NAT/ 路由 模式安装 使用前面板控制按钮和 LCD 上显示的主菜单开始,用前面板 控制按钮和 LCD: 按回车键三次来配置内部接口 的 IP 地址。 设置内部接口 的 IP 地址。 使用上箭头和下箭头增加或减少 IP 地址中每位的值。按回车到下一位。按退出 ( Esc) 回到前一位。 注意:当输入 IP 地址时 , 每部分地址将成 三位数字显示在 LCD 上。例如,IP 地址 192.168.100.1 在 LCD 上显为 192.168.100.001。 IP 地址 192.168.23.45 显为 192.168.023.045。...
Page 48
将 FortiGate 连接到网络中 将外部网络接口的 IP 地址和网络掩码设置为您在 址和网络掩码。输入: set system interface external mode static ip <IP_ 地址 > < 网络掩码 > 例如 set system interface external mode static ip 204.23.1.5 255.255.255.0 将网络接口 1、2、3 或 4/HA 的 IP 的 IP 地址和网络掩码。 set system interface < 网络接口名称 _ 字符串 > mode static ip <IP 地址 >...
Page 61
透明模式安装 按回车并设置内部子网掩码。 在输入完最后一位子网掩码地址后按回车。 按 退出 (Esc)返回主菜单。 如需要,重复如上步骤来设置缺省网关。 使用命令行接口 接到 CLI 接口,请参阅 页 表 14 切换到透明模式 如果您还没有登录,首先登录到 CLI。 切换到透明模式。输入: set system opmode transparent 几秒种后,会出现登录提示。 输入 admin 然后回车。 将出现以下提示: Type ? for a list of commands. 确认 FortiGate 已经切换到了透明模式。输入: get system status CLI 显示...
高可用性 启动 HA 簇 用以下操作启动 HA 簇。 为簇中的所有 HA 设备加电。 在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商过程是自动进 行的,无须用户干预。 当协商完成后,这个簇已经准备好处理网络通讯了,您可以使用 HA 组” 透明模式下的 HA ·安装和配置 FortiGate 设备 ·配置 HA 接口和 IP 地址 ·配置 HA 簇 ·将 HA 簇连接到您的网络中 ·启动 HA 簇 安装和配置 FortiGate 设备 组中的所有 FortiGates 应具有相同的配置。在完成 FortiGate 设备接入网络。...
透明模式下的 HA SNMP TELNET 根据需要修改 IP 地址和子网掩码。 可以选择配置其他接口的管理访问方式。 单击应用。 配置 HA 簇 注意:以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备。 您还可以使用 连接到 FortiGate 设备并登录进基于 Web 的管理程序。 进入 系统 > 配置 > HA。 单击 HA。 只有在 4/HA 接口已经配置为 HA 操作模式之后您才能选择 HA。见 置 HA 接口和 IP 地址” 选择...
Page 79
高可用性 加权循环 随机 IP 端口 在 端口监视器 的选项中,选择要监视的的 FortiGate 网络端口。 监视 FortiGate 接口可以确认它们是否已经连接到他们的网络上并且工作正常。如果 一个被监视的接口失效或者从它的网络断开,FortiGate 设备将停止处理通讯并从这个 HA 簇中删除。如果您重建通过这个接口的通讯流 (例如,如果您重新连接了一个断开 的线缆) ,FortiGate 设备将重新加入 HA 簇。您只能监视连接到网络的接口。 单击应用。 FortiGate 设备相互协商以建立一个 HA 簇。当您选择了应用之后,在 HA 簇协商期间您 可能会暂时丢失到 FortiGate 设备的连接。 图 15: 对 HA 簇中的每个 FortiGate 设备重复以上操作。 连接到您的网络中”...
Page 80
管理 HA 组 需要将一台管理员电脑连接到这个交换机或集线器上。 备连接和下面的操作步骤都完全相同。 将每一台 FortiGate 的内部网络接口都连接到一个与您的内部网络相连的交换机或者 集线器上。 将每一台 FortiGate 的外部网络接口都连接到一个与您外部网络相连的交换机或者集 线器上。 可以选择将 FortiGate 的接口 1、2、3 连接到其它网络的交换机或者集线器上。 把 FortiGates 的 4/HA 接口连接到一台单独的交换机或者集线器上。 启动 HA 簇 用以下操作启动 HA 簇。 为簇中的所有 HA 设备加电。 在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商过程是自动进 行的,无须用户干预。 当协商完成后,这个簇已经准备好处理网络通讯了,您可以使用 HA 组” 管理 HA 组 组独立的...
系统状态 可以从 5 秒到 30 秒。您还可以手工刷新显示的内容。 ·查看 CPU 和内存状态 ·查看会话和网络状态 ·查看病毒和入侵状态 查看 CPU 和内存状态 的管理程序只显示核心进程对 CPU 和内存的使用率。 被管理进程所使用的 CPU 和内存 (例如,用于到基于 Web 的管理程序的 HTTPS 的连接)没有被统计进去。 更多的网络通讯。如果 CPU 和内存使用率很高,FortiGate 设备已经接近于满负荷工 作。此时再增加更多的任务可能会导致系统对通讯的处理出现延迟。 包含了小数据包的网络通讯的高级处理将增加 CPU 和内存的使用率。 进入 系统 > 状态 > 监视器。 将显示 CPU 和内存的状态。显示的内容包括图形显示的当前 CPU 和内存的使用率、过 去数分钟内的...
Page 126
配置网络接口 单击确定以保存您所做的修改。 须使用新的 IP 地址重新连接到基于 Web 的管理程序。 为接口添加第二个 IP 地址 和主 IP 地址相同,但是它们可以在同一子网内。 set system interface internal config secip < 第二 ip> < 网络掩码 > set system interface < 接口 _ 字符串 > config secallowaccess ping https ssh snmp http telnet set system interface <...
虚拟 IP 虚拟 IP 一个较不安全的网络连接到一个较安全的网络中的某个地址上,您必须创建一个从较 不安全的网络中的地址到较安全的网络中的地址的映射。这个映射称为虚拟 IP。 10.10.10.3 的私有 IP。为了让互联网内的数据包能够达到网页服务器,您必须为网页 服务器提供一个互联网上的外部地址。然后需要添加一个虚拟 IP 地址把 Web 服务器的 外部地址映射到位于 DMZ 网络中的 Web 服务器的真实地址上。为了允许从互联网到网 页服务器的连接,必须添加一个外部 ->DMZ 的防火墙策略并把目的地址设置为这个虚 拟 IP。 静态 NAT 端口转发 ·添加静态 NAT 虚拟 IP ·添加端口转发虚拟 IP ·添加使用虚拟 IP 的策略 添加静态 NAT 虚拟 IP 进入...
Page 175
防火墙配置 注意:防火墙把从主机向外发出的数据包的源地址从被映射的 IP 地址转换为外部的虚拟 IP 地 址,而不是防火墙的地址。 单击 确定 以保存虚拟 IP 地址。 图 12: 添加端口转发虚拟 IP 进入 防火墙 > 虚拟 IP。 单击 新建 以添加新的虚拟 IP。 输入虚拟 IP 的 名称 。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 选择虚拟 IP 外部接口。 外部接口是接收转发到目的网络的数据包的源网络的接口。 您可以选择一个防火墙接口或者一个...
Page 176
虚拟 IP 在 映射 IP 地址 一栏中,需要输入在目的网络上的 真实 IP 地址 。 例如,真实 IP 地址可以是位于您的内部网络中的 Web 服务器的地址。 把 映射到端口 设置为转发数据包时要给它们添加的端口号。 如果您不希望转换端口,可以输入和外部服务端口相同的端口号。 如果您希望转换端口,输入要转换到的目的端口的端口号,当数据包被防火墙转发时, 它们的目的端口将被按照这个号码被修改。 选择被转发的端口所要使用的 协议。 单击 确定 以保存端口转发虚拟 IP。 图 13: 添加使用虚拟 IP 的策略 进入 防火墙 > 策略。 选择要添加的策略的 类型 : ·源接口必须匹配于外部接口列表中选中的接口。...
防火墙配置 动作 认证 记录流通日志 病毒防护与 Web 过滤器 单击 确定 以保存这个策略。 IP 池 果您为一个接口添加了 IP 池,当配置一个其目的地址设为此接口的策略时可以选择动 态 IP 池。如果您希望添加一个 NAT 模式的策略,以将源地址转换为从 IP 池中随机选 择的地址,而不仅仅是使用目的接口的地址,您也可以添加一个 IP 池。 FortiGate 网络接口是 192.168.1.99,那么一个有效的 IP 池可以是从 192.168.1.10 到 192.168.1.20 的 IP 地址。这个 IP 池可以为防火墙提供 11 个可选的 IP 地址,供防 火墙在转换源地址时候使用。...
IP/MAC 绑定 图 14: 使用固定端口的防火墙策略的 IP 池 正常工作。NAT 通过转换源端口来跟踪特定服务的连接。您可以为 NAT 策略选择固定的 端口以防止源端口转换。然而,选择固定端口意味着这个服务只有一个连接可以通过 防火墙。为了支持多个连接,您可以为目的接口添加一个 IP 池,然后在这个策略中选 择动态 IP 池。防火墙将从 IP 池中随机选择 IP 地址并将它们分配给每个连接。在这种 情况下防火墙能够支持的连接的数量仅仅受这个 IP 池中 IP 地址数量的限制。 IP 池和动态 NAT 的 IP 地址,但是您可能只有一个到互联网的连接:您的 FortiGate 设备的外部接口。 地址。如果您的 FortiGate 设备运行在 NAT/ 路由模式,所有从您的网络到互联网的连 接看起来都来自于这个地址。...