Fortinet 400 User Manual
FortiGate 400
FortiGate!400
Installation!and
安装和配置指南
Configuration!Guide
1
Esc Enter
FortiGate 用户手册 第一卷
2.50 版
2003 年 7 月 21 日
CONSOLE
2
4 / HA3
© Copyright 2003 美国飞塔有限公司版权所有。
本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司的
许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传
播或发布。
FortiGate-400 安装和配置指南
2.50 版
3 July 2003
注册商标
本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。
服从规范
FCC Class A Part 15 CSA/CUS
注意:如果更换的电池型号错误,有可能会导致爆炸。请根据使用说明中的
规定处理用过的电池。
请访问 http://www.fortinet.com 以获取技术支持。
请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送
到 techdoc@fortinet.com。
目 录
简介 ................................................................... 1
防病毒保护 ................................................................... 1
Web 内容过滤 ................................................................. 2
电子邮件过滤 ................................................................. 2
防火墙 ....................................................................... 2
NAT/ 路由模式 .............................................................. 3
透明模式 ................................................................... 3
虚拟专用网 (VLAN)........................................................... 3
网络入侵检测系统 (NIDS)..................................................... 3
虚拟专用网络 (VPN).......................................................... 4
高可用性 ..................................................................... 4
安全安装、配置、管理 ......................................................... 5
基于 Web 的管理程序 ......................................................... 5
命令行接口 (CLI).......................................................... 5
日志和报告 ................................................................. 6
2.50 版本的新特点 ............................................................ 6
系统管理 ................................................................... 6
防火墙 Firewall ............................................................ 8
用户和认证 ................................................................. 8
VPN........................................................................ 8
NIDS....................................................................... 8
防病毒 ..................................................................... 8
网页过滤 ................................................................... 8
电子邮件过滤 ............................................................... 9
日志和报告 ................................................................. 9
关于本手册 .................................................................. 10
文档中的约定 ................................................................ 10
Fortinet 的文档 ............................................................. 11
Fortinet 技术文档的注释 ................................................... 12
客户服务和技术支持 .......................................................... 13
目录
开始 .................................................................. 15
包装中的物品 ................................................................ 16
安置 ........................................................................ 16
启动 ........................................................................ 17
连接到基于 Web 的管理程序 .................................................... 18
连接到命令行接口 (CLI) ...................................................... 19
FortiGate-400 安装和配置指南
iii
目录
FortiGate 出厂默认设置 ...................................................... 20
出厂默认的 NAT/ 路由模式的网络配置 ......................................... 20
出厂默认的透明模式的网络设置 .............................................. 21
出厂时默认的防火墙配置 .................................................... 21
出厂时默认的内容配置文件 .................................................. 22
严谨型内容配置文件 ........................................................ 22
扫描型内容配置文件 ........................................................ 23
网页型内容配置文件 ........................................................ 23
非过滤型内容配置文件 ...................................................... 24
规划您的 FortiGate 设备的配置 ................................................ 24
NAT/ 路由模式 ............................................................. 25
具有多个外部网络连接的 NAT/ 路由模式 ....................................... 25
透明模式 .................................................................. 26
配置选项 .................................................................. 27
FortiGate 系列产品参数最大值列表 ............................................ 27
下一步 ...................................................................... 28
NAT/ 路由 模式安装..................................................... 29
准备配置 NAT/ 路由模式 ....................................................... 29
使用安装向导 ................................................................ 30
启动安装向导 .............................................................. 30
重连接到 基于 Web 的管理程序 ............................................... 30
使用前面板控制按钮和 LCD .................................................... 31
使用命令行界面 .............................................................. 31
将 FortiGate 配置为在 NAT/ 路由模式操作 ..................................... 31
将 FortiGate 连接到网络中 .................................................... 32
配置网络 .................................................................... 34
完成配置 .................................................................... 34
配置接口 3 ................................................................ 34
配置接口 4/HA ............................................................. 34
设置日期和时间 ............................................................ 34
启用防病毒保护 ............................................................ 34
注册 FortiGate 设备 ........................................................ 35
配置防病毒和攻击定义更新 .................................................. 35
配置举例:到互联网的多重连接 ................................................ 35
配置 Ping 服务器 ........................................................... 36
基于目的地的路由配置举例 .................................................. 37
策略路由的例子 ............................................................ 39
防火墙策略举例 ............................................................ 40
透明模式安装 .......................................................... 43
准备配置透明模式 ............................................................ 43
iv
美国飞塔有限公司
使用安装向导 ................................................................ 43
切换到透明模式 ............................................................ 44
启动安装向导 .............................................................. 44
重连接到 基于 Web 的管理程序 ............................................... 44
使用前面板控制按钮和 LCD .................................................... 44
使用命令行接口 .............................................................. 45
切换到透明模式 ............................................................ 45
配置透明模式的管理 IP 地址 ................................................. 45
配置透明模式的默认网关 .................................................... 45
完成配置 .................................................................... 46
设置日期和时间 ............................................................ 46
启用防病毒保护 ............................................................ 46
注册 FortiGate 设备 ........................................................ 46
配置防病毒和攻击定义更新 .................................................. 46
将 FortiGate 连接到网络中 ................................................... 46
透明模式配置的例子 .......................................................... 48
目录
默认路由和静态路由 ........................................................ 48
到外部网络的默认路由的例子 ................................................ 48
到外部目的地址的静态路由的例子 ............................................ 50
到内部目的地址的静态路由的例子 ............................................ 52
高可用性 .............................................................. 55
主动 - 被动 HA ............................................................... 55
主动 - 主动 HA ............................................................... 56
NAT/ 路由模式下的 HA ......................................................... 57
安装和配置 FortiGate 设备 .................................................. 57
配置 HA 接口 ............................................................... 57
配置 HA 簇 ................................................................ 58
将 HA 簇连接到您的网络 ..................................................... 59
启动 HA 簇 ................................................................. 61
透明模式下的 HA ............................................................. 61
安装和配置 FortiGate 设备 .................................................. 61
配置 HA 接口和 IP 地址 ...................................................... 61
配置 HA 簇 ................................................................ 62
将 HA 簇连接到您的网络中 ................................................... 63
启动 HA 簇 ................................................................. 64
FortiGate-400 安装和配置指南
v
目录
管理 HA 组 ................................................................... 64
查看 HA 簇成员状态 ......................................................... 65
监视簇成员 ................................................................ 65
监视簇会话 ................................................................ 66
查看和管理簇日志消息 ...................................................... 66
单独管理簇中的设备 ........................................................ 67
同步簇配置 ................................................................ 68
返回到独立模式配置 ........................................................ 68
在失效恢复后替换 FortiGate ................................................ 68
高级 HA 选项 ................................................................. 69
从 FortiGate 设备中选择一个主设备 .......................................... 69
配置加权轮询的权重 ........................................................ 69
系统状态 .............................................................. 71
修改 FortiGate 主机名 ........................................................ 72
修改 FortiGate 固件 ......................................................... 72
升级到新版本的固件 ........................................................ 72
恢复到一个旧的固件版本.................................................... 74
使用 CLI 重新启动系统安装固件 .............................................. 76
在安装新版本的固件之前进行测试 ............................................ 78
安装和使用一个备份了的固件映像 ............................................ 80
手动更新病毒防护定义库 ...................................................... 83
手动更新攻击定义库 .......................................................... 83
显示 FortiGate 的序列号 ...................................................... 84
显示 FortiGate 运行时间 ...................................................... 84
显示日志硬盘状态 ............................................................ 84
备份系统设备 ................................................................ 84
恢复系统设置 ................................................................ 84
将系统设置恢复到出厂设置 .................................................... 85
转换到透明模式 .............................................................. 85
转换到 NAT/ 路由模式 ......................................................... 86
重新启动 FortiGate 设备 ...................................................... 86
关闭 FortiGate 设备 .......................................................... 86
系统状态 .................................................................... 86
查看 CPU 和内存状态 ........................................................ 87
vi
查看会话和网络状态 ........................................................ 88
查看病毒和入侵状态 ........................................................ 88
会话列表 .................................................................... 89
美国飞塔有限公司
病毒和攻击定义升级及注册 .............................................. 91
病毒防护定义和攻击定义更新 .................................................. 91
连接到 Forti 响应发布网络 .................................................. 92
配置周期性更新 ............................................................ 93
配置更新日志 .............................................................. 94
添加后备服务器 ............................................................ 94
手工更新病毒防护定义和攻击定义 ............................................ 95
配置推送更新 .............................................................. 95
通过 NAT 设备的推送更新 .................................................... 96
通过代理服务器定期更新 ................................................... 100
注册 FortiGate 设备 ......................................................... 100
FortiCare 服务合同....................................................... 101
注册 FortiGate 设备 ....................................................... 101
更新注册信息 ............................................................... 103
找回丢失的 Fortinet 支持密码 .............................................. 103
查看注册的 FortiGate 设备列表 ............................................. 103
注册一个新的 FortiGate 设备 ............................................... 104
添加或修改 FortiCare 支持合同号 ........................................... 104
修改您的 Fortinet 支持密码 ................................................ 105
修改您的联系信息或安全提示问题 ........................................... 105
下载病毒防护和攻击定义更新 ............................................... 105
RMA 之后注册 FortiGate 设备 ................................................. 106
目录
网络配置 ............................................................. 107
配置区域 ................................................................... 107
添加区域 ................................................................. 107
在区域中添加接口 ......................................................... 108
在区域中添加 VLAN 子接口 .................................................. 108
重命名区域............................................................... 108
删除区域 ................................................................. 108
配置网络接口 ............................................................... 109
查看接口列表 ............................................................. 109
启动一个接口 ............................................................. 109
修改一个接口的静态 IP 地址 ................................................ 109
为接口添加第二个 IP 地址 .................................................. 110
为接口添加 ping 服务器 .................................................... 110
控制到接口的管理访问 ..................................................... 110
为接口的连接配置通讯日志 ................................................. 111
修改外部网络接口的 MTU 大小以提高网络性能 ................................. 111
配置接口 4/ha ............................................................ 111
配置管理接口 (透明模式)................................................. 112
FortiGate-400 安装和配置指南
vii
目录
配置虚拟局域网(VLAN)..................................................... 113
VLAN 网络配置 ............................................................ 113
添加 VLAN 子网络接口 ...................................................... 114
配置路由 ................................................................... 116
添加默认路由 ............................................................. 116
向路由表添加基于目的的路由 ............................................... 117
添加路由 (透明模式)..................................................... 118
配置路由表 ............................................................... 118
策略路由 ................................................................. 119
在您的内部网络中提供 DHCP 服务 .............................................. 119
RIP 配置 ............................................................. 121
RIP 设置 ................................................................... 122
为 FortiGate 接口配置 RIP ................................................... 123
添加 RIP 邻居 ............................................................... 125
添加 RIP 过滤器 ............................................................. 125
添加单一 RIP 过滤器 ....................................................... 126
添加一个 RIP 过滤列表 ..................................................... 126
添加一个邻居过滤器 ....................................................... 127
添加一个路由过滤器 ....................................................... 127
系统配置 ............................................................. 129
设置系统日期和时间 ......................................................... 129
更改基于基于 Web 的管理程序的选项 ........................................... 130
添加和编辑管理员帐号 ....................................................... 131
添加新的管理员帐号 ....................................................... 132
编辑管理员帐号 ........................................................... 132
配置 SNMP .................................................................. 133
为 SNMP 监视配置 FortiGate 设备 ............................................ 133
配置 FortiGate 的 SNMP 支持 .............................................. 133
FortiGate 管理信息库 (MIB).............................................. 134
FortiGate 陷阱 ........................................................... 135
定制替换信息 ............................................................... 135
定制替换信息 ............................................................. 136
定制报警邮件 ............................................................. 137
viii
美国飞塔有限公司
防火墙配置 ........................................................... 139
默认防火墙配置 ............................................................. 140
接口 ..................................................................... 140
VLAN 子接口 .............................................................. 140
区域 ..................................................................... 140
地址 ..................................................................... 141
服务 ..................................................................... 141
任务计划 ................................................................. 141
内容配置文件 ............................................................. 142
添加防火墙策略 ............................................................. 142
防火墙策略选项 ........................................................... 143
配置策略列表 ............................................................... 146
策略匹配的细节 ........................................................... 147
更改策略列表中策略的顺序 ................................................. 147
启用和禁用策略 ........................................................... 147
地址 ....................................................................... 148
添加地址 ................................................................. 148
编辑地址 ................................................................. 149
删除地址 ................................................................. 150
将地址编入地址组 ......................................................... 150
服务 ....................................................................... 151
预定义的服务 ............................................................. 151
访问定制服务 ............................................................. 153
服务分组 ................................................................. 154
任务计划 ................................................................... 155
创建一个一次性任务计划 ................................................... 155
创建周期性任务计划 ....................................................... 156
在策略中添加一个任务计划 ................................................. 157
虚拟 IP .................................................................... 158
添加静态 NAT 虚拟 IP ...................................................... 158
添加端口转发虚拟 IP ...................................................... 159
添加使用虚拟 IP 的策略 .................................................... 160
IP 池 ...................................................................... 161
添加 IP 池 ................................................................ 161
使用固定端口的防火墙策略的 IP 池 .......................................... 162
IP 池和动态 NAT........................................................... 162
IP/MAC 绑定 ................................................................ 162
为穿过防火墙的数据包配置 IP/MAC 绑定 ...................................... 163
为连接到防火墙的数据包配置 IP/MAC 绑定 .................................... 163
添加 IP/MAC 地址 .......................................................... 164
查看动态 IP/MAC 列表 ...................................................... 164
启用 IP/MAC 地址绑定 ...................................................... 164
目录
FortiGate-400 安装和配置指南
ix
目录
内容配置文件 ............................................................... 165
默认的内容配置文件 ....................................................... 166
添加一个内容配置文件 ..................................................... 166
将内容配置文件添加到策略 ................................................. 167
用户与认证 ........................................................... 169
设置认证超时 ............................................................... 170
添加用户名并配置认证 ....................................................... 170
添加用户名和配置认证 ..................................................... 170
从内部数据库中删除用户名 ................................................. 171
配置 RADIUS 支持 ............................................................ 171
添加 RADIUS 服务器 ........................................................ 171
删除 RADIUS 服务器 ........................................................ 172
配置 LDAP 支持 ............................................................. 172
添加 LDAP 服务器 .......................................................... 173
删除 LDAP 服务器 .......................................................... 173
配置用户组 ................................................................. 174
添加用户组 ............................................................... 174
删除用户组 ............................................................... 175
IPSec VPN ............................................................ 177
密钥管理 ................................................................... 177
手工密钥 ................................................................. 178
使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE) ........................ 178
手工密钥 IPSec VPN ......................................................... 178
手工密钥 VPN 的一般配置步骤 ............................................... 179
添加一个手工密钥 VPN 通道 ................................................. 179
自动 IKE IPSec VPN ......................................................... 180
自动 IKE VPN 的一般配置步骤 ............................................... 180
为自动 IKE VPN 添加第一阶段配置 ........................................... 181
为自动 IKE VPN 添加第二阶段配置 ........................................... 184
管理数字证书 ............................................................... 186
获得签名的本地证书 ....................................................... 186
获得一个 CA 证书 .......................................................... 190
配置加密策略 ............................................................... 190
添加源地址 ............................................................... 191
添加目的地址 ............................................................. 191
添加一个加密策略 ......................................................... 192
IPSec VPN 集中器 ........................................................... 193
VPN 集中器 ( 集线器 ) 一般配置步骤 ......................................... 194
添加一个 VPN 集中器 ....................................................... 195
VPN 辐条一般配置步骤..................................................... 196
冗余 IPSec VPN ............................................................. 197
配置冗余 IPSec VPN ....................................................... 197
x
美国飞塔有限公司
VPN 监视和问题解答 ......................................................... 198
查看 VPN 通道状态 ......................................................... 198
查看拨号 VPN 连接的状态 ................................................... 199
测试 VPN................................................................. 199
PPTP 和 L2TP VPN ..................................................... 201
配置 PPTP .................................................................. 201
把 FortiGate 配置为 PPTP 网关 .............................................. 202
配置 PPTP 的 Windows98 客户端 .............................................. 204
配置 Windows2000 的 PPTP 客户端 ............................................ 205
配置 WindowsXP 的 PPTP 客户端 .............................................. 206
L2TP VPN 配置 .............................................................. 207
把 FortiGate 配置为 L2TP 网关 .............................................. 208
配置 Windows2000 客户的 L2TP .............................................. 210
配置 WindowsXP 客户的 L2TP ................................................ 212
网络入侵检测系统 (NIDS) .............................................. 215
目录
检测攻击 ................................................................... 215
选择要监视的网络接口 ..................................................... 215
禁用 NIDS ................................................................ 215
验证校验和的配置 ......................................................... 217
查看攻击特征列表 ......................................................... 217
查看攻击描述 ............................................................. 217
启用和禁用 NIDS 攻击特征 .................................................. 218
添加 用户定义的特征 ...................................................... 219
NIDS 攻击预防 .............................................................. 219
启用 NIDS 攻击预防 ........................................................ 220
启用 NIDS 攻击预防特征 .................................................... 220
设置特征临界值 ........................................................... 221
配置握手溢出特征值 ....................................................... 222
记录 NIDS 攻击日志 .......................................................... 222
将攻击消息记录到攻击日志 ................................................. 222
减少 NIDS 攻击日志消息和报警邮件的数量 .................................... 223
防病毒保护 ........................................................... 225
一般配置步骤 ............................................................... 225
防病毒扫描 ................................................................. 226
文件阻塞 ................................................................... 227
在防火墙通讯中阻塞文件 ................................................... 228
添加用于阻塞的文件名样板 ................................................. 228
FortiGate-400 安装和配置指南
xi
目录
隔离 ....................................................................... 228
隔离被感染的文件 ......................................................... 229
隔离被阻塞的文件 ......................................................... 229
查看隔离列表 ............................................................. 229
隔离列表排序 ............................................................. 230
过滤隔离列表 ............................................................. 230
从隔离区中删除文件 ....................................................... 230
下载被隔离的文件 ......................................................... 230
配置隔离选项 ............................................................. 231
阻塞过大的文件和电子邮件 ................................................... 231
配置文件或电子邮件大小限制 ............................................... 231
对邮件片段免除阻塞 ......................................................... 231
查看病毒列表 ............................................................... 232
网页内容过滤 ......................................................... 233
一般配置步骤 ............................................................... 233
内容阻塞 ................................................................... 234
在禁忌词汇列表中添加单词或短语 ........................................... 234
阻塞对 URL 的访问 ........................................................... 235
使用 FortiGate 网页过滤器 ................................................. 235
使用 Cerberian 网页过滤器 ................................................. 237
脚本过滤 ................................................................... 240
启用脚本过滤 ............................................................. 240
选择脚本过滤选项 ......................................................... 240
URL 排除列表 ............................................................... 241
在 URL 排除列表中添加 URL ................................................. 241
电子邮件过滤 ......................................................... 243
一般配置步骤 ............................................................... 243
电子邮件禁忌词汇列表 ....................................................... 243
在禁忌词汇列表中添加单词或短语 ........................................... 244
电子邮件阻塞列表 ........................................................... 244
在邮件阻塞列表中添加地址模板 ............................................. 244
邮件排除列表 ............................................................... 245
在邮件排除列表中添加地址模板 ............................................. 245
添加一个主题标签 ........................................................... 246
日志和报告 ........................................................... 247
记录日志 ................................................................... 247
在远程电脑上记录日志 ..................................................... 248
在 NetIQ WebTrends 服务器上记录日志 ...................................... 248
将日志记录到 FortiGate 硬盘 ............................................... 248
将日志记录到系统内存 ..................................................... 249
过滤日志消息 ............................................................... 250
xii
美国飞塔有限公司
配置通讯日志 ............................................................... 251
启用通讯日志 ............................................................. 252
配置通讯过滤设置 ......................................................... 252
添加通讯过滤的条目 ....................................................... 253
查看记录到内存的日志 ....................................................... 254
查看日志 ................................................................. 254
搜索日志 ................................................................. 254
查看和管理保存在硬盘上的日志 ............................................... 255
查看日志 ................................................................. 255
搜索日志 ................................................................. 255
将日志文件下载到管理员电脑 ............................................... 256
删除当前日志中的全部消息 ................................................. 256
删除一个保存了的日志文件 ................................................. 257
配置报警邮件 ............................................................... 257
添加报警邮件地址 ......................................................... 257
测试报警邮件 ............................................................. 258
启用报警邮件 ............................................................. 258
术语表 .............................................................. 259
目录
索引 ................................................................. 261
FortiGate-400 安装和配置指南
xiii
目录
xiv
美国飞塔有限公司
简介
FortiGate-400 安装和配置指南 2.50 版
FortiGate 防病毒防火墙支持应用层服务的基于网络的部署,包括防病毒保护和全
内容扫描过滤。FortiGate 防病毒防火墙增强了网络的安全性,避免了网络资源的误用
和滥用,可以帮助您更好地使用通讯资源而不会降低网络的性能。FortiGate 防病毒防
火墙获得了 ICSA 防火墙认证,IP 安全认证和防病毒服务认证。
FortiGate 防病毒防火墙是一个易于管理的安全设备,它提供了一套完整的功能,
包括:
·应用层服务,例如病毒防护和内容过滤,
·网络曾服务,例如防火墙、入侵检测、VPN,以及流量控制等。
FortiGate 采用了先进的行为加速 (Accelerated Behavior)和内容分析系统技术
(ABACAS
独有的,基于 ASIC 上的网络安全构架能实时进行网络内容和状态分析,并及时启动在
网络边界布署的防护关键应用程序,对您的网络进行最有效的安全保护。FortiGate
系列对现有的一些解决方案,如以主机为基础的防病毒保护进行补充,并在大力降低
设备,管理和维修成本的同时,为您提供一些新的应用和服务。
TM
),突破了芯片设计、网络通信、安全防御及内容分析等诸多难点。公司所
防病毒保护
FortiGate-400 型在性能、可用性及
可靠性上满足了企业级应用的需要。拥有
高可用性包括无会话 (Session) 损失的失
效自动恢功能,FortiGate-200 是您企业
中运行重大关键性任务所需的最佳选择。
ICSA 认证的 FortiGate 防病毒保护,可将通过 FortiGate 传输的 WEB (HTTP),
文件传输 (FTP)和 EMAIL(SMTP, POP3, 和 IMAP ) 内容中被病毒感染的文件删除。当
FortiGate 从内容流中检测出病毒时,自动病毒防护功能可以删除那些感染了病毒的文
件,用一条病毒感染信息替换掉原来的文件,然后转发到内容流的接收方。Web 和电子
邮件内容可以是存在于常规网络通讯中的或者是被封装在 IPSec VPN 通讯流中的。
您还可以提高安全防护的级别,将防病毒保护功能设置为阻塞通过 FortiGate 设备
的特定类型的文件。使用这一功能可以阻塞可能含有新型病毒的文件。
如果 FortiGate 设备内配有硬盘,可以将被感染或被阻塞的文件隔离。FortiGate
管理员可以下载被隔离的文件,然后对它们进行病毒扫描,杀毒,再将它们发送给原
来的接收者。您也可以将 FortiGate 设备配置为每过一段时间就自动删除被隔离的文
件。
当 FortiGate 设备从内容流中检测到病毒并将它删除的时候,它可以向系统管理员
发送一封报警邮件。
FortiGate-400 安装和配置指南
1
Web 内容过滤 简介
ICSA LABS 认证了 FortiGates 的以下功能:
·100% 检测到 The Wild List(www.wildlist.org) 中列举的所有病毒。
·检测 PKZip 格式压缩文件中的病毒。
·检测以 UUENCODE 格式编码的 EMAIL 中的病毒。
·检测以 MIME 格式编码的 EMAIL 中的病毒。
·在扫描同时对所有动作进行日志记录。
Web 内容过滤
FortiGate Web 内容过滤可设置为扫描 URL 和 WEB 网页内容中的全部 HTTP 内容协
议数据流。如果在 URL 阻塞列表中找到与 URL 匹配的条目 , 或在网页中发现了内容阻
塞列表中的词或短语, FortiGate 将阻塞此页。被阻塞的网页会被一条内容阻塞消息
所替代,您可以使用基于 Web 的管理程序编缉这个消息。
通过设置 URL 阻塞可以阻挡来自某一网站上的所有或部分网页。利用这一特点,
可拒绝某个站点中的部分而不是阻塞整个网站。
为防止无意封锁到一些合法的网页,可将 URLs 添加到一则例外列表中,从而覆盖
URL 封锁及内容封锁列表中的设置。
电子邮件过滤
防火墙
Web 网页内容过滤也包括脚本过滤,它可以配置为阻塞如下一些非安全 web 内容
如 Java 小程序、Cookies、ActiveX。
您还可以使用 Cerberian URL 阻塞去阻塞不受欢迎的 URL。
通过配置 FortiGate 的电子邮件过滤功能,可以扫描所有的 IMAP 和 POP3 邮件内
容,找出不受欢迎的发件人或不受欢迎的内容。如果发现某个邮件的发件人地址与电
子邮件阻塞列表中的某一项相匹配,或者在邮件的内容中含有和禁忌词汇列表中的词
汇相匹配的内容,FortiGate 会在这个邮件的标题栏中添加一个电子邮件标签。接收者
可以用他们的电子邮件客户端软件根据这个电子邮件标签过滤不想要的邮件。
对于所有的或部分已知的广告邮件发送组织,您可以通过配置电子邮件阻塞功能在
属于这些组织的发件人所发送的电子邮件上添加电子邮件标签。为了避免无意中在正
常发件人发送的邮件上加上电子邮件标签,您可以将发件人的地址模板添加到一个排
除列表中,以使该发件人发送的邮件不收邮件阻塞功能和禁忌词汇列表的限制。
ICSA 认证的 FortiGate 防火墙可以在互联网这个充满敌意的环境中保护您的电脑
网络。ISCA 已对 FortiGate 防火墙 4.0 版本授予了证书,确保了 FortiGates 可以成功
保护企业网络不受来自公共或其它非信任网络的各种威胁。
在完成 FortiGate 的基本安装后,防火墙可设置为允许用户从受保护内部网络访问
Internet,并同时封锁从 Internet 到内部网的访问。您可对防火墙进行设置,使其对
从内部网到 Internet 的访问,和从 Internet 到内部往的访问加以控制。
2
美国飞塔有限公司
简介 虚拟专用网 (VLAN)
您可以使用以下选项灵活地配置 FortiGate 安全策略 :
·控制所有进入和输出的网络流通,
·控制加密的 VPN 流通,
·应用防病毒保护和 WEB 内容过滤,
·阻塞或允许对全部策略选项的访问,
·根据单个策略进行控制,
·接受或拒绝出入单个地址的流通,
·单独或成组地控制标准的和用户定义的网络服务,
·要求用户在获取访问之 前进行用户认证,
·包含了流通控制用以设置每条策略的访问优先权和带宽保证或带宽限制,
·包含日志用以逐个追记某策略下的网络连接,
·包含网络地址转换/路由 (NAT/ 路由)模式策略,
·包含混合 NAT 和路由模式策略。
FortiGate 防火墙支持网络地址转换 / 路由模式或透明模式。
NAT/ 路由模式
在 NAT/ 路由模式下 , 您可创建 NAT 模式和路由模式策略。
·NAT 模式策略通过网络地址转换对较不安全区域中的用户隐藏较安全区域中的地址。
·路由模式策略在不执行地址转换下接受或拒绝区域间的连接。
透明模式
透明模式提供了与 NAT 模式相同的基本防火墙保护。从 FortiGate 中接收到的数据
包根据防火墙策略可被智能地转发或阻塞掉。FortiGate 可插入到网络的任何一点而不
需要对此网络或其它相关组件做任何的改变。然而,VPN、VLAN、多区域功能及一些高
级防火墙功能只能在 NAT/ 路由模式下使用。
虚拟专用网 (VLAN)
FortiGate 防病毒防火墙支持服从 IEEE802.1Q 标准的虚拟局域网(VLAN)标签。
使用 VLAN 技术,FortiGate 可以多个安全域提供安全服务和连接控制,根据添加到
VLAN 数据包的 VLAN ID 来识别这些安全域。FortiGate 可以识别 VLAN ID 并对安全网
络和每个安全域间的 IPSec VPN 数据流应用安全策略。它还可以为 VLAN 标识的网络和
VPN 数据流提供认证、内容过滤和防病毒保护功能。
网络入侵检测系统 (NIDS)
FortiGate 网络入侵侦测系统 (NIDS) 是一种实时网络入侵探测器,它能对外界各
种可疑的网络活动进行识别及采取行动。NIDS 通过攻击特征来识别超过 1000 种的攻
击。您可以启用或禁止 NIDS 对某一类型的攻击进行检测。还可以自行编写攻击特征从
而生成用户自定义的攻击类型检测。
FortiGate-400 安装和配置指南
3
虚拟专用网络 (VPN) 简介
NIDS 可以防止探测、大部分常见的拒绝服务攻击和基于数据包的攻击。您可以启
用或禁用预防攻击的特征,和定制攻击检测的灵敏度和其他参数。
为通知系统管理员有攻击,NIDS 将此攻击及一切可疑流通记录到攻击日志中,并
根据设置发送报警 EMAIL。
Fortinet 可定期更新攻击数据库。您可下载并手动安装攻击数据库。也可设置
FortiGate 自动查询和下载更新的 IDS 数据库。
虚拟专用网络 (VPN)
使用 FortiGate 虚拟专用网 (VPN), 可为您在办公网络和分散的办公室网络、从
远程安全通讯系统登陆到公司网的用户或旅行者 之间提供一个安全的网络连接。
FortiGate VPN 包括以下特性 :
·执行行业标准及 ICSA 认证的 IPSec VPN 包括 :
·在通道模式下的 IPSec, ESP 安全,
·DES 和 3DES (triple-DES) 加密的硬件加速,
·HMAC MD5 和 HMAC SHA1 认证和数据整体化,
·基于预置密钥隧道的自动密钥交换,
·使用本地验证或 CA 验证的 IPSec VPN ,
·手工密钥通道,
·Diffie-Hellman 组 1、2、和 5,
·积极模式和主模式,
·重放检测,
·向前保密,
·XAuth 认证 ,
·失效对等检测,
·易于连接的 PPTP,支持为大多数常用的操作系统所支持的 VPN 标准。
·易于连接的 L2TP,支持为大多数常用的操作系统所支持的更加安全的 VPN 标准。
·基于 IPSec VPN 流通控制的防火墙策略。
·IPSec NAT 跨越技术使得位于 NAT 后边的远程 IPSec VPN 网关或客户端可以连接到
IPSec VPN 通道。
·用 VPN 集中器的 VPN 星形连接,可以使 VPN 流通从一个通道经 FortiGate 连接到另一
个通道。
·IPSec 冗余可以创建到远程网络的自动密钥交换 IPSec VPN 连接。
高可用性
4
高可用性 (HA) 提供两个或多个 FortiGate 之间的 失效恢复机制。Fortinet 通过
冗余硬件实现 HA 功能,匹配在 NAT/ 路由模式运行下的 FortiGate。您可以将
FortiGates 配置为主动 - 被动 (A-P) 模式或主动 - 主动 (A-A)HA 模式。
A-P 模式和 A-A 模式的 HA 均使用类似的高可用性冗余硬件配置。高可用性软件保
证了当 HA 组中一个 FortiGate 失效,所有功能及已建的防火墙连接仍能维持现状。
美国飞塔有限公司
简介 安全安装、配置、管理
安全安装、配置、管理
安装过程即快捷又简单。 初次启动 FortiGates 时,它已经配置为使用默认的 IP
地址及安全策略配置。为了使 FortiGate 开始保护您的网络,只需连接到基于 Web 的
管理程序,设置操作模式并使用安装向导来配置您网络的 FortiGate IP 地址。在此基
础上,可用基于 Web 的管理程序来进行更进一步的配置以满足您更多的需要。
您也可使用 FortiGate 面板上的控制按钮和 LCD 对其进行基本配置。
基于 Web 的管理程序
从任何一个装有 IE 流览器的电脑上以 HTTP 或安全 HTTPS 方式连接到基于 Web 的
管理程序,即可对 FortiGates 设备进行配置和管理。基于 Web 的管理程序支持多种语
言。您可以从任何 FortiGate 接口将 FortiGate 设备配置为使用 HTTP 或 HTTPs 进行管
理维护。
您可以使用基于 Web 的管理程序完成大部分 FortiGate 配置工作。也可以使用基于
Web 的管理程序监视 FortiGate 设备的状态。使用 基于 Web 的管理程序对配置所做的
修改会立即生效,而无须重新启动防火墙或中断服务。您可以将已经完成的配置下载
并保存。您所保存的设置可以在任何时间恢复到系统中。
图 1: FortiGate 基于 Web 的管理程序 和设置向导
命令行接口 (CLI)
FortiGate-400 安装和配置指南
您可以将管理员计算机的串行通讯接口连接到 FortiGate 的 RS-232 串行控制台接
口上,从而访问 FortiGate 命令行控制界面 (CLI)。或者也可以使用 Telnet 或者安
全的 SSH 连接方式从任何与 FortiGate 连接的网络,包括互联网,中访问 CLI 界面。
5
2.50 版本的新特点 简介
CLI 具有和 基于 Web 的管理程序相同的管理和监视功能。另外,您可以使用 CLI
进行一些高级配置工作,这是 基于 Web 的管理程序无法实现的。
包含了有关基本 CLI 命令和高级 CLI 命令的信息。您可以在
中找到关于如何连接到 CLI 和如何使用 FortiGate CLI 的更加完整和详细的说明。
安装和配置指南
中
FortiGate CLI 参考指南
日志和报告
FortiGate 支持记录各种类别的流通和配置修改。您可将日志设置如下:
·报告连接到防火墙接口的通讯,
·报告被使用的网络服务,
·报告被防火墙策略允许的通讯,
·报告被防火墙策略拒绝的通讯,
·报告配置改变和其它一些管理事件,如 IPSec 通道协商、 病毒检测、攻击、web 网
页阻塞,
·报告被 NIDS 检测到的攻击,
·向系统管理员发送报警 EMAIL 以报告病毒事件、入侵及防火墙或 VPN 事件及异常违法
情况。
日志可被传送到远程系统日志服务器或以 WebTrends 增强日志格式传输到远程
WebTrends NetIQ 安全报告中心和防火墙服务器上。某些型号的防火墙可将日志存储在
可选择的内置硬盘上。如果没有安装硬盘,您可配置 FortiGate 日志和报告,把最近
的事件记录到共享系统内存中去。
2.50 版本的新特点
系统管理
·改善了 FortiGate 系统健康状态监视图象功能,包括 CPU 及内存的使用率,会话数
·修订了防病毒和攻击定义更新功能,使其连接到新版本的 Fortinet 响应发布网络。
·可以从基于 Web 的管理程序直接连接到 Fortinet 技术支持网页的页面。您可以注册
本节主要描述了 Forti0S v2.50 中的一些新的特征:
量,网 络 带宽使用率,以及检测到的病毒和入侵的数量,详细内容请见 第 86 页
“ 系统状态” 。
现在可以以小时为单位进行定期更新,并且,系统 > 更新页面显示关于更新状态的
更多的详细信息。详情请见 第 91 页 “ 病毒防护定义和攻击定义更新” 。
您的 FortiGate 设备并获得访问其他技术支持资源的权利。详情请见 第 100 页
“ 注册 FortiGate 设备” 。
6
美国飞塔有限公司
简介 2.50 版本的新特点
网络配置
·关于如何添加和使用区域的内容有所改动。详细内容请见 第 107 页 “ 配置区
域” 。
·关于如何添加和使用 VLANs 的内容有一些改动,详细内容请见 第 113 页 “ 配置
虚拟局域网(VLAN)” 。
·新的网络接口配置选项,详情请见 第 109 页 “ 配置网络接口” 。
·
在所有网络接口上的 Ping 服务器和失效网关检测,
·从任何接口进行 HTTP 和 Telnet 管理访问,
·所有 FortiGate 网络接口的第二个 IP 地址。
路由
·简单的基于方向的路由配置。
·高级策略路由配置 (仅限于 CLI)。
路由信息协议 (RIP)
·新的 RIP v1 和 v2 功能。详情请见 第 121 页 “ RIP 配置” 。
简单网络管理协议 (SNMP)
·支持 SNMP v1 和 v2。
·支持 RFC 1213 和 RFC 2665。
·监视全部的 FortiGate 配置和功能。
·详情请见 第 133 页 “ 配置 SNMP” 。
HA
·主动 - 主动模式的 HA 使用了交换机,并且具有选择时间表的能力
·透明模式的 HA
·HA 簇的 A/V 更新
·HA 功能的配置同步
详情请见 第 55 页 “ 高可用性” 。
替换信息
您可以定制 FortiGate 设备发送的以下替换信息:
·当检测到病毒时,
·当有文件被阻塞时,
FortiGate-400 安装和配置指南
·当一个碎片文件被阻塞时,
·发送警报邮件时。
详情请见 第 135 页 “ 定制替换信息” 。
7
2.50 版本的新特点 简介
防火墙 Firewall
·防火墙的默认配置有一些改动,详情请见 第 140 页 “ 默认防火墙配置” 。
·在所有接口上添加了虚拟 IP。详情请见 第 158 页 “ 虚拟 IP” 。
·为防火墙策略添加了内容配置文件,可以组合有关阻塞、扫描、隔离、网页内容阻塞
和电子邮件过滤的有关配置信息。详情请见 第 165 页 “ 内容配置文件” 。
用户和认证
·LDAP 认证。详情请见 第 172 页 “ 配置 LDAP 支持” 。
VPN
NIDS
关于 FortiGateVPN 功能的详细说明请见
·第一阶段
·AES 加密
·证书
·高级选项,包括拨号组、对等、Peer, XAUTH, NAT 跨越,DPD
·第二阶段
·AES 加密
·加密策略选择服务
·生成和导入本地证书
·导入 CA 证书
关于 FortiGate NIDS 功能的完整说明,请见
括:
·攻击检测特征分组
·用户定义的攻击预防方式
·在多个接口监视攻击
·监视 VLAN 子接口的攻击
·用户定义的攻击检测特征
FortiGate VPN 指南
FortiGate NIDS 指南
。新的特性包括:
。新特性包
防病毒
关于 FortiGate 防病毒功能的完整说明请见
括:
·内容配置文件
·隔离含有病毒的文件或被阻塞的文件
·阻塞大小超过限制的文件
FortiGate 内容保护指南
。新特性包
网页过滤
关于 FortiGate 网页过滤功能的完整说明,请见
性包括:
·Cerberian URL 过滤
8
FortiGate 内容保护指南
美国飞塔有限公司
。新特
简介 2.50 版本的新特点
电子邮件过滤
日志和报告
关于 FortiGate 电子邮件过滤功能的完整说明请见
关于 FortiGate 日志记录的详细说明请见
·使用 CSV 格式将日志记录到远程主机
·日志消息级别:紧急、警报、危急、错误、警告、注意、信息
·日志级别策略
·通讯日志过滤
·新病毒、网页过滤和电子邮件过滤日志
·支持认证的报警邮件
·抑制邮件泛滥
·扩展的 WebTrends 活动图表支持
FortiGate 日志和消息参考指南。
FortiGate 内容保护指南
FortiGate-400 安装和配置指南
9
关于本手册 简介
关于本手册
安装和配置向导描述了如何安装和配置 FortiGate-400。本手册包含以下内容:
·开始 描述了拆包,安置,和启动 FortiGate。
·NAT/ 路由 模式安装 描述了如果您希望 FortiGate 运行于 NAT/ 路由模式,应当如何
安装。
·透明模式安装 描述了如果您希望 FortiGate 运行于透明模式,应当如何安装。
·高可用性 描述了如何安装和配置以高可用性方式配置和运行的 FortiGate 设备。
·系统状态 描述了如何查看您的 FortiGate 设备的当前状态,以及相关的系统进度,
包括安装更新的 FortiGate 固件,备份和恢复系统设置,在透明模式和 NAT/ 路由
模式间切换等等。
·病毒和攻击定义升级及注册 描述了病毒和攻击定义自动更新的配置方法。本章还包
括了连接到 FortiGate 技术支持网站和注册您的 FortiGate 设备所需的步骤。
·网络配置 描述了如何配置接口、区域、VLANs 和配置路由。
·RIP 配置 描述了 FortiGate RIP2 如何实现以及如何配置 RIP 的相关设置。
·系统配置 描述了在系统 > 配置 基于 Web 的管理程序页可以进行的系统管理操作。
本章描述了如何设置系统时间、添加和更改有管理权限的用户,配置 SNMP,以及编
辑可自定义的消息。
·防火墙配置 描述了如何配置防火墙策略以控制通过 FortiGate 设备的数据通讯,和
对数据通讯应用内容过滤。
·用户与认证 描述了如何在 FrotiGate 用户数据库中添加用户名,如何将 FortiGate
配置为连接到一个 RADIUS 服务器进行用户认证。
·IPSec VPN 描述如何配置 FortiGate IPSec VPN 。
·PPTP 和 L2TP VPN 描述了如何在 FortiGate 和 windows 客户端之间配置 PPTP 和 L2TP
VPN。
·网络入侵检测系统 (NIDS) 描述了如何配置 FortiGate NIDS 以检测和阻止网络攻
击。
·防病毒保护 描述了如何使用 FortiGate 保护您的网络不受病毒和蠕虫的侵袭。
·网页内容过滤 描述了如何配置网页内容过滤以阻止不受欢迎的网页内容通过
FortiGate。
·电子邮件过滤 描述了如何配置电子邮件过滤以阻止不受欢迎的电子邮件内容。
·日志和报告 描述了如何配置日志和报警邮件以记录和响应 FortiGate 的活动。
·术语表 定义了在本手册中使用的一些术语。
文档中的约定
10
本指南使用以下约定来描述 CLI 命令的语法。
·尖括号 <> 所围的内容为可替换的关键词
例如:
美国飞塔有限公司
简介 Fortinet 的文档
要执行 restore config < 文件名 _ 字符串 >
您应当输入 restore config myfile.bak
<xxx_ 字符串 > 表示一个 ASCII 字符串关键词。
<xxx_ 整数 > 表示一个整数关键词。
<xxx_ip> 表示一个 IP 地址关 键词。
·竖线和波形括号 {|} 表示从波形括号中的内容中任选其一。
例如:
set system opmode {nat | transparent}
您可以输入 set system opmode nat 或 set system opmode
transparent
·方括号 [ ] 表示这个关键词是可选的
例如:
get firewall ipmacbinding [dhcpipmac]
您可以输入 get firewall ipmacbinding 或
get firewall ipmacbinding dhcpipmac
Fortinet 的文档
从 FortiGate 用户手册的以下各卷中可以找到关于 FortiGate 产品的对应信息:
·第一卷:FortiGate 安装和配置指南
描述了 FortiGate 设备的安装和基本配置方法。还描述了如何使用 FortiGate 的防
火墙策略去控制通过 FortiGate 设备的网络通讯,以及如何使用防火墙策略在通过
FortiGate 设备的网络通讯中对 HTTP、FTP 和电子邮件等内容应用防病毒保护、网
页内容过滤和电子邮件过滤。
·第二卷:FortiGate 虚拟专用网络 (VPN)指南
包含了在 FortiGate IPSec VPN 中使用认证、预置密钥和手工密钥加密的更加详细
的信息。还包括了 Fortinet 远程 VPN 客户端配置的基本信息,FortiGate PPTP 和
L2TP VPN 配置的详细信息,以及 VPN 配置的例子。
·第三卷:FortiGate 内容保护指南
描述了如何配置防病毒保护,网页内容过滤和电子邮件过滤,以保护通过
FortiGate 的内容。
·第四卷:FortiGate NIDS 指南
描述了如何配置 FortiGate NIDS,以检测来自网络的攻击,并保护 FortiGate 不受
其威胁。
·第五卷:FortiGate 日志和消息参考指南
描述了如何配置 FortiGate 的日志和报警邮件。还包括了 FortiGate 日志消息的说
明。
·第六卷:FortiGate CLI 参考指南
描述了 FortiGate CLI,并且还包含了一个 FortiGate CLI 命令的说明。
FortiGate-400 安装和配置指南
FortiGate 在线帮助也包含了使用 FortiGate 基于 Web 的管理程序配置和管理您的
FortiGate 设备的操作步骤说明。
11
Fortinet 的文档 简介
Fortinet 技术文档的注释
如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您将有
关信息发送到 techdoc@fortinet.com。
12
美国飞塔有限公司
简介 客户服务和技术支持
客户服务和技术支持
请访问我们的技术支持网站,以获取防病毒保护和网络攻击定义更新、固件更新、
产品文档更新,技术支持信息,以及其他资源。网址:
http://support.fortinet.com。
您也可以到 http://support.fortinet.com 注册您的 FortiGate 防病毒防火墙或
在任何时间登陆到该网站更改您的注册信息。
以下电子邮件信箱用于 Fortinet 电子邮件支持:
amer_support@fortinet.com 为美国、加拿大、墨西哥、拉丁美洲和南美地区的客户提供服
apac_support@fortinet.com 为日本、韩国、中国、中国香港、新加坡、马来西亚、以及其
eu_support@fortinet.com 为英国、斯堪的纳维亚半岛、欧洲大陆、非洲和中东地区的客
关于 Fortinet 电话支持的信息,请访问 http://support.fortinet.com。
当您需要我们的技术支持的时候,请您提供以下信息:
·您的姓名
·公司名称
·位置
·电子邮件地址
·电话号码
·FortiGate 设备生产序列号
·FortiGate 型号
·FortiGate FortiOS 固件版本
·您所遇到的问题的详细说明
务。
他所有亚洲国家和澳大利亚地区的客户提供服务。
户提供服务。
FortiGate-400 安装和配置指南
13
客户服务和技术支持 简介
14
美国飞塔有限公司
开始
FortiGate-400 安装和配置指南 2.50 版
本章描述了有关拆包、安装及如何启动 FortiGate 防病毒防火墙的内容。 一旦完
成此章内容,您可按如下章节进行配置 :
·如果要在 NAT/ 路由 模式下运行 FortiGate, 请参阅 第 29 页 “ NAT/ 路由 模式
安装” 。
·如果要在 透明 模式下运行 FortiGate,请参阅 第 43 页 “ 透明模式安装” 。
·如果要在 HA 模式下运行两个或多个 FortiGate, 请参阅 第 55 页 “ 高可用
性” 。
本章叙述了以下内容:
·包装中的物品
·安置
·启动
·连接到基于 Web 的管理程序
·连接到命令行接口 (CLI)
·FortiGate 出厂默认设置
·规划您的 FortiGate 设备的配置
·FortiGate 系列产品参数最大值列表
·下一步
FortiGate-400 安装和配置指南
15
包装中的物品 开始
包装中的物品
FortiGate-400 包装中含有以下物品:
·FortiGate-400 防病毒防火墙
·一根黄色交叉连接以太网电缆
·一根灰色普通以太网电缆
·一根串行通信电缆
·FortiGate-400 快速入门手册
·一根电源线
·包含了用户手册内容的光盘
·两个 19 英寸机架安装支架
图 1: FortiGate-400 包装中的物品
安置
16
FortiGate-400 可安置在 19 英寸标准机架上。它需占据机架中 1 U 的空间。
FortiGate-400 也可被独立安装在任何稳定平台上。独立安装需确保在其周围每側
留有 1.5 英寸 (3.75 厘米 ) 的空间以保证空气流通和风冷。
美国飞塔有限公司
Loading...