FORTINET FortiOS User Guide
FortiOS 升级手册
www.fortinet.com
© Copyright 2006 美国飞塔有限公司版权所有。
本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔
有限公司的许可,不得因任何用途以电子、机械、人工、光学或
其它任何手段翻印、传播或发布。
注册商标
动态威胁防御系统(DTPS), APSecure, FortiASIC, FortiBIOS,
FortiBridge, FortiClient, FortiGate,FortiGate统一威胁管理系统,
FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus,
FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiManager,
Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter,
FortiResponse, FortiShield, FortiVoIP和FortiWiFi均是飞塔有限公
司的注册商标(包括在美国和在其他国家的飞塔有限公司)。
本手册中提及的公司和产品由他们各自的所有者拥有其商标或注
册商标。
服从规范
FCC Class A Part 15 CSA/CUS
注意:如果您安装的电池型号有误,可能会导致爆炸。请根据使
用说明中的规定处理废旧电池。
目录
目录 ..................................................................................................................................................1
介绍 ..................................................................................................................................................9
Fortinet 公司技术文档 .............................................................................................................9
技术文档 CD....................................................................................................................9
Fortinet 知识库 ................................................................................................................9
Fortinet 技术文档的建议与意见 ..................................................................................10
客户服务与技术支持.............................................................................................................10
设备注册.................................................................................................................................10
升级说明.........................................................................................................................................11
配置文件备份.........................................................................................................................11
安装向导.................................................................................................................................11
FortiLog 设备名称的更改 .....................................................................................................11
LCD 显示信息更改................................................................................................................11
基于 web 管理器更改 ............................................................................................................12
基于 web 管理器的功能变化 ................................................................................................13
CLI 命令的更改 .....................................................................................................................13
FortiUSB 支持 ........................................................................................................................13
公知信息.................................................................................................................................14
系统设置.........................................................................................................................14
防火墙.............................................................................................................................15
高可用性(HA)...........................................................................................................16
反病毒.............................................................................................................................17
反垃圾邮件.....................................................................................................................17
VPN.................................................................................................................................17
即时消息通信.................................................................................................................18
P2P..................................................................................................................................19
网页过滤.........................................................................................................................19
FortiFuard web 过滤 .......................................................................................................19
虚拟域.............................................................................................................................20
日志与报告.....................................................................................................................20
新增功能与功能的更改.................................................................................................................21
系统设置.................................................................................................................................21
状态.................................................................................................................................21
会话.................................................................................................................................22
网络.................................................................................................................................22
配置.................................................................................................................................22
管理员
维护.................................................................................................................................22
虚拟域.............................................................................................................................24
路由表.............................................................................................................................25
FortiOS 升级手册
01-30004-0317-20070102 3
.............................................................................................................................22
静态路由.................................................................................................................25
动态路由.................................................................................................................25
监控器.....................................................................................................................25
防火墙.............................................................................................................................26
策略.........................................................................................................................26
地址.........................................................................................................................26
服务.........................................................................................................................26
虚拟 IP....................................................................................................................26
内容包括列表.........................................................................................................26
VPN.................................................................................................................................26
IPSec.......................................................................................................................27
SSL...........................................................................................................................27
证书.........................................................................................................................27
用户.................................................................................................................................27
LDAP......................................................................................................................28
Windows AD...........................................................................................................28
用户组.....................................................................................................................28
反病毒防护.....................................................................................................................28
文件模式.................................................................................................................28
隔离.........................................................................................................................28
配置.........................................................................................................................29
入侵防护(IPS)...........................................................................................................29
特征.........................................................................................................................29
异常.........................................................................................................................29
协议解码器.............................................................................................................29
Web 过滤 ........................................................................................................................30
内容屏蔽.................................................................................................................30
URL 过滤................................................................................................................30
Web 过滤 ................................................................................................................30
反垃圾邮件(之前名为“垃圾邮件过滤”)...............................................................31
禁忌词汇.................................................................................................................31
黑/白名单...............................................................................................................31
IM/P2P............................................................................................................................32
统计表.....................................................................................................................32
用户.........................................................................................................................32
日志与报告.....................................................................................................................32
日志配置.................................................................................................................33
日志访问.................................................................................................................33
报告.........................................................................................................................34
HA...................................................................................................................................34
升级 HA 群集 .........................................................................................................34
SNMP MIB 与陷阱 ........................................................................................................35
SNMP 陷阱.............................................................................................................35
MIB 文件名称 ........................................................................................................35
FortiOS 升级手册
01-30004-0317-20070102 4
FortiOS 3.0 MR2 ............................................................................................................................36
升级说明.................................................................................................................................36
LCD 显示更改................................................................................................................36
FortiGuard 状态显示图标 ..............................................................................................37
FortiUSB 支持 ................................................................................................................37
新增功能与功能的更改.................................................................................................37
系统设置.........................................................................................................................37
路由.................................................................................................................................38
防火墙.............................................................................................................................39
VPN.................................................................................................................................40
用户.................................................................................................................................40
Web 过滤 ........................................................................................................................40
日志与报告.....................................................................................................................40
报告配置.................................................................................................................41
报告访问.................................................................................................................41
HA...................................................................................................................................41
SNMP MIB 与陷阱更改 ................................................................................................41
公知信息.................................................................................................................................41
基于 web 的管理器 ........................................................................................................41
系统设置.........................................................................................................................42
系统设置(FortiWiFi-60A/AM).................................................................................42
防火墙.............................................................................................................................43
高可用性(HA)...........................................................................................................43
VPN.................................................................................................................................43
即时信息与 P2P .............................................................................................................44
IPS...................................................................................................................................44
Web 过滤 ........................................................................................................................44
虚拟域.............................................................................................................................44
反垃圾邮件.....................................................................................................................45
日志与报告.....................................................................................................................45
FortiOS 3.0MR3 .............................................................................................................................45
新增功能与更改的功能.........................................................................................................46
FortiOS3.0MR3 中 CLI 操作的更改 .............................................................................46
系统设置.........................................................................................................................46
CLI 控制台 .............................................................................................................48
在 FortiOS 3.0MR3 中创建列表............................................................................50
FortiGate-5050 与
FortiGate-5140 设备的机架管理.............................................50
防火墙.............................................................................................................................50
策略.........................................................................................................................51
内容保护列表.........................................................................................................52
FortiClient 检测防火墙策略 ..................................................................................52
RADIUS..................................................................................................................52
VPN.................................................................................................................................53
SSL-VPN ................................................................................................................53
FortiOS 升级手册
01-30004-0317-20070102 5
反病毒.............................................................................................................................53
反垃圾邮件.....................................................................................................................54
IM/P2P............................................................................................................................54
日志与报告.....................................................................................................................54
内容存档.................................................................................................................54
HA...................................................................................................................................54
公知信息.................................................................................................................................55
基于 web 的管理器 ........................................................................................................55
虚拟域.............................................................................................................................55
路由.................................................................................................................................55
防火墙.............................................................................................................................55
即时消息.........................................................................................................................56
P2P..................................................................................................................................57
IPS...................................................................................................................................57
日志与报告.....................................................................................................................57
解决方法.........................................................................................................................58
FortiOS 3.0MR4 .............................................................................................................................59
新增功能与功能更改.............................................................................................................59
系统设置.........................................................................................................................59
网络接口.................................................................................................................60
访问控制列表.........................................................................................................61
拓扑结构.................................................................................................................61
多个 DHCP 服务器的 IP-MAC 绑定 ....................................................................63
硬盘健康状态监控(HDD) ................................................................................63
命令行接口.............................................................................................................63
FortiGuard-web 过滤与反垃圾邮件服务 ..............................................................63
VDOM ....................................................................................................................64
路由.................................................................................................................................64
防火墙.............................................................................................................................64
策略.........................................................................................................................65
VPN.........................................................................................................................65
入侵防护.........................................................................................................................66
Web 过滤 ........................................................................................................................67
IM、P2P 与 VoIP ...........................................................................................................67
日志与报告.....................................................................................................................67
报告配置.................................................................................................................68
高可用性(HA)...........................................................................................................68
公知信息.................................................................................................................................69
基于 web 的管理器
........................................................................................................69
系统设置.........................................................................................................................69
虚拟域.............................................................................................................................69
高可用性(HA)...........................................................................................................70
防火墙.............................................................................................................................70
VPN.................................................................................................................................70
FortiOS 升级手册
01-30004-0317-20070102 6
反病毒.............................................................................................................................70
IPS...................................................................................................................................71
Web 过滤 ........................................................................................................................71
即时消息(IM)............................................................................................................71
P2P..................................................................................................................................72
日志与报告.....................................................................................................................72
更改固件版本.................................................................................................................................73
备份配置.................................................................................................................................73
使用基于 web 的管理器备份配置 ................................................................................73
使用 CLI 备份配置文件 ................................................................................................74
升级 FortiGate 设备 ...............................................................................................................74
升级到 FortiOS3.0..........................................................................................................74
使用基于 web 的管理器升级 ................................................................................74
使用 CLI 升级 ........................................................................................................75
校验升级.................................................................................................................76
返回到 FortiOS2.80MR11......................................................................................................76
备份 FortiOS3.0 配置 .....................................................................................................76
将配置备份到 PC...................................................................................................76
备份到 FortiUSB Key.............................................................................................76
使用基于 web 的管理器恢复到 FortiOS2.80MR11 .....................................................77
使用基于 web 的管理器恢复到 FortiOS2.80MR11 .............................................77
校验恢复.........................................................................................................................78
使用 CLI 恢复到 FortiOS2.80MR11 .............................................................................78
使用 CLI 恢复到 FortiOS2.80MR11 .....................................................................78
恢复配置.................................................................................................................................79
使用基于 web 的管理器恢复配置设置 ........................................................................79
从 FortiOS3.0MR1 升级到 FortiOS3.0MR2..........................................................................80
备份配置.........................................................................................................................80
使用基于 web 的管理器备份当前配置 ................................................................80
使用 CLI 备份当前配置 ........................................................................................80
使用 FortiUSB Key 备份当前配置文件................................................................80
升级到 FortiOS3.0MR2..................................................................................................81
使用基于 web 的管理器升级 ................................................................................81
使用 CLI 升级 ........................................................................................................81
恢复到 FortiOS3.0MR1..........................................................................................................82
备份配置.........................................................................................................................82
将 FortiOS3.0MR2 的配置文件备份到 PC...........................................................82
将当前配置备份到 FortiUSB Key.........................................................................82
恢复到 FortiOS3.0MR1..................................................................................................83
使用基于 web 的管理器恢复到 FortiOS3.0 MR1................................................83
使用 CLI 恢复到 FortiOS3.0MR1.........................................................................83
恢复 FortiOS3.0MR1 配置.............................................................................................84
使用基于 web 的管理器恢复配置设置 ................................................................84
使用 CLI 恢复 FortiOS 3.0MR1 的配置设置 .......................................................84
FortiOS 升级手册
01-30004-0317-20070102 7
使用 FortiUSB 恢复设置 .......................................................................................85
有关 FortiOS2.80MR11 的升级.............................................................................................85
从 FortiOS2.80MR11 升级到 FortiOS 3.0MR1.............................................................86
IPS 组......................................................................................................................86
VPN 防火墙策略....................................................................................................86
PING 发生器 ..........................................................................................................86
未被使用的 IPSec VPN..........................................................................................86
FortiGuard web 过滤替代信息字符串 ..................................................................86
Web 过滤与垃圾邮件过滤列表.............................................................................87
Active X, Cookie, 与 Java Apple 过滤 ..................................................................87
没有配置“设备设置”的静态路由.....................................................................87
有关从 FortiOS2.80MR11 升级到 FortiOS 3.0MR2.............................................................87
日志过滤更改.................................................................................................................87
VDOM 许可 ...................................................................................................................88
VDOM 配置中 IPSec 手工密钥 ....................................................................................88
报警邮件替代信息.........................................................................................................88
报警邮件过滤.................................................................................................................88
区域中的防火墙策略.....................................................................................................88
有关从 FortiOS2.80MR11 升级到 FortiOS3.0MR4..............................................................88
管理用户.........................................................................................................................89
策略路由.........................................................................................................................89
WLAN 接口下的 VLAN................................................................................................89
日志硬盘设置.................................................................................................................89
有关升级到 FortiOS3.0MR2..................................................................................................89
有关 FortiOS3.0MR3 升级.....................................................................................................89
FortiOS 升级手册
01-30004-0317-20070102 8
介绍
FortiNet 公司在研发与更新其 FortiGate 防火墙设置的同时,一直注重开发、
测试与优化 FortiGate 设备的操作系统。FortiOS 3.0 是基于之前的系统之上,更
高效可靠的操作信息,对网络实现更好的屏蔽与监控功能。
升级说明中对 FortiOS3.0 操作系统以及升级后可能对当前配置造成的问题。
FortiOS3.0 中新增加的功能,以及对现有系统功能的改进,您需要了解升级到
FortiOS 可能对当前的配置产生的影响。本手册还对备份当前配置以及在
FortiGate 设备中安装 FortiOS3.0 系统进行了说明。
本手册还包括 FortiOS 固件发布的信息。
关于本手册
本手册包括以下章节:
z 升级说明--- FortiOS 系统中对之前系统中一些功能的更改以及新增加的功能
说明。
z 新增功能与功能的更改----基于 FortiOSv2.80MR11,升级到 FortiOS3.0 后功
能性的更改与加强。
z 更改固件版本---- 对如何安装 FortiOS 系统以及将系统恢复到
FortiOS2.80MR11 的操作进行了说明,包括有关 FortiOS3.0 系统的说明、如
何备份当前配置设置、升级后重新建立连接以及升级成功后的校验。
z 有关 FortiOS 3.0MR2 ---- FortiOS 3.0MR2 中新增的功能以及功能的更改。
z 有关 FortiOS 3.0MR3 ---- FortiOS 3.0MR3 中新增的功能以及功能的更改。
z 有关 FortiOS 3.0MR4 ---- FortiOS 3.0MR4 中新增的功能以及功能的更改。
Fortinet 公司技术文档
有关Fortinet公司产品最新的消息发布以及产品手册使用说明,可以访问
Fortinet公司技术支持网站http://kc.forticare.com.
技术文档 CD
有关Fortinet公司产品最新的消息发布以及产品手册使用说明,可以访问
Fortinet 公司技术支持网站http://kc.forticare.com. 访问
http://docs.forticare.com/fgt5k.html.获得有关FortiGate-5000 系列文档。
Fortinet 知识库
其它有关 Fortinet 技术手册信息都可以从 Fortinet 公司网站
(www.forttinet.com)中的知识库获得。知识库涉及 fortinet 产品故障排除与解释
FortiOS 升级手册
01-30004-0317-20070102 9
说明性的文章,FAQ,技术说明等。
FortiGate 设备日志信息参考只能够从 Fortinet 知识库中获得。日志信息参考
就有关 FortiGate 设备生成的日志信息的结构,以及所生成日志所说明的信息。
Fortinet 技术文档的建议与意见
如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您
将有关信息发送到 techdoc@fortinet.com 。
客户服务与技术支持
Fortinet 技术支持将确保您的 Fortinet 产品在您设置的网络中能够快速启动,
轻松配置并可靠运行。
敬请访问Fortinet技术支持网站
司提供的技术支持服务。
http://support.fortinet.com 获知更多Fortinet公
设备注册
通过 FortiGate 设备注册,您可以接收例如产品更新以及技术支持这样的用
户服务。只有通过产品注册才可以获得 FortiGuard 服务,如反病毒与入侵保护升
级、web 过滤与反垃圾邮件服务。
安装新的FortiGate设备后,访问
进行设备注册。
输入您的联系方式与所购买的 FortiGate 设备序列号进行注册。您可以在注
册栏中同时注册购买的 FortiGate 系列设备,而无需重复输入联系信息。
http://support.fortinet.com并点击“产品注册”,
FortiOS 升级手册
01-30004-0317-20070102 10
升级说明
下载 3.0 版的 FortiOS 操作系统之前,建议您参看本章节的内容说明,了解
新版操作系统的新功能、对现有系统的改进以及与现有系统比较操作上的不同。
设备
CLI
新增加的与修改的 CLI 命令,请查看 FortiGate
FortiGate
设备管理员操作手册
本章包括以下内容:
z 配置文件备份
z 安装向导
z FortiLog 设备名称的更改
z LCD 显示信息更改
z 基于 web 的管理器更改
z 基于 web 管理器功能的变化
z CLI 命令更改
z FortiUSB
z 公知信息
。
配置文件备份
使用参考手册
以及
您可以备份未加密或加密的配置文件。对于备份未加密的文件,FortiGate
设备将以明文格式保存文件,选择加密的设置后,保存 VPN 证书。
安装向导
不设置安装向导提示。
FortiLog 设备名称的更改
FortiLog 设备在 FortiOS3.0 中更名为 FortiAnalyzer。FortiAnalyzer 设备名更
能诠释设备的用途,即强劲的报告与日志记录与分析功能。
LCD 显示信息更改
升级为 FortiOS 3.0 后,FortiGate 设备 LCD 中显示的主菜单信息更改如下:
图 1:NAT/路由模式下主菜单 LCD 显示信息
FortiOS 升级手册
01-30004-0317-20070102 11
图 2:透明模式下主菜单 LCD 显示信息
基于 web 管理器更改
FortiOS 系统面板功能进行了加强,各种系统信息进行了集成归类并增加了
新的功能以便能够好的监控 FortiGate 设备。
图 3:FortiGate-60 设备中基于 web 的管理器显示面板
系统信息
序列号 FortiGate 设备序列号。
运行时间 FortiGate 设备已经运行的时间。
系统时间 根据时区设置,系统显示的当前时间。
设备名称 FortiGate 设备名称。点击“更新”可以更改设备名
称。
固件版本 当前使用的固件版本。点击“更新”可以安装新的
固件。
操作模式 设备运行的模式。点击“更新”可以切换设备的操
作模式。
系统资源
FortiOS 升级手册
01-30004-0317-20070102 12
FortiAnalyzer
许可证信
息
报警信息 显示系统报警信息,包括固件升级或降级,以及系统重启信息。控制台
统计表 显示内容存档以及攻击日志的详细信息。
基于 web 管理器主页面中右上角显示有 FortiGate 设备的映像,以及设备端
口设置的状态。当您将鼠标停留在设备端口时,显示端口名称、IP/掩码地址、
链接状态、速度以及发送与接收的数据包数量。如果端口没有连接,呈灰色显示;
连接状态下,显示为绿色。当 FortiGate 设备没有连接到 FortiAnalyzer 设备时,
FortiAnalyzer 设备映像显示为灰色。
CPU 使用率 CPU 的使用率。
内存使用率 内存使用率。
FortiGate 设备与 FortiAnalyzer 设备连接时,
设备使用率
以上所述系统资源使用的历史记录可以点击“系统资源”区域中右上角
中“历史记录”查看。
支持合同 支持合同的版本号与过期时间。
FortiGuard 服务
注册
也显示如果反病毒引擎在具体的时间段内存较低的报警信息。
FortiAnalyzer 设备中可用的报告与日志存储的空间。
FortiGate 设备注册申请的 FortiGuard 服务,以及是
否需要升级或是否已经过期。
基于 web 管理器的功能变化
FortiOS 3.0 中,几项功能与其他一些功能进行了合并。参见“新增的功能与
功能更改”。
如果您需要查看这些新功能的详细信息,参见“FortiGate
手册
”。
设备管理员使用
CLI 命令的更改
命令行接口中的使用命令进行了更改,并添加了新的命令。参见 FortiGate
设备 CLI 参考手册获得更详细的信息。
FortiOS 2.8 版本中一些基于 web 管理器的功能转移到了 FortiOS 3.0 版本中
使用 CLI 命令来实现。
FortiUSB 支持
FortiOS 3.0 支持 USB 的使用。使用 FortiUSB 密钥(单独购买)可以备份与
恢复配置文件。以及配置 FortiGate 设备自动安装新的固件镜像,以及在设备重
新启动时使用 USB 密钥恢复配置设置。
详细信息,参见您所使用的 FortiGate 设备型号对应的安装手册。
以下型号的 FortiGate 设备支持使用 FortiUSB 密钥:
FortiOS 升级手册
01-30004-0317-20070102 13
z FortiGate-60/60M
z FortiWiFi-60
z FortiWiFi-60A/60AM
z FortiGate-100A
z FortiGate-200A
z FortiGate-300A
z FortiGate-400A
z FortiGate-500A
z FortiGate-800/800F
z FortiGate-5001SX
z FortiGate-5001FA2
z FortiGate-5002FB2
注意:FortiGate 设备只支持 Fortinet 公司生产的 FortiUSB 密钥。
公知信息
以下是一些您应该注意的公知信息,既不包括在以上所述的内容中以及“新
增功能与功能更改”。除非另有说明,这些公知的信息将延续到其他 FortiOS 固
件的版本中适用。
系统设置
以下信息说明,涉及基于 web 管理器与 CLI 管理工具中配置系统设置的操
作。
z 日历显示为年月日(YYYY-MM-DD)格式。
z 进入“系统设置>状态>许可证信息>支持合同”,点击 FDS 注册链接。
z 只有 CLI 中可以链接到“提交 Bug 报告到 Fortinet”。
z 当夏令时在凌晨 2 点结束时,系统不能够自动调整时间。只有在一个小时后
3 点时系统才能够调整自动调整时间。当夏令时结束后,您应该人工重新设
置系统时间。
z CLI 命令 execute backup log <ip><string>在没有安装硬盘的 FortiGate 设备中
也可以使用。
z 当使用 TFTP 将 FortiOS 镜像上传到闪存中时,DHCP 租期数据库将保留在
安装硬盘的 FortiGate 设备中。没有安装有硬盘的 FortiGate 设备不保留数据
库。
z 当在非 root 虚拟域中启动 DNS 转发时,FortiGate 设备不转发 DNS 请求。
z 在备份与恢复页面中使用“导入 CLI”功能导入 CLI 命令时,不管导入是否
成功,基于 web 管理器页面都显示为“成功导入”。
z FortiGate-1000A 与 FortiGate-5001FA2
deviceinfo nic <FA2 ports>命令时,将产生 16 进制的输出。
z 替换因病毒感染需要屏蔽或隔离的文件信息时,替换信息中出现的 FortiLog
改为 FortiAnalyzer。
z 如果基于 web 管理器中管理语言设置为简体中文,会话过滤不能成功实现。
设备中使用 diagnose hardware
FortiOS 升级手册
01-30004-0317-20070102 14
z 对虚拟域中 VLAN 接口的管理访问不在基于 web 的管理器中显示。CLI 中使
用 get system interface <VLAN>命令可以实现该功能。
z FortiGate 设备不能兼容使用生成的 SSH 公共密钥。
z 如果 FortiGate 设备配置使用 FSAE,而后断开与 FSAE 的连接时,设备会发
生内存泄露。
z 当您配置第二分区“上传并重启”时,在系统设置>维护选项下,FortiGate
设备不能实现上传第二镜像。设备重启时覆盖分区 1 中正在使用的镜像。CLI
中,输入 get system status 与 diagnose sys flash list 命令将显示冲突信息。
z FortiUSB 初始插入后,FortiGate 设备不能够自动配置与停止 FortiUSB 的活
动。如果 FortiUSB 被停止或重新插入使用时,CLI 中将显示目录文件的列表;
CLI 命令 execute backup usb <file>在没有安装 FortiUSB 的情况下是不能够报
错的。
z 如果 WLAN 升级不成功,可能是无线后台程序关闭为了保存内存。
z 访问系统设置>无线>设置,当安全模式 WEP64 或 WEB128 设置为“无
(None)”时,显示数据加密标签,而不是下拉菜单。当安全模式设置为
WPA 预先共享密钥或 WPA RADIUS,数据加密标签与下拉菜单同时可见。
以上所述只适用于 FortiWiFi-60A/AM 设备。
对于 FortiOS 3.0MR1 或更高的版本,透明模式下的多播转发与 NAT/路由模
z
式稍有不同。透明模式下,多播转发在默认情况下是启动的,可以通过 CLI
添加多播转发策略。详细信息访问 Fortinet 公司网站知识库中 “FortiOS 透
明模式下的多播转发”与“增强的多播策略支持”的技术文章说明。
z 当配置 FortiGate 设备使用 PPPoE 连接 ISP 时,用户不能够访问某些网站。
这种情况的发生是因为相比较标准以太网的 1500MTU,PPPoE 帧额外需要 8
个字节。当服务器发送较大的数据包,DF 位设置为 1 时,ADSL 服务商的
路由器既不能发送“需要 ICMP 片段”的大数据包,或者数据包在沿着到
web 服务器的路径过程中被丢弃。这两种情况下,web 服务器根本不知道片
段文件要到达用户端。
CLI 中,在防火墙策略配置选项中使用 tcp-mss-sender 可以配置用户访问所
有的网站。详细信息,参见 Fortinet 公司网站知识库中有关“使用 PPPoE 不
能访问一些网站的问题说明”。
z 某些 IPS 组设置不能在升级后自动保持配置,您需要在升级后手工配置这些
设置。在 FortiOS MR1 发布说明中附件 A,有关“IPS 组设置升级”的内容。
z FortiOS 2.8MR11 中的列表不能在FortiOS3.0 中恢复。请在升级前存档这些列
表文件。如果使用基于web的管理器升级,这些列表文件将被保存。使用基
于web的管理器升级后,通过web管理器或CLI都可以校验这些列表文件是否
被保存。参见附件B---将FortiOS 2.80 中web过滤与垃圾邮件过滤列表影射到
FortiOS CLI命令。查看Fortinet公司网站
www.fortinet.com 知识库版块中“使用
CLI命令选项导入 2.80 版本列表文件”将FortiOS 2.80 中的列表文件导入
FortiOS 3.0。
防火墙
防火墙的设置的有关信息涉及到基于 web 的管理器与 CLI 这两个管理工具
中应用的配置。
FortiOS 升级手册
01-30004-0317-20070102 15
z 当具有相同外部 IP 地址的 VIP 已经存在时,在基于 web 的管理器中不能建
立端口转发 VIP。
z CLI 命令 conf user adgrp 是配置 FortiGate 设备在 AD 服务器发送 AD 组到配
置文件时,添加发送的 AD 组。如果一个 AD 服务器没有发送 AD 组,您手
工添加条目时,基于 web 管理器中将不显示 W indows AD 页面。删除条目时,
显示 Windows AD 页面。FortiGate 设备中一个 AD 不需要手工增加到 AD 组。
z 配置动态 IP 池后,防火墙>策略页面的下拉框中显示 ANY。ANY 并不是所
支持的特性。
z 使用基于 web 的管理器不能够更改防火墙地址组的名称。
高可用性(HA)
高可用性,涉及在基于 web 管理器与 CLI 中的操作。
z 当 HA 群集运行于透明模式下的主动-主动模式下时,不同通过 VLAN 接口
实现负载平衡。通过 HA 群集中主设备通信会话能够顺利进行,但是通过从
属设备的会话将不能够连接。
z 如果一个端口作为聚合端口,FortiOS 允许选择这些端口中的一个作为 HA
心跳设备(hbdev)端口。该操作将中断 HA 连接。
z 当一台 FortiGate 设备作为 HA 群集中的从属设备,并运行于主动-主动模式
时,邮件内容日志不能发送到 FortiAnalyzer 设备。
z 当 HA 群集中主设备的序列号在排列顺序上高于从属设备的序列号时,基于
web 的管理器不能够显示运行于 HA 模式下 HA 的统计数据。
z 当一个运行于主动-主动模式的 HA 群集发生故障时,新的主设备不能将日志
邮件内容发送到 FortiAnalyzer 设备。
z 当一对冗余接口在从首要连接到备份连接失败时,备份连接将获得一个不同
于之前首要连接使用的 MAC 地址。这种情况只发生在 HA 模式,并会导致
ARP 请求失败。
z 运行于主动-主动模式的从属设备不能发送邮件内容。
z 如果 FortiGuard 本地分类在 HA 群集配置之前,那么本地分类不能在 HA 群
集设备之间同步。
z 在同一个虚拟群集中,通过不同物理接口形成的不同
MAC 地址。
z 一个 HA 群集恢复配置时会丢失从属设备的名称、HA 优先级设置以及优越
性设置。
z 使用基于 web 的管理器更改主设备的主机名称或优先级,偶尔这些设置的更
改不能同步反映到从属设备。通过 CLI 更改主设备与从属设备的主机名称与
优先级设置。
z 用户定义的 IPS 特征上传到主设备时,不能在从属设备中同步。必须重启从
属设备以同步用户定义的 IPS 特征。
z 序列号为 FGT100A2905500001 的 FortiGate-100A 设备,与序列号为
FGT200A2905500001 的 FortiGate-200A 设备不能够加入其它序列号的
FortiGate-100A 与 FortiGate-200A 的设备组成的 HA 群集。举例说明,序列
号为 FGT100A2905500001 的 FortiGate-100A 设备加入由序列号
FGT100A28704400001 组成的 HA 群集时,将不能够与 HA 群集设备建立连
FortiOS 升级手册
01-30004-0317-20070102 16
VLAN 使用相同的虚拟
接。
反病毒
反病毒设置,涉及在基于 web 管理器与 CLI 中的操作。
z 当一个 MSN 的用户通过 msn 发送受感染的病毒文件时,FortiGate 设备不发
送配置的替代信息返回到用户。
z 反病毒监控需要在 CLI 中配置。
z 反病毒扫描、屏蔽与隔离在即时通信工具 AIM,MSN,Yahoo massager 与 ICQ
中进行文件传输时可用。
反垃圾邮件
以下所述是有关在 FortiOS2.8MR12 包括 FortiOS 3.0MR1 或更高版本的系统
中反垃圾邮件列表顺序问题。
对于 SMTP:
z IP 地址 BWL 查看最后一跳 IP。
z RBL 与 ORDBL 查看最后一跳 IP。FortiGuard 反垃圾邮件查看最后一跳 IP
HELO DNS 查询。
z MIME 报头检索,电子邮件地址 BWL 检索。
z 邮件主题的禁忌词汇检索。
z IP 地址 BWL 检索(从“已接收邮件”的报头中获取 IP 地址)。
z 在邮件正文中查看禁忌词汇。
z 退回的邮件进行 DNS 检索。FortiGuard 反垃圾邮件从报头获取公共 IP 地址
进行 RBL 与 ORDBL 检索。
对于 POP3 与 IMAP:
z MIME 报头检索,邮件地址 BWL 检索。
z 对邮件主题进行禁忌词汇检索。
z IP 地址 BWL 检索。
z 对邮件正文进行禁忌词汇检索。
z 对回复邮件进行 DNS 检索。FortiGuard 反垃圾邮件从报头获取公共 IP 地址。
进行 RBL 与 ORDBL 检索。
Fortinet 知识库中有关于反垃圾邮件过滤顺序技术文本的说明。
VPN
z 在基于 web 的管理器中,用户点击 VPN 显示图标时,VPN 通道并不亮起。
z SSL VPN 通道模式下,FortiGate 设备不能将 DDNS 主机名称表达为 IP 地址。
z FortiOS 2.8 中的 PING 发生器在 FortiOS3.0MR1 中以自动协商设置代替。
z 访问“VPN>IPSEC>监控器”,用于加亮显示拨号通道的图标并不能发亮显示
IPsec 拨号通道,但使用 CLI 命令 diagnose vpn tunnel flush 可以实现该功能。
z 标签条目被编辑后,将显示重新定向 URL 窗口。
FortiOS 升级手册
01-30004-0317-20070102 17
z 当拨号服务器中 IPSec 阶段 1 对等 ID 改变后,没有任何 ISAKMP 删除通知
发送到拨号用户端,以告知用户删除旧的 SA。当拨号用户端的对等 ID 更改
时,发送 ISAKMP 删除通知。当阶段 1 对等 ID 更改后,对现有的拨号通道
执行 diagnose vpn tunnel flush 命令。
z 对 IPSec 进行 Internet 浏览需要两个策略。
即时消息通信
即时通讯的公知信息只涉及到在基于 web 管理器中的操作。
z FortiGate 设备不能够屏蔽即时通讯用户之间 webcam/视频流量。即使启动了
音频屏蔽功能,用户仍然能够发送与接收 webcam/视频信息。
z 运行于主动-主动模式的 HA 成员设备之间的即时通讯不能同步。这是因为
IM 用户之间的行为以及会话传输需要跨越多个 HA 主动-主动模式下的成员
设备。根据 IM 的功能来讲,例如病毒扫描与登录屏蔽将不能实现。
z 以下所述情况在 FortiOS3.0MR1 支持的每个 IM 工具中都存在。
受影响的
即时工具用户
AIM 5.9.3797 z 用户使用非加密或加密 AIM 版本时,不能够与其它
AIM 5.9.3861 z NetMeeting 使用 H.323 不能建立连接。这样的情况
AIM
ICQ
ICQ 5.04 z 在 NAT 模式 FortiGate 设备之后的 ICQ 用户之间不
MSN 7.0/7.5 z MSN 用户之间进行文件传输时,会发生意外超时现
MSN 7.5 z MSN 7.5 版本中,不能建立视频/音频通信。
版本 描述
z 应用 AIM 加密时,不能实现到 AIM 对等用户的连
z 当一个 AIM 用户从另一个 AIM 用户接收文件时,
5.9.3861
z 当 ICQ/AIM 使用其它端口(非 5190 端口)登录,
5.04
z 包含的日文的 IM 系统替换信息不能正常显示。
z 用户文本信息内容在文本格式的即时消息内容日
z 当用户建立聊天会话时,FortiGate 按协议区分的聊
z FortiGate设备之后的用户不能够与多个不同的防火
AIM 用户进行视频连接。
接。这样的情况在所有 AIM 非加密与加密的用户中
都存在。
FortiGate 文件数目统计将不增加。这样的情况在所
有 AIM 非加密与加密的用户中都存在。
在所有 AIM 非加密与加密的用户中都存在。
登录被屏蔽的事件将不被记录在 FortiGate 设备的
日志中。
志中不显示。
能建立视频与音频会话。
天会话统计并不增加。
墙产品后的 ICQ 用户进行多用户聊天连接。
象。
FortiOS 升级手册
01-30004-0317-20070102 18
Yahoo!
Messenger
Yahoo!
Messenger
6.0.0.1922 z 当用户通过 FortiGate 设备对其它 MSN 用户发送消
息时,会话统计计数不正确。
7.0.2.120 z Yahoo!7.0 版本中,不能屏蔽音频通信。
z 内容存档中,当用户使用 P2P传输即时消息时,laddr
与 raddr 是错误的。
P2P
P2P 有关的问题,只涉及使用基于 web 管理器的操作。
z 在防火墙中配置的传输限值不能对 Gnutella 兼容。如果用户是 Gnutella 用户
端,下载速度不能超过传输速率限值中规定的速度。
z FortiGate 设备不能在延长的期限过后,或者屏蔽 Skype 用户超过一天。
z 当 IPS Kazaa 特征设置为“丢弃”或“丢弃会话”,IPS 引擎将屏蔽 Kazza 流
量,但是只限于很短的一段时间。所以持续试图通过防火墙连接到 Kazza 网
络的用户也将在短时间内建立连接。
z 以下是 FortiOS 3.0MR1 所支持的 P2P 协议中发现的问题。
P2P 用户 版本 描述
Gnuleus/Limewire/
Swapper.NET
Xolox 2.0 配置 FortiGate 屏蔽文件传输后,等待 10 到 30 分钟
2.2.0.0/
4.9.3.7
4.6
配置 FortiGate 屏蔽具体使用某些协议传输的文件
时,P2P 用户端仍然能够接收到部分下载的文件。
后,P2P 用户仍然可以下载文件。
网页过滤
网页过滤涉及到基于 web 管理器与 CLI 中的操作。
z 当用户使用基于 web 的管理器更改用户组 web 跳过属性时,防火墙不能够马
上实施该设置更改。
z 配置了禁忌词汇与禁忌词汇免除条目后,二者之间的事件日志会不同。
z 在一个非根 VDOM 中,使用基于 web 的管理器不能够在保护文件中启动
FortiGuard 服务中的 web 跳过功能,功能框总是呈现灰色显示。但是使用 CLI
可以实现以上的操作。
z 对于 FortiGate-800 设备以及该型号以上的设备中,web 过滤/反垃圾邮件列
表需要在每个保护内容文件中配置。
FortiFuard web 过滤
以下是关于 FortiGuard web 过滤中出现的问题描述。
z 如果使用微软 IE 浏览器,FortiGuard 网页跳过功能在验证成功后不能够自动
重新定向到一个网页。必须在验证成功后重新在浏览器中输入 URL。
FortiOS 升级手册
01-30004-0317-20070102 19
虚拟域
使用基于 web 的管理器与 CLI 在配置虚拟域中出现的问题。
z 访问“VPN>IPSEC>监控器”,VDOM 的显示中,除了根 VDOM,其 它 VPN
均显示为不工作。使用 CLI 命令 diagnose vpn tunnel list 显示 VPN 的状态。
z 使用基于 web 的管理器,进入“系统>维护>许可证”输入新的 VDOM 许可
证时,FortiGate 设备不接受。该操作可以使用 CLI 命令 execute
upd-vd-license<license key>实现。
z 如果一个物理接口属于 VDOM_A,并且物理接口上的 VLAN 接口属于
VDOM_B, VDOM_A 管理员将不能恢复 VDOM_A 配置文件。
z VDOM_A 的管理员不能更改属于 VDOM_A 的 VLAN 接口配置。接口设置
必须由物理接口的 VDOM 管理员更改。
日志与报告
使用基于 web 的管理器与 CLI 在配置日志与报告中出现的问题。
z FortiGate-100A,FortiGate-60,FortiGate-50A 与 FortiWiFi-60 设备不能够完
全存档邮件。设置 FortiGate 将邮件存档到 FortiAnalyzer 设备需要以下两个
步骤:
1. 进入“反病毒>隔离>配置”,选中 FortiAnalyzer 功能框。
2. 进入“防火墙>内容保护列表”,选择一个保护项并点击“内容存档”将
邮件日志存档至 FortiAnalyzer。
z IMAP 邮件不能够存档。只能使用 IMAP APPEND 命令,而不是 IMAP FETCH
命令执行完整的邮件内容存档。SMTP 不存在内容存档问题。
z 当使用 POP3 或 IMAP 下载复合邮件时,FortiGate 设备不能存档邮件内容。
SMTP 不存在这样的问题。
FortiOS 升级手册
01-30004-0317-20070102 20
新增功能与功能的更改
FortiOS3.0 增加了几项新的功能,以及对原有功能修改。以下将做详细说明。
在将系统升级到 FortiOS 3.0 之前,建议阅读本技术文档以及以下所列技术文档,
熟悉增加的新功能以及一些功能的更改。
z FortiGate 设备管理员使用手册
z FortiGate 设备 CLI 使用参考
本章包括以下内容:
z 系统设置
z 防火墙
z VPN
z 用户
z 反病毒
z 入侵防护(之前名为 IPS)
z 反垃圾邮件(之前名为垃圾邮件过滤)
z IM/P2P(新加设置项)
z 日志与报告
z HA
z SNMP MIB 与陷阱更改
注意:除了另行注明,以下菜单中的设置配置均没有改变。
系统设置
系统设置菜单包括以下配置项:
z 状态
z 网络
z 配置
z 管理员
z 维护
z 虚拟域
注意:从 FortiOS2.80MR11 后 DHCP 菜单便没有更改,所以系统设置菜单中不
包括 DHCP。
状态
状态页面显示系统面板。系统面板经过整合,新添加五个功能条目:
z CPU 与内存使用率的历史记录
z FortiGuard 订购服务与许可证信息
z FortiGate 设备端口状态设置的镜像
z FortiAnalyzer 设备镜像,以及与 FortiGate 设备的连接状态
FortiOS 升级手册
01-30004-0317-20070102 21
z AV/I PS 内容统计概述列表
系统面板同样显示有一个登录监控器,以显示登录管理员的数量。该功能提
供了对系统配置具有写的权限的管理员在必要时断开与其它管理员用户的连接。
通过该页面,您可以刷新系统面板以及关闭 FortiGate 设备。
会话
进入系统设置>状态>统计表,查看会话信息。
网络
系统菜单里显示网络设置选项。FortiGate-60,FortiWiFi-60 与 FortiGate-50A
的 Moderm 的设置只有通过 CLI 进行配置。
选项中添加了失效网关检测,之前需要进入“ 系统>配置>选项”中查看。
配置
配置菜单中的几项信息栏转移到了其它菜单项。时间显示信息栏需要访问
“系统>状态>系统信息>系统时间”。
选项栏放到了系统>管理员>设置。该选项栏包括虚拟域配置、web 管理员端
口以及 web 管理设置选项。Web 管理现称为“语言设置”。
HA,SNMP v1/v2c 以及替换信息栏目仍然在配置菜单中。
操作模式可以在该菜单中进行切换,同样也可以进入“系统>系统信息>操
作模式”实现模式切换的操作。
FortiManager 选项栏转移到了管理员菜单。
管理员
管理员菜单中除了以上所述栏目,还包括管理员与访问控制列表项。
在管理员栏目,在设置新的管理员时可以对应设置其访问权限。
FortiManager 选项栏转移到了管理员菜单,也是增加在管理员菜单中的新选
项。
维护
维护菜单中现在只有两个选项栏,分别是备份与恢复,FortiGuard 服务中心。
备份与恢复栏目增加了几项新的选项用于配置备份与恢复配置文件设置。通
过备份与恢复栏您可以备份、恢复配置文件,以及加密配置文件。如果 FortiGate
设备型号支持 FortiUSB KEY,可以选择本地 PC 或 FortiUSB KEY 备份或恢复配
置文件。备份与恢复栏目还设有高级选项,可以设置在系统重新启动时自动启用
FortiUSB KEY 安装配置文件或镜像文件。通过高级选项也可以导入 CLI 命令。
FortiOS 升级手册
01-30004-0317-20070102 22
高级选项中还设置有下载调试日志项。您可以下载加密调试日志并已文件形
式将其发送到 Fortinet 技术支持协助诊断 FortiGate 设备的问题。
图 4:备份与恢复页面
FortiGuard 服务中心,之前名为“更新中心”,包括可以启动 FortiGate 设备
连接到 Fortinet Distribution Network(FDN)、更新反病毒与攻击定义的选项。在
该页面中,您也可以测试 FortiGuard 服务的可用性。
图 5:FortiGuard 服务中心
FortiOS 升级手册
01-30004-0317-20070102 23
以下是维护菜单中去掉的选项栏:
z 支持栏不可用。
z 关闭设备栏设置在访问系统>状态>系统操作项下。
虚拟域
该菜单显示是“系统>管理员>设置”中的选项。当您配置启动该选项时,
需要退回到 web 管理起页面先配置 VDOM 设置。基于 web 管理与 CLI 管理工具
中虚拟域配置的选项都发生了改变:
z 全局配置与每个 VDOM 配置分离。
z 只有 admin 管理员账户可以查看与配置全局配置选项。
z Admin 管理员可以配置所有的 VDOM。
z Admin 管理员账户可以通过根 VDOM 中的任何接口连接。
z Admin 管理员账户可以通过任何常规管理员账户管理的 VDOM 的任何接口
连接。
z 常规管理员只能配置对其分配的 VDOM 并访问属于这些所管理的 VDOM 的
接口。
z 常规管理员能够在其所管理的 VDOM 中的物理接口创建 VLAN 子接口。
z 您可以对管理员账户设置访问权限。
z Admin 管理员可以配置所有的 VDOM,即使某个 VDOM 是分配到某个常规
管理员进行管理。
FortiOS 升级手册
01-30004-0317-20070102 24
路由表
路由表菜单中包括以下选项:
z 静态路由
z 动态路由
z 路由监控
静态路由
静态路由中包括两个选项:策略路由与静态路由。策略路由以前在路由菜单
中是一个单独选项栏。
动态路由
动态路由是新添的菜单,包括四个配置选项,分别可以配置 RIP,OSPF,
BGP 与多播协议。
启动动态路由协议配置可以自动与邻居路由共享路由信息,包括邻居路由器
发送的路由与网络信息。
z RIP 协议是距离向量路由协议,用于小型网络或类似网络。
z OSPF 稍有不同,是链路状态路由协议,用于大型网络中在同一个自主区域
内的路由器之间共享网络信息。
z BGP 是互联网路由协议,典型的被 ISP 用于在不同 ISP 网络之间交换路由信
息。例如,BGP 设置可以对在自主系统内使用 RIP 和/或 OSPF 路由数据报
的 ISP 与自主系统之间共享网络路径信息。
z 多播设置可以使用 FortiGate 设备作为独立组播协议(PIM)版 本 2 的路由器
在根虚拟域中操作。PIM 路由器通过网络确保只有一个数据包被转发,直到
数据包到达终端目的地,并在只有当需要将信息发送到多播用户应用程序时
拷贝数据包,将流量发送到多播地址。
注意:以下设置需要使用 CLI 进行配置:
z 分布列表
z 偏移列表
z 前缀列表
z 路由映射
z 密钥链
z 访问控制列表
监控器
路由监控显示设备路由表的条目,您可以应用过滤器根据具体的路有协议搜
索并显示路由。
FortiOS 升级手册
01-30004-0317-20070102 25
防火墙
防火墙菜单包括以下配置选项:
z 策略
z 地址
z 服务
z 虚拟 IP
z 内容保护列表
策略
策略菜单与 FortiOS 2.80MR11 中的策略菜单相似,在您建立新的策略时没
有高级选项。其它两个额外选项,内容保护列表与日志允许流量中含有验证与流
量控制功能框。
当您选中“流量控制”功能,您可以设置“保证带宽”“最大带宽”与“流
量优先级”。
地址
地址菜单中设置有您要创建地址类型的选项。地址类型可以设置为“子网/IP
范围”或“完整的限定域名(FQDN)”。
注意:FQDN 存在安全隐患,请小心使用。
服务
服务菜单中用户定义栏目显示进行了更新。用户定义地址栏目中,您可以添
加任意多用户服务所需要的 TCP/UDP 协议。
虚拟 IP
虚拟 IP 地址还有其它选项,IP 池菜单包括在该选项中。
内容包括列表
内容保护列表中新增了两个选项:IM/P2P 与日志。
VPN
VPN 菜单中包括以下设置项:
z IPSec
FortiOS 升级手册
01-30004-0317-20070102 26
z SSL
z 证书
FortiOS3.0.VPN配置中对 VPN菜单进行了更改。建议您查看 FortiOS 3.0MR1
发布说明中有关 VPN 配置更改的问题。
注意:当您设备系统升级到 FortiOS 3.0. VPN 后,需要重新配置 VPN 设置。升
级过程中,IPSec 阶段 2 设置的源与目标端口重置归零。
注意:CLI 命令 auto-negotiate 代替了 Ping 发生器的功能。默认情况下,
auto-negotiate 是没有启动的,该功能在 IPSec 阶段 2 配置中的 IPSec 通道中可用。
IPSec
更改了 IPSec 菜单显示的配置 VPN 界面。阶段 1 与阶段 2 功能栏与新增的
AutoKey(IKE)功能栏结合。Ping 发生器的功能可以使用 CLI 命令实现,详细
信息参见 FortiGate
使用参考手册
。
设备
CLI
SSL
SSL 菜单在 FortiOS 3.0 中是新增的。含有两个栏目选项,分别为配置与监
控,您可以使用这两个选项配置 SSL VPN 与监控器。
SSL 应用使用两个密钥,分别为公共密钥与私有密钥加密数据的加密系统。
如果您需要 SSL 版本 2 加密与老版本的浏览器兼容,您可以使用 CLI 启动该协
议。参见 FortiGate 设备 CLI 设备参考手册有关 SSL 的详细信息。对于验证远程
用户,同样可以使用电子证书。
证书
证书菜单新增了栏目选项:证书恢复列表(CRL)。FortiGate 设备使用 CRL
确保属于 CA 与远程用户端的证书是有效的。
从 CRL 选项栏,您也可以导入这些证书的类型。这对于定期从 CA 网站获
取证书恢复列表,使用撤消证书的用户不能建立与 FortiGate 设备连接的用户很
重要。
注意:从 CA 网站下载 CRL 以后,需要将下载文件保存在可以访问 FortiGate 设
备的管理计算机中。
用户
用户菜单包括以下选项:
z LDAP
z Windows AD
z 用户组
注意:不包括本地菜单与 RADIUS 菜单,这两个选项菜单从 FortiOS 2.8MR11 中
就没有更改过。
FortiOS 升级手册
01-30004-0317-20070102 27
Loading...