使用策略配置通过 FortiGate 的端口地址转换 PAT 您可以在策略中添加内容配置文件 从而获得对网页 文件传输和电子邮件服务的 防病毒保护 网页过滤和电子邮件过滤 您可以创建由下面动作之一或任意组合的功 能的内容配置文件 在 HTTP FTP SMTP IMAP 或 POP3 服务中应用防病毒保护 隔离已经被病毒感染或可能被病毒感染了的文件 对 HTTP 服务应用网页过滤 对 IMAP 和 POP3 服务应用电子邮件过滤 您也可以对防火墙策略添加日志记录 从而...

Page 156: ...含接口 1 到 4 HA 的策略 您必须按照如下步骤将这些接口添加到防火墙 策略网格 1 如果它们处在关闭状态 首先要启动接口 请见 第 111 页 启动一个接口 2 为接口添加 IP 地址 请见 第 111 页 修改一个接口的静态 IP 地址 3 为接口添加防火墙策略 请见 第 150 页 添加地址 VLAN 子接口 您也可以将 FortiGate 设备的配置中添加 VLAN 子网络接口以控制 VLAN 之间的连 接 关于 VLAN 的详细信息请见 第 115 页 配置虚拟局域网 VLAN 要添加包含 VLAN 子网络接口的策略 您必须按照如下步骤将 VLAN 子网络接口添加 到防火墙策略网格 1 将 VLAN 子网络接口添加到 FortiGate 配置中 请见 第 116 页 添加 VLAN 子网络接口 2 在 VLAN 子网络接口中添加防火墙地址 请见 第 150 页 添加地址 区域...

Page 157: ...略也匹配到外 部网络的全部连接 因为它包含了 外部 _ 全部 地址 您可以在每个接口上添加更多的地址以增强您对通过防火墙的连接的控制能力 关 于防火墙地址的详细信息 请见 第 150 页 地址 您也可以添加提供网络地址转换 NAT 功能的防火墙策略 要使用 NAT 转换目的 地址 必须添加虚拟 IP 虚拟 IP 将一个网络中的地址映射到另一个网络中的被转换的 地址上 关于虚拟 IP 的详细信息请见 第 160 页 虚拟 IP 服务 防火墙策略也可以根据数据包的服务或目的端口来控制连接 默认的策略接受使用 任何服务或目的端口的连接 防火墙配置中包含了 40 多个预定义的服务 您可以将这 些服务添加到策略中以提高对使用这些服务通过防火墙的连接的控制能力 您也可以 添加用户自定义的服务 关于服务的详细信息 请见 第 153 页 服务 任务计划 策略也可以根据防火墙收到的连接在一天当中的时间或一周...

Page 158: ... POP3 和 SMTP 内容通讯应用防病毒扫描 网页 对 HTTP 内容通讯应用防病毒扫描和网页内容阻塞 不过滤 允许超大型的文件不经过防病毒扫描直接通过 FortiGate 设备 关于内容配置文件的详细信息 请见 第 167 页 内容配置文件 添加防火墙策略 添加防火墙策略可以控制 FortiGate 接口 VLAN 子接口和区域之间的连接和通讯 1 进入 防火墙 策略 2 选择您要添加策略的策略 列表 3 单击新建以添加一个新的策略 也可以在策略列表中的一条策略前面单击在策略前面插入 在这个策略的上面添 加一条新策略 4 配置这个策略 关于策略选项的详细信息请见 第 145 页 防火墙策略选项 5 单击 确定 以添加这条策略 6 重新安排策略在策略列表中的位置以达到您所期望的效果 关于策略在策略列表中的排列在 第 148 页 配置策略列表 有详细描述 ...

Page 159: ...在防火墙策略中设置的选项 源地址 选择与数据包源地址匹配的地址或地址组 在您把这个地址添加到策略之前 必须 先把它添加到源网络接口上 关于添加地址 见 第 150 页 地址 目的地址 选择与数据包目的地址匹配的地址或者地址组 在您把这个地址添加到策略之前 必须先把它添加到目的网络接口 VLAN 子接口或区域上 关于添加地址 请参阅 第 150 页 地址 NAT 模式下的策略 目的网络上的地址是源网络中使用 NAT 隐藏的地址 目的地址 还可以是一个虚拟 IP 地址 它将数据包的目的地址映射到一个隐藏的目的地址 请见 第 160 页 虚拟 IP ...

Page 160: ...唯一能配置的其他选项就是记录日志 记录日志 选项 将此策略拒绝的连接记录到日志中 加密 把这个策略设置为 IPSec VPN 策略 如果选择了 加密 可以为这个策略选择 一个自动密钥交换的 VPN 通道或者一个手工密钥的 VPN 通道 并配置其它 IPSec 设置 您不能为加密策略设置认证 并且加密在透明模式下不可用 请 见 第 192 页 配置加密策略 动态 IP 池 选择动态 IP 池可以将源地址转换为从此策略添加到目的接口的 IP 池中随机 选择的一个地址 要添加 IP 池 请见 第 163 页 IP 池 固定端口 选择固定端口可以防止 NAT 转换源端口 如果源端口改变了 有些应用程序 将无法工作 如果选择了固定端口 必须也选择动态 IP 池并为策略的目的网 络接口上添加一个动态 IP 池的地址范围 如果没有选择动态 IP 池 使用固 定端口的策略一次只允许一个连接使用某个端口的服...

Page 161: ...码 如果您希望用户在使用其它服务时认证 例如 POP3 或者 IMAP 可以创建一个 包含了您想要进行认证的服务和 HTTP Telnet 或 FTP 服务的服务组 用户可以在使用 这个策略的其它服务之前先使用 HTTP Telnet 或 FPT 认证 在大多数情况下 您必须确定用户无须认证就可以通过防火墙使用 DNS 如果 DNS 不可用 用户将无法使用域名访问网页服务 FTP 或者 Telnet 服务 病毒防护与 Web 过滤器 启用防病毒保护和网页内容过滤功能可以过滤由这个策略控制的通讯 如果服务类 型是 任意 HTTP SMTP POP3 或者 IMAP 或者是一个包含了 HTTP SMTP POP3 或 IMAP 的服务组 您可以选择病毒防护和网页过滤 选择一个内容配置文件以配置应用到这个策略的防病毒保护和内容过滤功能 请见 第 167 页 内容配置文件 保证带宽 使用 流量控制...

Page 162: ...策略处理一个连接的时候向日志写入一条消息 关于记录 日志的详细信息请见 第 249 页 日志和报告 注释 可以选择添加一个关于这个策略的描述或者其他信息 注释的长度最多可以到 63 个字符 包括空格 配置策略列表 防火墙从策略列表的顶端向下搜索匹配的策略 直到找到第一个匹配的策略为止 您必须把策略列表中的策略按照从特殊到一般的顺序排列 例如 默认策略是非常一般的策略 因为它匹配所有的连接尝试 当创建这个策略 的一个例外策略时 必须把这些例外的策略添加到默认策略的上方 任何在默认策略 下面的策略都永远不会被匹配到 ...

Page 163: ...墙将允许全部从内部网络到互联网的连接 因 为所有的连接都和默认策略匹配 如果有其他特殊策略被添加到了策略列表并处在默 认策略的下方 他们永远也不会被匹配 对于默认策略的例外策略 例如 一个阻塞 FTP 连接的策略 必须在内部 外部 策略列表中位于默认策略的上方 在这个例子中 所有来自内部网络的 FTP 连接尝试 都与这个 FTP 策略匹配 于是被阻塞 而其它类型服务的连接请求将不会被这个 FTP 策略所匹配 但是它们能够匹配默认策略 于是 防火墙仍然接受来自内部网络的所 有其它连接 更改策略列表中策略的顺序 1 进入 防火墙 策略 2 选择所要重新排序的策略列表的标签 3 选择要移动的策略然后单击 移动 以改变这个策略在策略列表中的位置 4 在 移动到 一栏输入一个数字以指定这个策略要移动到策略列表中的位置 单击 确 定 启用和禁用策略 您可以启用和禁用策略列表中的策略以控制这个策略是否生...

Page 164: ...策略 一个防火墙地址由一个 IP 地址和一个网络掩码构成 这一信息可以描述为 子网的地址 例如 对于一个 C 类子网 IP 地址 192 168 20 0 和网络掩码 255 255 255 0 一个单独的 IP 地址 例如 IP 地址 192 168 20 1 和网络掩码 255 255 255 255 全部可能的 IP 地址 表示方式为 IP 地址 0 0 0 0 和网络掩码 0 0 0 0 本节叙述了如下内容 添加地址 编辑地址 删除地址 将地址编入地址组 添加地址 按如下步骤添加一个地址 1 进入 防火墙 地址 2 选择要添加地址的接口 VLAN 子接口或区域 3 单击新建以添加新的地址 4 输入一个 地址名 以识别这个地址 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 NO 注意 IP 地址 0 0 0 0 ...

Page 165: ...对于单个主机的 IP 地址的子网掩码应当是 255 255 255 255 A 类子网的子网掩码应该是 255 0 0 0 B 类子网的子网掩码应该是 255 255 0 0 C 类子网的子网掩码应该是 255 255 255 0 全部地址的网络掩码应当是 0 0 0 0 7 单击确定以保存地址 图 7 添加内部地址 编辑地址 可以编辑一个地址 修改它的 IP 地址和子网掩码 您不能修改一个地址的名称 如果需要修改一个地址的名字 您必须删除这个地址然后用一个新的名字来添加它 1 进入 防火墙 地址 2 选择包含了您所要编辑的那个地址的列表 3 选择要编辑的地址 单击编辑地址 4 完成所需的改动 单击 确定 以保存您所做的修改 注意 要添加一个地址以表示在一个网络中的任意地址 可以将 IP 地址设置为 0 0 0 0 并将 网络掩码设置为 0 0 0 0 ...

Page 166: ...添加到一个地址组 您只需要为这个地址组创建一个策略 而不用去 为三个地址创建三个单独的策略 您可以把地址组添加到任何网络接口 VLAN 子接口或区域中 地址组只能包含已 经添加到这个网络接口 VLAN 子接口或区域的地址 地址组可以用于网络接口 VLAN 子接口或区域的源地址或者目的地址列表 地址组的名字不能和独立地址相同 如果一个地址组已经被加到一个策略中了 就 不能删除它 除非先从这个策略中删除这个地址组 1 进入 防火墙 地址 组 2 选择要添加地址组的接口 VLAN 子接口或区域 3 输入一个地址组名 以标识这个地址组 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 要把 地址 添加到这个地址组 从有效地址列表中选择一个地址 然后单击向右箭头 把它添加到成员列表中 5 要从地址组中删除地址 从成员列表中选择要...

Page 167: ...己定制的服务然后把服务添加到服务组中去 本节叙述了以下内容 预定义的服务 访问定制服务 服务分组 预定义的服务 FortiGate 预定义服务在表 6 中列出 您可以将这些服务添加到任何策略中 表 6 FortiGate 预定义的服务 服务名称 内容 协议 端口 任意 可以在任何端口匹配连接 使用任何预定义服 务的连接都可以通过防火墙 全部 全部 GRE 通用路由封装 通过把协议的数据包封装为 GRE 数据包的方式 允许任意一个网络协议通 过任意一个另外的网络协议传输的协议 47 AH 认证头 AH 提供安全主机认证和数据验证 但是不加密 这个协议用于设置为积极模式的 IPSec 远程网关的认证 51 ...

Page 168: ...讯 tcp 443 IKE IKE 是用来使用 IPSEC 的 ISAKMP 获得原始认 证密钥的协议 udp 500 IMAP 互联网消息访问协议 IMAP 是用于接收邮 件消息的协议 tcp 143 互联网定位服务 互联网定位协议包括 LDAP 用户定位服务和 TLS SSL 上的 LDAP tcp 389 IRC 互联网聊天中继允许人们连接到互联网并加入 聊天组 tcp 6660 6669 L2TP L2TP 是一个用于远程访问的基于 PPP 的通道 协议 tcp 1701 LDAP 轻型目录访问协议是用于访问信息目录的一组 协议 tcp 389 NetMeeting 网络会议允许用户将互联网作为传输介质进行 远程电信会议 tcp 1720 NFS 网络文件系统允许网络用户访问存贮在不同类 型的计算机上的共享文件 tcp 111 2049 NNTP 网络新闻传输协议是一个用于张贴 发...

Page 169: ...离向量路由协议 udp 520 SMTP 用于在互联网上的电子邮件服务器之间发送邮 件 tcp 25 SNMP 简单网络管理协议是用于管理复杂网络的一组 协议 tcp 161 162 udp 161 162 SSH 用于安全连接到一台电脑进行远程管理的 SSH 服务 tcp 22 udp 22 SYSLOG 用于远程记录日志的系统日志服务 udp 514 TALK 一种支持两个或多个用户之间交谈的协议 udp 517 518 TCP 全部 TCP 端口 tcp 0 65535 TELNET 连接到远程电脑运行命令的 Telnet 服务 tcp 23 TFTP 微型文件传输协议 一个比 FTP 更简单的文件 传输协议 没有安全功能 udp 69 UDP 全部的 UPD 端口 udp 0 65535 UUCP UNIX 到 UNIX 文件拷贝协议 一个简单的文件 复制协议 udp 540 VD...

Page 170: ...定 以添加这个定制服务 现在您可以把这个服务添加到策略中了 服务分组 为了便于添加策略 可以创建服务组 然后添加一个接受或者阻塞此组中的全部服 务的策略 一个服务组可以包括预定义服务和定制服务并以任何方式将其组合 您不 能把一个服务添加到其它服务组里 1 进入 防火墙 服务 组 2 单击 新建 3 输入一个用于识别这个组的 组名 当添加策略的时候 这个名字将出现在服务列表中 这个名字不能和预定义服务相同 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 要向服务组中 添加服务 从可用服务列表中选择服务 然后单击向右箭头把服务复制 到成员列表中 5 要从服务组中 删除服务 从成员列表中选择要删除的服务 单击向左箭头把它从这个 组中删除 6 单击 确定 以保存这个服务组 图 9 添加服务组 ...

Page 171: ...述了以下内容 创建一个一次性任务计划 创建周期性任务计划 在策略中添加一个任务计划 创建一个一次性任务计划 可以创建一个一次性任务计划用于在特定的时间内激活策略或者解除对策略的激 活 例如 您的防火墙可能被配置为默认的 内部到外部 策略 它允许在任何时间从 内部网络访问互联网上的任何服务 您可以添加一个一次性任务计划以阻止在节日期 间对互联网的访问 1 进入 防火墙 任务计划 一次性 2 单击 新建 3 输入一个任务计划任务计划的 名称 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 输入任务计划的 开始日期 和 时间 如果需要任务计划在一整天中都有效 就把开始和结束时间都设置为 00 5 设置任务计划的 结束日期 和 时间 一次性任务计划使用 24 小时制 6 单击 确定 以保存任务计划 ...

Page 172: ...了一个结束时间在开始时间之前的周期性任务计划 这个任务计划将于您 所设置的开始时间开始 并于第二天的结束时间终止 您可以使用这种方法创建一个 周期性任务计划让它从第一天运行到第二天 也可以创建一个 24 小时运行的周期性任 务计划 只需要把它的开始时间和结束时间设置成相同的时间既可 1 进入 防火墙 任务计划 周期性 2 单击 新建 以添加新的任务计划 3 输入任务计划的 名称 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 选择在一周里任务计划生效的 日期 5 设置 开始时间 和 结束时间 在这段时间里任务计划是激活的 周期性任务计划使用 24 小时制的时间表示法 6 单击 确定 以保存周期性任务计划 ...

Page 173: ...略的时候 可以在策略中添加新的任务计划 或者可以编辑现有的策略 向其 添加一个新的任务计划 1 进入 防火墙 策略 2 选择要添加的策略类型对应的标签 3 单击 新建 以添加新的策略 或者单击 编辑 以编辑一个策略 改变它的运行时 间 4 根据需要配置策略 5 从任务计划列表中选择要添加的 任务计划 6 单击 确定 以保存策略 7 安排这个策略在策略列表中的顺序 以达到预期的效果 例如 使用一个一次性任务计划来拒绝对一个策略的访问 可以添加一个与这个策 略相匹配的新策略来拒绝任何访问 并选择您所添加的一次性任务计划 把动作方式 设置为拒绝 然后把这个包含一次性任务计划的策略放到策略列表中要被拒绝的策略 的上方 ...

Page 174: ... 以添加一个虚拟 IP 3 输入虚拟 IP 的名称 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 选择这个虚拟 IP 的外部网络接口 外部接口是安全程度较低的区域中的网络接口 它接收数据包 并转发到安全程度较 高的区域中 您可以选择一个防火墙接口或者一个 VLAN 子接口 5 确保类型被设置为 静态 NAT 6 在 外部 IP 地址 一栏 输入影射到网络中的地址的那个外部 IP 地址 例如 如果虚拟 IP 提供了从互联网到 DMZ 网络或者内部网络上的一台 Web 服务器的访 问 那么外部 IP 地址应当是从您的 ISP 那里获得的一个为 Web 服务器准备的静态 IP 地址 这个地址必须是唯一的 不能被其它主机使用 也不能跟步骤 4 中选择的外部 网络接口的地址相同 而且 这个地址必须是可以在这个网络接口中路由的...

Page 175: ...转发到目的网络的数据包的源网络的接口 您可以选择一个防火墙接口或者一个 VLAN 子接口 5 修改端口转发的类型 6 在外部 IP 地址一栏 输入被影射到目的区域的地址上的外部地址 您可以将外部地址设置为在步骤 4 中选择的外部接口的地址或者其他任何地址 例如 如果虚拟 IP 提供了从互联网到您内部网络上的一台服务器的访问 那么此外部 地址必须是由您的 ISP 分配给这个服务器的一个静态的 IP 地址 这个地址必须是唯一 的一个地址 不能用于网络上的其它主机 而且这个地址必须是可以被步骤 4 中选定 的外部网络接口路由的 7 输入为端口转发配置的 外部的服务端口号 外部设备端口号必须与数据包要转发到的目的地址的端口号相匹配 例如 如果虚拟 IP 地址提供了一个从互联网到您内部网络或者 DMZ 网络上的网页服务器的访问 那么 外部的服务端口拷应当是 80 即 HTTP 端口 注意 防火墙把从...

Page 176: ...和外部服务端口相同的端口号 如果您希望转换端口 输入要转换到的目的端口的端口号 当数据包被防火墙转发时 它们的目的端口将被按照这个号码被修改 10 选择被转发的端口所要使用的 协议 11 单击 确定 以保存端口转发虚拟 IP 图 13 添加端口转发虚拟 IP 添加使用虚拟 IP 的策略 按照如下步骤添加使用虚拟 IP 转发数据包的策略 1 进入 防火墙 策略 2 选择要添加的策略的 类型 源接口必须匹配于外部接口列表中选中的接口 目的区域必须匹配于映射到的 IP 地址所在网络相连接的接口 3 使用以下信息配置策略 源地址 选择用户可以用来访问服务器的源地址 目的地址 选择虚拟 IP 任务计划 根据需要选择任务计划 服务 选择的服务应当对应于您选择的端口转发虚拟 IP 所映射到的服务 ...

Page 177: ...和所添加到的那个网络接口位于同一网络中的其它地 址冲突 您可以在任何接口上添加多个 IP 池 但是只有 IP 池被防火墙使用 本节描述了以下内容 添加 IP 池 使用固定端口的防火墙策略的 IP 池 IP 池和动态 NAT 添加 IP 池 以下操作用于添加 IP 池 1 进入 防火墙 IP 池 2 选择要添加 IP 池的 网络接口 您可以选择一个防火墙接口或一个 VLAN 子网络接口 3 单击 新建 以将新的 IP 池添加到选中的网络接口 4 输入这个 IP 池的地址范围的 起点 IP 地址 和 终点 IP 地址 这个起点 IP 和终点 IP 须用来定义 IP 池的 IP 地址范围的起止点地址 其中 起点 IP 地址必须小于终点 IP 地址 起点 IP 地址和终点 IP 地址必须有相同的子网地址 并且 都 IP 地址池添加到的那个网络接口所在的子网内 5 单击 确定 以保存这个 IP 池 ...

Page 178: ...在的机构可能购买了某个地址范围内 的 IP 地址 但是您可能只有一个到互联网的连接 您的 FortiGate 设备的外部接口 您可以为您的 FortiGate 设备的外部接口指定一个您所在的机构购买的互联网 IP 地址 如果您的 FortiGate 设备运行在 NAT 路由模式 所有从您的网络到互联网的连 接看起来都来自于这个地址 如果您希望这些连接来自于您所有的互联网 IP 地址 可以将这个 IP 地址范围设置 成一个 IP 地址池添加到外部接口 然后可以为所有以外部接口作为目的接口的策略设 置动态 IP 池 防火墙对于每个连接动态地从 IP 池中选择一个 IP 地址作为连接的源地 址 结果是到互联网的那些连接看起来似乎来源于这个 IP 池中的全部地址 IP MAC 绑定 IP MAC 绑定可以保护 FortiGate 和您的网络不受 IP 欺骗的攻击 IP 欺骗攻击是 一台主机企图使用...

Page 179: ...IP 地址为 1 1 1 1 MAC 地址为 12 34 56 78 90 ab cd 的数据包将被允许到 策略列表中搜索匹配的策略 一个 IP 地址为 1 1 1 1 但是使用了不同 MAC 地址的数据包将立即被丢弃 以防止 IP 欺骗攻击 一个使用了不同 IP 地址但是 MAC 地址是 12 34 56 78 90 ab cd 的数据包也将被丢 弃以防止 IP 欺骗 如果这个数据包的 IP 地址和 MAC 地址在 IP MAC 地址绑定列表都没有定义 如果 IP MAC 绑定被设置为 允许流通 则允许它继续去匹配防火墙的策略 如果 IP AMC 绑定被设置为 阻塞流通 那么数据包将被阻塞 为连接到防火墙的数据包配置 IP MAC 绑定 对于可以正常连接到防火墙的数据包 例如 管理员连接到 FortiGate 以进行管 理的时候 通过以下操作可以使用 IP MAC 地址绑定对数据包进行过...

Page 180: ...火墙 IP MAC 绑定 静态 IP MAC 2 单击新建以添加 IP 地址 MAC 地址对 3 输入 IP 地址和对应的 MAC 地址 可以在同一个 MAC 地址上绑定多个 IP 地址 但是不能把多个 MAC 地址绑定到同一个 IP 地址上 然而 您可以为多个 MAC 地址设置 IP 地址为 0 0 0 0 的绑定 这意味着来自这些地 址的所有数据包都可以匹配 IP MAC 地址绑定列表 类似地 您也可以为多个 IP 地址设置 MAC 地址为 00 00 00 00 00 00 的 IP 地址绑定 这意味着所有来自这些 IP 地址的数据包都可以匹配 IP MAC 地址绑定列表 4 为新的 IP MAC 地址绑定对输入一个名字 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 5 选择启用以启用这个 IP MAC 地址对的...

Page 181: ... 设置 内容配置文件 使用内容配置文件可以对防火墙策略控制的内容通讯应用不同的保护设置 您可以 使用内容配置文件完成以下任务 为 HTTP FTP POP3 SMTP 和 IMAP 策略配置防病毒保护 为 HTTP 策略配置网页过滤 为 IMAP 和 POP3 策略配置电子邮件过滤 为 HTTP FTP POP3 SMTP 和 IMAP 策略配置超大型邮件过滤 为 POP3 SMTP 和 IMAP 策略配置邮件片段传输 您可以使用内容配置文件建立对不同类型的防火墙策略都易于配置的保护配置方 式 这就使得您可以为不同的防火墙策略定制不同类型和不同级别的保护 例如 内部和外部地址之间的通讯可能需要严格的保护 内部地址之间的通讯可能 仅仅需要中等的保护 您可以使用相同或不同的内容配置文件为不同的通讯服务的策 略进行配置 内容配置文件可以添加到 NAT 路由模式或透明模式策略 默认的内容配置文件 ...

Page 182: ...件中有病毒 这个文件可以被隔离到 FortiGate 的硬盘上 系统管理员 可以根据需要决定是否恢复被隔离的文件 网页 使用网页型内容配置文件可以对 HTTP 通讯的内容应用防病毒扫描和网页内 容阻塞 您可以在控制 HTTP 通讯的防火墙策略中添加这一内容配置文件 非过滤 如果您不希望对通讯内容施加任何内容保护 可以选择非过滤型内容配置文 件 您可以在控制无须保护的通讯类型的防火墙策略上添加这一内容配置文 件 例如两个高度可信或高度安全的网络之间的通讯 防病毒扫描 扫描网页 FTP 和邮件通讯中的病毒和蠕虫 请见 第 228 页 防 病毒扫描 文件阻塞 删除与文件阻塞样板匹配的文件 即使它们不包含病毒 只有发现了新 的 防病毒扫描功能无法检测的病毒时 您才有必要启用这一功能 请 见 第 229 页 文件阻塞 隔离 隔离被阻塞和被感染的文件 注意 如果防病毒扫描和文件阻塞功能都启用了 For...

Page 183: ...务类 型可以是任意 HTTP FTP IMAP POP3 SMTP 或一个包含以上服务的服务组 1 进入 防火墙 策略 电子邮件阻塞列表 对来自不受欢迎的地址的邮件添加主题标签 请见 第 246 页 电 子邮件阻塞列表 电子邮件排除列表 从电子邮件过滤中排除某些发件人地址模板 请见 第 247 页 邮 件排除列表 电子邮件内容阻塞 对包含不受欢迎的词汇活短语的电子邮件 添加主题标签 请见 第 245 页 电子邮件禁忌词汇列表 超大型文件 邮件阻塞 阻塞或传输超过了配置中指定的系统内存的百分比的文件或邮件 请 见 第 233 页 阻塞过大的文件和电子邮件 传输邮件片段 允许被分割成片段的邮件不经防病毒扫描直接传输 请见 第 233 页 对邮件片段免除阻塞 ...

Page 184: ...170 美国飞塔有限公司 内容配置文件 防火墙配置 2 单击包含了您要添加内容配置文件的那个策略的策略列表 例如 要内部网络用户从网站上下载的文件启用网络保护 选择一个内部到外部的策 略 3 单击新建以添加一个新的策略 或选择一个策略并单击编辑 4 选择病毒防护和网页过滤 5 选择内容配置文件 6 如果需要的话配置其余的策略选项 7 单击确定 8 对您要启用网络保护的任何策略重复以上步骤 ...

Page 185: ...用户组中 然后当您需要认证的时候 可以选择相应的用户 组 可以在以下操作中要求认证 任何 动作 被设置为 接受 的防火墙策略 IPSec 拨号用户第一阶段配置 第一阶段 IPSec VPN 配置的 XAuth 功能 PPTP L2TP 当一个用户输入用户名和密码时 FortiGate 在内部用户数据库上搜索匹配的用户 名 如果这个用户名被设置成了禁用 那么这个用户就无法取得认证 连接将被放弃 如果这个用户设置了密码并且密码匹配 那么就允许连接 如果密码不匹配 连接同 样会被放弃 如果选择的是 RADIUS 而且配置了 RADIUS 支持 用户名和密码与 RADIUS 服务器 中的用户名和密码相匹配 则允许连接 如果用户名和密码不同于 RADIUS 服务器中的 用户名和密码 连接将被放弃 如果选择的是 LDAP 而且配置了 LDAP 支持 用户名和密码与 LDAP 服务器中的用 户名和密码相...

Page 186: ...殊字符和空格符 4 从以下内容中选择一项认证配置认证 5 如果您希望 FortiGate 在连接 RADIUS 服务器失败时尝试连接 FortiGate RADIUS 配置 中的其它 RADIUS 服务器 可以选择 如果选用的服务器连接失败则尝试连接其它服务 器 6 单击确定 禁用 阻止这个用户认证 密码 输入用户用于认证的密码 这个密码的长度不得少于 6 个字符 这个密码可 以包含数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符和空格符 LDAP 用于要求用户取得 LDAP 服务器的认证 选择用于用户认证的 LDAP 服务器的 名字 您只能选择一个已经添加到 FortiGate LDAP 配置中的 LDAP 服务器 请参阅 第 174 页 配置 LDAP 支持 Radius 用于要求用户取得 RADIUS 服务器的认证 选择用于用户认证的 RADI...

Page 187: ...前必须将它们从所添加到的 用户组中删除 1 进入用户 本地 2 对于要删除的用户的用户名 单击 删除用户 3 单击 确定 配置 RADIUS 支持 如果您配置了 RADIUS 支持 当某个用户被配置为要求使用 RADIUS 服务器认证的时 候 FortiGate 将连接 RADIUS 服务器以获得认证 本节描述了以下内容 添加 RADIUS 服务器 删除 RADIUS 服务器 添加 RADIUS 服务器 按照以下步骤为 FortiGate 配置 RADIUS 认证 1 进入 用户 RADIUS 2 单击 新建 以添加新的 RADIUS 服务器 注意 删除用户名将删除这个用户的认证配置 ...

Page 188: ...要求使用 LDAP 服务器认证的时候 FortiGate 将连接 LDAP 服务器以获得认证 要通过 FortiGate 设备进行认证 这个用 户需要输入一个用户名和对应的密码 FortiGate 将拥护名和密码发送到 LDAP 服务 器 如果 LDAP 服务器认证了这个用户 那么用户即可成功地通过 FortiGate 设备的认 证 如果 LDAP 服务器不能认证这个用户 FortiGate 设备将拒绝这个连接 FortiGate 设备支持 RFC2251 定义的 LDAP 协议功能 用于搜索有效的用户名和密 码 ForitGate LDAP 支持所有兼容于 LDAP v3 的 LDAP 服务器 FortiGate LDAP 支持不包括 LDAP 的扩展功能 例如某些 LDAP 服务器的密码到期 通知功能 FortiGate LDAP 支持不为用户提供有关认证失败的原因等信息 PPTP L...

Page 189: ...入与 LDAP 服务器通讯的端口 默认的 LDAP 使用 389 端口 6 为这个 LDAP 服务器输入一个通用标识符 大多数 LDAP 服务器的通用标识符是 cn 然而有些服务器可能会使用其他标识符例如 uid 7 输入用于在 LDAP 服务器上搜索条目的名称 使用适当的 X 509 或 LDAP 格式为服务器输入一个基本名称 FortiGate 设备会将这个 名称不加修改直接发送到服务器 例如 您可以使用以下基本名称 ou 行销 dc fortinet dc com 其中 ou 是机构单位的缩写 dc 是域成员的缩写 您还可以在基本名称中指定同一域名的多个实例 例如 要指定多个机构单位 ou 帐目 ou 行销 dc fortinet dc com 8 单击确定 图 19 LDAP 配置举例 删除 LDAP 服务器 您不能删除已经添加到用户组的 LDAP 服务器 1 进入用户 LDAP ...

Page 190: ...PTP 配置 只有选定用户组中的用户可以使用 PPTP TFortiGate L2TP 配置 只有选定用户组中的用户可以使用 L2TP 当您将用户名 RADIUS 服务器和 LDAP 服务器添加到用户组中时 您添加它们的顺 序决定了 FortiGate 设备使用他们请求认证的顺序 如果用户名在前 FortiGate 设备 在本地用户中检索匹配的用户名 如果没有找到匹配的用户名 FortiGate 设备将检索 RADIUS 服务器或 LDAP 服务器 如果先添加的是 RADIUS 服务器或 LDAP 服务器 FortiGate 设备将先在服务器中检索 如果没有找到匹配的用户名才在本地用户中检 索 如果用户组包含用户名 RADIUS 服务器和 LDAP 服务器 FortiGate 设备根据他们 被添加时的顺序在其中检索用户 本节描述了以下内容 添加用户组 删除用户组 添加用户组 使用以下信息在...

Page 191: ...箭头将 用户名添加到成员列表中 5 要向用户组中添加 RADIUS 服务器 从 有效用户列表 中选择 RADIUS 服务器名然后单 击右箭头将 RADIUS 服务器添加到成员列表中 6 要向用户组中添加 LDAP 服务器 从 有效用户列表 中选择 LDAP 服务器名然后单击右 箭头将 RADIUS 服务器添加到成员列表中 7 要从用户组中删除用户 RADIUS 服务器或 LDAP 服务器 选中 成员列表 中要删除的用 户 RADIUS 服务器或 LDAP 服务器 然后单击右箭头将用户名或者 RADIUS 服务器从组 中删除 8 单击 确定 删除用户组 您不能删除已经被策略 远程网关 PPTP 或 L2TP 配置选用的用户组 按以下步骤删除用户组 1 进入 用户 用户组 2 单击您要删除的用户组右侧的 删除 3 单击 确定 ...

Page 192: ...178 美国飞塔有限公司 配置用户组 用户与认证 ...

Page 193: ...的 可以将通道 数据加密和认证结合起来以实现安全的 VPN 连接 通道封装数据 以 使得它可以通过公共网络传播 数据帧并不是以它原始的格式发送的 而是用一个附 加的头部进行封装并在通道的两个端点之间路由 在到达目的端点之后 数据被解封 并转发到它在专用网络中的目的地址 加密将数据流从明文 一些人类或程序能看懂的东西 转换成密文 看不懂的东 西 这些信息根据已知的密钥使用数学算法加密和解密 认证能够校验数据包的来源和它内容的完整性 认证使用带有密钥的 hash 功能算 法计算校验和 本章提供了关于如何配置 FortiGate IPSec VPN 的概述 关于 FortiGate VPN 的详 细信息 请见 FortiGate VPN 指南 密钥管理 手工密钥 IPSec VPN 自动 IKE IPSec VPN 管理数字证书 配置加密策略 IPSec VPN 集中器 冗余 IPSec VPN...

Page 194: ...ffie Hellman 组结合起来创建一个会话密钥 这个会话密钥可以 用于加密和认证的目的 并且在通讯会话的过程中通过 IKE 自动重建 预置密钥与手工设置密钥相似的地方在于他们都需要网络管理员去分配和管理 VPN 通道两端的匹配信息 当一个预置密钥改变时 系统管理员必须更新通道两端的设置 使用证书的 自动 IKE 这种密钥管理方法需要一个受信任的第三方 证书发布中心 CA 的参与 在一 个 VPN 中对等的双方首先请求生成一系列密钥 通常被称做公钥 私钥对 CA 为每一 方的公钥签名 创建一个签名的数字证书 对等的双方可以联系 CA 以找回他们自己的 证书 加上 CA 自己的 一旦证书被上载到 FortiGate 设备 并配置好了适当的策略和 IPSec 通道 那么双方就可以发起通讯了 在通讯中 IKE 负责管理证书交换 从一方 将签名的数字证书传送到另一方 这个签名的数字证书的有效性...

Page 195: ...Gate 和同样使用手工密钥的远程 IPSec VPN 客户或 网关之间建立 IPSec VPN 通道 按照以下步骤添加一个手工密钥 VPN 通道 1 进入 VPN IPSec 手工密钥 2 单击新建以添加一个新的手工密钥 VPN 通道 3 输入 VPN 通道名称 这个名称可以含有数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符或者空格符 4 输入本地 SPI 本地安全参数索引是一个不多于八位的十六进制数 数字 0 到 9 字母 a 到 f 这个 十六进制数必须添加到通道另一端的远程 SPI 中 本地 SPI 的取值范围是 bb8 到 FFFFFFF 5 输入远程安全参数索引 远程安全参数索引是一个不多于八位的一个十六进制数 数字 0 到 9 字母 a 到 f 这个十六进制数必须添加到通道另一端的本地 SPI 中 远程 SPI 的取值范围是 bb8 ...

Page 196: ...内容包括 第一阶段和第二阶段参数 通道两端的源地址 和目的地址 以及一个控制对这个通道的访问的加密策略 按以下步骤创建一个自动 IKE VPN 配置 1 添加第一阶段参数 请见 第 183 页 为自动 IKE VPN 添加第一阶段配置 2 添加第二阶段参数 请见 第 186 页 为自动 IKE VPN 添加第二阶段配置 3 配置一个包含了这个通道 通道两端的源地址和目的地址的加密策略 请见 第 192 页 配置加密策略 AES128 输入一个 32 个字符 16 字节 的十六进制数 0 9 A F 将这个数分成两个 16 个字符的部分 AES192 输入一个 48 个字符 24 字节 的十六进制数 0 9 A F 将这个数分成三个 16 个字符的部分 AES256 输入一个 64 个字符 32 字节 的十六进制数 0 9 A F 将这个数分成四个 16 个字符的部分 MD5 输入一个 32...

Page 197: ...端点的网关名称 远端 VPN 端点可以是另一个网络的网关或者互联网上的一个独立的客户 这个名称可以含有数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符或者空格符 4 选择远程网关地址类型 如果远程 VPN 端点有静态 IP 地址 选择静态 IP 地址 如果远程 VPN 端点使用动态 IP 地址 DHCP 或 PPPoE 或者远程 VPN 端点有一个无 须端点识别处理的静态地址 选择拨号用户 根据您所选择的远程网关地址类型 可能还要填写其他栏目 5 选择进取模式或主模式 ID 保护 当使用进取模式时 VPN 双方使用明文交换识别信息 当使用主模式时 识别信息是隐 藏的 VPN 双方必须使用同一模式 6 配置 P1 提议 最多可以为第一阶段的提议选择三个加密算法和认证算法 VPN 通道的两端必须使用相同的 P1 阶段提议设置 7 选择 DH 组 选择一个...

Page 198: ...如果您没有添加本地 ID FortiGate 设备将发送它的 IP 地址 只能在预置密钥和进取模式下配置本地 ID 不要在证书或者主模式下配置本地 ID 配置高级选项 1 单击高级选项 2 可选的 选择对等选项 选择对等选项可以使用远程 VPN 端点在第一阶段发送的 ID 对它们进行认证 3 可选的 配置 XAuth XAuth IKE 扩展认证 在用户层认证 VPN 双方 如果 FortiGate 设备 本地 VPN 端 点 被配置为一个 XAuth 服务器 它将通过在用户组中查询来验证远程 VPN 端点 包 含在用户组中的这个用户可以是 FortiGate 设备中配置的本地用户 或者远程的 LDAP 或 RADIUS 服务器中的用户 如果 FortiGate 设备被配置为 XAuth 客户端 当它被查询 的时候将提供一个用户名和密码 接受任何端点 ID 选择接受任何端点 ID 从而不认...

Page 199: ...DIUS 服务器认证 在用户组被选中之前它必须被添加到 FortiGate 的配置中 启用 选择启用 如果您希望 IPSec VPN 的数据流通过一个执行 NAT 的网关 如果 没有检测到 NAT 设备 启用 NAT 穿越功能不会有任何效果 在网关的两端必 须使用相同的 NAT 穿越设置 激活频率 如果启用了 NAT 穿越 则可以修改保持活动的时间间隔 以秒为单位 这个 时间间隔指定了空 UDP 包发送的频率 这个 UDP 包穿过 NAT 设备 以保证 NAT 映象不会改变 直到第一阶段和第二阶段的密钥过期 保持活动的时间 间隔可以从 0 一直到 900 秒 启用 选择启用可以启用本地和远程端点之间的 DPD 短时空闲 设置以秒为单位的时间 这是本地 VPN 端点需要考虑连接是否空闲之前所经 历的时间 在这段时间之后 当本地端点要向远程 VPN 端点发送通讯时 它 必须同时发送一个 DPD...

Page 200: ...法添加第二阶段配置 1 进入 VPN IPSEC 第二阶段 2 单击新建以添加新的第二阶段配置 3 输入一个通道名称 这个名称可以含有数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符或者空格符 4 选择一个连接到这个 VPN 通道的远程网关 远程网关可以是另一个网络中的网关或者互联网上的一个独立的客户 远程网关是作 为第一阶段配置的一部分添加的 有关的详细信息请见 第 183 页 为自动 IKE VPN 添加第一阶段配置 可以选择单独的拨号远程网关或者最多三个静态远程网关 如果您要配置 ISec 冗余 就需要多个静态远程网关 关于 IPSec 冗余的详细信息 请见 第 199 页 冗余 IPSec VPN 注意 使用预置密钥 VPN 和证书 VPN 的第二阶段配置相同 ...

Page 201: ...必须使用相同的 DH 组设置 9 输入密钥有效期 密钥有效期限制第二阶段的密钥在一定时间内 或者千字节的数据被 VPN 通道处理过 之后过期 或者两者都有 如果您选择两者都是 则直到经过了指定的时间并且处理 了指定量的数据之后 密钥才会过期 当密钥过期之后 无须中断服务就可以生成一个新的密钥 P2 提议中的密钥有效期可 以从 120 秒到 172800 秒或者从 5120 千字节到 99999 千字节 10 可选的 启用自动密钥保持激活 启用自动密钥保持激活可以在没有数据传输的时候也保持 VPN 通道的有效 11 可选的 是否指定一个集中器 如果您希望通道成为星型 VPN 配置的一部分 选择集中器 如果您使用了这个操作 第 197 页 添加一个 VPN 集中器 可以为集中器添加通道 下次您打开通道 集 中器栏会显示您添加到通道的集中器的名字 12 单击 确定 保存自动密钥 VPN 通道 注...

Page 202: ...的 Fortinet 使用手工操作获得证书 这包括从您的本地电脑将文本文件复制和粘贴 到认证中心 或从认证中心到您的本地电脑 获得签名的本地证书 获得一个 CA 证书 获得签名的本地证书 签名的本地证书可以为 FortiGate 设备提供其他设备鉴别它的能力 生成证书请求 您可以按照如下步骤生成一个公钥 私钥对 公钥是证书请求的基本元素 按照如下步骤生成证书请求 1 进入 VPN 本地证书 注意 配置 fortiGate VPN 无须数字证书 数字证书是一项高级功能 它为系统管理提供了便 利 这一操作假定用户具有如何在他们的应用中配置数字证书的有关知识 注意 VPN 端点的数字证书必须遵从 X 509 标准 ...

Page 203: ... 设备的 IP 地址作为主机 IP 域名 输入被人证的 FortiGate 设备的完整的域名 不包括协议标识 http 或任何端口号或路径名 E Mail 输入被认证的 FortiGate 设备的所有者的电子邮件地址 典型情况下 只 有客户才需要电子邮件地址 网关不需要 组织单位 输入请求这个 FortiGate 设备的证书的组织中的部门或单位的识别名称 例如制造商或 MF 组织 输入请求这个 FortiGate 设备的证书的组织的依法登记的名称 例如 Fortinet 位置 输入这个 FortiGate 设备所在的城市或城镇的名称 例如北京 州 省 输入 FortiGate 设备所在的省 市 自治区的名称 例如河北省 国家 选择这个 FortiGate 设备所在的国家 电子邮件 输入这个 FortiGate 设备的联络电子邮件地址 通常电子邮件地址仅用于 客户 而不是网关 密钥类型 选择...

Page 204: ...证书 下载证书请求 您可以使用如下操作将证书请求从 FortiGate 设备下载到管理员电脑 按照如下步骤下载证书请求 1 进入 VPN 本地证书 2 单击下载 以将本地证书下载到管理员电脑 3 单击保存 4 命名这个文件并将它保存到管理员电脑中 请求签名的本地证书 在下面的操作中 您可以从管理员电脑中将证书请求复制和粘贴到 CA 网页服务 器 按照如下步骤请求签名的本地证书 1 在管理员电脑中使用一个文本编辑器打开本地证书请求 2 复制证书请求 3 连接到 CA 网页服务器 ...

Page 205: ...服务器上提交证书请求 现在证书请求已经提交到 CA 以进行签名 图 24 在文本编辑器中打开证书请求 领取一个签名的本地证书 在下面的操作中 您可以连接到 CA 网页服务器并将一个签名的本地证书下载到管 理员电脑 在 CA 已经对证书请求签名之后再领取证书 按照如下步骤领取一个签名了的本地证书 1 连接到 CA 网页服务器 2 按照 CA 网页服务器的指示下载签名了的本地证书 将显示文件下载对话框 3 单击保存 4 在管理员电脑中的一个目录中保存文件 导入签名的本地证书 在下面的操作中 您可以从管理员电脑中将签名的本地证书导入 FortiGate 设备 中 按照如下步骤导入签名的本地证书 1 进入 VPN 本地证书 2 单击导入 3 输入路径或通过浏览在管理员电脑中定位签名的本地证书 ...

Page 206: ...理员电脑 按以下操作恢复 CA 证书 1 连接到 CA 网页服务器 2 跟随 CA 网页服务器的指示下载 CA 证书 将显示文件下载对话框 3 单击保存 4 在管理员电脑的一个目录中保存 CA 证书 导入一个 CA 证书 从管理员电脑将一个 CA 证书导入到 FortiGate 设备 按以下步骤导入 CA 证书 1 进入 VPN CA 证书 2 单击导入 3 输入路径或浏览以在管理员电脑中定位 CA 证书 4 单击确定 现在 CA 证书将显示在 CA 证书列表中 配置加密策略 VPN 将本地的内部网络连接到远程的外部网络 加密策略的主要角色是定义 和限 制 这些网络上的哪些地址可以使用这个 VPN 一个 VPN 只需要一个加密策略 它可以同时控制向内和向外的连接 根据您对加密 策略所做的配置 它可以控制您的内部网络中的用户是否可以建立到远程网络的通道 向外连接 以及远程网络中的用户是否可以...

Page 207: ... 可以使 FortiGate 设备对所有使用 VPN 的连接记录日志 策略必须包含您所创建的用来和远程 FortiGateVPN 网关通讯的 VPN 通道 当您的 内部网络中的用户试图连接到远程 VPN 网关后面的网络中的时候 加密策略截获这个 连接企图并发起一个添加到这个策略的 VPN 通道 这个通道使用添加到它的配置中的 远程网关来连接到连接到远程 VPN 网关 当远程 VPN 网关接收到连接请求时 它检查 自己的策略 网关和通道配置 如果配置允许 将在这两个 VPN 端点之间协商一个 IPSec VPN 通道 添加源地址 添加目的地址 添加一个加密策略 添加源地址 源地址是本地 VPN 端点所在的网络中的地址 它可以是一个单独的电脑的地址或是 一个网络的地址 1 进入 防火墙 地址 2 选择一个内部接口 根据 FortiGate 型号的不同 方法稍有差别 3 单击新建以添加一个地址 ...

Page 208: ...密策略在策略列表中的位置 使它在其他具有同样源和目的地址以及服务的 策略之上 以确保加密策略能匹配 VPN 连接 VPN 通道 为这个加密策略选择一个自动密钥通道 允许向内 选择 允许向内 可以允许向内连接的用户连接到源地址上 允许向外 选择 允许向外 可以允许向外连接的用户连接到目的地址上 向内 NAT FortiGate 可以把接收到的向内的数据包的源地址转换为连接到源地址网络 上的 FortiGate 内部网络接口的 IP 地址 通常这是 FORTIGate 设备的一个 内部接口 向内 NAT 使得本地主机无法看到远程主机 在远程 VPN 网关后面的网络中的 主机 的 IP 地址 向外 NAT FortiGate 可以把向外发送的数据包的源地址转换为连接到目的地址网络上 的 FortiGate 的网络接口的 IP 地址 通常情况下这是 FortiGate 设备的一 个外部接口 向外 ...

Page 209: ...一个 集中器 管理着辐条之间的 VPN 连接 星型配置的网络的优势在于辐条的配置更加简单 因为它们只需较少的策略 一个 星型配置的网络能够提供同样的处理效率 特别是在辐条上 星型配置的网络的劣势 是它依赖于一个端点去管理所有的 VPN 如果这个端点发生故障或关闭 这个网络中将 无法进行任何加密通讯 一个星型配置的 VPN 网络需要一个特定的配置 配置的不同取决于 VPN 端点所扮演 的角色的不同 如果 VPN 端点是一个作为集线器或集中器的的 FortiGate 设备 它需 要一个 VPN 配置以将它连接到每个辐条 自动 IKE 第一阶段和第二阶段设置或手工密 钥设置 加上加密策略 还需要一个集中器配置以将星型配置的通道彼此分组 这个 集中器配置将 FortiGate 设备定义为星型配置网络中的集线器 ...

Page 210: ... 地址 以 及这个通道所用的加密和认证算法 请见 第 180 页 手工密钥 IPSec VPN 一个自动 IKE 通道 包括第一阶段和第二阶段参数 第一阶段参数包括辐条 客户 或网关 的名称 辐条如何接收它的 IP 地址 静态 的指示 加密和认证算法 以及认证方法 可以是预置密钥或着 PKI 证书 第二阶段参数包括通道名 在第一 阶段中选择的辐条 客户或网关 的配置 加密和认证算法 以及一些安全参数 请见 第 182 页 自动 IKE IPSec VPN 2 为每个辐条添加一个目的地址 这个目的地址是辐条 可以是互联网上的客户或者一 个网关后边的网络 的地址 请见 第 193 页 添加源地址 3 添加集中器配置 这一步将 FortiGate 设备上的通道彼此分组 这些通道将辐条连接 到集线器上 这些通道是作为自动 IKE 第二阶段配置或手工密钥配置的一部分添加的 请见 第 197 页 添加...

Page 211: ...PN 集中器 按以下步骤添加一个 VPN 集中器配置 1 进入 VPN IPSec 集中器 2 单击 新建 以添加新的 VPN 集中器 3 在 集中器名称 一栏输入新集中器的名称 4 把通道添加到 VPN 集中器 从 可用通道列表 中选择 VPN 通道然后单击右箭头 5 要从集中器中删除通道 从 成员列表 中选定要删除的通道然后单击左箭头 6 单击 确定 添加 VPN 集中器 图 26 添加 VPN 集中器 源 内部 _ 全部 目的 VPN 辐条地址 动作 加密 VPN 通道 VPN 辐条通道名 允许向内 选择允许向内的通讯 允许向外 选择允许向外的通讯 向内 NAT 如果需要选择向内 NAT 向外 NAT 如果需要选择向外的 NAT ...

Page 212: ...c VPN 2 添加源地址 需要一个本地 VPN 辐条的源地址 请见 第 193 页 添加源地址 3 为每个远程 VPN 辐条输入一个目的地址 目的地址是辐条 互联网上的客户端或者网 关后边的网络 的地址 请见 第 193 页 添加目的地址 4 为每个远程 VPN 辐条设置一个独立的向外加密策略 这个策略控制这本地 VPN 辐条初 始化的加连接 加密策略必须包括在步骤 1 中添加的适当的源地址和目的地址和通道 使用如下配置 请见 第 194 页 添加一个加密策略 5 添加一个向内加密策略 这个策略控制这由远程 VPN 辐条初始化的加密连接 集线器的加密策略必须包含在步骤 1 中添加的通道的源地址和目的地址 使用如下配 置 源 本地 VPN 辐条的地址 目的 远程 VPN 辐条的地址 动作 加密 VPN 通道 在步骤 1 中添加的 VPN 通道名 对所有加密策略使用相同的通道名 允许向内 不...

Page 213: ... 使用不 对称的配置的情况下 VPN 的一端的冗余级别和另一端不同 配置冗余 IPSec VPN 在配置 VPN 之前 确保两个 FortiGate 设备都有到互联网的多重连接 对于每个设 备 首先添加多个 两个或更多 外部接口 然后将每个接口分配到一个外部区域 最后 为每个接口添加到互联网的路由 使用对称的设置配置两个 FortiGate 设备到互联网的连接 例如 如果远程 FortiGate 设备有两个外部接口并被分组到同一区域内 那么本地的 FortiGate 设备应 当也有两个在同一区域内的外部接口 类似地 如果远程 FortiGate 设备有两个外部接口并且在不同的区域中 那么本地 FortiGate 设备应当也有两个在不同区域中的外部接口 如果所有的外部接口都分组在同一区域内 配置将比接口在不同区域内简单 然 而 处于安全角度考虑 或者其他原因 可能无法这样配置 当您定义完了两...

Page 214: ...地址 请见 第 193 页 添加源地址 请见 第 193 页 添加目的地址 4 最多为三个 VPN 连接添加加密策略 如果 VPN 连接在同一区域内 添加一个向外的加密策略 例如一个内部 外部策 略 为这个策略添加自动 IKE 密钥通道 如果 VPN 连接在不同区域 为每个连接添加一个单独的向外加密策略 例如 一个内 部 外部策略和一个内部 DMZ 策略 每个策略的源地址和目的地址必须相同 为每个策略添加不同的自动 IKE 密钥通道 请见 第 194 页 添加一个加密策略 VPN 监视和问题解答 本节提供了一些常见的 VPN 维护和监视手段 本节叙述了以下内容 查看 VPN 通道状态 查看拨号 VPN 连接的状态 测试 VPN 查看 VPN 通道状态 您可以使用 IPSec VPN 通道列表查看所有 IPSec 自动密钥 VPN 通道的状态 对于 每个通道 列表中都显示了通道的状态以及通道...

Page 215: ...PSec 拨号 有效期 列显示了这个连接建立以来经历的时间 超时 列显示了下次密钥交换之前剩下的时间 这个时间等于密钥有效期减去上次密钥 交换以来经历的时间 源代理 ID 列 显示了远端的实际的 IP 地址或者子网地址 目的代理 ID 列 显示了本地院的实际 IP 地址或者子网地址 图 28 拨号监视器 测试 VPN 为了确认位于两个网络之间的 VPN 是否配置正确 可以使用 PING 命令从一个内部 网络连接另一个内部网络中的一台计算机 当 FortiGate 收到第一个发往 VPN 的数据 包时 就会发起 VPN 连接 为了确认一个在网络和一个或多个远程用户之间的 VPN 是否配置正确 可以发起一 个 VPN 客户端连接然后使用 PING 命令连接到内部网络中的一台电脑上 当客户试图连 接时 VPN 通道会自动初始化 您只需从客户端 PING 内部网络中的一台电脑就可以同 时发起这个通...

Page 216: ...202 美国飞塔有限公司 VPN 监视和问题解答 IPSec VPN ...

Page 217: ...服务供应商支持 PPTP 和 L2TP 连接 您只要在客户电脑和 FortiGate 设备上做一 些必要的简单设置即可创建一个安全的连接 本章提供了一个关于如何配置 FortiGate PPTP 和 L2TP VPN 的概述 关于 FortiGate PPTP 和 L2TP 的详细描述请见 FortiGate VPN 指南 本章描述了以下内容 配置 PPTP L2TP VPN 配置 配置 PPTP 顾名思义 PPTP 包括点对点通讯协议 PPTP 使用 PPP 包将数据封包并使用 IP 包压 缩 PPP 包以使得它能通过 VPN 通道传输 本节叙述了以下内容 把 FortiGate 配置为 PPTP 网关 配置 PPTP 的 Windows98 客户端 配置 Windows2000 的 PPTP 客户端 配置 WindowsXP 的 PPTP 客户端 注意 只有在 NAT 路由模式下才支持...

Page 218: ...照以下步骤将 FortiGate 设备配置问 PPTP 网关 添加用户名和组 按以下步骤为每个 PPTP 客户端添加一个用户 1 进入 用户 本地 2 添加并配置 PPTP 用户 请见 第 172 页 添加用户名并配置认证 3 进入 用户 用户组 4 添加并配置 PPTP 用户组 请见 第 176 页 配置用户组 启用 PPTP 并指定一个地址范围 1 进入 VPN PPTP PPTP 范围 2 单击启用 PPTP 3 输入 PPTP 地址范围的起点 IP 地址和终点 IP 地址 4 选择您在 第 204 页 添加用户名和组 中添加的用户组 5 单击 应用 以启用通过 FortiGate 的 PPTP ...

Page 219: ...加一个地址 4 为 PPTP 地址范围内的一个地址输入地址名 IP 地址和网络掩码 5 单击确定以保存源地址 6 对 PPTP 地址范围内的所有地址重复上述步骤 添加一个地址组 将源地址编进地址组 1 进入 防火墙 地址 组 2 在 PPTP 客户连接到的网络接口添加一个新的地址组 可以是网络接口 VLAN 子接口或区域 3 输入一个用于识别地址组的组名称 这个名称可以包含数字 0 9 大写或小写字母 A Z a z 以及特殊字符 和 _ 不能包含其他字符和空格 4 要添加地址组 在可用地址列表中选择一个地址 单击右箭头将它添加到成员列表 5 要从地址组中删除地址 从成员列表中选择一个地址 然后单击左箭头以将它从组中 删除 注意 如果 PPTP 地址范围包含某个子网的全部地址 您可以添加这个子网的地址 不 要添加地址组 ...

Page 220: ...防火墙 策略 2 使用策略网格选择您要添加策略的策略列表 3 单击新建以添加新的策略 4 将源地址设置为与 PPTP 地址范围匹配的组 5 将目的地址设置为 PPTP 用户可以连接到的地址 6 将服务设置为与 PPTP VPN 通道内的通讯匹配的类型 例如 如果 PPTP 用户可以访问网页 选择 HTTP 7 将动作设置为 接受 8 如果需要地址转换则选择 NAT 您还可以配置 PPTP 策略的流量控制 记录日志以及病毒防护和网页内容过滤 9 单击确定以保存防火墙策略 配置 PPTP 的 Windows98 客户端 按照以下步骤配置运行Windows98 操作系统的电脑以使得它可以连接到FortiGate PPTP VPN 为了配置 Windows98 的客户端 您必须安装和配置 Windows 拨号网络和虚 拟专用网络支持 安装 PPTP 支持 1 进入开始 设置 控制面板 网络 2 选...

Page 221: ...择 TCP IP 设置 10 取消对 IP 头压缩 的选中 11 取消对 使用远程网络的默认网关 的选中 12 单击两次 确定 连接到 PPTP VPN 1 启动您在上面步骤中刚刚建立的拨号连接 2 输入您的 PPTP VPN 用户名和密码 3 单击 连接 配置 Windows2000 的 PPTP 客户端 按照以下步骤配置运行 Windows2000 操作系统的电脑以使它可以连接到 FortiGate PPTP VPN 上 配置 PPTP 拨号网络连接 1 进入开始 设置 网络 与拨号连接 2 双击 建立新连接 以启动网络连接向导 单击 下一步 3 在 网络连接类型 选项 选择 通过互联网连接到专用网络 单击 下一步 4 在 目的地址一项 输入要连接的 FortiGate 的主机名或者 IP 地址 单击 下一步 5 设置 只有我能使用此连接 单击 下一步 6 单击 完成 7 在连接窗口 ...

Page 222: ...置一个 PPTP 拨号网络连接 1 进入开始 控制面板 2 选择 网络和互联网连接 3 选择 建立一个您的工作间的网络连接 单击 下一步 4 选择 虚拟专用网络连接 单击 下一步 5 为连接输入一个名字 单击 下一步 6 如果弹出公共网络对话框 选择 自动初始化连接 单击 下一步 7 在 VPN 服务器选择 对话框 输入您要连接到的 FortiGate 的主机名或者 IP 地址 单 击 下一步 8 单击 完成 配置 VPN 连接 1 鼠标右键单击您在上面操作中创建的连接图标 2 选择 属性 安全 3 选择 常规 以进行常规设置 4 选择 需要数据加密 5 单击 高级 以配置高级设置 6 单击 设置 7 选择 挑战握手认证协议 CHAP 8 确定没有选中其它设置 9 选择 网络 属性页 10 确定以下选项已经被选中了 TCP IP QoS 数据包调度程序 注意 如果是用 RADIUS 服务器...

Page 223: ... 1 连接到您的 ISP 2 启动您在上面步骤中刚刚配置的 VPN 连接 3 输入您的 PPTP VPN 用户名和密码 4 单击 连接 5 在 连接 窗口 输入您用来连接到您的 拨号网络连接 的用户名和密码 这个用户名和密码不同于 VPN 连接的用户名和密码 L2TP VPN 配置 有些 L2TP 的应用支持 IPSec 元素 在 FortiGate 设备中使用 L2TP 时必须禁用这些 IPSec 元素 本节叙述了以下内容 把 FortiGate 配置为 L2TP 网关 配置 Windows2000 客户的 L2TP 配置 WindowsXP 客户的 L2TP 注意 只有在 NAT 路由模式下才支持 L2TP VPN ...

Page 224: ...网关 按以下步骤将 FortiGate 设备配置为 L2TP 网关 添加用户和用户组 为每个 L2TP 客户端添加一个用户 1 进入 用户 本地 2 添加并配置 L2TP 用户 请见 第 172 页 添加用户名并配置认证 3 进入 用户 用户组 4 添加并配置 L2TP 用户组 请见 第 176 页 配置用户组 启用 L2TP 并指定地址范围 1 进入 VPN L2TP L2TP 范围 2 选择启用 L2TP 3 输入 L2TP 地址范围的 起点 IP 地址 和 终点 IP 地址 4 选择您在 第 210 页 添加用户和用户组 添加的用户组 5 单击应用 以启动通过 FortiGate 的 L2TP ...

Page 225: ...希望 L2TP 用户可以连接到内部区域中 您可以在内部区域地址列表里添 加这个地址 8 添加一个允许 L2TP 用户通过 FortiGate 连接的策略 添加源地址 对 L2TP 地址范围中的每个地址添加一个源地址 1 进入 防火墙 地址 2 选择 L2TP 客户要连接到的接口 可以是接口 VLAN 子接口或区域 3 单击新建以添加一个地址 4 为 L2TP 地址范围内的一个地址输入地址名 IP 地址和网络掩码 5 单击确定以保存源地址 6 对 L2TP 地址范围内的所有地址重复上述步骤 添加一个地址组 将源地址编进地址组 1 进入 防火墙 地址 组 2 在 L2TP 客户连接到的网络接口添加一个新的地址组 可以是网络接口 VLAN 子接口或区域 注意 如果 L2TP 地址范围包含某个子网的全部地址 您可以添加这个子网的地址 不 要添加地址组 ...

Page 226: ... 的内部接口上的单个电脑或一个子网输入地址名 IP 地址和网络掩码 5 单击确定以保存目的地址 添加一个防火墙策略 添加一个指定了源地址和目的地址的策略 并将策略的服务类型设置为 L2TP VPN 通道内的通讯类型 1 进入 防火墙 策略 2 使用策略网格选择您要添加策略的策略列表 3 单击新建以添加新的策略 4 将源地址设置为与 L2TP 地址范围匹配的组 5 将目的地址设置为 L2TP 用户可以连接到的地址 6 将服务设置为与 L2TP VPN 通道内的通讯匹配的类型 例如 如果 PPTP 用户可以访问网页 选择 HTTP 7 将动作设置为 接受 8 如果需要地址转换则选择 NAT 您还可以配置 PPTP 策略的流量控制 记录日志以及病毒防护和网页内容过滤 9 单击确定以保存防火墙策略 配置 Windows2000 客户的 L2TP 按照以下步骤配置运行 Windows2000 的电脑...

Page 227: ...MACHINE System CurrentControlSet Services Rasman Parameters 8 为这个键添加以下键值 Value Name ProhibitIpSec Data Type REG_DWORD Value 1 9 保存您所做的修改 重新启动电脑以使改动生效 您必须添加 ProhibitIpSec 注册表键值到每个要使用 L2TP 和 IPSec 的运行 Windows2000 操作系统的电脑 以防止 L2TP 或 IPSec 连接在启动时起用自动过滤功 能 当 ProhibitIpSec 注册键值被设置为 1 的时候 您的 Windows2000 电脑不生成使 用 CA 认证的自动过滤器 取而代之的是 它检查本地或者活动目录上的 IPSec 策略 连接到 L2TP VPN 1 启动您在前面步骤中创建的拨号连接 2 输入您的 L2TP 用户名和密码 ...

Page 228: ...立一个您的工作间的网络连接 单击 下一步 4 一选择 虚拟专用网络连接 单击 下一步 5 为连接输入一个名字 单击 下一步 6 如果弹出公共网络对话框 选择 自动初始化连接 单击 下一步 7 在 VPN 服务器选择 对话框 输入您要连接到的 FortiGate 的主机名或者 IP 地址 单 击 下一步 8 单击 完成 配置 VPN 连接 1 鼠标右键单击您在上面操作中创建的连接图标 2 选择 属性 安全 3 选择 常规 以进行常规设置 4 选择 需要数据加密 5 单击 高级 以配置高级设置 6 选择 设置 7 选择 挑战握手认证协议 CHAP 8 确认没有选中其它设置 9 选择 网络 属性页 10 确认以下选项被选中了 TCP IP QoS 数据包调度 11 确认以下选项没有被选中 微软网络文件和打印共享 微软网络客户 注意 如果是用 RADIUS 服务器进行认证 不要选择 需要数据加密 ...

Page 229: ...c Data Type REG_DWORD Value 1 9 保存您所做的改动并重新启动电脑以使修改生效 您必须添加 ProhibitIpSec 注册表键值到每个要使用 L2TP 和 IPSec 的运行 WindowsXP 操作系统的电脑 以防止 L2TP 或 IPSec 连接在启动时起用自动过滤功能 当 ProhibitIpSec 注册键值被设置为 1 的时候 您的 WindowsXP 电脑不生成使用 CA 认 证的自动过滤器 取而代之的是 它检查本地或者活动目录上的 IPSec 策略 连接到 L2TP VPN 1 连接到您的 ISP 2 启动您在前面步骤中创建的拨号连接 3 输入您的 L2TP VPN 用户名和密码 4 单击 连接 5 在连接窗口 输入您的拨号网络连接的用户名和密码 这个用户名和密码不同于您的 VPN 用户名和密码 注意 缺省的 WindowsXP L2TP 传输策略...

Page 230: ...216 美国飞塔有限公司 L2TP VPN 配置 PPTP 和 L2TP VPN ...

Page 231: ...本章叙述了以下内容 检测攻击 NIDS 攻击预防 检测攻击 NIDS 检测模块可以检测到大多数可疑的网络通讯和基于网络的攻击 按照以下步 骤配置 NIDS 的通用设置和 NIDS 检测模块特征列表 对于 NIDS 通用设置 您需要选择要监视基于网络攻击的网络接口 您还需要决定 是否启用校验和检验功能 校验和检验功能测试被监视的接口接收到的数据包的完整 性 本节描述了以下内容 选择要监视的网络接口 禁用 NIDS 验证校验和的配置 查看攻击特征列表 查看攻击描述 启用和禁用 NIDS 攻击特征 添加 用户定义的特征 选择要监视的网络接口 1 进入 NIDS 检测 通用 2 选择要检测网络攻击的网络接口 您最多可以选择 4 个网络接口和 VLAN 子网络接口 3 单击应用以保存您所做的修改 禁用 NIDS 1 进入 NIDS 检测 通用 2 删除全部网络接口 ...

Page 232: ...218 美国飞塔有限公司 检测攻击 网络入侵检测系统 NIDS 3 单击 应用 以保存您所做的修改 ...

Page 233: ...tiGate 是安装在一个同样进行校验和验证的路由器后面 您就没 有必要再进行校验和验证 1 进入 NIDS 检测 通用 2 选中要验证校验和的数据流类型 3 单击 应用 以保存您所做的修改 图 33 NIDS 检测配置举例 查看攻击特征列表 按以下操作显示当前的攻击特征组和特征组成员列表 1 进入 NIDS 检测 特征列表 2 查看列表中的特征组的名称和活动状态 NIDS 根据列表中所有修改列或细节列被选中的特征组进行攻击检测 3 单击查看细节 以查看特征组的成员 特征组成员列表显示了每个成员的攻击 ID 名称和修订版本 查看攻击描述 Fortinet 提供了所有 NIDS 攻击的在线信息 按照如下步骤查看特征列表中的某一 种攻击对应的 Forti 响应攻击分析网页 1 进入 NIDS 检测 特征列表 2 单击查看细节 可以显示一个特征组的成员 选择一个特征并复制它的攻击 ID 注意 用...

Page 234: ...量 例如 NIDS 检测大量的网页服务器攻 击 如果您没有提供对您的防火墙后面的 Web 服务器的访问 则可以禁用所有对 Web 服务器攻击类型的攻击检测 禁用 NIDS 攻击特征 1 进入 NIDS 检测 特征列表 2 卷动特征列表 找到要禁用的攻击特征 攻击日志和报警邮件中的攻击名称和 ID 号与攻击列表中的相对应 您可以很容易地通 过 ID 号在攻击列表中找到特定的攻击定义库 3 取消对攻击特征旁边的活动选项的选中就可以禁用对这个攻击的检测 4 单击确定 5 对您要禁用的每个攻击特征重复步骤 2 到 4 单击全部选中 可以启用攻击特征列表中的全部的 NIDS 攻击特征组 单击全部取消 可以禁用攻击特征列表中的全部的 NIDS 攻击特征组 注意 每个攻击日志消息包含一个直接连到这个攻击的 Forti 响应攻击分析网页的 URL 这个 URL 可以从攻击日志消息和报警邮件消息中直接访问 ...

Page 235: ...名和路径 或者单击浏览并定位文件 4 单击确定以上载用户定义攻击特征列表的文本文件 5 单击确定以显示上载的用户定义攻击特征列表 图 35 用户定义攻击特征列表的例子 下载用户定义攻击特征列表 您可以将用户定义攻击特征列表备份到管理员电脑中 保存成文本文件 1 进入 NIDS 检测 用户定义攻击特征列表 2 单击下载 FortiGate 设备将用户定义的攻击特征列表下载到管理员电脑中保存为文本文件 您可 以指定文本文件保存时的文件名和路径 NIDS 攻击预防 NIDS 攻击预防功能可以保护 FortiGate 设备和所连接的网络不受一般 TCP ICMP UDP 和 IP 攻击的威胁 您可以使用默认的攻击检测临界值启用 NIDS 攻击预防功能 或 者也可以根据您的需要启用攻击预防并调整攻击检测的临界值 注意 FortiGate 设备重新启动后 NIDS 攻击预防和握手信号淹没预防功能始终是...

Page 236: ...防 2 单击左上角的启用 启用 NIDS 攻击预防特征 NIDS 预防模块包括了各种常见攻击的特征 以保护您的网络不受这些攻击的威胁 默认情况下只启用了部分特征 您可以根据需要手工启用其他的 关于 NIDS 预防特征 的完整列表和详细描述 请见 FortiGate NIDS 指南 1 进入 NIDS 预防 2 选中您要启用的每个特征旁边的核选框 3 单击全部选中 可以启用 NIDS 攻击预防特征列表中的全部特征 4 单击全部取消 可以禁用 NIDS 攻击预防特征列表中的全部特征 5 单击恢复默认值 可以只启用默认的 NIDS 攻击预防特征 并恢复到默认的临界 值 图 36 NIDS 攻击预防特征列表的条目举例 ...

Page 237: ... 表 7 NIDS 预防特征的临界值 特征缩写 临界值的单位 默认临界 值 最小临界 值 最大临界 值 握手淹没 每秒接收到的 SYN 包的最大数目 200 30 3000 端口扫描 每秒接收到的 SYN 包的最大数目 128 10 256 会话淹没 来自同一源地址的会话初始化请求的最 大数目 2048 128 10240 FTP 溢出 一个 FTP 命令的最大缓冲区大小 字 节 256 128 1024 SMTP 溢出 一个 SMTP 命令的最大缓冲区大小 字 节 512 128 1024 POP3 溢出 一个 POP3 命令的最大缓冲区大小 字 节 Maximum buffer size for a POP3 command bytes 512 128 1024 UDP 淹没 每秒从同一源地址接收到的或发送到同 一目的地址的最大 UDP 包数目 2048 512 102400 UDP ...

Page 238: ...将这个消息添加到攻击日志 将攻击消息记录到攻击日志 减少 NIDS 攻击日志消息和报警邮件的数量 将攻击消息记录到攻击日志 按照如下步骤将攻击消息记录到攻击日志 1 进入 日志和报告 日志设置 2 对您设置的日志位置单击配置策略 3 单击 IDS 日志 4 单击 IDS 检测和 IDS 预防 5 单击确定 值 描述 最小值 最大值 默认值 临界值 每秒发送到目的主机或服务器的建立连接请 求 握手 的数量 如果握手请求是发送到 目的主机的所有端口的 而不是仅仅发送到 一个端口 那么临界值将提高为原来的四倍 30 3000 200 队列长度 FortiGate 设备能控制的代理连接的最大值 FortiGate 设备将丢弃更多的代理请求 10 10240 1024 超时 一个代理连接的握手请求 SYN 的以秒为单 位的有效时间 此值限制了代理连接表的大 小 3 60 15 注意 关于日志消息的内...

Page 239: ...中的 ID 编号和名称 FortiGate 设备有一个报警邮件队列 它将每个新生成的消息与队列中已有的消息 比对 如果新的消息没有重复 FortiGate 设备将立刻发送这个消息 并将消息的一个 副本放进队列 如果新消息是重复的 FortiGate 设备会删除它并将队列中对应的消息 内部的计数器加一 FortiGate 设备将报警邮件消息的副本保存 60 秒 如果一个消息副本在队列中的 时间超过了 60 秒 FortiGate 设备删除这个消息并将副本计数器加一 如果副本数大 于一 FortiGate 设备将发送一个标题为 重复 x 次 的统计信息邮件 邮件内容为 以下邮件在过去的 y 秒中重复了 x 次 和原始信息 手工减少信息 如果您希望减少 NIDS 生成的警报的数量 您可以查看以下攻击日志消息的内容和 报警邮件的内容 如果有大量的无效警报 例如 网页攻击警报 而您根本没有运行 网页...

Page 240: ...226 美国飞塔有限公司 记录 NIDS 攻击日志 网络入侵检测系统 NIDS ...

Page 241: ...步骤 防病毒保护功能的配置一般包括以下几步 1 在一个新的内容配置文件或现有的内容配置文件中选择防病毒保护选项 请见 第 168 页 添加一个内容配置文件 2 在防火墙策略中选中防病毒保护和网页过滤选项 以允许网页 HTTP FTP 和电子邮 件 IMAP POP3 和 SMTP 连接通过 FortiGate 设备 对防火墙策略选择一个内容配置 文件以提供您所希望的防病毒保护功能 请见 第 169 页 将内容配置文件添加 到策略 3 配置防病毒保护设置 以控制 FortiGate 设备应用到该策略所接受的网页 FTP 和电子 邮件通讯上的防病毒保护功能 请见 第 228 页 防病毒扫描 第 229 页 文件阻塞 第 233 页 阻塞过大的文件和电子邮件 第 233 页 对邮件片段免除阻塞 4 配置文件隔离设置可以控制要实施隔离的被感染的文件或被阻塞的文件的通讯类型 时间和文件大小 请见 第...

Page 242: ...FortiGate 病毒扫描功能不扫描以下类型的文件 cd 映像 软盘映像 扩展名为 ace 的文件 扩展名为 bzip2 的文件 扩展名为 Tar Gzip Bzip2 的文件 一旦发现某个文件含有病毒 它将被从内容流中删除 并用一条替换信息提示用 户 如果您的 FortiGate 设备配备了硬盘并启用了对匹配的通讯协议中的感染的文件隔 离的功能 FortiGate 设备会把文件加入隔离列表 以下方法用于在 FortiGate 防火墙通讯中扫描病毒 1 在一个内容配置文件中选择防病毒扫描 见 第 168 页 添加一个内容配置文件 2 可以在这个内容配置文件中选择隔离 3 将这个内容配置文件添加到防火墙策略以对防火墙策略接受的通讯应用病毒扫描 见 第 169 页 将内容配置文件添加到策略 4 配置文件隔离设置以控制如何隔离被感染的文件 见 第 233 页 配置隔离选 项 注意 要接收病毒日...

Page 243: ...能 提供对病毒的防护 通常情况下您没有必要启用 FortiGate 设备的文件阻塞功能 然 而 在极度危险的情况下 当没有其它的方式能够保护您的网络免受文件型病毒的危 害的时候 文件阻塞是唯一有效的方法 在配备了硬盘的 FortiGate 设备中 如果启用了对应通讯协议的文件阻塞的隔离功 能 FortiGate 设备会将文件添加到隔离列表 文件阻塞功能会删除所有与文件样板列表匹配的文件 FortiGate 设备会用一条警 告消息替换掉文件并转发给用户 同时 如果做了相应的配置 FortiGate 设备还会在 病毒日志中写入一条消息 并发送一封报警邮件 注意 如果同时启用了阻塞和扫描 FortiGate 设备直接阻塞与文件名样板列表匹配 的文件 而不对它们进行病毒扫描 ...

Page 244: ...防火墙策略接受的 HTTP FTP POP3 IMAP 和 SMTP 通 讯中应用文件阻塞 1 在一个内容配置文件中选择文件阻塞 请见 第 168 页 添加一个内容配置文件 2 把这个内容配置文件添加到防火墙策略 以在这个防火墙策略接受的通讯中应用内容 阻塞 请见 第 169 页 将内容配置文件添加到策略 添加用于阻塞的文件名样板 1 进入 防病毒 文件阻塞 2 单击新建 3 在文件名样板栏输入新的样板 输入文件名样板所需的字符 您可以使用星号来代表任何字符 用问号来代表任何单 个字符 例如 dot 阻塞 Microsoft Word 模板文件 do 阻塞 Microsoft Word 模板文件和文档文件 4 选中要启用对这个文件样板的阻塞的通讯协议旁边的核选框 5 单击确定 隔离 配备了硬盘的 FortiGate 可以配置为隔离被阻塞或被感染的文件 被隔离的文件将 被从内容流中删除 并存...

Page 245: ...讯中发现的被感染的文件 1 进入 病毒防护 隔离 隔离配置 2 选择要隔离被感染的文件的内容协议 3 在内容配置文件中选择防病毒扫描 请见 第 168 页 添加一个内容配置文件 4 选择隔离以将任何已发现被病毒感染的文件隔离 5 将这个内容配置文件添加到防火墙策略 以隔离由这个防火墙策略控制的通讯中发现 的被感染的文件 请见 第 169 页 将内容配置文件添加到策略 隔离被阻塞的文件 使用内容配置文件可以隔离在由防火墙策略控制的 HTTP FTP POP3 IMAP 和 SMTP 通讯中被阻塞的文件 1 进入 病毒防护 隔离 隔离配置 2 选择要隔离被阻塞的文件的内容协议 3 要隔离被阻塞的文件 在内容配置文件中选择文件阻塞 见 第 168 页 添加一个内容配置文件 4 选择隔离以将被阻塞的文件放入隔离区 5 将这个内容配置文件添加到防火墙策略 以隔离由这个防火墙策略控制的通讯中发现 的阻...

Page 246: ...ize exe 的文件按以下格式存储 3fc155d2 oversize exe 隔离日期 文件被隔离时的日期和时间 按如下格式存储 天天 月月 年年年年 时 时 分分 如果这个文件存在多个副本 这个时间指的是第一个被隔离的文 件被存储的时间 服务 被隔离的文件所用的协议 HTTP FTP IMAP POP3 SMTP 状态 用颜色表示的状态指示 t 红 文件被感染 t 黄 文件被启发式扫描捕获 t 绿 文件被阻塞样板所阻塞 t 蓝 文件大小超过了限制 Fortinet 建议您将状态为黄色的文件发送到 Forti 响应中心 因为这些文 件可能含有新的病毒或已知病毒的变种 状态描述 指出与状态相关的信息 例如 文件被 W32 Klez h 病毒感染 或 文 件被文件阻塞样板所阻塞 DC 副本数统计 统计出文件一共被重复地隔离了多少次 如果 DC 迅速地增加 则很有可能是某种病毒发作了 TTL...

Page 247: ...iGate 设备不再隔离任何新的大小超过这一限制的 文件 文件大小范围是 1 499 兆字节 输入零将不限制文件的大小 5 选择硬盘空间过低复选框以指定当 FortiGate 设备的硬盘将满的时候如何处理要被隔 离的文件 您可以选择覆盖最老的文件或丢弃新的被隔离的文件 6 单击应用 阻塞过大的文件和电子邮件 您可以将 FortiGate 配置为使用 1 到 15 的可用内存来缓冲过大的文件和电子邮 件 FortiGate 设备将阻塞超过这一大小限制的文件和电子邮件 而不是对它们进行病 毒扫描和直接发送服务器或用户 FortiGate 设备会将过大的文件替换为一条替换信息 发送给 HTTP 或电子邮件代理客户端 配置文件或电子邮件大小限制 1 进入 病毒防护 配置 配置 2 以兆字节为单位输入大小限制 3 单击应用 对邮件片段免除阻塞 分割的邮件是一个很大的邮件 通常被分割成多个部分分别发送...

Page 248: ...内容配置文件中启用邮件片段传递 2 在防火墙策略中选种 病毒防护和网页过滤 例如 要传递由内部网络用户到外部网络 的邮件片段 选择一个内部到外部的策略 3 对您希望 FortiGate 设备扫描的策略 选择一个已经启用了邮件片段传递的内容配置 文件 查看病毒列表 使用以下操作可以显示当前病毒定义库列表中的病毒和蠕虫列表 1 要显示病毒列表 进入 病毒防护 配置 病毒列表 2 卷动病毒和蠕虫列表可以查看列表中的所有病毒和蠕虫名称 警告 FortiGate 不能扫描邮件碎片中的病毒或者使用文件名样板从这些邮件中删除文件 ...

Page 249: ...息请见 第 239 页 使用 Cerberian 网页过滤器 本章描述了以下内容 一般配置步骤 内容阻塞 阻塞对 URL 的访问 使用 Cerberian 网页过滤器 脚本过滤 URL 排除列表 一般配置步骤 配置网页内容过滤功能通常包括以下两个步骤 1 在一个新的或现有的内容配置文件中选中网页过滤选项 请见 第 168 页 添加一 个内容配置文件 2 对于允许 HTTP 连接通过 FortiGate 设备的防火墙策略 选中该策略的防病毒和网页过 滤选项 对您希望应用网页过滤功能的防火墙策略选择一个能提供网页过滤功能的内容配置文 件 请见 第 169 页 将内容配置文件添加到策略 3 配置网页过滤的设置 以控制 FortiGate 设备将网页过滤功能应用到该防火墙策略接 受的 HTTP 通讯的方式 请见 第 237 页 阻塞对 URL 的访问 第 239 页 使用 Cerberian 网页...

Page 250: ...用的语言或字符集 您可以选择西方语言 简体中文 繁体中文 日文或是韩文 您的电脑和网页浏览器必须也被配置为支持您所选择的字符集 4 输入禁忌词汇或者短语 如果您输入的是单个词汇 例如 禁忌 FortiGate 将阻塞所有包含了这个词汇 的网页 如果输入的是一个短语 例如 禁忌 短语 FortiGate 将阻塞所有同时包含这 两个词汇的网页 当这个短语出现在禁忌词汇列表中时 FortiGate 将在两个词汇之间 的空格处插入一个加号 例如 禁忌 短语 如果输入了一个被引号包围的短语 例如 禁忌 词汇 FortiGate 将阻塞所 有内容中包含这两个词汇并以一个短语的形式出现的网页 内容过滤并不区分大小写字母 您也不能在禁忌词汇中包含特殊字符 5 单击 确定 这个词汇或短语就被添加进禁忌词汇列表了 6 在禁忌词汇列表中的修改列上 选中新增加的条目旁边的核选框 FortiGate 将阻塞所 有包...

Page 251: ...erberian 网页过滤器阻塞不受欢迎的内 容 使用 FortiGate 网页过滤器 使用 Cerberian 网页过滤器 使用 FortiGate 网页过滤器 您可以阻塞某个网站的所有页面 只需要把顶级 URL 或者 IP 地址添加到阻塞列 表 或者 您可以单独阻塞某个页面 方法是在阻塞列表里添加这个页面的整个路径 和文件名 本节讨论了 在阻塞列表中添加 URL 或者 URL 样板 清除 URL 阻塞列表 下载 URL 阻塞列表 上载 URL 阻塞列表 在阻塞列表中添加 URL 或者 URL 样板 1 进入 Web 过滤器 URL 阻塞 2 单击 新建 在 URL 阻塞列表中添加新的条目 ...

Page 252: ...adsite com mail badsite com www finace badsite com 等等站点 的访问 4 选择 启用 以阻塞 URL URL 样板 5 单击 确定 把这个 URL 样板添加到 URL 阻塞列表 您可以输入多个 URL 然后单击全部选中 一次激活 URL 阻塞列表中的所有条目 URL 阻塞列表的每一页可以显示 100 个 URL 6 您可以使用 向下翻页 和 向上翻页 在 URL 阻塞列表中翻页浏览 图 39 URL 阻塞列表的例子 清除 URL 阻塞列表 1 进入 Web 过滤器 URL 阻塞 2 选择 清除 URL 阻塞列表 以删除 URL 阻塞列表中的所有 URL 注意 不要在要阻塞的 URL 中包含 http 不要使用星号 来代表任意字符 您 可以输入一个顶级域名的后缀 例如 不带前边的 的 com 以阻塞所有带有 这个后缀的 URL 的访问 注意 ...

Page 253: ...您可以把 squidGuard 的黑名单 作为文本文件上载到 FortiGate 仅仅需要做一点儿小改动 删除每个名单顶部的注释 并把您需要的名单组合成一个单独的文本文件 1 在文本编辑器中 创建要阻塞的 URL 和样板列表 2 使用基于 Web 的管理程序 进入 Web 过滤器 URL 阻塞 3 选择 上载 URL 阻塞列表 4 输入您的 URL 阻塞列表文件的路径和文件名 或者单击浏览然后在浏览器中定位文件 5 单击 确定 以上载文件到 FortiGate 6 单击 返回 以显示更新过的 URL 阻塞列表 URL 阻塞列表的每一页可以显示 100 个 URL 7 您可以使用 向下翻页 和 向上翻页 按钮在 URL 阻塞列表中浏览 8 您可以继续维护 URL 列表 修改文本文件然后再次上载它 使用 Cerberian 网页过滤器 FortiGate 设备支持 Cerberian 网页过滤...

Page 254: ...te 设备使用 Cerberian 网页过滤功能的最终用户数 1 进入 网页过滤 URL 阻塞 2 选择 Cerberian URL 过滤 3 输入许可证号 4 单击应用 在 FortiGate 设备中添加一个 Cerberian 用户 Cerberian 网页过滤策略只能应用到用户组 您可以在 FortiGate 设备上添加用 户 然后将用户添加到 Cerberian 管理网页站点的用户组 当最终用户试图访问某个 URL 的时候 FortiGate 设备将检查用户的 IP 地址是否 在 FortiGate 设备的 IP 地址列表中 如果用户 IP 地址在列表中 这个 URL 访问请求 将被发送到 Cerberian 服务器 否则 将发送给这个用户一条错误信息 声明这个用 户没有访问 Cerberian 网页过滤器的许可 1 进入 网页过滤 URL 阻塞 2 选择 Cerberian UR...

Page 255: ...组 按以下方法配置 Cerberian 网页过滤 1 根据您添加到 FortiGate 设备的别名将用户添加到 Cerberian 服务器的用户组 因为 网页策略只能应用到用户组 如果您没有为 FortiGate 设备中的用户 IP 输入别名 用 户 IP 自动添加到默认组中 2 选择您要阻塞的网页类别 创建您册策略 3 将策略应用到包含这个用户的用户组 详细的步骤 请见 Cerberian 网页过滤页面的在线帮助 启用 Cerberian URL 过滤 您添加了 Cerberian 用户 用户组并配置了 Cerberian 网页过滤之后 可以启用 CerberianURL 过滤功能 您必须在以下三个地方启用它 Cerberian URL 过滤页面 内容配置文件 使用内容配置文件的策略 1 进入 网页过滤 URL 阻塞 2 选择 Cerberian URL 过滤 3 单击 Cerberia...

Page 256: ...ortiGate 配 置为阻塞 java 小程序 cookies 和 ActiveX 启用脚本过滤 选择脚本过滤选项 启用脚本过滤 1 进入 防火墙 内容配置文件 2 选择您要启用脚本过滤的内容配置文件 3 单击脚本过滤 4 单击确定 选择脚本过滤选项 1 进入 Web 过滤器 脚本过滤 2 选择您要启用的脚本过滤选项 您可以阻塞 java 小程序 cookies 和 ActiveX 3 单击 应用 图 41 脚本过滤设置为阻塞 java 小程序和 ActiveX 的例子 注意 阻塞这些内容中的任何一项都可能会使得某些网页无法正常工作 ...

Page 257: ...的阻塞 例如 www goodsite com index html 可以排除对这个站点的主页的阻塞 您也 可以指定 IP 地址 例如 122 63 44 67 index html 可以免除对这个地址的站点 上的主页的阻塞 不要在排除的 URL 前面加上 http 排除一个顶级的 URL 例如 www goodsite com 可以排除任何内容阻塞规则和 URL 阻塞规则对这个站点上的任何网页 例如 www goodsite com badpage 的阻 塞 4 选择 启用 以排除这个 URL 5 单击 确定 把 URL 添加到 URL 排除列表 您可以输入多个 URL 然后单击 全部选中 一次激活 URL 排除列表中的所有 URL URL 排除列表中的每页可以显示 100 个 URL 6 使用 向下翻页 和向上翻页 可以浏览整个 URL 排除列表 图 42 URL 排除列表的例子 注意...

Page 258: ...244 美国飞塔有限公司 URL 排除列表 网页内容过滤 ...

Page 259: ...滤包括通常如下步骤 1 在一个新的或现有的内容配置文件中选择邮件过滤选项 请见 第 168 页 添加一 个内容配置文件 2 对允许通过通过 FortiGate 设备传输 IMAP 和 POP3 连接的防火墙策略选择病毒防护和 网页内容过滤选项 选择一个提供了您所需要的电子邮件过滤功能的内容配置文件应 用到防火墙策略中 请见 第 169 页 将内容配置文件添加到策略 3 对不受欢迎的电子邮件添加一个主题标签 使邮件接收者可以使用他们的邮件客户软 件根据这个标签对邮件进行过滤 请见 第 248 页 添加一个主题标签 电子邮件禁忌词汇列表 当 FortiGate 设备检测到在电子邮件中含有禁忌词汇列表中的词汇或短语时 FortiGate 设备将在这封电子邮件的主题中添加一个标签 并在事件日志中写入一条消 息 接收者可以使用他们的电子邮件客户端软件根据主题中的标签过滤邮件 注意 要接收电子邮件过滤...

Page 260: ...包含这两个词汇并以一个短语的形式出现的 IMAP 和 POP3 电子邮件 内容过滤并不区分大小写字母 您也不能在禁忌词汇中包含特殊字符 4 选择禁忌词汇或短语使用的语言或字符集 您可以选择西方语言 简体中文 繁体中文 日文或是韩文 您的电脑和网页浏览器必须也被配置为支持您所选择的字符集 5 单击启用 6 单击确定 这个词汇或短语就被添加进禁忌词汇列表了 您可以输入多个禁忌词汇或者短语 然后单击 全部选中 从而一次激活禁忌词汇 列表中的所有条目 电子邮件阻塞列表 您可以将 FortiGate 设备配置为对所有不受欢迎的地址发来的 IMAP 和 POP3 协议的 通讯添加标记 当 FortiGate 设备检测到一封邮件的发件人符合不受欢迎地址模板时 FortiGate 设备将在这封邮件的主题中添加一个标签 并在邮件过滤日志中写入一条消 息 接收者可以使用他们的邮件客户端软件根据主题中的标签过滤...

Page 261: ...表中的任意模板 邮件排除列表 在排除列表中添加地址模板可以避免合法的 IMAP 和 POP3 通讯被阻塞或添加标记 例如 如果邮件禁忌词汇列表中设置了阻塞含有与色情相关的词汇 而一个著名的公 司发送的邮件中含有这些词汇 FortiGate 设备将在这封邮件中添加标签 将这个著名 的公司的域名添加到排除列表可以避免这个公司的 IMAP 和 POP3 通讯被阻塞或添加标 签 在邮件排除列表中添加地址模板 1 进入 邮件过滤器 排除列表 2 单击新建在邮件排除列表中添加地址模板 3 输入要排除的地址模板 要排除来自一个特定地址的所有邮件 只需输入这个邮件的地址 例如 sender abccompany com 要排除从特定域来的邮件 输入域名 例如 abccompany com 要排除从特定子域来的邮件 输入子域名 例如 mail abccompany com 要排除从某一类地址来的全部邮件 输...

Page 262: ...地址收到电子邮件 或收到含有邮件禁忌词汇 列表中的词汇的邮件的时候 FortiGate 设备将在主题中添加一个标签并将消息发送到 邮件的目的地址 邮件用户可以使用他们的电子邮件客户端软件根据主题中的标签过 滤电子邮件 按以下方法添加主题标签 1 进入 电子邮件过滤 配置 2 输入您希望在主题栏显示的标签 这一标签将显示在从不受欢迎的地址受到的邮件或 含有禁忌词汇的邮件的主题栏中 例如 输入 不受欢迎的邮件 3 单击应用 FortiGate 设备将在所有不受欢迎的邮件的主题栏中添加这一标签 注意 不要在主题标签中使用引号 ...

Page 263: ...以下一个或多个地点记录日志 运行系统日志服务的电脑 运行 WebTrends 防火墙报告服务的电脑 FortiGate 的硬盘 如果您的 FortiGate 内装有硬盘 控制台 如果您的 FortiGate 设备没有配备硬盘 您也可以将日志配置为将事件 攻击 防 病毒 网页过滤和电子邮件过滤日志记录到 FortiGate 系统内存里 把日志记录到内 存允许快速地访问最近记录的日志条目 如果 FortiGate 重新启动 所有的日志条目 都会丢失 您可以将不同级别的日志记录到不同的位置 例如 您可能希望只将紧急消息和警 报消息记录到 FortiGate 内存 而将其他级别的消息记录到一个远程计算机上 关于过滤日志类型和 FortiGate 设备记录日志的方式的详细信息 请见 第 252 页 过滤日志消息 关于通讯日志的信息 请见 第 253 页 配置通讯日 志 本节描述了以下内容 在远程电脑...

Page 264: ...ebTrends 服务器上记录日志 以下操作可以将 FortiGate 配置为在一台远程的 NetIQ 防火墙报告服务器上记录 日志 以供存储和分析之用 FortiGate 日志的格式服从 Web Trends Enhanced Log WELF 格式规范 并与 Web Trends NetIQ 安全报告中心 2 0 和防火墙套件 4 1 兼 容 可以从安全报告中心和防火墙套件的文档中获得更详细的信息 以下操作将日志记录到一台 NetIQ Web Trends 服务器上 1 进入 日志与报告 日志设置 2 选择 以 Web Trends Enhanced 日志格式记录日志 3 输入 NetIP WebTrends 防火墙报告中心的 IP 地址 4 选择您希望记录到日志的消息的紧急程度 FortiGate 会将所有不低于您所选择的级别的消息记录进日志 例如 如果您希望记录 紧急 警报 危险和...

Page 265: ...52 页 过滤 日志消息 和 第 253 页 配置通讯日志 中的步骤操作 7 设置当磁盘被写满时的日志选项 8 单击 应用 保存您的日志设置 将日志记录到系统内存 如果您的 FortiGate 没有安装硬盘 您可以使用以下操作将 FortiGate 配置为保留 一些系统内存用来记录当前的事件日志 攻击日志 防病毒 网页过滤 电子邮件日 志消息 将日志记录到内存允许对近期的日志条目进行快速访问 FortiGate 可以在系 统内存中保留有限的日志消息 一旦所有的可用内存都被用掉了 FortiGate 会删除最 早的日志消息 如果 FortiGate 重新启动 所有的记录都会丢失 以下操作可以将日志设置为记录到内存 1 进入 日志与报告 日志设置 2 选择 在内存中记录日志 3 选择您希望记录到日志的消息的紧急程度 FortiGate 会将所有不低于您所选择的级别的消息记录进日志 例如 如果您...

Page 266: ...的消息的类型 5 单击确定 通讯日志 记录所有到该接口和通过该接口的连接 要配置通讯过滤 请见 第 255 页 添加通讯过滤的条目 事件日志 将管理和活动事件记录到事件日志里 管理事件包括系统配置的修改 管理员和用户的登录和注销 活动日志包 括系统活动 例如建立 VPN 通道 HA 失效恢复事件 病毒日志 记录病毒入侵事件 例如当 FortiGate 设备检测到一个病毒阻塞某个类型 的文件 或者阻塞一个超大型的文件或电子邮件的时候 发生此事件 网页过滤日志 记录系统活动事件 例如 URL 和内容阻塞 以及从阻塞的 URL 中排除指定 的 URL 攻击日志 记录由 NIDS 检测到的攻击和 NIDS 预防功能阻止的攻击企图 电子邮件过滤日志 记录活动事件 例如检测到包含有不受欢迎的内容的邮件或者由不受欢迎 的发件人发送的邮件 更新 当 FortiGate 连接到 FDN 下载病毒防护和攻击更...

Page 267: ...53 图 43 日志过滤配置的例子 配置通讯日志 您可以将 FortiGate 设备配置为记录以下连接的通讯日志消息 任意接口 任意 VLAN 子网络接口 任意防火墙策略 FortiGate 设备可以根据任何源地址 目的地址或服务类型对通讯日志进行过滤 您还可以起用以下全局设置 将 IP 地址解析为主机名 记录会话或包信息 显示端口号或服务 通讯过滤列表显示了过滤的通讯的名称 源地址 目的地址和协议类别 本节描述了以下内容 启用通讯日志 配置通讯过滤设置 添加通讯过滤的条目 ...

Page 268: ... 子网络接口上启用了通讯日志记录 所有到此 VLAN 子接口和通 过此接口的网络连接将被记录进通讯日志 1 进入 系统 网络 接口 2 在你要启用日志记录的 VLAN 子接口的一侧 单击修改列上的编辑 3 对日志 单击 启用 4 单击确定 5 对每个您希望启用日志记录功能的 VLAN 子接口重复这一操作 对防火墙策略启用通讯日志 如果您启用了某个防火墙策略的通讯日志记录 这个防火墙策略接受的全部连接都 将被记录进通讯日志 1 进入 防火墙 策略 2 选择一个策略标签 3 选择记录通讯日志 4 单击确定 配置通讯过滤设置 按照如下步骤配置在全部通讯日志消息中记录的信息 1 进入 日志和报告 日志设置 通讯过滤 2 选择您要应用到所有通讯日志消息的设置 解析 IP 如果您希望通讯日志消息列如 IP 地址和 DNS 服务器上所存储的域名 则 选中解析 IP 如果您还没有添加由您的 ISP 提供的...

Page 269: ...择您希望通讯日志记录的通讯的类型 4 单击确定 通讯过滤列表根据您在 第 254 页 启用通讯日志 中选择的设置显示新的通讯地 址条目 类型 选择 会话或包 如果您选择了会话 FortiGate 设备将每个会话发送和接 收的包的数量 如果您选择了包 FortiGate 设备将记录每个会话的包的 平均长度 以字节为单位 显示 如果您希望通讯日志消息列出端口号 例如 80 TCP 则选择端口号 如 果您希望通讯日志消息列出服务的名称 例如 TCP 则选择服务名称 名称 输入一个名称以识别这个通讯过滤条目 名称可以包含数字 0 9 大写或小写字母 A Z a z 以及特殊字 符 和 _ 不能使用其他特殊字符和空格 源 IP 地址 源网络掩码 输入您希望 FortiGate 设备记录通讯日志消息的源 IP 地址和网络掩 码 地址可以是一个独立的主机 一个子网或者一个网络 目的 IP 地址 目的网络...

Page 270: ...在日志消息列表中 消息按照时间顺序排列 生成时间晚的消息排在上面 以下操 作用于查看保存在系统内存中的日志消息 1 进入日志与报告 记录日志 2 选择 事件日志 攻击日志 防病毒日志 网页过滤日志或电子邮件过滤日志 基于 Web 的管理程序列出保存在系统内存中的日志消息 3 滚动窗口可以查看到更多的日志消息 4 要查看日志中的某一行 只需在转到某行的空白处填写行号 然后单击 5 要在日志消息中翻页 单击 向下翻页 或 向上翻页 搜索日志 使用以下操作可以搜索保存在系统内存里的日志消息 1 进入 日志与报告 记录日志 2 选择 事件日志 攻击日志 防病毒日志 网页过滤日志或电子邮件过滤日志 3 单击 可以在选定的日志中搜索消息 4 选择 与 可以搜索与所有给定条件匹配的消息 ...

Page 271: ...操作查看活动的 或者保存了的日志 1 进入日志与报告 记录日志 2 选择 事件日志 攻击日志 防病毒日志 网页过滤日志或电子邮件过滤日志 基于 Web 的管理程序 列出选定类型的日志中已保存的全部消息 在列表顶部的是当前 日志 对于每一个日志 列表显示了添加到日志的最后一个条目的添加时的日期和时 间 日志文件的大小和文件名 3 要查看日志文件 单击查看 4 基于 Web 的管理程序 显示了被选中的日志中的消息 5 您可以将每一页中显示的日志消息的数量设置为 30 50 或 1000 您可以通过卷动浏览 日志条目 6 要查看日志文件中的指定行 只需在转到行字段填写要查看的行号 然后单击 7 要在日志消息中翻页 单击 向下翻页 或 向上翻页 8 要在您所查看的日志中搜索某条消息 单击搜索 搜索日志 以下操作用于在被保存的日志或当前日志中搜索消息 1 进入 日志与报告 记录日志 关键词 可以搜索...

Page 272: ...如下步骤下载日志文件 1 进入日志和报告 记录日志 2 选择流量日志 事件日志 攻击日志 病毒防护日志 网页过滤日志 或者电子邮件 日志 3 要将日志文件下载到管理员电脑 单击下载 4 为这个日志文件选择格式 选择以普通格式下载文件可以将日志消息下载保存为文本文件 文本文件的每一行是 一条日志消息 消息的格式和它们杂基于 Web 的管理程序中的格式相同 选择以 CSV 格式下载文件可以将日志消息以逗号分隔值格式保存到文本文件中 用这 种格式 每个消息的每个字段以逗号分隔 如果您使用一个电子表格软件打开这个 文件 每个消息字段显示为一个单独的列 5 单击保存 删除当前日志中的全部消息 按照如下步骤可以删除当前日志中的全部消息 1 进入日志和报告 记录日志 2 选择流量日志 事件日志 攻击日志 病毒防护日志 网页过滤日志 或者电子邮件 日志 3 要删除所有消息 单击清空日志 4 单击确定以删除...

Page 273: ...完邮件地址之后 可以通过发送测试邮件来测试您的设置是否正确 添加报警邮件地址 测试报警邮件 启用报警邮件 添加报警邮件地址 因为 FortiGate 设备使用 SMTP 服务器名来连接邮件服务器 所以它必须能够在您的 DNS 服务器上解析这个服务器名 因此 在您配置报警邮件之前确保您已经配置了至少 一个 DNS 服务器 按以下方法添加 DNS 服务器 1 进入 系统 网络 DNS 2 如果还没有添加 DNS 服务器 则输入您的 ISP 提供的主 DNS 和辅助 DNS 的地址 3 单击应用 按以下方法添加报警邮件地址 1 进入 日志和报告 报警邮件 配置 2 如果您的邮件服务器要求 SMTP 口令 选中 认证 3 在 SMTP 服务器栏填写 SMTP 服务器的名字 这个 SMTP 服务器即是 FortiGate 设备用来 发送报警邮件的服务器 名字按以下格式填写 smtp 域名 com S...

Page 274: ...事件 如果您已经配置了将日志存储到本地硬盘 则可以启用当硬盘 快被写满时发送报警邮件的功能 按照以下步骤启用报警邮件 1 进入 日志与报告 报警邮件 分类 2 选中启用病毒事件的报警邮件 可以使 FortiGate 在防病毒扫描功能发现病毒时发送报 警邮件 当病毒文件阻塞功能删除一个文件时不会发送此邮件 3 选中启用阻塞事件报警邮件可以使 FortiGate 在阻塞被病毒感染的文件时发送报警邮 件 4 选中启用入侵报警邮件 可以使 FortiGate 发送报警邮件通知系统管理员 NIDS 检测到 了攻击活动 5 选中启用防火墙 VPN 紧急事件或者异常 可以使 FortiGate 在出现防火墙或 VPN 的紧 急事件时发送报警邮件 防火墙关键事件包括失败了的认证企图 VPN 关键事件包括重放检测功能检测到一个重放的数据包 重放检测功能可以配置在自 动密钥 VPN 通道或者手工密钥 VPN ...

Page 275: ...L 协议 内部接口 FortiGate 用于连接到内部 私有 网络的 网络接口 互联网 以 NFSNET 为骨干网 覆盖全球的彼此连接的 网络总称 在一般的术语中 也可以表示一些互相连接 的网络 IICMP 互联网控制信息协议 互联网协议 IP 的一部 分 它一般被用来发送错误信息 测试数据包以及一些 与 IP 有关的信息 当 PING 功能发送 ICMP 响应请求到 网络中的一台主机时会用到这一协议 IKE 互联网密钥交换 一种在两台安全服务器之间自 动交换认证密钥和加密密钥的方法 IMAP 互联网消息访问协议 一种互联网电子邮件协 议 用来通过任何兼容 IMAP 的浏览器访问您的电子邮 件 使用 IMAP 时 您的电子邮件保存在服务器上 IP 互联网协议 TCP IP 协议的一部分 处理数据包 路由 IP 地址 在 TCP IP 网络中的一台电脑或者设备的识别 标志 IP 地址是一个 ...

Page 276: ...备如何指示它已经完成了一个消息的接收 RADIUS 远程拨号访问用户认证服务 很多 INTERNET 服务供应商 ISP 使用的认证和计帐系统 当用户拨 入一个 ISP 时 他们输入一个用户名和密码 这些信息 被传送到 RADIUS 服务器 RADIUS 检验这些信息的正确 性 然后授予访问 ISP 系统的权限 路由器 把局域往连接到互联网并为他们之间的数据提 供路由的设备 路由 决定发送数据到目的地时要经过的路径的过程 路由表 含有一系列有效的数据传送路径的列表 服务 应答其他设备 客户 的请求的应用程序 通 常用来描述任何在网络上提供类似打印 海量存储 网 络访问等服务的设备 SMTP 简单邮件传输协议 在 TCP IP 网络中提供邮件 发送服务的程序 SNMP 简单网络管理协议 一组网络管理协议 SNMP 对网络的不同部分发送消息 支持 SNMP 的设备 称做 代理 把他们自己的数据...

Page 277: ... XP 客户端 214 拨号 PPTP 配置 Windows 2000 客户端 207 配置 Windows 98 客户端 206 配置 Windows XP 客户端 208 拨号 VPN 查看连接状态 201 病毒定义更新 自动 96 不记录日志 日志选项 251 病毒事件 启用报警邮件 260 报警邮件 病毒事件 260 测试 260 防火墙或 VPN 紧急事件 260 减少消息数量 220 配置 259 配置 SMTP 服务器 259 启用 260 入侵企图 260 消息内容 225 硬盘满 260 不受欢迎的内容 阻塞 236 245 保证带宽 147 C 出厂状态 恢复系统设置 87 从电子邮件阻塞中排除电子邮件 247 策略 禁用 149 启用 150 查看 保存到内存的日志 256 拨号连接状态 201 日志 257 VPN 通道状态 200 策略 保证带宽 147 固定端口...

Page 278: ... MAC 列表 查看 166 动态 IP 池 IP 池 146 读写级别访问 管理员帐号 133 电源要求 17 地址 150 编辑 151 152 IP MAC 绑定 166 删除 152 添加 150 虚拟 IP 160 组 152 动作 策略选项 146 定制服务 155 地址名 150 电子邮件 添加到电子邮件排除列表 247 电子邮件排除列表 247 请参阅电子邮件排除列表 247 添加电子邮件 247 电子邮件阻塞 电子邮件排除列表 247 排除电子邮件 247 地址组 152 举例 153 E 恶意脚本 从网页中删除 242 F FDS Forti 响应发布服务器 94 覆盖 日志选项 251 防火墙 概述 141 介绍 3 配置 141 认证超时 132 防火墙安装向导 6 32 45 启动 32 46 防火墙策略 保证带宽 147 拒绝 146 接受 146 流通日志 1...

Page 279: ...查看 231 过滤 232 排序 232 过滤器 RIP 127 过滤日志消息 252 过滤通讯 253 管理员帐号 admin 133 编辑 133 134 改变密码 134 权限 135 受信主机 134 135 添加 133 134 子网掩码 134 135 更新 252 病毒定义 97 攻击定义 97 H 高可用性 57 HA 57 安装和配置 FortiGate 设备 59 63 返回独立模式 70 FortiGate 失效后的替换 70 管理 HA 簇 66 介绍 5 NAT 路由模式 59 配置 4 HA 接口 63 配置 4 HA 接口 59 配置 HA 簇 60 64 配置 HA 接口 59 63 透明模式 63 网络连接 61 65 恢复系统设置 86 会话 清除 91 恢复 到旧版本的固件 78 互联网 阻塞对互联网站点的访问 237 246 阻塞对 URL 的访问 ...

Page 280: ...HA 模式 63 记录日志 249 查看日志 257 更新日志 252 记录到 WebTrends 250 将日志记录到内存 251 配置通讯设置 254 删除日志文件 259 删除所有消息 258 搜索日志 256 257 下载日志文件 258 在 FortiGate 硬盘上记录日志 250 记录日志到本地 记录日志 251 记录日志 记录到本地 251 加密 策略 146 加密策略 向内 NAT 146 向外 NAT 146 允许向内 146 允许向外 146 将日志记录到内存 设置 251 监视器 系统状态 88 89 90 91 接受团体 SNMP 136 技术支持 13 静态路由 添加 119 静态 NAT 虚拟 IP 160 记录日志 记录到远程主机 250 解析 IP 通讯过滤 254 将系统设置恢复到出厂状态 87 基于 Web 的管理程序 6 超时 132 更改选项 13...

Page 281: ...认网关 配置 透明模式 47 模式 透明 3 MTU 大小 113 定义 262 提高网络性能 113 修改 113 N NAT 策略选项 146 介绍 3 推送更新 98 NAT 路由模式 从 CLI 配置 33 HA 59 介绍 3 NAT 模式 IP 地址 33 添加策略 144 内部地址 举例 151 内部地址组 举例 153 内部网络 配置 35 NIDS 4 217 查看攻击列表 219 攻击预防 221 检测 217 减少报警邮件 225 减少攻击日志消息 225 禁用 217 选择要监视的接口 217 预防 221 用户定义的特征 221 内容过滤 235 245 内容配置文件 默认 168 内容阻塞 排除 URL 243 网页 236 245 NTP 36 48 154 262 NTP 服务器 131 设置系统日期和时间 131 P PAT 161 PING 管理访问 1...

Page 282: ... 不记录日志 251 查看 257 过滤日志消息 252 记录 249 通讯会话 253 维护 257 选择记录的内容 252 在 NetIQ WebTrends 服务器上记录 250 阻塞流通 251 认证 171 策略选项 147 超时 132 LDAP 服务器 175 配置 172 启用 176 RADIUS 服务器 173 日志设置 过滤日志条目 252 通讯过滤 254 日志文件 下载 258 日志硬盘 状态 86 S 删除日志文件 259 手工密钥 介绍 180 接受 策略 146 升级 从 CLI 升级固件 75 固件 74 固件使用 CLI 76 使用基于 WEB 的管理程序升级固件 74 新版本的固件 74 升级固件 使用基于 Web 的管理程序 76 时间 日志搜索 257 258 设置 131 事件日志 查看 256 扫描 防病毒 228 SMTP 155 定义 26...

Page 283: ...246 阻塞对 URL 的访问 237 246 URL 排除列表 243 参阅 URL 排除列表 243 添加 URL 243 URL 阻塞 URL 排除列表 243 URL 阻塞列表 清除 238 上载 239 添加 URL 237 246 下载 239 URL 阻塞信息 236 V VLAN 配置 115 网络配置 115 VLAN 网络 典型配置 116 VPN 介绍 4 L2TP 配置 210 PPTP 配置 204 配置 L2TP 209 配置 L2TP 网关 210 配置 PPTP 网关 204 通道 146 查看拨号连接状态 201 VPN 紧急事件 报警邮件 260 VPN 配置 L2TP 网关 210 VPN 事件 启用警报邮件 260 VPN 通道 查看状态 200 W WebTrends 在 NetIQ WebTrends 服务器上记录日志 250 维护 日志 257...

Page 284: ...SNMP 135 系统状态 73 123 系统状态监视器 88 89 90 91 向外 NAT 加密策略 146 协议 服务 153 系统状态 92 下一个路由器 112 下载 病毒定义更新 108 攻击定义更新 108 下载日志文件 258 Y 源 日志搜索 258 一次性任务计划 创建 157 源端口 系统状态 92 预定义的服务 153 源地址 策略选项 145 系统状态 92 预防 NIDS 221 用户定义的服务 155 用户定义的特征 NIDS 221 用户定义接口 配置 36 用户名和密码 添加 173 添加用户名 172 用户认证 171 用户组 配置 176 删除 177 一次性任务计划 158 邮件警报 测试 260 与 NTP 服务器同步 131 硬盘 记录日志 250 状态 86 硬盘满 报警邮件 260 运行环境 17 允许流通 IP MAC 绑定 165 166...

Page 285: ...管理员帐号 133 阻塞 网页 236 245 在内存中记录日志 查看保存的日志 256 在 NetIQ WebTrends 服务器上记录日志 250 周期性任务计划 159 创建 158 证书 介绍 180 注释 策略 148 防火墙策略 148 阻塞 对互联网站点的访问 237 246 对 URL 的访问 237 246 过大的文件和电子邮件 233 添加文件名样板 230 文件 229 阻塞流通 IP MAC 绑定 165 166 记录日志选项 251 状态 查看拨号连接状态 201 查看 VPN 通道状态 200 IPSec VPN 通道 200 静态 IP MAC 列表 164 子网地址 定义 262 子网掩码 管理员帐号 134 135 ...

Page 286: ...272 美国飞塔有限公司 索引 ...

Reviews:

No comments

Brands by name

Popular brands

Load more brands