fortgate实施维护手册

目

一

录

实施细则 .................................................................................................................................................... 2 1 设备基本设置 ........................................................................................................................................ 2 2 HA配置（可选） .................................................................................................................................. 2 3 网络配置 ................................................................................................................................................ 2 4 安全策略配置 ........................................................................................................................................ 3 二 管理维护流程 ............................................................................................................................................ 4 三 设备配置简要 ............................................................................................................................................ 5

1 系统管理 ................................................................................................................................................ 5 2 防火墙 .................................................................................................................................................... 8 3 用户管理 .............................................................................................................................................. 12 4 VPN ...................................................................................................................................................... 13 5 IPS ......................................................................................................................................................... 15 6 防病毒 .................................................................................................................................................. 17 7 Web过滤 .............................................................................................................................................. 18 8 垃圾邮件过滤 ...................................................................................................................................... 21 9 系统日志 .............................................................................................................................................. 25 10 常用的CLI命令 .............................................................................................................................. 26 四 快速维护流程 .......................................................................................................................................... 28

一 实施细则 1 设备基本设置

此处配置为HA配置前的单个设备的基本配置。包括如下内容： ? 配置设备名称

制定一个全网统一的名称规范，以便管理。如TJ_FG300A_A、TJ_FG300A_B

? 修改设备时钟

建议采用NTP server同步全网设备时钟。如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。

? 设置admin口令

缺省情况下，admin的口令为空，需要设置一个口令。

? 设置LCD口令

从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令，只允许管理员修改。

? 在fortiprotect注册设备，升级fortiOS、病毒库、IPS特征库到最新 （在签订采购合同后，需及时登陆fortinet网站登记该设备）

2 HA配置（可选）

Fortigate可以提供Active-Active和Active-Passive两种HA模式。根据目前只有防火墙防护的需求，建议HA采用Active-Passive以提高包转发效率。 Mode GroupID Unit Priorities Password Priorities of heartbeat device Monitor priorities A-P 0-63 default fortinet Port 3为100，port 4为200 Port1、2、3都为100 每台设备设置完后都要重启，然后依次设置另一台。

3 网络配置

? 接入模式：

Fortigate可以提供透明模式和路由/NAT模式两种网络接入模式。由于机场离港网络和航信网络之间互访时存在地址转换的需求，因此采用路由/NAT模式。

? 根据IP规划设置接口IP地址和路由

网络配置参数表： 接口名称 Port1（北京_trust） Port2（天津LAN_untrust） IP地址 10.206.0.254/24 10.206.1.254/24 Port3（天津server_DMZ） Port4 Port5 Port6 缺省网关 DNS 10.206.2.254/27 HA心跳线，无需配置IP （保留） （保留） 10.206.0.1 null ? 基本策略设置，并测试，验证网络的连通性 策略名称 Port1 -> port2 Port1 -> port3 Port2 -> port1 Port2 -> port3 Port3 -> port1 Port3 -> port2 源IP Any Any Any Any Any Any 目的IP Any Any Any Any Any Any 服务 Any Any Any Any Any Any 说明 permit permit permit permit permit permit 4 安全策略配置

? 和业务部门协商确定业务相关安全策略，并测试 策略名称 Port1 -> port2 Port1 -> port3 Port2 -> port1 Port2 -> port3 Port3 -> port1 Port2 -> port2 源IP Any Any Any Any Any Any 目的IP Any Any Any Any Any Any 服务 Any Any Any Any Any Any 说明 permit permit permit permit permit permit 东四 -> 天津DMZ XX局域网 -> 天津DMZ

NAT地址转换对应表

? 根据需要设置IPS策略

? 根据需要设置AV策略

二 管理维护流程

? 设备管理权限的设置 设备管理权限表： 接口名称 Port1 Port2 Port3 Port4 Port5 Port6 允许的访问方式 Ping/HTTPS/SSH Ping/HTTPS/SSH Ping/HTTPS/SSH HA心跳线，不提供管理方式 （保留） （保留） 从哪个接口、来自哪些IP、可以获得哪些管理方式（建议采用https和ssh方式）

? SNMP的设定：监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况 SNMP community： SNMP TRAP host：

? Syslog的设定 Syslog server IP：

Log发送策略：event log发到syslog服务器，其他log保留在本地硬盘上

? Update策略的设定（update center）：要求先注册

因为机场离港网属于生产性网络，不和外网连接，因此fortigate设备的升级需要网络管理员手工完成。 在设备采购完成后，即可根据合同号和设备序列号，到fortinet网站注册，定期下载病毒库和IPS特征库，选择没有业务量的时间段升级，避免因升级对业务造成影响。

? 配置文件的备份

设备配置发生变更后（包括最初部署时，和以后添加或删除策略时），就要及时做配置备份。

备份文件/文件夹的命名：设备名称_日期，如TJ_FG300A01_20050718。在HA CLUSTER情况下，只需备份primary unit即可。

三 设备配置简要

本部分给出一个基于WEB界面的配置简要说明，供系统管理员初步参考；详细配置请参考厂家提供的配置手册。

Fortigate的WEB配置界面共分9部分： ? 系统管理 ? 防火墙 ? 用户管理 ? VPN ? IPS ? 防病毒 ? Web过滤 ? 垃圾邮件过滤 ? 系统日志

最后列除了一些常用的CLI基于命令行的系统命令。

1 系统管理

包括系统状态查看、网络接口配置、管理员权限配置、全局参数配置等。

系统状态页面可以查看基本的系统参数，包括设备序列号、软件版本、系统开机时间、最近检测到的病毒和入侵状况等。

会话页面可以查看当前通过防火墙的用户会话情况，包括会话的源地址、源端口、目的地址、目的端口、符合的防火墙策略、会话的ttl值等。该页面在防火墙测试和排查故障中经常用到。

网络配置页面用来配置各网络接口参数，以及通过接口的管理方式。在透明模式下，网络接口无需配置IP地址。

配置页面用来配置全局管理参数，包括系统时钟、HA特性配置、SNMP管理参数配置等。系统时钟可以手工设置或者采用NTP时钟服务器提供的时钟源。

管理员页面可以设置缺省管理员用户admin的口令，或者增加其他管理员，根据需要设定不同权限。

维护部分包括配置文件的备份与恢复、软件升级的配置、执行设备重启或关机的动作等。

2 防火墙

防火墙模块是fortigate的核心模块，其他安全模块的功能都需要被防火墙模块引用。 防火墙策略根据数据流的不同方向分组

每条策略包括数据流的流入接口/源IP、流出接口/目的IP、策略生效的时间、服务类型、针对该服务的动作（允许、丢弃、加密）等要素，另一个需要注意的是每条策略可以选择一个预定义的保护内容表。IPS、防病毒、Web内容过滤、反垃圾邮件等功能都通过保护内容表体现出来。

地址定义部分根据实际情况定义被防火墙策略引用的单个IP地址、IP网段等；也可以根据需要把多个

IP地址、IP网段分组，以简化策略的配置。

Fortigate预定义了一些常用的网络服务类型。

也可以根据需要自定义网络服务，定义的内容包括协议类型（TCP/UDP/ICMP）、使用该服务的源端口范围（缺省是1-65535）、目的端口范围。

时间表用来定义策略生效的时间限制，包括单次生效的时间段和循环生效的时间段。

保护内容表是防病毒、Web过滤、入侵防护、反垃圾邮件等安全模块启用与否的组合，该内容表被防火墙策略引用，以实现各种安全防护功能。

3 用户管理

用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。

单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。

4 VPN

Fortigate支持IPSEC、PPTP、L2TP这三种常见的VPN方式，在新的FortiOS中会引入SSL VPN的支持。 配置IPSEC VPN首先需要定义两阶段的IPSEC网关，然后在防火墙策略中引用该网关。 阶段1是IKE网关的定义，包括网关类型（固定IP、动态IP、DDNS三类）、网关认证方式（预共享密钥、密钥证书两种）等配置要素。

阶段2是IPSEC网关定义，需要引用阶段1定义的IKE网关。

5 IPS

Fortigate的IPS安全模块部分包括IPS特征配置和异常配置。特征部分是常见的针对服务漏洞的攻击特征，异常则是针对各种类型的会话数量的限制，防止DOS/DDOS的攻击。

可以看到，针对异常行为，可以定义最大的会话数，以及针对该异常的处理（丢弃后续数据包或清除会话）。

6 防病毒

防病毒模块是fortigate的一个重点安全模块，通过固化在FortiASIC芯片上的内容检测引擎，fortigate可实现实时的网关防病毒，大大提高了查毒效率。

首先可以针对文件类型实现可疑文件的屏蔽，在新病毒刚爆发还没有有效的杀毒引擎的情况下，可以采用文件屏蔽的方式，把该病毒的传播文件类型隔离在企业网外部。

Fortinet的病毒库完全涵盖了业界权威的WILDLIST的病毒库，同时也可以对grayware等间谍软件做到有效的防护。针对HTTP/FTP/SMTP/POP3/IMAP等网络协议，可以定义其检测文件的最大尺寸。

7 Web过滤

Web过滤模块可以针对Web内容、URL地址做过滤，也可以直接采用fortinet提供的Fortiguard内容分类服务。

免屏蔽列表即所谓的白名单，许可访问的网站列表。

脚本过滤功能可以有效的屏蔽网页上的恶意代码。

8 垃圾邮件过滤

垃圾邮件过滤模块可以针对各种条件过滤垃圾邮件。包括收发邮件的IP地址、使用反垃圾邮件组织的公共黑名单、发送者的mail地址、邮件的MIME头信息、邮件内的禁忌词汇等条件，也可以直接使用fortinet提供的fortishield反垃圾邮件服务。

9 系统日志

系统日志是了解设备运行情况、网络流量的最原始的数据，系统日志功能是设备有效管理维护的基础。Fortigate设备提供了丰富的日志功能。

在启用日志功能前首先要做日志配置，包括日志保存的位置（fortigate内存、syslog服务器等）、需要激活日志功能的安全模块等。

配置完毕后，就可以查看详细的系统日志信息了。

10 常用的CLI命令

FortiOS的CLI命令行提供了5类命令：config、show、get、diagnose、execute。 Config命令配置系统参数和各功能模块的参数； Show命令主要用来查看系统配置（静态配置信息）；

Get命令查看系统及各功能模块的状态参数，这些参数是动态的可变化的； Diagnose命令用于测试和排错；

Execute执行一些常见的网络命令（ping、traceroute）和系统维护命令（reboot）。

Show 命令只是查看配置信息，get命令获得实时的参数，diagnose命令则获得更详细的信息。

常用排错命令

10.1 sniffer命令：

diagnose sniffer packet internal 'tcp and port 80' dia sni pa internal 'host x.x.x.x' dia sni pa internal 'not udp'

dia sni pa internal 'host x.x.x.x and host x.x.x.x'

10.2 查看系统性能

get system performance dia sys top

10.3 查看网卡2层以下的信息

dia netlink exec ha man 1

10.4 查看flash内容

fortiOS是放在flash里面的，dia sys flash list

如果有多个fortiOS映像，可以通过dia sys flash default命令设置哪个为缺省启动映像。

四 快速维护流程

1、 设备物理状态监控 LCD面板的使用：

接口状态灯的观察：

2、 系统性能观察 Dia sys matrix

3、 网络功能测试

查看arp表：dia netlink neighbors 查看路由表：dia netlink router

网络连通性测试命令：execute ping；execute traceroute

4、 包分析

Sniffer命令，几个例子：

diagnose sniffer packet internal 'tcp and port 80' dia sni pa internal 'host x.x.x.x' dia sni pa internal 'not udp'

dia sni pa internal 'host x.x.x.x and host x.x.x.x'

没有filter是关键字为none。输出为1、2、3，3最详细 Filter的语法和tcpdump一致

5、 HA测试

可以通过LCD观察，或者用execute ha manage Dia sys ha

接口状态的检测可通过ping server实现

本文来源：https://www.bwwdw.com/article/rjsg.html