Fortinet FortiGate 300 User Manual
FortiGate 300
FortiGate!300
Installation!and
安装和配置指南
Configuration!Guide
Esc Enter
FortiGate 用户手册 第一卷
2.50 版
2003 年 7 月 21 日
© Copyright 2003 美国飞塔有限公司版权所有。
本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司的
许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传
播或发布。
FortiGate-300 安装和配置指南
2.50 版
2003 年 7 月 21 日
注册商标
本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。
服从规范
FCC Class A Part 15 CSA/CUS
注意:如果更换的电池型号错误,有可能会导致爆炸。请根据使用说明中的
规定处理用过的电池。
请访问 http://www.fortinet.com 以获取技术支持。
请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送
到 techdoc@fortinet.com。
目 录
简介 ................................................................... 1
防病毒保护 ................................................................... 1
Web 内容过滤 ................................................................. 2
电子邮件过滤 ................................................................. 2
防火墙 ....................................................................... 2
NAT/ 路由模式 .............................................................. 3
透明模式 ................................................................... 3
网络入侵检测系统 (NIDS)..................................................... 3
虚拟专用网络 (VPN).......................................................... 4
高可用性 ..................................................................... 4
安全安装、配置、管理 ......................................................... 4
基于 Web 的管理程序 ......................................................... 5
命令行接口 (CLI).......................................................... 5
日志和报告 ................................................................. 6
2.50 版本的新特点 ............................................................ 6
系统管理 ................................................................... 6
防火墙 Firewall ............................................................ 7
用户和认证 ................................................................. 7
VPN........................................................................ 8
NIDS....................................................................... 8
防病毒 ..................................................................... 8
网页过滤 ................................................................... 8
电子邮件过滤 ............................................................... 8
日志和报告 ................................................................. 9
关于本手册 .................................................................. 10
文档中的约定 ................................................................ 10
Fortinet 的文档 ............................................................. 11
Fortinet 技术文档的注释 ................................................... 12
客户服务和技术支持 .......................................................... 13
目录
开始 .................................................................. 15
包装中的物品 ................................................................ 16
安置 ........................................................................ 16
启动 ........................................................................ 17
连接到基于 Web 的管理程序 .................................................... 18
连接到命令行接口 (CLI) ...................................................... 19
FortiGate-300 安装和配置指南
iii
目录
FortiGate 出厂默认设置 ...................................................... 20
出厂默认的 NAT/ 路由模式的网络配置 ......................................... 20
出厂默认的透明模式的网络设置 .............................................. 21
出厂时默认的防火墙配置 .................................................... 21
出厂时默认的内容配置文件 .................................................. 22
严谨型内容配置文件 ........................................................ 22
扫描型内容配置文件 ........................................................ 23
网页型内容配置文件 ........................................................ 23
非过滤型内容配置文件 ...................................................... 24
规划您的 FortiGate 设备的配置 ................................................ 24
NAT/ 路由模式 ............................................................. 25
具有多个外部网络连接的 NAT/ 路由模式 ....................................... 25
透明模式 .................................................................. 26
配置选项 .................................................................. 26
FortiGate 系列产品参数最大值列表 ............................................ 27
下一步 ...................................................................... 28
NAT/ 路由 模式安装..................................................... 29
准备配置 NAT/ 路由模式 ....................................................... 29
NAT/ 路由模式高级设置 ..................................................... 30
DMZ 接口.................................................................. 30
使用安装向导 ................................................................ 31
启动安装向导 .............................................................. 31
重连接到 基于 Web 的管理程序 ............................................... 31
使用前面板控制按钮和 LCD .................................................... 31
使用命令行界面 .............................................................. 32
将 FortiGate 配置为在 NAT/ 路由模式操作 ..................................... 32
将 FortiGate 连接到网络中 .................................................... 33
配置网络 .................................................................... 34
完成配置 .................................................................... 34
配置 DMZ/HA 接口 .......................................................... 35
设置日期和时间 ............................................................ 35
启用防病毒保护 ............................................................ 35
注册 FortiGate 设备 ........................................................ 35
配置防病毒和攻击定义更新 .................................................. 35
配置举例:到互联网的多重连接 ................................................ 36
配置 Ping 服务器 ........................................................... 37
基于目的地的路由配置举例 .................................................. 38
策略路由的例子 ............................................................ 40
防火墙策略举例 ............................................................ 41
透明模式安装 .......................................................... 43
准备配置透明模式 ............................................................ 43
iv
美国飞塔有限公司
使用安装向导 ................................................................ 43
切换到透明模式 ............................................................ 44
启动安装向导 .............................................................. 44
重连接到 基于 Web 的管理程序 ............................................... 44
使用前面板控制按钮和 LCD .................................................... 44
使用命令行接口 .............................................................. 45
切换到透明模式 ............................................................ 45
配置透明模式的管理 IP 地址 ................................................. 45
配置透明模式的默认网关 .................................................... 45
完成配置 .................................................................... 46
设置日期和时间 ............................................................ 46
启用防病毒保护 ............................................................ 46
注册 FortiGate 设备 ........................................................ 46
配置防病毒和攻击定义更新 .................................................. 46
将 FortiGate 连接到网络中 ................................................... 46
透明模式配置的例子 .......................................................... 48
目录
默认路由和静态路由 ........................................................ 48
到外部网络的默认路由的例子 ................................................ 48
到外部目的地址的静态路由的例子 ............................................ 50
到内部目的地址的静态路由的例子 ............................................ 52
高可用性 .............................................................. 55
主动 - 被动 HA ............................................................... 55
主动 - 主动 HA ............................................................... 56
NAT/ 路由模式下的 HA ......................................................... 57
安装和配置 FortiGate 设备 .................................................. 57
配置 HA 接口 ............................................................... 57
配置 HA 簇 ................................................................ 58
将 HA 簇连接到您的网络 ..................................................... 59
启动 HA 簇 ................................................................. 61
透明模式下的 HA ............................................................. 61
安装和配置 FortiGate 设备 .................................................. 61
配置 HA 接口和 IP 地址 ...................................................... 61
配置 HA 簇 ................................................................ 62
将 HA 簇连接到您的网络中 ................................................... 63
启动 HA 簇 ................................................................. 64
FortiGate-300 安装和配置指南
v
目录
管理 HA 组 ................................................................... 64
查看 HA 簇成员状态 ......................................................... 65
监视簇成员 ................................................................ 65
监视簇会话 ................................................................ 66
查看和管理簇日志消息 ...................................................... 66
单独管理簇中的设备 ........................................................ 67
同步簇配置 ................................................................ 68
返回到独立模式配置 ........................................................ 68
在失效恢复后替换 FortiGate ................................................ 68
高级 HA 选项 ................................................................. 69
从 FortiGate 设备中选择一个主设备 .......................................... 69
配置加权轮询的权重 ........................................................ 69
系统状态 .............................................................. 71
修改 FortiGate 主机名 ........................................................ 72
修改 FortiGate 固件 ......................................................... 72
升级到新版本的固件 ........................................................ 72
恢复到一个旧的固件版本.................................................... 74
使用 CLI 重新启动系统安装固件 .............................................. 76
在安装新版本的固件之前进行测试 ............................................ 78
安装和使用一个备份了的固件映像 ............................................ 80
手动更新病毒防护定义库 ...................................................... 83
手动更新攻击定义库 .......................................................... 83
显示 FortiGate 的序列号 ...................................................... 84
显示 FortiGate 运行时间 ...................................................... 84
显示日志硬盘状态 ............................................................ 84
备份系统设备 ................................................................ 84
恢复系统设置 ................................................................ 84
将系统设置恢复到出厂设置 .................................................... 85
转换到透明模式 .............................................................. 85
转换到 NAT/ 路由模式 ......................................................... 86
重新启动 FortiGate 设备 ...................................................... 86
关闭 FortiGate 设备 .......................................................... 86
系统状态 .................................................................... 86
查看 CPU 和内存状态 ........................................................ 87
vi
查看会话和网络状态 ........................................................ 88
查看病毒和入侵状态 ........................................................ 88
会话列表 .................................................................... 89
美国飞塔有限公司
病毒和攻击定义升级及注册 .............................................. 91
病毒防护定义和攻击定义更新 .................................................. 91
连接到 Forti 响应发布网络 .................................................. 92
配置周期性更新 ............................................................ 93
配置更新日志 .............................................................. 94
添加后备服务器 ............................................................ 94
手工更新病毒防护定义和攻击定义 ............................................ 95
配置推送更新 .............................................................. 95
通过 NAT 设备的推送更新 .................................................... 96
通过代理服务器定期更新 ................................................... 100
注册 FortiGate 设备 ......................................................... 100
FortiCare 服务合同....................................................... 101
注册 FortiGate 设备 ....................................................... 101
更新注册信息 ............................................................... 103
找回丢失的 Fortinet 支持密码 .............................................. 103
查看注册的 FortiGate 设备列表 ............................................. 103
注册一个新的 FortiGate 设备 ............................................... 104
添加或修改 FortiCare 支持合同号 ........................................... 104
修改您的 Fortinet 支持密码 ................................................ 105
修改您的联系信息或安全提示问题 ........................................... 105
下载病毒防护和攻击定义更新 ............................................... 105
RMA 之后注册 FortiGate 设备 ................................................. 106
目录
网络配置 ............................................................. 107
配置网络接口 ............................................................... 107
查看接口列表 ............................................................. 108
启动一个接口 ............................................................. 108
修改一个接口的静态 IP 地址 ................................................ 108
为接口添加第二个 IP 地址 .................................................. 108
为接口添加 ping 服务器 .................................................... 109
控制到接口的管理访问 ..................................................... 109
为接口的连接配置通讯日志 ................................................. 109
使用静态 IP 地址配置外部网络接口 .......................................... 110
使用 DHCP 配置外部网络接口 ................................................ 110
为以太网点对点传输协议 (PPPoE)配置外部网络接口 ......................... 111
修改外部网络接口的 MTU 大小以提高网络性能 ................................. 111
将 DMZ/HA 接口配置为 DMZ 模式 .............................................. 112
将 DMZ/HA 网络接口配置为以 HA 方式工作 ..................................... 112
配置管理接口 ( 透明模式 ) ................................................. 112
添加 DNS 服务器 IP 地址 ...................................................... 113
FortiGate-300 安装和配置指南
vii
目录
配置路由 ................................................................... 113
添加默认路由 ............................................................. 113
向路由表添加基于目的的路由 ............................................... 114
添加路由 (透明模式)..................................................... 115
配置路由表 ............................................................... 115
策略路由 ................................................................. 115
在您的内部网络中提供 DHCP 服务 .............................................. 116
RIP 配置 ............................................................. 119
RIP 设置 ................................................................... 120
为 FortiGate 接口配置 RIP ................................................... 121
添加 RIP 邻居 ............................................................... 123
添加 RIP 过滤器 ............................................................. 123
添加单一 RIP 过滤器 ....................................................... 124
添加一个 RIP 过滤列表 ..................................................... 124
添加一个邻居过滤器 ....................................................... 125
添加一个路由过滤器 ....................................................... 125
系统配置 ............................................................. 127
设置系统日期和时间 ......................................................... 127
更改基于基于 Web 的管理程序的选项 ........................................... 128
添加和编辑管理员帐号 ....................................................... 129
添加新的管理员帐号 ....................................................... 129
编辑管理员帐号 ........................................................... 130
配置 SNMP .................................................................. 131
为 SNMP 监视配置 FortiGate 设备 ............................................ 131
配置 FortiGate 的 SNMP 支持 .............................................. 131
FortiGate 管理信息库 (MIB).............................................. 132
FortiGate 陷阱 ........................................................... 133
定制替换信息 ............................................................... 133
定制替换信息 ............................................................. 134
定制报警邮件 ............................................................. 135
防火墙配置 ........................................................... 137
默认防火墙配置 ............................................................. 138
地址 ..................................................................... 138
服务 ..................................................................... 138
任务计划 ................................................................. 138
内容配置文件 ............................................................. 139
添加防火墙策略 ............................................................. 139
防火墙策略选项 ........................................................... 140
viii
美国飞塔有限公司
配置策略列表 ............................................................... 143
策略匹配的细节 ........................................................... 144
更改策略列表中策略的顺序 ................................................. 144
启用和禁用策略 ........................................................... 144
地址 ....................................................................... 145
添加地址 ................................................................. 145
编辑地址 ................................................................. 146
删除地址 ................................................................. 147
将地址编入地址组 ......................................................... 147
服务 ....................................................................... 148
预定义的服务 ............................................................. 148
访问定制服务 ............................................................. 150
服务分组 ................................................................. 151
任务计划 ................................................................... 152
创建一个一次性任务计划 ................................................... 152
创建周期性任务计划 ....................................................... 153
在策略中添加一个任务计划 ................................................. 154
虚拟 IP .................................................................... 155
添加静态 NAT 虚拟 IP ...................................................... 155
添加端口转发虚拟 IP ...................................................... 156
添加使用虚拟 IP 的策略 .................................................... 157
IP 池 ...................................................................... 158
添加 IP 池 ................................................................ 158
使用固定端口的防火墙策略的 IP 池 .......................................... 159
IP 池和动态 NAT........................................................... 159
IP/MAC 绑定 ................................................................ 160
为穿过防火墙的数据包配置 IP/MAC 绑定 ...................................... 160
为连接到防火墙的数据包配置 IP/MAC 绑定 .................................... 161
添加 IP/MAC 地址 .......................................................... 161
查看动态 IP/MAC 列表 ...................................................... 162
启用 IP/MAC 地址绑定 ...................................................... 162
内容配置文件 ............................................................... 163
默认的内容配置文件 ....................................................... 163
添加一个内容配置文件 ..................................................... 163
将内容配置文件添加到策略 ................................................. 165
目录
用户与认证 ........................................................... 167
设置认证超时 ............................................................... 168
添加用户名并配置认证 ....................................................... 168
添加用户名和配置认证 ..................................................... 168
从内部数据库中删除用户名 ................................................. 169
配置 RADIUS 支持 ............................................................ 169
添加 RADIUS 服务器 ........................................................ 169
删除 RADIUS 服务器 ........................................................ 170
FortiGate-300 安装和配置指南
ix
目录
配置 LDAP 支持 ............................................................. 170
添加 LDAP 服务器 .......................................................... 171
删除 LDAP 服务器 .......................................................... 171
配置用户组 ................................................................. 172
添加用户组 ............................................................... 172
删除用户组 ............................................................... 173
IPSec VPN ............................................................ 175
密钥管理 ................................................................... 175
手工密钥 ................................................................. 176
使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE) ........................ 176
手工密钥 IPSec VPN ......................................................... 176
手工密钥 VPN 的一般配置步骤 ............................................... 177
添加一个手工密钥 VPN 通道 ................................................. 177
自动 IKE IPSec VPN ......................................................... 178
自动 IKE VPN 的一般配置步骤 ............................................... 178
为自动 IKE VPN 添加第一阶段配置 ........................................... 179
为自动 IKE VPN 添加第二阶段配置 ........................................... 182
管理数字证书 ............................................................... 184
获得签名的本地证书 ....................................................... 184
获得一个 CA 证书 .......................................................... 188
配置加密策略 ............................................................... 188
添加源地址 ............................................................... 189
添加目的地址 ............................................................. 189
添加一个加密策略 ......................................................... 190
IPSec VPN 集中器 ........................................................... 191
VPN 集中器 ( 集线器 ) 一般配置步骤 ......................................... 192
添加一个 VPN 集中器 ....................................................... 193
VPN 辐条一般配置步骤..................................................... 194
冗余 IPSec VPN ............................................................. 195
配置冗余 IPSec VPN ....................................................... 195
VPN 监视和问题解答 ......................................................... 196
查看 VPN 通道状态 ......................................................... 196
查看拨号 VPN 连接的状态 ................................................... 197
测试 VPN................................................................. 197
PPTP 和 L2TP VPN ..................................................... 199
配置 PPTP .................................................................. 199
把 FortiGate 配置为 PPTP 网关 .............................................. 200
配置 PPTP 的 Windows98 客户端 .............................................. 202
配置 Windows2000 的 PPTP 客户端 ............................................ 203
配置 WindowsXP 的 PPTP 客户端 .............................................. 204
x
美国飞塔有限公司
L2TP VPN 配置 .............................................................. 205
把 FortiGate 配置为 L2TP 网关 .............................................. 206
配置 Windows2000 客户的 L2TP .............................................. 208
配置 WindowsXP 客户的 L2TP ................................................ 209
网络入侵检测系统 (NIDS) .............................................. 213
检测攻击 ................................................................... 213
选择要监视的网络接口 ..................................................... 213
禁用 NIDS ................................................................ 213
验证校验和的配置 ......................................................... 215
查看攻击特征列表 ......................................................... 215
查看攻击描述 ............................................................. 215
启用和禁用 NIDS 攻击特征 .................................................. 216
添加 用户定义的特征 ...................................................... 217
NIDS 攻击预防 .............................................................. 217
启用 NIDS 攻击预防 ........................................................ 218
启用 NIDS 攻击预防特征 .................................................... 218
设置特征临界值 ........................................................... 219
配置握手溢出特征值 ....................................................... 220
记录 NIDS 攻击日志 .......................................................... 220
将攻击消息记录到攻击日志 ................................................. 220
减少 NIDS 攻击日志消息和报警邮件的数量 .................................... 221
目录
防病毒保护 ........................................................... 223
一般配置步骤 ............................................................... 223
防病毒扫描 ................................................................. 224
文件阻塞 ................................................................... 225
在防火墙通讯中阻塞文件 ................................................... 226
添加用于阻塞的文件名样板 ................................................. 226
隔离 ....................................................................... 226
隔离被感染的文件 ......................................................... 227
隔离被阻塞的文件 ......................................................... 227
查看隔离列表 ............................................................. 227
隔离列表排序 ............................................................. 228
过滤隔离列表 ............................................................. 228
从隔离区中删除文件 ....................................................... 228
下载被隔离的文件 ......................................................... 228
配置隔离选项 ............................................................. 229
阻塞过大的文件和电子邮件 ................................................... 229
配置文件或电子邮件大小限制 ............................................... 229
对邮件片段免除阻塞 ......................................................... 229
查看病毒列表 ............................................................... 230
FortiGate-300 安装和配置指南
xi
目录
网页内容过滤 ......................................................... 231
一般配置步骤 ............................................................... 231
内容阻塞 ................................................................... 232
在禁忌词汇列表中添加单词或短语 ........................................... 232
阻塞对 URL 的访问 ........................................................... 233
使用 FortiGate 网页过滤器 ................................................. 233
使用 Cerberian 网页过滤器 ................................................. 235
脚本过滤 ................................................................... 238
启用脚本过滤 ............................................................. 238
选择脚本过滤选项 ......................................................... 238
URL 排除列表 ............................................................... 239
在 URL 排除列表中添加 URL ................................................. 239
电子邮件过滤 ......................................................... 241
一般配置步骤 ............................................................... 241
电子邮件禁忌词汇列表 ....................................................... 241
在禁忌词汇列表中添加单词或短语 ........................................... 242
电子邮件阻塞列表 ........................................................... 242
在邮件阻塞列表中添加地址模板 ............................................. 242
邮件排除列表 ............................................................... 243
在邮件排除列表中添加地址模板 ............................................. 243
添加一个主题标签 ........................................................... 244
日志和报告 ........................................................... 245
记录日志 ................................................................... 245
在远程电脑上记录日志 ..................................................... 246
在 NetIQ WebTrends 服务器上记录日志 ...................................... 246
将日志记录到 FortiGate 硬盘 ............................................... 246
将日志记录到系统内存 ..................................................... 247
过滤日志消息 ............................................................... 248
配置通讯日志 ............................................................... 249
启用通讯日志 ............................................................. 250
配置通讯过滤设置 ......................................................... 250
添加通讯过滤的条目 ....................................................... 251
查看记录到内存的日志 ....................................................... 252
查看日志 ................................................................. 252
搜索日志 ................................................................. 252
查看和管理保存在硬盘上的日志 ............................................... 253
查看日志 ................................................................. 253
搜索日志 ................................................................. 253
将日志文件下载到管理员电脑 ............................................... 254
删除当前日志中的全部消息 ................................................. 254
删除一个保存了的日志文件 ................................................. 255
xii
美国飞塔有限公司
配置报警邮件 ............................................................... 255
添加报警邮件地址 ......................................................... 255
测试报警邮件 ............................................................. 256
启用报警邮件 ............................................................. 256
术语表 .............................................................. 257
索引 ................................................................. 259
目录
FortiGate-300 安装和配置指南
xiii
目录
xiv
美国飞塔有限公司
简介
FortiGate-300 安装和配置指南 2.50 版
FortiGate 防病毒防火墙支持应用层服务的基于网络的部署,包括防病毒保护和全
内容扫描过滤。FortiGate 防病毒防火墙增强了网络的安全性,避免了网络资源的误用
和滥用,可以帮助您更好地使用通讯资源而不会降低网络的性能。FortiGate 防病毒防
火墙获得了 ICSA 防火墙认证,IP 安全认证和防病毒服务认证。
FortiGate 防病毒防火墙是一个易于管理的安全设备,它提供了一套完整的功能,
包括:
·应用层服务,例如病毒防护和内容过滤,
·网络曾服务,例如防火墙、入侵检测、VPN,以及流量控制等。
FortiGate 采用了先进的行为加速 (Accelerated Behavior)和内容分析系统技术
(ABACAS
独有的,基于 ASIC 上的网络安全构架能实时进行网络内容和状态分析,并及时启动在
网络边界布署的防护关键应用程序,对您的网络进行最有效的安全保护。FortiGate
系列对现有的一些解决方案,如以主机为基础的防病毒保护进行补充,并在大力降低
设备,管理和维修成本的同时,为您提供一些新的应用和服务。
TM
),突破了芯片设计、网络通信、安全防御及内容分析等诸多难点。公司所
防病毒保护
FortiGate-300 型在性能、可用性及
可靠性上满足了企业级应用的需要。拥有
高可用性包括无会话 (Session) 损失的失
效自动恢功能,FortiGate-300 是您企业
中运行重大关键性任务所需的最佳选择。
ICSA 认证的 FortiGate 防病毒保护,可将通过 FortiGate 传输的 WEB (HTTP),
文件传输 (FTP)和 EMAIL(SMTP, POP3, 和 IMAP ) 内容中被病毒感染的文件删除。当
FortiGate 从内容流中检测出病毒时,自动病毒防护功能可以删除那些感染了病毒的文
件,用一条病毒感染信息替换掉原来的文件,然后转发到内容流的接收方。Web 和电子
邮件内容可以是存在于常规网络通讯中的或者是被封装在 IPSec VPN 通讯流中的。
您还可以提高安全防护的级别,将防病毒保护功能设置为阻塞通过 FortiGate 设备
的特定类型的文件。使用这一功能可以阻塞可能含有新型病毒的文件。
如果 FortiGate 设备内配有硬盘,可以将被感染或被阻塞的文件隔离。FortiGate
管理员可以下载被隔离的文件,然后对它们进行病毒扫描,杀毒,再将它们发送给原
来的接收者。您也可以将 FortiGate 设备配置为每过一段时间就自动删除被隔离的文
件。
当 FortiGate 设备从内容流中检测到病毒并将它删除的时候,它可以向系统管理员
发送一封报警邮件。
FortiGate-300 安装和配置指南
1
Web 内容过滤 简介
ICSA LABS 认证了 FortiGates 的以下功能:
·100% 检测到 The Wild List(www.wildlist.org) 中列举的所有病毒。
·检测 PKZip 格式压缩文件中的病毒。
·检测以 UUENCODE 格式编码的 EMAIL 中的病毒。
·检测以 MIME 格式编码的 EMAIL 中的病毒。
·在扫描同时对所有动作进行日志记录。
Web 内容过滤
FortiGate Web 内容过滤可设置为扫描 URL 和 WEB 网页内容中的全部 HTTP 内容协
议数据流。如果在 URL 阻塞列表中找到与 URL 匹配的条目 , 或在网页中发现了内容阻
塞列表中的词或短语, FortiGate 将阻塞此页。被阻塞的网页会被一条内容阻塞消息
所替代,您可以使用基于 Web 的管理程序编缉这个消息。
通过设置 URL 阻塞可以阻挡来自某一网站上的所有或部分网页。利用这一特点,
可拒绝某个站点中的部分而不是阻塞整个网站。
为防止无意封锁到一些合法的网页,可将 URLs 添加到一则例外列表中,从而覆盖
URL 封锁及内容封锁列表中的设置。
电子邮件过滤
防火墙
Web 网页内容过滤也包括脚本过滤,它可以配置为阻塞如下一些非安全 web 内容
如 Java 小程序、Cookies、ActiveX。
您还可以使用 Cerberian URL 阻塞去阻塞不受欢迎的 URL。
通过配置 FortiGate 的电子邮件过滤功能,可以扫描所有的 IMAP 和 POP3 邮件内
容,找出不受欢迎的发件人或不受欢迎的内容。如果发现某个邮件的发件人地址与电
子邮件阻塞列表中的某一项相匹配,或者在邮件的内容中含有和禁忌词汇列表中的词
汇相匹配的内容,FortiGate 会在这个邮件的标题栏中添加一个电子邮件标签。接收者
可以用他们的电子邮件客户端软件根据这个电子邮件标签过滤不想要的邮件。
对于所有的或部分已知的广告邮件发送组织,您可以通过配置电子邮件阻塞功能在
属于这些组织的发件人所发送的电子邮件上添加电子邮件标签。为了避免无意中在正
常发件人发送的邮件上加上电子邮件标签,您可以将发件人的地址模板添加到一个排
除列表中,以使该发件人发送的邮件不收邮件阻塞功能和禁忌词汇列表的限制。
ICSA 认证的 FortiGate 防火墙可以在互联网这个充满敌意的环境中保护您的电脑
网络。ISCA 已对 FortiGate 防火墙 4.0 版本授予了证书,确保了 FortiGates 可以成功
保护企业网络不受来自公共或其它非信任网络的各种威胁。
在完成 FortiGate 的基本安装后,防火墙可设置为允许用户从受保护内部网络访问
Internet,并同时封锁从 Internet 到内部网的访问。您可对防火墙进行设置,使其对
从内部网到 Internet 的访问,和从 Internet 到内部往的访问加以控制。
2
美国飞塔有限公司
简介 网络入侵检测系统 (NIDS)
您可以使用以下选项灵活地配置 FortiGate 安全策略 :
·控制所有进入和输出的网络流通,
·控制加密的 VPN 流通,
·应用防病毒保护和 WEB 内容过滤,
·阻塞或允许对全部策略选项的访问,
·根据单个策略进行控制,
·接受或拒绝出入单个地址的流通,
·单独或成组地控制标准的和用户定义的网络服务,
·要求用户在获取访问之 前进行用户认证,
·包含了流通控制用以设置每条策略的访问优先权和带宽保证或带宽限制,
·包含日志用以逐个追记某策略下的网络连接,
·包含网络地址转换/路由 (NAT/ 路由)模式策略,
·包含混合 NAT 和路由模式策略。
FortiGate 防火墙支持网络地址转换 / 路由模式或透明模式。
NAT/ 路由模式
在 NAT/ 路由模式下 , 您可创建 NAT 模式和路由模式策略。
·NAT 模式策略通过网络地址转换对较不安全网络中的用户隐藏较安全网络中的地址。
·路由模式策略在不执行地址转换下接受或拒绝网络间的连接。
透明模式
透明模式提供了与 NAT 模式相同的基本防火墙保护。从 FortiGate 中接收到的数据
包根据防火墙策略可被智能地转发或阻塞掉。FortiGate 可插入到网络的任何一点而不
需要对此网络或其它相关组件做任何的改变。然而,VPN 及一些高级防火墙功能只能在
NAT/ 路由模式下使用。
网络入侵检测系统 (NIDS)
FortiGate 网络入侵侦测系统 (NIDS) 是一种实时网络入侵探测器,它能对外界各
种可疑的网络活动进行识别及采取行动。NIDS 通过攻击特征来识别超过 1000 种的攻
击。您可以启用或禁止 NIDS 对某一类型的攻击进行检测。还可以自行编写攻击特征从
而生成用户自定义的攻击类型检测。
NIDS 可以防止探测、大部分常见的拒绝服务攻击和基于数据包的攻击。您可以启
用或禁用预防攻击的特征,和定制攻击检测的灵敏度和其他参数。
为通知系统管理员有攻击,NIDS 将此攻击及一切可疑流通记录到攻击日志中,并
根据设置发送报警 EMAIL。
Fortinet 可定期更新攻击数据库。您可下载并手动安装攻击数据库。也可设置
FortiGate 自动查询和下载更新的 IDS 数据库。
FortiGate-300 安装和配置指南
3
虚拟专用网络 (VPN) 简介
虚拟专用网络 (VPN)
使用 FortiGate 虚拟专用网 (VPN), 可为您在办公网络和分散的办公室网络、从
远程安全通讯系统登陆到公司网的用户或旅行者 之间提供一个安全的网络连接。
FortiGate VPN 包括以下特性 :
·执行行业标准及 ICSA 认证的 IPSec VPN 包括 :
·在通道模式下的 IPSec, ESP 安全,
·DES 和 3DES (triple-DES) 加密的硬件加速,
·HMAC MD5 和 HMAC SHA1 认证和数据整体化,
·基于预置密钥隧道的自动密钥交换,
·使用本地验证或 CA 验证的 IPSec VPN ,
·手工密钥通道,
·Diffie-Hellman 组 1、2、和 5,
·积极模式和主模式,
·重放检测,
·向前保密,
·XAuth 认证 ,
·失效对等检测,
·易于连接的 PPTP,支持为大多数常用的操作系统所支持的 VPN 标准。
·易于连接的 L2TP,支持为大多数常用的操作系统所支持的更加安全的 VPN 标准。
·基于 IPSec VPN 流通控制的防火墙策略。
·IPSec NAT 跨越技术使得位于 NAT 后边的远程 IPSec VPN 网关或客户端可以连接到
IPSec VPN 通道。
·用 VPN 集中器的 VPN 星形连接,可以使 VPN 流通从一个通道经 FortiGate 连接到另一
个通道。
·IPSec 冗余可以创建到远程网络的自动密钥交换 IPSec VPN 连接。
高可用性
冗余硬件实现 HA 功能,匹配在 NAT/ 路由模式运行下的 FortiGate。您可以将
FortiGates 配置为主动 - 被动 (A-P) 模式或主动 - 主动 (A-A)HA 模式。
证了当 HA 组中一个 FortiGate 失效,所有功能及已建的防火墙连接仍能维持现状。
安全安装、配置、管理
地址及安全策略配置。为了使 FortiGate 开始保护您的网络,只需连接到基于 Web 的
管理程序,设置操作模式并使用安装向导来配置您网络的 FortiGate IP 地址。在此基
础上,可用基于 Web 的管理程序来进行更进一步的配置以满足您更多的需要。
4
高可用性 (HA) 提供两个或多个 FortiGate 之间的 失效恢复机制。Fortinet 通过
A-P 模式和 A-A 模式的 HA 均使用类似的高可用性冗余硬件配置。高可用性软件保
安装过程即快捷又简单。 初次启动 FortiGates 时,它已经配置为使用默认的 IP
您也可使用 FortiGate 面板上的控制按钮和 LCD 对其进行基本配置。
美国飞塔有限公司
简介 安全安装、配置、管理
基于 Web 的管理程序
从任何一个装有 IE 流览器的电脑上以 HTTP 或安全 HTTPS 方式连接到基于 Web 的
管理程序,即可对 FortiGates 设备进行配置和管理。基于 Web 的管理程序支持多种语
言。您可以从任何 FortiGate 接口将 FortiGate 设备配置为使用 HTTP 或 HTTPs 进行管
理维护。
您可以使用基于 Web 的管理程序完成大部分 FortiGate 配置工作。也可以使用基于
Web 的管理程序监视 FortiGate 设备的状态。使用 基于 Web 的管理程序对配置所做的
修改会立即生效,而无须重新启动防火墙或中断服务。您可以将已经完成的配置下载
并保存。您所保存的设置可以在任何时间恢复到系统中。
图 1: FortiGate 基于 Web 的管理程序 和设置向导
命令行接口 (CLI)
FortiGate-300 安装和配置指南
您可以将管理员计算机的串行通讯接口连接到 FortiGate 的 RS-232 串行控制台接
口上,从而访问 FortiGate 命令行控制界面 (CLI)。或者也可以使用 Telnet 或者安
全的 SSH 连接方式从任何与 FortiGate 连接的网络,包括互联网,中访问 CLI 界面。
CLI 具有和 基于 Web 的管理程序相同的管理和监视功能。另外,您可以使用 CLI
进行一些高级配置工作,这是 基于 Web 的管理程序无法实现的。
包含了有关基本 CLI 命令和高级 CLI 命令的信息。您可以在
中找到关于如何连接到 CLI 和如何使用 FortiGate CLI 的更加完整和详细的说明。
安装和配置指南
中
FortiGate CLI 参考指南
5
2.50 版本的新特点 简介
日志和报告
FortiGate 支持记录各种类别的流通和配置修改。您可将日志设置如下:
·报告连接到防火墙接口的通讯,
·报告被使用的网络服务,
·报告被防火墙策略允许的通讯,
·报告被防火墙策略拒绝的通讯,
·报告配置改变和其它一些管理事件,如 IPSec 通道协商、 病毒检测、攻击、web 网
页阻塞,
·报告被 NIDS 检测到的攻击,
·向系统管理员发送报警 EMAIL 以报告病毒事件、入侵及防火墙或 VPN 事件及异常违法
情况。
日志可被传送到远程系统日志服务器或以 WebTrends 增强日志格式传输到远程
WebTrends NetIQ 安全报告中心和防火墙服务器上。某些型号的防火墙可将日志存储在
可选择的内置硬盘上。如果没有安装硬盘,您可配置 FortiGate 日志和报告,把最近
的事件记录到共享系统内存中去。
2.50 版本的新特点
系统管理
本节主要描述了 Forti0S v2.50 中的一些新的特征:
·改善了 FortiGate 系统健康状态监视图象功能,包括 CPU 及内存的使用率,会话数
量,网 络 带宽使用率,以及检测到的病毒和入侵的数量,详细内容请见 第 86 页
“ 系统状态” 。
·修订了防病毒和攻击定义更新功能,使其连接到新版本的 Fortinet 响应发布网络。
现在可以以小时为单位进行定期更新,并且,系统 > 更新页面显示关于更新状态的
更多的详细信息。详情请见 第 91 页 “ 病毒防护定义和攻击定义更新” 。
·可以从基于 Web 的管理程序直接连接到 Fortinet 技术支持网页的页面。您可以注册
您的 FortiGate 设备并获得访问其他技术支持资源的权利。详情请见 第 100 页
“ 注册 FortiGate 设备” 。
网络配置
·新的网络接口配置选项,详情请见 第 107 页 “ 配置网络接口” 。
·在所有网络接口上的 Ping 服务器和失效网关检测,
·从任何接口进行 HTTP 和 Telnet 管理访问,
·所有 FortiGate 网络接口的第二个 IP 地址。
路由
·简单的基于方向的路由配置。
·高级策略路由配置 (仅限于 CLI)。
DHCP 服务器
·在 DHCP 配置中添加了 WINS 服务器。
6
美国飞塔有限公司
简介 2.50 版本的新特点
路由信息协议 (RIP)
·新的 RIP v1 和 v2 功能。详情请见 第 119 页 “ RIP 配置” 。
简单网络管理协议 (SNMP)
·支持 SNMP v1 和 v2。
·支持 RFC 1213 和 RFC 2665。
·监视全部的 FortiGate 配置和功能。
·详情请见 第 131 页 “ 配置 SNMP” 。
HA
·主动 - 主动模式的 HA 使用了交换机,并且具有选择时间表的能力
·透明模式的 HA
·HA 簇的 A/V 更新
·HA 功能的配置同步
详情请见 第 55 页 “ 高可用性” 。
替换信息
您可以定制 FortiGate 设备发送的以下替换信息:
·当检测到病毒时,
·当有文件被阻塞时,
·当一个碎片文件被阻塞时,
·发送警报邮件时。
防火墙 Firewall
·防火墙的默认配置有一些改动,详情请见 第 138 页 “ 默认防火墙配置” 。
·在所有接口上添加了虚拟 IP。详情请见 第 155 页 “ 虚拟 IP” 。
·为防火墙策略添加了内容配置文件,可以组合有关阻塞、扫描、隔离、网页内容阻塞
用户和认证
·LDAP 认证。详情请见 第 170 页 “ 配置 LDAP 支持” 。
详情请见 第 133 页 “ 定制替换信息” 。
和电子邮件过滤的有关配置信息。详情请见 第 163 页 “ 内容配置文件” 。
FortiGate-300 安装和配置指南
7
2.50 版本的新特点 简介
VPN
NIDS
防病毒
关于 FortiGateVPN 功能的详细说明请见
·第一阶段
·AES 加密
·证书
·高级选项,包括拨号组、对等、Peer, XAUTH, NAT 跨越,DPD
·第二阶段
·AES 加密
·加密策略选择服务
·生成和导入本地证书
·导入 CA 证书
关于 FortiGate NIDS 功能的完整说明,请见
括:
·攻击检测特征分组
·用户定义的攻击预防方式
·在多个接口监视攻击
·用户定义的攻击检测特征
FortiGate VPN 指南
FortiGate NIDS 指南
。新的特性包括:
。新特性包
网页过滤
电子邮件过滤
关于 FortiGate 防病毒功能的完整说明请见
括:
·内容配置文件
·隔离含有病毒的文件或被阻塞的文件
·阻塞大小超过限制的文件
关于 FortiGate 网页过滤功能的完整说明,请见
性包括:
·Cerberian URL 过滤
关于 FortiGate 电子邮件过滤功能的完整说明请见
FortiGate 内容保护指南
FortiGate 内容保护指南
FortiGate 内容保护指南
。新特性包
。新特
8
美国飞塔有限公司
简介 2.50 版本的新特点
日志和报告
关于 FortiGate 日志记录的详细说明请见
·使用 CSV 格式将日志记录到远程主机
·日志消息级别:紧急、警报、危急、错误、警告、注意、信息
·日志级别策略
·通讯日志过滤
·新病毒、网页过滤和电子邮件过滤日志
·支持认证的报警邮件
·抑制邮件泛滥
·扩展的 WebTrends 活动图表支持
FortiGate 日志和消息参考指南。
FortiGate-300 安装和配置指南
9
关于本手册 简介
关于本手册
安装和配置向导描述了如何安装和配置 FortiGate-300。本手册包含以下内容:
·开始 描述了拆包,安置,和启动 FortiGate。
·NAT/ 路由 模式安装 描述了如果您希望 FortiGate 运行于 NAT/ 路由模式,应当如何
安装。
·透明模式安装 描述了如果您希望 FortiGate 运行于透明模式,应当如何安装。
·高可用性 描述了如何安装和配置以高可用性方式配置和运行的 FortiGate 设备。
·系统状态 描述了如何查看您的 FortiGate 设备的当前状态,以及相关的系统进度,
包括安装更新的 FortiGate 固件,备份和恢复系统设置,在透明模式和 NAT/ 路由
模式间切换等等。
·病毒和攻击定义升级及注册 描述了病毒和攻击定义自动更新的配置方法。本章还包
括了连接到 FortiGate 技术支持网站和注册您的 FortiGate 设备所需的步骤。
·网络配置 描述了如何配置接口、配置路由以及如何在 FortiGate 上为您的内部网络
配置 DHCP 服务器。
·RIP 配置 描述了 FortiGate RIP2 如何实现以及如何配置 RIP 的相关设置。
·系统配置 描述了在系统 > 配置 基于 Web 的管理程序页可以进行的系统管理操作。
本章描述了如何设置系统时间、添加和更改有管理权限的用户,配置 SNMP,以及编
辑可自定义的消息。
·防火墙配置 描述了如何配置防火墙策略以控制通过 FortiGate 设备的数据通讯,和
对数据通讯应用内容过滤。
·用户与认证 描述了如何在 FrotiGate 用户数据库中添加用户名,如何将 FortiGate
配置为连接到一个 RADIUS 服务器进行用户认证。
·IPSec VPN 描述如何配置 FortiGate IPSec VPN 。
·PPTP 和 L2TP VPN 描述了如何在 FortiGate 和 windows 客户端之间配置 PPTP 和 L2TP
VPN。
·网络入侵检测系统 (NIDS) 描述了如何配置 FortiGate NIDS 以检测和阻止网络攻
击。
·防病毒保护 描述了如何使用 FortiGate 保护您的网络不受病毒和蠕虫的侵袭。
·网页内容过滤 描述了如何配置网页内容过滤以阻止不受欢迎的网页内容通过
FortiGate。
·电子邮件过滤描述了如何配置电子邮件过滤以阻止不受欢迎的电子邮件内容。
·日志和报告 描述了如何配置日志和报警邮件以记录和响应 FortiGate 的活动。
·术语表 定义了在本手册中使用的一些术语。
文档中的约定
10
本指南使用以下约定来描述 CLI 命令的语法。
·尖括号 <> 所围的内容为可替换的关键词
例如:
美国飞塔有限公司
简介 Fortinet 的文档
要执行 restore config < 文件名 _ 字符串 >
您应当输入 restore config myfile.bak
<xxx_ 字符串 > 表示一个 ASCII 字符串关键词。
<xxx_ 整数 > 表示一个整数关键词。
<xxx_ip> 表示一个 IP 地址关 键词。
·竖线和波形括号 {|} 表示从波形括号中的内容中任选其一。
例如:
set system opmode {nat | transparent}
您可以输入 set system opmode nat 或 set system opmode
transparent
·方括号 [ ] 表示这个关键词是可选的
例如:
get firewall ipmacbinding [dhcpipmac]
您可以输入 get firewall ipmacbinding 或
get firewall ipmacbinding dhcpipmac
Fortinet 的文档
从 FortiGate 用户手册的以下各卷中可以找到关于 FortiGate 产品的对应信息:
·第一卷:FortiGate 安装和配置指南
描述了 FortiGate 设备的安装和基本配置方法。还描述了如何使用 FortiGate 的防
火墙策略去控制通过 FortiGate 设备的网络通讯,以及如何使用防火墙策略在通过
FortiGate 设备的网络通讯中对 HTTP、FTP 和电子邮件等内容应用防病毒保护、网
页内容过滤和电子邮件过滤。
·第二卷:FortiGate 虚拟专用网络 (VPN)指南
包含了在 FortiGate IPSec VPN 中使用认证、预置密钥和手工密钥加密的更加详细
的信息。还包括了 Fortinet 远程 VPN 客户端配置的基本信息,FortiGate PPTP 和
L2TP VPN 配置的详细信息,以及 VPN 配置的例子。
·第三卷:FortiGate 内容保护指南
描述了如何配置防病毒保护,网页内容过滤和电子邮件过滤,以保护通过
FortiGate 的内容。
·第四卷:FortiGate NIDS 指南
描述了如何配置 FortiGate NIDS,以检测来自网络的攻击,并保护 FortiGate 不受
其威胁。
·第五卷:FortiGate 日志和消息参考指南
描述了如何配置 FortiGate 的日志和报警邮件。还包括了 FortiGate 日志消息的说
明。
·第六卷:FortiGate CLI 参考指南
描述了 FortiGate CLI,并且还包含了一个 FortiGate CLI 命令的说明。
FortiGate-300 安装和配置指南
FortiGate 在线帮助也包含了使用 FortiGate 基于 Web 的管理程序配置和管理您的
FortiGate 设备的操作步骤说明。
11
Fortinet 的文档 简介
Fortinet 技术文档的注释
如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您将有
关信息发送到 techdoc@fortinet.com。
12
美国飞塔有限公司
简介 客户服务和技术支持
客户服务和技术支持
请访问我们的技术支持网站,以获取防病毒保护和网络攻击定义更新、固件更新、
产品文档更新,技术支持信息,以及其他资源。网址:
http://support.fortinet.com。
您也可以到 http://support.fortinet.com 注册您的 FortiGate 防病毒防火墙或
在任何时间登陆到该网站更改您的注册信息。
以下电子邮件信箱用于 Fortinet 电子邮件支持:
amer_support@fortinet.com 为美国、加拿大、墨西哥、拉丁美洲和南美地区的客户提供服
apac_support@fortinet.com 为日本、韩国、中国、中国香港、新加坡、马来西亚、以及其
eu_support@fortinet.com 为英国、斯堪的纳维亚半岛、欧洲大陆、非洲和中东地区的客
关于 Fortinet 电话支持的信息,请访问 http://support.fortinet.com。
当您需要我们的技术支持的时候,请您提供以下信息:
·您的姓名
·公司名称
·位置
·电子邮件地址
·电话号码
·FortiGate 设备生产序列号
·FortiGate 型号
·FortiGate FortiOS 固件版本
·您所遇到的问题的详细说明
务。
他所有亚洲国家和澳大利亚地区的客户提供服务。
户提供服务。
FortiGate-300 安装和配置指南
13
客户服务和技术支持 简介
14
美国飞塔有限公司
开始
FortiGate-300 安装和配置指南 2.50 版
本章描述了有关拆包、安装及如何启动 FortiGate 防病毒防火墙的内容。 一旦完
成此章内容,您可按如下章节进行配置 :
·如果要在 NAT/ 路由 模式下运行 FortiGate, 请参阅 第 29 页 “ NAT/ 路由 模式
安装” 。
·如果要在 透明 模式下运行 FortiGate,请参阅 第 43 页 “ 透明模式安装” 。
·如果要在 HA 模式下运行两个或多个 FortiGate, 请参阅 第 55 页 “ 高可用
性” 。
本章叙述了以下内容:
·包装中的物品
·安置
·启动
·连接到基于 Web 的管理程序
·连接到命令行接口 (CLI)
·FortiGate 出厂默认设置
·规划您的 FortiGate 设备的配置
·FortiGate 系列产品参数最大值列表
·下一步
FortiGate-300 安装和配置指南
15
包装中的物品 开始
包装中的物品
FortiGate-300 包装中含有以下物品:
·FortiGate-300 防病毒防火墙
·一根黄色交叉连接以太网电缆
·一根灰色普通以太网电缆
·一根串行通信电缆
·FortiGate-300 快速入门手册
·一根电源线
·包含了用户手册内容的光盘
·两个 19 英寸机架安装支架
图 2: FortiGate-300 包装中的物品
安置
16
FortiGate-300 可安置在 19 英寸标准机架上。它需占据机架中 1 U 的空间。
FortiGate-300 也可被独立安装在任何稳定平台上。独立安装需确保在其周围每側
留有 1.5 英寸 (3.75 厘米 ) 的空间以保证空气流通和风冷。
尺寸
·16.75 x 11 x 1.75 英寸 42.7 x 27.8 x 4.5 厘米
美国飞塔有限公司
Loading...