FortiGate 300
FortiGate!300
Installation!and
安装和配置指南
Configuration!Guide
Esc Enter
FortiGate 用户手册 第一卷
2.50 版
2003 年 7 月 21 日
© Copyright 2003 美国飞塔有限公司版权所有。
本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司的
许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传
播或发布。
FortiGate-300 安装和配置指南
2.50 版
2003 年 7 月 21 日
注册商标
本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。
服从规范
FCC Class A Part 15 CSA/CUS
注意:如果更换的电池型号错误,有可能会导致爆炸。请根据使用说明中的
规定处理用过的电池。
请访问 http://www.fortinet.com 以获取技术支持。
请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送
到 techdoc@fortinet.com。
目 录
简介 ................................................................... 1
防病毒保护 ................................................................... 1
Web 内容过滤 ................................................................. 2
电子邮件过滤 ................................................................. 2
防火墙 ....................................................................... 2
NAT/ 路由模式 .............................................................. 3
透明模式 ................................................................... 3
网络入侵检测系统 (NIDS)..................................................... 3
虚拟专用网络 (VPN).......................................................... 4
高可用性 ..................................................................... 4
安全安装、配置、管理 ......................................................... 4
基于 Web 的管理程序 ......................................................... 5
命令行接口 (CLI).......................................................... 5
日志和报告 ................................................................. 6
2.50 版本的新特点 ............................................................ 6
系统管理 ................................................................... 6
防火墙 Firewall ............................................................ 7
用户和认证 ................................................................. 7
VPN........................................................................ 8
NIDS....................................................................... 8
防病毒 ..................................................................... 8
网页过滤 ................................................................... 8
电子邮件过滤 ............................................................... 8
日志和报告 ................................................................. 9
关于本手册 .................................................................. 10
文档中的约定 ................................................................ 10
Fortinet 的文档 ............................................................. 11
Fortinet 技术文档的注释 ................................................... 12
客户服务和技术支持 .......................................................... 13
目录
开始 .................................................................. 15
包装中的物品 ................................................................ 16
安置 ........................................................................ 16
启动 ........................................................................ 17
连接到基于 Web 的管理程序 .................................................... 18
连接到命令行接口 (CLI) ...................................................... 19
FortiGate-300 安装和配置指南
iii
目录
FortiGate 出厂默认设置 ...................................................... 20
出厂默认的 NAT/ 路由模式的网络配置 ......................................... 20
出厂默认的透明模式的网络设置 .............................................. 21
出厂时默认的防火墙配置 .................................................... 21
出厂时默认的内容配置文件 .................................................. 22
严谨型内容配置文件 ........................................................ 22
扫描型内容配置文件 ........................................................ 23
网页型内容配置文件 ........................................................ 23
非过滤型内容配置文件 ...................................................... 24
规划您的 FortiGate 设备的配置 ................................................ 24
NAT/ 路由模式 ............................................................. 25
具有多个外部网络连接的 NAT/ 路由模式 ....................................... 25
透明模式 .................................................................. 26
配置选项 .................................................................. 26
FortiGate 系列产品参数最大值列表 ............................................ 27
下一步 ...................................................................... 28
NAT/ 路由 模式安装..................................................... 29
准备配置 NAT/ 路由模式 ....................................................... 29
NAT/ 路由模式高级设置 ..................................................... 30
DMZ 接口.................................................................. 30
使用安装向导 ................................................................ 31
启动安装向导 .............................................................. 31
重连接到 基于 Web 的管理程序 ............................................... 31
使用前面板控制按钮和 LCD .................................................... 31
使用命令行界面 .............................................................. 32
将 FortiGate 配置为在 NAT/ 路由模式操作 ..................................... 32
将 FortiGate 连接到网络中 .................................................... 33
配置网络 .................................................................... 34
完成配置 .................................................................... 34
配置 DMZ/HA 接口 .......................................................... 35
设置日期和时间 ............................................................ 35
启用防病毒保护 ............................................................ 35
注册 FortiGate 设备 ........................................................ 35
配置防病毒和攻击定义更新 .................................................. 35
配置举例:到互联网的多重连接 ................................................ 36
配置 Ping 服务器 ........................................................... 37
基于目的地的路由配置举例 .................................................. 38
策略路由的例子 ............................................................ 40
防火墙策略举例 ............................................................ 41
透明模式安装 .......................................................... 43
准备配置透明模式 ............................................................ 43
iv
美国飞塔有限公司
使用安装向导 ................................................................ 43
切换到透明模式 ............................................................ 44
启动安装向导 .............................................................. 44
重连接到 基于 Web 的管理程序 ............................................... 44
使用前面板控制按钮和 LCD .................................................... 44
使用命令行接口 .............................................................. 45
切换到透明模式 ............................................................ 45
配置透明模式的管理 IP 地址 ................................................. 45
配置透明模式的默认网关 .................................................... 45
完成配置 .................................................................... 46
设置日期和时间 ............................................................ 46
启用防病毒保护 ............................................................ 46
注册 FortiGate 设备 ........................................................ 46
配置防病毒和攻击定义更新 .................................................. 46
将 FortiGate 连接到网络中 ................................................... 46
透明模式配置的例子 .......................................................... 48
目录
默认路由和静态路由 ........................................................ 48
到外部网络的默认路由的例子 ................................................ 48
到外部目的地址的静态路由的例子 ............................................ 50
到内部目的地址的静态路由的例子 ............................................ 52
高可用性 .............................................................. 55
主动 - 被动 HA ............................................................... 55
主动 - 主动 HA ............................................................... 56
NAT/ 路由模式下的 HA ......................................................... 57
安装和配置 FortiGate 设备 .................................................. 57
配置 HA 接口 ............................................................... 57
配置 HA 簇 ................................................................ 58
将 HA 簇连接到您的网络 ..................................................... 59
启动 HA 簇 ................................................................. 61
透明模式下的 HA ............................................................. 61
安装和配置 FortiGate 设备 .................................................. 61
配置 HA 接口和 IP 地址 ...................................................... 61
配置 HA 簇 ................................................................ 62
将 HA 簇连接到您的网络中 ................................................... 63
启动 HA 簇 ................................................................. 64
FortiGate-300 安装和配置指南
v
目录
管理 HA 组 ................................................................... 64
查看 HA 簇成员状态 ......................................................... 65
监视簇成员 ................................................................ 65
监视簇会话 ................................................................ 66
查看和管理簇日志消息 ...................................................... 66
单独管理簇中的设备 ........................................................ 67
同步簇配置 ................................................................ 68
返回到独立模式配置 ........................................................ 68
在失效恢复后替换 FortiGate ................................................ 68
高级 HA 选项 ................................................................. 69
从 FortiGate 设备中选择一个主设备 .......................................... 69
配置加权轮询的权重 ........................................................ 69
系统状态 .............................................................. 71
修改 FortiGate 主机名 ........................................................ 72
修改 FortiGate 固件 ......................................................... 72
升级到新版本的固件 ........................................................ 72
恢复到一个旧的固件版本.................................................... 74
使用 CLI 重新启动系统安装固件 .............................................. 76
在安装新版本的固件之前进行测试 ............................................ 78
安装和使用一个备份了的固件映像 ............................................ 80
手动更新病毒防护定义库 ...................................................... 83
手动更新攻击定义库 .......................................................... 83
显示 FortiGate 的序列号 ...................................................... 84
显示 FortiGate 运行时间 ...................................................... 84
显示日志硬盘状态 ............................................................ 84
备份系统设备 ................................................................ 84
恢复系统设置 ................................................................ 84
将系统设置恢复到出厂设置 .................................................... 85
转换到透明模式 .............................................................. 85
转换到 NAT/ 路由模式 ......................................................... 86
重新启动 FortiGate 设备 ...................................................... 86
关闭 FortiGate 设备 .......................................................... 86
系统状态 .................................................................... 86
查看 CPU 和内存状态 ........................................................ 87
vi
查看会话和网络状态 ........................................................ 88
查看病毒和入侵状态 ........................................................ 88
会话列表 .................................................................... 89
美国飞塔有限公司
病毒和攻击定义升级及注册 .............................................. 91
病毒防护定义和攻击定义更新 .................................................. 91
连接到 Forti 响应发布网络 .................................................. 92
配置周期性更新 ............................................................ 93
配置更新日志 .............................................................. 94
添加后备服务器 ............................................................ 94
手工更新病毒防护定义和攻击定义 ............................................ 95
配置推送更新 .............................................................. 95
通过 NAT 设备的推送更新 .................................................... 96
通过代理服务器定期更新 ................................................... 100
注册 FortiGate 设备 ......................................................... 100
FortiCare 服务合同....................................................... 101
注册 FortiGate 设备 ....................................................... 101
更新注册信息 ............................................................... 103
找回丢失的 Fortinet 支持密码 .............................................. 103
查看注册的 FortiGate 设备列表 ............................................. 103
注册一个新的 FortiGate 设备 ............................................... 104
添加或修改 FortiCare 支持合同号 ........................................... 104
修改您的 Fortinet 支持密码 ................................................ 105
修改您的联系信息或安全提示问题 ........................................... 105
下载病毒防护和攻击定义更新 ............................................... 105
RMA 之后注册 FortiGate 设备 ................................................. 106
目录
网络配置 ............................................................. 107
配置网络接口 ............................................................... 107
查看接口列表 ............................................................. 108
启动一个接口 ............................................................. 108
修改一个接口的静态 IP 地址 ................................................ 108
为接口添加第二个 IP 地址 .................................................. 108
为接口添加 ping 服务器 .................................................... 109
控制到接口的管理访问 ..................................................... 109
为接口的连接配置通讯日志 ................................................. 109
使用静态 IP 地址配置外部网络接口 .......................................... 110
使用 DHCP 配置外部网络接口 ................................................ 110
为以太网点对点传输协议 (PPPoE)配置外部网络接口 ......................... 111
修改外部网络接口的 MTU 大小以提高网络性能 ................................. 111
将 DMZ/HA 接口配置为 DMZ 模式 .............................................. 112
将 DMZ/HA 网络接口配置为以 HA 方式工作 ..................................... 112
配置管理接口 ( 透明模式 ) ................................................. 112
添加 DNS 服务器 IP 地址 ...................................................... 113
FortiGate-300 安装和配置指南
vii
目录
配置路由 ................................................................... 113
添加默认路由 ............................................................. 113
向路由表添加基于目的的路由 ............................................... 114
添加路由 (透明模式)..................................................... 115
配置路由表 ............................................................... 115
策略路由 ................................................................. 115
在您的内部网络中提供 DHCP 服务 .............................................. 116
RIP 配置 ............................................................. 119
RIP 设置 ................................................................... 120
为 FortiGate 接口配置 RIP ................................................... 121
添加 RIP 邻居 ............................................................... 123
添加 RIP 过滤器 ............................................................. 123
添加单一 RIP 过滤器 ....................................................... 124
添加一个 RIP 过滤列表 ..................................................... 124
添加一个邻居过滤器 ....................................................... 125
添加一个路由过滤器 ....................................................... 125
系统配置 ............................................................. 127
设置系统日期和时间 ......................................................... 127
更改基于基于 Web 的管理程序的选项 ........................................... 128
添加和编辑管理员帐号 ....................................................... 129
添加新的管理员帐号 ....................................................... 129
编辑管理员帐号 ........................................................... 130
配置 SNMP .................................................................. 131
为 SNMP 监视配置 FortiGate 设备 ............................................ 131
配置 FortiGate 的 SNMP 支持 .............................................. 131
FortiGate 管理信息库 (MIB).............................................. 132
FortiGate 陷阱 ........................................................... 133
定制替换信息 ............................................................... 133
定制替换信息 ............................................................. 134
定制报警邮件 ............................................................. 135
防火墙配置 ........................................................... 137
默认防火墙配置 ............................................................. 138
地址 ..................................................................... 138
服务 ..................................................................... 138
任务计划 ................................................................. 138
内容配置文件 ............................................................. 139
添加防火墙策略 ............................................................. 139
防火墙策略选项 ........................................................... 140
viii
美国飞塔有限公司
配置策略列表 ............................................................... 143
策略匹配的细节 ........................................................... 144
更改策略列表中策略的顺序 ................................................. 144
启用和禁用策略 ........................................................... 144
地址 ....................................................................... 145
添加地址 ................................................................. 145
编辑地址 ................................................................. 146
删除地址 ................................................................. 147
将地址编入地址组 ......................................................... 147
服务 ....................................................................... 148
预定义的服务 ............................................................. 148
访问定制服务 ............................................................. 150
服务分组 ................................................................. 151
任务计划 ................................................................... 152
创建一个一次性任务计划 ................................................... 152
创建周期性任务计划 ....................................................... 153
在策略中添加一个任务计划 ................................................. 154
虚拟 IP .................................................................... 155
添加静态 NAT 虚拟 IP ...................................................... 155
添加端口转发虚拟 IP ...................................................... 156
添加使用虚拟 IP 的策略 .................................................... 157
IP 池 ...................................................................... 158
添加 IP 池 ................................................................ 158
使用固定端口的防火墙策略的 IP 池 .......................................... 159
IP 池和动态 NAT........................................................... 159
IP/MAC 绑定 ................................................................ 160
为穿过防火墙的数据包配置 IP/MAC 绑定 ...................................... 160
为连接到防火墙的数据包配置 IP/MAC 绑定 .................................... 161
添加 IP/MAC 地址 .......................................................... 161
查看动态 IP/MAC 列表 ...................................................... 162
启用 IP/MAC 地址绑定 ...................................................... 162
内容配置文件 ............................................................... 163
默认的内容配置文件 ....................................................... 163
添加一个内容配置文件 ..................................................... 163
将内容配置文件添加到策略 ................................................. 165
目录
用户与认证 ........................................................... 167
设置认证超时 ............................................................... 168
添加用户名并配置认证 ....................................................... 168
添加用户名和配置认证 ..................................................... 168
从内部数据库中删除用户名 ................................................. 169
配置 RADIUS 支持 ............................................................ 169
添加 RADIUS 服务器 ........................................................ 169
删除 RADIUS 服务器 ........................................................ 170
FortiGate-300 安装和配置指南
ix
目录
配置 LDAP 支持 ............................................................. 170
添加 LDAP 服务器 .......................................................... 171
删除 LDAP 服务器 .......................................................... 171
配置用户组 ................................................................. 172
添加用户组 ............................................................... 172
删除用户组 ............................................................... 173
IPSec VPN ............................................................ 175
密钥管理 ................................................................... 175
手工密钥 ................................................................. 176
使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE) ........................ 176
手工密钥 IPSec VPN ......................................................... 176
手工密钥 VPN 的一般配置步骤 ............................................... 177
添加一个手工密钥 VPN 通道 ................................................. 177
自动 IKE IPSec VPN ......................................................... 178
自动 IKE VPN 的一般配置步骤 ............................................... 178
为自动 IKE VPN 添加第一阶段配置 ........................................... 179
为自动 IKE VPN 添加第二阶段配置 ........................................... 182
管理数字证书 ............................................................... 184
获得签名的本地证书 ....................................................... 184
获得一个 CA 证书 .......................................................... 188
配置加密策略 ............................................................... 188
添加源地址 ............................................................... 189
添加目的地址 ............................................................. 189
添加一个加密策略 ......................................................... 190
IPSec VPN 集中器 ........................................................... 191
VPN 集中器 ( 集线器 ) 一般配置步骤 ......................................... 192
添加一个 VPN 集中器 ....................................................... 193
VPN 辐条一般配置步骤..................................................... 194
冗余 IPSec VPN ............................................................. 195
配置冗余 IPSec VPN ....................................................... 195
VPN 监视和问题解答 ......................................................... 196
查看 VPN 通道状态 ......................................................... 196
查看拨号 VPN 连接的状态 ................................................... 197
测试 VPN................................................................. 197
PPTP 和 L2TP VPN ..................................................... 199
配置 PPTP .................................................................. 199
把 FortiGate 配置为 PPTP 网关 .............................................. 200
配置 PPTP 的 Windows98 客户端 .............................................. 202
配置 Windows2000 的 PPTP 客户端 ............................................ 203
配置 WindowsXP 的 PPTP 客户端 .............................................. 204
x
美国飞塔有限公司
L2TP VPN 配置 .............................................................. 205
把 FortiGate 配置为 L2TP 网关 .............................................. 206
配置 Windows2000 客户的 L2TP .............................................. 208
配置 WindowsXP 客户的 L2TP ................................................ 209
网络入侵检测系统 (NIDS) .............................................. 213
检测攻击 ................................................................... 213
选择要监视的网络接口 ..................................................... 213
禁用 NIDS ................................................................ 213
验证校验和的配置 ......................................................... 215
查看攻击特征列表 ......................................................... 215
查看攻击描述 ............................................................. 215
启用和禁用 NIDS 攻击特征 .................................................. 216
添加 用户定义的特征 ...................................................... 217
NIDS 攻击预防 .............................................................. 217
启用 NIDS 攻击预防 ........................................................ 218
启用 NIDS 攻击预防特征 .................................................... 218
设置特征临界值 ........................................................... 219
配置握手溢出特征值 ....................................................... 220
记录 NIDS 攻击日志 .......................................................... 220
将攻击消息记录到攻击日志 ................................................. 220
减少 NIDS 攻击日志消息和报警邮件的数量 .................................... 221
目录
防病毒保护 ........................................................... 223
一般配置步骤 ............................................................... 223
防病毒扫描 ................................................................. 224
文件阻塞 ................................................................... 225
在防火墙通讯中阻塞文件 ................................................... 226
添加用于阻塞的文件名样板 ................................................. 226
隔离 ....................................................................... 226
隔离被感染的文件 ......................................................... 227
隔离被阻塞的文件 ......................................................... 227
查看隔离列表 ............................................................. 227
隔离列表排序 ............................................................. 228
过滤隔离列表 ............................................................. 228
从隔离区中删除文件 ....................................................... 228
下载被隔离的文件 ......................................................... 228
配置隔离选项 ............................................................. 229
阻塞过大的文件和电子邮件 ................................................... 229
配置文件或电子邮件大小限制 ............................................... 229
对邮件片段免除阻塞 ......................................................... 229
查看病毒列表 ............................................................... 230
FortiGate-300 安装和配置指南
xi
目录
网页内容过滤 ......................................................... 231
一般配置步骤 ............................................................... 231
内容阻塞 ................................................................... 232
在禁忌词汇列表中添加单词或短语 ........................................... 232
阻塞对 URL 的访问 ........................................................... 233
使用 FortiGate 网页过滤器 ................................................. 233
使用 Cerberian 网页过滤器 ................................................. 235
脚本过滤 ................................................................... 238
启用脚本过滤 ............................................................. 238
选择脚本过滤选项 ......................................................... 238
URL 排除列表 ............................................................... 239
在 URL 排除列表中添加 URL ................................................. 239
电子邮件过滤 ......................................................... 241
一般配置步骤 ............................................................... 241
电子邮件禁忌词汇列表 ....................................................... 241
在禁忌词汇列表中添加单词或短语 ........................................... 242
电子邮件阻塞列表 ........................................................... 242
在邮件阻塞列表中添加地址模板 ............................................. 242
邮件排除列表 ............................................................... 243
在邮件排除列表中添加地址模板 ............................................. 243
添加一个主题标签 ........................................................... 244
日志和报告 ........................................................... 245
记录日志 ................................................................... 245
在远程电脑上记录日志 ..................................................... 246
在 NetIQ WebTrends 服务器上记录日志 ...................................... 246
将日志记录到 FortiGate 硬盘 ............................................... 246
将日志记录到系统内存 ..................................................... 247
过滤日志消息 ............................................................... 248
配置通讯日志 ............................................................... 249
启用通讯日志 ............................................................. 250
配置通讯过滤设置 ......................................................... 250
添加通讯过滤的条目 ....................................................... 251
查看记录到内存的日志 ....................................................... 252
查看日志 ................................................................. 252
搜索日志 ................................................................. 252
查看和管理保存在硬盘上的日志 ............................................... 253
查看日志 ................................................................. 253
搜索日志 ................................................................. 253
将日志文件下载到管理员电脑 ............................................... 254
删除当前日志中的全部消息 ................................................. 254
删除一个保存了的日志文件 ................................................. 255
xii
美国飞塔有限公司
配置报警邮件 ............................................................... 255
添加报警邮件地址 ......................................................... 255
测试报警邮件 ............................................................. 256
启用报警邮件 ............................................................. 256
术语表 .............................................................. 257
索引 ................................................................. 259
目录
FortiGate-300 安装和配置指南
xiii
目录
xiv
美国飞塔有限公司
简介
FortiGate-300 安装和配置指南 2.50 版
FortiGate 防病毒防火墙支持应用层服务的基于网络的部署,包括防病毒保护和全
内容扫描过滤。FortiGate 防病毒防火墙增强了网络的安全性,避免了网络资源的误用
和滥用,可以帮助您更好地使用通讯资源而不会降低网络的性能。FortiGate 防病毒防
火墙获得了 ICSA 防火墙认证,IP 安全认证和防病毒服务认证。
FortiGate 防病毒防火墙是一个易于管理的安全设备,它提供了一套完整的功能,
包括:
·应用层服务,例如病毒防护和内容过滤,
·网络曾服务,例如防火墙、入侵检测、VPN,以及流量控制等。
FortiGate 采用了先进的行为加速 (Accelerated Behavior)和内容分析系统技术
(ABACAS
独有的,基于 ASIC 上的网络安全构架能实时进行网络内容和状态分析,并及时启动在
网络边界布署的防护关键应用程序,对您的网络进行最有效的安全保护。FortiGate
系列对现有的一些解决方案,如以主机为基础的防病毒保护进行补充,并在大力降低
设备,管理和维修成本的同时,为您提供一些新的应用和服务。
TM
),突破了芯片设计、网络通信、安全防御及内容分析等诸多难点。公司所
防病毒保护
FortiGate-300 型在性能、可用性及
可靠性上满足了企业级应用的需要。拥有
高可用性包括无会话 (Session) 损失的失
效自动恢功能,FortiGate-300 是您企业
中运行重大关键性任务所需的最佳选择。
ICSA 认证的 FortiGate 防病毒保护,可将通过 FortiGate 传输的 WEB (HTTP),
文件传输 (FTP)和 EMAIL(SMTP, POP3, 和 IMAP ) 内容中被病毒感染的文件删除。当
FortiGate 从内容流中检测出病毒时,自动病毒防护功能可以删除那些感染了病毒的文
件,用一条病毒感染信息替换掉原来的文件,然后转发到内容流的接收方。Web 和电子
邮件内容可以是存在于常规网络通讯中的或者是被封装在 IPSec VPN 通讯流中的。
您还可以提高安全防护的级别,将防病毒保护功能设置为阻塞通过 FortiGate 设备
的特定类型的文件。使用这一功能可以阻塞可能含有新型病毒的文件。
如果 FortiGate 设备内配有硬盘,可以将被感染或被阻塞的文件隔离。FortiGate
管理员可以下载被隔离的文件,然后对它们进行病毒扫描,杀毒,再将它们发送给原
来的接收者。您也可以将 FortiGate 设备配置为每过一段时间就自动删除被隔离的文
件。
当 FortiGate 设备从内容流中检测到病毒并将它删除的时候,它可以向系统管理员
发送一封报警邮件。
FortiGate-300 安装和配置指南
1
Web 内容过滤 简介
ICSA LABS 认证了 FortiGates 的以下功能:
·100% 检测到 The Wild List(www.wildlist.org) 中列举的所有病毒。
·检测 PKZip 格式压缩文件中的病毒。
·检测以 UUENCODE 格式编码的 EMAIL 中的病毒。
·检测以 MIME 格式编码的 EMAIL 中的病毒。
·在扫描同时对所有动作进行日志记录。
Web 内容过滤
FortiGate Web 内容过滤可设置为扫描 URL 和 WEB 网页内容中的全部 HTTP 内容协
议数据流。如果在 URL 阻塞列表中找到与 URL 匹配的条目 , 或在网页中发现了内容阻
塞列表中的词或短语, FortiGate 将阻塞此页。被阻塞的网页会被一条内容阻塞消息
所替代,您可以使用基于 Web 的管理程序编缉这个消息。
通过设置 URL 阻塞可以阻挡来自某一网站上的所有或部分网页。利用这一特点,
可拒绝某个站点中的部分而不是阻塞整个网站。
为防止无意封锁到一些合法的网页,可将 URLs 添加到一则例外列表中,从而覆盖
URL 封锁及内容封锁列表中的设置。
电子邮件过滤
防火墙
Web 网页内容过滤也包括脚本过滤,它可以配置为阻塞如下一些非安全 web 内容
如 Java 小程序、Cookies、ActiveX。
您还可以使用 Cerberian URL 阻塞去阻塞不受欢迎的 URL。
通过配置 FortiGate 的电子邮件过滤功能,可以扫描所有的 IMAP 和 POP3 邮件内
容,找出不受欢迎的发件人或不受欢迎的内容。如果发现某个邮件的发件人地址与电
子邮件阻塞列表中的某一项相匹配,或者在邮件的内容中含有和禁忌词汇列表中的词
汇相匹配的内容,FortiGate 会在这个邮件的标题栏中添加一个电子邮件标签。接收者
可以用他们的电子邮件客户端软件根据这个电子邮件标签过滤不想要的邮件。
对于所有的或部分已知的广告邮件发送组织,您可以通过配置电子邮件阻塞功能在
属于这些组织的发件人所发送的电子邮件上添加电子邮件标签。为了避免无意中在正
常发件人发送的邮件上加上电子邮件标签,您可以将发件人的地址模板添加到一个排
除列表中,以使该发件人发送的邮件不收邮件阻塞功能和禁忌词汇列表的限制。
ICSA 认证的 FortiGate 防火墙可以在互联网这个充满敌意的环境中保护您的电脑
网络。ISCA 已对 FortiGate 防火墙 4.0 版本授予了证书,确保了 FortiGates 可以成功
保护企业网络不受来自公共或其它非信任网络的各种威胁。
在完成 FortiGate 的基本安装后,防火墙可设置为允许用户从受保护内部网络访问
Internet,并同时封锁从 Internet 到内部网的访问。您可对防火墙进行设置,使其对
从内部网到 Internet 的访问,和从 Internet 到内部往的访问加以控制。
2
美国飞塔有限公司
简介 网络入侵检测系统 (NIDS)
您可以使用以下选项灵活地配置 FortiGate 安全策略 :
·控制所有进入和输出的网络流通,
·控制加密的 VPN 流通,
·应用防病毒保护和 WEB 内容过滤,
·阻塞或允许对全部策略选项的访问,
·根据单个策略进行控制,
·接受或拒绝出入单个地址的流通,
·单独或成组地控制标准的和用户定义的网络服务,
·要求用户在获取访问之 前进行用户认证,
·包含了流通控制用以设置每条策略的访问优先权和带宽保证或带宽限制,
·包含日志用以逐个追记某策略下的网络连接,
·包含网络地址转换/路由 (NAT/ 路由)模式策略,
·包含混合 NAT 和路由模式策略。
FortiGate 防火墙支持网络地址转换 / 路由模式或透明模式。
NAT/ 路由模式
在 NAT/ 路由模式下 , 您可创建 NAT 模式和路由模式策略。
·NAT 模式策略通过网络地址转换对较不安全网络中的用户隐藏较安全网络中的地址。
·路由模式策略在不执行地址转换下接受或拒绝网络间的连接。
透明模式
透明模式提供了与 NAT 模式相同的基本防火墙保护。从 FortiGate 中接收到的数据
包根据防火墙策略可被智能地转发或阻塞掉。FortiGate 可插入到网络的任何一点而不
需要对此网络或其它相关组件做任何的改变。然而,VPN 及一些高级防火墙功能只能在
NAT/ 路由模式下使用。
网络入侵检测系统 (NIDS)
FortiGate 网络入侵侦测系统 (NIDS) 是一种实时网络入侵探测器,它能对外界各
种可疑的网络活动进行识别及采取行动。NIDS 通过攻击特征来识别超过 1000 种的攻
击。您可以启用或禁止 NIDS 对某一类型的攻击进行检测。还可以自行编写攻击特征从
而生成用户自定义的攻击类型检测。
NIDS 可以防止探测、大部分常见的拒绝服务攻击和基于数据包的攻击。您可以启
用或禁用预防攻击的特征,和定制攻击检测的灵敏度和其他参数。
为通知系统管理员有攻击,NIDS 将此攻击及一切可疑流通记录到攻击日志中,并
根据设置发送报警 EMAIL。
Fortinet 可定期更新攻击数据库。您可下载并手动安装攻击数据库。也可设置
FortiGate 自动查询和下载更新的 IDS 数据库。
FortiGate-300 安装和配置指南
3
虚拟专用网络 (VPN) 简介
虚拟专用网络 (VPN)
使用 FortiGate 虚拟专用网 (VPN), 可为您在办公网络和分散的办公室网络、从
远程安全通讯系统登陆到公司网的用户或旅行者 之间提供一个安全的网络连接。
FortiGate VPN 包括以下特性 :
·执行行业标准及 ICSA 认证的 IPSec VPN 包括 :
·在通道模式下的 IPSec, ESP 安全,
·DES 和 3DES (triple-DES) 加密的硬件加速,
·HMAC MD5 和 HMAC SHA1 认证和数据整体化,
·基于预置密钥隧道的自动密钥交换,
·使用本地验证或 CA 验证的 IPSec VPN ,
·手工密钥通道,
·Diffie-Hellman 组 1、2、和 5,
·积极模式和主模式,
·重放检测,
·向前保密,
·XAuth 认证 ,
·失效对等检测,
·易于连接的 PPTP,支持为大多数常用的操作系统所支持的 VPN 标准。
·易于连接的 L2TP,支持为大多数常用的操作系统所支持的更加安全的 VPN 标准。
·基于 IPSec VPN 流通控制的防火墙策略。
·IPSec NAT 跨越技术使得位于 NAT 后边的远程 IPSec VPN 网关或客户端可以连接到
IPSec VPN 通道。
·用 VPN 集中器的 VPN 星形连接,可以使 VPN 流通从一个通道经 FortiGate 连接到另一
个通道。
·IPSec 冗余可以创建到远程网络的自动密钥交换 IPSec VPN 连接。
高可用性
冗余硬件实现 HA 功能,匹配在 NAT/ 路由模式运行下的 FortiGate。您可以将
FortiGates 配置为主动 - 被动 (A-P) 模式或主动 - 主动 (A-A)HA 模式。
证了当 HA 组中一个 FortiGate 失效,所有功能及已建的防火墙连接仍能维持现状。
安全安装、配置、管理
地址及安全策略配置。为了使 FortiGate 开始保护您的网络,只需连接到基于 Web 的
管理程序,设置操作模式并使用安装向导来配置您网络的 FortiGate IP 地址。在此基
础上,可用基于 Web 的管理程序来进行更进一步的配置以满足您更多的需要。
4
高可用性 (HA) 提供两个或多个 FortiGate 之间的 失效恢复机制。Fortinet 通过
A-P 模式和 A-A 模式的 HA 均使用类似的高可用性冗余硬件配置。高可用性软件保
安装过程即快捷又简单。 初次启动 FortiGates 时,它已经配置为使用默认的 IP
您也可使用 FortiGate 面板上的控制按钮和 LCD 对其进行基本配置。
美国飞塔有限公司
简介 安全安装、配置、管理
基于 Web 的管理程序
从任何一个装有 IE 流览器的电脑上以 HTTP 或安全 HTTPS 方式连接到基于 Web 的
管理程序,即可对 FortiGates 设备进行配置和管理。基于 Web 的管理程序支持多种语
言。您可以从任何 FortiGate 接口将 FortiGate 设备配置为使用 HTTP 或 HTTPs 进行管
理维护。
您可以使用基于 Web 的管理程序完成大部分 FortiGate 配置工作。也可以使用基于
Web 的管理程序监视 FortiGate 设备的状态。使用 基于 Web 的管理程序对配置所做的
修改会立即生效,而无须重新启动防火墙或中断服务。您可以将已经完成的配置下载
并保存。您所保存的设置可以在任何时间恢复到系统中。
图 1: FortiGate 基于 Web 的管理程序 和设置向导
命令行接口 (CLI)
FortiGate-300 安装和配置指南
您可以将管理员计算机的串行通讯接口连接到 FortiGate 的 RS-232 串行控制台接
口上,从而访问 FortiGate 命令行控制界面 (CLI)。或者也可以使用 Telnet 或者安
全的 SSH 连接方式从任何与 FortiGate 连接的网络,包括互联网,中访问 CLI 界面。
CLI 具有和 基于 Web 的管理程序相同的管理和监视功能。另外,您可以使用 CLI
进行一些高级配置工作,这是 基于 Web 的管理程序无法实现的。
包含了有关基本 CLI 命令和高级 CLI 命令的信息。您可以在
中找到关于如何连接到 CLI 和如何使用 FortiGate CLI 的更加完整和详细的说明。
安装和配置指南
中
FortiGate CLI 参考指南
5
2.50 版本的新特点 简介
日志和报告
FortiGate 支持记录各种类别的流通和配置修改。您可将日志设置如下:
·报告连接到防火墙接口的通讯,
·报告被使用的网络服务,
·报告被防火墙策略允许的通讯,
·报告被防火墙策略拒绝的通讯,
·报告配置改变和其它一些管理事件,如 IPSec 通道协商、 病毒检测、攻击、web 网
页阻塞,
·报告被 NIDS 检测到的攻击,
·向系统管理员发送报警 EMAIL 以报告病毒事件、入侵及防火墙或 VPN 事件及异常违法
情况。
日志可被传送到远程系统日志服务器或以 WebTrends 增强日志格式传输到远程
WebTrends NetIQ 安全报告中心和防火墙服务器上。某些型号的防火墙可将日志存储在
可选择的内置硬盘上。如果没有安装硬盘,您可配置 FortiGate 日志和报告,把最近
的事件记录到共享系统内存中去。
2.50 版本的新特点
系统管理
本节主要描述了 Forti0S v2.50 中的一些新的特征:
·改善了 FortiGate 系统健康状态监视图象功能,包括 CPU 及内存的使用率,会话数
量,网 络 带宽使用率,以及检测到的病毒和入侵的数量,详细内容请见 第 86 页
“ 系统状态” 。
·修订了防病毒和攻击定义更新功能,使其连接到新版本的 Fortinet 响应发布网络。
现在可以以小时为单位进行定期更新,并且,系统 > 更新页面显示关于更新状态的
更多的详细信息。详情请见 第 91 页 “ 病毒防护定义和攻击定义更新” 。
·可以从基于 Web 的管理程序直接连接到 Fortinet 技术支持网页的页面。您可以注册
您的 FortiGate 设备并获得访问其他技术支持资源的权利。详情请见 第 100 页
“ 注册 FortiGate 设备” 。
网络配置
·新的网络接口配置选项,详情请见 第 107 页 “ 配置网络接口” 。
·在所有网络接口上的 Ping 服务器和失效网关检测,
·从任何接口进行 HTTP 和 Telnet 管理访问,
·所有 FortiGate 网络接口的第二个 IP 地址。
路由
·简单的基于方向的路由配置。
·高级策略路由配置 (仅限于 CLI)。
DHCP 服务器
·在 DHCP 配置中添加了 WINS 服务器。
6
美国飞塔有限公司
简介 2.50 版本的新特点
路由信息协议 (RIP)
·新的 RIP v1 和 v2 功能。详情请见 第 119 页 “ RIP 配置” 。
简单网络管理协议 (SNMP)
·支持 SNMP v1 和 v2。
·支持 RFC 1213 和 RFC 2665。
·监视全部的 FortiGate 配置和功能。
·详情请见 第 131 页 “ 配置 SNMP” 。
HA
·主动 - 主动模式的 HA 使用了交换机,并且具有选择时间表的能力
·透明模式的 HA
·HA 簇的 A/V 更新
·HA 功能的配置同步
详情请见 第 55 页 “ 高可用性” 。
替换信息
您可以定制 FortiGate 设备发送的以下替换信息:
·当检测到病毒时,
·当有文件被阻塞时,
·当一个碎片文件被阻塞时,
·发送警报邮件时。
防火墙 Firewall
·防火墙的默认配置有一些改动,详情请见 第 138 页 “ 默认防火墙配置” 。
·在所有接口上添加了虚拟 IP。详情请见 第 155 页 “ 虚拟 IP” 。
·为防火墙策略添加了内容配置文件,可以组合有关阻塞、扫描、隔离、网页内容阻塞
用户和认证
·LDAP 认证。详情请见 第 170 页 “ 配置 LDAP 支持” 。
详情请见 第 133 页 “ 定制替换信息” 。
和电子邮件过滤的有关配置信息。详情请见 第 163 页 “ 内容配置文件” 。
FortiGate-300 安装和配置指南
7
2.50 版本的新特点 简介
VPN
NIDS
防病毒
关于 FortiGateVPN 功能的详细说明请见
·第一阶段
·AES 加密
·证书
·高级选项,包括拨号组、对等、Peer, XAUTH, NAT 跨越,DPD
·第二阶段
·AES 加密
·加密策略选择服务
·生成和导入本地证书
·导入 CA 证书
关于 FortiGate NIDS 功能的完整说明,请见
括:
·攻击检测特征分组
·用户定义的攻击预防方式
·在多个接口监视攻击
·用户定义的攻击检测特征
FortiGate VPN 指南
FortiGate NIDS 指南
。新的特性包括:
。新特性包
网页过滤
电子邮件过滤
关于 FortiGate 防病毒功能的完整说明请见
括:
·内容配置文件
·隔离含有病毒的文件或被阻塞的文件
·阻塞大小超过限制的文件
关于 FortiGate 网页过滤功能的完整说明,请见
性包括:
·Cerberian URL 过滤
关于 FortiGate 电子邮件过滤功能的完整说明请见
FortiGate 内容保护指南
FortiGate 内容保护指南
FortiGate 内容保护指南
。新特性包
。新特
8
美国飞塔有限公司
简介 2.50 版本的新特点
日志和报告
关于 FortiGate 日志记录的详细说明请见
·使用 CSV 格式将日志记录到远程主机
·日志消息级别:紧急、警报、危急、错误、警告、注意、信息
·日志级别策略
·通讯日志过滤
·新病毒、网页过滤和电子邮件过滤日志
·支持认证的报警邮件
·抑制邮件泛滥
·扩展的 WebTrends 活动图表支持
FortiGate 日志和消息参考指南。
FortiGate-300 安装和配置指南
9
关于本手册 简介
关于本手册
安装和配置向导描述了如何安装和配置 FortiGate-300。本手册包含以下内容:
·开始 描述了拆包,安置,和启动 FortiGate。
·NAT/ 路由 模式安装 描述了如果您希望 FortiGate 运行于 NAT/ 路由模式,应当如何
安装。
·透明模式安装 描述了如果您希望 FortiGate 运行于透明模式,应当如何安装。
·高可用性 描述了如何安装和配置以高可用性方式配置和运行的 FortiGate 设备。
·系统状态 描述了如何查看您的 FortiGate 设备的当前状态,以及相关的系统进度,
包括安装更新的 FortiGate 固件,备份和恢复系统设置,在透明模式和 NAT/ 路由
模式间切换等等。
·病毒和攻击定义升级及注册 描述了病毒和攻击定义自动更新的配置方法。本章还包
括了连接到 FortiGate 技术支持网站和注册您的 FortiGate 设备所需的步骤。
·网络配置 描述了如何配置接口、配置路由以及如何在 FortiGate 上为您的内部网络
配置 DHCP 服务器。
·RIP 配置 描述了 FortiGate RIP2 如何实现以及如何配置 RIP 的相关设置。
·系统配置 描述了在系统 > 配置 基于 Web 的管理程序页可以进行的系统管理操作。
本章描述了如何设置系统时间、添加和更改有管理权限的用户,配置 SNMP,以及编
辑可自定义的消息。
·防火墙配置 描述了如何配置防火墙策略以控制通过 FortiGate 设备的数据通讯,和
对数据通讯应用内容过滤。
·用户与认证 描述了如何在 FrotiGate 用户数据库中添加用户名,如何将 FortiGate
配置为连接到一个 RADIUS 服务器进行用户认证。
·IPSec VPN 描述如何配置 FortiGate IPSec VPN 。
·PPTP 和 L2TP VPN 描述了如何在 FortiGate 和 windows 客户端之间配置 PPTP 和 L2TP
VPN。
·网络入侵检测系统 (NIDS) 描述了如何配置 FortiGate NIDS 以检测和阻止网络攻
击。
·防病毒保护 描述了如何使用 FortiGate 保护您的网络不受病毒和蠕虫的侵袭。
·网页内容过滤 描述了如何配置网页内容过滤以阻止不受欢迎的网页内容通过
FortiGate。
·电子邮件过滤描述了如何配置电子邮件过滤以阻止不受欢迎的电子邮件内容。
·日志和报告 描述了如何配置日志和报警邮件以记录和响应 FortiGate 的活动。
·术语表 定义了在本手册中使用的一些术语。
文档中的约定
10
本指南使用以下约定来描述 CLI 命令的语法。
·尖括号 <> 所围的内容为可替换的关键词
例如:
美国飞塔有限公司
简介 Fortinet 的文档
要执行 restore config < 文件名 _ 字符串 >
您应当输入 restore config myfile.bak
<xxx_ 字符串 > 表示一个 ASCII 字符串关键词。
<xxx_ 整数 > 表示一个整数关键词。
<xxx_ip> 表示一个 IP 地址关 键词。
·竖线和波形括号 {|} 表示从波形括号中的内容中任选其一。
例如:
set system opmode {nat | transparent}
您可以输入 set system opmode nat 或 set system opmode
transparent
·方括号 [ ] 表示这个关键词是可选的
例如:
get firewall ipmacbinding [dhcpipmac]
您可以输入 get firewall ipmacbinding 或
get firewall ipmacbinding dhcpipmac
Fortinet 的文档
从 FortiGate 用户手册的以下各卷中可以找到关于 FortiGate 产品的对应信息:
·第一卷:FortiGate 安装和配置指南
描述了 FortiGate 设备的安装和基本配置方法。还描述了如何使用 FortiGate 的防
火墙策略去控制通过 FortiGate 设备的网络通讯,以及如何使用防火墙策略在通过
FortiGate 设备的网络通讯中对 HTTP、FTP 和电子邮件等内容应用防病毒保护、网
页内容过滤和电子邮件过滤。
·第二卷:FortiGate 虚拟专用网络 (VPN)指南
包含了在 FortiGate IPSec VPN 中使用认证、预置密钥和手工密钥加密的更加详细
的信息。还包括了 Fortinet 远程 VPN 客户端配置的基本信息,FortiGate PPTP 和
L2TP VPN 配置的详细信息,以及 VPN 配置的例子。
·第三卷:FortiGate 内容保护指南
描述了如何配置防病毒保护,网页内容过滤和电子邮件过滤,以保护通过
FortiGate 的内容。
·第四卷:FortiGate NIDS 指南
描述了如何配置 FortiGate NIDS,以检测来自网络的攻击,并保护 FortiGate 不受
其威胁。
·第五卷:FortiGate 日志和消息参考指南
描述了如何配置 FortiGate 的日志和报警邮件。还包括了 FortiGate 日志消息的说
明。
·第六卷:FortiGate CLI 参考指南
描述了 FortiGate CLI,并且还包含了一个 FortiGate CLI 命令的说明。
FortiGate-300 安装和配置指南
FortiGate 在线帮助也包含了使用 FortiGate 基于 Web 的管理程序配置和管理您的
FortiGate 设备的操作步骤说明。
11
Fortinet 的文档 简介
Fortinet 技术文档的注释
如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您将有
关信息发送到 techdoc@fortinet.com。
12
美国飞塔有限公司
简介 客户服务和技术支持
客户服务和技术支持
请访问我们的技术支持网站,以获取防病毒保护和网络攻击定义更新、固件更新、
产品文档更新,技术支持信息,以及其他资源。网址:
http://support.fortinet.com。
您也可以到 http://support.fortinet.com 注册您的 FortiGate 防病毒防火墙或
在任何时间登陆到该网站更改您的注册信息。
以下电子邮件信箱用于 Fortinet 电子邮件支持:
amer_support@fortinet.com 为美国、加拿大、墨西哥、拉丁美洲和南美地区的客户提供服
apac_support@fortinet.com 为日本、韩国、中国、中国香港、新加坡、马来西亚、以及其
eu_support@fortinet.com 为英国、斯堪的纳维亚半岛、欧洲大陆、非洲和中东地区的客
关于 Fortinet 电话支持的信息,请访问 http://support.fortinet.com。
当您需要我们的技术支持的时候,请您提供以下信息:
·您的姓名
·公司名称
·位置
·电子邮件地址
·电话号码
·FortiGate 设备生产序列号
·FortiGate 型号
·FortiGate FortiOS 固件版本
·您所遇到的问题的详细说明
务。
他所有亚洲国家和澳大利亚地区的客户提供服务。
户提供服务。
FortiGate-300 安装和配置指南
13
客户服务和技术支持 简介
14
美国飞塔有限公司
开始
FortiGate-300 安装和配置指南 2.50 版
本章描述了有关拆包、安装及如何启动 FortiGate 防病毒防火墙的内容。 一旦完
成此章内容,您可按如下章节进行配置 :
·如果要在 NAT/ 路由 模式下运行 FortiGate, 请参阅 第 29 页 “ NAT/ 路由 模式
安装” 。
·如果要在 透明 模式下运行 FortiGate,请参阅 第 43 页 “ 透明模式安装” 。
·如果要在 HA 模式下运行两个或多个 FortiGate, 请参阅 第 55 页 “ 高可用
性” 。
本章叙述了以下内容:
·包装中的物品
·安置
·启动
·连接到基于 Web 的管理程序
·连接到命令行接口 (CLI)
·FortiGate 出厂默认设置
·规划您的 FortiGate 设备的配置
·FortiGate 系列产品参数最大值列表
·下一步
FortiGate-300 安装和配置指南
15
包装中的物品 开始
包装中的物品
FortiGate-300 包装中含有以下物品:
·FortiGate-300 防病毒防火墙
·一根黄色交叉连接以太网电缆
·一根灰色普通以太网电缆
·一根串行通信电缆
·FortiGate-300 快速入门手册
·一根电源线
·包含了用户手册内容的光盘
·两个 19 英寸机架安装支架
图 2: FortiGate-300 包装中的物品
安置
16
FortiGate-300 可安置在 19 英寸标准机架上。它需占据机架中 1 U 的空间。
FortiGate-300 也可被独立安装在任何稳定平台上。独立安装需确保在其周围每側
留有 1.5 英寸 (3.75 厘米 ) 的空间以保证空气流通和风冷。
尺寸
·16.75 x 11 x 1.75 英寸 42.7 x 27.8 x 4.5 厘米
美国飞塔有限公司
开始 启动
重量
·7.3 磅 (3.3 公斤 )
电源要求
·功率需求:100 W ( 最大 )
·交流输入电压: 100 至 250 VAC
·交流输入电流:1.5 A
·频率:47 至 63 Hz
运行环境
·工作温度: 32 至 104 华氏度 (0 至 40 摄氏度 )
·保存温度: -13 至 158 华氏度 (-25 至 70 摄氏度 )
·湿度: 5 至 95% 非冷凝
启动
按以下步骤启动 FortiGate-300:
1 确认 FortiGate-300 后面的电源开关处在关闭状态。
2 将电源线连接到 FortiGate-300 背面的电源接口处。
3 将电源线接到电源插座。
4 接通电源开关。
数秒后 , LCD 显示 SYSTEM STARTING(系统启动)。
当系统启动完毕并正常运行后,LCD 将显示主菜单
(MAIN MENU)。
表 1: FortiGate-300 LED 指示灯
LED 状态 说明
Power 绿色 FortiGate 设备已经加电。
熄灭 FortiGate 设备已经断电。
Internal
External
DMZ/HA
橙色 当前电缆使用中,并且所连接的设备已经加电。
橙色闪烁 此接口有网络活动。
绿色 此接口已建立速率为 100Mbps 的连接。
熄灭 未建立连接。
FortiGate-300 安装和配置指南
17
连接到基于 Web 的管理程序 开始
连接到基于 Web 的管理程序
当初始启动 FortiGate 时,可按如下步骤连接到基于 Web 的管理程序。在基于 Web
的管理程序中所做的配置修改,无需重启动防火墙或中断服务即可生效。
欲连接到基于 Web 的管理程序,您需要 :
·一台能连接以太网的控制电脑,
·IE 4.0 及以上版本,
·一根交叉电缆或以太网集线器,和两根以太网电缆。
注意:您可以使用大多数常见的老版本的网页浏览器访问 基于 Web 的管理程序。微软互联网浏
览器 4.0 及以上版本能够完全支持 基于 Web 的管理程序 。
连接到 基于 Web 的管理程序
1 将与以太网相连的控制电脑的静态 IP 地址设定为 :192.168.1.2,网络掩码
255.255.255.0。
2 用交叉电缆或以太网集线器及电缆 , 控制电脑与 FortiGate 设备的内部接口相连。
3 启动 Internet 浏览器并访问 https://192.168.1.99。 ( 需要输入 https://)
将显示 FortiGate 登录界面。
4 在登录页面的姓名域中输入 admin 后按登录按钮。
“现在注册” 页面将显示。根据此页所给信息来注册 FortiGate。这样,以便
Fortinet 在需要固件升级时与您联系。同时,也为了您可及时收到更新的防病毒和入
侵侦测数据库。
图 3: FortiGate 登录
18
美国飞塔有限公司
开始 连接到命令行接口 (CLI)
连接到命令行接口 (CLI)
除了基于 Web 的管理程序,您可使用 CLI 来安装和设置 FortiGate。在 CLI 中所做
的配置修改,无需重启动防火墙或中断服务即可生效。
欲连接到 CLI 上,您需具备如下器材:
·一台拥有可用的通信端口的电脑,
·一个 FortiGate 套装包中带有的零调制解调器连接线,
·终端端模拟软件,如 Windows 中的超级终端程序 (HyperTerminal)。
注意:以下步骤描述了如何用 Windows HyperTerminal 软件与 CLI 连接。您可以使用任何一种终
端模拟软件。
连接到 CLI:
1 用串行通讯线将电脑的通信端口和 FortiGate 控制台端口相连。
2 确认 FortiGate 的电源已打开。
3 运行超级终端,为连接输入一个名称,然后单击 “确定”。
4 将超级终端的连接方式配置为直接连接到计算机的串行通讯接口,这个接口即串行通
讯线所连接的接口,单击 “确定”。
5 选择以下端口设置并单击确定。
每秒比特数 115200
数据位 8
奇偶校验 无
停止位 1
流控制 无
6 按回车键,连接到 CLI。
将出现以下提示:
FortiGate-300 login:
7 输入 “admin" 后按两次回车键。
将出现以下提示:
Type ? for a list of commands.
关于如何使用 CLI,请参阅
FortiGate CLI 参考手册
。
FortiGate-300 安装和配置指南
19
FortiGate 出厂默认设置 开始
FortiGate 出厂默认设置
FortiGate 设备出厂时已经根据默认的配置方式进行了设置。这一默认设置允许您
连接到 FortiGate 并根据您的网络配置 FortiGate 设备。要将 FortiGate 设备配置为
在您的网络中工作,您需要添加管理员密码、修改网络接口的 IP 地址、DNS 服务器地
址、如果需要的话还可以配置路由。
如果您准备让 FortiGate 设备运行于透明模式,您可以将 FortiGate 设备从出厂默
认配置切换到透明模式,并根据您的网络配置透明模式下的 FortiGate 设备。
完成网络配置之后,您还可以做一些其他的配置工作,例如设置系统时间,配置防
病毒和攻击定义更新,注册 FortiGate 设备等。
出厂时默认的防火墙配置包括了单一网络地址转换策略,允许您的内部网络中的用
户连接到外部网络,而禁止外部网络中的用户连接到内部网络。您可以添加更多的策
略,从而对通过 FortiGate 设备的通讯进行更多的控制。
出厂时默认的内容配置文件可以用来快速地在防火墙策略中设置不同级别的防病毒
保护、网页内容过滤、电子邮件过滤,以控制网络通讯。
·出厂默认的 NAT/ 路由模式的网络配置
·出厂默认的透明模式的网络设置
·出厂时默认的防火墙配置
·出厂时默认的内容配置文件
出厂默认的 NAT/ 路由模式的网络配置
FortiGate 设备首次加电时,它运行于 NAT/ 由模式,并具有表 2 中列出的基本网
络配置。这一配置允许您连接到 FortiGate 设备的基于 Web 的管理程序,并根据您网
络连接的要求配置 FortiGate 设备。在 表 2 中 HTTPS 管理访问意味着您可以使用这
一接口连接到 基于 Web 的管理程序 。Ping 管理访问意味着这一接口可以响应 ping 请
求。
表 2: 出厂默认的 NAT/ 路由模式网络配置
管理员帐号
内部接口
外部接口 手工设置:
DMZ/HA 接口
用户名: admin
密码: ( 无 )
IP: 192.168.1.99
网络掩码: 255.255.255.0
管理访问: HTTPS, Ping
IP: 192.168.100.99
网络掩码: 255.255.255.0
默认网关: 192.168.100.1
主 DNS 服务器: 207.194.200.1
辅助 DNS 服务器: 207.194.200.129
管理访问: Ping
IP: 10.10.10.1
网络掩码: 255.255.255.0
管理访问: HTTPS, Ping
a
20
美国飞塔有限公司
开始 FortiGate 出厂默认设置
a. 当您修改外部接口的 IP 地址时,FortiGate 设备将删除默认路由。
出厂默认的透明模式的网络设置
如果您将 FortiGate 设备切换到透明模式,它具有表 3 中所列出的设置内容。
表 3: 出厂默认的透明模式网络设置
管理员帐号 用户名: admin
密码 ( 无 )
管理 IP
DNS
管理访问
IP: 10.10.10.1
网络掩码: 255.255.255.0
主 DNS 服务器: 207.194.200.1
辅助 DNS 服务器: 207.194.200.129
Internal HTTPS, Ping
External Ping
DMZ/HA HTTPS, Ping
出厂时默认的防火墙配置
NAT/ 路由模式和透明模式具有相同的出厂默认的防火墙配置。
表 4: 出厂默认防火墙设置
IP: 0.0.0.0 表示内部网络中的全部 IP 地址
内部地址 内部 _ 全部
外部地址 外部 _ 全部
DMZ 地址 DMZ_ 全部
循环任务计划总是 任务计划始终有效。这意味着防火墙策略始终有
防火墙策略内部 -> 外部 从内部网络到外部网络的防火墙策略
源 内部 _ 全部 策略的源地址。内部 _ 全部意味着策略接受来自任
目的 外部 _ 全部 策略的目的地址。外部 _ 全部意味着策略接受到外
任务计划 总是策略的任务计划。 总是 意味着这个策略始终有效。
服务 任意 策略的服务。任意 意味着这个策略可以处理所有服
动作 接受 策略的动作。接受 意味着策略允许建立连接。
掩码:
0.0.0.0
IP: 0.0.0.0 表示外部网络中的全部 IP 地址
掩码:
0.0.0.0
IP: 0.0.0.0 表示 DMZ 网络中的全部 IP 地址。
掩码:
0.0.0.0
效。
何内部 IP 地址的连接请求。
部网络中的任何 IP 地址的连接请求。
务类型的连接。
FortiGate-300 安装和配置指南
21
FortiGate 出厂默认设置 开始
表 4: 出厂默认防火墙设置 ( 续 )
! NAT NAT 在 NAT/ 路由模式的默认策略中被选中,以使得
" 流量控制 流量控制未被选中。策略不会对其所控制的通讯应
" 认证 认证没有被选中。用户在建立到目的地址的连接之
" 防病毒和网页内容过滤 防病毒和网页内容过滤功能没有被选中。此策略不
" 通讯日志 通讯日志没有被选中。此策略不会将策略所处理的
出厂时默认的内容配置文件
您可以使用内容配置文件对防火墙策略所控制的通讯内容应用不同级别的保护设置
方式。您可以使用内容配置文件设置以下项目:
·HTTP, FTP, IMAP, POP3, 和 SMTP 网络通讯的防病毒保护
·HTTP 网络通讯的网页内容过滤
·IMAP 和 POP3 网络通讯的电子邮件过滤
·HTTP, FTP, POP3, SMTP, 和 IMAP 网络通讯的超大型文件和邮件阻塞
·IMAP, POP3, 和 SMTP 电子邮件通讯的邮件片段传输
您可以使用内容配置文件建立各种保护设置,并且可以很容易地应用到不同类型的
防火墙策略上。这就使得您可以对不同的防火墙策略选择不同类型和不同级别的保护。
策略对其处理的通讯进行网络地址转换。NAT 在透
明模式下不可用。
用流量控制。您可以选中这一选项,以控制这一策
略所处理的通讯的最大或最小带宽。
前,无须通过防火墙的认证。您可以在防火墙上配
置用户组,并启用认证功能,要求用户在通过防火
墙建立连接之前先取得防火墙的认证。
包含关于在此策略所处理的通讯中应用防病毒保
护、网页内容过滤、或电子邮件过滤的内容配置文
件。您可以选中此选项,并选择一个内容配置文
件。根据配置文件,可以对此策略所处理的通讯进
行不同级别的保护。
通讯记录到通讯日志中。您可以配置 FortiGate 日
志功能,启用通讯日志以记录此策略所接受的全部
通过防火墙的通讯。
22
例如,内部地址和外部地址之间的通讯可能需要严谨的保护,受信任的内部地址之
间的通讯仅需要中等的保护。您可以为不同的通讯服务配置不同的防火墙策略,然后
使用相同或不同的内容配置文件。
内容配置文件可以添加到 NAT/ 路由模式或透明模式策略中。
严谨型内容配置文件
使用严谨的内容配置文件可以对 UHTTP, FTP, IMAP, POP3, 和 SMTP 等通讯的内容
应用最大限度的防护。通常情况下您不需要使用严谨型内容配置文件,但是如果您受
到病毒的严重威胁,需要最大限度地屏蔽病毒,可以选择严谨型内容配置文件。
美国飞塔有限公司
开始 FortiGate 出厂默认设置
表 5: 严谨型内容配置文件
选项 HTTP FTP IMAP POP3 SMTP
防病毒保护
文件阻塞
隔离
Web URL 阻塞
Web 内容阻塞
Web 脚本过滤
Web 排除列表
Email 阻塞列表
Email 排除列表
Email 内容阻塞
超大型文件 / 邮件阻塞 阻塞 阻塞 阻塞 阻塞 阻塞
传输邮件片段
!!!!!
!!!!!
!!!!!
!
!
!
!
!!
!!
!!
"""
扫描型内容配置文件
使用扫描型内容配置文件可以对 HTTP、FTP、IMAP、POP3 和 SMTP 通讯的内容应用
防病毒扫描。同时,隔离功能也被启用了,并适用于所有类型的服务。在 FortiGate
设备中装备了一个硬盘,如果防病毒扫描功能发现了在某个文件中有病毒,这个文件
可以被隔离到 FortiGate 的硬盘上。系统管理员可以根据需要决定是否恢复被隔离的
文件。
表 6: 扫描型内容配置文件
选项 HTTP FTP IMAP POP3 SMTP
防病毒保护
文件阻塞
隔离
Web URL 阻塞
Web 内容阻塞
Web 脚本过滤
Web 排除列表
Email 阻塞列表
Email 排除列表
Email 内容阻塞
超大型文件 / 邮件阻塞 传输 传输 传输 传输 传输
传输邮件片段
!!!!!
"""""
!!!!!
"
"
"
"
""
""
""
"""
网页型内容配置文件
FortiGate-300 安装和配置指南
使用网页型内容配置文件可以对 HTTP 通讯的内容应用防病毒扫描和网页内容阻
塞。您可以在控制 HTTP 通讯的防火墙策略中添加这一内容配置文件。
23
规划您的 FortiGate 设备的配置 开始
表 7: 网页型内容配置文件
选项 HTTP FTP IMAP POP3 SMTP
防病毒保护
文件阻塞
隔离
Web URL 阻塞
Web 内容阻塞
Web 脚本过滤
Web 排除列表
Email 阻塞列表
Email 排除列表
Email 内容阻塞
超大型文件 / 邮件阻塞 传输 传输 传输 传输 传输
传输邮件片段
!""""
"""""
!""""
!
!
"
"
"""
""
""
"""
非过滤型内容配置文件
如果您不希望对通讯内容施加任何内容保护,可以选择非过滤型内容配置文件。您
可以在控制无须保护的通讯类型的防火墙策略上添加这一内容配置文件,例如两个高
度可信或高度安全的网络之间的通讯。
表 8: 非过滤型内容配置文件
选项 HTTP FTP IMAP POP3 SMTP
防病毒保护
文件阻塞
隔离
Web URL 阻塞
Web 内容阻塞
Web 脚本过滤
Web 排除列表
Email 阻塞列表
Email 排除列表
Email 内容阻塞
超大型文件 / 邮件阻塞 传输 传输 传输 传输 传输
传输邮件片段
规划您的 FortiGate 设备的配置
在开始配置 FortiGate 之前,您需要计划一下如何将它集成到您的网络中去。首
先,您需要决定这个设备在网络中是否可见,要提供哪些防火墙功能,以及如何控制
网络接口之间的数据流。
"""""
"""""
"""""
"
"
"
!
"""
!!
""
!!!
24
美国飞塔有限公司
开始 规划您的 FortiGate 设备的配置
您所选择的操作模式决定了 FortiGate 的配置方式。FortiGate 有两种配置方式:
NAT/ 路由模式 (默认),或者透明模式。
NAT/ 路由模式
在 NAT/ 模式,FortiGate 在网络中是可见的。此时它类似于路由器,所有的网络
接口连接到不同的子网中。在 NAT/ 路由模式下有以下接口可用:
·外部 是默认的连接到外部网络 (通常是互联网)的接口,
·内部 是连接到内部网络的接口,
·DMZ/HA 是连接到 DMZ 网络的接口。 如果您建立了 HA 簇,DMZ/HA 接口也可以连接到
其他 FortiGate-300 上面。
无论 FortiGate-300 工作在 NAT 模式或是路由模式,您都可以添加安全策略以控制
通过 FortiGate-300 的通讯连接。安全策略根据每个数据包的源地址、目的地址和服
务控制数据流。在 NAT 模式下,FortiGate 在将数据包发送到目的网络之前进行网络地
址转换。在路由模式下,不进行转换。
默认情况下,FortiGate 只有一个 NAT 模式的策略,它使内部网络中的用户可以安
全地从外部网络下载内容。如果您没有配置其他安全策略,其他的数据流都将被阻塞。
FortiGate-300 的 NAT/ 路由模式的一个比较典型的应用是作为私有网络和公共网
络之间的网关。在这种配置中,您可以创建 NAT 模式的策略以控制内部的私有网络和
外部的公共网络 (通常是互联网)之间的数据流通。
如果您安装了多个内部网络,例如除了内部私有网络之外还有 DMZ 网络,您也可以
添加从 DMZ 网络到内部或外部网络之间的路由模式策略。
图 4: NAT/ 路由模式网络配置的例子
具有多个外部网络连接的 NAT/ 路由模式
在 NAT/ 路由模式下,您可以为 FortiGate 设备配置到外部网络 (通常是互联网)
的多重冗余连接。例如,您可以创建以下配置:
·外部接口作为到外部网络 (通常是互联网)的默认接口。
·DMZ 接口是到外部网络的冗余接口。
·内部接口作为到内部网络的接口。
FortiGate-300 安装和配置指南
您必须将路由配置为支持到互联网的冗余连接。当到外部网络的某个连接失效时,
路由可以自动地将所有连接重定向到其他可用的外部网络连接上。
25
规划您的 FortiGate 设备的配置 开始
除此之外,安全策略的配置基本上等同于 NAT/ 路由模式下的单互联网连接的配置
方式。您需要创建控制从内部的私有网络到外部的公共网络 (通常是互联网)的通讯
的 NAT 模式策略。
图 5: NAT/ 路由模式下多重互联网连接配置的例子
透明模式
在透明模式下,FortiGate 设备在网络中是不可见的。此时它如同一个网桥,所有
的 FortiGate 设备接口必须在同一子网内。您必须配置一个管理 IP 地址以便修改
FortiGate 的配置。这个管理 IP 地址还将用于获得防病毒保护和攻击定义的更新。
配置选项
透明模式下的 FortiGate 设备一个比较典型的应用是安装在一个位于防火墙或路由
器后面的私有网络中。FortiGate 提供一些基本的防护,例如防病毒和内容扫描,但是
不支持 VPN。
图 6: 透明模式网络配置的例子
您可以将 3 个网段连接到 FortiGate 设备上,以控制这些网段之间的数据流通。
·外部 可以连接到外部的防火墙或路由器。
·内部 可以连接到内部网络。
·DMZ/HA 可以连接到其他网段。 如果您创建了 HA 簇,DMZ/HA 接口也可以连接到其他
FortiGate-300 上。
26
选择了透明模式或 NAT/ 路由模式操作之后,您可以继续完成您的配置计划,并开
始配置 FortiGate 设备。
您可以使用基于 Web 的管理程序上的设置向导,控制按钮和 LCD 或命令行界面
(CLI) 对 FortiGate 进行基本配置。
美国飞塔有限公司
开始 FortiGate 系列产品参数最大值列表
配置向导
如果您将 FortiGate 设备设置为以 NAT/ 路由模式 (默认)运行,设置向导会提醒
您添加管理员密码,内部网络的接口地址。设置向导还会提醒您为外部网络接口选择
静态 (手工设置)或动态 (DHCP 或 PPPoE)地址。也可以使用设置向导为外部接口添
加 DNS 服务器 IP 地址和默认路由。
在 NAT/ 路由模式下,您还可以配置 FortiGate 的 DHCP 服务器为您的内部网络中的
计算机分配 IP 地址。以及将 FortiGate 设备配置为允许从互联网访问您的内部网络中
的网页、FTP 或电子邮件服务器。
如果您计划将 FortiGate 设备设置为透明模式,您可以使用基于 Web 的管理程序切
换到透明模式,设置向导会提醒您添加管理员密码,管理 IP 地址和网关,以及 DNS 服
务器地址。
CLI
如果您将 FortiGate 设备设置为以 NAT/ 路由模式 (默认)运行,您可以添加管理
员密码,内部网络的全部接口地址。您也可以使用 CLI 配置外部网络接口的静态 (手
工设置)或动态 (DHCP 或 PPPoE)地址。使用 CLI,您也可以为外部接口添加 DNS 服
务器 IP 地址和默认路由。
在 NAT/ 路由模式下,您还可以配置 FortiGate 的 DHCP 服务器为您的内部网络中的
计算机分配 IP 地址。
如果您计划将 FortiGate 设备设置为透明模式,您可以使用 CLI 切换到透明模式,
添加管理员密码,管理 IP 地址和网关,以及 DNS 服务器地址。
前面板和 LCD
如果您计划将 FortiGate 设备设置为以 NAT/ 路由模式运行,您可以使用控制按钮
和 LCD 添加 FortiGate 接口的 IP 地址和外部默认网关。
如果您计划将 FortiGate 设备培植为以透明模式运行,您可以使用控制按钮和 LCD
切换到透明模式,然后添加管理 IP 地址和默认网关。
FortiGate 系列产品参数最大值列表
表 9: FortiGate 参数最大值列表
FortiGate 产品型号
50 60 100 200 300 400 500 1000 2000 3000 3600
策略 200 500 1000 2000 5000 5000 20000 50000 50000 50000 50000
地址 500 500 500 500 3000 3000 6000 10000 10000 10000 10000
地址组 500 500 500 500 500 500 500 500 500 500 500
服务 500 500 500 500 500 500 500 500 500 500 500
服务组 500 500 500 500 500 500 500 500 500 500 500
循环任务计划 256 256 256 256 256 256 256 256 256 256 256
一次性任务计划 256 256 256 256 256 256 256 256 256 256 256
用户 20 500 1000 1000 1000 1000 1000 1000 1000 1000 1000
FortiGate-300 安装和配置指南
27
下一步 开始
表 9: FortiGate 参数最大值列表
FortiGate 产品型号
50 60 100 200 300 400 500 1000 2000 3000 3600
用户组 100 100 100 100 100 100 100 100 100 100 100
组成员 300 300 300 300 300 300 300 300 300 300 300
虚拟 IP 500 500 500 500 500 500 500 500 500 500 500
IP/MAC 绑定 500 500 500 500 500 500 500 500 500 500 500
路由 500 500 500 500 500 500 500 500 500 500 500
策略路由网关 500 500 500 500 500 500 500 500 500 500 500
管理员权限用户 500 500 500 500 500 500 500 500 500 500 500
IPsec 第一阶段 20 50 80 200 1500 1500 3000 5000 5000 5000 5000
VPN 集中器 500 500 500 500 500 500 500 500 500 500 500
VLAN 子接口 N/A N/A N/A N/A N/A 1024* 1024* 2048* 2048* 8192* 8192*
区域 N/A N/A N/A N/A N/A 100 100 200 200 300 500
IP 池 50 50 50 50 50 50 50 50 50 50 50
RADIUS 服务器 66666666666
文件模板 56 56 56 56 56 56 56 56 56 56 56
PPTP 用户 500 500 500 500 500 500 500 500 500 500 500
L2TP 用户 500 500 500 500 500 500 500 500 500 500 500
URL 阻塞 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制
内容阻塞 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制
排除的 URL 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制 无限制
下一步
28
至此,FortiGate 已启动并正常运行,您可继续配置如下设置:
·如果要在 NAT/ 路由模式下运行 FortiGate, 请参阅 第 29 页 “ NAT/ 路由 模式
安装” 。
·如果要在 透明 模式下运行 FortiGate ,请参阅 第 43 页 “ 透明模式安装” 。
·如果要在 HA 模式下运行 FortiGate, 请参阅 第 55 页 “ 高可用性” 。
美国飞塔有限公司
NAT/ 路由 模式安装
本章说明了如何进行 FortiGate NAT/Route( 路由 ) 模式的安装。如果要在透明模
式下安装 FortiGate ,请参阅 第 43 页 “ 透明模式安装” 。如果您要在 HA 模式
下安装两个或多个 FortiGate ,请参阅 第 55 页 “ 高可用性” 。
本章叙述了以下内容:
·准备配置 NAT/ 路由模式
·使用安装向导
·使用前面板控制按钮和 LCD
·使用命令行界面
·完成配置
·将 FortiGate 连接到网络中
·配置网络
·完成配置
·配置举例:到互联网的多重连接
FortiGate-300 安装和配置指南 2.50 版
准备配置 NAT/ 路由模式
使用 表 10 收集您设置 NAT/ 路由 模式配置所需的信息。
表 10: NAT/ 路由 模式配置
管理员密码:
内部接口
FortiGate-300 安装和配置指南
IP:
网络掩码 :
_____._____._____._____
_____._____._____._____
29
准备配置 NAT/ 路由模式 NAT/ 路由 模式安装
表 10: NAT/ 路由 模式配置 ( 续 )
外部接口
( 手工设置。您也可
以使用 DHCP 或
PPPoE,详情请见 第
30 页 表 11 。)
内部服务器
NAT/ 路由模式高级设置
使用 表 11 收集您设置 NAT/ 路由 模式配置所需的信息。
表 11: NAT/ 路由模式高级设置
IP:
网络掩码 :
默认网关 :
主 DNS 服务器 :
辅助 DNS 服务器 :
Web 服务器 :
SMTP 服务器 :
POP3 服务器 :
IMAP 服务器 :
FTP 服务器 :
如果要从 Internet 访问内部网中的 WEB 服务器、邮件服务器、IMAP 服
务器,或 FTP 服务器,请在此添加服务器的 IP 地址。
DHCP:
如果您的互联网服务供应商 (ISP) 为您提供了使用 DHCP
的 IP 地址,则无须更多的信息。
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
DMZ 接口
外部接口
DHCP 服务器
PPPoE:
如果您的互联网服务供应商使用 PPPoE 为您分配 IP 地址,记录您的 PPPoE
用户名和口令。
FortiGate 设备包含了一个 DHCP 服务器,您可以将它配置为为您的内部网
络中的计算机自动分配 IP 地址。
用户名 :
密码 :
启始 IP:
终止 IP:
网络掩码 :
默认路由:
DNS IP:
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
如在安装时进行配置,可使用 表 12 记录 FortiGate DMZ 接口的 IP 地址和子网
掩码。
.
表 12: DMZ 接口 (可选)
DMZ: IP:
_____._____._____._____
网络掩码 :
_____._____._____._____
30
美国飞塔有限公司
NAT/ 路由 模式安装 使用安装向导
使用安装向导
您可以从基于 Web 的管理程序中使用安装向导来建立 FortiGate 初始配置。欲连接
到基于 Web 的管理程序,请参阅 第 18 页 “ 连接到基于 Web 的管理程序” 。
启动安装向导
为启动安装向导 :
1 选择简易安装向导 ( 基于 Web 的管理程序页面右上方中间的按钮 )。
2 根据 第 29 页 表 10 中所获得的信息进行设置,选 “下一步”按顺序逐步完成安装
向导的若干页面。
您也可以使用 第 30 页 表 11 中的信息。
3 确保您的输入无误后按完成按钮结束。
注意:如果您使用安装向导来配置内部服务器设置,FortiGate 会向每个配置的服务器分配端口
转送 IPs 和防火墙策略。对位于内部网的每个服务器,FortiGate 添加一个外部 --> 内部策略。
对位于 DMZ 里的每个服务器,FortiGate 则添加一个外部 ->DMZ 策略。
重连接到 基于 Web 的管理程序
如果您使用安装向导修改了内部接口的 IP 地址,必须使用新 IP 地址重新连接基于
Web 的管理程序。浏览 https:// 后跟着 内部接口的新 IP 地址。或者,您也可通过
https://192.168.1.99. 重连接到基于 Web 的管理程序。
至此,您已完成 FortiGate 的初始 配置。现在 可以进入 第 34 页 “ 完成配
置” 。
使用前面板控制按钮和 LCD
除安装向导外,也可使用 第 29 页 表 10 和 第 30 页 表 12 中记录的信息来完
成如下步骤。从 LCD 上显示的主菜单开始,用前面板控制按钮和 LCD:
注意:您不能使用控制按钮和 LCD 为外部接口配置 DHCP 或 PPPoE。您可以使用设置向导或者基
于 Web 的管理程序。
1 按回车键三次来配置内部接口 的 IP 地址。
2 设置内部接口 的 IP 地址。
使用上箭头和下箭头增加或减少 IP 地址中每位的值。按回车到下一位。按退出(
Esc) 回到前一位。
注意:当输入 IP 地址时 , 每部分地址将成 三位数字显示在 LCD 上。例如,IP 地址
192.168.100.1 在 LCD 上显为 192.168.100.001。 IP 地址 192.168.23.45 显为
192.168.023.045。
3 在输入完最后一位 IP 地址后按回车。
4 用向下箭头选择子网掩码。
5 按回车并设置内部子网掩码。
FortiGate-300 安装和配置指南
31
使用命令行界面 NAT/ 路由 模式安装
6 在输入完最后一位子网掩码地址后按回车。
7 按 退出(Esc)返回主菜单。
8 如需要,重复如上步骤来设置外部接口,外部缺省网关,以及 DMZ/HA 接口。
您已完成 FortiGate 初始 配置。可进入 第 34 页 “ 完成配置” 。
使用命令行界面
除了使用设置向导,您还可以使用命令行界面 (CLI)配置 FortiGate。要连接到
CLI,请参阅 第 19 页 “ 连接到命令行接口 (CLI)” 。
将 FortiGate 配置为在 NAT/ 路由模式操作
使用您在 第 29 页 表 10 中收集的信息完成以下操作。
配置 NAT/ 路由模式 IP 地址
1 如果您还没有登录,首先登录到 CLI。
2 将内部网络接口的 IP 地址和网络掩码设置为您在 第 29 页 表 10 中记录的 IP 地址和
网络掩码。输入:
set system interface internal mode static ip <IP_ 地址 > <网络掩码 >
例如
set system interface internal mode static ip 192.168.1.1
255.255.255.0
3 将外部网络接口的 IP 地址和网络掩码设置为您在 第 29 页 表 10 中记录的外部 IP 地
址和网络掩码。输入:
set system interface external mode static ip <IP_ 地址 > <网络掩码 >
例如
set system interface external mode
255.255.255.0
要将外部网络接口设置为使用 DHCP,输入:
set system interface external mode dhcp connection enable
要将外部网络接口设置为使用 PPPoE,输入:
set system interface external mode pppoe
password <密码 _ 字符串> connection
例如
set system interface external mode pppoe username
user@domain.com password mypass connection enable
4 可以选择设置 DMZ 接口,将 DMZ 接口的 IP 地址和网络掩码设置为您在 第 29 页 表 10
中记录的 DMZ IP 地址和网络掩码。输入:
set system interface dmz mode static ip <IP 地址 > < 网络掩码 >
例如
set system interface dmz mode static ip 10.10.10.2
255.255.255.0
static
enable
ip 204.23.1.5
username <用户名 _ 字符串
>
32
美国飞塔有限公司
NAT/ 路由 模式安装 将 FortiGate 连接到网络中
5 确认地址是正确的。输入:
get system interface
CLI 列出每个 FortiGate 网络接口的 IP 地址,网络掩码和其它设置信息。
6 设置主 DNS 服务器的 IP 地址。输入
set system dns primary <IP 地址 >
例如
set system dns primary 293.44.75.21
7 还可以选择是否输入辅助 DNS 服务器 IP 地址,输入
set system dns secondary <IP 地址 >
例如
set system dns secondary 293.44.75.22
8 设置到默认路由的默认网关的 IP 地址 ( 如果使用 DHCP 或 PPPoE 则不需要 )。
set system route number < 路由编号 _ 整数 > dst 0.0.0.0 0.0.0.0 gw1
< 网关 IP 地址 >
例如
set system route number 0 dst 0.0.0.0 0.0.0.0 gw1 204.23.1.2
将 FortiGate 连接到网络中
在完成了初始配置之后,您可以在内部网络和互联网之间连接 FortiGate 了。
FortiGate-300 有以下 10/100 BaseTX 接口:
·内部接口,用于连接到内部网络,
·外部接口 , 用于连接到互联网,
·DMZ/HA 用于连接到 DMZ 网络或其他 FortiGate-300 组成高可用性应用 ( 请见 第 55
页 “ 高可用性” )。
注意: 您也可以把外部接口 和 DMZ /HA 接口连接到不同的互联网连接,以提供一个到互联网的
冗余连接。请参阅 第 36 页 “ 配置举例:到互联网的多重连接” 。
按以下方式连接运行于 NAT/ 路由模式的 FortiGate:
1 将内部接口连接到您的内部网络的交换机或集线器上,
2 将外部接口连接到互联网上。
连接到 ISP 服务商提供的公共交换机和路由器上。如果使用 DSL 或带宽上网,需将外
部接口连接到与您 DSL 或电缆调制解调器相连的内部网或 LAN 网上。
3 可以选择是否将 DMZ/HA 接口连接到 DMZ 网络。
您可通过 DMZ 网提供从 Internet 到 Web 或其它服务器的访问,而无需在内部网安装
其它服务器。
FortiGate-300 安装和配置指南
33
配置网络 NAT/ 路由 模式安装
图 7: FortiGate-300 NAT/ 路由模式连接
配置网络
完成配置
34
如果在 NAT/ 路由模式下运行 FortiGate, 您需要将网络设置为将所有 Internet 流
通路由到它们所连接到的 FortiGate 接口的 IP 地址上。对于内部网,需将所有连接到
内部网上的电脑和路由器的缺省网关地址改为 FortiGate 内部接口的 IP 地址。对于
DMZ 网,需将所有连接到 DMZ 网上的电脑和路由器的缺省网关地址改为 FortiGate DMZ
接口的 IP 地址。对于外部网,则路由所有的数据包到 FortiGate 的外部接口上。
如果使用 FortiGate 作为您内部网的 DHCP 服务器,需对内部网的电脑进行配置。
一旦 FortiGate 连接好,可通过从内部网的电脑连接到 Internet 来确保其运行是
否正常。您应该能连接到任何的 Internet 地址。
根据用本节内容来完成 FortiGate 的初始配置。
美国飞塔有限公司
NAT/ 路由 模式安装 完成配置
配置 DMZ/HA 接口
如果您要设置 DMZ 网络,就需要改变 DMZ/HA 接口的 IP 地址。按如下步骤用基于
Web 的管理程序配置 DMZ/HA 接口 :
1 登录到 基于 Web 的管理程序。
2 进入 系统 > 网络 > 接口。
3 选择 DMZ/HA 接口 并单击 修改 。
4 确认接口被设置为 DMZ 模式。
5 根据需要改变 IP 地址和子网掩码。
6 单击 应用 。
设置日期和时间
为了有效的安排日程和记录日志, FortiGate 的日期和时间必须精确。 您可手动
设置时间,或通过配置 FortiGate 来自动与网络时间协议服务器 (NTP) 同步从而更正
时间。
设置 FortiGate 日期和时间,请参阅 第 127 页 “ 设置系统日期和时间” .
启用防病毒保护
按以下步骤启用防病毒保护,可以防止您的内部网络中的用户从互联网上下载病
毒:
1 进入 防火墙 > 策略 > 内部 -> 外部。
2 单击编辑 以编辑这个策略。
3 单击 防病毒和网络过滤,以启用这个策略的防病毒防火墙功能。
4 选择扫描型内容配置文件。
5 单击确定以保存您所做的修改。
注册 FortiGate 设备
在购买和安装了一个新的 FortiGate 设备之后,您可以进入 系统 > 更新 > 支持来
注册您的设备,或者使用网页浏览器连接到 http://support.fortinet.com 然后选择
产品注册。
注册内容包括您的联系方式、您或者您所在的机构购买的 FortiGate 设备的产品序
列号。注册过程非常方便快捷。您可以一次就注册多个 FortiGate 设备,而无须重复
输入您的联系方式。
关于注册的更多信息,请见 第 100 页 “ 注册 FortiGate 设备” 。
配置防病毒和攻击定义更新
您可以进入系统 > 更新以配置 FortiGate 设备的自动检查新版本的防病毒定义和攻
击定义。如果它发现了新的版本,FortiGate 设备会自动下载和安装更新的定义。
FortiGate 设备使用 8890 端口的 HTTPS 方式连接去检查更新。FortiGate 外部接
口必须能够使用 8890 端口访问更新中心。
FortiGate-300 安装和配置指南
35
配置举例:到互联网的多重连接 NAT/ 路由 模式安装
要配置自动防病毒和攻击定义更新,请访问 第 91 页 “ 病毒防护定义和攻击定
义更新” 。
配置举例:到互联网的多重连接
本节描述了 FortiGate 设备使用多重连接到互联网的 (见图 8)一些基本的路由
和防火墙策略配置的例子。在这种拓扑结构中,该组织使用的 FortiGate 设备分别通
过两个互联网服务供应商连接到互联网。FortiGate 设备使用外部接口和 DMZ/HA 接口
连接到互联网。外部接口连接到 ISP1 提供的网关 1,DMZ/HA 连接到 ISP2 提 供的网关
2。
在接口上添加了 ping 服务器,并配置了路由之后,您可以控制通讯如何使用每个
到互联网的连接。在这种路由配置方式下您可以继续创建支持到互联网的多重连接的
防火墙策略。
本节提供了一些具有到互联网的多重连接的 FortiGate 设备中配置路由和防火墙
的例子。要使用本节中的所提供的信息,我们建议您先熟悉一下关于 FortiGate 路由
( 请见 第 113 页 “ 配置路由” ) 和 FortiGate 防火墙配置 ( 见 第 137 页 “
防火墙配置” )。
下面的例子显示了如何配置基于目的地的路由和策略路由以控制不同类型的通讯。
·配置 Ping 服务器
·基于目的地的路由配置举例
·策略路由的例子
·防火墙策略举例
36
美国飞塔有限公司
NAT/ 路由 模式安装 配置举例:到互联网的多重连接
图 8: 到互联网的多重连接的配置的例子
配置 Ping 服务器
1 进入系统 > 网络 > 接口。
2 在外部接口上选择修改 。
3 在 DMZ/HA 接口上选择修改 。
FortiGate-300 安装和配置指南
按照以下步骤将网关 1 设置为外部接口的 Ping 服务器,将网关 2 设置为 DMZ/HA 接
口的 Ping 服务器。
·Ping 服务器 : 1.1.1.1
·选择启用 Ping 服务器
·单击确定
·Ping 服务器 : 2.2.2.1
·选择启用 Ping 服务器
·单击确定
37
配置举例:到互联网的多重连接 NAT/ 路由 模式安装
使用 CLI
1 将 ping 服务器添加到外部接口。
set system interface external config detectserver 1.1.1.1
gwdetect enable
2 将 ping 服务器添加到 DMZ/HA 接口。
set system interface dmz/ha config detectserver 2.2.2.1
gwdetect enable
基于目的地的路由配置举例
本节描述了以下基于目的地的路由的例子:
·到互联网的主连接和备份连接
·负载分配
·负载分配与主连接、备份连接
到互联网的主连接和备份连接
按照以下步骤添加默认的基于目的地的路由,以将所有向外的通讯定向到网关 1。
如果网关 1 失效了,所有连接会被重定向到网关 2。网关 1 是到互联网的主连接,网关
2 是备份连接。
1 进入 系统 > 网络 > 路由表。
2 选择 新建。
·目的 IP: 0.0.0.0
·掩码 : 0.0.0.0
·网关 #1: 1.1.1.1
·网关 #2: 2.2.2.1
·设备 #1: 外部
·设备 #2: dmz/ha
·单击确定。
使用 CLI
1 在路由表中添加路由
set system route number 0 dst 0.0.0.0 0.0.0.0 gw1 1.1.1.1
dev1 external gw2 2.2.2.1 dev2 dmz/ha
表 13: 主连接和备份连接的路由
目的 IP □掩码 网关 #1 设备 #1 网关 #2 设备 #2
0.0.0.0 0.0.0.0 1.1.1.1 external 2.2.2.1 dmz/ha
负载分配
38
您也可以将基于目的的路由配置为同时将通讯定向到两个网关。如果您的内部网络
中的用户连接到 IPS1 和 IPS2 的网络中,您可以为每个目的地添加路由。每个路由可
以包括一个到另一个 ISP 的网络的备份目的地址。
美国飞塔有限公司
NAT/ 路由 模式安装 配置举例:到互联网的多重连接
表 14: 负载分配路由
目的 IP □掩码 网关 #1 设备 #1 网关 #2 设备 #2
100.100.100.0 255.255.255.0 1.1.1.1 external 2.2.2.1 dmz/ha
200.200.200.0 255.255.255.0 2.2.2.1 dmz/ha 1.1.1.1 external
第一条路由将所有的到 100.100.100.0 的通讯定向到外部接口上 IP 为 1.1.1.1的网
关 1。如果这条路由不通,到 100.100.100.0 的网络的通讯将被重定向到 DMZ/HA 接口
上 IP 地址为 2.2.2.1 的网关 2。
负载分配与主连接、备份连接
您可以将这些路由组合到一个更加复杂的到互联网多重连接的配置中。在 第 37
页 图 8 中所显示的拓扑结构中,内部网络中的用户需要连接到互联网上访问网页,
或者其他互联网资源。然而,他们也可能要访问由他们的 ISP 所提供的其他服务,例
如电子邮件。您可以将上述例子中的路由方法组合起来,为用户提供一个到互联网的
主连接和一个备份连接 , 并根据需要将通讯分配到每个 ISP 的网络上。
下面所描述的路由允许内部网络中的用户通过网关 1 和 ISP1 访问互联网。同时,
这个用户还可以通过 ISP2 的网关 2 去访问他的电子邮件服务器。
使用 基于 Web 的管理程序添加路由
1 进入 系统 > 网络 > 路由表。
2 单击新建以添加到互联网的主连接和备份连接的默认路由。
·目的 IP: 0.0.0.0
·掩码 : 0.0.0.0
·网关 #1: 1.1.1.1
·网关 #2: 2.2.2.1
·设备 #1: 外部
·设备 #2: dmz/ha
·单击确定。
3 单击新建以添加到 ISP1 的网络的路由。
·目的 IP: 0.0.0.0
·掩码 : 0.0.0.0
·网关 #1: 1.1.1.1
·网关 #2: 2.2.2.1
·设备 #1: 外部
·设备 #2: dmz/ha
FortiGate-300 安装和配置指南
39
配置举例:到互联网的多重连接 NAT/ 路由 模式安装
4 单击新建以添加到 ISP2 的网络的路由。
·目的 IP: 0.0.0.0
·掩码 : 0.0.0.0
·网关 #1: 1.1.1.1
·网关 #2: 2.2.2.1
·设备 #1: dmz/ha
·设备 #2: 外部
·单击确定。
5 将路由表中的路由排序,将默认路由移动到路由表的最下方。
·在默认路由上单击移动 。
·在移动栏输入输入数字将这条路由移动到路由表的底部。
如果只有 3 个路由,就输入 3。
·单击确定。
使用 CLI 添加路由
1 添加到 ISP1 的网络的路由。
set system route number 1 dst 100.100.100.0 255.255.255.0 gw1
1.1.1.1 dev1 external gw2 2.2.2.1 dev2 dmz/ha
1 添加到 ISP2 的网络的路由。
2 添加到互联网的主连接和备份连接的默认路由。
策略路由的例子
set system route number 2 dst 200.200.200.0 255.255.255.0 gw1
2.2.2.1 dev1 dmz/ha gw2 1.1.1.1 dev2 external
set system route number 3 dst 0.0.0.0 0.0.0.0 gw1 1.1.1.1
dev1 external gw2 2.2.2.1 dev2 dmz/ha
路由表中的路由应当按照 表 15 中的顺序排序。
表 15: 组合路由表的例子
目的 IP □掩码 网关 #1 设备 #1 网关 #2 设备 #2
100.100.100.0 255.255.255.0 1.1.1.1 external 2.2.2.1 dmz/ha
200.200.200.0 255.255.255.0 2.2.2.1 dmz/ha 1.1.1.1 external
0.0.0.0 0.0.0.0 1.1.1.1 external 2.2.2.1 dmz/ha
添加策略路由可以增强您对数据包被路由的方式的控制能力。策略路由工作在基于
目的的路由的顶部。这意味着您应当先配置基于目的的路由并在顶部建立策略路由以
增强由基于目的的路由提供的控制能力。
例如,如果您为一个到互联网的双重连接配置了基于目的的路由,您可以使用策略
路由对通讯被发送到哪条目的路由进行控制。本节描述了以下策略路由的例子,它们
基于类似于 第 37 页 图 8 的拓扑结构。在每个例子中标出了不同点。
40
美国飞塔有限公司
NAT/ 路由 模式安装 配置举例:到互联网的多重连接
只有您已经定义了类似于在前面章节中描述的目的路由之后,在这些例子中描述的
策略路由才能正常工作。
·将通讯从内部子网路由到不同的外部网络
·路由到外部网络的服务
关于策略路由的详细信息,请见 第 115 页 “ 策略路由” 。
将通讯从内部子网路由到不同的外部网络
如果 FortiGate 提供了从多个内部子网到互联网的访问,您可以使用策略路由控制
从各个内部子网到互联网的通讯的路由。例如,如果内部网络包含了 192.168.10.0 子
网和 192.168.20.0 子网,您可以输入如下策略路由:
1 输入以下命令路由从 192.168.10.0 子网到外部网络 100.100.100.0 的通讯:
set system route policy 1 src 192.168.10.0 255.255.255.0 dst
100.100.100.0 255.255.255.0 gw 1.1.1.1
2 输入以下命令路由从 192.168.20.0 子网到外部网络 200.200.200.0 的通讯:
set system route policy 2 src 192.168.20.0 255.255.255.0 dst
200.200.200.0 255.255.255.0 gw 2.2.2.1
1 输入以下命令将使用 80 端口的全部 HTTP 通讯路由到 IP 地址为 1.1.1.1 的网关。
2 输入以下命令将其他的全部通讯路由到 IP 地址为 2.2.2.1 的网关。
防火墙策略举例
路由到外部网络的服务
您可以使用以下策略路由将所有 HTTP 通讯 (使用 80 端口)定向到一个外部网络,
而将其他的全部通讯定向到另一个外部网络。
set system route policy 1 src 0.0.0.0 0.0.0.0 dst 0.0.0.0
0.0.0.0 protocol 6 port 1 1000 gw 1.1.1.1
Set system route policy 2 src 0.0.0.0 0.0.0.0 dst 0.0.0.0
0.0.0.0 gw 2.2.2.1
防火墙策略控制着通过 FortiGate 设备的通讯流。一旦配置了到互联网的多重连接
的路由,您需要创建对应的防火墙策略,控制允许通过 FortiGate 设备的通讯,以及
允许通讯使用的接口。
为了使从内部网络发出的通讯能够通过两个互联网连接线路连接到互联网,您必须
添加从内部接口到每个带有互联网连接的接口的冗余策略。添加完策略之后,路由配
置可以控制使用哪个到互联网的连接。
添加冗余的默认策略
第 37 页 图 8 显示了 FortiGate 设备使用外部和 DMZ 接口连接到互联网的例子。
默认的策略允许全部的通讯从内部网络通过外部接口连接到互联网。如果您添加了一
个类似的从内部网络到 DMZ 的策略列表,这一策略将允许所有通讯从内部网络通过 DMZ
接口连接到互联网。在防火墙配置中添加了这两个策略之后,路由配置可以决定从内
部网络到互联网的连接实际使用哪条到互联网的线路。关于默认策略的详细信息,请
见 第 138 页 “ 默认防火墙配置” 。
FortiGate-300 安装和配置指南
41
配置举例:到互联网的多重连接 NAT/ 路由 模式安装
按以下步骤添加冗余的默认策略:
1 进入 防火墙 > 策略 > 内部 -> 外部。
2 单击新建。
3 根据默认策略配置相应的策略。
源 内部 _ 全部
目的 DMZ_ 全部
任务计划 总是
服务 任意
动作 接受
NAT 选种 NAT。
4 单击确定以保存您所做的修改。
添加更多的防火墙策略
大多数情况下您的防火墙配置中不只包含了默认的策略。然而,创建冗余策略将使
得防火墙的配置变得更加复杂。为了将 FortiGate 设备配置为使用到互联网的多重连
接,您必须为从内部网络到每个连接到互联网的接口的连接方式创建双重的策略。而
且,您添加了冗余策略后,还需要在两个策略列表中将他们按照相同的顺序排列。
限制到单一互联网连接的访问
在某些情况下,您可能希望将一些通讯限制为仅能通过一个到互联网的线路进行连
接。例如,在 第 37 页 图 8 所示的拓扑结构中,该机构可能希望只有通过 ISP1 的
到 SMTP 服务器可以连接到他们的邮件服务器。为此,您需要为 SMTP 连接添加一个内
部 -> 外部防火墙策略。因为没有添加冗余策略,来自内部网络的 SMTP 通讯总是连接
到 ISP1。如果到 ISP1 的连接失败,SMTP 连接就无法建立。
42
美国飞塔有限公司
透明模式安装
本章说明了如何进行透明模式的安装。如果要在 FortiGate NAT/ 路由模式下安装
FortiGate ,请参 阅 第 29 页 “ NAT/ 路由 模式安装” 如果您要在 HA 模式下安装
两个或多个 FortiGate ,请参阅 第 55 页 “ 高可用性” 。
本章叙述了以下内容:
·准备配置透明模式
·使用安装向导
·使用前面板控制按钮和 LCD
·使用命令行接口
·完成配置
·将 FortiGate 连接到网络中
·透明模式配置的例子
FortiGate-300 安装和配置指南 2.50 版
准备配置透明模式
表 16: 透明模式设置
管理员密码:
管理用 IP 地址
DNS 设置:
使用安装向导
到基于 Web 的管理程序,请参阅 第 18 页 “ 连接到基于 Web 的管理程序” 。
使用 表 16 收集您设置 NAT/ 路由 模式配置所需的信息。
IP:
子网掩码:
默认网关:
管理 FortiGate 的网络中的管理 IP 地址和子网掩码必须有效。如
FortiGate 须连接到路由器来到达控制电脑,则需填入缺省网关地址。
主 DNS 服务器 :
辅助 DNS 服务器 :
从 基于 Web 的管理程序 ,使用安装向导来建立您 FortiGate 的初始配置。欲连接
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
_____._____._____._____
FortiGate-300 安装和配置指南
43
使用前面板控制按钮和 LCD 透明模式安装
切换到透明模式
当首次连接到 FortiGate 时,它被预设在 NAT/ 路由模式下运行。欲切换为透明模
式需使用基于 Web 的管理程序 :
1 进入系统 > 状态。
2 单击 更改 以切换到透明模式。
3 在操作模式列表中选择 透明模式 。
4 单击 确定 。
至此,FortiGate 已切换为透明模式。
要重新连接到基于 Web 的管理程序,需要将您的管理员电脑的 IP 地址改为
10.10.10.2。然后连接到内部接口或 DMZ/HA 接口,用浏览器访问 https:// 后边跟上
透明模式的管理 IP 地址。默认的 FortiGate 透明模式管理 IP 地址是 10.10.10.1。
启动安装向导
按以下步骤启动安装向导:
1 选择简易安装向导 ( 基于 Web 的管理程序右上方中间的按钮 )。
2 根据 第 43 页 表 16 中所获得的信息进行设置,单击下一步按顺序逐步完成安装向
导的若干页面。
3 保您的输入无误后按完成按钮结束。
重连接到 基于 Web 的管理程序
如果使用安装向导更换内部接口的 IP 地址,必须使用新 IP 地址重连接到基于 Web
的管理程序上。流览 https:// 跟着管理接口的新 IP 地址。或者,您也可通过
https://10.10.10.1。 重连到基于 Web 的管理程序。如果要通过一路由器连接到管理
接口 , 请确保在管理 IP 缺省网关域里填入此路由器的缺省网关值。
使用前面板控制按钮和 LCD
以下步骤描述了如何使用控制按钮和 LCD 配置透明模式下的 IP 地址。使用您在
第 43 页 表 16 中记录的信息完成如下步骤。从 LCD 上显示的主菜单开始,使用前面
板的控制按钮和 LCD:
1 按回车键三次来配置管理 的 IP 地址。
2 设置管理接口的 IP 地址。
使用上箭头和下箭头增加或减少 IP 地址中每位的值。按回车到下一位。按退出(
Esc) 回到前一位。
注意:当输入 IP 地址时 , 每部分地址将成 三位数字显示在 LCD 上。例如,IP 地址
192.168.100.1 在 LCD 上显为 192.168.100.001。 IP 地址 192.168.23.45 显为
192.168.023.045。
44
3 在输入完最后一位 IP 地址后按回车。
4 用向下箭头选择子网掩码。
美国飞塔有限公司
透明模式安装 使用命令行接口
5 按回车并设置内部子网掩码。
6 在输入完最后一位子网掩码地址后按回车。
7 按 退出(Esc)返回主菜单。
8 如需要,重复如上步骤来设置缺省网关。
使用命令行接口
除了使用连接向导以外,您还可以使用命令行接口 (CLI)配置 FortiGate。要连
接到 CLI 接口,请参阅 第 19 页 “ 连接到命令行接口 (CLI)” 。使用您在 第 43
页 表 16 中收集的信息完成以下步骤。
切换到透明模式
1 如果您还没有登录,首先登录到 CLI。
2 切换到透明模式。输入:
set system opmode transparent
几秒种后,会出现登录提示。
3 输入 admin 然后回车。
将出现以下提示:
Type ? for a list of commands.
4 确认 FortiGate 已经切换到了透明模式。输入:
get system status
CLI 显示 FortiGate 的状态。最后一行显示了当前的操作模式。
Operation mode: Transparent
配置透明模式的管理 IP 地址
1 如果您还没有登录,首先登录到 CLI。
2 将管理用 IP 地址和网络掩码设置为您在 第 43 页 表 16 。输入:
set system management ip <IP 地址 > < 网络掩码 >
例如
set system management ip 10.10.10.2 255.255.255.0
3 确认地址是正确的。输入:
get system management
CLI 列出管理 IP 地址和网络掩码。
配置透明模式的默认网关
1 如果您还没有登录,首先登录到 CLI。
2 将默认路由设置为您在 第 43 页 表 16 中记录的 IP 地址和网络掩码。输入:
set system route number <
例如
set system route
编号
number 0 gw1
> gw1 <IP
204.23.1.2
地址
>
FortiGate-300 安装和配置指南
现在您已经完成了 FortiGate 的初始设置。
45
完成配置 透明模式安装
完成配置
根据用本节内容来完成 FortiGate 的初始配置。
设置日期和时间
为了有效的安排日程和记录日志, FortiGate 的日期和时间必须精确。 您可手动
设置时间,或通过配置 FortiGate 来自动与网络时间协议服务器 (NTP) 同步从而更正
时间。
设置 FortiGate 日期和时间,请参阅 第 127 页 “ 设置系统日期和时间” 。
启用防病毒保护
按以下步骤启用防病毒保护,可以防止您的内部网络中的用户从互联网上下载病
毒:
1 进入 防火墙 > 策略 > 内部 -> 外部。
2 单击编辑 以编辑这个策略。
3 单击 防病毒和网络过滤,以启用这个策略的防病毒防火墙功能。
4 选择扫描型内容配置文件。
5 单击确定以保存您所做的修改。
注册 FortiGate 设备
在购买和安装了一个新的 FortiGate 设备之后,您可以进入 系统 > 更新 > 支持来
注册您的设备,或者使用网页浏览器连接到 http://support.fortinet.com 然后选择
产品注册。
注册内容包括您的联系方式、您或者您所在的机构购买的 FortiGate 设备的产品序
列号。注册过程非常方便快捷。您可以一次就注册多个 FortiGate 设备,而无须重复
输入您的联系方式。
关于注册的更多信息,请见 第 100 页 “ 注册 FortiGate 设备” 。
配置防病毒和攻击定义更新
您可以进入 系统 > 更新 以配置 FortiGate 设备的自动检查新版本的防病毒定义和
攻击定义。如果它发现了新的版本,FortiGate 设备会自动下载和安装更新的定义。
FortiGate 设备使用 8890 端口的 HTTPS 方式连接去检查更新。FortiGate 外部接口
必须能够使用 8890 端口访问 Forti 响应发布网络 (FDN)。
要配置自动防病毒和攻击定义更新,请访问 第 91 页 “ 病毒防护定义和攻击
定义更新” 。
将 FortiGate 连接到网络中
在完成了初始配置之后,您可以在内部网络和互联网之间连接 FortiGate-300 了。
46
美国飞塔有限公司
透明模式安装 将 FortiGate 连接到网络中
FortiGate-300 有三个 10/100 BaseTX 接口:
·内部接口,用于连接到您的内部网络,
·外部接口 , 用于连接到互联网,
·DMZ/HA 接口 , 用于连接到其他网络。
按以下方式连接运行于透明模式的 FortiGate-300:
1 将内部接口连接到您的内部网络的交换机或集线器上,
2 将外部接口连接到互联网上。
连接到 ISP 服务商提供的公共交换机和路由器上。
3 将 DMZ/HA 接口连接到其他网络的集线器或交换机上。
图 9: FortiGate-300 透明模式连接
FortiGate-300 安装和配置指南
在透明模式下,FortiGate 不改变网络的第三层拓扑结构。这意味着它的所有接口
在相同的子网中,并且对于其他设备来说它相当于一个网桥。FortiGate 透明模式的一
个典型的应用是在一个已有的防火墙配置后面提供防病毒和内容扫描。
透明模式的 FortiGate 也可以提供防火墙功能,尽管它不是第三层拓扑结构中的一
部分,但是它可以检验第三层头信息以决定是否阻塞或允许流通。
47
透明模式配置的例子 透明模式安装
透明模式配置的例子
运行于透明模式的 FortiGate 也需要一个基本配置,以成为 IP 网络中的一个结
点。至少,FortiGate 必须配置一个 IP 地址和子网掩码。它们可以用来对 FortiGate
进行管理访问,并允许 FortiGate 进行防病毒和攻击定义的更新。另外,FortiGate 必
须有足够的信息达到:
·管理员电脑,
·Forti 响应发布网络 (FDN),
·DNS 服务器。
无论何时,FortiGate 都需要一个路由配置以连接到路由器,从而连接到目的地
址。如果所有的目的地址都在外部网络中,您可能只需要输入一个默认路由。然而,
如果网络拓扑比较复杂,您可能需要再输入一个或多个路由。
本节描述了:
·默认路由和静态路由
·到外部网络的默认路由的例子
·到外部目的地址的静态路由的例子
·到内部目的地址的静态路由的例子
默认路由和静态路由
要创建到一个目的地的路由,您需要根据 IP 网络地址和相应的网络掩码定义一个
IP 前缀。一个默认的路由匹配任何前缀,可以将数据流转发到下一个路由器 (或默认
网关)。一个静态的路由匹配特定的前缀,并将数据流转发到下一个路由器。
默认路由的例子 :
IP 前缀 0.0.0.0 (IP 地址 )
0.0.0.0 ( 网络掩码 )
下一个跳跃 192.168.1.2
静态路由的例子
IP 前缀 172.100.100.0 (IP 地址 )
255.255.255.0 ( 网络掩码 )
下一个跳跃 192.168.1.2
注意:在 FortiGate 中添加路由时,最后添加默认路由,使它出现在路由表的底部。
这可以保证 FortiGate 先匹配特定的路由,最后再选择默认路由。
:
到外部网络的默认路由的例子
48
图 10 展示了 FortiGate 中包括管理站点在内的所有目的地址都位于外部网络的例
子。要达到这些地址,FortiGate 必须连接到通向外部网络的上游路由器。为了便于连
接,您需要输入单一的默认路由指向上游路由器,使之成为下一个跳跃 / 默认网关。
美国飞塔有限公司
透明模式安装 透明模式配置的例子
图 10: 到外部网络的默认路由
1 将 FortiGate 设置为透明模式。
2 配置 FortiGate 的管理 IP 地址和网络掩码。
3 配置到外部网络的默认路由。
FortiGate-300 安装和配置指南
通用配置步骤
49
透明模式配置的例子 透明模式安装
基于 Web 的管理程序配置步骤的例子
使用基于 Web 的管理程序配置基本的透明模式设置和默认路由:
1 进入 系统 > 状态。
·选择切换到透明模式。
·在操作模式列表中选择 透明。
·单击 确定。
FortiGate 已切换到透明模式。
2 进入 系统 > 网络 > 管理。
·修改管理 IP 地址和网络掩码:
IP: 192.168.1.1
掩码 : 255.255.255.0
·单击 应用。
3 进入系统 > 网络 > 路由。
·单击 新建 添加到外部网络的默认路由。
IP: 0.0.0.0
掩码 : 0.0.0.0
网关 : 192.168.1.2
·单击 确定。
CLI 配置步骤
要使用 CLI 配置 FortiGate 基本设置和路由:
1 将系统操作模式修改为透明模式。ode.
set system opmode transparent
2 添加管理 IP 地址和掩码。
set system management ip 192.168.1.1 255.255.255.0
3 添加到外部网络的默认路由。
set system route number 1 gw1 192.168.1.2
到外部目的地址的静态路由的例子
图 11 展示了需要到 FDN 的路由的 FortiGate 配置的例子。FortiGate 不需要到
DNS 服务器或管理工作站的路由,因为它们位于内部网络中。
要连接到 FDN,您只需要输入一个到外部网络的默认路由。然而如果您希望使用更
加安全的方法,除了到外部网络的默认路由外,还可以输入到一个特定 FortiResponse
服务器的静态路由。如果静态路由不可用 (可能是因为 Fortiresponse 服务器的 IP 地
址发生了变化),FortiGate 仍可以使用默认路由接收防病毒和 NIDS 更新。
注意:这只是一个配置举例。要配置静态路由,您需要一个 IP 地址。
50
美国飞塔有限公司
透明模式安装 透明模式配置的例子
图 11: 到外部地址的静态路由
1 将 FortiGate 设置为透明模式。
2 配置 FortiGate 的管理 IP 地址和网络掩码。
3 配置到 FortiResponse 服务器的静态路由。
4 配置到外部网络的默认路由。
1 进入 系统 > 状态。
FortiGate-300 安装和配置指南
通用配置步骤
基于 Web 的管理程序配置步骤
要使用基于 Web 的管理程序配置基本的 FortiGate 设置和静态路由:
·选择 切换到透明模式。
·在操作模式列表中选择透明。
·单击 确定。
FortiGate 现在已经切换到透明模式。
51
透明模式配置的例子 透明模式安装
2 进入 系统 > 网络 > 管理。
·修改管理 IP 地址和网络掩码:
IP: 192.168.1.1
掩码 : 255.255.255.0
·单击 应用。
3 进入 系统 > 网络 > 路由。
·选择新建 添加到 FortiResponse 服务器的静态路由。
IP: 24.102.233.5
掩码 : 255.255.255.0
网关 : 192.168.1.2
·单击 确定。
·选择新建 添加到外部网络的默认路由。
IP: 0.0.0.0
掩码 : 0.0.0.0
网关 : 192.168.1.2
·单击 确定。
CLI 配置步骤
要使用 CLI 配置 FortiGate 基本设置和静态路由:
1 将系统操作模式设置为透明模式。
set system opmode transparent
2 添加管理 IP 地址和网络掩码。
set system management ip 192.168.1.1 255.255.255.0
3 添加到主 FortiResponse 服务器的静态路由。
set system route number 1 dst 24.102.233.5 255.255.255.0 gw1
192.168.1.2
4 添加到外部网络的默认路由。
set system route number 2 gw1 192.168.1.2
到内部目的地址的静态路由的例子
图 12 展示了 FDN 位于一个外部子网而管理工作站位于一个远程的内部子网的
FortiGate 连接的例子。要达到 FDN,您需要输入一个默认路由指向作为下一个跳跃 /
默认网关的上游路由器。要达到管理工作站,您需要输入一个静态路由定向到它。这
个路由指向内部路由器,并将其作为路由的下一个跳跃。(因为 DNS 服务器和
FortiGate 位于相同的第三层子网中,所以不需要为它们设置路由)。
52
美国飞塔有限公司
透明模式安装 透明模式配置的例子
图 12: 到内部目的地址的静态路由
1 将 FortiGate 切换到透明模式。
2 配置 FortiGate 的管理 IP 地址和网络掩码。
3 配置到内部网络中的管理工作站的静态路由。
4 配置到外部网络的默认路由。
FortiGate-300 安装和配置指南
通用配置步骤
53
透明模式配置的例子 透明模式安装
基于 Web 的管理程序的配置步骤举例
要使用基于 Web 的管理程序配置 FortiGate 基本设置、静态路由和默认路由:
1 进入 系统 > 状态。
·选择切换到透明模式。
·在操作模式列表中选择透明模式。
·单击 确定。
FortiGate 已经切换到透明模式。
2 进入 系统 > 网络 > 管理。
·修改管理 IP 和网络掩码:
IP: 192.168.1.1
掩码 : 255.255.255.0
·单击 应用。
3 进入 系统 > 网络 > 路由。
·选择新建 添加到管理工作站的静态路由。
IP: 172.16.1.11
掩码 : 255.255.255.0
网关 : 192.168.1.3
·单击 确定。
·选择新建添加到外部网络的默认路由。
IP: 0.0.0.0
掩码 : 0.0.0.0
网关 : 192.168.1.2
·单击 确定。
54
CLI 配置步骤
使用 CLI 配置 FortiGate 基本设置和静态路由、默认路由:
1 将系统操作模式设置为透明模式。
set system opmode transparent
2 添加管理 IP 地址和掩码。
set system management ip 192.168.1.1 255.255.255.0
3 添加到管理工作站的静态路由。
set system route number 1 dst 172.16.1.11 255.255.255.0 gw1
192.168.1.3
4 添加到外部网络的默认路由。
set system route number 2 gw1 192.168.1.2
美国飞塔有限公司
高可用性
FortiGate-300 安装和配置指南 2.50 版
Fortinet 通过使用冗余的硬件设备和 FortiGate 聚合协议 (FGCP)实现高可用性
(HA)的目标。HA 簇中的 FortiGate 设备全部使用完全相同的安全策略,并共享同样
的设置内容。您可以在一个 HA 簇中最多加入 32 个 FortiGate 设备。HA 簇中的每个
FortiGate 设备必须是同一型号的,并且运行同一版本的 FortiOS 固件映像。
FortiGate HA 是一种设备冗余。如果 HA 簇中的某个 FortiGate 设备出现故障而失
效,这个设备的全部功能、所有已经建立的防火墙连接和所有 IPSec VPN 会话
个 HA 簇中的其他 FortiGate 设备维持。
在这个 HA 簇中的 FortiGate 设备使用专用的 HA 以太网接口进行簇会话信息通讯和
报告各自的系统状态。这个 HA 簇中的设备会一直进行 HA 状态信息通讯以保证 HA 簇工
作正常。因此,在这个 HA 簇中全部 FortiGate 设备的 HA 接口之间的连接必须妥善地
维护。这些通讯的任何中断都将导致不可预知的后果。
您可以连接到主 FortiGate 的任何接口去管理 HA 簇。
FortiGate 设备可以设置为以主动 - 被动(A-P)模式或主动 - 主动(A-A)模式
运行。NAT/ 路由模式和透明模式下的 FortiGate 设备都支持主动 - 主动模式和主动 -
被动模式的 HA。
本章提供了一个关于 HA 功能的概述,并描述了在 NAT/ 路由模式和透明模式下如何
创建一个 HA 簇。
1
将由这
主动 - 被动 HA
FortiGate-300 安装和配置指南
·主动 - 被动 HA
·主动 - 主动 HA
·NAT/ 路由模式下的 HA
·透明模式下的 HA
·管理 HA 组
·高级 HA 选项
主动 - 被动 (A-P) 式的 HA,也可以称作热备份型的 HA,它包含了一个负责处理通
讯的主 FortiGate 设备,和一个或多个不处理通讯的附属 FortiGate 设备。附属
FortiGate 设备通过网络与主 FortiGate 设备连接。
在启动过程中,同一个 HA 簇中的成员会彼此协商,以选出一个主设备。主设备可
以允许其他 FortiGate 设备作为附属设备加入这个 HA 簇,并为每个附属设备分配优先
权。
1.HA 不能为 PPPoE, DHCP, PPTP, 和 L2TP 服务提供会话失效恢复。
55
主动 - 主动 HA 高可用性
主 FortiGate 设备通过 FortiGate HA 接口向附属设备发送会话信息。在同一个 HA
簇中的所有设备共同维护所有的会话信息。如果主 FortiGate 设备失效了,附属设备
会互相协商选出一个新的主设备。新的主设备负责恢复所有已经建立的连接。
在失效恢复期间,HA 组会通知附近的网络设备,以使得整个网络可以迅速地转换
到新的数据路径中。新的主设备还会将 HA 簇中发生的变动通知管理员。它会在它自己
的事件日志中写入一条消息,发送一个 SNMP 陷阱 (如果启用了 SNMP),并且发送一个
报警邮件。
如果一个附属的 FortiGate 设备失效了,主 FortiGate 设备会在它自己的事件日志
中写入一条消息,发送一个 SNMP 陷阱和一个报警邮件。主 FortiGate 设备还将调整 HA
簇中剩下的设备的优先级。
主动 - 主动 HA
主动 - 主动(A-A)HA 为同一个 HA 簇中的所有 FortiGate 设备提供负载均衡。一
个主动 - 主动 HA 簇包括一个主动 FortiGate 设备和一个或多个附属 FortiGate 设备,
所有设备全都参与通讯的处理。主 FortiGate 设备使用一个负载均衡算法将会话分配
到 HA 簇中的每个 FortiGate 设备中去。
在主动 - 主动 HA 模式下,主设备使用下面所列出的算法之一在 HA 簇的成员设备中
分配网络会话。
表 17: 主动 - 主动 HA 负载均衡算法
算法 说明
无 无负载均衡。当 HA 簇接口连接到负载均衡交换机上时使用此选项。
集线器 当 HA 簇接口连接到集线器上时使用此选项。根据包的源 IP 和目的 IP
最小连接 将通讯分配到同一簇的不同设备中,使得每个设备上所承担的连接最
循环 依次将每个通讯分配到 HA 簇中的一个设备上。
加权循环 类似于循环算法,但是为 HA 簇中的每个设备根据他们的容量计权。例
随机 将通讯随机分配到 HA 簇中的设备上。
IP 根据包的源 IP 地址和目的 IP 地址将通讯分配到 HA 簇的设备上。
IP 端口 根据包的源 IP 地址、目的 IP 地址、源端口、目的端口将通讯分配到
地址将通讯分配到同一簇的不同设备上。
少。
如,主设备应该具有最低的权重,因为它要负责处理和分配通讯连接。
HA 簇的设备上。
HA 簇的成员在启动过程中协商推选出主设备。主设备可以允许其他 FortiGate 设
备作为附属设备加入这个 HA 簇,并为每个附属设备分配优先权。
FortiGate 设备通过 FortiGate HA 接口传输状态和会话信息。在同一个 HA 簇中的
所有设备共同维护所有的会话信息。在使用负载均衡的工作模式下,主 FortiGate 设
备将数据包转发到附属设备,它将数据包从收到数据包的那个接口发送到附属
FortiGate 设备的对应的接口上。
如果主设备失效,在已经失效的主设备上注册的第一个附属设备将成为新的主设
备。新的主设备会通知其他的 FortiGate 设备它已经成为主设备,并重新设置剩下的
附属设备的优先级。新的主设备还将重新分配 HA 簇中的每个设备所负担的通讯会话。
56
美国飞塔有限公司
高可用性 NAT/ 路由模式下的 HA
在失效恢复期间,HA 组会通知附近的网络设备,以使得整个网络可以迅速地转换
到新的数据路径中。新的主设备还会将 HA 簇中发生的变动通知管理员。它会在它自己
的事件日志中写入一条消息,发送一个 SNMP 陷阱 (如果启用了 SNMP),并且发送一个
报警邮件。
如果一个附属的 FortiGate 设备失效了,主 FortiGate 设备会在它自己的事件日志
中写入一条消息,发送一个 SNMP 陷阱和一个报警邮件。主 FortiGate 设备还将调整 HA
簇中剩下的设备的优先级。
NAT/ 路由模式下的 HA
按照以下步骤将 NAT/ 路由模式下的一组 FortiGate 设备配置以 HA 方式工作。
·安装和配置 FortiGate 设备
·配置 HA 接口
·配置 HA 簇
·将 HA 簇连接到您的网络
·启动 HA 簇
安装和配置 FortiGate 设备
配置 HA 接口
1 连接 FortiGate 设备,并登录基于 Web 的管理程序。
2 进入 系统 > 网络 > 接口。
3 对于 DMZ/HA 接口,单击修改 。
4 选择 工作于 HA ,把 DMZ/HA 接口配置为 HA 模式。
5 根据需要修改 IP 地址和子网掩码。
6 选择这个 HA 接口的管理访问模式:
按照 第 29 页 “ NAT/ 路由 模式安装” 的指示安装和配置 FortiGate 设备。HA
组中的所有 FortiGates 应具有相同的配置。在完成 “配置 HA 接口”之前,先不要将
FortiGate 设备接入网络。
将 HA 簇中的全部 FortiGate-300 的 DMZ/HA 接口配置为 HA 模式。当您将 DMZ/HA 接
口配置为 HA 模式的时候,系统 > 配置 >HA 选项变成活动状态。在 HA 模式下运行时,
DMZ/HA 接口不能连接到 DMZ 网络,因为它们是 HA 通讯专用的。
每个 FortiGate-300 的 DMZ/HA 接口必须配置不同的 IP 地址。DMZ/HA 接口的 IP 地
址必须在同一子网内,并且他们必须配置为可以进行管理访问。
对 HA 组中的所有 FortiGate 重复以下操作:
HTTPS 允许通过这个接口建立到基于 Web 的管理程序的安全的 HTTPS 连接。
PING 如果您希望这个接口响应 PING 请求,则选中此选项。这一设置可以用来验证您的安
装和进行网络测试。
HTTP 允许通过此接口建立到基于 Web 的管理程序的 HTTP 连接。HTTP 连接并不安全,有
可能被第三方截获。
FortiGate-300 安装和配置指南
57
NAT/ 路由模式下的 HA 高可用性
SSH 允许通过此接口建立到 CLI 的 SSH 连接。
SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息。
TELNET 允许通过此接口建立到 CLI 的 Telnet 连接。Telnet 连接并不安全,有可能被第三
方截获。
7 单击应用。
现在您已经完成了对 HA 接口的配置,可以进入下一步 “配置 HA 簇”。
配置 HA 簇
按照以下步骤配置 HA 簇中的 FortiGate。对于 HA 簇中的每一台 FortiGate 都需重
复这些步骤。
注意:以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备。
您还可以使用 第 59 页 “ 将 HA 簇连接到您的网络” 中的步骤先将 HA 簇连接到您的网络。
1 连接到 FortiGate 设备并登录基于 Web 的管理程序。
2 进入 系统 > 配置 > HA。
3 单击 HA。
只有在 DMZ/HA 接口已经配置为 HA 操作模式之后您才能选择 HA。见 第 57 页 “
配置 HA 接口” 。
4 选择 HA 模式。
选择 主动 - 被动模式 可以创建一个主动 - 被动的 HA 组。HA 组中的一台 FortiGate 处
于主动模式,处理所有的连接,其它的 FortiGate 处于被动模式,监视主动 FortiGate
的状态并保持与主动设备同步。
选择主动 - 主动模式可以创建一个主动 - 主动的 HA 组。在这个 HA 组中,每一台
FortiGate 都主动地处理连接并监视其它的 FortiGate 的状态。
在 HA 簇中的全部 FortiGate 设备的 HA 模式必须相同。
5 为这个 HA 簇设置一个密码。
在这个 HA 簇中,所有的密码必须相同。
6 为这个 HA 簇选择一个组 ID。
在这个 HA 中的所有 FortiGate 必须使用相同的组 ID。
7 如果您将设备配置为以主动 - 主动 HA 模式工作,选择一个负载均衡算法。
算法控制主动 - 主动 HA 簇中的 FortiGate 设备之间的负载均衡。在这个 HA 簇中的所
有 FortiGate 设备的负载均衡算法必须相同。
无 无负载均衡。当 HA 簇接口连接到负载均衡交换机上时使用此选项。
集线器 用于集线器的负载均衡。当 HA 簇接口连接到集线器上时使用此选项。根
最小连接 最小连接负载均衡。如果 FortiGate 设备使用交换机连接,选择最小连
循环 循环负载均衡。如果 FortiGate 设备使用交换机连接,选择循环负载均
据包的源 IP 和目的 IP 地址将通讯分配到同一簇的不同设备上。
接负载均衡可以将通讯分配到同一簇的不同设备中,使得每个设备上所
承担的连接最少。
衡可以依次将每个通讯分配到 HA 簇中的一个设备上。
58
美国飞塔有限公司
高可用性 NAT/ 路由模式下的 HA
加权循环 加权循环负载均衡。类似于循环算法,但它是为 HA 簇中的每个设备根据
随机 随机负载均衡。如果 FortiGate 设备使用交换机连接,选择随机负载均
IP 根据 IP 地址的负载均衡。如果 FortiGate 设备使用交换机连接,选择
IP 端口 根据 IP 地址和端口的负载均衡。如果 FortiGate 设备使用交换机连接,
他们的容量和其当前处理的连接数计权。例如,主设备应该具有最低的
权重,因为它要负责处理和分配通讯连接。加权循环负载均衡能够将通
讯分配得更加均匀,因为处理较少通讯的设备将比处理较多通讯的设备
更容易被分配到通讯连接。
衡可以将通讯随机分配到 HA 簇中的设备上。
IP 负载均衡可以根据包的源 IP 地址和目的 IP 地址将通讯分配到 HA 簇
的设备上。
选择 IP 和端口负载均衡可以根据包的源 IP 地址、目的 IP 地址、源端
口、目的端口将通讯分配到 HA 簇的设备上。
8 在 端口监视器 的选项中,选择要监视的的 FortiGate 网络接口的名称。
监视 FortiGate 接口可以确认它们是否已经连接到他们的网络上并且工作正常。如果
一个被监视的接口失效或者从它的网络断开,FortiGate 设备将停止处理通讯并从这个
HA 簇中删除。如果您重建通过这个接口的通讯流 (例如,如果您重新连接了一个断开
的线缆),FortiGate 设备将重新加入 HA 簇。您只能监视连接到网络的接口。
9 单击应用。
FortiGate 设备相互协商以建立一个 HA 簇。当您选择了应用之后,在 HA 簇协商期间您
可能会暂时丢失到 FortiGate 设备的连接。
图 13: 主动 - 主动 HA 配置举例
10 对于 HA 簇中的每个 FortiGate 重复以上操作。
将 HA 簇连接到您的网络
FortiGate-300 安装和配置指南
当您配置完全部的 FortiGate 设备之后,可以进行 “将 HA 簇连接到您的网络”操作。
要将 HA 簇接入您的网络,您必须将 HA 簇内所有对应的接口连接到同一个集线器或
交换机上。然后您必须将这些接口通过相同的交换机或集线器分别连接到对应的网络
上。
59
NAT/ 路由模式下的 HA 高可用性
还有,您必须将这一 HA 簇中所有的 HA 接口连接到同一交换机或集线器上。您还需
要将一台管理员电脑连接到这个交换机或集线器上。这个簇中的设备将一直进行 HA 状
态通讯以确保簇工作正常。因此,这个簇中全部 FortiGate 设备的 HA 接口之间的连接
必须妥善地维护。这个通讯的任何中断都将导致不可预料的后果。
建议您使用交换机以提高网络的性能。
无论您将 FortiGate 设备配置为主动 - 主动 HA 模式或主动 - 被动 HA 模式,所需的
网络设备和配置的步骤都十分相似。
以下操作用于把 FortiGate 连接到您的网络上:
1 将每一台 FortiGate 的内部网络接口都连接到一个与您的部网络相连的交换机或者集
线器上。
2 将每一台 FortiGate 的外部网络接口都连接到一个与您外部网络相连的交换机或者集
线器上。
3 把 FortiGates 的 DMZ/HA 接口连接到一台单独的交换机或者集线器上。
图 14: HA 网络配置
60
当您连接完 HA 簇之后,可以进行 “启动 HA 簇”操作。
美国飞塔有限公司
高可用性 透明模式下的 HA
启动 HA 簇
将 HA 簇中的全部 FortiGate 设备都配置为 HA 并且将这个簇连接起来之后,可以使
用以下操作启动 HA 簇。
1 为簇中的所有 HA 设备加电。
在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商过程是自动进
行的,无须用户干预。
当协商完成后,这个簇已经准备好处理网络通讯了,您可以使用 第 64 页 “ 管理
HA 组” 中的信息在这个簇登录和进行管理。
透明模式下的 HA
按照如下步骤将运行于透明模式的 FortiGate 设备配置成 HA 簇。
·安装和配置 FortiGate 设备
·配置 HA 接口和 IP 地址
·配置 HA 簇
·将 HA 簇连接到您的网络中
·启动 HA 簇
安装和配置 FortiGate 设备
按照 第 29 页 “ NAT/ 路由 模式安装” 的指示安装和配置 FortiGate 设备。HA
组中的所有 FortiGates 应具有相同的配置。在完成 “配置 HA 接口”之前,先不要将
FortiGate 设备接入网络。
配置 HA 接口和 IP 地址
将 HA 簇中的全部 FortiGate-300 的 DMZ/HA 接口配置为 HA 模式。当您将 DMZ/HA 接
口配置为 HA 模式的时候,系统 > 配置 >HA 选项必须设置为活动。在 HA 模式下运行时,
DMZ/HA 接口不能连接到 DMZ 网络,因为它们是 HA 通讯专用的。
每个 FortiGate-300 的 DMZ/HA 接口必须配置不同的 IP 地址。DMZ/HA 接口的 IP 地
址必须在同一子网内,并且他们必须配置为可以进行管理访问。
对 HA 组中的所有 FortiGate 重复以下操作:
1 连接 FortiGate 设备,并登录 基于 Web 的管理程序。
2 进入 系统 > 网络 > 接口。
3 对于 DMZ/HA 接口,选择 工作于 HA ,把 DMZ/HA 接口配置为 HA 模式。
4 设置 DMZ/HA 接口的管理访问模式。
HTTPS 允许通过这个接口建立到基于 Web 的管理程序的安全的 HTTPS 连接。
PING 如果您希望这个接口响应 PING 请求,则选中此选项。这一设置可以用来验证您的安
HTTP 允许通过此接口建立到基于 Web 的管理程序的 HTTP 连接。HTTP 连接并不安全,有
SSH 允许通过此接口建立到 CLI 的 SSH 连接。
装和进行网络测试。
可能被第三方截获。
FortiGate-300 安装和配置指南
61
透明模式下的 HA 高可用性
SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息。
TELNET 允许通过此接口建立到 CLI 的 Telnet 连接。Telnet 连接并不安全,有可能被第三
方截获。
5 根据需要修改 IP 地址和子网掩码。
6 可以选择配置其他接口的管理访问方式。
7 单击应用。
现在您已经完成了对 HA 接口的配置,可以进入下一步 “配置 HA 簇”。
配置 HA 簇
在将 HA 簇连接到您的网络之前,按照如下步骤为每个 FortiGate 设备配置 HA。
注意:以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备。
您还可以使用 第 63 页 “ 将 HA 簇连接到您的网络中” 中的步骤先将 HA 簇连接到您的网络。
1 连接到 FortiGate 设备并登录进基于 Web 的管理程序。
2 进入 系统 > 配置 > HA。
3 单击 HA。
只有在 DMZ/HA 接口已经配置为 HA 操作模式之后您才能选择 HA。见 第 61 页 “
配置 HA 接口和 IP 地址” 。
4 选择 HA 模式。
选择 主动 - 被动模式 可以创建一个主动 - 被动的 HA 组。HA 组中的一台 FortiGate 处
于主动模式,处理所有的连接,其它的 FortiGate 处于被动模式,监视主动 FortiGate
的状态并保持与主动设备同步。
选择主动 - 主动模式可以创建一个主动 - 主动的 HA 组。在这个 HA 组中,每一台
FortiGate 都主动地处理连接并监视其它的 FortiGate 的状态。
在这个 HA 簇中的全部 FortiGate 设备的 HA 模式必须相同。
62
5 为这个 HA 簇设置一个密码。
在这个 HA 簇中,所有的密码必须相同。
6 为这个 HA 簇选择一个组 ID。
在这个 HA 中的所有 FortiGate 必须使用相同的组 ID。
7 如果您将设备配置为以主动 - 主动 HA 模式工作,选择一个负载均衡算法。
算法控制主动 - 主动 HA 簇中的 FortiGate 设备之间的负载均衡。在这个 HA 簇中的所
有 FortiGate 设备的负载均衡算法必须相同。
无 无负载均衡。当 HA 簇接口连接到负载均衡交换机上时使用此选项。
集线器 用于集线器的负载均衡。当 HA 簇接口连接到集线器上时使用此选项。根
据包的源 IP 和目的 IP 地址将通讯分配到同一簇的不同设备上。
最小连接 最小连接负载均衡。如果 FortiGate 设备使用交换机连接,选择最小连
接负载均衡可以将通讯分配到同一簇的不同设备中,使得每个设备上所
承担的连接最少。
循环 循环负载均衡。如果 FortiGate 设备使用交换机连接,选择循环负载均
衡可以依次将每个通讯分配到 HA 簇中的一个设备上。
美国飞塔有限公司
高可用性 透明模式下的 HA
加权循环 加权循环负载均衡。类似于循环算法,但是为 HA 簇中的每个设备根据他
随机 随机负载均衡。如果 FortiGate 设备使用交换机连接,选择随机负载均
IP 根据 IP 地址的负载均衡。如果 FortiGate 设备使用交换机连接,选择
IP 端口 根据 IP 地址和端口的负载均衡。如果 FortiGate 设备使用交换机连接,
们的容量和他们当前处理的连接数计权。例如,主设备应该具有最低的
权重,因为它要负责处理和分配通讯连接。加权循环负载均衡能够将通
讯分配得更加均匀,因为处理的通讯少的设备将比任务重的设备更容易
被分配到通讯连接。
衡可以将通讯随机分配到 HA 簇中的设备上。
IP 负载均衡可以根据包的源 IP 地址和目的 IP 地址将通讯分配到 HA 簇
的设备上。
选择 IP 和端口负载均衡可以根据包的源 IP 地址、目的 IP 地址、源端
口、目的端口将通讯分配到 HA 簇的设备上。
8 在 端口监视器 的选项中,选择要监视的的 FortiGate 网络端口。
监视 FortiGate 接口可以确认它们是否已经连接到他们的网络上并且工作正常。如果
一个被监视的接口失效或者从它的网络断开,FortiGate 设备将停止处理通讯并从这个
HA 簇中删除。如果您重建通过这个接口的通讯流 (例如,如果您重新连接了一个断开
的线缆),FortiGate 设备将重新加入 HA 簇。您只能监视连接到网络的接口。
9 单击应用。
FortiGate 设备相互协商以建立一个 HA 簇。当您选择了应用之后,在 HA 簇协商期间您
可能会暂时丢失到 FortiGate 设备的连接。
图 15: 主动 - 被动 HA 配置举例
10 对 HA 簇中的每个 FortiGate 设备重复以上操作。
将 HA 簇连接到您的网络中
FortiGate-300 安装和配置指南
当您完成了对每个 FortiGate 设备的配置工作之后,可以进入下一步 “将 HA 簇
连接到您的网络中”。
要将 HA 簇接入您的网络,必须将 HA 簇内所有对应的接口连接到同一个集线器或交
换机上。然后您必须将这些接口通过相同的交换机或集线器分别连接到对应的网络上。
63
管理 HA 组 高可用性
还有,您必须将这一 HA 簇中所有的 HA 接口连接到同一交换机或集线器上。此外还
需要将一台管理员电脑连接到这个交换机或集线器上。
建议使用交换机以提高网络的性能。
无论将 FortiGate 设备配置为主动 - 主动模式 HA 或者主动 - 被动模式 HA,网络设
备连接和下面的操作步骤都完全相同。
以下操作用于把 FortiGate 连接到您的网络上:
1 将每一台 FortiGate 的内部网络接口都连接到一个与您的内部网络相连的交换机或者
集线器上。
2 将每一台 FortiGate 的外部网络接口都连接到一个与您的外部网络相连的交换机或者
集线器上。
3 把 FortiGates 的 DMZ/HA 接口连接到一台单独的交换机或者集线器上。
当您连接了 HA 簇之后,可以进行 “启动 HA 簇”操作。
启动 HA 簇
将 HA 簇中的全部 FortiGate 设备都配置为 HA 并且将这个簇连接起来之后,可以使
用以下操作启动 HA 簇。
1 为簇中的所有 HA 设备加电。
在设备启动过程中,它们将协商以选出主簇设备和附属设备。这个协商过程是自动进
行的,无须用户干预。
当协商完成后,这个簇已经准备好处理网络通讯了,您可以使用 第 64 页 “ 管理
HA 组” 中的信息在这个簇登录和进行管理。
管理 HA 组
当 FortiGate 设备启动并运行时,您可以把它作为一个簇进行管理,而不是管理一
组独立的 FortiGate 设备。对 HA 簇的管理 , 可以通过将基于 Web 的管理程序或者 CLI
连接到为管理访问配置好的任何接口来实现。因为这个簇中的全部设备都配置了相同
的接口 IP 地址 (除了 HA 接口),连接到 IP 地址配置为管理访问连接的任意接口都将
自动将连接转到主 FortiGate 设备。
您还可以通过连接到簇中的单独设备的 HA 接口 (每个接口配置了不同的 IP 地址)
来对它们进行管理。
您也可以通过连接到主设备的 CLI 来管理单独的设备。从这里可以使用命令
execute ha manage 连接到簇中的每个设备的 CLI。
64
美国飞塔有限公司
高可用性 管理 HA 组
本节描述了以下内容:
·查看 HA 簇成员状态
·监视簇成员
·监视簇会话
·查看和管理簇日志消息
·单独管理簇中的设备
·同步簇配置
·返回到独立模式配置
·在失效恢复后替换 FortiGate
查看 HA 簇成员状态
按以下步骤查看 HA 簇成员的状态:
1 连接到 HA 簇中,登录基于 Web 的管理程序。
2 进入 系统 > 状态 > 簇成员。
基于 Web 的管理程序显示了这个 HA 簇中的 FortiGate 设备的序列号。主设备的识别符
是本地,列表中还包括了簇成员的运行时间和状态。
监视簇成员
图 16: 簇成员列表的例子
按如下步骤操作可以监视每一个簇成员的状态信息。
1 连接到簇并登录基于 Web 的管理程序。
2 进入系统 > 状态 > 监视器。
显示每个簇成员的 CPU、内存状态和硬盘状态。主设备的标识符是本地,其他设备则按
照序列号列出。
显示内容还包括了当前 CPU 和内存使用率的柱状图示,以及过去数分钟的 CPU 和内存
使用率的曲线图。
关于详细信息请见 第 87 页 “ 查看 CPU 和内存状态” 。
3 选择会话和网络。
显示出每个簇成员的会话和网络状态。主设备的识别标志是本地,其他设备根据他们
的序列号列出。
显示的内容还包括当前会话数和当前网络利用率的柱状显示,以及过去数分钟内的会
话数和网络利用率的曲线图。曲线图的比例尺在图的左上角显示。
有关详细信息,请见 第 88 页 “ 查看会话和网络状态” 。
FortiGate-300 安装和配置指南
65
管理 HA 组 高可用性
图 17: 簇会话数和网络显示的例子
4 选择病毒和入侵。
显示出每个簇成员的病毒和入侵状态。主设备的识别标志是本地,其他设备根据他们
的序列号列出。
显示的内容还包括当前每小时检测到的病毒数和当前入侵次数的柱状显示,以及过去
20 小时内的病毒数和入侵次数的曲线图。曲线图的比例尺在图的左上角显示。
有关详细信息,请见 第 88 页 “ 查看病毒和入侵状态” 。
5 选择数据包和字节。
显示每个簇成员处理的数据包数和字节数。
6 您可以设置上述显示内容的刷新次数,然后单击执行以控制基于 Web 的管理程序更新
显示的次数。
刷新得越频繁,消耗的系统资源和网络通讯就越多。然而,只有在您使用基于 Web 的
管理程序查看显示的时候才会出现这种情况。曲线图比例尺显示在图的右上角。
监视簇会话
如下操作可以查看当前主设备上的会话。
1 连接到簇并登录进基于 Web 的管理程序。
2 进入 系统 > 状态 > 会话。
会话表显示了簇中的主设备处理的会话。会话包括主设备和附属设备之间的 HA 通讯。
查看和管理簇日志消息
66
按如下步骤查看每个簇成员的日志消息:
1 连接到簇并登录基于 Web 的管理程序。
美国飞塔有限公司
高可用性 管理 HA 组
2 进入日志和报告 > 记录日志。
显示主设备通讯日志、事件日志、攻击日志、病毒防护日志、网页过滤日志和电子邮
件日志。
右上角的下拉列表控制着要显示的日志类别。主设备的识别标志是本地,其他设备根
据他们的序列号列出。
3 选择簇中的一个设备的序列号可以显示这个簇成员的日志。
您可以查看保存在内存中的日志或者保存在硬盘中的日志,这取决于这个簇成员的配
置。
4 对于簇中的每个设备:
·您可以查看和搜索日志消息(请见 第 252 页 “ 查看记录到内存的日志” 和 第
253 页 “ 查看和管理保存在硬盘上的日志” )。
·如果簇中的设备装备了硬盘您可以管理日志消息(请见 第 254 页 “ 将日志文
件下载到管理员电脑” , 第 254 页 “ 删除当前日志中的全部消息” , 和 第
255 页 “ 删除一个保存了的日志文件” )。
注意:您可以查看和管理全部簇成员的日志消息。然而,从主设备上您只能配置主设备的日志记
录。要配置簇中其他设备的日志记录,您必须单独对簇中的设备进行管理。
单独管理簇中的设备
您可以通过使用基于 Web 的管理程序或者 CLI 连接到簇中设备的 HA 接口单独管理
这个设备。首先,每个设备的 HA 接口必须配置为允许 HTTPS 和 SSH 管理访问。
您还可以按照如下操作连接到簇中的每个设备的 CLI:
从基于 Web 的管理程序单独管理设备:
1 使用 SSH 连接到簇并登录基于 Web 的管理程序。
连接到簇的任何配置了 SSH 管理访问的接口可以自动地登录到主设备。
您还可以使用直接电缆连接登录到主设备的 CLI (首先您要知道哪个设备是主设备,
请见 第 69 页 “ 从 FortiGate 设备中选择一个主设备” 以控制哪个 FortiGate 设
备成为主设备)。
2 输入以下命令,后边加上一个空格和一个问号 (?):
execute ha manage
将显示簇中的全部附属设备的列表。这个列表中的每个簇设备从 1 开始编号。显示的
每个簇设备的信息包括设备序列号和主机名。
3 在命令后加上附属设备的编号即可登录。例如,要登录到一号附属设备,输入如下命
令:
execute ha manage 1
您可以连接和登录到选定附属设备的 CLI。如果这个附属设备有一个不同的主机名,
CLI 的提示符将变成这个主机名。您可以使用 CLI 命令管理这个附属设备。
4 输入以下命令可以返回到主设备的 CLI:
exit
您可以使用 execute manage ha 命令登录到这个簇中的任何其他附属设备的 CLI。
FortiGate-300 安装和配置指南
67
管理 HA 组 高可用性
同步簇配置
当运行于簇模式的时候,为了达到较好的效果,必须确保簇中的全部设备的配置始
终同步。您可以在主设备上对配置做修改,然后在 HA 簇中的每个附属设备上使用
execute ha synchronize 命令手工将它的配置和主设备的配置同步。您可以使用
这个命令同步如下内容:
表 18: execute ha synchronize 关键字
关键字说明
config
avupd
attackdef
weblists
emaillists
resmsg
ca
localcert
all
同步 FortiGate 配置。包括常规系统配置、防火墙配置、VPN 配置以及其他保
存在 FortiGate 配置文件中的内容。
同步主设备从 Forti 响应发布网络 (FDN)接收的防病毒引擎和防病毒定义。
同步主设备从 FDN 接收的 NIDS 攻击定义更新。
同步主设备上添加或更改的网页过滤列表。
同步主设备上添加或更改的电子邮件过滤列表。
同步主设备上修改的替换信息。
同步添加到主设备的 CA 证书。
同步主设备上的本地证书。
同步以上全部内容。
使用如下步骤在主设备上修改配置,然后同步附属设备的配置。
1 连接到簇并登录到基于 Web 的管理程序或 CLI。
2 根据需要修改配置。
3 连接到簇中的每个设备的 CLI。
要连接到附属设备,请见 第 67 页 “ 单独管理簇中的设备” 。
4 使用 execute ha synchronize 命令同步附属设备的配置。
对于 HA 簇中的每个设备重复步骤 3 和 4。
返回到独立模式配置
在 HA 簇中的每个 FortiGate 上都重复以下操作,即可返回到独立配置:
1 连接到基于 Web 的管理程序。
2 进入 系统 > 配置 > HA。
3 选择 独立模式 ,然后单击 应用。
现在 FortiGate 设备退出了 HA 模式 并返回到了 独立模式。
在失效恢复后替换 FortiGate
失效 - 恢复 出现在软件或者硬件有问题的情况下。当 失效 - 恢复出现时,您可以
尝试关闭失效的 FortiGate 的电源再打开它,重新启动这台 FortiGate。如果这个
FortiGate 能够正常地启动,它将重新加入到 HA 组中并正常工作。如果 FortiGate 没
能正常启动或者无法重新加入 HA 组中,您必须把它从网络中取出,更换它或者重新配
置它。
68
美国飞塔有限公司
高可用性 高级 HA 选项
一旦重新配置或者更换了新的 FortiGate 设备,需要改变它的 HA 配置以与原来失
效的 FortiGate 的配置相匹配。然后把它重新连接到网络中。这个 FortiGate 将自动
地加入 HA 组中。
高级 HA 选项
可以从 FortiGate CLI 使用以下 HA 高级选项:
从 FortiGate 设备中选择一个主设备
在一个典型的 FortiGate 簇配置中,主设备的选择过程是自动的。HA 簇每次启动
之后选定的主设备都可能不同。此外作为主设备运行的 FortiGate 设备也可能会改变
(例如,如果当前的主设备重新启动,另一个设备可能会代替它成为主设备)。
在某些情况下,您可能希望控制哪一个设备最终成为主设备。您可以将一个
FortiGate 设备配置为主设备,只需要修改这个设备的优先级使它能控制其他设备。
当簇中的 FortiGate 设备协商主设备的时候,总是拥有最低优先权的设备成为主设
备。如果两个设备有同样的优先权,则使用标准的协商过程选择主设备:
以下操作将一个 FortiGate 设备配置为 HA 簇中的永久性的主设备:
1 连接到永久性主 FortiGate 设备的 CLI。
2 设置永久主设备的优先级。输入:
set system ha priority < 优先级 _ 整数 >
< 优先级 _ 整数 > 是永久主设备要设置的优先级。优先级最低的设备将成为主设备。默
认的优先级 128。将永久性主设备的优先级设置为一个小于 128 的数。
例如,将永久性主设备的优先级设置为 10,使用如下命令:
set system ha priority 10
3 确保这个簇中的其他所有设备的优先级高于这个永久性主设备的优先级。
get system ha mode 命令显示您当前连接到的 FortiGate 设备的优先级。
4 当永久性主设备加入簇时覆盖一个现有的主设备的设置,使用如下命令:
set system ha override enable
启用覆盖可以使永久性主设备总是能够覆盖其他主设备的设置。例如,如果永久性主
设备关机,簇中的其他另一个设备将代替它成为主设备。当永久性主设备重新启动后,
如果它启用了覆盖,它将再次成为主设备。
配置加权轮询的权重
默认情况下,主动 - 主动 HA 模式的加权轮询调度为这个簇中的每个 FortiGate 设
备分配相同的权重。一旦这个簇被配置为加权轮询调度,您可以使用 set system ha
weight 命令为簇中的每个设备配置权重。权重的值设置了在连接被发送到下一个设备
之前,发送到这个设备的最大连接数。您可以通过设置权重值来控制每个簇设备能处
理的连接数。这项技术的一个用处就是减少主簇设备处理的连接数,只需增加分配给
其他附属簇设备的权重。
权重值根据簇中的设备优先级的次序设置。例如,如果您有一个包含了 3 个
FortiGate 设备的 HA 簇,您可以输入以下命令配置每个设备的权重:
set system ha weight 1 3 3
FortiGate-300 安装和配置指南
69
高级 HA 选项 高可用性
这个命令有以下结果:
·第一个连接由主设备处理
·下面的三个连接由第一个附属设备处理
·在下面的三个连接由第二个附属设备处理
附属设备将比主设备处理更多的连接,而两个附属设备处理的连接数一样多。
70
美国飞塔有限公司
系统状态
FortiGate-300 安装和配置指南 2.50 版
您可以连接到基于 Web 的管理程序进入系统 > 状态 以查看您的 FortiGate 设备的
当前状态。显示的状态信息包括当前的固件版本,当前的病毒防护定义和攻击定义以
及 FortiGate 设备的序列号。
如果您使用管理员帐号 admin 登录到基于 Web 的管理程序,您可以使用系统状态对
FortiGate 系统设置做以下修改:
·修改 FortiGate 主机名
·修改 FortiGate 固件
·手动更新病毒防护定义库
·手动更新攻击定义库
·备份系统设备
·恢复系统设置
·将系统设置恢复到出厂设置
·转换到透明模式
·转换到 NAT/ 路由模式
·重新启动 FortiGate 设备
·关闭 FortiGate 设备
如果您使用任何其他管理员帐号登录到基于 Web 的管理程序,您可以进入系统 > 状
态 以查看包括如下系统设置:
·显示 FortiGate 的序列号
·显示 FortiGate 运行时间
·显示日志硬盘状态
所有的管理员用户还可以进入系统 > 状态 > 监视器 查看 FortiGate 系统的状态。
系统状态显示了 FortiGate 的健康状态监视信息,包括 CPU 和内存状态、会话和网络
状态。
·系统状态
所有的管理员用户也可以进入系统 > 状态 > 会话查看连接到 FortiGate 设备和通过
该设备的活动的通讯会话。
·会话列表
FortiGate-300 安装和配置指南
71
修改 FortiGate 主机名 系统状态
修改 FortiGate 主机名
FortiGate 设备的主机名显示在系统 > 状态页和 FortiGate CLI 提示符中。主机名
也被用做 SNMP 系统名 (见 第 131 页 “ 配置 SNMP” )。
默认的主机名是 FortiGate-300。
按如下步骤修改 FortiGate 主机名:
1 进入 系统 > 状态。
2 单击编辑主机名 。
3 输入一个新的主机名。
4 单击确定。
新的主机名将显示在系统状态页并添加到 SNMP 系统名中。
修改 FortiGate 固件
您从 Fortinet 中下载了一个 FortiGate 固件映像之后,您可以按照表 1 中所列的
步骤在您的 FortiGate 设备中安装固件映像。
升级到新版本的固件
表 1: 固件升级步骤
步骤 说明
升级到新版本的固件 通常使用基于 Web 的管理程序和 CLI 操作将 FortiOS 升级到一个新
恢复到一个旧的固件版本使用基于 Web 的管理程序 或 CLI 恢复到一个从前版本的固件。这一
使用 CLI 重新启动系统
安装固件
在安装新版本的固件之
前进行测试
安装和使用一个备份了
的固件映像
的 FortiOS 固件版本或者同一固件版本的较新的子版本。
操作可以将您的 FortiGate 设备恢复到它的出厂默认设置。
使用这一操作可以安装新版本的固件或者恢复一个老版本的固件。
您只能使用 FortiGate 串行通讯接口和串行通讯线缆通过 CLI 执行
这一操作。这一操作将您的 FortiGate 设备恢复到它的出厂默认设
置。
使用这一操作可以在安装新版本的固件映像之前对它进行测试。您
只能使用 FortiGate 串行通讯接口和串行通讯线缆通过 CLI 执行这
一操作。这一操作临时安装新版本的固件映像并使用您当前的系统
配置。您可以在永久性地安装它之前测试固件映像。如果固件映像
能够正常工作,您可以使用本表中列出的其他方法永久性地安装固
件映像。
如果您的 FortiGate 设备运行的是 v3.x 版本的 BIOS,您可以安装
一个备份固件映像。安装完固件映像备份之后,您根据需要切换到
这个备份映像。
使用以下操作可以将您的 FortiGate 设备的固件升级到的版本。
使用基于 Web 的管理程序升级固件
72
注意:安装固件将使用您所安装的固件中包含的病毒防护定义和攻击定义替换您当前的病毒防护
定义和攻击定义。当您安装一个新的固件时,使用 第 95 页 “ 手工更新病毒防护定义和攻击
定义” 中的步骤确保病毒防护定义和攻击定义是最新的。
1 将固件映像文件拷贝到您的管理员电脑。
美国飞塔有限公司
系统状态 修改 FortiGate 固件
2 使用 admin 管理员帐号登录到基于 Web 的管理程序。
3 进入 系统 > 状态。
4 单击 固件升级 。
5 输入固件升级文件的文件名,或者单击 浏览 然后定位那个文件。
6 单击确定。
FortiGate 设备将上载固件映像文件,升级到新的固件版本,重新启动,然后显示
FortiGate 登录界面。这一步骤需要数分钟时间。
7 登录到基于 Web 的管理程序。
8 进入 系统 > 状态检查固件的版本,确认固件的升级版本已经成功地安装了。
9 使用 第 95 页 “ 手工更新病毒防护定义和攻击定义” 中的操作更新病毒防护定义
和攻击定义。
使用 CLI 升级固件
必须有一个可以从 FortiGate 连接到的 TFTP 服务器才能按照下述步骤升级。
注意:安装固件将使用您所安装的固件中包含的病毒防护定义和攻击定义替换您当前的病毒防护
定义和攻击定义。当您安装一个新的固件时,使用 第 95 页 “ 手工更新病毒防护定义和攻击
定义” 中的步骤确保病毒防护定义和攻击定义是最新的。您也可以使用 CLI 命令
updatecenter updatenow
更新病毒防护定义和攻击定义。
execute
1 确保 TFTP 正在运行。
2 将新的固件映像文件拷贝到 TFPT 服务器的根目录下。
3 用 admin 帐号登录到 FortiGate。
4 确保 FortiGate 可以连接到 TFTP 服务器。
确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运
行 TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168:
execute ping 192.168.1.168
5 输入下述命令将固件映像文件从 TFPT 服务器拷贝到 FortiGate 上:
execute restore image < 名称 _ 字符串 > <tftp_ip>
<名称 _ 字符串> 是TFTP 服务器上的固件映像文件的文件名, <tftp_ip> 是 TFTP
服务器的 IP 地址。例如,如果固件映像文件的文件名是 FGT-60-v236-build068-
FORTINET.out ,TFTP 服务器的 IP 地址为 192.168.1.168,输入:
execute restore image FGT-60-v236-build068-FORTINET.out
192.168.1.168
FortiGate 上载固件映像文件,升级到新版本的固件,重新启动。这一过程需要一
些时间。
6 重新连接到 CLI。
7 要确认新版本的固件已经加载了,输入:
get system status
8 使用 第 95 页 “ 手工更新病毒防护定义和攻击定义” 中的操作更新病毒防护定义
和攻击定义,或者使用 CLI,输入
execute updatecenter updatenow
FortiGate-300 安装和配置指南
73
修改 FortiGate 固件 系统状态
9 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、
病毒和攻击定义的版本,合同有效期和最新更新信息。
get system objver
恢复到一个旧的固件版本
按照如下操作可以将您的 FortiGate 设备恢复到一个旧的固件版本。
使用基于 Web 的管理程序恢复到一个旧版本的固件
以下操作将您的 FortiGate 设备恢复到它的出厂时的默认配置状态,并删除 NIDS
用户定义的特征,网页内容列表,电子邮件过滤列表和您对替换信息所做的修改。
您可以在进行这一操作之前先进行:
·备份 FortiGate 设备的配置,使用 第 84 页 “ 备份系统设备” 中的步骤。
·备份 NIDS 用户定义的特征,请见
·备份网页内容和电子邮件过滤列表,请见
如果您要恢复到一个旧版本的 FortiOS (例如,从 FortiOS v2.50 恢复到
v2.36),您可能无法恢复您的配置备份文件中保存的从前的配置。
注意:安装固件将使用您所安装的固件中包含的病毒防护定义和攻击定义替换您当前的病毒防护
定义和攻击定义。当您安装一个新的固件时,使用 第 95 页 “ 手工更新病毒防护定义和攻击
定义” 中的步骤确保病毒防护定义和攻击定义是最新的。
FortiGate NIDS 指南。
FortiGate 内容保护指南。
1 将固件映像文件拷贝到您的管理员电脑。
2 使用 admin 管理员帐号登录到基于 Web 的管理程序。
3 进入 系统 > 状态。
4 单击 固件升级 。
5 输入固件升级文件的文件名和路径,或者单击 浏览 然后定位那个文件。
6 单击 确定。
FortiGate 将上载升级文件,回复到旧版本的固件并重新启动,复位系统配置,重新
启动,显示 FortiGate 登录提示。这一过程需要几分钟的时间。
7 登录到基于 Web 的管理程序。
当 FortiGate 设备设置为出厂默认设置时,关于登录到基于 Web 的管理程序的详细信
息请见 第 18 页 “ 连接到基于 Web 的管理程序” 。
8 进入 系统 > 状态 检查固件的版本,确认固件已经被成功地安装上了。
9 恢复您的配置。
请见 第 84 页 “ 恢复系统设置” 如何恢复您从前的配置。
10 使用 第 95 页 “ 手工更新病毒防护定义和攻击定义” 中的步骤更新病毒防护定义
和攻击定义。
使用 CLI 恢复到一个旧版本的固件
74
以下操作将您的 FortiGate 设备恢复到它的出厂时的默认配置状态,并删除 NIDS
用户定义的特征,网页内容列表,电子邮件过滤列表和您对替换信息所做的修改。
美国飞塔有限公司
系统状态 修改 FortiGate 固件
您可以在进行这一操作之前先进行:
·使用命令 execute backup config 备份 FortiGate 设备的配置。
·使用命令 execute backup nidsuserdefsig 备份 NIDS 用户定义的特征。
·备份网页内容和电子邮件过滤列表,请见
FortiGate 内容保护指南。
如果您要恢复到一个旧版本的 FortiOS (例如,从 FortiOS v2.50 恢复到
v2.36),您可能无法恢复您的配置备份文件中保存的从前的配置。
注意:安装固件将使用您所安装的固件中包含的病毒防护定义和攻击定义替换您当前的病毒防护
定义和攻击定义。当您安装一个新的固件时,使用 第 95 页 “ 手工更新病毒防护定义和攻击
定义” 中的步骤确保病毒防护定义和攻击定义是最新的。您也可以使用 CLI 命令 execute
updatecenter updatenow
更新病毒防护定义和攻击定义。
您必须有一个可以从 FortiGate 连接到的 TFTP 服务器才能按照下述步骤升级。
1 确保 TFTP 正在运行。
2 将您要恢复的固件映像文件拷贝到 TFPT 服务器的根目录下。
3 用 admin 帐号登录到 FortiGate。
4 确保 FortiGate 可以连接到 TFTP 服务器。
确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运行
TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168:
execute ping 192.168.1.168
5 输入下述命令将固件映像文件从 TFPT 服务器拷贝到 FortiGate 上:
execute restore image < 名称 _ 字符串 > <tftp_ip>
< 名称 _ 字符串 > 是 TFTP 服务器上的固件映像文件的文件名, <tftp_ip> 是 TFTP
服务器的 IP 地址。例如,如果固件映像文件的文件名是 FGT-60-v236-build068-
FORTINET.out ,TFTP 服务器的 IP 地址为 192.168.1.168,输入:
execute restore image FGT_300-v250-build045-FORTINET.out
192.168.1.168
FortiGate 将上载升级文件。一旦文件上载完成,将显示如下信息:
Get image from tftp server OK.
This operation will downgarde the current firmware version!
Do you want to continue? (y/n)
6 输入 Y。
FortiGate 设备回复到旧版本的固件,将配置恢复到出厂默认设置,并重新启动。这一
过程将需要几分钟时间。
7 重新连接到 CLI。
关于在 FortiGate 设备的出厂默认状态下连接到 CLI 的详细信息,请见 第 19 页 “
连接到命令行接口 (CLI)” 。
8 要确认回复的版本的固件已经加载了,输入:
get system status
9 要恢复到您从前的配置,使用如下命令:
execute restore config
FortiGate-300 安装和配置指南
75
修改 FortiGate 固件 系统状态
10 使用 第 95 页 “ 手工更新病毒防护定义和攻击定义” 中描述的步骤更新病毒防护
定义和攻击定义,或从 CLI 输入
execute updatecenter updatenow
11 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、
病毒和攻击定义的版本,合同有效期和最新更新信息。
get system objver
使用 CLI 重新启动系统安装固件
这一方法可以安装给定的固件映像并把 FortiGate 恢复到默认设置。您可以使用这
一方法把固件升级到一个新版本,或者恢复一个固件的旧版本,或者重新安装当前版
本的固件。
注意:在不同的版本的 FortiGate BIOS 中这一操作有一些细微的不同。这些不同在受到影响的
操作步骤中有相应的说明。您使用串行通讯线缆连接到 FortiGate 串行通讯接口访问 CLI 的时
候,您的 FortiGate 设备会在重新启动过程中显示所运行的 BIOS 版本。
要执行这一操作您需要:
·使用一条串行通讯线缆连接到 FortiGate 串行通讯接口访问 CLI。
·安装一个 TFTP 服务器,并使内部网络接口可以连接到此服务器上。TFTP 服务器必须
和 FortiGate 的内部网络接口在同一子网内。
在执行这一操作之前您可以:
·备份 FortiGate 设备的配置,使用 第 84 页 “ 备份系统设备” 中的步骤。
·备份 NIDS 用户定义的特征,请见
·备份网页内容和电子邮件过滤列表,请见
FortiGate NIDS 指南。
FortiGate 内容保护指南。
如果您要恢复到一个旧版本的 FortiOS (例如,从 FortiOS v2.50 恢复到
v2.36),您可能无法恢复您的配置备份文件中保存的从前的配置。
注意:安装固件将使用您所安装的固件中包含的病毒防护定义和攻击定义替换您当前的病毒防护
定义和攻击定义。当您安装一个新的固件时,使用 第 95 页 “ 手工更新病毒防护定义和攻击
定义” 中的步骤确保病毒防护定义和攻击定义是最新的。
从系统重新启动中安装固件
1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI。
2 确认 TFTP 服务器工作正常。
3 将新版本的固件映像文件拷贝到您的 TFTP 服务器的根目录下。
4 确认 FortiGate 的内部接口和 TFTP 服务器连接到同一网络上。
5 确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运行
TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168:
execute ping 192.168.1.168
76
美国飞塔有限公司
系统状态 修改 FortiGate 固件
6 输入以下命令重新启动 FortiGate:
execute reboot
在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。
当下面信息之一显示的时候:
·运行 v2.x 版 BIOS 的 FortiGate 设备
Press Any Key To Download Boot Image.
...
·运行 v3.x 版 BIOS 的 FortiGate 设备
Press any key to enter configuration menu.....
......
7 立刻按任意键中断系统启动过程。
I
注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新
启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。
如果您成功地中断了启动过程,将显示下面的消息之一:
·运行 v2.x 版 BIOS 的 FortiGate 设备
Enter TFTP Server Address [192.168.1.168]:
转到步骤 9。
·运行 v3.x 版 BIOS 的 FortiGate 设备
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter G,F,B,Q,or H:
8 按 G 从 TFTP 服务器获得新版本的固件。
9 输入 TFTP 服务器的地址并按回车。
将显示以下信息:
Enter Local Address [192.168.1.188]:
10 输入 FortiGate 设备的内部网络接口的地址然后回车。
注意:本地 IP 地址只能用来下载固件映像。固件安装完之后,内部网络接口的 IP 地址将被网络
接口的默认 IP 地址。
将会出现以下消息:
Enter File Name [image.out]:
FortiGate-300 安装和配置指南
77
修改 FortiGate 固件 系统状态
11 输入固件文件的名称然后回车。
TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息:
·运行 v2.x 版 BIOS 的 FortiGate 设备
Do You Want To Save The Image? [Y/n]
输入 Y。
·运行 v3.x 版 BIOS 的 FortiGate 设备
Save as Default firmware/Run image without saving:[D/R]
Save as Default firmware/Backup firmware/Run image without
saving:[D/B/R]
输入 D。
FortiGate 设备安装新版本的固件映像并重新启动。整个安装过程可能需要几分钟
时间才能完成。
恢复您从前的配置
您现在可以恢复您从前的配置。首先要根据需要修改接口的地址。您可以从 CLI 执
行如下命令:
set system interface
修改完接口地址后,您可以从基于 Web 的管理程序访问 FortiGate 设备并恢复您的
配置。
要恢复您的 FortiGate 设备的配置,请见 第 84 页 “ 恢复系统设置” 。要恢
复 NIDS 用户定义特征,请见
表,请见
FortiGate 内容保护指南
FortiGate NIDS 指南
。
。 要恢复网页内容和邮件过滤列
如果您是回复到一个从前版本的固件 (例如,从 FortiOS2.50 回复到 FortiOS
v2.36),您可能无法恢复您保存过的配置文件。
12 将病毒防护和攻击定义更新到最新版本,请见 第 95 页 “ 手工更新病毒防护定义
和攻击定义” 。
在安装新版本的固件之前进行测试
您可以在从系统重新启动安装新版本固件之前先测试这个版本的固件映像并将它保
存到系统内存。这一操作完成之后,FortiGate 设备将使用新的固件映像运行,但是仍
旧使用当前的配置。这一新版本的固件映像并没有永久性地安装。下一次 FortiGate
重新启动的时候将重新使用原来的固件映像和当前的配置。如果新的固件映像能够正
常运行,你可以按照 第 72 页 “ 升级到新版本的固件” 中的步骤永久性地安装
它。
要执行这一操作您需要:
·使用一根零调制解调器电缆连接到 FortiGate 的控制端口,以访问 CLI。
·安装一个 TFTP 服务器,并使内部网络接口可以连接到此服务器上。TFTP 服务器必须
和 FortiGate 的内部网络接口在同一子网内。
用以下方法测试固件:
1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI。
2 确认 TFTP 服务器工作正常。
3 将新版本的固件映像文件拷贝到您的 TFTP 服务器的根目录下。
78
美国飞塔有限公司
系统状态 修改 FortiGate 固件
4 确认 FortiGate 的内部接口和 TFTP 服务器连接到内部网络上。
确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运行
TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168:
execute ping 192.168.1.168
5 输入以下命令重新启动 FortiGate:
execute reboot
6 在 FortiGate 重新启动过程中,按任意键中断系统启动过程。
在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。
当下面信息之一显示的时候:
·运行 v2.x 版 BIOS 的 FortiGate 设备
Press Any Key To Download Boot Image.
...
·运行 v3.x 版 BIOS 的 FortiGate 设备
Press any key to enter configuration menu.....
......
7 立刻按任意键中断系统启动过程。
I
注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新
启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。
如果您成功地中断了启动过程,将显示下面的消息之一:
·运行 v2.x 版 BIOS 的 FortiGate 设备
Enter TFTP Server Address [192.168.1.168]:
转到步骤 9。
·运行 v3.x 版 BIOS 的 FortiGate 设备
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter G,F,Q,or H:
8 按 G 从 TFTP 服务器获得新版本的固件。
9 输入 TFTP 服务器的地址并按回车。
将显示以下信息:
Enter Local Address [192.168.1.188]:
10 输入 FortiGate 设备的内部网络接口的地址然后回车。
注意:本地 IP 地址只能用来下载固件映像。固件安装完之后,内部网络接口的 IP 地址将被网络
接口的默认 IP 地址。
将会出现以下消息:
Enter File Name [image.out]:
FortiGate-300 安装和配置指南
79
修改 FortiGate 固件 系统状态
11 输入固件文件的名称然后回车。
输入固件文件的名称然后回车。
TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息:
·运行 v2.x 版 BIOS 的 FortiGate 设备
Do You Want To Save The Image? [Y/n]
输入 N。
·运行 v3.x 版 BIOS 的 FortiGate 设备
Save as Default firmware/Run image without saving:[D/R]
输入 R。
FortiGate 固件映像将被安装到系统内存,然后 FortiGate 开始使用新的固件映像
并保持当前的配置。
12 您可以使用任何管理员帐号登录到 CLI 或者基于 Web 的管理程序。
13 要确认新版本的固件已经加载了,可以从 CLI 输入:
get system status
您可以根据需要测试新版本的固件。
安装和使用一个备份了的固件映像
如果您的 FortiGate 设备运行的 BIOS 是 v3.x 版,您可以安装一个备份固件映像。
在备份固件映像安装成功之后您可以在需要时切换到备份映像上。
本节叙述了如下内容:
·安装备份固件映像
·切换到备份固件影象
·切换回默认的固件映像
安装备份固件映像
要进行这一操作您需要:
·使用一根零调制解调器电缆连接到 FortiGate 的控制端口,以访问 CLI。
·安装一个您可以从 FortiGate 连接到的 TFTP 服务器,如同 第 76 页 “ 使用 CLI
重新启动系统安装固件” 中的步骤所描述的那样。
要安装备份固件映像:
1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI。
2 确认 TFTP 服务器工作正常。
3 将新版本的固件映像文件拷贝到您的 TFTP 服务器的根目录下。
4 确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运行
TFPT 服务的电脑。例如,如果 TFTP 服务器的 IP 地址是 192.168.1.168:
execute ping 192.168.1.168
80
美国飞塔有限公司
系统状态 修改 FortiGate 固件
5 输入以下命令重新启动 FortiGate:
execute reboot
在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。
当下面信息之一显示的时候:
Press any key to enter configuration menu.....
......
6 立刻按任意键中断系统启动过程。
I
注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新
启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。
如果您成功地中断了启动过程,将显示下面的消息之一:
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter G,F,B,Q,or H:
7 按 G 从 TFTP 服务器获得新版本的固件。
8 输入 TFTP 服务器的地址并按回车。
将显示以下信息:
Enter Local Address [192.168.1.188]:
9 输入 FortiGate 设备可以连接到 TFTP 服务器的接口地址然后按回车。
将显示以下信息:
Enter File Name [image.out]:
10 输入固件文件的名称然后回车。
TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息:
Save as Default firmware/Backup firmware/Run image without
saving:[D/B/R]
11 输入 B。
FortiGate 设备将保存备份固件映像并重新启动。当 FortiGate 设备重新启动时它
将运行原先安装的版本的固件。
切换到备份固件影象
使用如下步骤将您的 FortiGate 设备切换到以您安装过的备份固件影响运行。当您
将 FortiGate 设备切换到备份固件映像时,FortiGate 设备将使用与固件映像一同保存
的配置运行。
如果您从重启动方式安装了一个备份映像,跟固件映像一同保存的是出厂默认的配
置。如果使用 第 82 页 “ 切换回默认的固件映像” 中所描述的步骤切换到曾经作
为默认固件映像运行过的备份固件映像,随同这个固件映像一同保存的配置将被恢复。
1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI。
FortiGate-300 安装和配置指南
81
修改 FortiGate 固件 系统状态
2 输入以下命令重新启动 FortiGate:
execute reboot
在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。
当下面信息之一显示的时候:
Press any key to enter configuration menu.....
......
3 立刻按任意键中断系统启动过程。
I
注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新
启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。
如果您成功地中断了启动过程,将显示下面的消息之一:
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter G,F,B,Q,or H:
4 输入 B 加载备份固件映像。
FortiGate 设备将加载固件映像并重新启动。当 FortiGate 重新启动时它将运行备
份固件并将配置设置为出厂默认状态。
切换回默认的固件映像
使用下面的操作可以将您的 FortiGate 设备切换到以曾经作为默认固件映像运行过
的备份固件运行。当您切换到备份固件映像的时候,同这个固件一起被保存的配置将
被恢复。
1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI。
2 输入以下命令重新启动 FortiGate:
execute reboot
在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。
当下面信息之一显示的时候:
Press any key to enter configuration menu.....
......
3 立刻按任意键中断系统启动过程。
I
注意:您只有三秒钟时间按动任意键。如果您没有尽快地按任何一个键,FortiGate 将完成重新
启动的步骤,而您就必须登录进去然后重新执行 execute reboot 命令。
82
美国飞塔有限公司
系统状态 手动更新病毒防护定义库
如果您成功地中断了启动过程,将显示下面的消息之一:
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter G,F,B,Q,or H:
4 输入 B 以加载备份固件映像。
FortiGate 设备将加载备份固件映像并重新启动。当 FortiGate 设备再次启动的时
候它回使用恢复的配置和备份固件映像运行。
手动更新病毒防护定义库
按照以下步骤手动更新病毒防护定义库。
注意:如果想把 FortiGate 配置为自动更新病毒防护定义库,请参阅 第 91 页 “ 病毒和攻击
定义升级及注册” 。您也可以进入 系统 > 更新
护定义库。
然后选择现在更新,从而手动更新您的病毒防
1 从 FortiNet 下载最新的病毒防护定义库更新文件,然后把它拷贝到用来连接基于 Web
的管理程序的电脑上。
2 启动基于 Web 的管理程序,进入 系统 > 状态。
3 在 病毒防护定义库的右边,单击 更新定义 。
4 输入病毒防护定义库更新文件的路径和文件名,或者单击 浏览 然后在浏览器中定位
该文件。
5 单击 确定 ,将病毒防护定义库文件上载到 FortiGate 设备上。
FortiGate 将上载病毒防护定义库更新文件,整个过程将持续约 1 分钟。
6 进入 系统 > 状态 检查病毒防护定义库的版本信息,确定它已经被更新了。
手动更新攻击定义库
按照以下步骤手动更新的攻击定义库。
注意:要将 FortiGate 配置为自动更新攻击定义库,请参阅 第 91 页 “ 病毒和攻击定义升级
及注册” 。也可以进入 系统 > 更新 选择现在更新以手动更新攻击定义库。
1 从 Fortinet 下载最新版本的攻击定义库更新文件,并将文件拷贝到您用来连接基于
WEB 的管理程序的电脑上。
2 启动基于 WEB 的管理程序并进入系统 > 状态。
3 在 攻击定义库版本 的右边,单击 更新定义 。
4 输入攻击定义库更新文件的路径和文件名,或者单击 浏览 然后在浏览器中定位攻击
FortiGate-300 安装和配置指南
定义库文件。
83
显示 FortiGate 的序列号 系统状态
5 单击 确定 将攻击定义库文件上载到 FortiGate。
FortiGate 将更新新的攻击定义库,整个过程将持续约 1 分钟。
6 进入 系统 > 状态 查看攻击定义库的信息,确认它已经被更新了。
显示 FortiGate 的序列号
1 进入 系统 > 状态。.
序列号 显示在基于 Web 的管理程序的系统状态页面。序列号是分配给您的 FortiGate
的唯一标识,即使固件更新了也不会改变。
显示 FortiGate 运行时间
1 进入 系统 > 状态。
FortiGate 运行时间以天、小时、分钟显示了 FortiGate 设备从启动到现在所经历的时
间。
显示日志硬盘状态
1 进入 系统 > 状态。
则此功能不可用。FortiGate 设备使用硬盘保存日志消息和隔离的被病毒感染的文件或
被防病毒保护功能阻塞的文件。
备份系统设备
它们:
1 进入 系统 > 状态。
2 选择 系统设置备份。
3 选择 备份系统设置。
4 输入 文件名 和 路径 。
系统设置文件将被保存到管理员电脑上。
5 单击 返回 即可回到状态页面。
如果 FortiGate 设备包含了一个硬盘则可显示日志硬盘状态。如果没有安装硬盘,
可以将系统设置下载到管理员电脑上并保存成一个文本文件,从而以这种方式备份
恢复系统设置
84
可以通过上载一个以前下载过的系统设置文件的方式来恢复系统设置:
1 进入 系统 > 状态。
美国飞塔有限公司
系统状态 将系统设置恢复到出厂设置
2 选择 系统设置恢复 。
3 输入系统设置文件的名称和路径,或者单击 浏览 然后在浏览器中定位文件。
4 单击 确定 将系统设置文件恢复到 FortiGate 上。
FortiGate 将上载系统设置文件并重新启动,调入新的系统设置。
5 重新连接到基于 Web 的管理程序并查看您的系统设置,确认上载的系统设置已经生效
了。
将系统设置恢复到出厂设置
按照以下步骤可以将系统设置恢复到出厂时的设置值。这一操作不会改变固件版
本、病毒防护定义库或是攻击定义库。
警告:这一操作将删除您在 FortiGate 配置中所做的任何改动,并将系统恢复到原始状态,包括
!
复位网络接口的地址。
1 进入 系统 > 状态。
2 选择 恢复出厂设置 。
3 单击 确定 以确认操作。
4 重新连接到基于 Web 的管理程序并查看系统配置,确认它已经恢复到了默认设置。
转换到透明模式
1 进入 系统 > 状态。
2 选择 转换到透明模式。
3 选择 操作模式列表 中的 透明模式 选项。
4 单击 确定 。
5 用以下方法重新连接到基于 Web 的管理程序:将浏览器连接到为透明模式管理访问设
FortiGate 将使用第一次加电时的配置重新启动。
要恢复您的系统设置,请参阅 第 84 页 “ 恢复系统设置” 。
使用如下操作可以将 FortiGate 设备从 NAT/ 路由模式转换到透明模式。当
FortiGate 设备改到透明模式之后,它的配置将被设置为透明模式的默认配置。
FortiGate 现在已经转换到了透明模式。
置的网络接口上,在地址栏输入 https:// 后边是透明模式管理所用的接口的 IP 地址。
在透明模式的默认情况下,您可以连接到内部接口或者 DMZ 接口。默认的透明模式管
理所用的 IP 地址是 10.10.10.1。
FortiGate-300 安装和配置指南
85
转换到 NAT/ 路由模式 系统状态
转换到 NAT/ 路由模式
使用如下操作可以将 FortiGate 设备从透明模式转换到 NAT/ 路由模式。当
FortiGate 设备改到 NAT/ 路由模式式之后,它的配置将被设置为 NAT/ 路由模式的默认
配置。
1 进入 系统 > 状态。
2 选择 转换到 NAT/ 路由模式 。
3 在 操作模式列表 中选择 NAT/ 路由 选项。
4 单击 确定 。
FortiGate 现在已经转换到了 NAT/ 路由模式。
5 用以下方法重新连接到基于 Web 的管理程序:将浏览器连接到为管理访问配置的网络
接口,使用 https:// 后边跟上该接口的 IP 地址。
在 NAT/ 路由模式的默认情况下,您可以连接到内部接口或者 DMZ 接口。默认的 NAT/
路由模式管理所用的 IP 地址是 192.168.1.99。
请见 第 18 页 “ 连接到基于 Web 的管理程序” 或 第 19 页 “ 连接到命令行接
口 (CLI)” 。
重新启动 FortiGate 设备
1 进入 系统 > 状态。
2 单击 重新启动 。
FortiGate 将重新启动。
关闭 FortiGate 设备
1 进入 系统 > 状态。
2 单击 关机 。
FortiGate 将会关闭,所有的连接都被断开。
FortiGate 关闭后,只有切断电源然后再次接通,才能重新启动。
系统状态
您可以使用系统状态监视器显示 FortiGate 系统当前的健康状态信息。系统的健康
状态信息包括 CPU 和内存使用率、活动的通讯会话数、当前使用的网络带宽统计等。
基于 Web 的管理程序同时显示当前的统计信息和过去数分钟内的统计信息。
如果 FortiGate 设备配备了硬盘,系统状态监视器可以显示硬盘的容量、硬盘当前
已使用的和空闲的空间统计。
86
您还可以查看当前的病毒和攻击状态。基于 Web 的管理程序显示当前的病毒和攻击
数量,以及用图形方式显示过去 20 小时内的病毒和攻击等级。
美国飞塔有限公司
Loading...