Fortinet FortiGate 60M, FortiWiFi 60 User Manual
FortiGate-60/60M/ADSL,
FortiWiFi-60,
FortiGate-100A
V3.0 MR1 设备安装手册
www.fortinet.com
I N S T A L L G U I V3.0 MR1 FortiGate-60
2006年4月10日
01- 30001-0266-20060410
© Copyright 2006 美国飞塔有限公司版权所有。
本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔
有限公司的许可,不得因任何用途以电子、机械、人工、光学或
其它任何手段翻印、传播或发布。
注册商标
动态威胁防御系统(DTPS), APSecure, FortiASIC, FortiBIOS,
FortiBridge, FortiClient, FortiGate,FortiGate 统一威胁管理系统,
FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus,
FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiManager,
Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter,
FortiResponse, FortiShield, FortiVoIP 和 FortiWiFi 均是飞塔有限公
司的注册商标(包括在美国和在其他国家的飞塔有限公司)。
本手册中提及的公司和产品由他们各自的所有者拥有其商标或注
册商标。
服从规范
FCC Class A Part 15 CSA/CUS
系列以及
FortiGate-100 A
设备安装手册
注意:如果您安装的电池型号有误,可能会导致爆炸。请根
据使用说明中的规定处理废旧电池。
目录
简介........................................................ 6
Fortinet 产品家族 ................................................. 6
FortiGuard服务订制............................................................................................. 6
FortiClient............................................................................................................. 7
FortiMail............................................................................................................... 7
FortiAnalyzer........................................................................................................7
FortiReporter......................................................................................................... 7
FortiBridge............................................................................................................ 7
FortiManager......................................................................................................... 7
关于FortiGate设备 ................................................. 8
FortiGate-60/60M/ADSL...................................................................................... 8
FortiWiFi-60......................................................................................................... 8
FortiGate-100A..................................................................................................... 8
关于本手册 ........................................................ 8
该手册中的注释................................................................................................... 9
排版说明............................................................................................................... 9
FortiGate技术文档 ................................................ 10
Fortinet 知识库.................................................................................................. 11
Fortinet 技术文档的建议与意见...................................................................... 11
客服与技术支持 ................................................... 11
FortiGate设备安装.......................................... 12
设备包装 ......................................................... 12
FortiGate-60/60M/ADSL.................................................................................... 12
FortiWiFi-60....................................................................................................... 13
FortiGate-100A................................................................................................... 13
启动FortiGate设备 ................................................ 14
启动FortiGate设备 ............................................................................................. 14
连接FortiGate设备 ................................................ 15
基于web的管理器.............................................................................................. 15
命令行接口(CLI) .......................................................................................... 15
连接到基于web的管理器.................................................................................. 16
连接到CLI(命令行接口) .............................................................................. 18
使用出厂默认设置快速启动FortiGate设备 ............................ 19
出厂默认设置............................................... 21
出厂默认的DHCP服务器配置 ......................................... 21
出厂默认的NAT/ 路由模式的网络配置 ................................ 21
出厂默认的透明模式的网络配置 ..................................... 23
出厂默认防火墙设置 ............................................... 23
出厂默认的防火墙保护内容设置 ..................................... 23
恢复出厂默认设置 ................................................. 24
3 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
使用基于web的管理器恢复默认的出厂设置.................................................. 24
使用CLI恢复默认的出厂设置 .......................................................................... 25
在网络中配置FortiGate设备 .................................. 26
规划FortiGate配置 ................................................ 26
NAT/路由模式安装 ................................................. 26
设置公共FortiGate接口对Ping命令请求不作出响应 .................... 29
NAT/路由模式安装 ................................................. 30
配置FortiGate设备的NAT/路由模式准备 ........................................................ 30
配置使用DHCP或PPPoE................................................................................... 31
使用基于web的管理器...................................................................................... 31
使用命令行接口(CLI) .................................................................................. 33
将FortiGate设备连接到网络中 ......................................................................... 35
配置网络............................................................................................................. 36
透明模式安装 ..................................................... 36
配置透明模式的准备......................................................................................... 37
使用基于web的管理器...................................................................................... 37
使用命令行接口(CLI) .................................................................................. 38
将FortiGate设备连接到网络 ............................................................................. 39
下一步 ........................................................... 40
设置系统日期与时间......................................................................................... 40
FortiGate设备注册 ............................................................................................. 40
更新病毒防护与IPS特征................................................................................... 41
配置modem接口.............................................. 44
设置modem接口模式 ................................................ 44
冗余模式配置..................................................................................................... 44
单机模式配置..................................................................................................... 45
对FortiGate-60 与FortiWiFi-60 设备配置modem ....................... 47
对Modem连接添加防火墙策略 ........................................ 50
配置ADSL接口............................................... 51
使用web管理器配置ADSL接口 ........................................ 51
配置基本ADSL设置 .......................................................................................... 51
配置ADSL接口使用DHCP ............................................................................... 52
配置接口使用PPPoE或PPPoA.......................................................................... 52
使用CLI配置ADSL接口 .............................................. 54
对ADSL连接添加防火墙策略 .......................................................................... 58
无线网络的使用............................................. 59
建立无线网络 ..................................................... 59
AP定位 ............................................................................................................... 59
无线电频率对接................................................................................................. 60
使用多个访问点................................................................................................. 60
4 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
无线安全 ......................................................... 61
无线等效协议(WEP) .................................................................................... 61
WPA.................................................................................................................... 61
其它的无线网络安全方式................................................................................. 62
MAC地址过滤 ................................................................................................... 62
服务设置标识符(SSID)................................................................................ 62
FortiWiFi-60 设备操作模式......................................... 62
访问点(AP)模式 ........................................................................................... 62
用户模式............................................................................................................. 63
在网络中配置FortiWiFi-60 设备作为访问点(AP)..................... 64
配置DHCP设置.................................................................................................. 64
设置安全选项..................................................................................................... 64
配置防火墙策略................................................................................................. 65
FortiGate固件.............................................. 66
升级为新的固件版本 ............................................... 66
恢复为旧的固件版本 ............................................... 67
使用CLI在系统重启过程中安装固件镜像 .............................. 70
FortiUSB 密钥 .................................................... 72
安装固件之前测试新的固件镜像 ..................................... 74
安装并使用备份固件镜像 ........................................... 76
安装备份固件镜像............................................................................................. 76
5 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
简介
欢迎选购Fortinet产品构筑实时网络防护。
FortiGate
的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络的
性能。FortiGate病毒防火墙获得了ICSA 防火墙认证,IP 安全认证和
防病毒服务认证。
FortiGate统一威胁管理系统是致力于网络安全的,易于管理的安全设
备。其功能齐备,包括:
·应用层服务,例如病毒防护和内容过滤,
·网络层服务,例如防火墙、入侵检测、VPN以及流量控制等。
FortiGate统一威胁管理系统采用了先进的行为加速(Accelerated
Behavior)和内容分析系统技术(ABACASTM),具有芯片设计、网
络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC
上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署
在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全
保护。
Fortinet 产品家族
Fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,
报告,网络管理,安全性管理以及FortiGate 统一安全性威胁管理系统
的既有软件也有硬件设备的产品。
更多Fortinet产品信息,详见
FortiGuard服务订制
FortiGuard 服务定制是全球Fortinet安全专家团队建立,更新并管理的
安全服务。Fortinet安全专家们确保最新的攻击在对您的资源损害或感
染终端用户使用设备之前就能够被检测到并阻止。FortiGuard服务均以
最新的安全技术构建,以最低的运行成本考虑设计。
FortiGuard 服务订制包括:
·FortiGuard 反病毒服务
• FortiGuard 入侵防护(IPS)服务
• FortiGuard 网页过滤服务
• FortiGuard 垃圾邮件过滤服务
• FortiGuard Premier伙伴服务
并可获得在线病毒扫描与病毒信息查看服务。
TM
统一威胁管理系统增强了网络的安全性,避免了网络资源
www.fortinet.com/products .
6 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
FortiClient
FortiMail
FortiAnalyzer
FortiReporter
FortiBridge
FortiManager
FortiClient TM 主机安全软件为使用微软操作系统的桌面与便携电脑用
户提供了安全的网络环境。FortiClient的功能包括:
• 建立与远程网络的VPN连接
• 病毒实时防护
• 防止修改Windows注册表
• 病毒扫描
FortiClient还提供了无人值守的安装模式,管理员能够有效的将预先配
置的FortiClient分配到几个用户的计算机。
FortiMail
描与报告功能。FortiMail单元在检测与屏蔽恶意附件例如DCC
(Distributed Checksum Clearinghouse)与Bayesian扫描方面具有可靠
的高性能。在Fortinet卓越的FortiOS与 FortiASIC技术的支持下,
FortiMail反病毒技术深入扩展到全部的内容检测功能,能够检测到最
新的邮件威胁。
FortiAnalyzer
避免网络受到攻击与漏洞威胁。FortiAnalyzer具有以下功能:
• 从FortiGate与syslog设备收集并存储日志。
• 创建日志用于收集日志数据。
• 扫描与报告漏洞。
• 存储FortiGate设备隔离的文件。
FortiAnalyzer也可以配置作为网络分析器用来在使用了防火墙的网络
区域捕捉实时的网络流量。您也可以将FortiAnalyzer用作存储设备,用
户可以访问并共享存储在FortiAnalyzer硬盘的报告与日志。
FortiReporter™安全性分析软件生成简洁明的报告并可以从任何的
FortiGate设备收集日志。FortiReporter可以暴露网络滥用情况,管理带
宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。
FortiReporter还允许IT管理员能够识别并对攻击作出响应,包括在安全
威胁发生之前先发性的确定保护网络安全的方法。
FortiBridge™产品是设计应用于当停电或是FortiGate系统故障时,提供
给企业用户持续的网络流量。FortiBridge绕过FortiGate设备,确保网络
能够继续进行流量处理。FortiBridge产品使用简单,部署方便;您可
以设置在电源或者FortiGate系统故障发生的时FortiBridge设备所应采
取的操作。
FortiManager™系统设计用来满足负责在许多分散的FortiGate安装区
域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的
TM
安全信息平台针对邮件流量提供了强大且灵活的启发式扫
TM
为网络管理员提供了有关网络防护与安全性的信息,
7 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
需要。拥有该系统,您可以配置多个FortiGate并监控其状态。您还能
够查看FortiGate设备的实时与历史日志,包括管理FortiGate更新的固
件镜像。FortiManager 系统注重操作的简便性包括与其他第三方系统
简易的整合。
关于FortiGate设备
FortiGate-60系列以及FortiGate-100A设备是应用于小型企业级别的(包
括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、VPN
以及基于网络的入侵检测与防护为一体的FortiGate系统模块。
FortiGate-60系列以及FortiGate-100A设备支持高可靠性(HA)性能。
FortiGate-60/60M/ADSL
FortiGate-60设备设计
应用于远程工作用户
以及零售店操作用户。
FortiGate-60设备中含
有一个外部调制解调
器接口,可以作为备用
接口或作为与单机连接接入到互联网,该设备中还拥有一个内部调制
解调器也能够作为一个到互联网的备份或单机连接。
FortiGate-60ADSL中包括一个内部ADSL调制解调器。
FortiWiFi-60
FortiWiFi-60设备能够提供一个安全,
无线的LAN解决方案。FortiWiFi病毒
防火墙功能集移动性与灵活性,并且
能够升级到将来应用的无线通信技
术。FortiWiFi-60可以作为无线与有线
网络的连接点或一个单独的无线网络
的中心点。
FortiGate-100A
FortiGate-100A是应用于小
型办公、soho以及一些公司
机构的分支部门的,易于管
理员部署的网络防护设备。
FortiGate -100A设备支持一
些高级的功能例如802.1Q VLAN、虚拟域以及RIP与OSPF路由协议。
关于本手册
该文档就如何安装FortiGate设备,在网络中配置设备,以及如何安装
8 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
该手册中的注释
与升级固件进行了说明。
该手册包含以下章节:
安装FortiGate设备- 安装并启动FortiGate设备。
出厂默认设置 - FortiGate设备出厂默认设置信息。
在网络中配置FortiGate设备 - FortiGate设备的操作模式说明
以及如何将FortiGate设备集成到网络中。
配置Modem接口 - 如何配置以及使用FortiGate-60系列设备
的Modem。
使用无线网络 - 无线网络的使用注意事项以及使用步骤,使
无线网络的使用更为高效。
FortiGate固件 - 描述了如何安装,升级,恢复与测试FortiGate
设备的固件。
注意:本手册中所述的信息涉及到五个设备FortiGate-60/60M、
FortiWiFi-60以及FortiGate-100A。其中大部分的内容适用于所有的
设备,针对对具体某个模块所做的说明与描述内容,将使用以下的
图标作为描述提示。
以下是该手册中的注释:
• 在所举的例子中,私人IP地址既可以用做私人也可以是公共IP地址。
• 注意与警告标识中的提示较为重要的信息。
注意:突出另外其它的有用信息。
警告:对可能造成意外的不良的结果包括数据丢失或者设备损害等
命令或程序发出警告提示。
排版说明
以下是该安装手册中使用的排版说明:
排版说明 举例
键盘输入 在网关名称字段,键入远程VPN或用户(例如,
Central_office_1)
命令举例
CLI命令句法模
式
9 V. 3.0 MR1 FortiGate-60系列以及
01-30001-0266-20060410
Config sys global
Set ips-open enable
end
Config firewall policy
edit id_integer
set http_retry_count <retry_interer>
FortiGate-100A设备安装手册
文档名称 FortiGate
菜单命令 进入 VPN>IPSEC>阶段1并点击“新建”。
程序输出 Welcome!
变量
FortiGate技术文档
set natip <address_ipv4mask>
end
管理员使用手册
<address_ipv4>
您可以从Fortinet技术文档网站
Fortinet技术文档。
公开以下Fortinet产品技术手册:
·FortiGate
提供关于连接与安装Fortinet设备的信息。
·FortiGate
提供有关如何安装FortiGate设备的信息。包括硬件信息,默认配置信息,
安装操作,连接操作以及基本的配置操作。请查看产品型号选择不同
的安装手册。
·FortiGate
有关如何配置FortiGate设备的基本信息,包括如何定义FortiGate病毒
防护与防火墙策略;如何应用入侵保护,病毒防护,网页内容过滤以
及垃圾邮件过滤服务与配置VPN。
·FortiGate
在线帮助是对FortiGate管理员手册的HTML格式上下文有关的检索与
查询。您可以通过基于web的管理其访问在线帮助。
·FortiGate CLI
有关如何使用FortiGate CLI(命令行接口)以及所以FortiGateCLI命令
的参考。
•
日志信息参考手册
访问Fortinet公司网站的Fortinet知识库板块,FortiGate 日志信息参考
对FortiGate日志信息的结构与FortiGate设备所生成的日志信息有关内
容做了描述。
• FortiGate HA
深入介绍了FortiGate 高可用性的性能与FortiGate群集协议的信息。
• FortiGate IPS
对如何配置FortiGate设备的入侵检测功能以及IPS是如何处理普通的
攻击做出了描述。
• FortiGate IPSec VPN
对使用基于web的管理器如何配置IPSec VPN进行了逐步详细的说明。
• FortiGateSSL VPN
对FortiGate IPSec VPN与FortiGate SSL VPN 技术进行比较,并对通过
基于web的管理器,远程用户怎样配置只适用于网络模式与通道模式
SSL VPN访问做了描述。
• FortiGate PPTP VPN
快速启动指南
设备安装手册
管理员使用手册
在线帮助
参考手册
用户使用指南
用户使用指南
用户指南
用户使用指南
用户使用指南
http://kc.forticare.com,获得最新发布的
10 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
使用基于web的管理器如何配置PPTP VPN。
• FortiGate Certificate Management User Guide
管理电子证书的程序包括生成电子证书的请求,安装签发的证书,引
入CA根权威证书与证书撤销名单,以及备份与存储安装的证书信息与
私人密钥。
• FortiGate VLAN and VDOM
在NAT/路由与透明模式下如何配置VLAN与VDOM。
Fortinet 知识库
其它有关Fortinet 技术手册信息都可以从Fortinet 公司网站
(www.fortinet.com)中的知识库板块获得。知识库涵盖涉及fortinet产
品故障排除与解释说明性的文章,FAQ,技术说明等。
Fortinet 技术文档的建议与意见
如果您在本文档或任何Fortinet 技术文档中发现了错误或疏漏之处,
欢迎您将有关信息发送到 techdoc@fortinet.com 。
客服与技术支持
Fortinet 技术支持将确保您的Fortinet系统在您的网络中能够快速启
动,轻松配置并能够可靠运行。
敬请访问Fortinet技术支持网站
Fortinet所提供的技术支持服务。
证书管理用户指南
用户使用指南
http://support.fortinet.com 获知更多
11 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
FortiGate设备安装
本章节就如何安装以及在网络中配置FortiGate设备进行了详细说明。
具体包括:
•
设备包装
•空气流通
•机械性负荷
•启动FortiGate设备
•连接FortiGate设备
设备包装
请检查FortiGate设备包装盒所有部件。
FortiGate-60/60M/ADSL
FortiGate-60/60M/ADSL设备包装盒中部件:
• FortiGate防火墙设备
• 一根橙色以太网交叉线缆(Fortinet 部件号:CC300248)
• 一根灰色以太网普通线缆(Fortinet 部件号:CC300249)
• 一根RJ-45到DB-9串连线缆(Fortinet 部件号:CC300247)
• 一根RJ-11电话线 (FortiGate -60M专用)
• 一根电源线以及一个AC适配器
• FortiGate-60快速启动指南册页、FortiGate-60M设备快速启动指南册
页或FortiGate-60ADSL设备快速启动指南册页
• Fortinet技术手册CD一张
图1:FortiGate-60/60M设备部件
表1:技术参数
尺寸 8.63×6.13×1.38英尺 (21.9×15.6×3.5厘米)
重量 1.5磅 (0.68千克)
DC输入电压:100至240VAC 工作需求
DC输入电流:1.6A
12 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
FortiWiFi-60
FortiWiFi-60设备包装盒中部件:
• FortiWiFi-60防火墙设备
• 一根橙色以太网交叉线缆(Fortinet 部件号:CC300248)
• 一根灰色以太网普通线缆(Fortinet 部件号:CC300249)
• 一根RJ-45到DB-9串连线缆(Fortinet 部件号:CC300247)
• 一根电源线以及一个AC适配器
• FortiWiFi-60快速启动指南册页
• Fortinet技术手册CD一张
图2:FortiWiFi-60设备部件
工作温度:32至104华氏度(0至40度摄氏度)
放置温度:-13至158华氏度 (-25至70摄氏度) 工作环境
湿度:5至95% (非冷凝)
表2:技术参数
尺寸 8.63×6.13×1.38英尺 (21.9×15.6×3.5厘米)
重量 1.5磅 (0.68千克)
工作需求
无线连接
工作环境
DC输入电压:12V
DC输入电流:3A
工作温度:32至104华氏度(0至40度摄氏度)
天线型号:外部固定双天线
天线范围:802.11 b/g: 2.4GHz
天线增益:5dBi
操作温度:32到104 华氏度 (0到40摄氏度)
放置温度:-13至158华氏度 (-25至70摄氏度)
湿度:5至95% (非冷凝)
FortiGate-100A
FortiGate-100A设备包装盒中部件:
• FortiGate-100A防火墙设备
• 一根橙色以太网交叉线缆(Fortinet 部件号:CC300248)
13 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
• 一根灰色以太网普通线缆(Fortinet 部件号:CC300249)
• 一根RJ-45到DB-9串连线缆(Fortinet 部件号:CC300302)
• 一根电源线以及一个AC适配器
• FortiGate-100A快速启动指南册页
• Fortinet技术手册CD一张
图3:FortiGate-100A设备部件
表3:技术参数
尺寸 10.25×6.13×17.5英尺 (26×15.6×34.5厘米)
重量 1.5磅 (0.68千克)
工作需求
安装
FortiGate设备可以安装在任何稳固且水平的表面。请保持设备安装相
隔至少1.5英寸(3.75厘米)的距离,便于通风与冷却。
DC输入电压:12V
DC输入电流:5A
工作温度:32至104华氏度(0至40度摄氏度)
放置温度:-13至158华氏度 (-25至70摄氏度) 工作环境
湿度:5至95% (非冷凝)
启动FortiGate设备
FortiGate设备中没有ON/OFF开关。
启动FortiGate设备
1. 将AC适配器与设备背后的电源接口连接。
2. 将AC适配器与电源线连接。
3. 将电源线连接到电源插座。
FortiGate设备启动,电源与LED状态显示灯亮起。FortiGate设备启动过
程中LED状态指示灯闪烁并在设备启动后保持亮着状态。
表4:LED显示
14 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
1. 访问基于web的管理器,进入系统> 状态> 系统状态, 选择关闭系统,
LED
Power
状态
链接
(内部(Internal),
DMZ1
DMZ2
WAN1
WAN2)
DMZ1
DMZ2
WAN1
WAN2
关闭FortiGate设备
请在闭合电源开关之前,关掉FortiGate操作系统,以免造成硬件损伤。
关闭FortiGate设备
然后点击“确认”关闭系统;或者在命令行接口(CLI)中,输入
execute shutdown
2. 关闭电源开关。
状态 描述
绿色 FortiGate设备启动。
熄灭 FortiGate设备断电。
绿色 连接线使用正确,连接的设备已启动。
绿色闪烁 FortiGate设备正在启动。
熄灭 设备已断电。
绿色 连接线使用正确,连接的设备已启动。
绿色闪烁 此接口有网络活动。
熄灭 没有建立链接。
绿色 接口达到速率为100Mbps的连接。
连接FortiGate设备
有二种方法连接并配置基本FortiGate设置:
• 基于web的管理器
• 命令行接口(CLI)
基于web的管理器
您可以通过任何运行微软Internet Explorer 6.0或其他最近版本的浏览
器的计算机,使用HTTP或一个安全的HTTPS连接配置并管理FortiGate
设备。基于web的管理器支持多种语言。
您可以使用基于web管理器配置大多数FortiGate设置并监控FortiGate
设备的状态。
命令行接口(CLI)
您可以通过连接到一个管理计算机串行端口进入FortiGate串行Console
连接器,访问FortiGate命令行接口。您也可以从任何连接FortiGate设
备的网络包括内部网,使用Telnet或一个安全的SSH连接接入到CLI。
15 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
连接到基于web的管理器
根据以下操作步骤建立与基于web管理器的初次链接。在基于web的管
理器中所做的配置修改,无需重新设置防火墙或中断运行便可生效。
连接到基于web的管理器,您需要:
·一台能够连接以太网的计算机
·微软6.0版本的浏览器或以上的版本,或任何现行的web浏览器
·一根交叉的以太网网线或一个以太网网络集线器(hub)与两根以太
网网线。
注意:启动IE之前(或其他现行版本的的网页浏览器),ping FortiGate
设备,检测计算机与FortiGate设备之间是否连接正常。
连接到基于web的管理器
1. 设置计算机与以太网连接的IP地址为静态IP地址192.168.1.2,掩码
为255.255.255.0。
您可以配置管理计算机使用DHCP自动获取IP地址。FortiGate DHCP
服务器将对管理计算机分配范围为192.168.1.1到192.168.1.254之间的
IP地址。
2. 使用交叉线或以太网集线器(hub)与线缆将FortiGate设备的内部接
口与您的光纤网络接口连接。
3. 启动IE浏览器,浏览地址为
https://192.168.1.99 的页面(请注意是
https://)。
为了支持安全的HTTPS识别程序,FortiGate设备引入一个自签订的安
全认证,每当远程用户对FortiGate设备发起一个HTTPS连接时,该安
全认证便会弹出。当您进行连接时,FortiGate设备在浏览器中显示两
个安全警告。
第一个警告信息提示您接受并安装FortiGate设备的自签安全证书。如
您不接收认证,FortiGate设备将拒绝连接。如您接收认证,将转入
FortiGate登录页面。输入用户名与密码验证信息登录。如您选择永久
接受认证,警告信息不再弹出。
在FortiGate登录页面显示之前,第二个警告信息告知您FortiGate认证
与原始请求的区别。该信息弹出是因为FortiGate设备试图进行再次连
接。是一条报告性信息。点击“OK”键确认,继续登录页。
16 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
图4:FortiGate登录页面
4. 输入名称字段输入admin登录。
系统操作面板
登录到基于web的管理器后,页面显示系统操作面板。面板显示所有
的系统状态信息。
图5:FortiGate-60M系统面板
面板中包括以下信息:
· 端口状态-面板中显示有FortiGate设备的正面镜像图。包括
FortiAnalyzer连接状态-X表示没有连接,当检测标志中没有标注X时,
说明存在连接。滑动鼠标到每个端口,可以查看端口信息,如 IP地址
与掩码,速率,以及接收或发送的数据包信息。当端口使用中时,其
状态显示呈绿色。
·系统信息-操作系统信息的显示包括设备串行数量与固件版本。在该
区域,可以进行固件升级,设置系统时间或更改操作模式。
17 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
·系统资源-显示系统资源使用情况。
·许可证信息-显示FortiGate设备中当前的病毒防护与安全性升级的情
况。
·报警信息Console-显示最近FortiGate设备发出的警告日志信息。
·统计表 - 提供FortiGate设备的实时流量与攻击信息。
连接到CLI(命令行接口)
将管理计算机的串口与FortiGate设备的控制台连接器连接并可以访问
FortiGate设备命令行接口。您也可以在任何网络(包括互联网)中使
用Telnet或一个安全的SSH连接访问FortiGate设备也可以连接到CLI。
CLI(命令行接口)支持与基于web的管理器相同的配置与功能。另外,
您还可以使用CLI配置一些web管理器不能配置的更高级的选项。本手
册中包含一些基本的以及某些高级的CLI命令信息。有关连接到
FortiGate设备使用CLI的详细信息,参见FortiGate
册
。
设备
CLI
连接到CLI
除了使用基于web的管理器,您也可以使用CLI安装与配置FortiGate设
备。无需重新设置防火墙或中断设备运行,CLI所进行的配置更改便可
以生效。
连接到CLI,您需要:
·一台有通信端口的计算机
·FortiGate设备包装中带有的RJ-45到DB-9的串口线缆。
·终端模拟软件,如Microsoft Windows的HyperTerminal。
连接到CLI
1. 使用RJ-45到 DB-9的串口线将您计算机的通信端口与FortiGate
console端口连接。
2. 启动HyperTerminal,键入连接的名称,点击OK确认。
3. 配置将HyperTerminal与您计算机的通信端口直接连接并点击OK键
确认。
4.输入以下端口设置并点击OK确认。
5. 按回车连接到FortiGate CLI。
Bit per second 9600
Bata bits 8
Partity None
Stop bits 1
Flow control None
5. 按Enter键,建立与FortiGate CLI的连接。
弹出登录页。
6. 键入admin的名称并按Enter键两次
显示如下提示信息;
Welcome!
使用参考手
18 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
键入?列出可用的命令。有关如何使用CLI(命令行接口)的详细信息,
参见 FortiGate
设备
CLI
使用参考手册
使用出厂默认设置快速启动FortiGate设备
使用基于web的管理器与出厂默认的FortiGate设备配置,您可以快速在
soho情况下配置启用FortiGate-60系列设备。您所要做的只是配置您网
络中的计算机使用DHCP自动获取IP地址以及DNS服务器IP地址,并访
问基于web的管理器对WAN1接口配置所需的设置。如需要,您也可
以配置FortiGate DNS服务器并添加默认的路由。
FortiGate内部接口可以配置作为一个DHCP服务器在内部网络中自动
对计算机设备(最多可达100台)自动分配地址范围为192.168.1.110到
192.168.1.210之间的IP地址。
图6:适用默认设置快速配置设备
。
FortiGate DHCP服务器也可以对内部网络中的每台计算机分配DNS服
务器IP地址为192.168.1.99。那么,FortiGate设备内部接口将作为内部
网络中的一个DNS服务器。使用DNS转发,FortiGate设备将从内部网
络获取的DNS请求转发到DNS服务器IP 地址添加在FortiGate设备配置
中并将查询结果返回到内部网络中。
有关DHCP服务器的详细信息,参见“出厂默认DHCP服务器配置”。
以下操作是有关如何配置您的内部网络与FortiGate设备使用FortiGate
设备默认的设置:
1. 将FortiGate设备连接在内部网络与互联网之间,并启动设备。
2. 设置网络计算机的TCP/IP属性使用DHCP自动获取IP地址与DNS
服务器IP地址。
3. 使用管理计算机,浏览:
登录到FortiGate设备基于web管理器页面。
4. 进入系统>网络>接口,点击外部接口的“编辑”图标。
5. 选择以下一种寻址模式:
手动模式:输入静态IP地址与掩码,点击OK并进入步骤6。
DHCP模式:点击选择DHCP,从ISP获取IP地址,并进入步
骤9。
https://192.168.1.99。
19 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
PPPoE模式:点击选择PPPoE,从ISP获取IP地址,并进入步
骤9。
6. 进入系统>网络>选项。
7. 选择以下一种DNS设置:
自动获取DNS服务器地址:设置从ISP自动获取DNS地址,点击“应
用”。
使用以下DNS服务器地址:输入ISP给的DNS地址并点击“OK”。
8. 进入路由>静态,编辑路由#1并将网关更改为默认的网关IP地址并
点击OK。
9. 如果ISP支持服务器或代理内部DNS选项,点击获取默认的网关并点
击OK确认后继续执行“下一步”。
如果您没有设置这些选项,进入步骤6。
20 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
出厂默认设置
FortiGate设备有出厂默认设置。该默认设置允许您连接到FortiGate设
备并能够使用FortiGate基于web的管理器在网络中配置FortiGate设备。
在网络中配置FortiGate,您需要添加管理员密码,更改网络接口IP地
址与DNS服务器的IP地址,如有必要,可以配置基本的路由。
如果您打算以透明模式运行FortiGate设备,可以从出厂默认配置中切
换到透明模式,并根据您的网络结构与情况配置透明模式下的
FortiGate设备。
完成网络配置后,您还可以进行其他的配置操作,如设置系统时间,
配置病毒及攻击的定义更新,注册FortiGate设备等。
出厂时默认的防火墙配置包括单一网络地址转换(NAT)策略,该策
略允许您内部网络的用户连接到外部网络,同时阻止外部网络中的用
户连接到内部网络。您可以添加更多其它的策略,对通过FortiGate 设
备的流量进行更多的控制。
出厂时默认的内容配置文件可以用来快速地在防火墙策略中设置不同
级别的防病毒保护、网页内容过滤、垃圾邮件过滤,以便控制网络通
讯。
本章包括以下内容:
·出厂默认的DHCP服务器配置
·
出厂默认的NAT/路由模式的网络配置
·出厂默认的透明模式的网络设置
·出厂默认的防火墙配置
·恢复默认配置
出厂默认的DHCP服务器配置
使用出厂默认的DHCP服务器设置,您可以快速配置内部网络以及
FortiGate设备。参见“使用出厂默认设置快速安装”。
表5:出厂默认DHCP服务器配置
名称
接口
默认网关
IP范围
网络掩码
租期 7天
DNS服务器1
Internal_dhcp_server
internal
192.168.1.99
192.168.1.110-192.168.1.210
255.255.255.0
192.168.1.99
出厂默认的NAT/ 路由模式的网络配置
21 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
FortiGate设备首次启动时,它运行于NAT/路由模式,表6所列是该工
作模式下的基本网络配置。该配置允许您连接到FortiGate设备的基于
web的管理器,并建立FortiGate设备连接到网络所需的配置。表6中,
HTTPS管理访问表示您可以通过该接口的HTTPS协议连接到基于web
的管理器。Ping管理访问表示该接口对ping这一命令可以做出响应。
表6:出厂默认的NAT/路由模式的网络配置
管理员账号 用户名:
密码:
内部接口(internal接
口)
IP:
子网掩码:
管理访问:
WAN1接口 IP:
子网掩码:
管理访问:
WAN2接口 IP:
子网掩码:
管理访问:
DMZ接口
DMZ1
(FortiGate-100A)
DMZ2接口
(FortiGate-100A)
IP:
子网掩码:
管理访问:
IP:
子网掩码:
管理访问:
Modem接口 IP:
子网掩码:
Admin
(无)
192.168.1.99
255.255.255.0
Ping HTTP,HTTPS
192.168.100.99
255.255.255.0
Ping
192.168.100.99
255.255.255.0.
Ping
10.10.10.1
255.255.255.0
HTTP,Ping
10.10.10.1
255.255.255.0
HTTP,Ping
0.0.0.0.
0.0.0.0
管理访问:
ADSL Modem接口 IP:
子网掩码:
0.0.0.0.
0.0.0.0
管理访问:
WLAN
网络设置
IP:
子网掩码:
管理访问:
默认网关(默认路由)
接口连接到外部网络
(默认的路由)
默认路由
10.10.80.1
255.255.255.0
Ping
192.168.100.1
external
默认的路由由一个默认的网关与连接到外部网络
(通常是互联网)接口的名称组成。
默认的网关将所有非本地的通讯集中到该接口与外
部网络。
一级DNS:
二级DNS:
65.39.139.53
65.39.139.63
22 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
出厂默认的透明模式的网络配置
表7是透明模式下,FortiGate设备默认的网络配置。
表7:出厂默认的透明模式网络配置
管理员帐户 用户名:
管理IP IP:
DNS
管理访问
出厂默认防火墙设置
FortiGate防火墙策略是有关FortiGate设备对所有通讯流量的控制。除
非添加了防火墙策略,否则没有流量通讯能够被FortiGate设备接收或
经过FortiGate设备。您可以添加防火墙策略允许网络流量通过
FortiGate设备。有关添加防火墙策略,参见FortiGate
手册。
以下是默认的防火墙配置中的策略配置设置:
表8:出厂默认防火墙配置
配置设置 名称 描述
防火墙地址 所有 防火墙地址与任何数据包的源目标地
预先定义的服务 50多条预先定义
循环任务时间表 总是 任何时间,循环任务计划都是有效的。
防火墙保护 Stict,Scan,Web,
NAT/路由模式与透明模式下防火墙配置的出厂默认设置是相同的。
出厂默认的防火墙保护内容设置
使用防火墙保护设置对防火墙策略控制的流量进行不同的防护设置。
密码:
子网掩码:
一级DNS服务器
二级DNS服务器
Internal
DMZ
DMZ1
DMZ2
WAN1
WAN2
WLAN
的服务
Unfiltered
Admin
(无)
0.0.0.0.
0.0.0.0.
65.39.139.53
65.39.139.63
HTTPS,ping
HTTPS,ping
HTTPS,Ping
Ping
Ping
Ping
Ping
设备管理员使用
址匹配。
从50多条预先定义的服务中选择控制
通过FortiGate流量的服务。
控制防火墙设备是怎样启用病毒扫描,
网页内容过滤,垃圾邮件过滤与IPS。
23 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
·给HTTP,FTP,IMAP,POP3与SMTP防火墙策略配置防病毒保护。
·给HTTP防火墙策略配置网页过滤。
·给HTTP策略配置网页类别过滤。
·给IMAP,POP3与SMTP防火墙策略配置垃圾邮件过滤。
·对所有的服务启动入侵防护系统(IPS)。
·对HTTP,FTP,IMAP,POP3与SMTP防火墙策略启动内容日志
通过内容保护列表,您可以构建适用与不同类型防火墙策略的保护配
置。并允许您针对不同防火墙策略定制不同类型与级别的防护。
例如,内部与外部地址之间的流量可能需要比较严格的防护,而内部
地址之间的流量可能需要中等一般的防护。您可以针对不同的流量使
用相同或不同的保护设置配置防火墙策略。
NAT/路由模式与透明模式的防火墙策略也可以添加保护设置。
FortiGate设备可以预先配置四种保护设置。
Strict(严格型) 适用于对HTTP,FTP, IMAP,POP3与SMTP流量
应用最大限度的保护。一般情况下,不必使用Strict(严格型)的保护
设置,发现病毒攻击,需要扫描检测时,可以启用Strict(严格型)保
护。
Scan (扫描型) 针对HTTP,FTP,IMAP,
采用病毒扫描与文件隔离。
Web (网页内容控制型) 针对HTTP内容流量采取病毒扫描与网页
内容屏蔽。您可以在防火墙策略中添加该保护设置来控制HTTP流量。
Unfiltered (无过滤型) 如果对于内容流量不愿意采用内容防护,您
可以使用无过滤型保护。您可以在不需要内容保护的高可信与安全性
较高的网络连接区域,在防火墙的策略中添加该保护设置。
POP3,与SMTP内容流量
恢复出厂默认设置
如果您误更改了网络设置,并无法恢复,您可以先恢复到出厂默认设
置然后重新启动。
警告:该操作将删除您对FortiGate做的所有配置更改,并将系统退回
至原始配置包括重新设置接口地址。
使用基于web的管理器恢复默认的出厂设置
恢复默认的设置
24 V. 3.0 MR1 FortiGate-60系列以及
FortiGate-100A设备安装手册
01-30001-0266-20060410
Loading...