Related Manuals for Fortinet FortiGate 300
Summary of Contents for Fortinet FortiGate 300
- Page 1 Installation and FortiGate 300 FortiGate 300 安装和配置指南 Configuration Guide Enter FortiGate 用户手册 第一卷 2.50 版 2003 年 7 月 21 日...
- Page 2 Copyright 2003 美国飞塔有限公司版权所有。 © 本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司的 许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传 本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。 注意:如果更换的电池型号错误,有可能会导致爆炸。请根据使用说明中的 请访问 http://www.fortinet.com 以获取技术支持。 请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送 播或发布。 FortiGate-300 安装和配置指南 2.50 版 2003 年 7 月 21 日 注册商标 服从规范 FCC Class A Part 15 CSA/CUS 规定处理用过的电池。 到 techdoc@fortinet.com。...
-
Page 3: Table Of Contents
防病毒 ... 8 网页过滤 ... 8 电子邮件过滤 ... 8 日志和报告 ... 9 关于本手册 ... 10 文档中的约定 ... 10 Fortinet 的文档 ... 11 Fortinet 技术文档的注释 ... 12 客户服务和技术支持 ... 13 开始 ... 15 包装中的物品 ... 16 安置 ... 16 启动 ... 17 连接到基于... - Page 4 目录 FortiGate 出厂默认设置 ... 20 出厂默认的 NAT/ 路由模式的网络配置 ... 20 出厂默认的透明模式的网络设置 ... 21 出厂时默认的防火墙配置 ... 21 出厂时默认的内容配置文件 ... 22 严谨型内容配置文件 ... 22 扫描型内容配置文件 ... 23 网页型内容配置文件 ... 23 非过滤型内容配置文件 ... 24 规划您的 FortiGate 设备的配置 ... 24 NAT/ 路由模式 ... 25 具有多个外部网络连接的...
- Page 5 使用安装向导 ... 43 切换到透明模式 ... 44 启动安装向导 ... 44 重连接到 基于 Web 的管理程序 ... 44 使用前面板控制按钮和 LCD ... 44 使用命令行接口 ... 45 切换到透明模式 ... 45 配置透明模式的管理 IP 地址 ... 45 配置透明模式的默认网关 ... 45 完成配置 ... 46 设置日期和时间 ... 46 启用防病毒保护 ... 46 注册...
- Page 6 目录 管理 HA 组 ... 64 查看 HA 簇成员状态 ... 65 监视簇成员 ... 65 监视簇会话 ... 66 查看和管理簇日志消息 ... 66 单独管理簇中的设备 ... 67 同步簇配置 ... 68 返回到独立模式配置 ... 68 在失效恢复后替换 FortiGate ... 68 高级 HA 选项 ... 69 从 FortiGate 设备中选择一个主设备 ... 69 配置加权轮询的权重...
- Page 7 注册 FortiGate 设备 ... 100 FortiCare 服务合同 ... 101 注册 FortiGate 设备 ... 101 更新注册信息 ... 103 找回丢失的 Fortinet 支持密码 ... 103 查看注册的 FortiGate 设备列表 ... 103 注册一个新的 FortiGate 设备 ... 104 添加或修改 FortiCare 支持合同号 ... 104 修改您的 Fortinet 支持密码 ... 105 修改您的联系信息或安全提示问题...
- Page 8 目录 配置路由 ... 113 添加默认路由 ... 113 向路由表添加基于目的的路由 ... 114 添加路由 (透明模式)... 115 配置路由表 ... 115 策略路由 ... 115 在您的内部网络中提供 DHCP 服务 ... 116 RIP 配置 ... 119 RIP 设置 ... 120 为 FortiGate 接口配置 RIP ... 121 添加 RIP 邻居 ... 123 添加...
- Page 9 配置策略列表 ... 143 策略匹配的细节 ... 144 更改策略列表中策略的顺序 ... 144 启用和禁用策略 ... 144 地址 ... 145 添加地址 ... 145 编辑地址 ... 146 删除地址 ... 147 将地址编入地址组 ... 147 服务 ... 148 预定义的服务 ... 148 访问定制服务 ... 150 服务分组 ... 151 任务计划 ... 152 创建一个一次性任务计划...
- Page 10 目录 配置 LDAP 支持 ... 170 添加 LDAP 服务器 ... 171 删除 LDAP 服务器 ... 171 配置用户组 ... 172 添加用户组 ... 172 删除用户组 ... 173 IPSec VPN ... 175 密钥管理 ... 175 手工密钥 ... 176 使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE) ... 176 手工密钥...
- Page 11 L2TP VPN 配置 ... 205 把 FortiGate 配置为 L2TP 网关 ... 206 配置 Windows2000 客户的 L2TP ... 208 配置 WindowsXP 客户的 L2TP ... 209 网络入侵检测系统 (NIDS) ... 213 检测攻击 ... 213 选择要监视的网络接口 ... 213 禁用 NIDS ... 213 验证校验和的配置 ... 215 查看攻击特征列表...
- Page 12 目录 网页内容过滤 ... 231 一般配置步骤 ... 231 内容阻塞 ... 232 在禁忌词汇列表中添加单词或短语 ... 232 阻塞对 URL 的访问 ... 233 使用 FortiGate 网页过滤器 ... 233 使用 Cerberian 网页过滤器 ... 235 脚本过滤 ... 238 启用脚本过滤 ... 238 选择脚本过滤选项 ... 238 URL 排除列表 ... 239 在...
- Page 13 配置报警邮件 ... 255 添加报警邮件地址 ... 255 测试报警邮件 ... 256 启用报警邮件 ... 256 术语表 ... 257 索引 ... 259 FortiGate-300 安装和配置指南 目录 xiii...
- Page 14 目录 美国飞塔有限公司...
-
Page 15: 防病毒保护
简介 内容扫描过滤。FortiGate 防病毒防火墙增强了网络的安全性,避免了网络资源的误用 和滥用,可以帮助您更好地使用通讯资源而不会降低网络的性能。FortiGate 防病毒防 火墙获得了 ICSA 防火墙认证,IP 安全认证和防病毒服务认证。 包括: ·应用层服务,例如病毒防护和内容过滤, ·网络曾服务,例如防火墙、入侵检测、VPN,以及流量控制等。 (ABACAS 独有的,基于 ASIC 上的网络安全构架能实时进行网络内容和状态分析,并及时启动在 网络边界布署的防护关键应用程序,对您的网络进行最有效的安全保护。FortiGate 系列对现有的一些解决方案,如以主机为基础的防病毒保护进行补充,并在大力降低 设备,管理和维修成本的同时,为您提供一些新的应用和服务。 可靠性上满足了企业级应用的需要。拥有 高可用性包括无会话 (Session) 损失的失 效自动恢功能,FortiGate-300 是您企业 中运行重大关键性任务所需的最佳选择。 防病毒保护 文件传输 (FTP)和 EMAIL(SMTP, POP3, 和 IMAP ) 内容中被病毒感染的文件删除。当 FortiGate 从内容流中检测出病毒时,自动病毒防护功能可以删除那些感染了病毒的文 件,用一条病毒感染信息替换掉原来的文件,然后转发到内容流的接收方。Web 和电子 邮件内容可以是存在于常规网络通讯中的或者是被封装在 IPSec VPN 通讯流中的。 的特定类型的文件。使用这一功能可以阻塞可能含有新型病毒的文件。... -
Page 16: Web 内容过滤
Web 内容过滤 ·100% 检测到 The Wild List(www.wildlist.org) 中列举的所有病毒。 ·检测 PKZip 格式压缩文件中的病毒。 ·检测以 UUENCODE 格式编码的 EMAIL 中的病毒。 ·检测以 MIME 格式编码的 EMAIL 中的病毒。 ·在扫描同时对所有动作进行日志记录。 Web 内容过滤 议数据流。如果在 URL 阻塞列表中找到与 URL 匹配的条目 , 或在网页中发现了内容阻 塞列表中的词或短语, FortiGate 将阻塞此页。被阻塞的网页会被一条内容阻塞消息 所替代,您可以使用基于 Web 的管理程序编缉这个消息。 可拒绝某个站点中的部分而不是阻塞整个网站。 URL 封锁及内容封锁列表中的设置。 如... -
Page 17: Nat/ 路由模式
根据设置发送报警 EMAIL。 FortiGate 自动查询和下载更新的 IDS 数据库。 FortiGate-300 安装和配置指南 您可以使用以下选项灵活地配置 FortiGate 安全策略 : FortiGate 防火墙支持网络地址转换 / 路由模式或透明模式。 在 NAT/ 路由模式下 , 您可创建 NAT 模式和路由模式策略。 透明模式提供了与 NAT 模式相同的基本防火墙保护。从 FortiGate 中接收到的数据 FortiGate 网络入侵侦测系统 (NIDS) 是一种实时网络入侵探测器,它能对外界各 NIDS 可以防止探测、大部分常见的拒绝服务攻击和基于数据包的攻击。您可以启 为通知系统管理员有攻击,NIDS 将此攻击及一切可疑流通记录到攻击日志中,并 Fortinet 可定期更新攻击数据库。您可下载并手动安装攻击数据库。也可设置 网络入侵检测系统 (NIDS)... -
Page 18: 虚拟专用网络 (Vpn
·Diffie-Hellman 组 1、2、和 5, ·积极模式和主模式, ·重放检测, ·向前保密, ·XAuth 认证 , ·失效对等检测, IPSec VPN 通道。 个通道。 高可用性 (HA) 提供两个或多个 FortiGate 之间的 失效恢复机制。Fortinet 通过 A-P 模式和 A-A 模式的 HA 均使用类似的高可用性冗余硬件配置。高可用性软件保 安装过程即快捷又简单。 初次启动 FortiGates 时,它已经配置为使用默认的 IP 您也可使用 FortiGate 面板上的控制按钮和 LCD 对其进行基本配置。 简介 美国飞塔有限公司... -
Page 19: 基于 Web 的管理程序
简介 基于 Web 的管理程序 管理程序,即可对 FortiGates 设备进行配置和管理。基于 Web 的管理程序支持多种语 言。您可以从任何 FortiGate 接口将 FortiGate 设备配置为使用 HTTP 或 HTTPs 进行管 理维护。 Web 的管理程序监视 FortiGate 设备的状态。使用 基于 Web 的管理程序对配置所做的 修改会立即生效,而无须重新启动防火墙或中断服务。您可以将已经完成的配置下载 并保存。您所保存的设置可以在任何时间恢复到系统中。 图 1: 命令行接口 (CLI) 口上,从而访问 FortiGate 命令行控制界面 (CLI) 。或者也可以使用 Telnet 或者安 全的 SSH 连接方式从任何与 FortiGate 连接的网络,包括互联网,中访问 CLI 界面。 进行一些高级配置工作,这是... -
Page 20: 日志和报告
·向系统管理员发送报警 EMAIL 以报告病毒事件、入侵及防火墙或 VPN 事件及异常违法 WebTrends NetIQ 安全报告中心和防火墙服务器上。某些型号的防火墙可将日志存储在 可选择的内置硬盘上。如果没有安装硬盘,您可配置 FortiGate 日志和报告,把最近 的事件记录到共享系统内存中去。 2.50 版本的新特点 系统管理 ·改善了 FortiGate 系统健康状态监视图象功能,包括 CPU 及内存的使用率,会话数 ·修订了防病毒和攻击定义更新功能,使其连接到新版本的 Fortinet 响应发布网络。 ·可以从基于 Web 的管理程序直接连接到 Fortinet 技术支持网页的页面。您可以注册 网络配置 ·新的网络接口配置选项,详情请见 路由 ·简单的基于方向的路由配置。 ·高级策略路由配置 (仅限于 CLI) 。 DHCP 服务器 ·在 DHCP 配置中添加了 WINS 服务器。... -
Page 21: 防火墙 Firewall
简介 路由信息协议 (RIP) ·新的 RIP v1 和 v2 功能。详情请见 简单网络管理协议 (SNMP) ·支持 SNMP v1 和 v2。 ·支持 RFC 1213 和 RFC 2665。 ·监视全部的 FortiGate 配置和功能。 ·详情请见 ·主动 - 主动模式的 HA 使用了交换机,并且具有选择时间表的能力 ·透明模式的 HA ·HA 簇的 A/V 更新 ·HA 功能的配置同步 替换信息 ·当检测到病毒时,... -
Page 22: Vpn
2.50 版本的新特点 ·第一阶段 ·第二阶段 ·加密策略选择服务 ·生成和导入本地证书 ·导入 CA 证书 NIDS 括: ·攻击检测特征分组 ·用户定义的攻击预防方式 ·在多个接口监视攻击 ·用户定义的攻击检测特征 防病毒 括: ·内容配置文件 ·隔离含有病毒的文件或被阻塞的文件 ·阻塞大小超过限制的文件 网页过滤 性包括: ·Cerberian URL 过滤 电子邮件过滤 关于 FortiGateVPN 功能的详细说明请见 ·AES 加密 ·证书 ·高级选项,包括拨号组、对等、Peer, XAUTH, NAT 跨越,DPD ·AES 加密 关于 FortiGate NIDS 功能的完整说明,请见 关于... -
Page 23: 日志和报告
简介 日志和报告 ·使用 CSV 格式将日志记录到远程主机 ·日志消息级别:紧急、警报、危急、错误、警告、注意、信息 ·日志级别策略 ·通讯日志过滤 ·新病毒、网页过滤和电子邮件过滤日志 ·支持认证的报警邮件 ·抑制邮件泛滥 ·扩展的 WebTrends 活动图表支持 FortiGate-300 安装和配置指南 关于 FortiGate 日志记录的详细说明请见 2.50 版本的新特点 FortiGate 日志和消息参考指南。... -
Page 24: 关于本手册
关于本手册 关于本手册 ·开始 ·NAT/ 路由 模式安装 ·透明模式安装 ·高可用性 ·系统状态 ·病毒和攻击定义升级及注册 ·网络配置 ·RIP 配置 ·系统配置 ·防火墙配置 ·用户与认证 ·IPSec VPN · PPTP 和 L2TP VPN ·网络入侵检测系统 (NIDS) ·防病毒保护 ·网页内容过滤 ·电子邮件过滤描述了如何配置电子邮件过滤以阻止不受欢迎的电子邮件内容。 ·日志和报告 ·术语表 文档中的约定 ·尖括号 <> 所围的内容为可替换的关键词 安装和配置向导描述了如何安装和配置 FortiGate-300。本手册包含以下内容: 描述了拆包,安置,和启动 FortiGate。 描述了如果您希望 FortiGate 运行于 NAT/ 路由模式,应当如何 安装。... -
Page 25: Fortinet 的文档
从 FortiGate 用户手册的以下各卷中可以找到关于 FortiGate 产品的对应信息: 描述了 FortiGate 设备的安装和基本配置方法。还描述了如何使用 FortiGate 的防 火墙策略去控制通过 FortiGate 设备的网络通讯,以及如何使用防火墙策略在通过 FortiGate 设备的网络通讯中对 HTTP、FTP 和电子邮件等内容应用防病毒保护、网 页内容过滤和电子邮件过滤。 包含了在 FortiGate IPSec VPN 中使用认证、预置密钥和手工密钥加密的更加详细 的信息。还包括了 Fortinet 远程 VPN 客户端配置的基本信息,FortiGate PPTP 和 L2TP VPN 配置的详细信息,以及 VPN 配置的例子。 描述了如何配置防病毒保护,网页内容过滤和电子邮件过滤,以保护通过 FortiGate 的内容。 描述了如何配置 FortiGate NIDS,以检测来自网络的攻击,并保护 FortiGate 不受 其威胁。... -
Page 26: Fortinet 技术文档的注释
Fortinet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您将有 关信息发送到 techdoc@fortinet.com。 美国飞塔有限公司... -
Page 27: 客户服务和技术支持
在任何时间登陆到该网站更改您的注册信息。 amer_support@fortinet.com apac_support@fortinet.com eu_support@fortinet.com ·您的姓名 ·公司名称 ·位置 ·电子邮件地址 ·电话号码 ·FortiGate 设备生产序列号 ·FortiGate 型号 ·FortiGate FortiOS 固件版本 ·您所遇到的问题的详细说明 FortiGate-300 安装和配置指南 请访问我们的技术支持网站,以获取防病毒保护和网络攻击定义更新、固件更新、 您也可以到 http://support.fortinet.com 注册您的 FortiGate 防病毒防火墙或 以下电子邮件信箱用于 Fortinet 电子邮件支持: 为美国、加拿大、墨西哥、拉丁美洲和南美地区的客户提供服 务。 为日本、韩国、中国、中国香港、新加坡、马来西亚、以及其 他所有亚洲国家和澳大利亚地区的客户提供服务。 为英国、斯堪的纳维亚半岛、欧洲大陆、非洲和中东地区的客 户提供服务。 关于 Fortinet 电话支持的信息,请访问 http://support.fortinet.com。 当您需要我们的技术支持的时候,请您提供以下信息: 客户服务和技术支持... - Page 28 客户服务和技术支持 简介 美国飞塔有限公司...
- Page 29 开始 成此章内容,您可按如下章节进行配置 : ·如果要在 NAT/ 路由 模式下运行 FortiGate, 请参阅 ·如果要在 透明 模式下运行 FortiGate,请参阅 ·如果要在 HA 模式下运行两个或多个 FortiGate, 请参阅 ·包装中的物品 ·安置 ·启动 ·连接到基于 Web 的管理程序 ·连接到命令行接口 (CLI) ·FortiGate 出厂默认设置 ·规划您的 FortiGate 设备的配置 ·FortiGate 系列产品参数最大值列表 ·下一步 FortiGate-300 安装和配置指南 FortiGate-300 安装和配置指南 2.50 版 本章描述了有关拆包、安装及如何启动...
-
Page 30: 包装中的物品
包装中的物品 包装中的物品 ·FortiGate-300 防病毒防火墙 ·一根黄色交叉连接以太网电缆 ·一根灰色普通以太网电缆 ·一根串行通信电缆 ·FortiGate-300 快速入门手册 ·一根电源线 ·包含了用户手册内容的光盘 ·两个 19 英寸机架安装支架 图 2: 安置 留有 1.5 英寸 (3.75 厘米 ) 的空间以保证空气流通和风冷。 尺寸 ·16.75 x 11 x 1.75 英寸 42.7 x 27.8 x 4.5 厘米 FortiGate-300 包装中含有以下物品: FortiGate-300 包装中的物品 FortiGate-300 可安置在... - Page 31 开始 重量 ·7.3 磅 (3.3 公斤 ) 电源要求 ·功率需求:100 W ( 最大 ) ·交流输入电压: 100 至 250 VAC ·交流输入电流:1.5 A ·频率:47 至 63 Hz 运行环境 ·工作温度: 32 至 104 华氏度 (0 至 40 摄氏度 ) ·保存温度: -13 至 158 华氏度 (-25 至 70 摄氏度 ) ·湿度:...
-
Page 32: 连接到基于 Web 的管理程序
255.255.255.0。 用交叉电缆或以太网集线器及电缆 , 控制电脑与 FortiGate 设备的内部接口相连。 启动 Internet 浏览器并访问 https://192.168.1.99。 ( 需要输入 https://) 将显示 FortiGate 登录界面。 在登录页面的姓名域中输入 admin 后按登录按钮。 “现在注册” 页面将显示。根据此页所给信息来注册 FortiGate。这样,以便 Fortinet 在需要固件升级时与您联系。同时,也为了您可及时收到更新的防病毒和入 侵侦测数据库。 图 3: 当初始启动 FortiGate 时,可按如下步骤连接到基于 Web 的管理程序。在基于 Web 欲连接到基于 Web 的管理程序,您需要 : FortiGate 登录 开始... -
Page 33: 连接到命令行接口 (Cli)
开始 连接到命令行接口 (CLI) 的配置修改,无需重启动防火墙或中断服务即可生效。 ·一台拥有可用的通信端口的电脑, ·一个 FortiGate 套装包中带有的零调制解调器连接线, ·终端端模拟软件,如 Windows 中的超级终端程序 (HyperTerminal) 。 注意:以下步骤描述了如何用 Windows HyperTerminal 软件与 CLI 连接。您可以使用任何一种终 端模拟软件。 用串行通讯线将电脑的通信端口和 FortiGate 控制台端口相连。 确认 FortiGate 的电源已打开。 运行超级终端,为连接输入一个名称,然后单击 “确定” 。 将超级终端的连接方式配置为直接连接到计算机的串行通讯接口,这个接口即串行通 讯线所连接的接口,单击 “确定” 。 选择以下端口设置并单击确定。 每秒比特数 数据位 奇偶校验 停止位 流控制 按回车键,连接到 CLI。 将出现以下提示:... -
Page 34: Fortigate 出厂默认设置
FortiGate 出厂默认设置 FortiGate 出厂默认设置 连接到 FortiGate 并根据您的网络配置 FortiGate 设备。要将 FortiGate 设备配置为 在您的网络中工作,您需要添加管理员密码、修改网络接口的 IP 地址、DNS 服务器地 址、如果需要的话还可以配置路由。 认配置切换到透明模式,并根据您的网络配置透明模式下的 FortiGate 设备。 病毒和攻击定义更新,注册 FortiGate 设备等。 户连接到外部网络,而禁止外部网络中的用户连接到内部网络。您可以添加更多的策 略,从而对通过 FortiGate 设备的通讯进行更多的控制。 保护、网页内容过滤、电子邮件过滤,以控制网络通讯。 ·出厂默认的 NAT/ 路由模式的网络配置 ·出厂默认的透明模式的网络设置 ·出厂时默认的防火墙配置 ·出厂时默认的内容配置文件 出厂默认的 NAT/ 路由模式的网络配置 络配置。这一配置允许您连接到 FortiGate 设备的基于 Web 的管理程序,并根据您网 络连接的要求配置... -
Page 35: 出厂默认的透明模式的网络设置
开始 出厂默认的透明模式的网络设置 表 3: 出厂默认的透明模式网络设置 管理员帐号 管理 IP 管理访问 出厂时默认的防火墙配置 表 4: 出厂默认防火墙设置 内部地址 外部地址 DMZ 地址 循环任务 计划 防火墙策 略 FortiGate-300 安装和配置指南 a. 当您修改外部接口的 IP 地址时,FortiGate 设备将删除默认路由。 如果您将 FortiGate 设备切换到透明模式,它具有表 3 用户名: 密码 网络掩码: 主 DNS 服务器: 辅助 DNS 服务器: Internal External DMZ/HA... -
Page 36: 出厂时默认的内容配置文件
FortiGate 出厂默认设置 表 4: 出厂默认防火墙设置 ( 续 ) 出厂时默认的内容配置文件 方式。您可以使用内容配置文件设置以下项目: ·HTTP, FTP, IMAP, POP3, 和 SMTP 网络通讯的防病毒保护 ·HTTP 网络通讯的网页内容过滤 ·IMAP 和 POP3 网络通讯的电子邮件过滤 ·HTTP, FTP, POP3, SMTP, 和 IMAP 网络通讯的超大型文件和邮件阻塞 ·IMAP, POP3, 和 SMTP 电子邮件通讯的邮件片段传输 防火墙策略上。这就使得您可以对不同的防火墙策略选择不同类型和不同级别的保护。 间的通讯仅需要中等的保护。您可以为不同的通讯服务配置不同的防火墙策略,然后 使用相同或不同的内容配置文件。 严谨型内容配置文件 应用最大限度的防护。通常情况下您不需要使用严谨型内容配置文件,但是如果您受 到病毒的严重威胁,需要最大限度地屏蔽病毒,可以选择严谨型内容配置文件。... -
Page 37: 扫描型内容配置文件
开始 表 5: 严谨型内容配置文件 选项 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 / 邮件阻塞 传输邮件片段 扫描型内容配置文件 防病毒扫描。同时,隔离功能也被启用了,并适用于所有类型的服务。在 FortiGate 设备中装备了一个硬盘,如果防病毒扫描功能发现了在某个文件中有病毒,这个文件 可以被隔离到 FortiGate 的硬盘上。系统管理员可以根据需要决定是否恢复被隔离的 文件。 表 6: 扫描型内容配置文件 选项 防病毒保护 文件阻塞... -
Page 38: 非过滤型内容配置文件
规划您的 FortiGate 设备的配置 表 7: 网页型内容配置文件 选项 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 / 邮件阻塞 传输邮件片段 非过滤型内容配置文件 可以在控制无须保护的通讯类型的防火墙策略上添加这一内容配置文件,例如两个高 度可信或高度安全的网络之间的通讯。 表 8: 非过滤型内容配置文件 选项 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞... -
Page 39: Nat/ 路由模式
开始 NAT/ 路由模式 (默认) ,或者透明模式。 NAT/ 路由模式 接口连接到不同的子网中。在 NAT/ 路由模式下有以下接口可用: ·外部 是默认的连接到外部网络 (通常是互联网)的接口, ·内部 是连接到内部网络的接口, ·DMZ/HA 是连接到 DMZ 网络的接口。 如果您建立了 HA 簇,DMZ/HA 接口也可以连接到 通过 FortiGate-300 的通讯连接。安全策略根据每个数据包的源地址、目的地址和服 务控制数据流。在 NAT 模式下,FortiGate 在将数据包发送到目的网络之前进行网络地 址转换。在路由模式下,不进行转换。 全地从外部网络下载内容。如果您没有配置其他安全策略,其他的数据流都将被阻塞。 络之间的网关。在这种配置中,您可以创建 NAT 模式的策略以控制内部的私有网络和 外部的公共网络 (通常是互联网)之间的数据流通。 添加从 DMZ 网络到内部或外部网络之间的路由模式策略。 图... -
Page 40: 透明模式
规划您的 FortiGate 设备的配置 方式。您需要创建控制从内部的私有网络到外部的公共网络 (通常是互联网)的通讯 的 NAT 模式策略。 图 5: 透明模式 的 FortiGate 设备接口必须在同一子网内。您必须配置一个管理 IP 地址以便修改 FortiGate 的配置。这个管理 IP 地址还将用于获得防病毒保护和攻击定义的更新。 器后面的私有网络中。FortiGate 提供一些基本的防护,例如防病毒和内容扫描,但是 不支持 VPN。 图 6: ·外部 可以连接到外部的防火墙或路由器。 ·内部 可以连接到内部网络。 ·DMZ/HA 可以连接到其他网段。 如果您创建了 HA 簇,DMZ/HA 接口也可以连接到其他 配置选项 始配置 FortiGate 设备。 (CLI) 对... -
Page 41: Fortigate 系列产品参数最大值列表
开始 配置向导 您添加管理员密码,内部网络的接口地址。设置向导还会提醒您为外部网络接口选择 静态 (手工设置)或动态 (DHCP 或 PPPoE)地址。也可以使用设置向导为外部接口添 加 DNS 服务器 IP 地址和默认路由。 计算机分配 IP 地址。以及将 FortiGate 设备配置为允许从互联网访问您的内部网络中 的网页、FTP 或电子邮件服务器。 换到透明模式,设置向导会提醒您添加管理员密码,管理 IP 地址和网关,以及 DNS 服 务器地址。 员密码,内部网络的全部接口地址。您也可以使用 CLI 配置外部网络接口的静态 (手 工设置)或动态 (DHCP 或 PPPoE)地址。使用 CLI,您也可以为外部接口添加 DNS 服 务器 IP 地址和默认路由。 计算机分配... -
Page 42: 下一步
下一步 表 9: FortiGate 参数最大值列表 用户组 组成员 虚拟 IP IP/MAC 绑定 路由 策略路由网关 管理员权限用户 IPsec 第一阶段 VPN 集中器 VLAN 子接口 区域 IP 池 RADIUS 服务器 文件模板 PPTP 用户 L2TP 用户 URL 阻塞 无限制 内容阻塞 无限制 排除的 URL 无限制 下一步 ·如果要在 NAT/ 路由模式下运行 FortiGate, 请参阅 ·如果要在... -
Page 43: Nat/ 路由 模式安装
NAT/ 路由 模式安装 式下安装 FortiGate ,请参阅 下安装两个或多个 FortiGate ,请参阅 ·准备配置 NAT/ 路由模式 ·使用安装向导 ·使用前面板控制按钮和 LCD ·使用命令行界面 ·完成配置 ·将 FortiGate 连接到网络中 ·配置网络 ·完成配置 ·配置举例:到互联网的多重连接 准备配置 NAT/ 路由模式 表 10: NAT/ 路由 模式配置 管理员密码: 内部接口 FortiGate-300 安装和配置指南 FortiGate-300 安装和配置指南 2.50 版 本章说明了如何进行 FortiGate NAT/Route( 路由 ) 模式的安装。如果要在透明模 第... -
Page 44: Nat/ 路由模式高级设置
准备配置 NAT/ 路由模式 表 10: NAT/ 路由 模式配置 ( 续 ) 外部接口 ( 手工设置。您也可 以使用 DHCP 或 PPPoE, 详情请见 30 页 表 11 内部服务器 NAT/ 路由模式高级设置 表 11: NAT/ 路由模式高级设置 外部接口 DHCP 服务器 DMZ 接口 掩码。 表 12: DMZ 接口 (可选) DMZ: 网络掩码... -
Page 45: 使用安装向导
NAT/ 路由 模式安装 使用安装向导 到基于 Web 的管理程序,请参阅 启动安装向导 选择简易安装向导 ( 基于 Web 的管理程序页面右上方中间的按钮 )。 根据 向导的若干页面。 您也可以使用 确保您的输入无误后按完成按钮结束。 注意:如果您使用安装向导来配置内部服务器设置,FortiGate 会向每个配置的服务器分配端口 转送 IPs 和防火墙策略。对位于内部网的每个服务器,FortiGate 添加一个外部 --> 内部策略。 对位于 DMZ 里的每个服务器,FortiGate 则添加一个外部 ->DMZ 策略。 重连接到 基于 Web 的管理程序 Web 的管理程序。浏览 https:// 后跟着 内部接口的新 IP 地址。或者,您也可通过 https://192.168.1.99. -
Page 46: 使用命令行界面
使用命令行界面 在输入完最后一位子网掩码地址后按回车。 按 退出 (Esc)返回主菜单。 如需要,重复如上步骤来设置外部接口,外部缺省网关,以及 DMZ/HA 接口。 使用命令行界面 CLI,请参阅 将 FortiGate 配置为在 NAT/ 路由模式操作 配置 NAT/ 路由模式 IP 地址 如果您还没有登录,首先登录到 CLI。 将内部网络接口的 IP 地址和网络掩码设置为您在 网络掩码。输入: set system interface internal mode static ip <IP_ 地址 > < 网络掩码 > 例如 set system interface internal mode static ip 192.168.1.1 255.255.255.0 将外部网络接口的... -
Page 47: 将 Fortigate 连接到网络中
NAT/ 路由 模式安装 确认地址是正确的。输入: get system interface CLI 列出每个 FortiGate 网络接口的 IP 地址,网络掩码和其它设置信息。 设置主 DNS 服务器的 IP 地址。输入 set system dns primary <IP 地址 > 例如 set system dns primary 293.44.75.21 还可以选择是否输入辅助 DNS 服务器 IP 地址,输入 set system dns secondary <IP 地址 > 例如... -
Page 48: 配置网络
配置网络 图 7: 配置网络 通路由到它们所连接到的 FortiGate 接口的 IP 地址上。对于内部网,需将所有连接到 内部网上的电脑和路由器的缺省网关地址改为 FortiGate 内部接口的 IP 地址。对于 DMZ 网,需将所有连接到 DMZ 网上的电脑和路由器的缺省网关地址改为 FortiGate DMZ 接口的 IP 地址。对于外部网,则路由所有的数据包到 FortiGate 的外部接口上。 否正常。您应该能连接到任何的 Internet 地址。 完成配置 FortiGate-300 NAT/ 路由模式连接 如果在 NAT/ 路由模式下运行 FortiGate, 您需要将网络设置为将所有 Internet 流 如果使用 FortiGate 作为您内部网的 DHCP 服务器,需对内部网的电脑进行配置。 一旦... -
Page 49: 配置 Dmz/Ha 接口
启用防病毒保护 毒: 进入 防火墙 > 策略 > 内部 -> 外部。 单击编辑 单击 防病毒和网络过滤,以启用这个策略的防病毒防火墙功能。 选择扫描型内容配置文件。 单击确定以保存您所做的修改。 注册 FortiGate 设备 注册您的设备,或者使用网页浏览器连接到 http://support.fortinet.com 然后选择 产品注册。 列号。注册过程非常方便快捷。您可以一次就注册多个 FortiGate 设备,而无须重复 输入您的联系方式。 配置防病毒和攻击定义更新 击定义。如果它发现了新的版本,FortiGate 设备会自动下载和安装更新的定义。 口必须能够使用 8890 端口访问更新中心。 FortiGate-300 安装和配置指南 如果您要设置 DMZ 网络,就需要改变 DMZ/HA 接口的 IP 地址。按如下步骤用基于... -
Page 50: 配置举例:到互联网的多重连接
配置举例:到互联网的多重连接 义更新” 配置举例:到互联网的多重连接 和防火墙策略配置的例子。在这种拓扑结构中,该组织使用的 FortiGate 设备分别通 过两个互联网服务供应商连接到互联网。FortiGate 设备使用外部接口和 DMZ/HA 接口 连接到互联网。外部接口连接到 ISP1 提供的网关 1,DMZ/HA 连接到 ISP2 提供的网关 2。 到互联网的连接。在这种路由配置方式下您可以继续创建支持到互联网的多重连接的 防火墙策略。 的例子。要使用本节中的所提供的信息,我们建议您先熟悉一下关于 FortiGate 路由 ( 请见 防火墙配置” ·配置 Ping 服务器 ·基于目的地的路由配置举例 ·策略路由的例子 ·防火墙策略举例 要配置自动防病毒和攻击定义更新,请访问 。 本节描述了 FortiGate 设备使用多重连接到互联网的 在接口上添加了 ping 服务器,并配置了路由之后,您可以控制通讯如何使用每个 本节提供了一些具有到互联网的多重连接的... -
Page 51: 配置 Ping 服务器
NAT/ 路由 模式安装 图 8: 配置 Ping 服务器 口的 Ping 服务器。 进入系统 > 网络 > 接口。 在外部接口上选择修改 ·Ping 服务器 : 1.1.1.1 ·选择启用 Ping 服务器 ·单击确定 在 DMZ/HA 接口上选择修改 ·Ping 服务器 : 2.2.2.1 ·选择启用 Ping 服务器 ·单击确定 FortiGate-300 安装和配置指南 到互联网的多重连接的配置的例子 按照以下步骤将网关 1 设置为外部接口的 Ping 服务器,将网关 2 设置为 DMZ/HA 接 。... -
Page 52: 基于目的地的路由配置举例
配置举例:到互联网的多重连接 使用 CLI 将 ping 服务器添加到外部接口。 set system interface external config detectserver 1.1.1.1 gwdetect enable 将 ping 服务器添加到 DMZ/HA 接口。 set system interface dmz/ha config detectserver 2.2.2.1 gwdetect enable 基于目的地的路由配置举例 ·到互联网的主连接和备份连接 ·负载分配 ·负载分配与主连接、备份连接 到互联网的主连接和备份连接 如果网关 1 失效了,所有连接会被重定向到网关 2。网关 1 是到互联网的主连接,网关 2 是备份连接。... - Page 53 NAT/ 路由 模式安装 表 14: 负载分配路由 目的 IP □ 100.100.100.0 200.200.200.0 关 1。如果这条路由不通,到 100.100.100.0 的网络的通讯将被重定向到 DMZ/HA 接口 上 IP 地址为 2.2.2.1 的网关 2。 负载分配与主连接、备份连接 页 图 8 或者其他互联网资源。然而,他们也可能要访问由他们的 ISP 所提供的其他服务,例 如电子邮件。您可以将上述例子中的路由方法组合起来,为用户提供一个到互联网的 主连接和一个备份连接 , 并根据需要将通讯分配到每个 ISP 的网络上。 这个用户还可以通过 ISP2 的网关 2 去访问他的电子邮件服务器。 使用...
-
Page 54: 策略路由的例子
配置举例:到互联网的多重连接 单击新建以添加到 ISP2 的网络的路由。 ·目的 IP: 0.0.0.0 ·掩码 : 0.0.0.0 ·网关 #1: 1.1.1.1 ·网关 #2: 2.2.2.1 ·设备 #1: dmz/ha ·设备 #2: 外部 ·单击确定。 将路由表中的路由排序,将默认路由移动到路由表的最下方。 ·在默认路由上单击移动 ·在移动栏输入输入数字将这条路由移动到路由表的底部。 ·单击确定。 使用 CLI 添加路由 添加到 ISP1 的网络的路由。 set system route number 1 dst 100.100.100.0 255.255.255.0 gw1 1.1.1.1 dev1 external gw2 2.2.2.1 dev2 dmz/ha 添加到... -
Page 55: 防火墙策略举例
NAT/ 路由 模式安装 策略路由才能正常工作。 ·将通讯从内部子网路由到不同的外部网络 ·路由到外部网络的服务 将通讯从内部子网路由到不同的外部网络 从各个内部子网到互联网的通讯的路由。例如,如果内部网络包含了 192.168.10.0 子 网和 192.168.20.0 子网,您可以输入如下策略路由: 输入以下命令路由从 192.168.10.0 子网到外部网络 100.100.100.0 的通讯: set system route policy 1 src 192.168.10.0 255.255.255.0 dst 100.100.100.0 255.255.255.0 gw 1.1.1.1 输入以下命令路由从 192.168.20.0 子网到外部网络 200.200.200.0 的通讯: set system route policy 2 src 192.168.20.0 255.255.255.0 dst 200.200.200.0 255.255.255.0 gw 2.2.2.1 路由到外部网络的服务... - Page 56 配置举例:到互联网的多重连接 按以下步骤添加冗余的默认策略: 进入 防火墙 > 策略 > 内部 -> 外部。 单击新建。 根据默认策略配置相应的策略。 源 目的 任务计划 服务 动作 单击确定以保存您所做的修改。 添加更多的防火墙策略 得防火墙的配置变得更加复杂。为了将 FortiGate 设备配置为使用到互联网的多重连 接,您必须为从内部网络到每个连接到互联网的接口的连接方式创建双重的策略。而 且,您添加了冗余策略后,还需要在两个策略列表中将他们按照相同的顺序排列。 限制到单一互联网连接的访问 接。例如,在 到 SMTP 服务器可以连接到他们的邮件服务器。为此,您需要为 SMTP 连接添加一个内 部 -> 外部防火墙策略。因为没有添加冗余策略,来自内部网络的 SMTP 通讯总是连接 到 ISP1。如果到 ISP1 的连接失败,SMTP 连接就无法建立。 内部...
-
Page 57: 透明模式安装
透明模式安装 FortiGate ,请参阅 两个或多个 FortiGate ,请参阅 ·准备配置透明模式 ·使用安装向导 ·使用前面板控制按钮和 LCD ·使用命令行接口 ·完成配置 ·将 FortiGate 连接到网络中 ·透明模式配置的例子 准备配置透明模式 表 16: 透明模式设置 管理员密码: 管理用 IP 地址 DNS 设置: 使用安装向导 到基于 Web 的管理程序,请参阅 FortiGate-300 安装和配置指南 FortiGate-300 安装和配置指南 2.50 版 本章说明了如何进行透明模式的安装。如果要在 FortiGate NAT/ 路由模式下安装 第... -
Page 58: 切换到透明模式
使用前面板控制按钮和 LCD 切换到透明模式 式需使用基于 Web 的管理程序 : 进入系统 > 状态。 单击 更改 以切换到透明模式。 在操作模式列表中选择 透明模式 。 单击 确定 。 至此,FortiGate 已切换为透明模式。 10.10.10.2。然后连接到内部接口或 DMZ/HA 接口,用浏览器访问 https:// 后边跟上 透明模式的管理 IP 地址。默认的 FortiGate 透明模式管理 IP 地址是 10.10.10.1。 启动安装向导 选择简易安装向导 ( 基于 Web 的管理程序右上方中间的按钮 )。 根据... -
Page 59: 使用命令行接口
透明模式安装 按回车并设置内部子网掩码。 在输入完最后一位子网掩码地址后按回车。 按 退出 (Esc)返回主菜单。 如需要,重复如上步骤来设置缺省网关。 使用命令行接口 接到 CLI 接口,请参阅 页 表 16 切换到透明模式 如果您还没有登录,首先登录到 CLI。 切换到透明模式。输入: set system opmode transparent 几秒种后,会出现登录提示。 输入 admin 然后回车。 将出现以下提示: Type ? for a list of commands. 确认 FortiGate 已经切换到了透明模式。输入: get system status CLI 显示... -
Page 60: 完成配置
启用防病毒保护 毒: 进入 防火墙 > 策略 > 内部 -> 外部。 单击编辑 单击 防病毒和网络过滤,以启用这个策略的防病毒防火墙功能。 选择扫描型内容配置文件。 单击确定以保存您所做的修改。 注册 FortiGate 设备 注册您的设备,或者使用网页浏览器连接到 http://support.fortinet.com 然后选择 产品注册。 列号。注册过程非常方便快捷。您可以一次就注册多个 FortiGate 设备,而无须重复 输入您的联系方式。 配置防病毒和攻击定义更新 攻击定义。如果它发现了新的版本,FortiGate 设备会自动下载和安装更新的定义。 必须能够使用 8890 端口访问 Forti 响应发布网络 (FDN) 。 定义更新” 将 FortiGate 连接到网络中... - Page 61 透明模式安装 ·内部接口,用于连接到您的内部网络, ·外部接口 , 用于连接到互联网, ·DMZ/HA 接口 , 用于连接到其他网络。 将内部接口连接到您的内部网络的交换机或集线器上, 将外部接口连接到互联网上。 连接到 ISP 服务商提供的公共交换机和路由器上。 将 DMZ/HA 接口连接到其他网络的集线器或交换机上。 图 9: 在相同的子网中,并且对于其他设备来说它相当于一个网桥。FortiGate 透明模式的一 个典型的应用是在一个已有的防火墙配置后面提供防病毒和内容扫描。 部分,但是它可以检验第三层头信息以决定是否阻塞或允许流通。 FortiGate-300 安装和配置指南 FortiGate-300 有三个 10/100 BaseTX 接口: 按以下方式连接运行于透明模式的 FortiGate-300: FortiGate-300 透明模式连接 在透明模式下,FortiGate 不改变网络的第三层拓扑结构。这意味着它的所有接口 透明模式的 FortiGate 也可以提供防火墙功能,尽管它不是第三层拓扑结构中的一 将 FortiGate 连接到网络中...
-
Page 62: 透明模式配置的例子
透明模式配置的例子 透明模式配置的例子 点。至少,FortiGate 必须配置一个 IP 地址和子网掩码。它们可以用来对 FortiGate 进行管理访问,并允许 FortiGate 进行防病毒和攻击定义的更新。另外,FortiGate 必 须有足够的信息达到: ·管理员电脑, ·Forti 响应发布网络 (FDN), ·DNS 服务器。 址。如果所有的目的地址都在外部网络中,您可能只需要输入一个默认路由。然而, 如果网络拓扑比较复杂,您可能需要再输入一个或多个路由。 ·默认路由和静态路由 ·到外部网络的默认路由的例子 ·到外部目的地址的静态路由的例子 ·到内部目的地址的静态路由的例子 默认路由和静态路由 IP 前缀。一个默认的路由匹配任何前缀,可以将数据流转发到下一个路由器 (或默认 网关) 。一个静态的路由匹配特定的前缀,并将数据流转发到下一个路由器。 IP 前缀 下一个跳跃 192.168.1.2 IP 前缀 下一个跳跃 注意:在 FortiGate 中添加路由时,最后添加默认路由,使它出现在路由表的底部。 这可以保证... - Page 63 透明模式安装 图 10: 通用配置步骤 将 FortiGate 设置为透明模式。 配置 FortiGate 的管理 IP 地址和网络掩码。 配置到外部网络的默认路由。 FortiGate-300 安装和配置指南 到外部网络的默认路由 透明模式配置的例子...
-
Page 64: 到外部目的地址的静态路由的例子
透明模式配置的例子 基于 Web 的管理程序配置步骤的例子 进入 系统 > 状态。 ·选择切换到透明模式。 ·在操作模式列表中选择 透明。 ·单击 确定。 进入 系统 > 网络 > 管理。 ·修改管理 IP 地址和网络掩码: ·单击 应用。 进入系统 > 网络 > 路由。 ·单击 新建 添加到外部网络的默认路由。 ·单击 确定。 CLI 配置步骤 将系统操作模式修改为透明模式。ode. 添加管理 IP 地址和掩码。 添加到外部网络的默认路由。... - Page 65 透明模式安装 图 11: 通用配置步骤 将 FortiGate 设置为透明模式。 配置 FortiGate 的管理 IP 地址和网络掩码。 配置到 FortiResponse 服务器的静态路由。 配置到外部网络的默认路由。 基于 Web 的管理程序配置步骤 进入 系统 > 状态。 ·选择 切换到透明模式。 ·在操作模式列表中选择透明。 ·单击 确定。 FortiGate-300 安装和配置指南 到外部地址的静态路由 要使用基于 Web 的管理程序配置基本的 FortiGate 设置和静态路由: FortiGate 现在已经切换到透明模式。 透明模式配置的例子...
-
Page 66: 到内部目的地址的静态路由的例子
透明模式配置的例子 进入 系统 > 网络 > 管理。 ·修改管理 IP 地址和网络掩码: ·单击 应用。 进入 系统 > 网络 > 路由。 ·选择新建 添加到 FortiResponse 服务器的静态路由。 ·单击 确定。 ·选择新建 添加到外部网络的默认路由。 ·单击 确定。 CLI 配置步骤 将系统操作模式设置为透明模式。 添加管理 IP 地址和网络掩码。 添加到主 FortiResponse 服务器的静态路由。 添加到外部网络的默认路由。 到内部目的地址的静态路由的例子 FortiGate 连接的例子。要达到 FDN,您需要输入一个默认路由指向作为下一个跳跃 / 默认网关的上游路由器。要达到管理工作站,您需要输入一个静态路由定向到它。这... - Page 67 透明模式安装 图 12: 通用配置步骤 将 FortiGate 切换到透明模式。 配置 FortiGate 的管理 IP 地址和网络掩码。 配置到内部网络中的管理工作站的静态路由。 配置到外部网络的默认路由。 FortiGate-300 安装和配置指南 到内部目的地址的静态路由 透明模式配置的例子...
- Page 68 透明模式配置的例子 基于 Web 的管理程序的配置步骤举例 进入 系统 > 状态。 ·选择切换到透明模式。 ·在操作模式列表中选择透明模式。 ·单击 确定。 进入 系统 > 网络 > 管理。 ·修改管理 IP 和网络掩码: ·单击 应用。 进入 系统 > 网络 > 路由。 ·选择新建 添加到管理工作站的静态路由。 ·单击 确定。 ·选择新建添加到外部网络的默认路由。 ·单击 确定。 CLI 配置步骤 将系统操作模式设置为透明模式。 添加管理 IP 地址和掩码。 添加到管理工作站的静态路由。...
-
Page 69: 高可用性
权。 1.HA 不能为 PPPoE, DHCP, PPTP, 和 L2TP 服务提供会话失效恢复。 FortiGate-300 安装和配置指南 FortiGate-300 安装和配置指南 2.50 版 Fortinet 通过使用冗余的硬件设备和 FortiGate 聚合协议 (FGCP)实现高可用性 FortiGate HA 是一种设备冗余。如果 HA 簇中的某个 FortiGate 设备出现故障而失 在这个 HA 簇中的 FortiGate 设备使用专用的 HA 以太网接口进行簇会话信息通讯和 您可以连接到主 FortiGate 的任何接口去管理 HA 簇。 FortiGate 设备可以设置为以主动 - 被动 (A-P)模式或主动 - 主动 (A-A)模式... -
Page 70: 主动 - 主动 Ha
主动 - 主动 HA 簇中的所有设备共同维护所有的会话信息。如果主 FortiGate 设备失效了,附属设备 会互相协商选出一个新的主设备。新的主设备负责恢复所有已经建立的连接。 到新的数据路径中。新的主设备还会将 HA 簇中发生的变动通知管理员。它会在它自己 的事件日志中写入一条消息,发送一个 SNMP 陷阱 (如果启用了 SNMP) ,并且发送一个 报警邮件。 中写入一条消息,发送一个 SNMP 陷阱和一个报警邮件。主 FortiGate 设备还将调整 HA 簇中剩下的设备的优先级。 主动 - 主动 HA 个主动 - 主动 HA 簇包括一个主动 FortiGate 设备和一个或多个附属 FortiGate 设备, 所有设备全都参与通讯的处理。主 FortiGate 设备使用一个负载均衡算法将会话分配 到... -
Page 71: Nat/ 路由模式下的 Ha
高可用性 到新的数据路径中。新的主设备还会将 HA 簇中发生的变动通知管理员。它会在它自己 的事件日志中写入一条消息,发送一个 SNMP 陷阱 (如果启用了 SNMP) ,并且发送一个 报警邮件。 中写入一条消息,发送一个 SNMP 陷阱和一个报警邮件。主 FortiGate 设备还将调整 HA 簇中剩下的设备的优先级。 NAT/ 路由模式下的 HA ·安装和配置 FortiGate 设备 ·配置 HA 接口 ·配置 HA 簇 ·将 HA 簇连接到您的网络 ·启动 HA 簇 安装和配置 FortiGate 设备 组中的所有 FortiGates 应具有相同的配置。在完成 FortiGate 设备接入网络。... -
Page 72: 配置 Ha 簇
NAT/ 路由模式下的 HA SNMP TELNET 单击应用。 配置 HA 簇 复这些步骤。 注意:以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备。 您还可以使用 连接到 FortiGate 设备并登录基于 Web 的管理程序。 进入 系统 > 配置 > HA。 单击 HA。 只有在 DMZ/HA 接口已经配置为 HA 操作模式之后您才能选择 HA。见 配置 HA 接口” 选择... -
Page 73: 将 Ha 簇连接到您的网络
高可用性 加权循环 随机 IP 端口 在 端口监视器 的选项中,选择要监视的的 FortiGate 网络接口的名称。 监视 FortiGate 接口可以确认它们是否已经连接到他们的网络上并且工作正常。如果 一个被监视的接口失效或者从它的网络断开,FortiGate 设备将停止处理通讯并从这个 HA 簇中删除。如果您重建通过这个接口的通讯流 (例如,如果您重新连接了一个断开 的线缆) ,FortiGate 设备将重新加入 HA 簇。您只能监视连接到网络的接口。 单击应用。 FortiGate 设备相互协商以建立一个 HA 簇。当您选择了应用之后,在 HA 簇协商期间您 可能会暂时丢失到 FortiGate 设备的连接。 图 13: 对于 HA 簇中的每个 FortiGate 重复以上操作。 当您配置完全部的... - Page 74 NAT/ 路由模式下的 HA 要将一台管理员电脑连接到这个交换机或集线器上。这个簇中的设备将一直进行 HA 状 态通讯以确保簇工作正常。因此,这个簇中全部 FortiGate 设备的 HA 接口之间的连接 必须妥善地维护。这个通讯的任何中断都将导致不可预料的后果。 网络设备和配置的步骤都十分相似。 将每一台 FortiGate 的内部网络接口都连接到一个与您的部网络相连的交换机或者集 线器上。 将每一台 FortiGate 的外部网络接口都连接到一个与您外部网络相连的交换机或者集 线器上。 把 FortiGates 的 DMZ/HA 接口连接到一台单独的交换机或者集线器上。 图 14: 还有,您必须将这一 HA 簇中所有的 HA 接口连接到同一交换机或集线器上。您还需 建议您使用交换机以提高网络的性能。 无论您将 FortiGate 设备配置为主动 - 主动 HA 模式或主动 - 被动 HA 模式,所需的 以下操作用于把...
-
Page 75: 启动 Ha 簇
高可用性 启动 HA 簇 用以下操作启动 HA 簇。 为簇中的所有 HA 设备加电。 在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商过程是自动进 行的,无须用户干预。 当协商完成后,这个簇已经准备好处理网络通讯了,您可以使用 HA 组” 透明模式下的 HA ·安装和配置 FortiGate 设备 ·配置 HA 接口和 IP 地址 ·配置 HA 簇 ·将 HA 簇连接到您的网络中 ·启动 HA 簇 安装和配置 FortiGate 设备 组中的所有 FortiGates 应具有相同的配置。在完成 FortiGate 设备接入网络。... -
Page 76: 配置 Ha 簇
透明模式下的 HA SNMP TELNET 根据需要修改 IP 地址和子网掩码。 可以选择配置其他接口的管理访问方式。 单击应用。 配置 HA 簇 注意:以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备。 您还可以使用 连接到 FortiGate 设备并登录进基于 Web 的管理程序。 进入 系统 > 配置 > HA。 单击 HA。 只有在 DMZ/HA 接口已经配置为 HA 操作模式之后您才能选择 HA。见 配置 HA 接口和 IP 地址” 选择... -
Page 77: 将 Ha 簇连接到您的网络中
高可用性 加权循环 随机 IP 端口 在 端口监视器 的选项中,选择要监视的的 FortiGate 网络端口。 监视 FortiGate 接口可以确认它们是否已经连接到他们的网络上并且工作正常。如果 一个被监视的接口失效或者从它的网络断开,FortiGate 设备将停止处理通讯并从这个 HA 簇中删除。如果您重建通过这个接口的通讯流 (例如,如果您重新连接了一个断开 的线缆) ,FortiGate 设备将重新加入 HA 簇。您只能监视连接到网络的接口。 单击应用。 FortiGate 设备相互协商以建立一个 HA 簇。当您选择了应用之后,在 HA 簇协商期间您 可能会暂时丢失到 FortiGate 设备的连接。 图 15: 对 HA 簇中的每个 FortiGate 设备重复以上操作。 连接到您的网络中”... -
Page 78: 启动 Ha 簇
管理 HA 组 需要将一台管理员电脑连接到这个交换机或集线器上。 备连接和下面的操作步骤都完全相同。 将每一台 FortiGate 的内部网络接口都连接到一个与您的内部网络相连的交换机或者 集线器上。 将每一台 FortiGate 的外部网络接口都连接到一个与您的外部网络相连的交换机或者 集线器上。 把 FortiGates 的 DMZ/HA 接口连接到一台单独的交换机或者集线器上。 启动 HA 簇 用以下操作启动 HA 簇。 为簇中的所有 HA 设备加电。 在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商过程是自动进 行的,无须用户干预。 当协商完成后,这个簇已经准备好处理网络通讯了,您可以使用 HA 组” 管理 HA 组 组独立的 FortiGate 设备。对 HA 簇的管理 , 可以通过将基于 Web 的管理程序或者 CLI 连接到为管理访问配置好的任何接口来实现。因为这个簇中的全部设备都配置了相同... -
Page 79: 查看 Ha 簇成员状态
高可用性 ·查看 HA 簇成员状态 ·监视簇成员 ·监视簇会话 ·查看和管理簇日志消息 ·单独管理簇中的设备 ·同步簇配置 ·返回到独立模式配置 ·在失效恢复后替换 FortiGate 查看 HA 簇成员状态 连接到 HA 簇中,登录基于 Web 的管理程序。 进入 系统 > 状态 > 簇成员。 基于 Web 的管理程序显示了这个 HA 簇中的 FortiGate 设备的序列号。主设备的识别符 是本地,列表中还包括了簇成员的运行时间和状态。 图 16: 监视簇成员 连接到簇并登录基于 Web 的管理程序。 进入系统... -
Page 80: 监视簇会话
管理 HA 组 图 17: 选择病毒和入侵。 显示出每个簇成员的病毒和入侵状态。主设备的识别标志是本地,其他设备根据他们 的序列号列出。 显示的内容还包括当前每小时检测到的病毒数和当前入侵次数的柱状显示,以及过去 20 小时内的病毒数和入侵次数的曲线图。曲线图的比例尺在图的左上角显示。 有关详细信息,请见 选择数据包和字节。 显示每个簇成员处理的数据包数和字节数。 您可以设置上述显示内容的刷新次数,然后单击执行以控制基于 Web 的管理程序更新 显示的次数。 刷新得越频繁,消耗的系统资源和网络通讯就越多。然而,只有在您使用基于 Web 的 管理程序查看显示的时候才会出现这种情况。曲线图比例尺显示在图的右上角。 监视簇会话 连接到簇并登录进基于 Web 的管理程序。 进入 系统 > 状态 > 会话。 会话表显示了簇中的主设备处理的会话。会话包括主设备和附属设备之间的 HA 通讯。 查看和管理簇日志消息 连接到簇并登录基于 Web 的管理程序。 簇会话数和网络显示的例子 第... -
Page 81: 单独管理簇中的设备
高可用性 进入日志和报告 > 记录日志。 显示主设备通讯日志、事件日志、攻击日志、病毒防护日志、网页过滤日志和电子邮 件日志。 右上角的下拉列表控制着要显示的日志类别。主设备的识别标志是本地,其他设备根 据他们的序列号列出。 选择簇中的一个设备的序列号可以显示这个簇成员的日志。 您可以查看保存在内存中的日志或者保存在硬盘中的日志,这取决于这个簇成员的配 置。 对于簇中的每个设备: ·您可以查看和搜索日志消息(请见 ·如果簇中的设备装备了硬盘您可以管理日志消息 (请见 注意:您可以查看和管理全部簇成员的日志消息。然而,从主设备上您只能配置主设备的日志记 录。要配置簇中其他设备的日志记录,您必须单独对簇中的设备进行管理。 单独管理簇中的设备 这个设备。首先,每个设备的 HA 接口必须配置为允许 HTTPS 和 SSH 管理访问。 使用 SSH 连接到簇并登录基于 Web 的管理程序。 连接到簇的任何配置了 SSH 管理访问的接口可以自动地登录到主设备。 您还可以使用直接电缆连接登录到主设备的 CLI (首先您要知道哪个设备是主设备, 请见 备成为主设备) 。 输入以下命令,后边加上一个空格和一个问号 (?) : execute ha manage 将显示簇中的全部附属设备的列表。这个列表中的每个簇设备从... -
Page 82: 同步簇配置
管理 HA 组 同步簇配置 终同步。您可以在主设备上对配置做修改,然后在 HA 簇中的每个附属设备上使用 execute ha synchronize 命令手工将它的配置和主设备的配置同步。您可以使用 这个命令同步如下内容: 表 18: execute ha synchronize 关键字 关键字 config avupd attackdef weblists emaillists 同步主设备上添加或更改的电子邮件过滤列表。 resmsg localcert 连接到簇并登录到基于 Web 的管理程序或 CLI。 根据需要修改配置。 连接到簇中的每个设备的 CLI。 要连接到附属设备,请见 使用 execute ha synchronize 命令同步附属设备的配置。 返回到独立模式配置... -
Page 83: 高级 Ha 选项
高可用性 效的 FortiGate 的配置相匹配。然后把它重新连接到网络中。这个 FortiGate 将自动 地加入 HA 组中。 高级 HA 选项 从 FortiGate 设备中选择一个主设备 之后选定的主设备都可能不同。此外作为主设备运行的 FortiGate 设备也可能会改变 (例如,如果当前的主设备重新启动,另一个设备可能会代替它成为主设备) 。 FortiGate 设备配置为主设备,只需要修改这个设备的优先级使它能控制其他设备。 备。如果两个设备有同样的优先权,则使用标准的协商过程选择主设备: 连接到永久性主 FortiGate 设备的 CLI。 设置永久主设备的优先级。输入: set system ha priority < 优先级 _ 整数 > < 优先级 _ 整数 > 是永久主设备要设置的优先级。优先级最低的设备将成为主设备。默 认的优先级... - Page 84 高级 HA 选项 ·第一个连接由主设备处理 ·下面的三个连接由第一个附属设备处理 ·在下面的三个连接由第二个附属设备处理 这个命令有以下结果: 附属设备将比主设备处理更多的连接,而两个附属设备处理的连接数一样多。 高可用性 美国飞塔有限公司...
-
Page 85: 系统状态
系统状态 当前状态。显示的状态信息包括当前的固件版本,当前的病毒防护定义和攻击定义以 及 FortiGate 设备的序列号。 FortiGate 系统设置做以下修改: ·修改 FortiGate 主机名 ·修改 FortiGate 固件 ·手动更新病毒防护定义库 ·手动更新攻击定义库 ·备份系统设备 ·恢复系统设置 ·将系统设置恢复到出厂设置 ·转换到透明模式 ·转换到 NAT/ 路由模式 ·重新启动 FortiGate 设备 ·关闭 FortiGate 设备 态 以查看包括如下系统设置: ·显示 FortiGate 的序列号 ·显示 FortiGate 运行时间 ·显示日志硬盘状态 系统状态显示了 FortiGate 的健康状态监视信息,包括 CPU 和内存状态、会话和网络 状态。... -
Page 86: 修改 Fortigate 主机名
FortiGate 设备的主机名显示在系统 > 状态页和 FortiGate CLI 提示符中。主机名 第 131 页 “ 配置 SNMP” 默认的主机名是 FortiGate-300。 按如下步骤修改 FortiGate 主机名: 。 您从 Fortinet 中下载了一个 FortiGate 说明 通常使用基于 Web 的管理程序和 CLI 操作将 FortiOS 升级到一个新 的 FortiOS 固件版本或者同一固件版本的较新的子版本。 使用基于 Web 的管理程序 或 CLI 恢复到一个从前版本的固件。这一... - Page 87 行 TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168: execute ping 192.168.1.168 输入下述命令将固件映像文件从 TFPT 服务器拷贝到 FortiGate 上: execute restore image < 名称 _ 字符串 > <tftp_ip> 服务器的 IP 地址。例如,如果固件映像文件的文件名是 FGT-60-v236-build068- FORTINET.out ,TFTP 服务器的 IP 地址为 192.168.1.168,输入: 192.168.1.168 些时间。 重新连接到 CLI。 要确认新版本的固件已经加载了,输入:...
-
Page 88: 恢复到一个旧的固件版本
修改 FortiGate 固件 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、 病毒和攻击定义的版本,合同有效期和最新更新信息。 get system objver 恢复到一个旧的固件版本 使用基于 Web 的管理程序恢复到一个旧版本的固件 用户定义的特征,网页内容列表,电子邮件过滤列表和您对替换信息所做的修改。 ·备份 FortiGate 设备的配置,使用 ·备份 NIDS 用户定义的特征,请见 ·备份网页内容和电子邮件过滤列表,请见 v2.36) ,您可能无法恢复您的配置备份文件中保存的从前的配置。 注意:安装固件将使用您所安装的固件中包含的病毒防护定义和攻击定义替换您当前的病毒防护 定义和攻击定义。当您安装一个新的固件时,使用 定义” 将固件映像文件拷贝到您的管理员电脑。 使用 admin 管理员帐号登录到基于 Web 的管理程序。 进入 系统 > 状态。 单击 固件升级 输入固件升级文件的文件名和路径,或者单击 浏览 然后定位那个文件。 单击... - Page 89 192.168.1.168 输入下述命令将固件映像文件从 TFPT 服务器拷贝到 FortiGate 上: execute restore image < 名称 _ 字符串 > <tftp_ip> 服务器的 IP 地址。例如,如果固件映像文件的文件名是 FGT-60-v236-build068- FORTINET.out ,TFTP 服务器的 IP 地址为 192.168.1.168,输入: execute restore image FGT_300-v250-build045-FORTINET.out 192.168.1.168 FortiGate 将上载升级文件。一旦文件上载完成,将显示如下信息: Get image from tftp server OK.
-
Page 90: 使用 Cli 重新启动系统安装固件
修改 FortiGate 固件 使用 定义和攻击定义,或从 CLI 输入 execute updatecenter updatenow 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、 病毒和攻击定义的版本,合同有效期和最新更新信息。 get system objver 使用 CLI 重新启动系统安装固件 一方法把固件升级到一个新版本,或者恢复一个固件的旧版本,或者重新安装当前版 本的固件。 注意:在不同的版本的 FortiGate BIOS 中这一操作有一些细微的不同。这些不同在受到影响的 操作步骤中有相应的说明。您使用串行通讯线缆连接到 FortiGate 串行通讯接口访问 CLI 的时 候,您的 FortiGate 设备会在重新启动过程中显示所运行的 BIOS 版本。 ·使用一条串行通讯线缆连接到 FortiGate 串行通讯接口访问 CLI。 ·安装一个 TFTP 服务器,并使内部网络接口可以连接到此服务器上。TFTP 服务器必须 ·备份... - Page 91 系统状态 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: ·运行 v2.x 版 BIOS 的 FortiGate 设备 ·运行 v3.x 版 BIOS 的 FortiGate 设备 立刻按任意键中断系统启动过程。 注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新 启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。 如果您成功地中断了启动过程,将显示下面的消息之一: ·运行 v2.x 版 BIOS 的 FortiGate 设备 ·运行 v3.x 版 BIOS 的 FortiGate 设备 按...
-
Page 92: 在安装新版本的固件之前进行测试
修改 FortiGate 固件 输入固件文件的名称然后回车。 TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息: ·运行 v2.x 版 BIOS 的 FortiGate 设备 ·运行 v3.x 版 BIOS 的 FortiGate 设备 时间才能完成。 恢复您从前的配置 行如下命令: set system interface 配置。 复 NIDS 用户定义特征,请见 表,请见 v2.36) ,您可能无法恢复您保存过的配置文件。 将病毒防护和攻击定义更新到最新版本,请见 和攻击定义” 在安装新版本的固件之前进行测试 存到系统内存。这一操作完成之后,FortiGate 设备将使用新的固件映像运行,但是仍 旧使用当前的配置。这一新版本的固件映像并没有永久性地安装。下一次... - Page 93 系统状态 确认 FortiGate 的内部接口和 TFTP 服务器连接到内部网络上。 确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运行 TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168: execute ping 192.168.1.168 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 重新启动过程中,按任意键中断系统启动过程。 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: ·运行 v2.x 版 BIOS 的 FortiGate 设备 ·运行...
-
Page 94: 安装和使用一个备份了的固件映像
修改 FortiGate 固件 输入固件文件的名称然后回车。 输入固件文件的名称然后回车。 TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息: ·运行 v2.x 版 BIOS 的 FortiGate 设备 ·运行 v3.x 版 BIOS 的 FortiGate 设备 并保持当前的配置。 您可以使用任何管理员帐号登录到 CLI 或者基于 Web 的管理程序。 要确认新版本的固件已经加载了,可以从 CLI 输入: get system status 您可以根据需要测试新版本的固件。 安装和使用一个备份了的固件映像 在备份固件映像安装成功之后您可以在需要时切换到备份映像上。 ·安装备份固件映像 ·切换到备份固件影象 ·切换回默认的固件映像... - Page 95 系统状态 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: Press any key to enter configuration menu... 立刻按任意键中断系统启动过程。 注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新 启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。 如果您成功地中断了启动过程,将显示下面的消息之一: [G]: [F]: [B]: [Q]: [H]: Enter G,F,B,Q,or H: 按 G 从 TFTP 服务器获得新版本的固件。 输入 TFTP 服务器的地址并按回车。 将显示以下信息:...
- Page 96 修改 FortiGate 固件 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: Press any key to enter configuration menu... 立刻按任意键中断系统启动过程。 注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新 启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。 如果您成功地中断了启动过程,将显示下面的消息之一: [G]: [F]: [B]: [Q]: [H]: Enter G,F,B,Q,or H: 输入 B 加载备份固件映像。 份固件并将配置设置为出厂默认状态。 切换回默认的固件映像 的备份固件运行。当您切换到备份固件映像的时候,同这个固件一起被保存的配置将 被恢复。...
-
Page 97: 手动更新病毒防护定义库
Enter G,F,B,Q,or H: 输入 B 以加载备份固件映像。 候它回使用恢复的配置和备份固件映像运行。 手动更新病毒防护定义库 注意:如果想把 FortiGate 配置为自动更新病毒防护定义库,请参阅 定义升级及注册” 护定义库。 从 FortiNet 下载最新的病毒防护定义库更新文件,然后把它拷贝到用来连接基于 Web 的管理程序的电脑上。 启动基于 Web 的管理程序,进入 系统 > 状态。 在 病毒防护定义库的右边,单击 更新定义 输入病毒防护定义库更新文件的路径和文件名,或者单击 浏览 然后在浏览器中定位 该文件。 单击 确定 ,将病毒防护定义库文件上载到 FortiGate 设备上。 FortiGate 将上载病毒防护定义库更新文件,整个过程将持续约 1 分钟。... -
Page 98: 显示 Fortigate 的序列号
显示 FortiGate 的序列号 单击 确定 将攻击定义库文件上载到 FortiGate。 FortiGate 将更新新的攻击定义库,整个过程将持续约 1 分钟。 进入 系统 > 状态 查看攻击定义库的信息,确认它已经被更新了。 显示 FortiGate 的序列号 进入 系统 > 状态。. 序列号 显示在基于 Web 的管理程序的系统状态页面。序列号是分配给您的 FortiGate 的唯一标识,即使固件更新了也不会改变。 显示 FortiGate 运行时间 进入 系统 > 状态。 FortiGate 运行时间以天、小时、分钟显示了 FortiGate 设备从启动到现在所经历的时 间。... -
Page 99: 将系统设置恢复到出厂设置
系统状态 选择 系统设置恢复 。 输入系统设置文件的名称和路径,或者单击 浏览 然后在浏览器中定位文件。 单击 确定 将系统设置文件恢复到 FortiGate 上。 FortiGate 将上载系统设置文件并重新启动,调入新的系统设置。 重新连接到基于 Web 的管理程序并查看您的系统设置,确认上载的系统设置已经生效 了。 将系统设置恢复到出厂设置 本、病毒防护定义库或是攻击定义库。 警告:这一操作将删除您在 FortiGate 配置中所做的任何改动,并将系统恢复到原始状态,包括 复位网络接口的地址。 进入 系统 > 状态。 选择 恢复出厂设置 。 单击 确定 以确认操作。 FortiGate 将使用第一次加电时的配置重新启动。 重新连接到基于 Web 的管理程序并查看系统配置,确认它已经恢复到了默认设置。 转换到透明模式 FortiGate 设备改到透明模式之后,它的配置将被设置为透明模式的默认配置。... -
Page 100: 转换到 Nat/ 路由模式
转换到 NAT/ 路由模式 转换到 NAT/ 路由模式 FortiGate 设备改到 NAT/ 路由模式式之后,它的配置将被设置为 NAT/ 路由模式的默认 配置。 进入 系统 > 状态。 选择 转换到 NAT/ 路由模式 。 在 操作模式列表 中选择 NAT/ 路由 选项。 单击 确定 。 FortiGate 现在已经转换到了 NAT/ 路由模式。 用以下方法重新连接到基于 Web 的管理程序:将浏览器连接到为管理访问配置的网络 接口,使用 https:// 后边跟上该接口的 IP 地址。 在... -
Page 101: 查看 Cpu 和内存状态
系统状态 可以从 5 秒到 30 秒。您还可以手工刷新显示的内容。 ·查看 CPU 和内存状态 ·查看会话和网络状态 ·查看病毒和入侵状态 查看 CPU 和内存状态 的管理程序只显示核心进程对 CPU 和内存的使用率。 被管理进程所使用的 CPU 和内存 (例如,用于到基于 Web 的管理程序的 HTTPS 的连接)没有被统计进去。 更多的网络通讯。如果 CPU 和内存使用率很高,FortiGate 设备已经接近于满负荷工 作。此时再增加更多的任务可能会导致系统对通讯的处理出现延迟。 包含了小数据包的网络通讯的高级处理将增加 CPU 和内存的使用率。 进入 系统 > 状态 > 监视器。 将显示 CPU 和内存的状态。显示的内容包括图形显示的当前 CPU 和内存的使用率、过 去数分钟内的... -
Page 102: 查看会话和网络状态
系统状态 查看会话和网络状态 网络带宽上的会话数量。另外通过对比 CPU、内存使用率和网络、会话状态,您可以知 道系统资源可以承担多少网络通讯。 FortiGate 设备当前处理的会话数占它设计的处理能力的百分比。 了当前所使用的网络带宽占 FortiGate 设备能处理的最大网络带宽的百分比。 进入 系统 > 状态 > 监视器。 单击会话和网络。 显示会话和网络状态。显示的内容包括图形化显示的当前会话数和当前网络使用量, 以及过去数分钟内的会话数曲线和网络使用量曲线。曲线图的比例显示在图的左上角。 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率。 频繁地刷新将消耗系统资源并增加网络通讯。然而,这只发生在您使用 基于 Web 的管 理程序查看显示的时候。 单击刷新可以手工更新当前显示的信息。 图 2: 查看病毒和入侵状态 测到的网络攻击。 进入 系统 > 状态 > 监视器。 使用会话和网络状态显示可以跟踪 FortiGate 设备正在处理的网络会话并查看可用 会话显示了当前... -
Page 103: 会话列表
系统状态 单击病毒和入侵。 显示病毒和入侵状态。显示的内容包括以条形图方式显示的每小时检测到的病毒和入 侵数量,以及过去 20 小时内的病毒和入侵数量统计曲线。 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率。 频繁地刷新将消耗系统资源并增加网络通讯。然而,这只发生在您使用 基于 Web 的管 理程序查看显示的时候。 单击刷新可以手工更新当前显示的信息。 图 3: 会话列表 列表查看当前会话。FortiGate 有读写权限的管理员以及 FortiGate 的 admin 管理员可 以终止活动的通讯会话。 查看会话列表 进入系统 > 状态 > 会话。 基于 Web 的管理程序在 FortiGate 设备会话列表中显示了会话的总数并列出前 16 个会 话。 要在列表中翻页浏览会话,单击上一页 单击更新... - Page 104 会话列表 协议 源 IP 源端口 目的 IP 目的端口 到期时间 清除 图 4: 会话列表中的每一行显示了以下信息: 连接的服务类型或者协议类型。例如 TCP、UDP、ICMP 连接的源 IP 地址。 连接的源端口。 连接的目的 IP 地址。 连接的目的端口。 在连接到期前剩余的时间,以秒为单位。 中断一个处于活动状态的通讯会话。 会话列表举例 系统状态 美国飞塔有限公司...
-
Page 105: 病毒和攻击定义升级及注册
有效期 最后更新企图 最后更新状态 FortiGate-300 安装和配置指南 FortiGate-300 安装和配置指南 2.50 版 您可以将 FortiGate 设备配置为连接到 Forti 响应发布网络 (FDN) 并自动更新病毒 您必须先在 Fortinet 支持网页注册您的 FortiGate 设备,才能将 FortiGate 设备 本章描述了以下内容: 您可以将 FortiGate 设备配置为连接到 Forti 响应发布网络 (FDN) 并自动更新病毒 基于 Web 的管理程序的系统 > 更新页面显示了以下病毒防护定义和攻击定义更新信 显示当前的防病毒引擎、病毒定义和攻击定义的版本号。 显示您的病毒防护引擎、病毒定义和攻击定义更新许可证的有效期。 显示 FortiGate 设备最后一次试图下载病毒防护引擎、病毒定义和攻击定义... -
Page 106: 连接到 Forti 响应发布网络
病毒防护定义和攻击定义更新 ·连接到 Forti 响应发布网络 ·配置周期性更新 ·配置更新日志 ·添加后备服务器 ·手工更新病毒防护定义和攻击定义 ·配置推送更新 ·通过 NAT 设备的推送更新 ·通过代理服务器定期更新 连接到 Forti 响应发布网络 攻击定义更新。FortiGate 设备使用 HTTPS 协议和 8890 端口连接 FDN。ForitGate 外部 接口必须能够使用 8890 端口连接到更新中心。要配置定期更新,请见 配置周期性更新” HTTPS 协议提供给 FortiGate 设备。要接收推送更新,FDN 必须有一条使用 UDP 端口 9443 连接到 ForitGate 外部接口的路径。要配置推送更新,请见 推送更新” FortiGate 设备连接到... -
Page 107: 配置周期性更新
病毒和攻击定义升级及注册 表 1: 连接到 FDN 连接 推送更新 配置周期性更新 下载病毒防护定义和攻击定义的更新。 进入 系统 > 更新。 单击周期性更新。 选择检查和下载更新的时间表: 每小时 每天 每周 单击应用。 FortiGate 设备将根据新的更新时间表启动下一次定期更新。 无论何时当一个周期性更新开始运行时,它都会在 FortiGate 事件日志中写入一条记 录。 FortiGate-300 安装和配置指南 状态 可用 不可用 您可以将 FortiGate 设备配置为根据您指定的时间表,每小时、每天、每周检查并 每 1 小时到每 23 小时检查一次。选择两次更新请求之间的时间间隔,可以精确 到小时和分钟。 每天检查一次。您可以指定一天当中检查更新的具体时间。 每周检查一次。您可以指定一周当中进行更新检查的日子和在那一天当中进行检... -
Page 108: 配置更新日志
病毒防护定义和攻击定义更新 图 1: 配置更新日志 定义的时候记录日志消息。更新日志消息记录在 FortiGate 事件日志中。 进入 日志和报告 > 日志设置。 在 FortiGate 设备要记录的日志类型上单击配置策略。 请见 单击更新,FortiGate 设备将在更新病毒防护和攻击定义时记录日志消息。 选择以下更新日志选项: 更新失败 更新成功 FDN 错误 单击确定。 添加后备服务器 毒防护和攻击定义的更新,您可以按照如下步骤添加一个 Forti 响应后备服务器。 进入 系统 > 更新。 单击使用后备服务器地址并添加一个 Forti 响应服务器的 IP 地址。 配置病毒防护和攻击定义自动更新 使用如下步骤配置 FortiGate 日记记录可以在 FortiGate 设备更新病毒防护和攻击 第... -
Page 109: 手工更新病毒防护定义和攻击定义
病毒和攻击定义升级及注册 单击应用。 FortiGate 设备将测试到这个后备服务器的连接。 如果 Forti 响应发布网络的修改是正确的,FortiGate 设备应当可以连接到后备服务 器。 如果 Forti 响应发布网络的设置仍旧不可用,FortiGate 设备就无法连接到后备服务 器。检查 FortiGate 的配置和网络配置,确保您可以从 FortiGate 设备连接到后备服 务器。 手工更新病毒防护定义和攻击定义 FortiGate 设备必须可以连接到 FDN 或者一个 Forti 响应代理服务器。 进入 系统 > 更新。 单击现在更新以更新病毒防护和攻击定义。 息: 获取当前的更新工作的状态。 擎、或攻击定义的新版本的信息。系统状态页还将显示病毒防护定义和攻击定义的新 的日期和版本信息。无论更新工作成功与否,都将在事件日志中记录一条消息。 配置推送更新 应。您必须先注册您的 FortiGate 设备才能接收推送更新。请见 册 FortiGate 设备” 设备的推送更新”... -
Page 110: 通过 Nat 设备的推送更新
病毒防护定义和攻击定义更新 推送更新。同样,当 FortiGate 设备接收到一个更新通报的的时候,它只尝试一次连 接到 FDN 和下载更新。 推送更新和外部动态 IP 地址 DHCP) ,当外部接口的 IP 地址发生变化时,FortiGate 设备将向 FDN 发送一条 SETUP 消息通报这个变化。这个 SETUP 消息发送之后,FDN 将记录这个新的 IP 地址,下次的 推送更新将发送到这个 IP 地址。 通过 NAT 设备的推送更新 配置端口转发并在推送更新配置中添加端口转发信息。使用端口转发,FDN 使用 9443 或者您指定的备份端口连接到 FortiGate 设备。 注意:如果 NAT 设备的外部接口 IP 地址的动态的 (例如,使用 PPPoE 或 DHCP 设置的接口) ,您 将无法通过... - Page 111 病毒和攻击定义升级及注册 图 2: 一般配置步骤 网络中的 FortiGate 设备可以接收推送更新: 向 FortiGate NAT 设备添加一个端口转发虚拟 IP。 向包含了端口转发虚拟 IP 的 FortiGate NAT 设备添加一个防火墙策略。 为内部网络中的 FortiGate 设备配置一个代理推送 IP 地址和端口。 注意:在完成如下操作之前,您需要注册您的内部网络中的 FortiGate 设备,这样它才能接收推 送更新。 在 FortiGate NAT 设备上添加端口转发虚拟 IP 转发到内部网络的一个 FortiGate 设备上。 FortiGate-300 安装和配置指南 网络拓扑结构举例:通过一个 NAT 设备的推送更新 使用以下步骤配置...
- Page 112 病毒防护定义和攻击定义更新 进入 防火墙 > 虚拟 IP。 单击新建。 为虚拟 IP 地址添加一个名称。 选择 FDN 连接到的外部接口。 对于例子中的拓扑结构,选择外部接口。 选择端口转发。 输入 FDN 连接到的外部 IP 地址。 对于例子中的拓扑结构,输入 64.230.123.149。 输入 FDN 连接到的外部服务端口。 对于例子中的拓扑结构,输入 45001。 将映射到的 IP 地址设置为内部网络中的 FortiGate 设备的 IP 地址。 如果这个 FortiGate 设备运行于 NAT/ 路由模式,输入外部接口的 IP 地址。 如果这个...
- Page 113 病毒和攻击定义升级及注册 添加一个新的外部到内部的防火墙策略。 使用如下设置配置策略: 源地址 目的地址 任务计划 服务 动作 单击确定。 使用一个代理 IP 地址和端口配置 FortiGate 设备 进入 系统 > 更新。 选择允许推送更新。 选择使用代理推送更新。 将 IP 地址设置为添加到虚拟 IP 的外部 IP 地址。 对于例子中的拓扑结构,输入 64.230.123.149。 将端口号设置为添加到虚拟 IP 的外部服务端口。 对于这个例子中的拓扑结构,输入 45001。 单击应用。 FortiGate 设备将代理推送更新 IP 地址和端口发送给 FDN。现在 FDN 使用这个 IP 地址 和端口向内部网络中的...
-
Page 114: 通过代理服务器定期更新
服务。因为 FortiGate 自动更新使用 HTTPS 协议和 8890 端口来连接 FDN,所以您所使 用的代理服务器必须被配置为允许连接到这一端口。 新。 注册 FortiGate 设备 系统 > 更新 > 支持注册您的设备,或者使用一个网页浏览器连接到 http://support.fortinet.com 并选择产品注册。 品序列号。注册过程方便快捷。您可以一次注册多个 FortiGate 设备,无须重复输入 您的联系方式。 以使用这个用户名和密码登录到 Fortinet 技术支持网站以获得如下服务: ·查看您注册的 FortiGate 设备列表 ·注册更多的 FortiGate 设备 ·添加或修改每个 FortiGate 设备的支持合同号 ·查看和修改注册信息 ·下载病毒和攻击定义更新 如果您的 FortiGate 设备必须通过一个代理服务器才能连接到互联网,您可以使用 例如,如果代理服务器的 IP 地址是 64.23.6.89,端口是 8080,您需要输入如下命... -
Page 115: Forticare 服务合同
新的 FortiGate 设备的所有者有资格享受 90 天的技术支持服务。当 90 天的技术支 您必须注册您的 FortiGate 设备并在注册信息中添加 FortiCare 支持合同号以激活 一个 FortiGate 支持合同可以覆盖多个 FortiGate 设备。您必须为这个服务合同涵 在您注册 FortiGate 设备之前,您需要以下信息: ·姓名 (全名) ·公司名 ·电子邮件地址 ( 您的 Fortinet 支持登录用户名和密码将被发送到这个地址。) ·地址 ·联系电话 这一信息用于密码恢复。安全提示问题应当是一个只有您知道答案的简单问题。答 案不要简单的别人能够猜到。 序列号在每个 FortiGate 设备的底部的标签上。 您可以使用 基于 Web 的管理程序进入系统 > 状态 查看序列号。... - Page 116 如果您为这个 FortiGate 设备购买了 FortiCare 支持合同,请输入支持合同号。 图 6: 单击完成。 如果您还没有输入 FortiCare 支持合同号 (SCN) ,您可以回到上一个页面并输入这个 号码。如果您没有购买 FortiCare 支持合同您可以选择继续以完成注册过程。 如果您输入了一个支持合同号,将出现一个实时确认提示以验证 SCN 信息是否与 FortiGate 设备匹配。如果信息不匹配您可以尝试再次输入信息。 包含了可用于您注册的 FortiGate 设备的 Fortinet 技术支持服务的详细信息将显示在 一个网页中。 您的 Fortinet 支持用户名和密码将被发送到您在联系信息中提供的电子邮件地址。 注册 FortiGate 设备 (联系信息和安全提示问题) 注册 FortiGate 设备 (产品信息) 病毒和攻击定义升级及注册 美国飞塔有限公司...
-
Page 117: 更新注册信息
箱中。您可以使用您的当前用户名和这个密码登录到 Fortinet 支持网站。 单击支持登录。 当您收到新的密码后,输入您的用户名和新密码以登录到 Fortinet 支持网站。 查看注册的 FortiGate 设备列表 进入 系统 > 更新 > 支持 并单击支持登录。 输入您的 Fortinet 支持用户名和密码。 单击登录。 单击查看产品。 将显示出您已注册过的 FortiGate 产品列表。对于每个 FortiGate 设备,列表包括了 产品序列号和当前的支持选项。 FortiGate-300 安装和配置指南 您可以在任何时间使用您的 Fortinet 支持用户名和密码登录到 Fortinet 支持网站 本节描述了以下内容: 如果您在注册到 Fortinet 支持网站时提供了一个安全提示问题和答案,您可以按 更新注册信息... -
Page 118: 注册一个新的 Fortigate 设备
更新注册信息 图 7: 注册一个新的 FortiGate 设备 进入 系统 > 更新 > 支持单击支持登录。 输入您的 Fortinet 支持用户名和密码。 单击登录。 单击添加注册。 选择您要注册的产品的型号。 输入您要注册的 FortiGate 设备的序列号。 如果您为这个 FortiGate 设备购买了 FortiCare 支持,请输入支持合同号。 单击完成。 将显示您已经注册了的 FortiGate 产品列表。这个列表现在包括您刚注册的 FortiGate 设备。 添加或修改 FortiCare 支持合同号 进入 系统 > 更新 > 支持 单击支持登录。... -
Page 119: 修改您的 Fortinet 支持密码
病毒和攻击定义升级及注册 修改您的 Fortinet 支持密码 进入 系统 > 更新 > 支持 并单击支持登录。 输入您的 Fortinet 支持用户名和密码。 单击登录。 单击我的配置文件。 单击修改密码。 输入您当前的密码。 输入并确认一个新的密码。 一个确认您的密码已修改的电子邮件将被发送到您的电子邮件信箱中。下次您登录到 Fortinet 技术支持网站时需要使用您当前的用户名和新的密码。 修改您的联系信息或安全提示问题 进入 系统 > 更新 > 支持 并单击支持登录。 输入您的 Fortinet 支持用户名和密码。 单击登录。 单击我的配置文件。 单击修改配置文件。 根据需要修改您的联系信息。 根据需要修改您的安全提示问题。 单击更新配置文件。 您所做的修改将被保存到 Fortinet 技术支持数据库中。如果您修改了您的联系信息,... -
Page 120: Rma 之后注册 Fortigate 设备
RMA 之后注册 FortiGate 设备 常工作的时候。如果这一情况发生在 FortiGate 设备的硬件维修期内,您可以将出现 故障的 FortiGate 设备送回到您的分销商处。 Fortinet 支持数据库中。当您受到代替的设备之后,您可以按照如下步骤更新您的产 品注册信息。 进入 系统 > 更新 > 支持 并单击支持登录。 输入您的 Fortinet 支持用户名和密码以登录到 Fortinet 支持。 单击添加注册。 单击 从 RMA 用新设备替换现有设备的链接。 如果 RMA 已经被输入了 Fortinet 的支持数据库,您可以选择替换现有设备并输入那个 替代设备的序列号。 单击完成。 将显示您已注册的 FortiGate 产品列表。这个列表现在包括了那个替换的 FortiGate 设备。所有您原有的支持服务都将被转到这个替换的设备上。... -
Page 121: 网络配置
网络配置 ·配置网络接口 ·添加 DNS 服务器 IP 地址 ·配置路由 ·在您的内部网络中提供 DHCP 服务 配置网络接口 ·查看接口列表 ·启动一个接口 ·修改一个接口的静态 IP 地址 ·为接口添加第二个 IP 地址 ·为接口添加 ping 服务器 ·控制到接口的管理访问 ·为接口的连接配置通讯日志 ·使用静态 IP 地址配置外部网络接口 ·使用 DHCP 配置外部网络接口 ·为以太网点对点传输协议 (PPPoE)配置外部网络接口 ·修改外部网络接口的 MTU 大小以提高网络性能 ·将 DMZ/HA 接口配置为 DMZ 模式 ·将... -
Page 122: 查看接口列表
配置网络接口 查看接口列表 进入 系统 > 接口。 将显示接口列表。接口列表显示了 FortiGate 所有接口的以下状态信息: ·接口的 IP 地址 ·接口的网络掩码 ·接口的管理访问配置 ·接口的连接状态 启动一个接口 进入 系统 > 接口。 显示接口列表。 单击您要启动的接口的启动按钮。 修改一个接口的静态 IP 地址 一个接口添加 IP 地址。 进入 系统 > 网络 > 接口。 对你要修改的接口单击修改 根据需要修改 IP 地址和网络掩码。 接口的 IP 地址必须和接口所连接的网络在同一子网内。 任何两个接口不能有相同的... -
Page 123: 为接口添加 Ping 服务器
网络配置 为接口添加 ping 服务器 个接口的连接是否有效,可以为这个接口添加一个 ping 服务器。路由失效功能需要添 加 ping 服务器。请见 进入 系统 > 网络 > 接口。 在您要添加 ping 服务器的接口上单击修改 将 PING 服务器设置为到连接到这个接口的网络中的下一个路由器的 IP 地址。 单击启用。 FortiGate 设备使用失效网关检测功能 ping 您所设置的 ping 服务器的 IP 地址,以确 定 FortiGate 设备可以连接到这个 IP 地址。 要配置失效网关检测功能, 请见 页... -
Page 124: 使用静态 Ip 地址配置外部网络接口
配置网络接口 图 1: 使用静态 IP 地址配置外部网络接口 进入系统 > 网络 > 接口。 选择对应的 外部网络接口,单击 修改 将 地址模式 改为 指定 。 根据需要修改 IP 地址 和 子网掩码 。 单击 确定 以保存修改。 使用 DHCP 配置外部网络接口 您的外部网络接口的 IP 地址时,才需要使用这种配置。 进入 系统 > 网络 > 接口。 对外部网络接口,单击... -
Page 125: 为以太网点对点传输协议 (Pppoe)配置外部网络接口
网络配置 为以太网点对点传输协议 (PPPoE)配置外部网络接口 您的 ISP 使用 PPPoE 为外部网络接口分配 IP 地址,就需要使用这种配置。 进入 系统 > 网络 > 接口。 对外部网络接口,单击 修改 将 地址模式 改为 PPPoE ,单击 确定 以转换到 PPPoE 模式。 输入您的 PPPoE 帐号的 用户名 和 密码 。 单击 确定 。 FortiGate 将试图连接到 PPPoE 服务器以获取外部网络接口的 IP 地址、子网掩码和网 关的配置信息。当... -
Page 126: 将 Dmz/Ha 接口配置为 Dmz 模式
配置网络接口 将 DMZ/HA 接口配置为 DMZ 模式 为 DMZ 模式的时候,您可以创建用于连接 DMZ 网络和内部网络、DMZ 网络和外部网络的 防火墙策略。DMZ 模式是这个接口的默认操作模式。 进入 系统 > 网络 > 接口。 选择 DMZ/HA 接口 ,单击 修改 选择 DMZ。 单击 确定 以保存您所做的修改。 将 DMZ/HA 网络接口配置为以 HA 方式工作 网络接口切换到 HA 模式。在这种模式下,不能再将 DMZ/HA 接口连接到 DMZ 网络上。 它只能用来连接... -
Page 127: 添加 Dns 服务器 Ip 地址
网络配置 单击 应用 以保存您所做的修改。 图 2: 添加 DNS 服务器 IP 地址 进入 系统 > 网络 > DNS。 根据需要修改 主 DNS 服务器 和 辅助 DNS 服务器 的设定。 单击 应用 以保存修改。 配置路由 路由器的静态路由。您还可以使用策略路由提高 FortiGate 路由的灵活性,以提供更 高级的路由功能。 余和负载均衡的支持。 ·添加默认路由 ·向路由表添加基于目的的路由 ·添加路由 (透明模式) ·配置路由表 ·策略路由... -
Page 128: 向路由表添加基于目的的路由
配置路由 进入 系统 > 网络 > 路由 表。 单击 新建 。 将 源 IP 地址 和 子网掩码 设置为 0.0.0.0。 将 目的 IP 地址 和 子网掩码 设置为 0.0.0.0。 将 网关 1 的 IP 地址 设置为发送到互联网的数据要使用的路由网关的 IP 地址。 单击 确定 以保存这个路由。 注意:在同一时间只有一条路由是活动的。如果在一个路由表中添加了两条默认路由,只有接近 路由表顶部的那条默认路由是活动的。... -
Page 129: 添加路由 (透明模式
网络配置 添加路由 (透明模式) 进入 系统 > 网络 > 路由。 单击 新建 以添加新的路由。 输入这个路由的 目的 IP 地址 和 子网掩码 。 输入这个路由的 网关的 IP 地址。 单击 确定 以保存新的路由。 如果需要的话重复以上操作添加更多路由。 配置路由表 还显示了网关的连接状态。 一个绿色的对勾表示 FortiGate 使用 ping 服务器和网关失 效检测判断可以连接到这个网关,一个红色的叉子意味着 FortiGate 无法建立到这个 网关的连接。兰色问号的意思是这个连接的状态未知。关于更进一步的信息,请见 第 109 页 “ 为接口添加 ping 服务器” 第一个匹配的路由为止。您必须把路由在路由表中按照专用的路由到通用路由的顺序... -
Page 130: 在您的内部网络中提供 Dhcp 服务
在您的内部网络中提供 DHCP 服务 找出适当的路由。要为通讯选择一个路由,FortiGate 从头搜索 RPDB 寻找与通讯匹配 的路由策略。搜索到的第一个匹配的策略将被用于设置通讯的路由。路由支持网络跳 跃网关和用于此通讯的 FortiGate 接口。 来匹配这个数据包,将使用目的路由来路由这个数据包。 RPDB 中的路由匹配数据包时,它在目的路由表中搜索添加到这个策略路由的网关。如 果发现了匹配的结果,FortiGate 设备将使用匹配的目的路由来路由这个数据包。如果 没有找到匹配的结果,FortiGate 设备将使用常规路由来路由这个数据包。 索,直到它找到第一条匹配的目的路由为止。这条匹配的路由将被用来路由这个数据 包。 策略路由命令语法 iifname <源接口_名称> dst <目的_ip> <目的_掩码> oifname <目的接口_名 称 > protocol < 协议编号 _ 整数 > port < 低端口 _ 整数 > < 高端口 _ 整数 > gw <... - Page 131 网络配置 单击 应用 。 把网络上的电脑的 IP 地址设置配置为 通过 DHCP 自动获取 IP 地址 。 图 4: 查看动态 IP 列表 的动态 IP 列表。 列表中除了 IP 地址外,还包括相应的 MAC 地址以及这些 IP 地址的有 效期。FortiGate 把这些地址添加到动态 IP/MAC 地址列表中。并且如果启用了 IP/MAC 绑定功能,动态 IP/MAC 地址列表中的地址将被加入信任的 IP/MAC 地址对中去。要获 取关于 IP/MAC 地址绑定的更多信息,请查阅 进入...
- Page 132 在您的内部网络中提供 DHCP 服务 网络配置 美国飞塔有限公司...
-
Page 133: Rip 配置
RIP 配置 版本 2 (也称做 RIP2,RFC2453 所定义) 。RIP2 启用了 RIP 消息从而能够承载更多信 息和支持简单的认证。RIP2 也支持 RIP 不支持的子网掩码功能。 FortiGate 设备接收到一个包含了改动了的条目的路由表时,它将在自己的路由表上做 相应的改动。FortiGateRIP 表保存着到目的地的最佳路由。在更新完自己的路由表之 后,FortiGate 设备开始发送路由更新以提醒其他网络路由器路由已经改变。您可以配 置 FortiGat RIP 以控制更新的时机。 在路由的路径中的每个跳跃都将被添加到这个路由的度量中。RIP 将一个路径中允许的 最大跳跃数限制为 15 以防止路由循环。这一特性也将 RIP 网络的最大半径限制为 15 个跳跃。 远不会将关于路由器的信息发送回它发出的地方。例如,路由器 1 可以告诉路由器 2 它有一个关于网络 A 的路由。路由器 2 通过从路由器 1 获取信息知道了这一事实,所 以当路由器... -
Page 134: Rip 设置
RIP 设置 RIP 设置 进入 系统 >RIP> 设置。 单击启用 RIP 服务器以将 FortiGate 设备配置为一个 RIP 服务器。 单击启用广告默认值以使得 FortiGate 设备在 RIP 路由表更新中包含它的默认路由。 单击启用自动归纳以自动将子网路由归纳进网络级路由中。 如果自动归纳功能没有启用,FortiGate 将穿过常规网络的边界传输子网络后缀路由。 修改以下 RIP 默认设置以调整并优化 RIP 性能。 RIP 默认设置在大多数配置中是有效的。只有当您的 RIP 配置出现问题的时候您才有必 要修改这些设置。 默认度量 输入队列 输出延迟 修改以下 RIP 计时器设置以调整和优化 RIP 的性能。 RIP 计时器的默认设置在大多数配置中都能正常工作。只有当您的... -
Page 135: 为 Fortigate 接口配置 Rip
RIP 配置 图 1: 为 FortiGate 接口配置 RIP FortiGate 设备的每个接口上所连接的网络定制专用的 RIP。例如: ·如果您有一个复杂的内部网络,其中包含了使用 RIP2 协议的设备。您可能希望在内 ·如果外部接口是连接到互联网的,您可能不希望在这个接口上启用 RIP 发送功能,使 ·如果 DMZ 接口连接到一个小型的 DMZ 网络,您可能无须为这个接口配置 RIP。 按如下步骤配置 FortiGate 接口的 RIP 进入 系统 >RIP> 接口。 在本页您可以看到每个 FortiGate 接口的 RIP 设置的摘要。 对要配置 RIP 设置的接口单击修改 配置以下 RIP 设置: FortiGate-300 安装和配置指南... - Page 136 为 FortiGate 接口配置 RIP RIP1 发送 RIP1 接收 RIP2 发送 RIP2 接收 水平分割 被动 认证 密码 模式 度量 注意:MD5 认证用于 FortiGate 设备发送的路由信息的完整性。使用 MD5 认证时,路由信息中附 加了密码并且使用 MD5 为这条路由信息创建 MD5 摘要。这条路由信息中的密码将被 MD5 摘要替换 并进行广播。当一个路由器收到这条路由信息时,它将 MD5 摘要信息替换为密码,计算这条新信 息的 MD5 摘要,然后将这个 MD5 摘要和原始信息中的 MD5 摘要做对比。如果两个 MD5 摘要是一致 的,接收者将接受这条消息。如果它们不同,接收者将拒绝这条消息。...
-
Page 137: 添加 Rip 邻居
RIP 配置 添加 RIP 邻居 络中。 由。这种 FortiGate 和添加到邻居列表的路由器之间的点对点的路由信息交换更加安 全,并且可以减少网络通讯。在非广播网络中必须添加邻居以交换路由。 和访问一个局域网中的服务器。 添加 RIP 邻居 进入 系统 >RIP> 邻居。 单击新建以添加 RIP 邻居。 添加您希望 FortiGate 与之交换路由信息的邻居路由器的 IP 地址。 单击发送 RIP1 以将 RIP1 消息发送到邻居。 单击启用发送 RIP2 以将 RIP2 消息发送到邻居。 单击确定以将 RIP 邻居添加到列表。 添加 RIP 过滤器 路由信息。您可以创建两种过滤器:... -
Page 138: 添加单一 Rip 过滤器
添加 RIP 过滤器 ·添加单一 RIP 过滤器 ·添加一个 RIP 过滤列表 ·添加一个邻居过滤器 ·添加一个路由过滤器 添加单一 RIP 过滤器 一 RIP 过滤器。您最多可以添加 4 个 RIP 过滤器或 RIP 过滤列表。 一个 RIP 过滤列表” 进入 系统 >RIP> 过滤器。 单击新建以添加一个 RIP 过滤器。 配置这个 RIP 过滤器。 过滤器名 空白过滤器 掩码 动作 接口... -
Page 139: 添加一个邻居过滤器
RIP 配置 掩码 动作 接口 单击确定以将路由前缀添加到这个过滤器。 重复步骤 添加一个邻居过滤器 进入 系统 >RIP> 过滤器。 根据需要添加 RIP 过滤器和 RIP 过滤器列表。 对于邻居过滤器,选择一个 RIP 过滤器或 RIP 过滤器列表的名称,使之成为邻居过滤 器。 单击应用。 从邻居接收到的路由将被选定的 RIP 过滤器或 RIP 过滤器列表过滤。 添加一个路由过滤器 进入 系统 >RIP> 过滤器。 根据需要添加 RIP 过滤器和 RIP 过滤器列表。 对于路由过滤器,选择一个 RIP 过滤器或 RIP 过滤器列表的名称,使之成为路由过滤 器。... - Page 140 添加 RIP 过滤器 RIP 配置 美国飞塔有限公司...
-
Page 141: 系统配置
系统配置 ·设置系统日期和时间 ·更改基于基于 Web 的管理程序的选项 ·添加和编辑管理员帐号 ·配置 SNMP ·定制替换信息 设置系统日期和时间 手工设置时间,也可以将 FortiGate 配置为自动地和一个网络时间协议 (NTP)服务器 的时钟保持同步。 http://www.ntp.org。 按以下步骤设置日期和时钟: 进入 系统 > 配置 > 时间 。 单击 刷新 以显示 FortiGate 中的当前日期和时间。 从列表中选择您所在的 时区 。 如果您希望 FortiGate 系统时钟当您所在的时区调整为夏令时的时候自动调整,请单 击自动调整时钟。 可以选择 设置时间,然后将 FortiGate 的日期和时间设定为当前的日期和时间。 如果要将... -
Page 142: 更改基于基于 Web 的管理程序的选项
更改基于基于 Web 的管理程序的选项 图 1: 更改基于基于 Web 的管理程序的选项 ·设置系统空闲超时。 ·设置认证超时。 ·选择基于 Web 的管理程序所用的语言。 ·修改网关失效检测的设置。 设置系统空闲超时 在空闲超时栏输入以分钟为单位的数字。 单击应用。 设定的空闲超时时间控制着基于 Web 的管理程序在要求管理员重新登录前所经历的非 活动状态的等待时间。 默认的空闲超时时间是 5 分钟。可以设置的最大空闲超时时间是 480 分钟 (8 小时) 。 设置认证超时 在认证超时栏输入一个以分钟为单位的数字。 单击应用。 认证超时时间控制了防火墙在要求用户再认证前所等待的非活动时间的时间间隔。查 看 默认的认证超时时间是 15 分钟。您可以设置的最大认证超时时间是 480 分钟 (8 小 时)... -
Page 143: 添加和编辑管理员帐号
系统配置 选择基于 Web 的管理程序所用的语言 在语言列表中选择基于 Web 的管理程序使用的语言。 单击应用。 您可以选择英文、简体中文、日文、韩文或繁体中文。 注意:如果基于 Web 的管理程序的语言被设定为使用简体中文、日文、韩文或者繁体中文,您可 以使用基于 Web 的管理程序右上角的 Englsih 按钮切换回英文。 为 LCD 控制面板设置 PIN 保护 单击 LCD 面板的 PIN 保护。 输入 6 位数的 PIN。 管理员必须输入 PIN 才能使用控制按钮和 LCD。 单击应用。 修改失效网关检测设置 器确认连接是否有效。要在接口添加 ping 服务器,请见 。 在时间间隔栏,输入以秒为单位的数字以指定... -
Page 144: 编辑管理员帐号
添加和编辑管理员帐号 单击 新建 以添加新的管理员帐号。 输入管理员帐号登录时所用的 用户名 。 用户名的长度不能少于 6 个字符。用户名可以包括数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 输入并确认一次这个管理员帐号的 密码 。 为了提高安全性,密码的长度应当不少于 6 个字符。密码可以包括除了空格以外的任 何字符。 可以选择是否输入受信任主机的 IP 地址 和 子网掩码 。这将限制这个管理员帐号只 能从指定的位置登录到基于 Web 的管理程序上。 如果希望管理员可以从任何地方访问 FortiGate,就需把受信任主机的 IP 地址设置为 0.0.0.0,掩码设置为 0.0.0.0。 如果要限制管理员只能从指定的网络访问 FortiGate,只需要把受信任主机的地址设置 为那个网络的地址,并把掩码设置为那个网络的网络掩码。例如,如果要限制管理员... -
Page 145: 配置 Snmp
和发送陷阱。FortiGate 中的 SNMP 代理支持 SNMP 版本 1 和 SNMP 版本 2c。RFC 支持包 括 RFC1213 和 RFC2665。FortiGateSNMP 实现是只读的。服从 SNMP v1 和 v2c 的 SNMP 管理者可以只读访问 FortiGate 系统信息和接收 FortiGate 陷阱。要监视 FortiGate 系统信息和接收 FortiGate 陷阱,您必须将 Fortinet 特征 MIB 和标准 MIB 编译进 SNMP 管理器。 ·为 SNMP 监视配置 FortiGate 设备... -
Page 146: Fortigate 管理信息库 (Mib
和小写字母 (A-Z,a-z)以及特殊字符 - 和 _。空格符和 \<>[]` $ % & 等符号都不能使用。 最多可以输入三个陷阱接收器的 IP 地址,这些 IP 地址必须都在您的网 络上。这些陷阱接收器被配置为接收从 FortiGate 中发出的陷阱消息。 而您的 FortiGate 只向这些地址发送陷阱消息。 SNMP 配置的例子 FortiGate SNMP 代理支持 FortiGate 私有 MIB 也支持标准的 RFC 1213 和 RFC 表 1 中列出了 FortiGate MIB。您可以从 Fortinet 技术支持获得这些 MIB 您的 SNMP 管理者可能已经在一个已编译的数据库中包含了标准的和私有的 MIB, 系统配置 美国飞塔有限公司... -
Page 147: Fortigate 陷阱
MIB 文件名 EtherLike.mib FN-TRAP.mib FORTINET.mib RFC1213.mib FortiGate 陷阱 收器必须是在您的网络中的并且已经配置为可接收从 FortiGate 发出的陷阱消息。为 了使这些 SNMP 管理者能接收陷阱,您必须在 SNMP 管理者中加载并编译 Fortinet 陷阱 MIB。表 2 表 2: FortiGate 陷阱 陷阱消息 < 接口名称 > 接口的 IP 地址更改为 < 新 _IP> (Fortigate 序列号 : <FortiGate_ 序列号 >) 系统关闭... -
Page 148: 定制替换信息
定制替换信息 ·定制替换信息 ·定制报警邮件 图 3: 定制替换信息 合创建您自己的替换信息。 段。 进入 系统 > 配置 > 替换信息。 对于您要定制的替换信息单击修改 在消息设置对话框,编辑这个消息的内容。 表 3 个合法的标签您可以添加任何文字。对于电子邮件和 HTTP 消息您还可以添加 HTML 编 码。 单击确定以保存您所做的修改。 表 3: 替换信息片段 文件阻塞 片段开始 允许的标签 片段结束 本节描述了以下内容: 替换信息的例子 替换信息列表中的每个替换信息由不同的几个部分组成。您可以利用这些部分的组 您可以编辑替换信息列表中的任何替换信息,并且可以根据需要添加替换信息片 列出了可以添加到替换信息的替换信息片段和每个片段的标签书写格式。对于每 用于阻塞文件 (所有服务) 。 <**BLOCKED**>... -
Page 149: 定制报警邮件
系统配置 表 3: 替换信息片段 扫描 片段开始 允许的标签 片段结束 隔离 片段开始 允许的标签 片段结束 定制报警邮件 进入 系统 > 配置 > 替换信息。 对于您要定制的报警邮件信息,单击修改 在消息设置对话框,编辑消息的文本。 表 4 合法的标签您还可以添加任何文字和 HTML 编码。 单击确定以保存您所做的任何修改。 表 4: 报警邮件消息的片段 NIDS 事件 片段开始 允许的标签 片段结束 病毒警报 片段开始 允许的标签 FortiGate-300 安装和配置指南 用于病毒扫描... - Page 150 定制替换信息 表 4: 报警邮件消息的片段 ( 续 ) 阻塞事件 片段开始 允许的标签 紧急事件 片段开始 允许的标签 片段结束 用于文件阻塞报警邮件消息 <**BLOCK_ALERT**> %%FILE%% %%PROTOCOL%% 被阻塞的文件所用的服务。 %%SOURCE_IP%% 接收被阻塞的文件时的源 IP 地址。对于电子邮件, 这个 IP 地址是发送包含了被阻塞的文件的电子邮 件的邮件服务器的地址。对于 HTTP,它是发送被阻 塞的文件的网页页面的 IP 地址。 %%DEST_IP%% 要接收被阻塞的文件的计算机的 IP 地址。对于电 子邮件这个 IP 地址是试图下载含有被感染了的病 毒的消息的用户计算机的 IP 地址。 %%EMAIL_FROM%% 含有被阻塞的文件的消息的发件人的邮件地址。...
-
Page 151: 地址
防火墙配置 用来决定如何处理一个连接请求的一系列指令。当防火墙收到一个数据包内的连接请 求时,它提取出这个数据包的源地址、目的地址和服务 (端口号)进行分析。 数据包源地址、目的地址和服务相匹配的防火墙策略。这个策略指导防火墙如何处理 这个数据包。处理方式可以是允许连接、拒绝连接、在连接前要求认证,或将数据包 作为 IPSec VPN 包处理。您还可以在策略中添加任务计划使得防火墙可以在每天不同 时间、一周、月或年中的不同日子用不同的方式处理连接。 址、目的地址和端口。您可以添加 IP 池使防火墙转换源地址的时候使用动态 NAT。您 可以使用策略配置通过 FortiGate 的端口地址转换 (PAT) 。 防病毒保护、网页过滤和电子邮件过滤。您可以创建由下面动作之一或任意组合的功 能的内容配置文件: ·在 HTTP, FTP, SMTP, IMAP, 或 POP3 服务中应用防病毒保护。 ·隔离已经被病毒感染或可能被病毒感染了的文件。 ·对 HTTP 服务应用网页过滤。 ·对 IMAP 和 POP3 服务应用电子邮件过滤。 的连接。 ·默认防火墙配置... -
Page 152: 默认防火墙配置
默认防火墙配置 默认防火墙配置 FortiGate 设备连接到互联网。防火墙阻塞其他所有的连接。防火墙被配置为用一条默 认策略匹配从内部网络上收到的所有的连接请求。这条策略指示防火墙将这些连接转 发到互联网上。 图 4: • ·服务 ·任务计划 ·内容配置文件 地址 添加接口之间的策略,这个接口必须包含地址。默认情况下 FortiGate 设备配置了以 下防火墙地址: ·内部 _ 全部,添加到内部接口,这个地址匹配于内部网络上的全部地址。 ·外部 _ 全部,添加到外部接口,这个地址与外部网络中的全部地址匹配。 ·DMZ_ 全部,添加到 DMZ 接口。这个地址匹配于 DMZ 网络中的全部地址。 匹配从内部网络来的全部连接,因为它包含了内部 _ 全部 地址。默认策略也匹配到外 部网络的全部连接,因为它包含了 外部 _ 全部 地址。 防火墙地址的详细信息,请见 置防火墙策略。 地址,必须添加虚拟... -
Page 153: 内容配置文件
防火墙配置 内容配置文件 保护、网页内容过滤和电子邮件过滤。FortiGate 设备包括了以下默认的内容配置文 件: ·严谨 : 对 HTTP, FTP, IMAP, POP3, 和 SMTP 内容通讯应用最大程度的内容保护。 ·扫描 : 对 HTTP, FTP, IMAP, POP3, 和 SMTP 内容通讯应用防病毒扫描。 ·网页 : 对 HTTP 内容通讯应用防病毒扫描和网页内容阻塞。 ·不过滤 : 允许超大型的文件不经过防病毒扫描直接通过 FortiGate 设备。 添加防火墙策略 进入 防火墙 > 策略。 选择您要添加策略的策略... -
Page 154: 防火墙策略选项
添加防火墙策略 图 5: 防火墙策略选项 源地址 先把它添加到源网络接口上。关于添加地址,见 目的地址 必须先把它添加到目的网络接口上。关于添加地址,请参阅 还可以是一个虚拟 IP 地址, 它将数据包的目的地址映射到一个隐藏的目的地址。 请见 第 155 页 “ 虚拟 IP” 添加 NAT/ 路由策略 本节叙述了您可以在防火墙策略中设置的选项。 选择与数据包源地址匹配的地址或地址组。在您把这个地址添加到策略之前,必须 选择与数据包目的地址匹配的地址或者地址组。在您把这个地址添加到策略之前, NAT 模式下的策略,目的网络上的地址是源网络中使用 NAT 隐藏的地址。目的地址 。 防火墙配置 第 145 页 “ 地址” 。 第 145 页 “ 地址” 美国飞塔有限公司... - Page 155 防火墙配置 任务计划 计划” 服务 择,或者添加自己定制的服务类型和服务组。 见 动作 接受 拒绝 加密 果您选择了 NAT,您还可以选择一个动态 IP 池和一个固定的端口。NAT 在透明模式下 不可用。 动态 IP 池 固定端口 VPN 通道 换的 VPN 通道。VPN 通道在透明模式下不可用。 允许向内 允许向外 向内 NAT 向外 NAT FortiGate-300 安装和配置指南 选择任务计划可以控制策略生效和用于匹配连接的时间,见 。 选择一个服务与数据包的服务 (端口)相对应。您可以从大量的预定义服务中选 选择当策略与连接尝试相匹配时防火墙的响应方式。 接受连接。如果您选择接受,可以配置这个策略的 NAT 和认证选项。 拒绝连接。在这种情况下您唯一能配置的其他选项就是记录日志。记录日志...
- Page 156 添加防火墙策略 流量控制 数据通过 FortiGate 时,流量控制可以控制哪个策略具有更高的优先权。例如,为网 页服务器设定的策略可能被分配比大多数为雇员电脑设定的策略更高的优先级。当一 个雇员需要非同寻常的对互联网的高速访问的时候,可以为他设置一个具有较高带宽 的特定的向外连接策略。 保证带宽 最大带宽 数据流优先级 认证 密码。选择用户组可以控制哪些用户可以通过认证使用这个策略。要添加和配置一个 用户组,见 认证。为了让用户能够认证,必须添加为认证配置的 HTTP、Telnet 或者 FTP 策略。当 用户试图通过防火墙使用这个策略连接时,他们将会被提示输入防火墙用户的用户名 和密码。 包含了您想要进行认证的服务和 HTTP、Telnet 或 FTP 服务的服务组。用户可以在使用 这个策略的其它服务之前先使用 HTTP、Telnet 或 FPT 认证。 不可用,用户将无法使用域名访问网页服务、FTP 或者 Telnet 服务。 病毒防护与 Web 过滤器 型是 任意、HTTP、SMTP、POP3 或者 IMAP,或者是一个包含了 HTTP、SMTP、POP3 或 IMAP 的服务组,您可以选择病毒防护和网页过滤。...
-
Page 157: 配置策略列表
防火墙配置 图 6: 记录流通日志 日志的详细信息请见 注释 个字符,包括空格。 配置策略列表 您必须把策略列表中的策略按照从特殊到一般的顺序排列。 的一个例外策略时,必须把这些例外的策略添加到默认策略的上方。任何在默认策略 下面的策略都永远不会被匹配到。 FortiGate-300 安装和配置指南 添加透明模式策略 选择记录流通日志可以在策略处理一个连接的时候向日志写入一条消息。关于记录 第 245 页 “ 日志和报告” 可以选择添加一个关于这个策略的描述或者其他信息。注释的长度最多可以到 63 防火墙从策略列表的顶端向下搜索匹配的策略,直到找到第一个匹配的策略为止。 例如,默认策略是非常一般的策略,因为它匹配所有的连接尝试。当创建这个策略 配置策略列表 。... -
Page 158: 地址
配置策略列表 ·策略匹配的细节 ·更改策略列表中策略的顺序 ·启用和禁用策略 策略匹配的细节 这个策略列表中查找与这个连接请求匹配的策略。FortiGate 根据连接请求的源地址和 目的地址决定使用哪个策略列表。 接请求的源地址、目的地址、服务端口以及接收到连接请求的日期和时间相匹配的策 略。匹配的第一个策略将被应用于连接。如果没有找到匹配的策略,连接将被丢弃。 网页、使用 POP3 接收邮件、使用 FTP 通过 FortiGate 下载文件等等。如果 默认的策 略在内部 -> 外部策略列表的顶端,防火墙将允许全部从内部网络到互联网的连接,因 为所有的连接都和默认策略匹配。如果有其他特殊策略被添加到了策略列表并处在默 认策略的下方,他们永远也不会被匹配。 策略列表中位于默认策略的上方。在这个例子中,所有来自内部网络的 FTP 连接尝试 都与这个 FTP 策略匹配,于是被阻塞。而其它类型服务的连接请求将不会被这个 FTP 策略所匹配,但是它们能够匹配默认策略。于是,防火墙仍然接受来自内部网络的所 有其它连接。 注意:需要认证的策略必须添加到策略列表中不需认证的策略的前面。否则,不需要认证的策略 将先被匹配。 更改策略列表中策略的顺序 进入 防火墙 > 策略。 选择所要重新排序的策略列表的标签。 选择要移动的策略然后单击... -
Page 159: 添加地址
防火墙配置 启用一个策略 进入 防火墙 > 策略。 选择含有要启用的策略的策略列表的标签。 选中要启用的策略的选中标志。 地址 必须先把这些地址添加到每个接口的地址列表中去。 地址组以简化创建的策略。 ·一个防火墙地址由一个 IP 地址和一个网络掩码构成。这一信息可以描述为: ·子网的地址 (例如,对于一个 C 类子网,IP 地址:192.168.20.0 和网络掩码: ·一个单独的 IP 地址 (例如,IP 地址:192.168.20.1 和网络掩码: ·全部可能的 IP 地址 (表示方式为 IP 地址:0.0.0.0 和网络掩码:0.0.0.0) 。 注意:IP 地址:0.0.0.0 和网络掩码: 255.255.255.255 不是有效的防火墙地址。 ·添加地址 ·编辑地址... -
Page 160: 编辑地址
地址 输入这个 IP 地址。 这个 IP 地址可以是: ·单个电脑的 IP 地址 (例如,192.45.46.45) 。 ·一个子网的地址 (例如,一个 C 类子网 192.168.1.0) 。 ·0.0.0.0 来表示全部可能的 IP 地址。 输入子网掩码。 子网掩码应当对应于所添加的 IP 地址的类型。例如: ·对于单个主机的 IP 地址的子网掩码应当是 255.255.255.255。 ·A 类子网的子网掩码应该是 255.0.0.0。 ·B 类子网的子网掩码应该是 255.255.0.0。 ·C 类子网的子网掩码应该是 255.255.255.0。 ·全部地址的网络掩码应当是 0.0.0.0。 注意:要添加一个地址以表示在一个网络中的任意地址,可以将... -
Page 161: 删除地址
防火墙配置 删除地址 添加到策略中。要删除一个已经添加到策略的地址,必须先把它从那个策略中删除。 进入 防火墙 > 地址。 选择含有您要删除的地址的列表。 您可以删除被列出的地址中带有 删除标志 选择要删除的地址,单击 删除 单击 确定 以删除地址。 将地址编入地址组 三个地址并将其添加到一个地址组,您只需要为这个地址组创建一个策略,而不用去 为三个地址创建三个单独的策略。 的地址。地址组可以用于网络接口的源地址或者目的地址列表。 不能删除它,除非先从这个策略中删除这个地址组。 进入 防火墙 > 地址 > 组。 选择要添加地址组的接口。 输入一个地址组名 以标识这个地址组。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 要把 地址 添加到这个地址组,从有效地址列表中选择一个地址,然后单击向右箭头 把它添加到成员列表中。... -
Page 162: 预定义的服务
服务 图 8: 服务 义的服务。也可以创建您自己定制的服务然后把服务添加到服务组中去 ·预定义的服务 ·访问定制服务 ·服务分组 预定义的服务 表 5: FortiGate 预定义的服务 服务名称 任意 添加一个内部地址组。 使用服务可以控制防火墙接受或者拒绝的流通类型。可以为一个策略添加任何预定 本节叙述了以下内容: FortiGate 预定义服务在表 5 中列出。您可以将这些服务添加到任何策略中。 内容 可以在任何端口匹配连接。使用任何预定义服 务的连接都可以通过防火墙。 通用路由封装。通过把协议的数据包封装为 GRE 数据包的方式,允许任意一个网络协议通 过任意一个另外的网络协议传输的协议。 认证头。AH 提供安全主机认证和数据验证, 但是不加密。这个协议用于设置为积极模式的 IPSec 远程网关的认证。 防火墙配置 协议 端口 全部 全部 美国飞塔有限公司... - Page 163 防火墙配置 表 5: FortiGate 预定义的服务 ( 续 ) 服务名称 DHCP- 中继 FINGER GOPHER H323 HTTP HTTPS IMAP 互联网定位服务 L2TP LDAP NetMeeting NNTP OSPF PC-Anywhere PING POP3 FortiGate-300 安装和配置指南 内容 封装安全有效载荷。这个服务用于自动密钥交 换的 VPN 通道和手工密钥 VPN 通道,以传输加 密的数据。自动密钥交换 VPN 通道在使用 IKE 建立连接之后使用 ESP 传输数据。 AOL 即时消息协议。...
-
Page 164: 访问定制服务
服务 表 5: FortiGate 预定义的服务 ( 续 ) 服务名称 PPTP QUAKE RAUDIO RLOGIN SMTP SNMP SYSLOG TALK TELNET TFTP UUCP VDOLIVE WAIS WINFRAME X-WINDOWS 访问定制服务 制的服务。 进入 防火墙 > 服务 > 定制。 单击 新建 。 输入服务的名字 。当您添加一个新的策略时,这个名字将出现在服务列表中。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。... -
Page 165: 服务分组
防火墙配置 通过输入 最高端口号 和 最低端口号 ,为这个协议指定一个源端口和一个目的端口 号的范围。如果服务仅使用一个端口,就在最高和最低端口号上输入相同的数字。 如果这个服务有多于一个的 端口地址范围 ,选择 添加 以指定附加的协议和端口范 围。 如果错误地添加了太多的端口地址范围,可以单击 删除 单击 确定 以添加这个定制服务。 现在您可以把这个服务添加到策略中了。 服务分组 务的策略。一个服务组可以包括预定义服务和定制服务并以任何方式将其组合。您不 能把一个服务添加到其它服务组里。 进入 防火墙 > 服务 > 组。 单击 新建 。 输入一个用于识别这个组的 组名。 当添加策略的时候,这个名字将出现在服务列表中。这个名字不能和预定义服务相同。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。... -
Page 166: 任务计划
任务计划 任务计划 任务计划。您可以使用一次性的任务计划创建策略,这个策略只在任务计划指定的时 间段内有效。周期性的任务计划不断地重复生效;可以使用周期性任务计划创建策略, 这个策略只在每天的特定时间或者每周的特定日期生效。 ·创建一个一次性任务计划 ·创建周期性任务计划 ·在策略中添加一个任务计划 创建一个一次性任务计划 活。例如,您的防火墙可能被配置为默认的 内部到外部 策略,它允许在任何时间从 内部网络访问互联网上的任何服务。您可以添加一个一次性任务计划以阻止在节日期 间对互联网的访问。 进入 防火墙 > 任务计划 > 一次性。 单击 新建 。 输入一个任务计划任务计划的 名称。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 输入任务计划的 开始日期 和 时间 。 如果需要任务计划在一整天中都有效,就把开始和结束时间都设置为 00。 设置任务计划的... -
Page 167: 创建周期性任务计划
防火墙配置 图 10: 创建周期性任务计划 或者取消对策略的激活。例如,您可能需要创建一个任务计划阻止在工作时间以外的 时间里访问互联网。 所设置的开始时间开始,并于第二天的结束时间终止。您可以使用这种方法创建一个 周期性任务计划让它从第一天运行到第二天。也可以创建一个 24 小时运行的周期性任 务计划,只需要把它的开始时间和结束时间设置成相同的时间既可。 进入 防火墙 > 任务计划 > 周期性。 单击 新建 以添加新的任务计划。 输入任务计划的 名称 。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 选择在一周里任务计划生效的 日期 。 设置 开始时间 和 结束时间 ,在这段时间里任务计划是激活的。 周期性任务计划使用 24 小时制的时间表示法。 单击... -
Page 168: 在策略中添加一个任务计划
任务计划 图 11: 在策略中添加一个任务计划 创建策略的时候,可以在策略中添加新的任务计划,或者可以编辑现有的策略,向其 添加一个新的任务计划。 进入 防火墙 > 策略。 选择要添加的策略类型对应的标签。 单击 新建 以添加新的策略,或者单击 编辑 间。 根据需要配置策略。 从任务计划列表中选择要添加的 任务计划 。 单击 确定 以保存策略。 安排这个策略在策略列表中的顺序,以达到预期的效果。 略相匹配的新策略来拒绝任何访问,并选择您所添加的一次性任务计划,把动作方式 设置为拒绝。然后把这个包含一次性任务计划的策略放到策略列表中要被拒绝的策略 的上方。 添加周期性任务计划 在创建一个任务计划之后,您可以把它添加到策略中,以控制策略生效的时间。在 例如,使用一个一次性任务计划来拒绝对一个策略的访问,可以添加一个与这个策 防火墙配置 以编辑一个策略,改变它的运行时 美国飞塔有限公司... -
Page 169: 虚拟 Ip
防火墙配置 虚拟 IP 一个较不安全的网络连接到一个较安全的网络中的某个地址上,您必须创建一个从较 不安全的网络中的地址到较安全的网络中的地址的映射。这个映射称为虚拟 IP。 10.10.10.3 的私有 IP。为了让互联网内的数据包能够达到网页服务器,您必须为网页 服务器提供一个互联网上的外部地址。然后需要添加一个虚拟 IP 地址把 Web 服务器的 外部地址映射到位于 DMZ 网络中的 Web 服务器的真实地址上。为了允许从互联网到网 页服务器的连接,必须添加一个外部 ->DMZ 的防火墙策略并把目的地址设置为这个虚 拟 IP。 静态 NAT 端口转发 ·添加静态 NAT 虚拟 IP ·添加端口转发虚拟 IP ·添加使用虚拟 IP 的策略 添加静态 NAT 虚拟 IP 进入... -
Page 170: 添加端口转发虚拟 Ip
虚拟 IP 注意:防火墙把从主机向外发出的数据包的源地址从被映射的 IP 地址转换为外部的虚拟 IP 地 址,而不是防火墙的地址。 单击 确定 以保存虚拟 IP 地址。 图 12: 添加端口转发虚拟 IP 进入 防火墙 > 虚拟 IP。 单击 新建 以添加新的虚拟 IP。 输入虚拟 IP 的 名称 。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 选择虚拟 IP 外部接口。 外部接口是接收转发到目的网络的数据包的源网络的接口。 修改端口转发的类型。... -
Page 171: 添加使用虚拟 Ip 的策略
防火墙配置 输入为端口转发配置的 外部的服务端口号。 外部设备端口号必须与数据包要转发到的目的地址的端口号相匹配。例如,如果虚拟 IP 地址提供了一个从互联网到您内部网络或者 DMZ 网络上的网页服务器的访问,那么 外部的服务端口拷应当是 80 (即 HTTP 端口) 。 在 映射 IP 地址 一栏中,需要输入在目的网络上的 真实 IP 地址 。 例如,真实 IP 地址可以是位于您的内部网络中的 Web 服务器的地址。 如果您输入的是和内部接口在同一子网内的一个 IP 地址,虚拟 IP 可以被添加到外部 - > 内部 >,或 DMZ-> 内部类型的策略中去。 如果您输入的是和 DMZ 接口在同一子网内的 IP 地址,虚拟 IP 可以被添加到外部 ->DMZ 类型的策略中去。... -
Page 172: Ip 池
IP 池 选择要添加的策略的 类型 : ·源接口必须匹配于外部接口列表中选中的接口。 ·目的区域必须匹配于映射到的 IP 地址所在网络相连接的接口。 使用以下信息配置策略。 源地址 目的地址 任务计划 服务 动作 认证 记录流通日志 病毒防护与 Web 过滤器 单击 确定 以保存这个策略。 IP 池 果您为一个接口添加了 IP 池,当配置一个其目的地址设为此接口的策略时可以选择动 态 IP 池。如果您希望添加一个 NAT 模式的策略,以将源地址转换为从 IP 池中随机选 择的地址,而不仅仅是使用目的接口的地址,您也可以添加一个 IP 池。 策略选择动态 IP 池。 FortiGate 网络接口是... -
Page 173: 使用固定端口的防火墙策略的 Ip 池
防火墙配置 选择要添加 IP 池的 网络接口 。 单击 新建 以将新的 IP 池添加到选中的网络接口。 输入这个 IP 池的地址范围的 起点 IP 地址 和 终点 IP 地址 。 这个起点 IP 和终点 IP 须用来定义 IP 池的 IP 地址范围的起止点地址。其中,起点 IP 地址必须小于终点 IP 地址。起点 IP 地址和终点 IP 地址必须有相同的子网地址,并且 都 IP 地址池添加到的那个网络接口所在的子网内。 如果您已经将外部接口配置为使用... -
Page 174: Ip/Mac 绑定
IP/MAC 绑定 IP/MAC 绑定 一台主机企图使用另一台受信任的主机的 IP 地址连接到 FortiGate 或者通过 FortiGate。这个电脑的 IP 地址可以轻易地改变为受信任的地址,但是 MAC 地址是由 生产厂家添加到以太网卡上的,不能轻易地改变。 址,FortiGate 设备会将这些 IP 地址和它们对应的 MAC 地址添加到动态 IP/MAC 表。请 见 模式下不可用。 注意:在您启用了 IP/MAC 绑定后,如果您修改了一台电脑的 IP 地址或者 MAC 地址,且此 IP 地 址和 MAC 地址已经在 IP/MAC 绑定列表中,则您必须同时修改 IP/MAC 列表中的相应的条目。否则 这台电脑将无法访问... -
Page 175: 为连接到防火墙的数据包配置 Ip/Mac 绑定
防火墙配置 址对已经添加到 IP/MAC 地址绑定列表了: ·一个 IP 地址为 1.1.1.1 ,MAC 地址为 12:34:56:78:90:ab:cd 的数据包将被允许到 ·一个 IP 地址为 1.1.1.1, 但是使用了不同 MAC 地址的数据包将立即被丢弃,以防止 ·一个使用了不同 IP 地址但是 MAC 地址是 12:34:56:78:90:ab:cd 的数据包也将被丢 ·如果这个数据包的 IP 地址和 MAC 地址在 IP/MAC 地址绑定列表都没有定义: 为连接到防火墙的数据包配置 IP/MAC 绑定 理的时候) ,通过以下操作可以使用 IP/MAC 地址绑定对数据包进行过滤。 进入防火墙... -
Page 176: 查看动态 Ip/Mac 列表
IP/MAC 绑定 为新的 IP/MAC 地址绑定对输入一个名字。 这个名字可以包含数字 (0-9) ,大写或者小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不允许使用其它特殊字符和空格符。 选择启用以启用这个 IP/MAC 地址对的 IP/MAC 地址绑定。 单击确定以保存这个 IP/MAC 地址对。 查看动态 IP/MAC 列表 进入 防火墙 > IP/MAC 绑定 > 动态 IP/MAC。 启用 IP/MAC 地址绑定 警告:确保您在启用 IP/MAC 绑定之前已经添加了您的管理员电脑的 IP/MAC 地址对。 进入防火墙... -
Page 177: 内容配置文件
防火墙配置 内容配置文件 使用内容配置文件完成以下任务: ·为 HTTP, FTP, POP3, SMTP, 和 IMAP 策略配置防病毒保护 ·为 HTTP 策略配置网页过滤 ·为 IMAP 和 POP3 策略配置电子邮件过滤 ·为 HTTP, FTP, POP3, SMTP, 和 IMAP 策略配置超大型邮件过滤 ·为 POP3, SMTP, 和 IMAP 策略配置邮件片段传输 式。这就使得您可以为不同的防火墙策略定制不同类型和不同级别的保护。 仅仅需要中等的保护。您可以使用相同或不同的内容配置文件为不同的通讯服务的策 略进行配置。 ·默认的内容配置文件 ·添加一个内容配置文件 ·将内容配置文件添加到策略 默认的内容配置文件 件。... - Page 178 病毒扫描” 。 删除与文件阻塞样板匹配的文件,即使它们不包含病毒。只有发现了新 的,防病毒扫描功能无法检测的病毒时,您才有必要启用这一功能。请 见 第 225 页 “ 文件阻塞” 。 隔离被阻塞和被感染的文件。 阻塞不受欢迎的网页和网站。 这个选项将 Fortinet URL 阻塞 ( 请见 第 233 页 “ 阻塞对 URL 的访问” 第 235 页 “ 使用 Cerberian 网页过滤器” HTTP 通讯中。 阻塞包含不受欢迎的词汇或短语的网页。请见 塞” 。 从网页中删除脚本。请见 第 238 页 “ 脚本过滤”...
-
Page 179: 将内容配置文件添加到策略
防火墙配置 图 16: 将内容配置文件添加到策略 您可以将内容配置文件添加到一个策略,这个策略的动作可以是接受或拒绝、服务类 型可以是任意、HTTP、FTP、IMAP、POP3、SMTP 或一个包含以上服务的服务组。 进入 防火墙 > 策略。 单击包含了您要添加内容配置文件的那个策略的策略列表。 例如,要内部网络用户从网站上下载的文件启用网络保护,选择一个内部到外部的策 略。 单击新建以添加一个新的策略,或选择一个策略并单击编辑 选择病毒防护和网页过滤。 选择内容配置文件。 如果需要的话配置其余的策略选项。 单击确定。 对您要启用网络保护的任何策略重复以上步骤。 FortiGate-300 安装和配置指南 内容配置文件举例 内容配置文件 。... - Page 180 内容配置文件 防火墙配置 美国飞塔有限公司...
-
Page 181: 用户与认证
用户与认证 认证。您可以把用户名添加到 FortiGate 用户数据库中,然后为用户设置一个密码以 允许用户使用这个内部数据库进行认证。也可以添加一个 RADIUS 服务器并且选择 RADIUS,以允许用户使用选定的 RADIUS 服务器进行认证或添加一个 LDAP 服务器并且 选择 LDAP,以允许用户使用选定的 LDAP 服务器进行认证。您还可以禁用某些用户使他 们无法通过 FortiGate 进行认证。 器和 LDAP 服务器添加到用户组中。然后当您需要认证的时候,可以选择相应的用户 组。 ·任何 动作 被设置为 接受 的防火墙策略 ·IPSec 拨号用户第一阶段配置 ·第一阶段 IPSec VPN 配置的 XAuth 功能 ·PPTP ·L2TP 名。如果这个用户名被设置成了禁用,那么这个用户就无法取得认证,连接将被放弃。 如果这个用户设置了密码并且密码匹配,那么就允许连接。如果密码不匹配,连接同 样会被放弃。... -
Page 182: 设置认证超时
设置认证超时 设置认证超时 进入 系统 > 配置 > 选项。 设置 认证超时 以控制在用户再次认证以取得对防火墙的访问权之前,防火墙能够保 持空闲的时间。 默认的认证超时是 15 分钟。 添加用户名并配置认证 ·添加用户名和配置认证 ·从内部数据库中删除用户名 添加用户名和配置认证 进入 用户 > 本地。 单击 新建 以添加新的用户名。 输入用户名。 _。不能使用其它特殊字符和空格符。 从以下内容中选择一项认证配置认证: 禁用 密码 LDAP Radius 如果您希望 FortiGate 在连接 RADIUS 服务器失败时尝试连接 FortiGate RADIUS 配置 中的其它... -
Page 183: 从内部数据库中删除用户名
用户与认证 图 17: 从内部数据库中删除用户名 用户组中删除。 进入用户 > 本地。 对于要删除的用户的用户名,单击 删除用户 单击 确定。 注意:删除用户名将删除这个用户的认证配置。 配置 RADIUS 支持 候,FortiGate 将连接 RADIUS 服务器以获得认证。 ·添加 RADIUS 服务器 ·删除 RADIUS 服务器 添加 RADIUS 服务器 进入 用户 > RADIUS。 单击 新建 以添加新的 RADIUS 服务器。 FortiGate-300 安装和配置指南 添加用户名... -
Page 184: 删除 Radius 服务器
配置 LDAP 支持 输入 RADIUS 服务器的名称。 您可以输入任何名称。此用户名可以包括数字 (0-9) ,大写和小写字母 (A-Z,a-z) , 以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 输入 RADIUS 服务器的域名 或者 IP 地址。 输入 RADIUS 服务器 密码。 单击 确定 。 图 18: 删除 RADIUS 服务器 进入用户 > RADIUS。 对您要删除的 RADIUS 服务器,单击服务器名旁边的 删除 单击... -
Page 185: 添加 Ldap 服务器
输入用于在 LDAP 服务器上搜索条目的名称。 使用适当的 X.509 或 LDAP 格式为服务器输入一个基本名称。FortiGate 设备会将这个 名称不加修改直接发送到服务器。 例如,您可以使用以下基本名称: ou= 行销,dc=fortinet,dc=com 其中 ou 是机构单位的缩写,dc 是域成员的缩写。 您还可以在基本名称中指定同一域名的多个实例。例如,要指定多个机构单位: ou= 帐目 ,ou= 行销 ,dc=fortinet,dc=com 单击确定。 图 19: 删除 LDAP 服务器 进入用户 > LDAP。 对您要删除的 LDAP 服务器,单击服务器名旁边的 删除 FortiGate-300 安装和配置指南 按以下步骤配置 FortiGate 设备的 LDAP 认证:... -
Page 186: 配置用户组
配置用户组 单击 确定。 配置用户组 您需要认证时,可以选择一个用户组。您可以对以下情况选择一个用户组: ·需要认证的策略。只有被选中的组中的用户和可以被添加到这个用户组的 RADIUS 服 ·拨号用户的 IPSec VPN 第一阶段配置。只有选定用户组中的用户可以通过认证使用 ·IPSec VPN 第一阶段配置的 XAuth 。 只有选定用户组中的用户可以通过认证使用 VPN ·FortiGate PPTP 配置。只有选定用户组中的用户可以使用 PPTP。 ·TFortiGate L2TP 配置。只有选定用户组中的用户可以使用 L2TP。 序决定了 FortiGate 设备使用他们请求认证的顺序。如果用户名在前,FortiGate 设备 在本地用户中检索匹配的用户名。如果没有找到匹配的用户名,FortiGate 设备将检索 RADIUS 服务器或 LDAP 服务器。如果先添加的是 RADIUS 服务器或 LDAP 服务器, FortiGate 设备将先在服务器中检索,如果没有找到匹配的用户名才在本地用户中检... -
Page 187: 删除用户组
用户与认证 图 20: 输入一个用于识别此用户组的 组名 。 这个组名可以是数字 (0-9) ,大写和小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不 能使用其它特殊字符和空格符。 要向这个用户组中添加 用户 ,需从 有效用户列表 中选择用户,然后单击右箭头将 用户名添加到成员列表中。 要向用户组中添加 RADIUS 服务器,从 有效用户列表 中选择 RADIUS 服务器名然后单 击右箭头将 RADIUS 服务器添加到成员列表中。 要向用户组中添加 LDAP 服务器,从 有效用户列表 中选择 LDAP 服务器名然后单击右 箭头将 RADIUS 服务器添加到成员列表中。 要从用户组中删除用户、RADIUS 服务器或... - Page 188 配置用户组 用户与认证 美国飞塔有限公司...
-
Page 189: Ipsec Vpn
IPSec VPN 联网,的连接组成。例如,某公司有两个办公室分别在两个不同的城市,每个都有它 自己的专用网络。这两个办公室可以通过 VPN 在彼此之间创建一个安全的通道。类似 地,一个电话拨号用户可以使用他的 VPN 客户端获得对他的专用办公网络的远程访问 权。在这两种情况下,在用户看来安全连接如同一个专用的网络通讯,即使这个通讯 是通过一个公共网络来传输的。 使得它可以通过公共网络传播。数据帧并不是以它原始的格式发送的,而是用一个附 加的头部进行封装并在通道的两个端点之间路由。在到达目的端点之后,数据被解封 并转发到它在专用网络中的目的地址。 西) 。这些信息根据已知的密钥使用数学算法加密和解密。 法计算校验和。 细信息,请见 ·密钥管理 ·手工密钥 IPSec VPN ·自动 IKE IPSec VPN ·管理数字证书 ·配置加密策略 ·IPSec VPN 集中器 ·冗余 IPSec VPN ·VPN 监视和问题解答 密钥管理 ·一个将信息变成编码的算法, ·一个作为这个算法的秘密起点的密钥, ·一个控制这个密钥的管理系统。 FortiGate-300 安装和配置指南... -
Page 190: 手工密钥
手工密钥 IPSec VPN · “手工密钥” · “使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE)” 手工密钥 在内的这些设置必须保密,从而避免未经授权的人员对数据解密,哪怕他们知道加密 所使用的算法。 使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE) 交换协议进行自动密钥生成和协商。这种密钥管理方法通常被称做自动 IKE。Fortinet 支持预置密钥的 IKE 和证书 IKE。 预置密钥的自动 IKE 对等的双方不必真正把密钥发送给对方。取而代之的是,作为安全协商过程的一部分, 他们可以将密钥和 Diffie-Hellman 组结合起来创建一个会话密钥。这个会话密钥可以 用于加密和认证的目的,并且在通讯会话的过程中通过 IKE 自动重建。 通道两端的匹配信息。当一个预置密钥改变时,系统管理员必须更新通道两端的设置。 使用证书的 自动 IKE 个 VPN 中对等的双方首先请求生成一系列密钥,通常被称做公钥 / 私钥对。CA 为每一... -
Page 191: 手工密钥 Vpn 的一般配置步骤
IPSec VPN 输入了这些值之后,无须再协商认证和加密算法即可发起 VPN 通道。只要您正确、完 整地输入了所有的值,双方之间即可建立通道。实质上通道一直存在于双方之间。结 果是当被一个策略所匹配的通讯请求通道时,它可以立刻被认证和加密。 ·手工密钥 VPN 的一般配置步骤 ·添加一个手工密钥 VPN 通道 手工密钥 VPN 的一般配置步骤 制对这个 VPN 通道访问的加密策略组成。 添加一个手工密钥 VPN 通道。请见 配置一个包含了这个通道、通道两端的源地址和目的地址的加密策略。请见 页 “ 配置加密策略” 添加一个手工密钥 VPN 通道 网关之间建立 IPSec VPN 通道。 进入 VPN > IPSec > 手工密钥。 单击新建以添加一个新的手工密钥 VPN 通道。 输入... -
Page 192: 自动 Ike Ipsec Vpn
个字符的部分。 输入一个 40 个字符 (20 字节 ) 的十六进制数 (0- 9, A- F)。将这个数分成一个 16 个字符的部分和一个 24 个字符的部分。 。 Fortinet 支持用自动密钥互联网密钥交换 (自动 IKE)以两种方式建立 IPSec VPN 一个自动 IKE VPN 的配置内容包括 第一阶段和第二阶段参数、通道两端的源地址 按以下步骤创建一个自动 IKE VPN 配置: 第 184 页 “ 管理数字证书” 第 179 页 “ 为自动 IKE VPN 添加第一阶段配置”... -
Page 193: 为自动 Ike Vpn 添加第一阶段配置
IPSec VPN 为自动 IKE VPN 添加第一阶段配置 客户)用于彼此认证以建立 IPSec VPN 通道的有关条件。 在第二阶段则建立起了通道。您可以选择使用相同的第一阶段参数建立多个通道。换 句话说,同一个远程 VPN 端点 (网关或客户)可以有多个连接到本地 VPN 端点 (FortiGate 设备)的多个通道。 VPN 端点。然后,它根据请求的源地址和目的地址发起一个 IPSec VPN 通道和应用加密 策略。 进入 VPN > IPSEC > 第一阶段。 单击新建以添加新的第一阶段配置。 输入远程 VPN 端点的网关名称。 远端 VPN 端点可以是另一个网络的网关或者互联网上的一个独立的客户。 这个名称可以含有数字 (0-9) ,大写和小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不能使用其它特殊字符或者空格符。... - Page 194 自动 IKE IPSec VPN 输入密钥寿命。 指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单 位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中 的密钥有效期可以从 120 秒到 172800 秒。 认证方式可以设置为预置密钥或者 RSA 签名。 ·如果您选择了预置密钥,输入一个由 VPN 双方共享的密钥。这个密钥可以包含任何字 ·如果您选择了 RSA 签名,选择一个由认证中心 (CA)进行数字签名的本地认证。要 (可选的)输入 FortiGate 设备的本地 ID。 只有当 FortiGate 设备作为客户并用它的本地 ID 对 VPN 远端认证它自己的时候,才需 要输入本地 ID。 (如果您没有添加本地 ID,FortiGate 设备将发送它的 IP 地址。 ) 只能在预置密钥和进取模式下配置本地...
- Page 195 混合 ——选择混合可以在 XAuth 客户端和 FortiGate 设备之间使用 PAP, 在 FortiGate 设备和认证服务器之间使用 CHAP。 只要可能就能使用 CHAP。如果认证服务器不支持 CHAP 则使用 PAP。 (所有 的 LDAP 和部分微软 RADIUS 使用 PAP) 。如果认证服务器支持 CHAP 但是 XAuth 客户端不支持 CHAP,就使用混合 (Fortinet 远程 VPN 客户端使用混 合) 。 选择 XAuth 认证的一组用户。这个用户组中的单独的一个用户可以由本地认 证或者由一个或多个 LDAP 或 RADIUS 服务器认证。...
-
Page 196: 为自动 Ike Vpn 添加第二阶段配置
自动 IKE IPSec VPN 图 21: 为自动 IKE VPN 添加第二阶段配置 (VPN 网关或客户端)之间创建和维护 VPN 通道所用的参数。 注意:使用预置密钥 VPN 和证书 VPN 的第二阶段配置相同。 进入 VPN > IPSEC > 第二阶段。 单击新建以添加新的第二阶段配置。 输入一个通道名称。 这个名称可以含有数字 (0-9) ,大写和小写字母 (A-Z,a-z) ,以及特殊字符 - 和 _。不能使用其它特殊字符或者空格符。 选择一个连接到这个 VPN 通道的远程网关。 远程网关可以是另一个网络中的网关或者互联网上的一个独立的客户。远程网关是作 为第一阶段配置的一部分添加的。有关的详细信息请见 VPN 添加第一阶段配置”... - Page 197 IPSec VPN 配置 P2 提议。 可以为第二阶段的提议最多选择三个加密和认证算法组合。 VPN 通道的两端必须使用相同的 P2 提议设置。 (可选的)启用重放检测。 重放检测可以保护 VPN 通道以抵御重放攻击。 注意:如果您已经为 P2 提议选择了无认证,则不用选择重放检测。 (可选的)启用向前保密 (PFS) 。 PFS 通过在密钥过期时启动一个新的 Diffie-Hellman 交换提高了安全性。 选择 DH 组。 VPN 双方必须使用相同的 DH 组设置。 输入密钥有效期。 密钥有效期限制第二阶段的密钥在一定时间内,或者千字节的数据被 VPN 通道处理过 之后过期,或者两者都有。如果您选择两者都是,则直到经过了指定的时间并且处理 了指定量的数据之后,密钥才会过期。 当密钥过期之后,无须中断服务就可以生成一个新的密钥。P2 提议中的密钥有效期可 以从 120 秒到 172800 秒或者从 5120 千字节到 99999 千字节。 (可选的)启用自动密钥保持激活。...
-
Page 198: 管理数字证书
来保证参与双方是可信的。 到认证中心,或从认证中心到您的本地电脑。 ·获得签名的本地证书 ·获得一个 CA 证书 注意:配置 fortiGate VPN 无须数字证书。数字证书是一项高级功能,它为系统管理提供了便 利。这一操作假定用户具有如何在他们的应用中配置数字证书的有关知识。 获得签名的本地证书 注意: VPN 端点的数字证书必须遵从 X.509 标准。 生成证书请求 进入 VPN > 本地证书。 添加第二阶段配置 在一个 IPSec 通讯会话的参与双方建立一个加密的 VPN 通道之前,数字证书可以用 Fortinet 使用手工操作获得证书。这包括从您的本地电脑将文本文件复制和粘贴 签名的本地证书可以为 FortiGate 设备提供其他设备鉴别它的能力。 您可以按照如下步骤生成一个公钥 / 私钥对。公钥是证书请求的基本元素。 按照如下步骤生成证书请求: IPSec VPN 美国飞塔有限公司... - Page 199 (http://)或任何端口号或路径名。 输入被认证的 FortiGate 设备的所有者的电子邮件地址。典型情况下,只 有客户才需要电子邮件地址,网关不需要。 输入请求这个 FortiGate 设备的证书的组织中的部门或单位的识别名称 (例如制造商或 MF) 。 输入请求这个 FortiGate 设备的证书的组织的依法登记的名称 (例如 Fortinet) 。 输入这个 FortiGate 设备所在的城市或城镇的名称 (例如北京) 。 输入 FortiGate 设备所在的省 / 市 / 自治区的名称 (例如河北省) 。 选择这个 FortiGate 设备所在的国家。 输入这个 FortiGate 设备的联络电子邮件地址。通常电子邮件地址仅用于 客户,而不是网关。 选择 RSA 作为密钥加密类型。不支持其他类型的密钥。...
- Page 200 管理数字证书 图 23: 下载证书请求 进入 VPN > 本地证书。 单击下载 单击保存。 命名这个文件并将它保存到管理员电脑中。 请求签名的本地证书 器。 在管理员电脑中使用一个文本编辑器打开本地证书请求。 复制证书请求。 连接到 CA 网页服务器。 添加本地证书 您可以使用如下操作将证书请求从 FortiGate 设备下载到管理员电脑。 按照如下步骤下载证书请求: 以将本地证书下载到管理员电脑。 在下面的操作中,您可以从管理员电脑中将证书请求复制和粘贴到 CA 网页服务 按照如下步骤请求签名的本地证书: IPSec VPN 美国飞塔有限公司...
- Page 201 IPSec VPN 申请一个签名了的本地证书。 按照 CA 网页服务器的指令进行如下操作: ·将一个 base64 编码的 PKCS#10 认证请求添加到 CA 网页服务器, ·将证书请求粘贴到 CA 网页服务器, ·在 CA 网页服务器上提交证书请求。 现在证书请求已经提交到 CA 以进行签名。 图 24: 领取一个签名的本地证书 理员电脑 (在 CA 已经对证书请求签名之后再领取证书) 。 连接到 CA 网页服务器。 按照 CA 网页服务器的指示下载签名了的本地证书。 将显示文件下载对话框。 单击保存。 在管理员电脑中的一个目录中保存文件。 导入签名的本地证书 中。...
-
Page 202: 获得一个 Ca 证书
配置加密策略 单击确定。 在本地证书列表中将显示签名的本地证书,其状态为 OK。 获得一个 CA 证书 VPN 双方提供了坚定他们从其他设备中收到的数字证书是否有效的方法。 VPN 端点为了验证它从 FortiGate 设备收到的数字证书而获取 CA 证书。 注意:CA 证书必须遵循 X.509 标准。 领取一个 CA 证书 连接到 CA 网页服务器。 跟随 CA 网页服务器的指示下载 CA 证书。 将显示文件下载对话框。 单击保存。 在管理员电脑的一个目录中保存 CA 证书。 导入一个 CA 证书 进入 VPN > CA 证书。 单击导入。... -
Page 203: 添加源地址
IPSec VPN 个向外的策略具有一个内部网络的源地址和一个外部网络上的目的地址。源地址标识 VPN 在内部网络中的部分。目的地址标识了 VPN 在远程网络中的部分。典型的向外策略 包括内部到外部的策略和 DMZ 到外部的策略。 注意:目的地址可以是互联网上的一个 VPN 客户端地址或是一个远程 VPN 网关后边的一个网络中 的地址。 POP3,以及根据预定义的时间表 (根据一天当中的时间或者一周、月或年当中的日 期)来接受连接。您还可以配置加密策略的以下内容: ·向内 NAT 可以转换进入的数据包的源地址。 ·向外 NAT 可以转换向外发出的数据包的源地址。 ·流量控制 可以控制 VPN 可用的带宽和 VPN 的优先级。 ·内容配置文件 可以对 VPN 中的网页、文件传输和电子邮件服务应用防病毒保护、网 ·日记记录 可以使 FortiGate 设备对所有使用 VPN 的连接记录日志。 内部网络中的用户试图连接到远程... -
Page 204: 添加一个加密策略
配置加密策略 输入互联网上的一个 VPN 客户端或是远程 VPN 网关后边的一个网络的地址名,IP 地址 和网络掩码。 单击确定以保存目的地址。 添加一个加密策略 进入 防火墙 > 策略。 选择您要添加策略的策略列表。 例如,内部 -> 外部或 DMZ-> 外部。 单击 新建 以添加新的策略。 把 源地址 设为源地址。 把 目的地址 设置为目的地址。 设置服务以控制允许 VPN 连接的服务。 您可以选择 任意 以允许所有支持的类型的服务通过 VPN 连接,或者选择一个特定的 服务或服务组,以限制允许通过这个 VPN 连接的服务。 将动作设置为接受。... -
Page 205: Ipsec Vpn 集中器
IPSec VPN 图 25: IPSec VPN 集中器 其他的端点就象辐条一样连接到这个集线器上。这个集线器的功能如同网络中的一个 集中器,管理着辐条之间的 VPN 连接。 星型配置的网络能够提供同样的处理效率,特别是在辐条上。星型配置的网络的劣势 是它依赖于一个端点去管理所有的 VPN。如果这个端点发生故障或关闭,这个网络中将 无法进行任何加密通讯。 的角色的不同。如果 VPN 端点是一个作为集线器或集中器的的 FortiGate 设备,它需 要一个 VPN 配置以将它连接到每个辐条 (自动 IKE 第一阶段和第二阶段设置或手工密 钥设置,加上加密策略) 。还需要一个集中器配置以将星型配置的通道彼此分组。这个 集中器配置将 FortiGate 设备定义为星型配置网络中的集线器。 FortiGate-300 安装和配置指南 添加一个加密策略 在一个星型配置的网络中,所有的 VPN 通道都终结在一个起集线器作用的端点上。 星型配置的网络的优势在于辐条的配置更加简单,因为它们只需较少的策略。一个 一个星型配置的 VPN 网络需要一个特定的配置。配置的不同取决于 VPN 端点所扮演 IPSec VPN 集中器... -
Page 206: Vpn 集中器 ( 集线器 ) 一般配置步骤
IPSec VPN 集中器 其他辐条) 。它还需要控制它到其他辐条的加密连接策略和到其他网络,例如互联网的 非加密连接的策略。 ·VPN 集中器 ( 集线器 ) 一般配置步骤 ·添加一个 VPN 集中器 ·VPN 辐条一般配置步骤 VPN 集中器 ( 集线器 ) 一般配置步骤 ·每个辐条一个通道 ( 自动 IKE 第一阶段和第二阶段或手工密钥配置) 。 ·每个辐条一个目的地址。 ·一个集中器配置。 ·每个辐条一个加密策略。 为每个辐条配置一个通道。选择手工通道或者 IKE 通道。 ·一个手工密钥通道包括通道名、通道另一端的辐条 (客户端或网关)的 IP 地址,以 ·一个自动 IKE 通道,包括第一阶段和第二阶段参数。第一阶段参数包括辐条 (客户 为每个辐条添加一个目的地址。这个目的地址是辐条... -
Page 207: 添加一个 Vpn 集中器
IPSec VPN 源 目的 动作 VPN 通道 允许向内 允许向外 向内 NAT 向外 NAT 请见 按以下顺序排列策略: ·加密策略 ·默认的非加密策略 (内部 _ 全部 -> 外部 _ 全部) 添加一个 VPN 集中器 进入 VPN > IPSec > 集中器。 单击 新建 以添加新的 VPN 集中器。 在 集中器名称 一栏输入新集中器的名称。 把通道添加到... -
Page 208: Vpn 辐条一般配置步骤
IPSec VPN 集中器 VPN 辐条一般配置步骤 ·一个到集线器的通道 (自动 IKE 第一阶段和第二阶段配置或手工密钥配置) 。 ·本地 VPN 辐条的源地址。 ·每个远程 VPN 辐条的目的地址。 ·每个远程 VPN 辐条一个独立的向外加密策略。这些策略允许本地 VPN 辐条初始化加密 ·一个单独的向内加密策略。这个策略允许本地 VPN 辐条接受加密连接。 按以下步骤创建 VPN 辐条配置: 在辐条和集线器之间配置通道。 选择手工密钥通道或者自动 IKE 通道。 ·要添加手工密钥通道,请见 ·要添加一个自动 IKE 通道,请见 添加源地址。需要一个本地 VPN 辐条的源地址。 请见 为每个远程 VPN 辐条输入一个目的地址。目的地址是辐条 (互联网上的客户端或者网 关后边的网络)的地址。... -
Page 209: 冗余 Ipsec Vpn
IPSec VPN 向内 NAT 向外 NAT 按照如下顺序排列策略: ·向外加密策略 ·向内加密策略 ·默认的非加密策略 (内部 _ 全部 -> 外部 _ 全部) 注意: 冗余 IPSec VPN VPN 端点 (远程网关)之间的多重连接。使用了冗余配置后,如果一个连接失败了, FortiGate 设备将使用其他连接建立通道。 两个到互联网的连接,那么它可以提供两个到远程 VPN 端点的冗余连接。 可以有多个到互联网的连接,而另一个可以只有一个到互联网的连接。当然,使用不 对称的配置的情况下,VPN 的一端的冗余级别和另一端不同。 注意:IPSec 冗余只能应用于有静态 IP 地址和使用预置密钥或数字证书彼此认证的 VPN 端点。 它不能应用于使用动态分配 IP 地址 (拨号用户)的 VPN 端点。它也不能应用于使用手工密钥的 VPN 端点。... -
Page 210: Vpn 监视和问题解答
VPN 监视和问题解答 最多可以为三个 VPN 连接添加第一阶段参数。 除了网关名和 IP 地址以外,为每个 VPN 连接输入一样的数值。确保远程 VPN 端点 (远 程网关)有静态 IP 地址。 请见 最多为三个 VPN 连接添加第二阶段参数 (VPN 通道) 。 ·如果到互联网的连接在同一区域内,添加一个 VPN 通道和到它的远程网关。您最多可 ·如果到互联网的连接在不同的区域内,或分配到了单独的接口,为输入的每个远程网 添加源地址和目的地址。 请见 请见 最多为三个 VPN 连接添加加密策略。 ·如果 VPN 连接在同一区域内,添加一个向外的加密策略;例如一个内部 -> 外部策 ·如果 VPN 连接在不同区域,为每个连接添加一个单独的向外加密策略。例如,一个内 请见... -
Page 211: 查看拨号 Vpn 连接的状态
IPSec VPN 图 27: 查看拨号 VPN 连接的状态 个网关上处于活动状态的 VPN 通道。监视器上还列出了每个通道的通道有效期、超时、 源代理 ID 和目的代理 ID。 按以下步骤查看拨号连接状态 进入 VPN > IPSec > 拨号。 有效期 列显示了这个连接建立以来经历的时间。 超时 列显示了下次密钥交换之前剩下的时间。这个时间等于密钥有效期减去上次密钥 交换以来经历的时间。 源代理 ID 列 显示了远端的实际的 IP 地址或者子网地址。 目的代理 ID 列 显示了本地院的实际 IP 地址或者子网地址。 图 28: 测试... - Page 212 VPN 监视和问题解答 IPSec VPN 美国飞塔有限公司...
-
Page 213: Pptp 和 L2Tp Vpn
PPTP 和 L2TP VPN 操作系统的远程客户电脑和您的内部网络之间建立一个虚拟专用网络 (VPN) 。PPTP 和 L2TP 不需要第三方软件即可在客户电脑上运行,因为它们一种 Windows 标准。只要互 联网服务供应商支持 PPTP 和 L2TP 连接,您只要在客户电脑和 FortiGate 设备上做一 些必要的简单设置即可创建一个安全的连接。 FortiGate PPTP 和 L2TP 的详细描述请见 FortiGate VPN 指南。 ·配置 PPTP ·L2TP VPN 配置 配置 PPTP 缩 PPP 包以使得它能通过 VPN 通道传输。 注意:只有在... -
Page 214: 把 Fortigate 配置为 Pptp 网关
配置 PPTP 图 29: 把 FortiGate 配置为 PPTP 网关 添加用户名和组 进入 用户 > 本地。 添加并配置 PPTP 用户。 请见 进入 用户 > 用户组。 添加并配置 PPTP 用户组。 请见 启用 PPTP 并指定一个地址范围 进入 VPN > PPTP > PPTP 范围。 单击启用 PPTP。 输入 PPTP 地址范围的起点 IP 地址和终点 IP 地址。 选择您在... - Page 215 PPTP 和 L2TP VPN 图 30: 添加一个源地址 进入 防火墙 > 地址。 选择 PPTP 客户要连接到的接口。 单击新建以添加一个地址。 为 PPTP 地址范围内的一个地址输入地址名,IP 地址和网络掩码。 单击确定以保存源地址。 对 PPTP 地址范围内的所有地址重复上述步骤。 注意:如果 PPTP 地址范围包含某个子网的全部地址,您可以添加这个子网的地址。不 要添加地址组。 添加一个地址组 进入 防火墙 > 地址 > 组。 在 PPTP 客户连接到的网络接口添加一个新的地址组。 输入一个用于识别地址组的组名称。 这个名称可以包含数字 (0- 9), 大写或小写字母 (A-Z, a-z), 以及特殊字符 - 和 _。 不能包含其他字符和空格。...
-
Page 216: 配置 Pptp 的 Windows98 客户端
配置 PPTP 添加一个目的地址 进入 防火墙 > 地址。 选择一个内部接口或者 DMZ 接口。( 对于不同型号的的 FortiGate,方法一些差别。) 单击新建以添加新的地址。 为本地 VPN 的内部接口上的单个电脑或一个子网输入地址名,IP 地址和网络掩码。 单击确定以保存目的地址。 添加一个防火墙策略 通道内的通讯类型。 进入 防火墙 > 策略。 选择您要添加策略的策略列表。 单击新建以添加新的策略。 将源地址设置为与 PPTP 地址范围匹配的组。 将目的地址设置为 PPTP 用户可以连接到的地址。 将服务设置为与 PPTP VPN 通道内的通讯匹配的类型。 例如,如果 PPTP 用户可以访问网页,选择 HTTP。 将动作设置为... -
Page 217: 配置 Windows2000 的 Pptp 客户端
PPTP 和 L2TP VPN 配置 PPTP 拨号连接 进入我的电脑 > 拨号 网络 > 配置。 双击新建拨号连接。 为连接起一个名字,然后单击下一步。 输入要连接到的 FortiGate 的主机名或者 IP 地址,然后单击下一步。 单击完成。 鼠标右键单击新图标,选择 属性。 转到服务器类型。 取消对 IPX/SPX 兼容 的选中。 选择 TCP/IP 设置。 取消对 IP 头压缩 的选中。 取消对 使用远程网络的默认网关 的选中。 单击两次 确定。 连接到... -
Page 218: 配置 Windowsxp 的 Pptp 客户端
配置 PPTP 输入您的 PPTP VPN 用户名和密码。 单击 连接。 在连接窗口,输入您用来连接到您的拨号网络连接的用户名 和密码。 这个用户名和密码不同于您的 VPN 用户名和密码。 配置 WindowsXP 的 PPTP 客户端 VPN。 配置一个 PPTP 拨号网络连接 进入开始 > 控制面板。 选择 网络和互联网连接。 选择 建立一个您的工作间的网络连接,单击 下一步。 选择 虚拟专用网络连接, 单击 下一步。 为连接输入一个名字,单击 下一步。 如果弹出公共网络对话框,选择 自动初始化连接, 单击 下一步。 在... -
Page 219: L2Tp Vpn 配置
PPTP 和 L2TP VPN 单击 确定。 连接到 PPTP VPN 连接到您的 ISP。 启动您在上面步骤中刚刚配置的 VPN 连接。 输入您的 PPTP VPN 用户名和密码。 单击 连接。 在 连接 窗口,输入您用来连接到您的 拨号网络连接 的用户名和密码。 L2TP VPN 配置 IPSec 元素。 注意:只有在 NAT/ 路由模式下才支持 L2TP VPN。 ·把 FortiGate 配置为 L2TP 网关 ·配置... -
Page 220: 把 Fortigate 配置为 L2Tp 网关
L2TP VPN 配置 把 FortiGate 配置为 L2TP 网关 添加用户和用户组 进入 用户 > 本地。 添加并配置 L2TP 用户。 请见 进入 用户 > 用户组。 添加并配置 L2TP 用户组。 请见 启用 L2TP 并指定地址范围 进入 VPN > L2TP > L2TP 范围。 选择启用 L2TP。 输入 L2TP 地址范围的 起点 IP 地址 和 终点 IP 地址。 选择您在... - Page 221 PPTP 和 L2TP VPN 添加源地址 进入 防火墙 > 地址。 选择 L2TP 客户要连接到的接口。 单击新建以添加一个地址。 为 L2TP 地址范围内的一个地址输入地址名,IP 地址和网络掩码。 单击确定以保存源地址。 对 L2TP 地址范围内的所有地址重复上述步骤。 注意:如果 L2TP 地址范围包含某个子网的全部地址,您可以添加这个子网的地址。不 要添加地址组。 添加一个地址组 进入 防火墙 > 地址 > 组。 在 L2TP 客户连接到的网络接口添加一个新的地址组。 输入一个用于识别地址组的组名称。 这个名称可以包含数字 (0-9), 大写或小写字母 (A-Z, a-z), 以及特殊字符 - 和 _。 不能包含其他字符和空格。...
-
Page 222: 配置 Windows2000 客户的 L2Tp
L2TP VPN 配置 单击新建以添加新的策略。 将源地址设置为与 L2TP 地址范围匹配的组。 将目的地址设置为 L2TP 用户可以连接到的地址。 将服务设置为与 L2TP VPN 通道内的通讯匹配的类型。 例如,如果 PPTP 用户可以访问网页,选择 HTTP。 将动作设置为 接受。 如果需要地址转换则选择 NAT。 您还可以配置 PPTP 策略的流量控制、记录日志以及病毒防护和网页内容过滤。 单击确定以保存防火墙策略。 配置 Windows2000 客户的 L2TP VPN。 配置 L2TP 拨号连接 进入开始 > 设置 > 网络 与拨号连接。 双击... -
Page 223: 配置 Windowsxp 客户的 L2Tp
PPTP 和 L2TP VPN 注意:缺省的 Windows2000L2TP 传输策略不允许 L2TP 传输不使用 IPSec 加密。您可以通过修改 Windows2000 注册表来禁用缺省的行为。具体方法在下面步骤中讨论。在修改 Windows 注册表之 前请详细查阅 Windows 文档。 使用注册表编辑器 (regedit) 在注册表中定位以下主键: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\ Parameters 为这个键添加以下键值: Value Name: ProhibitIpSec Data Type: REG_DWORD Value: 1 保存您所做的修改,重新启动电脑以使改动生效。 您必须添加 ProhibitIpSec 注册表键值到每个要使用 L2TP 和 IPSec 的运行 Windows2000 操作系统的电脑。以防止... - Page 224 L2TP VPN 配置 选择 常规 以进行常规设置。 选择 需要数据加密。 注意:如果是用 RADIUS 服务器进行认证,不要选择 需要数据加密。RADIUS 服务器认证不支持 PPTP 加密 单击 高级 以配置高级设置。 选择 设置。 选择 挑战握手认证协议 (CHAP)。 确认没有选中其它设置。 选择 网络 属性页。 确认以下选项被选中了: ·TCP/IP ·QoS 数据包调度 确认以下选项没有被选中: ·微软网络文件和打印共享 ·微软网络客户 禁用 IPSec 选择 网络 标签。 选择互联网 (TCP/IP)协议属性。 双击...
- Page 225 PPTP 和 L2TP VPN 连接到 L2TP VPN 连接到您的 ISP。 启动您在前面步骤中创建的拨号连接。 输入您的 L2TP VPN 用户名和密码。 单击 连接。 在连接窗口,输入您的拨号网络连接的用户名和密码。 这个用户名和密码不同于您的 VPN 用户名和密码。 FortiGate-300 安装和配置指南 L2TP VPN 配置...
- Page 226 L2TP VPN 配置 PPTP 和 L2TP VPN 美国飞塔有限公司...
-
Page 227: 网络入侵检测系统 (Nids)
网络入侵检测系统 (NIDS) 各种各样的可疑的网络数据流和基于网络的直接攻击。此外,当发生攻击时,NIDS 可 以将事件写入攻击日志并向系统管理员发送报警邮件。 ·检测攻击 ·NIDS 攻击预防 检测攻击 骤配置 NIDS 的通用设置和 NIDS 检测模块特征列表。 是否启用校验和检验功能。校验和检验功能测试被监视的接口接收到的数据包的完整 性。 ·选择要监视的网络接口 ·禁用 NIDS ·验证校验和的配置 ·查看攻击特征列表 ·查看攻击描述 ·启用和禁用 NIDS 攻击特征 ·添加 用户定义的特征 选择要监视的网络接口 进入 NIDS > 检测 > 通用。 选择要检测网络攻击的网络接口。 您可以选择一个或多个网络接口。 单击应用以保存您所做的修改。 禁用 NIDS 进入 NIDS > 检测 > 通用。 删除全部网络接口。... - Page 228 检测攻击 网络入侵检测系统 (NIDS) 单击 应用 以保存您所做的修改。 美国飞塔有限公司...
-
Page 229: 验证校验和的配置
注意:用户定义的特征组是特征列表中的最后一项。请见 征” 单击查看细节 特征组成员列表显示了每个成员的攻击 ID,名称和修订版本。 查看攻击描述 种攻击对应的 Forti 响应攻击分析网页: 进入 NIDS> 检测 > 特征列表。 单击查看细节 FortiGate-300 安装和配置指南 校验和验证测试通过 FortiGate 的文件,确保他们在传送过程中没有被篡改。NIDS NIDS 检测配置举例 按以下操作显示当前的攻击特征组和特征组成员列表: 。 . 以查看特征组的成员。 Fortinet 提供了所有 NIDS 攻击的在线信息。按照如下步骤查看特征列表中的某一 可以显示一个特征组的成员。 选择一个特征并复制它的攻击 ID。 检测攻击 第 217 页 “ 添加 用户定义的特... -
Page 230: 启用和禁用 Nids 攻击特征
检测攻击 打开网页浏览器并输入以下 URL: http://www.fortinet.com/ids/ID< 攻击 ID> 记住要包括这个攻击 ID。 例如,要查看 ssh CRC32 overflow /bin/sh 攻击 (ID101646338)的 Fortinet 攻击分 析网页,使用如下 URL: http://www.fortinet.com/ids/ID101646338 注意:每个攻击日志消息包含一个直接连到这个攻击的 Forti 响应攻击分析网页的 URL。这个 URL 可以从攻击日志消息和报警邮件消息中直接访问。关于日志消息内容和格式的详细信息,以 及有关日志位置的信息,请见 “ 记录 NIDS 攻击日志” 图 34: 启用和禁用 NIDS 攻击特征 用对某些攻击的检测。禁止检测不常见的攻击方式可以提高系统的性能,减少 NIDS 生 成的攻击日志中消息的数目和报警邮件的数量。例如,NIDS 检测大量的网页服务器攻... -
Page 231: 添加 用户定义的特征
网络入侵检测系统 (NIDS) 添加 用户定义的特征 FortiGate 设备。 进入 NIDS > 检测 > 用户定义特征列表。 单击上载。 输入用户定义特征列表的文本文件的文件名和路径,或者单击浏览并定位文件。 单击确定以上载用户定义攻击特征列表的文本文件。 单击确定以显示上载的用户定义攻击特征列表。 图 35: 下载用户定义攻击特征列表 进入 NIDS > 检测 > 用户定义攻击特征列表。 单击下载。 FortiGate 设备将用户定义的攻击特征列表下载到管理员电脑中保存为文本文件。您可 以指定文本文件保存时的文件名和路径。 NIDS 攻击预防 UDP 和 IP 攻击的威胁。您可以使用默认的攻击检测临界值启用 NIDS 攻击预防功能。或 者也可以根据您的需要启用攻击预防并调整攻击检测的临界值。 注意:FortiGate 设备重新启动后,NIDS 攻击预防和握手信号淹没预防功能始终是关闭的。 FortiGate-300 安装和配置指南... -
Page 232: 启用 Nids 攻击预防
NIDS 攻击预防 ·启用 NIDS 攻击预防 ·启用 NIDS 攻击预防特征 ·设置特征临界值 ·配置握手溢出特征值 启用 NIDS 攻击预防 进入 NIDS > 预防。 单击左上角的启用。 启用 NIDS 攻击预防特征 默认情况下只启用了部分特征,您可以根据需要手工启用其他的。 关于 NIDS 预防特征 的完整列表和详细描述,请见 进入 NIDS > 预防。 选中您要启用的每个特征旁边的核选框。 单击全部选中 单击全部取消 单击恢复默认值 值。 图 36: NIDS 预防模块包括了各种常见攻击的特征,以保护您的网络不受这些攻击的威胁。 FortiGate NIDS 指南。 可以启用... -
Page 233: 设置特征临界值
网络入侵检测系统 (NIDS) 设置特征临界值 型。对于淹没攻击,临界值是每秒接收到的包的最大数目。对于溢出攻击,临界值是 命令的缓冲区大小。对于超大 ICMP 包攻击,临界值是允许传输的 ICMP 包的尺寸限制。 音请求,而系统将发送回音响应。如果收到 501 个或更多的回音请求,FortiGate 设备 将阻塞攻击者以预防对操作系统的攻击。 值。 表 6: NIDS 预防特征的临界值 特征缩写 握手淹没 端口扫描 会话淹没 FTP 溢出 SMTP 溢出 POP3 溢出 UDP 淹没 UDP 会话淹没 ICMP 淹没 ICMP 源会话淹没 来自同一源地址的 ICMP 会话初始化请 ICMP 攻击... -
Page 234: 配置握手溢出特征值
记录 NIDS 攻击日志 配置握手溢出特征值 值 临界值 队列长度 超时 进入 NIDS > 预防。 单击握手淹没特征旁边的修改 输入临界值。 输入队列长度。 输入超时时间。 单击启用核选框。 或者,单击预防特征列表中的启用握手淹没。 单击确定。 记录 NIDS 攻击日志 以将这个消息添加到攻击日志。 ·将攻击消息记录到攻击日志 ·减少 NIDS 攻击日志消息和报警邮件的数量 将攻击消息记录到攻击日志 进入 日志和报告 > 日志设置。 对您设置的日志位置单击配置策略。 单击 IDS 日志。 单击 IDS 检测和 IDS 预防。 单击确定。... -
Page 235: 减少 Nids 攻击日志消息和报警邮件的数量
网络入侵检测系统 (NIDS) 减少 NIDS 攻击日志消息和报警邮件的数量 息,FortiGate 设备提供了减少没必要的消息的数量的方法。根据消息生成的频率, FortiGate 设备能自动删除重复的消息。如果您还收到大量的虚假警报,您可以手工禁 用有关的特征组的消息生成。 自动减少消息 称。消息中的攻击 ID 编号和名称对应于 NIDS 特征组成员列表中的 ID 编号和名称。 比对。如果新的消息没有重复,FortiGate 设备将立刻发送这个消息,并将消息的一个 副本放进队列。如果新消息是重复的,FortiGate 设备会删除它并将队列中对应的消息 内部的计数器加一。 时间超过了 60 秒,FortiGate 设备删除这个消息并将副本计数器加一。如果副本数大 于一,FortiGate 设备将发送一个标题为 “重复 x 次”的统计信息邮件,邮件内容为 “以下邮件在过去的 y 秒中重复了 x 次”和原始信息。 手工减少信息 报警邮件的内容。如果有大量的无效警报 (例如,网页攻击警报,而您根本没有运行 网页服务器)... - Page 236 记录 NIDS 攻击日志 网络入侵检测系统 (NIDS) 美国飞塔有限公司...
-
Page 237: 防病毒保护
防病毒保护 功能时,您可以选择一个内容配置文件来决定防病毒保护的程度。内容配置文件可以 控制通讯保护的类型 (HTTP, FTP, IMAP, POP3, SMTP),防病毒保护的类型以及如何处 理邮件片段、超大型的文件和电子邮件。 ·一般配置步骤 ·防病毒扫描 ·文件阻塞 ·隔离 ·阻塞过大的文件和电子邮件 ·对邮件片段免除阻塞 ·查看病毒列表 一般配置步骤 在一个新的内容配置文件或现有的内容配置文件中选择防病毒保护选项。请见 163 页 “ 添加一个内容配置文件” 在防火墙策略中选中防病毒保护和网页过滤选项,以允许网页 (HTTP), FTP, 和电子邮 件 (IMAP, POP3, 和 SMTP) 连接通过 FortiGate 设备。对防火墙策略选择一个内容配置 文件以提供您所希望的防病毒保护功能。请见 到策略” 配置防病毒保护设置,以控制 FortiGate 设备应用到该策略所接受的网页、FTP 和电子 邮件通讯上的防病毒保护功能。请见... -
Page 238: 防病毒扫描
防病毒扫描 配置 FortiGate 设备在阻塞或删除被感染的文件时发送的报警邮件,请见 参考指南 注意:要接收病毒日志消息,请见 和格式的信息,请见 防病毒扫描 ZIP、RAR、GZIP、UPX 和 OLE 压缩了 12 层的文件) 。病毒扫描功能将测试每个文件的 文件类型和使用最有效的方法在文件中扫描病毒。例如,使用二进制病毒扫描功能扫 描二进制文件,使用宏病毒扫描功能扫描含有宏的 Microsoft Office 文件。 ·cd 映像 ·软盘映像 ·扩展名为 .ace 的文件 ·扩展名为 .bzip2 的文件 ·扩展名为 .Tar+Gzip+Bzip2 的文件 户。 离的功能,FortiGate 设备会把文件加入隔离列表。 以下方法用于在 FortiGate 防火墙通讯中扫描病毒 在一个内容配置文件中选择防病毒扫描。 见 可以在这个内容配置文件中选择隔离。... -
Page 239: 文件阻塞
防病毒保护 图 37: 文件阻塞 保护。只有出现防病毒扫描功能不能发现的新病毒的时候才有必要使用文件阻塞功能 提供对病毒的防护。通常情况下您没有必要启用 FortiGate 设备的文件阻塞功能。然 而,在极度危险的情况下,当没有其它的方式能够保护您的网络免受文件型病毒的危 害的时候,文件阻塞是唯一有效的方法。 能,FortiGate 设备会将文件添加到隔离列表。 告消息替换掉文件并转发给用户。同时,如果做了相应的配置,FortiGate 设备还会在 病毒日志中写入一条消息,并发送一封报警邮件。 注意:如果同时启用了阻塞和扫描,FortiGate 设备直接阻塞与文件名样板列表匹配 的文件,而不对它们进行病毒扫描。 FortiGate-300 安装和配置指南 病毒扫描的内容配置文件的例子 启用文件阻塞删除所有的文件以阻止潜在的威胁,并对计算机病毒攻击提供最好的 在配备了硬盘的 FortiGate 设备中,如果启用了对应通讯协议的文件阻塞的隔离功 文件阻塞功能会删除所有与文件样板列表匹配的文件。FortiGate 设备会用一条警 文件阻塞... -
Page 240: 在防火墙通讯中阻塞文件
隔离 ·可执行文件 (*.bat, *.com, 和 *.exe) ·压缩或存档文件 (*.gz, *.rar, *.tar, *.tgz, 和 *.zip) ·动态链接库文件 (*.dll) ·HTML 应用程序 (*.hta) ·Microsoft Office 文件 (*.doc, *.ppt, *.xl?) ·Microsoft Works 文件 (*.wps) ·Visual Basic 文件 (*.vb?) ·屏幕保护程序 (*.scr) 在防火墙通讯中阻塞文件 讯中应用文件阻塞。 在一个内容配置文件中选择文件阻塞。 请见 把这个内容配置文件添加到防火墙策略,以在这个防火墙策略接受的通讯中应用内容 阻塞。 请见... -
Page 241: 隔离被感染的文件
防病毒保护 隔离的文件的状态、副本数和时间信息。您可以根据这些条件对列表进行排序和过滤。 您也可以从这个列表中删除或下载文件。 ·隔离被感染的文件 ·隔离被阻塞的文件 ·查看隔离列表 ·隔离列表排序 ·过滤隔离列表 ·从隔离区中删除文件 ·下载被隔离的文件 ·配置隔离选项 隔离被感染的文件 SMTP 通讯中发现的被感染的文件。 进入 病毒防护 > 隔离 > 隔离配置。 选择要隔离被感染的文件的内容协议。 在内容配置文件中选择防病毒扫描。 请见 选择隔离以将任何已发现被病毒感染的文件隔离。 将这个内容配置文件添加到防火墙策略,以隔离由这个防火墙策略控制的通讯中发现 的被感染的文件。 请见 隔离被阻塞的文件 SMTP 通讯中被阻塞的文件。 进入 病毒防护 > 隔离 > 隔离配置。 选择要隔离被阻塞的文件的内容协议。 要隔离被阻塞的文件,在内容配置文件中选择文件阻塞。 见 选择隔离以将被阻塞的文件放入隔离区。 将这个内容配置文件添加到防火墙策略,以隔离由这个防火墙策略控制的通讯中发现... -
Page 242: 隔离列表排序
被隔离的文件所用的协议 (HTTP, FTP, IMAP, POP3, SMTP)。 用颜色表示的状态指示: t 红:文件被感染 t 黄:文件被启发式扫描捕获 t 绿:文件被阻塞样板所阻塞 t 蓝:文件大小超过了限制 Fortinet 建议您将状态为黄色的文件发送到 Forti 响应中心,因为这些文 件可能含有新的病毒或已知病毒的变种。 指出与状态相关的信息。例如 “文件被 ‘W32/Klez.h’病毒感染”或 “文 件被文件阻塞样板所阻塞” 。 副本数统计。统计出文件一共被重复地隔离了多少次。如果 DC 迅速地增加 则很有可能是某种病毒发作了。 以 时时 : 分分 表示的剩余时间。当 TTL 耗尽时,FortiGate 设备自动删除... -
Page 243: 配置隔离选项
防病毒保护 单击下载 配置隔离选项 您可以指定从网页、FTP 和电子邮件通讯中进行隔离。您还可以设置文件的有效期限, 文件的最大尺寸和当 FortiGate 设备的硬盘满时如何处理文件。 进入病毒防护 > 隔离 > 隔离配置。 对于每种通讯协议,单击隔离被感染的文件和隔离被阻塞的文件核选框。 FortiGate 设备在选定的通讯中隔离被感染和被阻塞的文件。 注意:隔离阻塞文件的选项不适用于 HTTP 或 FTP,因为在文件名在请求时已经被阻塞 了并且这个文件不被下载到 FortiGate 设备。 输入以小时为单位的有效期限 (TTL) 以指定文件在隔离区中保存的时间。 最大时间是 480 小时。当 TTL 达到 00:00 时 FortiGate 设备自动删除文件。 输入隔离区中被隔离文件尺寸的最大值 (兆字节) 。FortiGate 设备保留现有的大小超 过了这一限制的被隔离的文件。FortiGate 设备不再隔离任何新的大小超过这一限制的 文件。文件大小范围是... -
Page 244: 查看病毒列表
查看病毒列表 警告:FortiGate 不能扫描邮件碎片中的病毒或者使用文件名样板从这些邮件中删除文件。 在内容配置文件中启用邮件片段传递。 在防火墙策略中选种 病毒防护和网页过滤。例如,要传递由内部网络用户到外部网络 的邮件片段,选择一个内部到外部的策略。 对您希望 FortiGate 设备扫描的策略,选择一个已经启用了邮件片段传递的内容配置 文件。 查看病毒列表 要显示病毒列表,进入 病毒防护 > 配置 > 病毒列表。 卷动病毒和蠕虫列表可以查看列表中的所有病毒和蠕虫名称。 按以下方法将 FortiGate 设备配置为传递邮件片段: 使用以下操作可以显示当前病毒定义库列表中的病毒和蠕虫列表。 防病毒保护 美国飞塔有限公司... -
Page 245: 网页内容过滤
网页内容过滤 和网页过滤功能后,可以选择一个内容配置文件以控制对 HTTP 通讯的网页过滤方式。 内容配置文件控制以下类型的内容过滤: ·阻塞不受欢迎的 URL, ·阻塞不受欢迎的内容, ·从网页中删除脚本, ·从阻塞列表中排除 URL。 235 页 “ 使用 Cerberian 网页过滤器” ·一般配置步骤 ·内容阻塞 ·阻塞对 URL 的访问 ·使用 Cerberian 网页过滤器 ·脚本过滤 ·URL 排除列表 一般配置步骤 在一个新的或现有的内容配置文件中选中网页过滤选项。请见 个内容配置文件” 对于允许 HTTP 连接通过 FortiGate 设备的防火墙策略,选中该策略的防病毒和网页过 滤选项。 ·对您希望应用网页过滤功能的防火墙策略选择一个能提供网页过滤功能的内容配置文 配置网页过滤的设置,以控制 FortiGate 设备将网页过滤功能应用到该防火墙策略接 受的... -
Page 246: 内容阻塞
内容阻塞 配置当 FortiGate 设备阻塞不受欢迎的内容或不受欢迎的 URL 的时候用户收到的信息。 请见 配置 FortiGate 设备在阻塞或删除一个受感染的文件的时候发送一封报警邮件。请见 日志配置和参考指南 注意:要接收网页过滤日志消息,请见 息的内容和格式,请见 内容阻塞 阻塞信息,同时 FortiGate 会在网页过滤日志中写入一条消息。 中文、繁体中文、日文或者韩文字符集。. 在禁忌词汇列表中添加单词或短语 进入 Web 过滤器 > 内容阻塞。 单击 新建 ,在禁忌词汇列表中添加新的词汇或短语。 选择禁忌词汇或短语使用的语言或字符集。 您的电脑和网页浏览器必须也被配置为支持您所选择的字符集。 输入禁忌词汇或者短语。 的网页。 两个词汇的网页。当这个短语出现在禁忌词汇列表中时,FortiGate 将在两个词汇之间 的空格处插入一个加号 (+) (例如,禁忌 + 短语) 。 有内容中包含这两个词汇并以一个短语的形式出现的网页。 内容过滤并不区分大小写字母。您也不能在禁忌词汇中包含特殊字符。... -
Page 247: 阻塞对 Url 的访问
网页内容过滤 图 38: 阻塞对 URL 的访问 容。 ·使用 FortiGate 网页过滤器 ·使用 Cerberian 网页过滤器 使用 FortiGate 网页过滤器 表。或者,您可以单独阻塞某个页面,方法是在阻塞列表里添加这个页面的整个路径 和文件名。 ·在阻塞列表中添加 URL 或者 URL 样板 ·清除 URL 阻塞列表 ·下载 URL 阻塞列表 ·上载 URL 阻塞列表 在阻塞列表中添加 URL 或者 URL 样板 进入 Web 过滤器 > URL 阻塞。 单击... - Page 248 阻塞对 URL 的访问 输入要阻塞的 URL。 www.badsite.com 或者 122.133.144.155 阻塞了对这个站点上所有网页的访问。 输入一个顶级 URL 后面加上路径和文件名可以阻塞对这个站点中单个页面的访问。例 如, www.badsite.com/news.html 或者 122.133.144.155/news/html 阻塞 了对这个站点中 news 页面的访问。 要阻塞一个含有 badsite.com 结尾的 URL 中的所有页面,把 badsite.com 添加进 阻塞列表。例如,添加 badsite.com 阻塞了对 www.badsite.com,mail.badsite.com,www,finace,badsite.com 等等站点 的访问。 注意:不要在要阻塞的 URL 中包含 http://。 不要使用星号 (*)来代表任意字符。您 可以输入一个顶级域名的后缀 ( 例如,不带前边的 “.”的 “com”) 以阻塞所有带有 这个后缀的...
-
Page 249: 使用 Cerberian 网页过滤器
网页内容过滤 下载 URL 阻塞列表 进入 Web 过滤器 > URL 阻塞。 选择 下载 URL 阻塞列表 FortiGate 将把 URL 阻塞列表下载到控制电脑上保存为一个文本文件。您可以指定保存 文本文件的位置和文件名。 上载 URL 阻塞列表 FortiGate。在文本文件中每个 URL 占独立的一行。您可以在 URL 后面加上一个空格然 后加上一个 1 来启用它或者一个零 (0)来禁用这个 URL。如果您不添加不在文本文件 中添加这些信息,FortiGate 将自动启用您所上载的文本文件中的所有的 URL。 图 40: 创建的 URL 阻塞列表。例如,您可以从 http://www.squidguard.org/blacklist/ 下载 squidGuard 的黑名单,以此作为起点创建您自己的... - Page 250 阻塞对 URL 的访问 FortiGate 设备配置 Cerberian 网页过滤器。 一般配置步骤 安装 Cerberian 网页过滤器许可密钥。请见 Cerberian 许可密钥” 添加要使用 Cerberian 网页过滤器的用户。请见 中添加一个 Cerberian 用户” 配置 Cerberian 网页过滤器。请见 启用 Cerberian URL 过滤。请见 注意:要使用 Cerberian 网页过滤,FortiGate 设备必须能够访问互联网。 在 FortiGate 设备上安装 Cerberian 许可密钥 以通过这个 FortiGate 设备使用 Cerberian 网页过滤功能的最终用户数。 进入...
- Page 251 网页内容过滤 配置 Cerberian 网页过滤 Cerberian 网页过滤服务器的用户组中。然后您可以创建策略并将策略应用到这个用户 组。 关于默认组和策略 ·所有在 FortiGate 设备中没有指派别名的用户。 ·所有没有添加到其他用户组的用户。 改默认策略并将他应用到任何用户组。 按以下方法配置 Cerberian 网页过滤 根据您添加到 FortiGate 设备的别名将用户添加到 Cerberian 服务器的用户组。因为 网页策略只能应用到用户组。如果您没有为 FortiGate 设备中的用户 IP 输入别名,用 户 IP 自动添加到默认组中。 选择您要阻塞的网页类别,创建您册策略。 将策略应用到包含这个用户的用户组。 启用 Cerberian URL 过滤 CerberianURL 过滤功能。您必须在以下三个地方启用它: ·Cerberian URL 过滤页面。 ·内容配置文件。...
-
Page 252: 脚本过滤
脚本过滤 脚本过滤 置为阻塞 java 小程序、cookies 和 ActiveX。 注意:阻塞这些内容中的任何一项都可能会使得某些网页无法正常工作。 ·启用脚本过滤 ·选择脚本过滤选项 启用脚本过滤 进入 防火墙 > 内容配置文件。 选择您要启用脚本过滤的内容配置文件。 单击脚本过滤。 单击确定。 选择脚本过滤选项 进入 Web 过滤器 > 脚本过滤。 选择您要启用的脚本过滤选项。 您可以阻塞 java 小程序、cookies 和 ActiveX。 单击 应用 。 图 41: 使用以下方法可以将 FortiGate 配置为从网页中删除脚本。您可以将 FortiGate 配 脚本过滤设置为阻塞... -
Page 253: Url 排除列表
网页内容过滤 URL 排除列表 意外地阻塞掉。例如,如果内容过滤被设置为阻塞含有关于色情描写的词汇而一个著 名的站点上有一个色情故事,那么这个站点上的全部网页就会被阻塞。把这个站点的 URL 添加到 URL 排除列表里就可以避免内容阻塞功能对这个站点上的网页的阻塞。 注意:从被排除的 URL 上下载的内容将不会被防病毒保护功能扫描或阻塞。 在 URL 排除列表中添加 URL 进入 Web 过滤器 > 排除 URL。 选择 新建 在 URL 排除列表中添加新的 URL。 输入要排除的 URL。 输入一个包括路径和文件名的完整的 URL,可以排除对这个站点上的这个网页的阻塞。 例如, www.goodsite.com/index.html 可以排除对这个站点的主页的阻塞。您也 可以指定 IP 地址,例如, 122.63.44.67/index.html 可以免除对这个地址的站点 上的主页的阻塞。不要在排除的... - Page 254 URL 排除列表 网页内容过滤 美国飞塔有限公司...
-
Page 255: 电子邮件过滤
电子邮件过滤 网页过滤,您可以选择一个内容配置文件用来控制电子邮件过滤功能如何处理邮件 (IMAP 或 POP3)通讯。内容配置文件用以下方式识别不受欢迎的电子邮件并提供保 护: ·过滤不受欢迎的发件人地址模板, ·过滤不受欢迎的内容, ·从阻塞中排除发件人地址模板。 ·一般配置步骤 ·电子邮件禁忌词汇列表 ·电子邮件阻塞列表 ·邮件排除列表 ·添加一个主题标签 一般配置步骤 在一个新的或现有的内容配置文件中选择邮件过滤选项。请见 个内容配置文件” 对允许通过通过 FortiGate 设备传输 IMAP 和 POP3 连接的防火墙策略选择病毒防护和 网页内容过滤选项。选择一个提供了您所需要的电子邮件过滤功能的内容配置文件应 用到防火墙策略中。请见 对不受欢迎的电子邮件添加一个主题标签,使邮件接收者可以使用他们的邮件客户软 件根据这个标签对邮件进行过滤。请见 注意:要接收电子邮件过滤日志消息,请见 关于电子邮件过滤日志消息的分类和格式的详细信息,请见 “日志消息” 。 电子邮件禁忌词汇列表 FortiGate 设备将在这封电子邮件的主题中添加一个标签,并在事件日志中写入一条消 息。接收者可以使用他们的电子邮件客户端软件根据主题中的标签过滤邮件。 FortiGate-300 安装和配置指南 FortiGate-300 安装和配置指南 2.50 版 防火墙策略中可以使用电子邮件过滤。当您在一个防火墙策略中启用了病毒防护和... -
Page 256: 在禁忌词汇列表中添加单词或短语
电子邮件阻塞列表 列表中添加禁忌词汇。 在禁忌词汇列表中添加单词或短语 进入 Web 过滤器 > 内容阻塞。 单击 新建 ,在禁忌词汇列表中添加新的词汇或短语。 输入禁忌词汇或者短语。 的 IMAP 和 POP3 电子邮件。 两个词汇的 IMAP 和 POP3 电子邮件。当这个短语出现在禁忌词汇列表中时,FortiGate 将在两个词汇之间的空格处插入一个加号 (+) (例如,禁忌 + 短语) 。 有内容中包含这两个词汇并以一个短语的形式出现的 IMAP 和 POP3 电子邮件。 内容过滤并不区分大小写字母。您也不能在禁忌词汇中包含特殊字符。 选择禁忌词汇或短语使用的语言或字符集。 您的电脑和网页浏览器必须也被配置为支持您所选择的字符集。 单击启用。 单击确定。 这个词汇或短语就被添加进禁忌词汇列表了。 您可以输入多个禁忌词汇或者短语,然后单击 全部选中 列表中的所有条目。... -
Page 257: 邮件排除列表
电子邮件过滤 输入一个阻塞模板。 ·要标记来自一个特定地址的所有邮件,只需输入这个邮件的地址。例如, ·要标记从特定域来的邮件,输入域名。例如, abccompany.com。 ·要标记从特定子域来的邮件,输入子域名。例如, mail.abccompany.com。 ·要标记从某一类地址来的全部邮件,输入顶级域名。例如,输入 com 可以标记所有使 模板可以包含数字 (0- 9), 大写或小写字母 (A-Z, a-z), 以及特殊字符 - 和 _,还有 @。 不能使用其他特殊字符和空格。 单击启用以标记与阻塞模板匹配的电子邮件。 单击确定在邮件阻塞列表中添加地址。 您可以输入多个地址模板然后单击全部选中 板。 您还可以单击启用列的核选框以启用邮件阻塞列表中的任意模板。 邮件排除列表 例如,如果邮件禁忌词汇列表中设置了阻塞含有与色情相关的词汇,而一个著名的公 司发送的邮件中含有这些词汇,FortiGate 设备将在这封邮件中添加标签。将这个著名 的公司的域名添加到排除列表可以避免这个公司的 IMAP 和 POP3 通讯被阻塞或添加标 签。 在邮件排除列表中添加地址模板 进入 邮件过滤器 > 排除列表。 单击新建在邮件排除列表中添加地址模板。... -
Page 258: 添加一个主题标签
添加一个主题标签 添加一个主题标签 列表中的词汇的邮件的时候,FortiGate 设备将在主题中添加一个标签并将消息发送到 邮件的目的地址。邮件用户可以使用他们的电子邮件客户端软件根据主题中的标签过 滤电子邮件。 按以下方法添加主题标签 进入 电子邮件过滤 > 配置。 输入您希望在主题栏显示的标签。这一标签将显示在从不受欢迎的地址受到的邮件或 含有禁忌词汇的邮件的主题栏中。例如,输入 “不受欢迎的邮件” 。 注意:不要在主题标签中使用引号。 单击应用。 FortiGate 设备将在所有不受欢迎的邮件的主题栏中添加这一标签。 当 FortiGate 设备从一个不受欢迎的地址收到电子邮件、或收到含有邮件禁忌词汇 电子邮件过滤 美国飞塔有限公司... -
Page 259: 日志和报告
日志和报告 话直到紧急事件。您还可以将 FortiGate 设备配置为发送警报邮件消息以提醒系统管 理员当前发生的事件,例如网络攻击,病毒入侵以及防火墙和 VPN 事件。 ·记录日志 ·过滤日志消息 ·配置通讯日志 ·查看记录到内存的日志 ·查看和管理保存在硬盘上的日志 ·配置报警邮件 记录日志 ·运行系统日志服务的电脑。 ·运行 WebTrends 防火墙报告服务的电脑。 ·FortiGate 的硬盘 (如果您的 FortiGate 内装有硬盘) 。 ·控制台。 病毒、网页过滤和电子邮件过滤日志记录到 FortiGate 系统内存里。把日志记录到内 存允许快速地访问最近记录的日志条目。如果 FortiGate 重新启动,所有的日志条目 都会丢失。 报消息记录到 FortiGate 内存,而将其他级别的消息记录到一个远程计算机上。 页 “ 过滤日志消息” 志” ·在远程电脑上记录日志 ·在... -
Page 260: Netiq Webtrends
记录日志 在远程电脑上记录日志 脑必须配置为一个系统日志服务器。 进入 日志与报告 > 日志设置。 选择 记录日志到远程主机 以发送日志到一个日志服务器上。 输入运行系统日志服务器软件的远程主机的 IP 地址 。 输入系统日志服务器的端口号。 选择您希望记录到日志的消息的紧急程度。 FortiGate 会将所有不低于您所选择的级别的消息记录进日志。例如,如果您希望记录 紧急、警报、危险和错误消息,选择错误。 单击配置策略。 ·选择您希望 FortiGate 设备记录的日志的类型。 ·对于每一种日志类型,选择选择您希望 FortiGate 设备进行的记录操作。 ·单击确定。 关于日志类型和记录活动的详细信息请见 249 页 “ 配置通讯日志” 单击应用。 在 NetIQ WebTrends 服务器上记录日志 日志 , 以供存储和分析之用。FortiGate 日志的格式服从 Web Trends Enhanced Log (WELF)格式规范,并与... -
Page 261: 将日志记录到系统内存
日志和报告 进入日志与报告 > 日志设置。 选择 记录到本地 。 输入一个日志文件的 最大值 ( 以兆字节为单位) 。 当日志文件的大小达到这一最大值的时候,当前日志文件将被保存并关闭。系统将创 建一个新的当前日志文件用来记录日志。默认的最大系统日志文件的大小是 10M 字节, 您可以设置的最大值为 2G 字节。 输入一个创建日志的 时间间隔 (以天为单位) 在达到指定的时间间隔后,当前日志文件将被保存和关闭,一个新的文件被创建。默 认的时间间隔是 10 天。 选择您希望记录到日志的消息的紧急程度。 FortiGate 会将所有不低于您所选择的级别的消息记录进日志。例如,如果您希望记录 紧急、警报、危险和错误消息,选择错误。 单击配置策略。 要对 FortiGate 过滤的日志类型和记录的事件进行配置,按照 日志消息” 设置当磁盘被写满时的日志选项: 覆盖 阻塞数据流 不记录日志 单击 应用 保存您的日志设置。 将日志记录到系统内存... -
Page 262: 过滤日志消息
过滤日志消息 过滤日志消息 进入 日志和报告 > 日志设置。 选择配置策略设置您在 选择您希望 FortiGate 设备记录的日志类型。 通讯日志 事件日志 病毒日志 网页过滤日志 攻击日志 电子邮件过滤日志 更新 如果您在步骤 过滤日志或更新,您还需要选择希望 FortiGate 设备记录的消息的类型。 单击确定。 您可以选择记录哪种日志和在每种日志中记录哪类消息。 第 245 页 “ 记录日志” 记录所有到该接口和通过该接口的连接。 要配置通讯过滤,请见 将管理和活动事件记录到事件日志里。 管理事件包括系统配置的修改、管理员和用户的登录和注销。活动日志包 括系统活动,例如建立 VPN 通道,HA 失效恢复事件。 记录病毒入侵事件,例如当 FortiGate 设备检测到一个病毒阻塞某个类型 的文件,或者阻塞一个超大型的文件或电子邮件的时候,发生此事件。 记录系统活动事件,例如... -
Page 263: 配置通讯日志
日志和报告 图 43: 配置通讯日志 ·任意接口 ·任意防火墙策略 您还可以起用以下全局设置: ·将 IP 地址解析为主机名, ·记录会话或包信息, ·显示端口号或服务。 ·启用通讯日志 ·配置通讯过滤设置 ·添加通讯过滤的条目 FortiGate-300 安装和配置指南 日志过滤配置的例子 您可以将 FortiGate 设备配置为记录以下连接的通讯日志消息: FortiGate 设备可以根据任何源地址、目的地址或服务类型对通讯日志进行过滤。 通讯过滤列表显示了过滤的通讯的名称、源地址、目的地址和协议类别。 本节描述了以下内容: 配置通讯日志... -
Page 264: 启用通讯日志
配置通讯日志 启用通讯日志 在网络接口上启用通讯日志 接将被记录进通讯日志。 进入 系统 > 网络 > 接口。 在你要启用日志记录的接口的一侧,单击修改列上的编辑 对日志,单击 启用。 单击确定。 对每个您希望启用日志记录功能的接口重复这一操作。 将被记录进通讯日志。 进入 防火墙 > 策略。 选择一个策略标签。 选择记录通讯日志。 单击确定。 配置通讯过滤设置 进入 日志和报告 > 日志设置 > 通讯过滤。 选择您要应用到所有通讯日志消息的设置。 解析 IP 类型 显示 单击应用。 您可以对任何接口和任何防火墙策略启用日志记录。 如果您对某个网络接口启用了通讯日志记录,所有到此接口和通过此接口的网络连 对防火墙策略启用通讯日志 如果您启用了某个防火墙策略的通讯日志记录,这个防火墙策略接受的全部连接都 按照如下步骤配置在全部通讯日志消息中记录的信息。... -
Page 265: 添加通讯过滤的条目
日志和报告 图 44: 添加通讯过滤的条目 表中添加任何条目,FortiGate 记录所有的通讯日志消息。您可以在通讯过滤列表中添 加条目来限制通讯日志记录的内容。您可以选择记录来自某个指定源 IP 地址和网络掩 码、到某个指定目的地址和掩码以及某个特定类型服务的通讯日志。通讯过滤条目可 以包含源地址、目的地址和服务类型的任意组合。 进入 日志和报告 > 日志设置 > 通讯过滤。 单击新建。 配置通讯过滤,选择您希望通讯日志记录的通讯的类型。 名称 源 IP 地址 源网络掩码 目的 IP 地址 目的网络掩码 服务 单击确定。 通讯过滤列表根据您在 址条目。 FortiGate-300 安装和配置指南 通讯过滤列表的例子 在通讯过滤列表中添加条目可以过滤通讯日志记录的消息。如果您不在通讯过滤列 按照以下步骤在通讯过滤列表中添加条目。 输入一个名称以识别这个通讯过滤条目。 名称可以包含数字 (0- 9),大写或小写字母 (A-Z, a-z),以及特殊字 符... -
Page 266: 查看记录到内存的日志
查看记录到内存的日志 图 45: 查看记录到内存的日志 看、搜索和清除日志中的消息。本节讨论了: ·查看日志 ·搜索日志 查看日志 作用于查看保存在系统内存中的日志消息: 进入日志与报告 > 记录日志。 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 基于 Web 的管理程序列出保存在系统内存中的日志消息。 滚动窗口可以查看到更多的日志消息。 要查看日志中的某一行,只需在转到某行的空白处填写行号,然后单击 要在日志消息中翻页,单击 向下翻页 搜索日志 进入 日志与报告 > 记录日志。 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 单击 选择 与 可以搜索与所有给定条件匹配的消息。 新通讯地址条目的例子 如果 FortiGate 被配置为在内存中记录日志。您可以使用基于 Web 的管理程序来查 在日志消息列表中,消息按照时间顺序排列,生成时间晚的消息排在上面。以下操 使用以下操作可以搜索保存在系统内存里的日志消息。 可以在选定的日志中搜索消息。... -
Page 267: 查看和管理保存在硬盘上的日志
日志和报告 选择 或 可以搜索与某个或多个给定条件匹配的消息。 选择以下一个或多个搜索条件: 关键词 时间 单击 确定 开始搜索 基于 Web 的管理程序 会显示出符合给定搜索条件的日志消息。您可以卷动窗口查看消 息或者进行另一次搜索。 注意:在进行了一次搜索之后,如果想再次显示所有的日志消息,只需清空所有的搜索条件并再 次执行搜索。 查看和管理保存在硬盘上的日志 护日志: ·查看日志 ·搜索日志 ·将日志文件下载到管理员电脑 ·删除当前日志中的全部消息 ·删除一个保存了的日志文件 查看日志 或者保存了的日志: 进入日志与报告 > 记录日志。 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 基于 Web 的管理程序 列出选定类型的日志中已保存的全部消息,在列表顶部的是当前 日志。对于每一个日志,列表显示了添加到日志的最后一个条目的添加时的日期和时 间,日志文件的大小和文件名。 要查看日志文件,单击查看 基于 Web 的管理程序 显示了被选中的日志中的消息。 您可以将每一页中显示的日志消息的数量设置为... -
Page 268: 将日志文件下载到管理员电脑
查看和管理保存在硬盘上的日志 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 对要查看的日志文件,单击查看 单击 选择 与 可以搜索与所有给定条件匹配的消息。 选择 或 可以搜索与某个或多个给定条件匹配的消息。 选择以下一个或多个搜索条件: 关键词 源 目的 Time 单击确定以执行搜索。 基于 Web 的管理程序会显示出符合给定搜索条件的日志消息。您可以卷动窗口查看消 息或者进行另一次搜索。 注意:在进行了一次搜索之后,如果想再次显示所有的日志消息,只需清空所有的搜索条件并再 次执行搜索。 将日志文件下载到管理员电脑 文件。下载完之后,您可以使用任何文本编辑器查看文本文件,或者使用一个电子表 格软件查看 CSV 文件。按照如下步骤下载日志文件: 进入日志和报告 > 记录日志。 选择流量日志,事件日志,攻击日志,病毒防护日志,网页过滤日志,或者电子邮件 日志。 要将日志文件下载到管理员电脑,单击下载 为这个日志文件选择格式: ·选择以普通格式下载文件可以将日志消息下载保存为文本文件。文本文件的每一行是 ·选择以 CSV 格式下载文件可以将日志消息以逗号分隔值格式保存到文本文件中。用这 单击保存。 删除当前日志中的全部消息... -
Page 269: 删除一个保存了的日志文件
日志和报告 删除一个保存了的日志文件 进入日志和报告 > 记录日志。 选择流量日志,事件日志,攻击日志,病毒防护日志,网页过滤日志,或者电子邮件 日志。 基于 Web 的管理程序列出了符合选定的类型的全部日志,在列表的顶部是当前日志。 对于每个日子后,列表显示了添加到这个日志的最后一个条目的日期和时间,日志文 件的大小和文件名。 要删除一个保存了的日志文件,单击删除 配置报警邮件 事件、入侵事件和防火墙或者 VPN 事件或者异常事件的启用报警邮件发送功能。在您 设置完邮件地址之后,可以通过发送测试邮件来测试您的设置是否正确。 ·添加报警邮件地址 ·测试报警邮件 ·启用报警邮件 添加报警邮件地址 因为 FortiGate 设备使用 SMTP 服务器名来连接邮件服务器,所以它必须能够在您的 DNS 服务器上解析这个服务器名。因此,在您配置报警邮件之前确保您已经配置了至少 一个 DNS 服务器。 按以下方法添加 DNS 服务器 进入 系统 > 网络 >DNS。 如果还没有添加... -
Page 270: 测试报警邮件
配置报警邮件 在 邮件发送到 一栏最多可以输入三个目的地址。 这个地址是 FortiGate 将报警邮件实际发送到的电子邮件地址。 单击 应用 以保存您的报警邮件设定。 测试报警邮件 进入 日志与报告 > 报警邮件 > 配置。 单击 测试 ,从 FortiGate 发送测试邮件到您所配置的邮件地址。 启用报警邮件 防火墙或者 VPN 事件。如果您已经配置了将日志存储到本地硬盘,则可以启用当硬盘 快被写满时发送报警邮件的功能。按照以下步骤启用报警邮件: 进入 日志与报告 > 报警邮件 > 分类。 选中启用病毒事件的报警邮件 可以使 FortiGate 在防病毒扫描功能发现病毒时发送报 警邮件。 当病毒文件阻塞功能删除一个文件时不会发送此邮件。 选中启用阻塞事件报警邮件可以使 FortiGate 在阻塞被病毒感染的文件时发送报警邮 件。... -
Page 271: 术语表
术语表 连接: 两台电脑之间、应用程序之间、进程之间或者其 他诸如此类的对象之间的物理上或逻辑上的联系,或者 两者都有的联系。 DMZ, 非军事区: 用来提供互联网服务而无须允许对内 部 (私有)网络的未经授权的访问。典型情况下,DMZ 包含了可以访问互联网的服务器,例如网页服务器 (HTTP) ,文件传输服务器 (FTP) , 邮件服务器 (SMTP)和域名解析服务器 (DNS) 。 DMZ 接口: FortiGate 上连接到 DMZ 网络的接口。 DNS,域名解析服务: 把用字母表示的节点名转换为 IP 地址的服务。 以太网:一个局域网 (LAN),使用总线型或星型拓扑结 构,支持 10Mbps 的传输速率。以太网是被广泛应用的 局域网标准之一。新版本的以太网被称做 100 Base-T ( 或快速以太网 ),支持 100 Mbps 的数据传输速率。而最 新的标准,千兆以太网,支持每秒... - Page 272 术语表 MTU,最大传输单元: 一个网络可以传输的数据包的最 大物理尺寸,以字节为单位。任何大于 MTU 的数据包在 发送之前都会被分成较小的数据包。理想情况下,网络 中的 MTU 应当等于从您的电脑到目的地之间所经过的所 有网络中的最小 MTU。如果您的消息大于其中的任何一 个 MTU,它们会把它分割 (破碎) ,这将会减慢传输速 度。 网络掩码: 也称做子网掩码。忽略了一个完整的 IP 地 址中的一部分的一组规则,从而可以无须广播就可以达 到目的地址。它表示一个大的 TCP/IP 网络中的子网部 分。有时用来表示一个地址掩码。 NTP,网络时间协议: 用来把一台电脑的时间同步为 NTP 服务器的时间。NTP 互联网提供精确到十毫秒以内 的互联网时间 (UTC) 。 包: 通过包交换网络传送的消息的一部分。包的一个关 键特征是它除了数据之外还包含了目的地的地址。在 IP 网络中包通常被称做数据包。 Ping,数据包互联网分组: 一个用来判定特定 IP 地址 是否可以访问的工具。它的工作原理是向指定的地址发...
- Page 273 索引 ActiveX 238 从网页中删除 238 admin 级别访问 管理员帐号 129 安装向导 31, 43 启动 31, 44 病毒定义 更新 95 病毒定义更新 手动 83 下载 106 自动 91 病毒防护 概述 223 病毒防护更新 任务计划 93 通过代理服务器 100 病毒防护与网页过滤 策略选项 142 病毒防护 蠕虫防护 1 病毒防护定义 更新...
- Page 274 概述 137 介绍 2 配置 137 认证超时 128 防火墙安装向导 5, 31, 43 启动 31, 44 防火墙策略 保证带宽 142 拒绝 141 接受 141 流通日志 143 最大带宽 142 注释 143 防火墙紧急事件 报警邮件 256 防火墙事件 启用警报邮件 256 Fortinet 客户服务 13 Forti 响应发布服务器 92 美国飞塔有限公司...
- Page 275 Forti 响应发布网络 FDN 92 服务组 添加 151 服务 148 策略选项 141 定制 150 服务名称 148 预定义 148 用户定义 150 组 151 服务名称 通讯过滤显示 250 服务组 151 高可用性 介绍 4 关闭 86 固定端口 141 过大的文件和电子邮件 阻塞 229 固件 安装 76 从 CLI 升级 73 重新安装当前版本...
- Page 276 索引 IKE 257 IMAP 149, 257 配置验证校验和 215 IP/MAC 绑定 160 动态 IP/MAC 列表 160 启用 162 添加 161 允许流通 161 阻塞流通 161 静态 IP/MAC 列表 160 IP 池 添加 158 IP 地址 从 CLI 配置 45 IP 地址 IP/MAC 绑定 160 P 地址...
- Page 277 L2TP 172, 257 配置 205 配置网关 206 配置 Windows XP 客户端 209 起点 IP 206 启用 206 网络配置 205 终点 IP 地址 206 L2TP 网关 配置 206 记录日志 通讯日志 248 LCD 和按键 配置 IP 地址 31, 44 LDAP 配置举例 171 LDAP 服务器...
- Page 278 索引 PAT 156 排除范围 DHCP 116 PING 管理访问 109, 112 POP3 149, 258 匹配 策略 144 PPPoE 外部接口 111 PPTP 172, 258 配置网关 200 配置 Windows 2000 客户端 203 配置 Windows 98 客户端 202 配置 Windows XP 客户端 204 起点 IP 200 启用...
- Page 279 时间 日志搜索 253, 254 设置 127 事件日志 查看 252 扫描 防病毒 224 SMTP 150 定义 258 配置报警邮件 255 SNMP 定义 258 接受团体 131 联系信息 131 MIBs 132 配置 131 配置举例 132 陷阱 133 陷阱接收器 IP 地址 132 陷阱团体 132 系统名称 131 系统位置...
- Page 280 索引 WebTrends 在 NetIQ WebTrends 服务器上记录日志 246 维护 日志 253 Windows 2000 L2TP 配置 208 连接到 L2TP VPN 209 连接到 PPTP VPN 203 为 PPTP 配置 203 Windows 98 连接到 PPTP VPN 203 PPTP 配置 202 Windows XP 连接到 L2TP VPN 211 连接到...
- Page 281 与 NTP 服务器同步 127 硬盘 记录日志 246 状态 84 硬盘满 报警邮件 256 域 DHCP 116 运行环境 17 允许流通 IP/MAC 绑定 161 有效期 DHCP 116 允许向内 加密策略 141 允许向外 加密策略 141 语言 基于 Web 的管理程序 129 验证校验和 配置 215 预置密钥 介绍 176 组...
- Page 282 索引 美国飞塔有限公司...
Need help?
Do you have a question about the FortiGate 300 and is the answer not in the manual?
Questions and answers