飞塔配置安装使用手册

更新时间:2024-05-16 04:35:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

飞塔配置安装使用手册

FortiGuard产品家族

fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息,详见www.fortinet.com/products.

FortiGuard服务订制

fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。

fortiguard 服务订制包括:

1、fortiguard 反病毒服务

2、 fortiguard 入侵防护(ips)服务

3、 fortiguard 网页过滤服务

4、fortiguard 垃圾邮件过滤服务

5、fortiguard premier伙伴服务

并可获得在线病毒扫描与病毒信息查看服务。

FortiClient

forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括:

1、建立与远程网络的vpn连接

2、病毒实时防护

3、防止修改windows注册表

4、病毒扫描

forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMail

fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。

FortiAnalyzer

fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能:

1、从fortigate与syslog设备收集并存储日志。

2、创建日志用于收集日志数据。

3、扫描与报告漏洞。

4、存储fortigate设备隔离的文件。

fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer硬盘的报告与日志。

FortiReporter

fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。

FortiBridge

fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。

FortiManager

fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。

关于FortiGate设备

fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。

FortiGate-60/60M/ADSL

fortigate-60设备设计应用于远程工作用户以及零售店操作用户。fortigate-60设备中含有一个外部调制解调器接口,可以作为备用接口或作为与单机连接接入到互联网,该设备中还拥有一个内部调制解调器也能够作为一个到互联网的备份或单机连接。fortigate-60adsl中包括一个内部adsl调制解调器。

FortiWiFi-60

fortiwifi-60设备能够提供一个安全,无线的lan解决方案。fortiwifi病毒防火墙功能集移动性与灵活性,并且能够升级到将来应用的无线通信技术。fortiwifi-60可以作为无线与有线网络的连接点或一个单独的无线网络的中心点。

FortiGate-100A

fortigate-100a 是应用于小型办公、soho以及一些公司机构的分支部门的,易于管理员部署的网络防护设备。fortigate -100a设备支持一些高级的功能例如802.1q vlan、虚拟域以及rip与ospf路由协议。

关于本手册

该文档就如何安装fortigate设备,在网络中配置设备,以及如何安装与升级固件进行了说明。

该手册包含以下章节:

1、安装fortigate设备- 安装并启动fortigate设备。

2、出厂默认设置- fortigate设备出厂默认设置信息。

3、在网络中配置fortigate设备- fortigate设备的操作模式说明以及如何将fortigate设备集成到网络中。

4、配置modem接口- 如何配置以及使用fortigate-60系列设备的modem。

5、使用无线网络- 无线网络的使用注意事项以及使用步骤,使无线网络的使用更为高效。

6、fortigate固件- 描述了如何安装,升级,恢复与测试fortigate设备的固件。

ATTENTION:本手册中所述的信息涉及到五个设备fortigate-60/60m、fortiwifi-60以及fortigate-100a。其中大部分的内容适用于所有的设备,针对对具体某个模块所做的说明与描述内容,将使用以下的图标作为描述提示。

该手册中的注释

以下是该手册中的注释:

1、在所举的例子中,私人ip地址既可以用做私人也可以是公共ip地址。

2、注意与警告标识中的提示较为重要的信息。

排版说明

以下是该安装手册中使用的排版说明:

FortiGate技术文档

您可以从fortinet技术文档网站http://kc.forticare.com,获得最新发布的fortinet技术文档。

公开以下fortinet产品技术手册:

1、fortigate 快速启动指南

提供关于连接与安装fortinet设备的信息。

2、fortigate 设备安装手册

提供有关如何安装fortigate设备的信息。包括硬件信息,默认配置信息,安装操作,连接操作以及基本的配置操作。请查看产品型号选择不同的安装手册。

3、fortigate 管理员使用手册

有关如何配置fortigate设备的基本信息,包括如何定义fortigate病毒防护与防火墙策略;如何应用入侵保护,病毒防护,网页内容过滤以及垃圾邮件过滤服务与配置vpn。

4、fortigate 在线帮助

在线帮助是对fortigate管理员手册的html格式上下文有关的检索与查询。您可以通过基于web的管理其访问在线帮助。

5、fortigate cli 参考手册

有关如何使用fortigate cli(命令行接口)以及所以fortigatecli命令的参考。

6、日志信息参考手册

访问fortinet公司网站的fortinet知识库板块,fortigate 日志信息参考对fortigate日志信息的结构与fortigate设备所生成的日志信息有关内容做了描述。

7、fortigate ha 用户使用指南

深入介绍了fortigate 高可用性的性能与fortigate群集协议的信息。

8、fortigate ips 用户使用指南

对如何配置fortigate设备的入侵检测功能以及ips是如何处理普通的攻击做出了描述。

9、fortigate ipsec vpn 用户指南

对使用基于web的管理器如何配置ipsec vpn进行了逐步详细的说明。

10、fortigatessl vpn 用户使用指南

对fortigate ipsec vpn与fortigate ssl vpn 技术进行比较,并对通过基于web的管理器,远程用户怎样配置只适用于网络模式与通道模式ssl vpn访问做了描述。

11、fortigate pptp vpn 用户使用指南

使用基于web的管理器如何配置pptp vpn。

12、fortigate certificate management user guide 证书管理用户指南管理电子证书的程序包括生成电子证书的请求,安装签发的证书,引入ca根权威证书与证书撤销名单,以及备份与存储安装的证书信息与私人密钥。

13、fortigate vlan and vdom 用户使用指南

在nat/路由与透明模式下如何配置vlan与vdom。

启动FortiGate设备

1. 将ac适配器与设备背后的电源接口连接。

2. 将ac适配器与电源线连接。

3. 将电源线连接到电源插座。

fortigate设备启动,电源与led状态显示灯亮起。fortigate设备启动过程中led状态指示灯闪烁并在设备启动后保持亮着状态。

表4:led显示

关闭fortigate设备

请在闭合电源开关之前,关掉fortigate操作系统,以免造成硬件损伤。

关闭fortigate设备

1. 访问基于web的管理器,进入系统] 状态] 系统状态, 选择关闭系统,然后点击“确认”关闭系统;或者在命令行接口(cli)中,输入execute shutdown

2. 关闭电源开关。

连接到基于web的管理器

根据以下操作步骤建立与基于web管理器的初次链接。在基于web的管理器中所做的配置修改,无需重新设置防火墙或中断运行便可生效。

连接到基于web的管理器,您需要:

1、一台能够连接以太网的计算机

2、微软6.0版本的浏览器或以上的版本,或任何现行的web浏览器

3、一根交叉的以太网网线或一个以太网网络集线器(hub)与两根以太网网线。

ATTENTION:启动ie之前(或其他现行版本的的网页浏览器),ping fortigate设备,检测计算机与fortigate设备之间是否连接正常。

连接到基于web的管理器

1. 设置计算机与以太网连接的ip地址为静态ip地址192.168.1.2,掩码为255.255.255.0。

您可以配置管理计算机使用dhcp自动获取ip地址。fortigate dhcp服务器将对管理计算机分配范围为192.168.1.1到192.168.1.254之间的ip地址。

2. 使用交叉线或以太网集线器(hub)与线缆将fortigate设备的内部接口与您的光纤网络接口连接。

3. 启动ie浏览器,浏览地址为https://192.168.1.99 的页面(请注意是https://)。

为了支持安全的https识别程序,fortigate设备引入一个自签订的安全认证,每当远程用户对fortigate设备发起一个https连接时,该安全认证便会弹出。当您进行连接时,fortigate设备在浏览器中显示两个安全警告。

第一个警告信息提示您接受并安装fortigate设备的自签安全证书。如您不接收认证,fortigate设备将拒绝连接。如您接收认证,将转入fortigate登录页面。输入用户名与密码验证信息登录。如您选择永久接受认证,警告信息不再弹出。

在fortigate登录页面显示之前,第二个警告信息告知您fortigate认证与原始请求的区别。该信息弹出是因为fortigate设备试图进行再次连接。是一条报告性信息。点击“ok”键确认,继续登录页。

4. 输入名称字段输入admin登录。

系统操作面板

登录到基于web的管理器后,页面显示系统操作面板。面板显示所有的系统状态信息。

连接到CLI(命令行接口)

将管理计算机的串口与fortigate设备的控制台连接器连接并可以访问fortigate设备命令行接口。您也可以在任何网络(包括互联网)中使用telnet或一个安全的ssh连接访问fortigate设备也可以连接到cli。

cli(命令行接口)支持与基于web的管理器相同的配置与功能。另外,您还可以使用cli配置一些web管理器不能配置的更高级的选项。本手册中包含一些基本的以及某些高级的cli命令信息。有关连接到fortigate设备使用cli的详细信息,参见fortigate 设备cli 使用参考手册。

连接到cli

除了使用基于web的管理器,您也可以使用cli安装与配置fortigate设备。无需重新设置防火墙或中断设备运行,cli所进行的配置更改便可以生效。

连接到cli,您需要:

1、一台有通信端口的计算机

2、fortigate设备包装中带有的rj-45到db-9的串口线缆。

3、终端模拟软件,如microsoft windows的hyperterminal。

连接到cli

1.使用rj-45到db-9的串口线将您计算机的通信端口与fortigateconsole端口连接。

2.启动hyperterminal,键入连接的名称,点击ok确认。

3.配置将hyperterminal与您计算机的通信端口直接连接并点击ok键确认。

4.输入以下端口设置并点击ok确认。

5.按回车连接到fortigate cli。

bit per second 9600

bata bits 8

partity none

stop bits 1

flow control none

6.按enter键,建立与fortigate cli的连接。

弹出登录页。

7.键入admin的名称并按enter键两次

显示如下提示信息;

welcome!

键入?列出可用的命令。有关如何使用cli(命令行接口)的详细信息,参见fortigate 设备cli 使用参考手册。

使用出厂默认设置快速启动FortiGate设备

使用基于web的管理器与出厂默认的fortigate设备配置,您可以快速在soho情况下配置启用fortigate-60系列设备。您所要做的只是配置您网络中的计算机使用dhcp自动获取ip地址以及dns服务器ip地址,并访问基于web的管理器对wan1接口配置所需的设置。如需要,您也可以配置fortigate dns服务器并添加默认的路由。

fortigate内部接口可以配置作为一个dhcp服务器在内部网络中自动对计算机设备(最多可达100台)自动分配地址范围为192.168.1.110到192.168.1.210之间的ip地址。

fortigate dhcp服务器也可以对内部网络中的每台计算机分配dns服务器ip地址为192.168.1.99。那么,fortigate设备内部接口将作为内部网络中的一个dns服务器。使用dns转发,fortigate设备将从内部网络获取的dns请求转发到dns服务器ip地址添加在fortigate设备配置中并将查询结果返回到内部网络中。

有关dhcp服务器的详细信息,参见“出厂默认dhcp服务器配置”。

以下操作是有关如何配置您的内部网络与fortigate设备使用fortigate设备默认的设置:

1. 将fortigate设备连接在内部网络与互联网之间,并启动设备。

2. 设置网络计算机的tcp/ip属性使用dhcp自动获取ip地址与dns服务器ip地址。

3. 使用管理计算机,浏览:https://192.168.1.99。

登录到fortigate设备基于web管理器页面。

4. 进入系统]网络]接口,点击外部接口的“编辑”图标。

5. 选择以下一种寻址模式:

1)手动模式:输入静态ip地址与掩码,点击ok并进入步骤6。

2)dhcp模式:点击选择dhcp,从isp获取ip地址,并进入步骤9。

3)pppoe模式:点击选择pppoe,从isp获取ip地址,并进入步骤9。

6. 进入系统]网络]选项。

7. 选择以下一种dns设置:

1)自动获取dns服务器地址:设置从isp自动获取dns地址,点击“应用”。

2)使用以下dns服务器地址:输入isp给的dns地址并点击“ok”。

8. 进入路由]静态,编辑路由#1并将网关更改为默认的网关ip地址并点击ok。

9. 如果isp支持服务器或代理内部dns选项,点击获取默认的网关并点击ok确认后继续执行“下一步”。

如果您没有设置这些选项,进入步骤6。

出厂默认的透明模式的网络配置

使用出厂默认的dhcp服务器设置,您可以快速配置内部网络以及fortigate设备。参见“使用出厂默认设置快速安装”。

出厂默认的NAT/路由模式的网络配置

fortigate设备首次启动时,它运行于nat/路由模式,表6所列是该工作模式下的基本网络配置。该配置允许您连接到fortigate设备的基于web的管理器,并建立fortigate设备连接到网络所需的配置。表6中,https管理访问表示您可以通过该接口的https协议连接到基于web的管理器。ping管理访问表示该接口对ping这一命令可以做出响应。

出厂默认的透明模式的网络配置

出厂默认防火墙设置

fortigate防火墙策略是有关fortigate设备对所有通讯流量的控制。除非添加了防火墙策略,否则没有流量通讯能够被fortigate设备接收或经过fortigate设备。您可以添加防火墙策略允许网络流量通过fortigate设备。有关添加防火墙策略,参见fortigate 设备管理员使用手册。

以下是默认的防火墙配置中的策略配置设置:

nat/路由模式与透明模式下防火墙配置的出厂默认设置是相同的。

出厂默认的防火墙保护内容设置

使用防火墙保护设置对防火墙策略控制的流量进行不同的防护设置。

1、给http,ftp,imap,pop3与smtp防火墙策略配置防病毒保护。

2、给http防火墙策略配置网页过滤。

3、给http策略配置网页类别过滤。

4、给imap,pop3与smtp防火墙策略配置垃圾邮件过滤。

5、对所有的服务启动入侵防护系统(ips)。

6、对http,ftp,imap,pop3与smtp防火墙策略启动内容日志通过内容保护列表,您可以构建适用与不同类型防火墙策略的保护配置。并允许您针对不同防火墙策略定制不同类型与级别的防护。

例如,内部与外部地址之间的流量可能需要比较严格的防护,而内部地址之间的流量可能需要中等一般的防护。您可以针对不同的流量使用相同或不同的保护设置配置防火墙策略。

nat/路由模式与透明模式的防火墙策略也可以添加保护设置。

fortigate设备可以预先配置四种保护设置。

strict(严格型) 适用于对http,ftp, imap,pop3与smtp流量应用最大限度的保护。一般情况下,不必使用strict(严格型)的保护设置,发现病毒攻击,需要扫描检测时,可以启用strict(严格型)保护。

scan (扫描型) 针对http,ftp,imap,pop3,与smtp内容流量采用病毒扫描与文件隔离。

web (网页内容控制型) 针对http内容流量采取病毒扫描与网页内容屏蔽。您可以在防火墙策略中添加该保护设置来控制http流量。

unfiltered (无过滤型) 如果对于内容流量不愿意采用内容防护,您可以使用无过滤型保护。您可以在不需要内容保护的高可信与安全性较高的网络连接区域,在防火墙的策略中添加该保护设置。

使用基于web的管理器恢复默认的出厂设置

恢复默认的设置

1.进入系统]状态]系统操作。

2.点击“恢复为出厂默认设置”。

3.点击“确认”。

使用CLI恢复默认的出厂设置

键入如下命令恢复为出厂默认设置:

execute factoryreset

规划FortiGate配置

配置fortigate设备之前,先要考虑怎样把fortigate设备集成在网络中。至于其它问题,如还需要决定fortigate设备是否在网络中可见,需要配置哪些防火墙功能,与怎样控制接口间的流量。

您所选择的fortigate设备的操作模式是配置的依据。fortigate设备有两个模式,分别为:nat/路由模式(出厂默认)与透明模式。

您也可以在出厂默认的操作模式设置即nat/路由模式下,在网络中配置fortigate设备。

NAT/路由模式安装

na/路由模式下,fortigate设备在网络中是可见的类似一个路由器,设备的所有接口在不同的子网中。在na/路由模式下,以下接口是可用的。

您可以添加防火墙策略控制nat/路由模式下的fortigate设备是否有通信流量通过。防火墙策略根据源地址、目标地址与每个数据包的服务来控制数据流量。nat模式下,fortigate设备发送数据包到目标网络之前,先执行网络地址转换。路由模式操作没有地址转换。

nat/路由模式下的fortigate设备的典型的应用是作为私网与公网之间的网关。该配置中,您可以建立nat模式防火墙策略控制内部网、私网与外部网,公网(通常指互联网)之间的数据流量。

ATTENTION:如果是多重内部网络连接,例如内部网之外的dmz网络、私网;您可以建立路由模式下的防火墙策略控制这些多重网络之间的流量。

具有多个外部网络连接的nat/路由模式

nat/路由模式下,您可以配置fortigate设备具有多个冗余连接,连接到外部网络(通常指互联网)。

例如,您可以创建以下配置:

1、wan1是连接到外部网络(通常指互联网)的默认接口。

2、modem是fortigate-60系列设备连接到外部网络的冗余接口。

3、dmz是fortigate-100a设备中连接到外部网络的冗余接口。

4、internal是连接到内部网络的接口。

您必须配置路由支持冗余的网络连接。如果到外部网络的连接失败,路由可以从接口自动重新定向改连接。

另外,安全策略配置类似于单项互联网连接下的nat/路由模式配置。您可以创建nat模式防火墙策略控制内网、死亡以及外网、公共网络(通常指互联网)之间的流量。

透明模式

透明模式下,fortigate设备在网络中是透明的。类似于网络桥梁,所有的fortigate接口都在同一个子网中。您只需配置一个管理ip地址便可以进行配置更改。管理ip地址也可用来配置病毒及攻击的定义更新。透明模式下的fortigate设备的典型应用位于当前的防火墙或路由器之后。fortigate设备具有防火墙、ipsecvpn、病毒扫描、ips、网页过滤与垃圾邮件过滤功能。

根据不同型号的fortigate设备,您最多可以将4个网段连接到fortigate设备上,以控制这些网段之间的数据流量。

ATTENTION:透明模式下,fortigate-60m中modem接口不可用。

设置公共FortiGate接口对Ping命令请求不作出响应

出厂默认的fortigate设备允许默认的公共接口对ping请求作出响应。默认的工作接口也称为默认的外部接口,该接口是通常用于连接到互联网的接口。

出于安全操作着想,您应该更改外部接口的配置,对外部的ping请求不作出响应。配置对外部的ping请求不作出响应增强了网络的安全性,增加网络中可能的攻击对fortigate设备的探测。

根据fortigate设备不同的型号,默认的公共接口可以是external接口或wlan1接口。

如果对接口启动了ping管理访问设置,那么fortigate设备将对ping请求作出响应。您可以使用以下操作步骤撤消对fortigate设备外部接口的ping访问。同样的操作适用于任何操作模式下的设备接口。

使用基于web的管理器撤消ping管理访问

1. 登录基于web的管理器。

2. 进入系统]网络]接口。

3. 选择外部接口并点击对应的“编辑”。

4. 撤消ping 管理访问功能。

5. 点击ok保存该配置更改。

使用cli撤消ping管理访问

1. 登录fortigate cli。

2. 输入以下命令,撤消对外部接口的管理访问:

config system interface

edit external

unset allowaccess

end

NAT/路由模式安装

以下内容是有关如何在nat/路由模式下安装fortigate设备。包括以下内容:

1、配置fortigate设备的nat/路由模式准备

2、配置dhcp或pppoe

3、使用基于web的管理器

4、使用命令行接口(cli)

5、将fortigate设备配置到网络中

6、配置网络

配置FortiGate设备的NAT/路由模式准备

参考表11中的信息,您可以定制nat/路由模式设置。您可以使用以下几种方法配置fortigate设备:

1、通过基于web的管理器的用户界面可以配置设备的大部分设置。参见“使用基于web的管理器”。

2、使用命令行接口(cli)可以配置设备的全部设置。参见“使用命令行接口(cli)”。

根据配置,访问与设备组合的复杂性与您惯用的接口类型选择合适的配置方法。

配置使用DHCP或PPPoE

您可以配置任何fortigate接口从dhcp或pppoe服务器获得ip地址。您的互联网服务提供商(isp)便是使用这其中的一项协议提供ip地址的。

使用fortigate dhcp服务器,您需要配置该服务器的ip地址范围与默认的路由。将接口配置为使用dhcp便不需要做更多的配置了。

配置使用pppoe需要设置用户名与密码。另外,pppoe未编号配置要求固定一个ip地址。参考表12记录的信息配置pppoe。

使用基于web的管理器

您可以使用基于web的管理器进行fortigate设备的初始配置以及所有fortigate设备的设置。

有关连接到基于web的管理器信息,参见“连接到基于web的管理器”。

配置基本设置

连接到基于web的管理器后,您可以使用以下操作完成fortigate设备的基本配置。

添加或更改管理员密码

1.进入系统] 管理员配置] 管理员。

2.点击“更改密码”图标更改管理员密码。

3.输入新密码,再输入一次确认。

4.点击ok确认。

配置接口

1. 进入系统] 管理员配置] 管理员。

2.点击接口的“编辑”图标。

3.设置接口的地址模式。

从菜单中选择dhcp或pppoe.

4.完成地址配置。

1)对于手动的地址,输入接口的ip地址与掩码

2)对于dhcp地址,点击dhcp并进行任何需要的设置

3)对于pppoe地址,点击pppoe后输入用户名与密码

有关接口设置的配置,参见fortigate在线帮助或fortigate 设备管理员使用手册。

5. 点击“ok”确认

重复以上步骤,对每个接口进行配置。

ATTENTION:如果您想更改连接接口的ip地址,您必须使用新的地址通过网页浏览器重新连接。浏览http://后跟接口新的ip地址。如果接口新的ip地址是不同的子网,您还需将计算机ip地址更改为与该子网相同的ip地址。

配置dns服务器设置

1.进入系统]网络]选项。

2.输入一级dns服务器的ip地址。

3.输入二级dns服务器的ip地址。

4.点击“应用”。

添加默认路由

fortigate设备发送数据包到外部网络(通常指互联网)时,需要配置添加默认的路由。添加默认的路由也需要定义哪个接口连接到外部网络。如果与外部网络连接的接口配置使用了dhcp或pppoe,则不需要添加默认的路由。

1.进入路由]静态路由。

2.如果静态路由表格中有默认的路由设置(ip与掩码设置为0.0.0.0.),点击“删除”图标删除该路由。

3.点击“新建”。

4.设置目标ip地址为0.0.0.0.

5.设置掩码为0.0.0.0.

6.设置网关为默认的网关ip地址

7.设置连接到外部网络接口的驱动。

8.点击ok确认。

校验基于web管理器配置

校验访问设置,进入所校验的接口并点击编辑图标。管理访问字段有检验标识可以确认是否执行了校验。

校验连接

使用以下步骤校验连接:

1、访问www.fortinet.com

2、从您的邮件帐户收发电子邮件

如果您不能浏览fortinet网站或收发电子邮件,请检查以上步骤确保所输入的信息正确,再试一次。

使用基于web的管理器

您可以使用基于web的管理器进行fortigate设备的初始配置以及所有fortigate设备的设置。

有关连接到基于web的管理器信息,参见“连接到基于web的管理器”。

配置基本设置

连接到基于web的管理器后,您可以使用以下操作完成fortigate设备的基本配置。

添加或更改管理员密码

1.进入系统] 管理员配置] 管理员。

2.点击“更改密码”图标更改管理员密码。

3.输入新密码,再输入一次确认。

4.点击ok确认。

配置接口

1. 进入系统] 管理员配置] 管理员。

2.点击接口的“编辑”图标。

3.设置接口的地址模式。

从菜单中选择dhcp或pppoe.

4.完成地址配置。

1)对于手动的地址,输入接口的ip地址与掩码

2)对于dhcp地址,点击dhcp并进行任何需要的设置

3)对于pppoe地址,点击pppoe后输入用户名与密码

有关接口设置的配置,参见fortigate在线帮助或fortigate 设备管理员使用手册。

5. 点击“ok”确认

重复以上步骤,对每个接口进行配置。

ATTENTION:如果您想更改连接接口的ip地址,您必须使用新的地址通过网页浏览器重新连接。浏览http://后跟接口新的ip地址。如果接口新的ip地址是不同的子网,您还需将计算机ip地址更改为与该子网相同的ip地址。

配置dns服务器设置

1.进入系统]网络]选项。

2.输入一级dns服务器的ip地址。

3.输入二级dns服务器的ip地址。

4.点击“应用”。

添加默认路由

fortigate设备发送数据包到外部网络(通常指互联网)时,需要配置添加默认的路由。添加默认的路由也需要定义哪个接口连接到外部网络。如果与外部网络连接的接口配置使用了dhcp或pppoe,则不需要添加默认的路由。

1.进入路由]静态路由。

2.如果静态路由表格中有默认的路由设置(ip与掩码设置为0.0.0.0.),点击“删除”图标删除该路由。

3.点击“新建”。

4.设置目标ip地址为0.0.0.0.

5.设置掩码为0.0.0.0.

6.设置网关为默认的网关ip地址

7.设置连接到外部网络接口的驱动。

8.点击ok确认。

校验基于web管理器配置

校验访问设置,进入所校验的接口并点击编辑图标。管理访问字段有检验标识可以确认是否执行了校验。

校验连接

使用以下步骤校验连接:

1、访问www.fortinet.com

2、从您的邮件帐户收发电子邮件

如果您不能浏览fortinet网站或收发电子邮件,请检查以上步骤确保所输入的信息正确,再试一次。

使用命令行接口(CLI)

您可以使用命令行接口(cli)对fortigate设备进行配置。有关连接到cli的详细信息,参见“连接到cli”。

配置fortigate设备运行于nat/路由模式

参考表11中所采集的信息完成以下步骤。

添加或更改管理员命令

1.登录到cli(命令行接口)

2.更改管理员密码。输入:

config system admin

edit admin

set password [psswrd]

end

配置接口

1.登录到cli(命令行接口)

2.设置内部接口的ip地址与掩码为表11中所记录的内部ip地址与掩码。

输入:

config system interface

edit internal

set mode static

set ip [address_ip] [netmask]

end

举例

config system interface

edit internal

set mode static

set ip 192.168.120.99 255.255.255.0 end

3. 设置外部接口的ip地址与掩码为表11中所记录的外部ip地址与掩码。输入:

config system external

edit wan1

set mode static

set ip [address_ip] [netmask]

end

end

举例

config system external

edit wan1

set mode static

set ip 204.28.1.5 255.255.255.0

end

设置外部接口使用dhcp

config system interface

edit wan1

set mode dhcp

end

设置外部接口使用pppoe

config system interface

edit wan1

set mode pppoe

set connection enable

set username [name_str]

set password [psswrd]

end

4.根据需要使用命令句法模式配置每个接口的ip地址。

5.确认输入的地址是正确的。输入:

get system interface

cli命令行接口列出了每个fortigate接口的ip地址、掩码、与其他设置。

配置dns服务器设置

设置一级与二级dns服务器的ip地址。输入:

config system dns

set primary [address_ip]

set secondary [address_ip]

end

举例

config system dns

set primary 293.44.75.21

set secondary 293.44.75.22

end

添加默认的路由

fortigate设备发送数据包到外部网络(通常指互联网)时,需要配置添加默认的路由。添加默认的路由也需要定义哪个接口连接到外部网络。如果与外部网络连接的接口配置使用了dhcp或pppoe,则不需要默认的路由。

添加默认的路由

设置默认网关ip地址的路由。输入:

config router static

edit 1

set dst 0.0.0.0 0.0.0.0

set gateway [gateway_ip]

set device [interface]

end

举例

如果默认的网关ip地址是204.23.1.2,该网关连接到端口1:

config router static edit 1

set dst 0.0.0.0 0.0.0.0

set gateway 204.23.1.2

set device port1

end

校验连接

使用以下步骤校验连接:

1、ping fortigate设备。

2、浏览基于web管理器的用户界面。

3、从您的邮件帐户收发电子邮件

如果您不能浏览fortinet网站或从您的帐户收发电子邮件,请检查以上步骤确保所输入的信息正确,再试一次。

至此,fortigate设备的初始化配置完成。

将FortiGate设备连接到网络中

当您完成fortigate设备的初始化配置后,便可以在您的内部网与互联网之间连接fortigate设备了。

以下是fortigate设备中可用的网络连接:

1、连接internal接口,可以连接到内部网络。

2、wan1接口可以连接到互联网。

3、wan是fortiwifi设备中的无线接口。

4、dmz是连接到dmz网络的接口。

与fortigate设备建立连接:

1.通过将内部接口连接到hub或交换机,接入内部网络。

2.将外部接口(external)与互联网连接。连接到isp服务商提供的公共交换机或路由器。如果您是dsl或有线网络用户,将wan1接口与内部网络或您dsl的lan连接或有线调制解调器连接。

3.dmz接口是连接dmz网络的可选接口。

通过dmz网络,无需在您的内部网络安装服务器,便可以进行从互联网到网络服务器或其他服务器的访问。

配置网络

如果fortigate设备运行于nat/路由模式,您需要给网络配置路由,使所有的网络流量都能够流向与网络连接的接口。

1、对于内部网络,更改与内部网络直接连接的所有计算机与路由器默认的网关地址为fortigate内部接口的ip地址。

2、对于dmz网络,更改与您的dmz网络直接连接的所有计算机与路由器默认的网关地址为fortigate设备dmz接口的ip地址。

3、对于wan网络,更改与您的wan网络直接连接的所有计算机与路由器默认的网关地址为fortigate设备wan接口的ip地址。

4、对于处于wlan网络中的fortiwifi-60/60m设备,更改与您的wan网络直接连接的所有计算机与路由器默认的网关地址为fortigate设备wan接口的ip地址。

如果您将fortigate设备作为内部网络中的dhcp服务器使用,需要配置内部网络的计算机使用dhcp。

通过内部网络的计算机连接到互联网,确定连接的fortigate设备工作正常。您应该可以连接到任何互联网地址。

配置透明模式的准备

参考表13的信息定制透明模式设置。

以下三种方法均可配置透明模式:

1、基于web管理程序的gui

2、命令行接口(cli)

根据配置,访问与设备的复杂性与您惯用的接口类型选择配置透明模式的方法。

使用基于web的管理器

您可以使用基于web的管理器完成fortigate设备初始化配置以及设置功能选项。

有关连接到基于web的管理器信息,参见“连接到基于web的管理器”。初次连接到fortigate设备时,默认操作模式是nat/路由模式。

使用基于web 的管理器切换到透明模式

1.进入系统]状态。

2.点击“操作模式”选项旁边的的“更改”。

3.在操作模式列表中选择透明(transparent)模式。

4. 输入表13中收集的管理ip/掩码地址与默认网关地址。

5.点击应用。

无需与基于web的管理器重建建立连接。点击应用后,配置更改即可生效,您可以进入系统面板对更改为透明模式下的fortigate设备进行校验。

配置dns服务器设置

1.进入系统]网络]选项。

2.输入一级dns服务器的ip地址

3.输入二级dns服务器的ip地址

4.点击应用。

使用命令行接口(CLI)

除了使用基于web的管理器,您也可以使用命令行接口(cli)对fortigate设备进行初始化配置,参见“连接到命令行接口(cli)”说明。表13中的收集的信息,可以协助完成以下操作。

使用cli更改为透明模式

1.登录到cli

2.切换到透明模式。输入:

config system settings

set opmode transparent

set manageip [address_ip] [netmask]

set gateway [address_gateway] end

几秒后,显示以下信息:

changing to tp mode

3.登录页弹出时,输入以下命令:

get system settings

cli显示fortigate设备的状态包括管理ip地址与掩码:

opmode : transparent

manageip : [address_ip][netmask]

您需要校验dns服务器设置的正确性。dns设置是沿用nat/路由模式的,对于透明模式可能并不正确。使用表13信息配置dns服务器设置。

校验dns服务器设置

输入以下命令检验fortigate设备的dns服务器设置:

show system dns

键入上述cli命令后显示如下dns服务器设置信息:

config system dns

set primary 293.44.75.21

set secondary 293.44.75.22

set fwdintf internal

end

配置dns服务器设置

设置一级与二级dns服务器ip地址。输入命令:

config system dns

set primary [address_ip]

set secondary [address_ip]

end

重新连接到基于web的管理器

当fortigate设备切换到透明模式后,您可以使用新的ip地址重新连接到基于web的管理器。键入http://加新的ip地址。如果您通过一个路由器连接到管理接口,请确认是否在管理ip默认的网关字段添加了路由连接的网关。

将FortiGate设备连接到网络

完成设备初始化配置,便可以将fortigate连接到您的内部网络与互联网之间,或是通过dmz接口连接到其它网络中。

运行于透明模式下fortigate-60m 以及fortigate-60adsl 设备的modem 连接不可用。

与透明模式运行下的fortigate设备连接

1.将内部端口与连接到内部网络的网络集线器(hub)或交换机连接。

2.将外部端口与连接到您外部网络的网络集线器(hub)或交换机连接。连接到isp服务商的公共交换机或路由器。

3.根据需要,将dmz接口连接到hub或交换机。

校验连接

使用以下操作校验连接:

1、ping fortigate设备

2、登录到基于web的管理器

3、从您的邮件帐户收发电子邮件

如果您不能够正常浏览网站或收发电子邮件,检查以上步骤确定输入的信息正确,然后再试一次。

设置系统日期与时间

为了便于部署与记录日志,需要准确设置fortigate设备的系统时间与日期。您可以手动设置系统时间与日期,或通过与网络时间协议(ntp)服务器同步自动校准时间。

设置日期与时间

1.进入系统]状态。

2.系统信息]系统时间菜单选项下,点击“更改”。

3.点击“刷新”显示当前的fortigate系统日期与时间。

4.从时区(time zone)列表中选择时区。

5.可选择“自动”选项自动调整夏令时。

6.点击“设置时间”,设置fortigate系统日期与时间。

7.设置时,分,秒,月,日,年。

8.点击ok确认。

ATTENTION:如果您选择了根据夏令时自动调整时间,系统的时间必须在夏令时结束后手动重新调整。

使用ntp设置fortigate设备的日期与时间

1.进入系统管理]状态。

2.系统信息] 系统时间选项下,点击更改。

3.选择“与ntp服务器保持同步”,配置fortigate使用ntp自动设置系统时间与日期。

4.输入ntp服务器的ip地址与域名,便于fortigate设备自动设置时间与日期。

5.注明fortigate设备与ntp服务保持时间日期同步校准的频率。

6.点击ok确认。

FortiGate设备注册

fortigate设备安装完成后,访问http://support.fortinet.com并点击“产品注册”进行设备注册。

输入您的联系方式与所购买的fortigate设备序列号进行注册。您可以在注册栏中对所购买的全部设备进行同时注册,而无需重复输入联系信息。

通过fortigate设备注册,您将接收到fortinet公司发布的病毒与入侵检测等的更新并确保

单机模式下,modem接口将代替外部ethernet接口。您必须也需要对modem接口以及其它fortigate接口之间的连接配置防火墙策略。

ATTENTION:不要对代替ethernet接口的modem接口添加任何路由。

ATTENTION:不要对代替ethernet接口的modem接口与其它接口之间的连接添加防火墙策略。

运行于单机模式的fortigate-60m设备

1. 进入系统]网络]modem。

2. 根据需要配置其它modem设置。

查看拨号帐户的信息是否正确。

3. 对通过modem接口的连接配置防火墙策略。

4. 点击“拨号连接”。

fortigate设备依次对每个拨号发起连接直至modem连接到isp。

使用cli操作运行于单机模式

1. 登录cli。

2. 输入以下命令配置单机模式下modem设置:

config system modem

set status enable

set status mode standalone

end

3. 输入以下命令配置拨号帐户。

config system modem

set auto-dail

set idle-timeout [mintues_interger]

set passwd1 [phone-number_str]

set redial [tries_interger]

set usernamel [name_str] end

配置modem设置

配置modem设置,以便fortigate设备modem连接到isp拨号帐户。您可以配置modem最多连接三个拨号帐户。您也可以启动或撤消fortigate设备modem支持,配置modem拨号帐户并选择modem作为设备哪个接口的冗余。

启动modem modem状态:选中启动功能框,启动fortigate设备modem设置。modem的状态显示:“未激活”,“连接中”,“已连接”,“断开连接”或“挂断”。(只适用于单机模式)

拨号连接/挂断:点击拨号连接,自动连接到一个拨号帐户。如果与modem建立了连接,点击“挂断”断开与modem的连接。

模式:选择独立或冗余模式。独立模式下,modem是一个独立的接口。冗余模式下,modem作为在选择以太网接口后的备用设备。

自动拨号:(只适用于独立模式)如果失去连接或fortigate重新启动,选择自动拨号modem。“请求时拨号”与“自动拨号”不能同时选择。

冗余:(只适用于独立模式)点击以太网接口,modem作为备用。

请求时拨号:(只适用于独立模式)当数据包路由到modem接口时,点击拨号modem。闲置超时后,断开与modem的连接。“请求时拨号”与“自动拨号”不能同时选择。

闲置超时:(只适用于独立模式)输入闲置超时的间隔时间。如果保持在设定的间隔时间内没有连接活动,将断开与modem的连接。

等待时间:(只适用于冗余模式)主接口恢复之后,modem接口将转为主接口,fortigate设备等待的时间(1到60秒)。缺省的等待时间是1秒。如果发现secpath f1800-aw设备在主接口与modem接口之间重复装换,设置较高的等待时间值。

重拨次数:与isp 的连接失败后, secpath f1800-a 设备的modem试图与isp重新发起连接请求的最大次数。缺省的最多重拨次数是1次。选择“空”不限制重拨请求的次数。

拨号帐户:最多可以配置三个帐户。secpath f1800-aw设备逐个与每个帐户连接,直到连接已经建立。

电话号码:与拨号帐户连接需要的电话号码。请不要在电话号码的填写之间加空格。根据modem连接到拨号帐户的要求填写。

用户名:发送到isp的用户名称。(最多可以设置为63个字符长度)

密码:发送到isp的密码。

modem设置只有在nat/路由模式配置使用使用。

配置modem设置

1. 进入系统]网络]modem。

2. 选中“启动modem”功能框。

3. 更改拨号连接的设置。

4. 输入拨号帐户1的设置。

5. 如果有多个拨号帐户,输入电话号码、用户名以及帐户2与帐户3的密码。

6. 点击“应用”。

单机模式下,建立以及断开与modem的连接

连接到拨号帐户

1. 进入系统]网络]modem。

2. 选中“启动modem”功能框。

3. 确认拨号帐户中的信息输入正确。

4. 如果更改了设置,点击“应用”。

5. 点击“立即拨号”。

fortigate设备依次发起对每个帐户的连接,直至与isp建立连接。

检验框呈绿色显示表示激活状态下的拨号帐户。

分配到modem接口的ip地址与掩码。进入系统]网络]接口,校验ip地址与掩码。

断开modem连接

使用以下步骤断开modem与拨号帐户的连接。

1. 进入系统]网络]modem.

2. 如果断开与拨号帐户的连接,点击“挂断”。

对FortiGate-60与FortiWiFi-60设备配置modem

通过cli配置fortigate-60与fortiwifi-60设备的modem设置。以下是所使用命令的详细信息。

举例说明:

config system modem

set action dial

set status enable

set holddown-time 5

set interface wan1

set password1 acct1passwd

set phone1 1234567891

set redial 10

set username1 acct1user end

添加ping 服务器

modem在冗余模式下发生路由故障时,需要添加ping服务器。用来确定到ethernet接口的连接性。

对接口添加ping服务器

1. 进入系统]网络]接口。

2. 选择接口并点击“编辑”。

3. 对与接口连接的网络中的下一个中继路由的ip地址添加ping服务器。

4. 选中“启动”功能框。

5. 点击ok保存设置更改。

失效网关检测

fortigate设备使用失效网关检测功能发送ping命令到ping服务器的ip地址查看fortigate设备是否能够连接到该ip地址。

更改失效网关检测的配置可以控制fortigate设备是如何确认与添加到接口的ping服务器连接性。有关在接口添加ping服务器的详细信息,参见上文。

修改失效网关检测设置

1. 进入系统]网络]选项。

2. 在“检测间隔”字段,输入fortigate设备检测与ping目标连接性的频率。

3. 在“失效检测”字段,输入在fortigate设备认为网关已经不再起作用之前连接检测失效

本文来源:https://www.bwwdw.com/article/1vk7.html

Top