新版本固件的静态路由的原理怎么没有了
点击联系发帖人
时间:2018-06-26 21:22
当前位置: >>
手把手学配置FortiGate设备
F5:5RTinET手把手学配置 FortiGate 设备 FortiGate 新设备的安装与初始化 大多数的用户购买 FortiGate 设备的目的是希望能够建立私有网络与互联网之 间的安全连 接。且多数情况下,用户希望 FortiGate 设备可以在对互联网的访问连接 中隐藏私有网络中的 IP 地址。本章描述的内容是:如何安装 FortiGate 设备实现私有 网络 IP 地址的隐藏,也称为 NAT/路由模式部署;以及如何进行 NAT/路由模式安装 下的故障诊断与排除。 此外,本章还描述了基本的 FortiGate 设备透明模式部署方法。运行于透明模式 下的 FortiGate 设备在不需要网络进行任何更改的情况下提供安全服务。本章还介 绍了在 FortiGate 设备安装完成后的一些基本的操作程序,包括检查固件版本和升级 固件、FortiGuard 服务连接 校验。 本章包括以下基本的安全与配置举例:? 将 运 行 于 NAT/路由模式的 FortiGate 设备连接到互联网? 一步完成私有网络到互联网的连接?使用 FortiGate 配置向导一步完成内网地址更改? NAT/路由模式安装的故障诊断与排除?不更改网络配置部署 FortiGate 设备(透明模式) ?透明模式安装的故障诊断与排除当前固件版本验证与升级1 F5:sRTinET? FortiGuard 服务连接及故障诊断与排除? 在 FortiGate 设备中建立管理员帐户将运行于 NAT/路i模式的 FortiGate 设备连接到互联网面临的问题如何配置新的 FortiGate 设备,使其安全的将私有网络连接到互联网。 FortiGate 设备在 保护私有网络免受互联网威胁的同时,保证私有网络中的任何用户 能够自由的连接访问互联网。FortiGate Unit in NAT/Route mode2 F5:;RTinEr ____________________________________________________________________解决方法通常情况下,FortiGate 设备是安装作为私有网络和互联网之间的网关或路由器。 FortiGate 设备运行于 NAT/路由模式,可以隐藏私网访问互联网的地址。 1?将 FortiGate 设备的 WAN1 接口连接到互联网服务提供商(ISP )的设备接口。3?将 ISP 设备、FortiGate 设备、内网中的 PC 设备接通电源。4. 从一台 PC 连接到 FortiGate 设备基于 Web 的管理器。你可以配置 PC 使用 DHCP 方式获取其 IP 地址,然后访问 https://192.168-1.99。 你也 可以对 PC 配置一个 192.168.1.0/255.255.255.0 子网中的静态 IP。 5?使用&admin&登录,没有密码。6. 进入系统管理& 网络&接口并点击&编辑”wan1 接口与更改以下设置:3 地址模式设置 IP/掩码设置F5:5RTinET自动 172.20.120.14/255.255.255.07.编辑内部接口并更改以下设置:地址模式设置 IP/掩码设置自动 172.20.120.14/255.255.255.08.进入路由&静态&静态路由,点击&新建〃设置以下默认路由:目标 IP/掩码 设备接口 网关0.0.0.0./ 0.0.0.0 wan1 172.20.120.2―条默认路由总是目标 IP/掩码为???./ 0.0.0.0。通常情况你只有一条默认路由。 如果静 态路由列表中已经包含了默认的路由,你可以编辑或删除后添加新的路由。9. 进入系统管理&网络&DNS , 并 添 加 首 选 与 第 二 DNS 服务器。 10. 进入 Plicy&策略 & 策略,并点击&新建〃添加以下安全策略,允许私有网络用4 户访问互联网。 源接口 /区域 源地址F5:5RTinETInternal 内网 All Wan1 All always目标接口 /区域 目标地址 时间5 服务 动作F5:5RTinETANY ACCEPT11?点击&启动 NAT&与&使用目标接口地址〃。12.点击 OK 确认保存安全策略。 一些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的是该 型号的设 备,在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。结果在你用于连接到 FortiGate 内部接口的 PC 上,打开网页浏览器和浏览任何互联网 网站。你 也应该能够使用 FTP 或任何其他协议或连接方法连接到互联网。 进入 Plicy&策略 & 策略,查看安全策略的&计数〃栏,你可以校验所添加的安 全策略是 否应用于所处理的流量。 进入 Plicy&监视器 &会话状态,查看 FortiGate 设备正在处理的会话。多数会话源地址应该在 192.168.1.0 地址网络。多数会话的源 NAT IP 地址应该是172.20.120.14(或添加到 WAN1 接口的 IP 地址 X 策略 ID 应该是 1,这是默认的允6 F5:sRTinEr ____________________________________________________________________ 许用户在内部网络连接到互联网的安全策略。 进入 Policy〉监视器 & 策略状态中,你还可以查看到每条策略处理的活动会话图。 因暂时 这里只有一条策略,图中只有一个条目。你可以选中策略 1 的栏目条根据源 地址、目标地址、 目标端口 /服务,查看会话。 会话中顶部的栏目是一个工具条,你可以下拉查看当前会话的详细信息。其他栏 目工具可 以用于显示会话历史、流量历史,以及基于每个 IP 的带宽使用率情况。 如果你可以从内网中访问 web 网络,那么你的配置是成功的。如果不能访问,查 看配置诊 断故障。FSIERTinET一步芫成私有网络到互联网的连接 面临的问题 如何用尽量少的步骤启动并运行 FortiGate 设备,提供私有网络到互联网的连接。3?将 ISP 设备、FortiGate 设备、内网中的 PC 设备接通电源。7 解决方法如果你的互联网服务提供商 (ISP )使用 DHCP 自动提供互联网连接 , 唯一需要 配置 ForiGate 设备的步骤就是使设备启动运行并允许从私有网络到互联网的连接。 将 FortiGate 设备连接到 你的私有网络与 ISP 网络,配置内部网络中的一台 PC 使用 DHCP 自动获取地址,启动 FortiGate 设备,并配置设备使用 DHCP 连接到互联网。 如果 FortiGate 设备默认的没有配置 DHCP 与安全策略,那么一步配置法不适合 该设备型 号。一些适用于小企业/ SOHO 的 FortiGate 和 FortiWiFi 产品型号中均已 经完成了以上的默认 配置。 1?将 FortiGate 设备的 WAN1 接口连接到网口(互联网服务商提供的网络接口) 2?将内部网络连接到 FortiGate 设备的内部接口。8 F5:5RTinET所有的 PC 应该获取地址段为 192.168 A 0/255.255.255.0 的地址。 5.在内部网络的一台 PC 上开启一个浏览器并访问 https://192.168.1-99。 6?输入 admin ,登录到 FortiGate 设备的管理接口,密码字段为空。7. 进入系统管理&网络接口,并点击编辑 wan1 接口。 8. 设置&地址模式〃为 DHCP ,并选中&从服务器中重新得到网关〃与&改变内部 DNS”。 9. 点击 OK 保存配置更改。如果你 ISP 使用 PPPoE 或自动获取 IP 地址,你可以配置 wan1 使用这些选项。结果任何 FortiGate 内部接口连接到电脑上,打开一个网页浏览器,浏览到任何互联9 F5:sRTinEr ___________________________________________________________ 网网站。你也应该能够使用 FTP 或任何其他协议或连接方法连接到互联网。 进入 Policy〉监视器 &会话状态,查看 FortiGate 设备正在处理的会话。多数会话源地址应该在 192.168 A 0 地址网络。多数会话的源 NAT IP 地址应该 是 172.20.120.14 (或添加到 WAN1 接口的 IP 地址 X 策略 ID 应该是 1 ,这是默认的 允许用户在内 部网络连接到互联网的安全策略。 进入 Policy&监视器 & 策略状态中,你还可以查看到每条策略处理的活动会话 图。因暂 时这里只有一条策略,图中只有一个条目。你可以选中策略 1 的栏目条根 据源地址、目标地址、 目标端口 /服务,查看会话。 会话中顶部的栏目是一个工具条,你可以下拉查看当前会话的详细信息。其他 栏目工具可 以用于显示会话历史、流量历史,以及基于每个 IP 的带宽使用率情况。如果这样的配置运行不通怎幺办?使用以下步骤: 1?确认 FortiGate 设备的 WAN1 接口是否从 ISP 获得 IP 地址。通过基于 Web 管理器, 进入系统 管理 & 网络 & 接口 &wan1。 F5:sRTinEr ___________________________________________________________________ 确认地址模式是设置为 DHCP ,设置显示与以下例图相似,显示 wanl 接口已 经从 ISP 获 取到 IP 地址,_个或多个 DNS 服务器 IP 地址,以及_个默认的网关。10 如果 IP 地址疑似不正确或G失,点击&重新获取〃,重新从 ISP 获取新的 IP 配置 信息。如果 你不以这样的方式获取到正确的 IP 地址,FortiGate 设备就不能与 ISP 的 DNS 服务器通信。 请确定获取默认网关与覆盖内部 DNS 选项已开启。如果你的 ISP 不是通过 DHCP 提供 DNS 服务器的,你可以进入系统管理&网络&DNS ,手动添加一个或多个 DNS 服务器 IP 地址,以便 FortiGate 设备使用。这些添加的 IP 地址也会被 FortiGate 设备 DHCP 服务器使用,用以对内 部网络的 PC 提供 IP 配置。 如果你的 ISP 不是通过 DHCP 提供默认网关,你可以进入路由 & 静态 &静态路由, 手动 添加从 FortiGate 设备 WAN1 接口到 ISP 默认网关的默认路由。 2?如果内部网络是配置从 FortiGate 设备服务器获取 IP 地址,进入系统管理&网 络&口日〔卩 服务器,点击编辑设置内部接口的 DHCP 服务器。 使用系统 DNS 设置校验 DHCP 服务器配置。进入系统管理& 监视器&DHCP 状态 F5:sRTinEr ____________________________________________________________________ 监测,查看配置了从 FortiGate 设备 DHCP 服务器获取地址的内网 PC 的信息。内 网的每台 PC 应只有一个 IP 地址条目,且是通过 DHCP 获取的地址。 查看内网中 PC 的网络配置,以确定其从 FortiGate 设备 DHCP 服务器获取了正确 的 IP 配 置。如果它们没有获取到 IP ,那便可能是内网的 PC 不能与 FortiGate 设备 的内部接口进 行通信。查看 PC 的网络配置,并校验物理上的连接是良好的后, 重新获取 IP。使用系统 DNS 设置的 DHCP 服务器选项是对应基于 web 管理器中系统管理 &网 络&口化页面 ,11 提供 DNS IP 地址。如果 FortiGate 接口的&改变内部 DNS”选项 被选中,那么内部 PC 机的 IP 地址就是由 ISP 的 DNS 服务器提供的,而不是 FortiGate 设备的 DHCP 服务器提供的。 如果 PC 在从 ISP 获取 DNS IP 地址之前向 FortiGate 设备发出了 DHCP 请求 , 那么 FortiGate 设备将从基于 web 管理器的 DNS IP 地址页面发出 DNS IP 地址。为了 确定 PC 获取到了正 确的 DNS 服务器 IP 地址,你可以更新 PC 的 DHCP 地址获取请 求。12 F5:;RTinEr ___________________________________________________________________ 使用 FortiGate 配置向导一步芫成更改内网地址 面临的问题 使用尽可能少的步骤快速更改内部网络以及与之连接的所有设备的子网地址。FortiGate Unit in NAT/Route mode解决方法使用 FortiGate 的安装向导更改 FortiGate 内部 IP 地址以及更改通过 FortiGate 设 备 DHCP 服务器提供网络地址的内网中的计算机设备的地址。内部网络中的设备可 以通过重申 DHCP 而重 新获取新的 IP 地址。如果你有两个不同的内部网络且允许内 网之间进行的通信,你可能需要更 改内部网络地址。FortiGate 的安装向导是删除所有的安全策略,只增加了一条单个的安全策略配13 F5:;RTinEr ____________________________________________________________________ 置允许内部网络与互联网之间的通信。如果你已经添加了自定义的安全策略,可能 不希望使用 默认的配置向导。但是,如果你还没有添加很多的安全策略的话,你可 以采用这样方便的配置 方案。 一个比较繁琐的方法是手动更改 FortiGate 内部接口的 IP 地址,然后手动更改内 部网络中 PC 的 IP 地址的。那么你就需要重新登录到基于 Web 的管理界面并更改的 DHCP 服务器的配置。 这一过程涉及许多繁琐的步骤,使用配置向导,可以简化为 几个简单的步骤。 1?从内部网络的一台 PC,登录到 FortiGate 设备基于 Web 的管理器。2. 点击&配置向导”。 3. 跟随配置向导所示页面不做任何更改直到进入&本地局域网 LAN 设置〃页面。4. 更改以下设置:IP 地址 掩码 192.168.50.10 255.255.255.05.选中 DHCP 选项,更改以下设置:起始地址 终止地址192.168.50.20 192.168.50.606.继续跟随向导显示页面,不做任何其他的更改。多数的配置向导页面显示的是当前的配置信息且允许你进行修改的。如果你不做 任何更 改,配置向导不会更改配置中的选项。其中只有一个页面例外的是,互联 网访问策略页面, 该页面中的设置适用于 FortiGate 设备的安全策略配置。所有 现有的安全策略都被删除且 取而代之的是一条配置向导中设置。14 F5:sRTinEr ____________________________________________________________________7. 更新内网中 PC 的 DHCP 设置。你可能得重新启动接口设置或者重新进行设置。结果内网中的所有设备(包括 FortiGate 设备内部接口)的 IP 地址都是在 192.168.50.0/255.255.255.0 网段。试着从内网中的任何 PC 连接到互联网。 访问 https://192.168.50.10.登录到 FortiGate 设备基于 web 的管理器。进入系 统管理& 网络&接口,校验内部接口的 IP 地址是否已经更改为 192.168.50.10 ,同时 也校验其他接口的 IP 地址是否没有被改变。 进入系统管理&网络&DHCP 服务器,点击编辑内部接口的 DHCP 服务器。IP 地 址范围应该更 改为配置向导中的设置,且默认网关更改为一个新的内部接口的 IP 地 址。 进入系统管理 & 监视器&DHCP 状态监测, 查看内部网络中的设备已经从 FortiGate 设备 DHCP 服务器获得新的地址。进入 Policy&策略 & 策略,并校验策略列表中只含有一条允许内部网络访问互联 网的安全 策略。 从内网中的任何设备连接到互联网。如果你不能从内网的设备访问互联网,参见 接下来的 章节&NAT/路由模式安装的故障诊断与排除”。15 F5:;RTinEr ____________________________________________________________________ NAT/路i模式安装的故障诊断与排除 面临的问题 你已经创建了运行于 NAT/路由模式下 FortiGate 设备,专有网络中的设备不能 连接到互联 网。FortiGate Unit in NAT/Route mode解决方法使用以下步骤查找并修复内网用户不能访问互联网的问题。 1?查看内网的 PC 设备与 FortiGate 设备的物理连接,以及 FortiGate 设备与 ISP 提供 网口的物 理连接性。设备运行面板工具会显示 FortiGate 设备网口的连接性(进16 F5:sRTinEr ____________________________________________________________________ 入 & 系统管理& 面板 & 状态)?2. 查看下 ISP 提供的网口或连接设备是否能够正常工作。3?确认你可以连接到 FortiGate 设备的内部接口。 例如 , 在 Web 浏览器中键入 FortiGate 设备 Web 管理器的连接 IP 地址 (https://192.1681.99 X 可以登录到基于 Web 的管理器。从内部网络的一台 PC 上,Ping 内部接口(输入命令,如 ping 192.168.1.99 X 如果你连接不到内 部接口,查看下 PC 的 IP 配置,并确认下所有的 网络设备,例如交换机设备,都 已经通电并在运行状态。你能够连接到内部接口后,参考 下一步骤。4. 查看 FortiGate 设备接口连接到内部网络的配置。 5. 查看 FortiGate 设备的接口连接到互联网的配置,确认地址模式是正确的。 如果地址模式是手动,确认 IP 地址与掩码是正确的。 如果地址模式是 DHCP,参见上一节中如果这样的配置运行不通怎么办?6. 确认 FortiGate 设备到互联网的连接是通的,你可以访问 FortiGate 设备的命令行 CLI,使用execute ping 命令,访问互联网中常见的域名。你也可以使用 execute traceroute 测试连 接性的问题。7. 查看 FortiGate 设备与内网中 PC 的 DNS 配置 。 你通过 Ping 与 traceroute 命令校验 是否 DNS错误。如果 FortiGate 设备的名称不能被解析或者内网 PC 连接不到一个 DNS 服务器,你应 该确认 DNS 服务器的 IP 地址是否显示且正确。例如: ping www.fortinet.comping: cannot resolve www.fre.com: Unknown host8. 查看安全策略配置。F5:sRTinEr ____________________________________________________________________ 进入 Policy〉策略 & 策略,并校验从内部接口到 wanl 的安全策略已经添加。查 看计数栏 目确认策略正在处理流量。查看策略的配置以确定与以下配置相同, 启动 NAT 并使用目标 接口:17 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作Internal All Wan1 All always ANY ACCEPT 看 静 态 路 由 配 置 。9. 查进入路由& 静态 &静态路由,并校验默认的路由是正确的。进入路由 & 当前路 由& 路由监 控表并查看路由监控并确认默认列表中显示的默认路由是静态路由。 确认默认路由后,你 还应该查看至少两条连接的路由,其中一条是对连接的 FortiGate 设备接口设置的。10. 不启动 web 过滤选项。如果你在安全策略中启动了 web 过滤选项,可能会导致对你正在试图访问的 网页连接 的阻断。发生的这种现象的原因很多。如果不启动 web 过滤,你可以通 过浏览器访问互联 网,策略中启动 web 过滤选项可能会阻断你正在访问的网站。 发生这样的阻断情况,可能 是你要访问的网页是在默认的 web 过滤列表中。也可 能是 FortiGuard web 过滤对网站的过 滤发生了分类错误。网页分类错误发生的 F5:sRTinEr ____________________________________________________________________ 原因也很多,其中不能访问 FortiGuard web 过滤评级也是原因之_。进入 UTM Profiles&web 过滤器&Profile,在默认设置中选中&增强型过滤器&分类出错 时允许访问网站〃的选项,可 以修复这个问题。 还有其他方法你可以尝试的是: 核查连接到 FortiGate 设备的 WAN1 接口的 IP 地址。确定内部网络是通的情况 下,你 可以使用内网中的 PC 机,使用 Ping 命令,连接 FortiGate 设备的 WAN1 接口(例如 ping 172.20.120.12 X 如果 WAN1 接口启动了管理访问选项(进 入系统管理 & 网络 & 接口,编18 辑 WAN1 接口启动管理访问),那么就会对 Ping 产 生响应。如果你连接不到 wan1 接口, FortiGate 设备是不允许内部网络与 wan1 接口之间发生通信会话的。 请验证 ISP 提供的网关连接是否正常。不更改网络配置部署 FortiGate 设备(透明模式)面临的问题如何在不更改网络配置的情况下 , 部署连接 FortiGate 设备 , 提供对私有网络的 安全防御。 私有网络是通过执行 NAT 功能的路由连接到互联网的。这样的部署方式在不取代路由器的同时增加网络安全防御。FortiGate 设备应该 阻断从互 联网到私有网络的访问,但允许私有网络的用户连接访问互联网。 FortiGate 设备同时也应该监 控应用的使用情况并发现以及移除病毒。19 解决方法参见视频:http://docs.fortinet.com/cb/inst1.html 在内网与路由器之间部署 FortiGate 设备运行于透明模式。在 FortiGate 设备中添 加一条 安全策略允许内网中的用户访问互联网,并对该安全策略启动病毒扫描与应 用控制功能。不需 要做任何的网络更改,除了提供到 FortiGate 设备的管理 IP 地址。 切换到透明模式后,NAT/路 由模式下所作的配置更改,大部分都将被删除。如果你 想保留 NAT/路由模式下配置,需要使用 系统信息页面的面板工具对配置进行备份。1. 将内网中的一台 PC 与 FortiGate 设备的内部接口连接。 2. 启动 PC 机与 FortiGate 设备。20 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ T_ _ _ _ _ _ _ _ _ _ _ _ _ m _ _ _ _ 3 I _ _ _ _ m _ _ _ _ ; , ; F l JT _ _ _? 胳 M晡 猫葙 油绨 卸C P JS L C S J ? # ,筘 瞰摄3UFortiGatewTwebsDHCPmIps iit,sf4 & 1 § : _ | ] https://19216p°L99 # ? & lp }5 I E a yt l i ] d i n, a &彐 峨 l 骱 咖 。||操作模式 管理 IP/掩码 透明10.31.101.40/255.255.255.0n 淋10.31.101.100 。 「 筘 丨 屮。珐馨19zl6p°lo/255.255.255oH&J_iiJ:回
6.sf'?Jhttps://lp3L10L4° uwTweb a。晡 猫 s 钿 到 。峨 l#ilytaaPCSIPsiihM^^10.31.101o/255.255.255o &DNS , M NS D ^ T J J W CA | S & i铆 绺 晡 喵a &谳 昂 : 此 讲 翌 爵 , H 苷谳 昂浙 s 。H 苷镟屮谳 昂珊镟油& w w u l H A I i ^ apoiaApolicyv&Internal&B Ss I回,W源接□/区域 源地址 目标接□/区域菊 。aWanl&S 标地址 m 画always ANY服努42
动作ACCEPT9.点击 UTM ,选中启动反病毒与启动应用控制选项。F5:5RTinET10. 点击 OK 保存安全策略的配置。 11. 关闭 FortiGate 设备。 12. 将 FortiGate 设备部署在网络与路由器之间。wani 碥 iInternal N 将 FortiGate 设备的 wan1 接口与路由器的内部接口连接。将内部网络连接到 FortiGate 设 备(例如 FortiGate - 60C )的内部接口。如果内网网络只有五台设 备组成,那么这些设备 都可以内部接口连接。13. 启动 FortiGate 设备。43 F5:;RTinEr结果从内网中一台 PC 上打开 Web 浏览器并访问任何的互联网网站。你也应该可以使 用 FTP 或任 何其他协议或连接都可以访问互联网。 进入 Policy〉策略 & 策略,查看安全策略的&计数〃栏,你可以校验所添加的安 全策略是 否应用于所处理的流量。 进入 Plicy&监视器 &会话状态,查看 FortiGate 设备正在处理的会话。多数会话源地址应该在 192.168 A 0 地址网络。多数会话的源 NAT IP 地址应该是172.20.120.14(或添加到 WAN1 接口的 IP 地址 X 政策 ID 应该是 1 ,这是默认的允 许用户在内部网络连接到互联网的安全策略。 进入 Policy&监视器 & 策略状态中,你还可以查看到每条策略处理的活动会话图。 因暂时 这里只有一条策略,图中只有一个条目。你可以选中策略 1 的栏目条根据源 地址、目标地址、 目标端口 /服务,查看会话。 会话中顶部的栏目是一个工具条,你可以下拉查看当前会话的详细信息。其他栏 目工具可 以用于显示会话历史、流量历史,以及基于每个 IP 的带宽使用率情况。44 F5:sRTinEr ____________________________________________________________________ 如果 FortiGate 设备运行于透明模式,且部署在 DHCP 服务器与 PC 之间,且通过 DHCP 获 取 IP 地址;你必须添加一条安全策略允许 DHCP 服务器通过 FortiGate 设备 对 DHCP 客户端的 请求做出回复。内网到 wanl 的策略允许客户端从服务器进行 DHCP 请求,但是从服务器发出的 请求应答是一项新的会话,不是对原始请求的典 型响应,因此 FortiGate 设备不接受这样的会 话,除非你对 WAN1 设置一项策略, 将服务选项设置为 DHCP。如果你从内部网络中可以访问互 联网,那么你的配置就 是成功的。如果不能访问,参见以下章节&透明模式安装的故障诊断与 排除〃解决 问题。透明模式安装的故障诊断与排除 面临的问题 你完成了基于的 FortiGate 设备透明模式配置部署,但是没有流量通过 FortiGate 设备。45 解决方法通过以下步骤查找并修复用户不能通过 FortiGate 设备连接网络的问题。 使用以下步骤查找并修复内网用户不能访问互联网的问题。 1?查看内网与 FortiGate 设备的物理连接,以及 FortiGate 设备与互联网的物理连接 性。设备 运行面板工具会显示 FortiGate 设备网口的连接性。2. 查看下 ISP 提供的网口或连接设备是否能够正常工作。3?确认你可以通过 FortiGate 设备的管理 IP 地址连接到内部网络接口。 从内网网络 Ping 管理 IP 地址。如果你连接不到内部接口,查看下 PC 的 IP 配置, 并确认 下所有的网络设备,例如交换机设备,都已经通电并在运行状态。你能 够连接到内部接口 后,参考下一步骤。4?确认 FortiGate 设备到互联网的连接是通的,你可以访问 FortiGate 设备的命令行46 F5:;RTinErCLI,使用 execute ping 命令,访问互联网中常见的域名。你也可以使用 execute traceroute 测试连接性的问题。5. 查看 FortiGate 设备与内网中 PC 的 DNS 配置。你通过 Ping 与 traceroute 命令校验 是否 DNS错误。如果 FortiGate 设备的名称不能被解析或者内网 PC 连接不到一个 DNS 服务器,你应 该确认 DNS 服务器的 IP 地址是否显示且正确。例如: ping www.fortinet.com ping: cannot resolve www.fre.com: Unknown host6. 查看安全策略配置。进入 Policy&策略 & 策略,并校验从内部接口到 wan1 的安全策略已经添加。查 看计数栏目确认策略正在处理流量。查看策略的配置以确定与以下配置相同: 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Wan1 All always ANY ACCEPT7. 进 入 系 统 管 理 & 网 络 & 路 由 列 表 , 确 认 默 认 列 表 中 显 示 的 默 认 路 由 是 正 确 的 。8. 不启动 web 过滤选项。 如果你在安全策略中启动了 web 过滤选项可能会导致对你正在试图访问的网页 连接的阻断。发生的这种现象的原因很多。如果不启动 web 过滤,你可以通过 浏47 F5:;RTinEr ____________________________________________________________________ 览器访问互联网,策略中启动 web 过滤选项可能会阻断你正在访问的网站。发生 这样的阻 断情况,可能是你要访问的网页是在默认的 web 过滤列表中。也可能是 FortiGuard web 过 滤对网站的过滤发生了分类错误。网页分类错误发生的原因 也很多,其中不能访问 FortiGuard web 过滤评级也是原因之_。进入 UTM Profiles&Web 过滤器&Profile 中,在默 认设置中选中高级过滤请启动&分类错 误发生时允许网站访问〃的选项 , 可以修复这个问题 。 9?校验下你可以连接到网关(ISP 提供的 X 从内网中的 PC 中 Ping―下默认网关的 IP 地址。 10.确认 FortiGate 设备可以连接到 FortiGuard 网络。 产品注册激活服务后,FortiGate 设备可以从 FortiGuard 网络获取反病毒、应用 控制与其 他的服务更新。FortiGate 设备必须通过其管理 IP 地址连接到网络。如 果以下的测试提供 了错误的结果,请确认 FortiGate 设备的默认路由是正确的。 查看你的互联网防火墙,确 认从 FortiGate 设备管理 IP 到互联网的连接。首先从服务信息面板工具中确认所有的 FortiGuard 服务是否与你所购买的服务 项目一致。 FortiGate 设备是通过与 FortiGuard 网络的连接确定服务信息的。进入系统管理 & 配置&FortiGuard。开启网页过滤与邮件选项并选中&连接可 用性测试〃。 约一分钟左右,基于 web 的管理器界面将显示连接成功信息。 11?查看 FortiGate 设备的桥接表。桥接表是与 FortiGate 设备处于相同网络的设备的 MAC 地址列表,以及每台设备48 F5:sRTinEr ____________________________________________________________________ 中的与 FortiGate 设备连接的接口。FortiGate 设备依赖该列表转发数据包。如果 一台具体 设备的 MAC 地址被获取添加到了桥接表中,那么到达该 MAC 地址的数 据包将被阻断。这表示数据 包去向该 MAC 地址,但是没有回复的流量产生。这 种情况下,查看桥接表确定桥接表中添加的是 正确的 MAC 地址。通过以下 CLI 命令查看与根 VDOM 联动的桥接表。 diagnose netlink brctl name host root.b show bridge control interface root.b host. fdb: size=2048, used=25, num=25, depth=1 Bridge root.b host table port no device devname mac addr ttl attributes 3 4 wan1 00:09:0f:cb:c2:77 88 3 4 wan1 00:26:2d:24:b7:d3 03 4 wan1 00:13:72:38:72:21 98 4 3 internal 00:1a:a0:2f:bc:c6 6 1 6 dmz 00:09:0f:dc:90:69 0 Local Static 3 4 wan1c4:2c:03:0d:3a:38 81 3 4 wan1 00:09:0f:15:05:46 89 3 4 wan1 c4:2c:03:1d:1b:10 02 5 wan2 00:09:0f:dc:90:68 0 Local StaticF5:;RTinEr ______________________________________________________________的设备。也就是说该设备没有连接或没有启动。请查看设备的连接是否正常。当前固件版本验证与升级 面临的问题 Fortinet 公司发布了新的 FortiOS 操作系统版本。你想查看下当前所管理的 FortiGate 设备运行的固件版本以及如果将固件版本升级到当前最新发布的版本状如果你的设备的 MAC 没在桥接列表中,FortiGate 设备就是没有在网络中发现你49 解决方法通过基于 Web 的管理器或 CU 都可以查看当前的固件版本。从 Fortinet 客户支持 F5:sRTinEr ____________________________________________________________________ 中心网站下载最新的固件版本,并通过基于 Web 的管理器安装固件版本。 Fortinet 客户支持中心网站中列出了所有可用的固件镜像。在访问这些镜像之前, 你必须先 进行 FortiGate 设备注册,参见 http://support.fortinet.com,点击产品 注册。在安装新的固 件版本之前,请先查看下发布说明。发布说明中提供了推荐的 升级路径以及一些其他技术文件中 没有说明的信息。只在维护窗口下执行固件升级。 1.登录基于 Web 的管理器,查看系统信息面板中当前的固件版本。通过 CLI,输入 以下命令也可 以查看,首先显示的是当前的固件版本: get system status Version: Fortigate-60C v4.0,build (MR3 Patch 1) Virus-DB: 11.-05-04 13:32) Extended DB: 0.-03-16 10:31) IPS-DB: 3.-05-18 15:09) FortiClient application signature package: 1.421( 10:19) Serial-Number: FGT60C3G50 BIOS version:
Log hard disk: Need format Internal Switch mode: switch Hostname: FGT60C3G Operation Mode: NAT Current virtual domain: root Max number of virtual domains: 1051
FUJTIrlmT _________________________________________________________________________Virtual domains status: 1 in NAT mode, 0 in TP mode Virtual domain configuration: disable Flps-nn mode: disable nurrent HAmode: standalone l l a a n m o l e i n Distribution: I + + Branch point 458 3 Patch 1 O P release Version Information: M 2 1 1 0 System time: Wed Sep M
2.sf'?Jhttp://supportfortinetcom-H i?s& l a r D ; H回 钭^ a ! # 回h 。,、
A .i a 4 H #郝 。#&FortiGate^ -1FortiGate/&4.00/4.0MR3/MR3―patch―l \s m i . T 6 . 7 H 泔 涵 瘫 铒 姊 讲 筘 。 钭 回 。 回? s #s 餐 | N S S s l H i钭 。p° A S 9.i铆 h 猫
F5:sRTinEr ___________________________________________________________________10. 在 系 统 信 息 &固件版本,选中&更新〃。11. 找到之前存放下载固件版本的地址,点击 OK 上传并安装固件。结果FortiGate 设备上载固件镜像文件,并进行更新,更新后重启设备,显示登录页 面。整个 升级过程花费几分钟的时间。从 FortiGate 设备基于 Web 的管理器中,进 入系统管理 & 面板 & 状态,显示更新后的版本号(或是使用 CLI 命令 get system status X如果配置运行不通怎么办?可能的一个原因是通过基于 Web 管理时上载固件镜像不当。如果是这个原因, 你会发现 FortiGate 设备没有启动,或连续的重启。 这时最好通过 CLI 在重启时重新执行固件安装。该操作将安装新的固件镜像并重新启 动 FortiGate 设备恢复到默认的设置。该操作下,你必须通过 console 口与一根 RJ45 的线连接到 CLI。Installing FortiGate firmware 什 om a TFTP server 从一个 TFTP 服务器安装 FortiGate 固 件 F5:sRTinEr ___________________________________________________________________ FortiGate 设备的管理接口属于同一个子网。 1?通过一根 RJ-45 到 DB-9 的线连接到 CLI。 2. TFTP 服务器处于运行状态且将固件镜像拷贝到服务器上。 3?输入以下命令重新启动 FortiGate 设备。该操作需要一个你可以从 FortiGate 设备连接的 TFTP 服务器。TFTP 服务器应该与53 execute reboot4. 标示符弹出是否要重新启动 FortiGate 时,点击 Y 确认。 5. FortiGate 设备重新启动时,会显示一系列的系统启动信息。当以下信息显示时:Press any key to display configuration menu.......... 立即按下任何按键中断 系统启动。 你只有三秒钟的时间按任意键的机会。如果你没有及时按键,FortiGate 设 备将会继 续启动,那么你需要登录后重新进行重启动作 如果你成功的中断了启动过程,类似以下的信息 将显示(根据 FortiGate 设备 BIOS 的版本不同,显示信息略有不同): [G]: Get firmware image from TFTP server.[F]: Format boot device.[B[: Boot with backup firmware and set as default[C]: Configuration and information[Q]: Quit menu and continue to boot with default firmware.[H]: Display this list of options.Enter G, F, Q, or H:6. 键入 G,从 TFTP 服务器找到新的固件镜像。 7. 提示符弹出时,输入 TFTP 服务器的 IP 地址以及本地 FortiGate 设备的 IP 地址。该地址可以是与接口连接的网络的任何一个 IP 地址。确定你输入的地址不是该网 络中其 他设备的 IP 地址。 F5:;RTinEr ____________________________________________________________________8. 输入固件镜像文件名并按回车键。TFTP 服务器上载固件镜像文件。9. 当提示是否保存当前固件为默认的固件时,键入 D 将上传的镜像作为默认镜像。 FortiGate设备安装新的镜像并重新启动。 使用本方法上传固件时,现有的配置被恢复为默认值。你需要重新配置 IP 地址并 从系统 面板中的信息中上载配置文件。54 FortiGuard 服务连接及故障诊断与排除面临的问题你要确认所管理的 FortiGate 设备是在正常接收 FortiGuard 服务。你同时也想知 道如果 IPS 更新、网页过滤或邮件过滤不能生效的时候,如何确定问题所在。55 FSIERTinET解决方法 如果你已经购买了 FortiGuard 服务且已注册激活了服务,FortiGate 设备将会 自动连接 到 FortiGuard 分布式网络(FDN : FortiGuard Distribution Net)并会显 示所购买 FortiGuard 服务的激活授权信息。从授权信息面板工具中校验 FortiGate 设备是否与 FDN 网络正在通信。 FortiGate 设备自动连接到 FortiGuard 网络查证 FortiGuard 服务。Support ContractRegistration Hardware Rrmvrarc Enhanced Support Comprehensive Support FortiGuard Services Registered (Login ID: -~~mm0O G O 0 0K)[ Login Now J8x5 support (Expires: ) 8x5 support (Expires: ) 8 x S support (Expires: S) R x 5 s 叩 port (Expired: ) Licensed (Expires ) 12.520 12.520 (Updated ) [Update] (Updated )AntlVirus AV Definitions Extendedset Intrusion Protection IPS Definitions Web Filtering Email Filtering Analysis & Management Service Services Account ID Virtual Domain VIKJMs Allowed Endpoint Security FortiClient Software l/Vindows InstallerLicensed (Expires & 2.00888 (Updated )【Update] Licensed (Expires ) Licensed (Expires ) Expired [Renew]o 0004.1.3 (Updated ) [Download]License Information 在所订购的 FortiGuard 服务旁应显示有绿色标记,表示连接是通的。灰色的打 叉(X )显示说 明 FortiGate 设备没有连接到 FortiGuard 网络,或 FortiGate 设备没有进行注册。红色打叉(X )显示说明 FortiGate 设备之前可以连接到 FortiGuard 网56 F5:;RTinEr ____________________________________________________________________络,但是订购的服务已经过期,或服务没有被激活。通过以下步骤可以进行 FortiGuard 服务连接的故障诊断1. 确认你已经将 FortiGate 设备注册,且拿到所订购的 FortiGuard 服务的授权信息, 或所购买的 服 务 已 激 活 且 在 有 效 期 内 。 这 些 信 息 你 都 可 以 在 Fortinet 服 务 支 持 网 站 (https://support.fortinet.com/ )查询并得到确认。2. 查看 FortiGate 设备中 FortiGuard 服务的状态。从授权信息面板中或进入系统管理&配置&FortiGuard ,可以查看 FortiGuard 服务的状态。 授权信息面板中显示的信息应与你登录 Fortinet 服务支持网站显示 的信息一致。如果不一 致说明 FortiGate 设备与 FortiGuard 网络之间的通信存在 问题 。 你也可以进入系统管理 & 配 置&FortiGuard 查看连接状态。57 F5:5RTinET3. 校验确认 FortiGate 设备可以与互联网之间通信。如果与互联网之间的通信没有 问题,那么FortiGate 设备即可与 FortiGuard 网络通信。4. 进入路由&当前路由&路由监控表(NAT/路由模式下),或进入系统管理&网络& 路由表,查看是否有默认的路由且配置正确。5. 进入系统管理&网络&DNS ,并确认 ISP 所提供的主次 DNS 服务器是正确的。 FortiGate 设备是使用域名,而不是 IP 地址与 FortiGuard 网络连接的。如果 FortiGate 接口通过 DHCP 获取 IP 地 址连接到互联网,那么你需要确认&改变内
PDNS&选项是启动的,这样 FortiGate 设备才能够 通过 DHCP 直接获取其 DNS 月服务器 IP 地址。6. 执行 execute ping 命令确认 FortiGate 设备可以连接到 DNS 服务器。58 F5:;RTinEr ____________________________________________________________________7. 你也可以通过 FortiGate 设备 CL 膀口,用 CLI 命令测试 FortiGate 设备与互联网的 连接,例如: execute traceroute www.fortiguard.com 如果执行以上命令后,依然找不到 www.fortiguard.com 的 IP 地址,说明 FortiGate 设备连 接不到配置的 DNS 服务器。8. 确认至少一条安全策略中包含了反病毒。如果没有一项安全策略中设置了反病毒,那么反病毒数据库可能不能被更新。9. 校验 FortiGate 设备能够与 FortiGuard 网络通信。进 入 系 统 管 理 & 配置&FortiGuard&反病毒与 IPS 选项,你可以点击更新,立 即更新反病 毒与 IPS 数据库。几分钟后,你可以校验更新是否成功。10. 进入系统管理 & 配置&FortiGuard&网页过滤与邮件过滤选项,点击可用性测试, 测试网页过滤与邮件过滤查询服务的可用性。 如果测试不可用,试着更改网页过滤与邮件过滤查询使用的端口。FortiGate 设 备使用端口 53 或 8888 与 FortiGuard 网络通信,一些 ISP 可能设置屏蔽了这样的 端口。11. 判断下是否有任何可能来自网络或 ISP 网络中的上游的流量可能阻断了 FortiGuard 流量。一些防火墙在默认的情况是阻断所有端口的,且 ISP 经常会屏 蔽较低的端口(例如端口 53 X FortiGuard 默认的情况是使用端口 53,―旦该端 口被阻断,你需要开启端口,或更改 FortiGate 设备使用的端口。12. 更改 FortiGuard 的源端口。有可能之前用于与 FortiGuard 网络通信的端口,在到达 FortiGuard 之前,或到59 F5:;RTinEr达后通信返回到 FortiGate 设备之前,端口被更改了。对于此种情况可能的解决方案是在 NAT 防火墙上设置固定的端口以保证端口的 同一性。 FortiGate 设备通过特有的源端口 1027 或 1031 与目标端口 53 或 8888 发 送 UDP 数据包与 FortiGuard 网络建立通信。FDN 回复具有目标端口为 1027 或 1031 的数据包。 如果你的 ISP 服务商阻断了这个端口范围的 UDP 数据包,FortiGate 设备便接收 不到从 FDN 返回的数据包。你可以对 FortiGate 设备设置使用一个不同的源端口 范围。如果 ISP 阻断了 较低范围的 UDP 端口( 1024 左右的端口),你可以配置 FortiGate 设备使用较高的端口例 如 2048 - 20000 ,使用以下命令: config system global set ip-src-port-range
end 可能需要反复实验才可以选择到最佳的源端口范围。你也可以与 ISP 联系以确 定最佳的使 用范围。 13?显示 FortiGuard 服务器列表。 使用 webfilter status CLI 命令显示 FortiGate 设备不能连接到的 FortiGuard 服 务器列表。该命令应该可以显示不止一个服务器。60 F5:5RTinETget webfilter starus Locale : english License Expiration Hostname =-Server List (Wed Sep 14 14:39:46 2011) IP 69.20.236.179 174.137.33.92 208.91.112.196 9.20.236.180 209.222.147.36 66.117.56.42 6.117.56.37 69.20.236.182 69.195.205.101 80.85.69.37 80.85.69.41 80.85.69.40 2.209.40.72 208.91.112.194 lie.58.208.39 Weight: 30 0 0 30 30 30 30 30 30 80 80 80 90 118 160 RTT Flags 3 91 62 4 22 24 24 4 32 85 85 88 109 128 DI 276 TZ -5 -8 _3 -5 -5 -5 -5 -5 -5 0 0 0 1 -8 8 Packets Curr Lost Total 4 0 146 0 9 0 B792 0 37 93 0 0 0 4 0 1 0 5 0 Lost 9 7 9 11 9 10 7 27 17 21 25 8 3912 22Contract Thu Oct 9 02:00:00 2012 service.fortiguard.netHostname 是 FortiGate 设备试图连接的 FortiGuard 服务器的名称。服务器列表 显示如果第一个 服务器无法连接后的其他可选的服务器的 IP 地址。本示例的说明 中,IP 地址都是非公共地址。 在使用 get webfilter status 命令后,以下的标记分别表示了服务器的不同状态: D -通过主机 名称的 DNS 查询后发现了服务器。如果主机名称返回了不止一个 IP 地址,所有的 IP 地址都具有 D 的标记,在向下使用其他服务器之前,先将使用第 _tINIT 请求。 I -服务器向哪个最后的 INIT 发送了请求。(the server to which the last INIT request was sent.)F-服务器对请求没有发出响应,通常认为该服务器已失效。 T -正在确定 连接到当前服务器的时间。61 F5:;RTinEr在 FortiGate 设备中建立管理帐户面临的问题你想在 FortiGate 设备中建立一个新的管理员帐户,且具有超级管理访问所有功 能的配置权 限。你还应该能够鉴别多个独立的管理员,而不允许多人共用 admin 账 户。Internet解决方法创建一个具有超级管理员权限的管理帐户,能够全权访问所有的 FortiGate 功能 配置。1. 进入系统管理 & 管理 & 管理员,点击&新建〃,创建以下管理员选项:62 F5:5RTinET管理员名称 类型 密码 确认密码 管理选项 2?点击 OK 保存设置。 Terry_White 常规 输入密码 再次输入密码 super_admin管理员名称与密码是区分大小写的。创建的名称与密码中不能设置含有&& 0# ” 的字符。 在第一个字符或最后一个字符允许设置含有空格。名称或密码中的空格设 置经常会出现混乱,且 在 CLI 中的使用名称需要使用引号。 管理员选项表示使用 Web 管理器或 CLI 可以查看或配置 FortiGate 设备的权限。 你可以添 加多个选项,并根据其使用 FortiGate 设备从事的工作与任务,对用户与管 理器配置使用不同的 选项。结果使用 Terry_White 管理员名称和密码登录 FortiGate 设备。作为一个管理员,你 可以查看 所有的基于 Web 管理器的页面以及对全部 FortiGate 配置设置进行更改。 从基于 Web 的管理器, 进入日志与报告 &事件日志,校验已发生登录活动。点击日志条目,可以查看日志详细信息。该日志显示 Terry White 从 192.168.1.163 F5:sRTinEr ____________________________________________________________________ 成功登录设备。 进入系统管理 & 面板 & 状态,查看系统信息工具。当前管理器字段显示登录的管 理员的 数量。点击&详细信息〃显示名称为 Terry White 的管理登录到设备。64 F5:5RTinETFortiGate 设备高级安装与设置FortiGate 设备可以根据各种高级的需求完成不同的部署。本章节的高级配置举 例中包括 了高级的 NAT 与透明模式下的配置、高可用性以及 VLAN 与虚拟域 (VDOM )配置说明。 本章还包括两个小节,介绍有关如何使用 FortiGate 设备数据包嗅探器抓包以及 调试工具 的使用。 本章包括一下方面的配置举例内容: n将 FortiGate 设备连接到两个 ISP 保证冗余的互联网连接 *对冗余的互联网连接配置使用调 制解调器 *通过基于使用率的 ECMP 在双互联网连接之间分配通信会话 n在 DMZ 网络中保护一 台 web 服务器 *不更改网络配置情况下使用 FortiGate 设备保护邮件服务器(透明模式) *使用接口配对以简化透明模式下安装 *不做地址转换的情况下连接到网络(FortiGate 设备运行于路由模式) *对私网中的用户设置显式 web 代理 *私有网络的用户访问互联网内容的 web 缓存建立 * 应用 HA 高可用性提高网络的可靠性 *升级 FortiGate 设备 HA 群集的固件版本65 F5:sRTinErn 使 用 虚 拟 局 域 网 (VLAN )将多个网络连接到 FortiGate 设备n使用虚拟域,在一 gFortiGate 设备实现多主机*建立管理员帐户监控防火墙活动与基本维护 ?加强 FortiGate 设备的安全性 *为内部网站和服务器创建本地 DNS 服务器列表 ?使用 DHCP 根据 MAC 地址分配 IP 地址 *设置 FortiGate 设备发送 SNMP 陷阱 *通过数据包嗅探方式(数据包抓包)发现并诊断故障 *通过数据包嗅探方式(数据包抓包)进行高级的故障发现与诊断 *创建、保存并使用数据包采集过滤选项(通过基于 web 的管理器嗅探数据包) *调试 FortiGate 设备配置*常规调试命令的快速参考将 FortiGate 设备连接到两个 ISP 保证冗余的互联网连接面临的问题如何通过 FortiGate 设备建立与互联网的连接备份,如果与互联网的主要连接发 生故障 后,一些或全部的流量自动切换到备份的互联网连接,直至主连接恢复后, 流量将自动切换回 去。66 解决方法查看视频文件:http://docs.fortinet.com/cb/inst2.html 以下的方法描述了如何通过与 两个不同的 ISP 建立互联网连接从而提高网络连 接的可靠性。本方法中主要的 ISP 使用静态 IP 连接到 FortiGate 设备的 WAN1 接口, 备份的 ISP 连接是使用 DHCP 连接到 WAN2 接口。 通过设置内网到 WAN1 接口设置安全策略 , 保证内网与互联网之间通信 。 备份 连接是通过 WAN2 到互联网的连接。 在 WAN2 接口是运行的状态下,通过对到 wan2 的连接添加安全策略,你可以分 配流量。你 也可以使用诸如流量整形这样的技术限制 wan2 接口处理的流量。你也 可以添加安全策略例如 FortiGuard 网页过滤或使用其他网页过滤技术阻断一些无 关紧要的网站的连接访问。67 F5:;RTinEr ___________________________________________________________________ 通过 wanl 配置到互联网的主要访问连接1?将 FortiGate 设备的 WAN1 接口连接到首要的 ISP 提供的连接设备。将内网与内部接口连接。Internal NetworkinternalA B A丨=nnBnnnnn waniPrimary ISP 2?从内网的 PC ,登录 FortiGate 设备基于 Web 的管理器用户名是 admin ,无密码。3. 进入系统管理&网络&接口,并点击&编辑”wan1 接口,更改以下选项:68 地址模式设置 IP/掩码设置F5:5RTinET 172.20.120.14/255.255.255.0自动4.编辑内部接口并更改以下设置:69 F5:5RTinET地址模式设置 IP/掩码设置 自动 172.20.120.99/255.255.255.05.进入路由&静态&静态路由,点击&新建〃设置以下默认路由:目标 IP/掩码 设备接口 网关0.0.0.0./ 0.0.0.0 wan1 172.20.120.26?进入系统管理& 网络&DNS,并添加主次 DNS 服务器。7. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许专有网络用 户访问互联网。一些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的 是该型号 的设备,在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Wan1 All always ANY ACCEPT8?点击&启动 NAT”与&使用目标接口地址”。 9.点击 OK 确认保存安全策略。70 配置 wan2 接口添加备份互联网连接 1?将 FortiGate 设备的 WAN2 接口连接到备份的 ISP 提供的连接设 备。 2?登录到基于 web 的管理器。 3?进入系统管理& 网络 & 接口,并点击&编辑”wan2 接口。F5:5RTinET4.将地址模式设置为 DHCP ,并选中&从服务器中重新得到网关〃。勾上&改变 内部 DNS”。5. 点击 ok 保存设置。如果以上的配置正确,wan2 接口应从 ISP 的 DHCP 服务器获取一个 IP 地址。这个 过程可能需 要几分钟的时间,您可以点击&状态〃连接刷新显示。最后会显示 &IP/子网地址已获得〃。如 果 ISP 的 DHCP 服务器提供了 DNS 服务器 IP 地址,那 么默认的网关也会显示。 确认&从服务器中重新得到网关〃已选中,路由表中才会出现默认的路由。正常 的双重互联网 连接 , 你不需要选中&改变内部 DNS”,因你不希望 FortiGate 设备 使用备份的 ISP 的 DNS 服务器 。71 FSIERTinET nt6「n3 Networkinterna.:V: : : : : Backup ISP6. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许私有网络用 户访问互联网。有些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的是该 型号的设备, 在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。wan2wan 172 F5:5RTinET源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Wan2 All always ANY ACCEPT 8.点击 OK 保存安全策略。7?选中&启动 NAT”与&使用目标接口地址〃。设置到 wanl 的默认路由为首选的默认路由并对 wanl 与 wan2 添加 ping 服务器 该配置的结果是 FortiGate 设备将具有两条默认路由,一条将流量指向 wanl ,另 _条将流量 指向 wan2。默认到 wan2 的路由是从备份的 ISP 的 DHCP 服务器获得。 Ping 服务器的作用是校验 wanl 与 wan2 接口到互联网的连接。 因 wan2 默认的路由是通过 DHCP 从 ISP 获得的,默认的路由必须通过编辑 wan2 接口更改。 1.进入路由&静态&静态路由,点击&编辑”wan1 默认路由,点击高级选项, 设置路径为 10。73 路径值通常已经设置为 10 ,因此你不需要更改。 2?进入系统管理& 网络&接口,编辑 wan2 接口并设置距离为 20 (或胃哂 10 的 路径值)。 3?确定 FortiGate 设备正在使用的是哪一条路由,进入路由 & 当前路由& 路由监控表, 查看当前 的 FortiGate 设备的路由表。没有激活的路由不在路由监控中显示。在 以下举例中,应只显 示一条静态路由:wanl 默认路由。该路由的距离应为 10。 连接的接口的路由也应该显示。F5:;RTinErType: All i : Type Subtype Static Connected Connected ConnectedNetwork: Network 0?0.0?0/0 10.41.101.0/24 172.20.120.0/24 192.168.1.0/24 Distance 10 0 0 0 Metri c0 0 0 0Gateway: Gateway 172.20.120.2 0?0.0?0 0?0.0?0 0.0.0.0 Interface wanl wan2 wanl internal如果编辑 wan2 接口并将距离值设置到较低的值(例如说 5 ), wanl 默认路由 将从路由监 控中被删除,并以 wan2 默认路由代替(因为 wan2 路由具有较低的路由 距离值)。通过将路由 距离值设置为相同的数值(例如 10 ),那么路由监控将保持 有两条路由。当两条路由具有相同 的路由值时,也就是&等价路由”(ECMP:equal cost multi path ),路由将同时被使用。流量会 话将在二者之间相互平衡。 4?进入路由 & 静态 & 设置,并点击&新建〃,添加 wan1 ping 服务器: 接口 Ping 服务器 检测协议 Ping 间隔(秒) Wan1 172.20.120.2 ICMP Ping 5故障恢复值55?点击&新建”,添加 wan2 ping 服务器。该配置中 wan2 Ping 服务器是可选项。74 FS::RTinET但是,添加 wan2 ping 服务器意味着 FortiGate 设备将在 wan2 ping 服务器不能 到达其目的 地时启动记录日志信息。 接口 Ping 服务器 检测协议 Ping 间隔(秒) 故障恢复值 Wan2 l0.4l.l0l.l00 ICMP Ping 5 5结果如果 wanl ping 服务器可以连接到其 ping 服务器 IP 地址 , 路由监控将显示以上 所示到 wanl 接口的默认路由。所有到互联网的流量都会通过 wanl 接口适用内网到 wanl 安全策略。你可以进 入 Policy&策略 & 策略,查看路由监控,检验路由;并可 以点击&计数〃显示路由的详细信息。 如果你更改了网络配置,wanl ping 服务器不能连接到其 ping 服务器 IP 地址, (例如,断 了 wanl 接口的物理连接),默认的路由将更改为 wan2 接口(也称为默 认路由故障):75 FS ::RTinET Type: . Ail T: Network:Type Subtype Static Connected Connected Connected Network 0.0.0.0/0 10.41.101.0/24 172.20.120.0/24 192.168.1.0/24 Distance 20 0 0 0 Metri c0 0 0 0Gateway: Gateway 10.41.101.100 0.0.0.0 0?0.0.0 0.0.0.0 Interface wan2 wan2 wanl internal一条类似如下日志信息将被记录:
10:16:39 log_id= type=event subtype=system pri=critical vd = root interface= wan1 status=down msg = &Ping peer: (172.20.120.14- &172.20.120.2 ping-down)& Wan2 链接在激活的状态下,测试内网到互联网的连接。如果连接可用,说明 双路互联网连 接配置是正确的。查看安全策略计数栏目中内网到 wan2 的策略。计 数栏目应该是增加的状态, 表明该策略正在接收流量。 当你恢复 wan1 接口的连接时,ping 服务器应该可以检测到网络流量已恢复且路 由表应还原 为包括 wan1 默认路由。所有新的会话将使用内部接口到 wan1 的安全策 略。已建立的会话将使用 内部接口到 wan2 安全策略且会持续使用该策略,直到会 话超时。但是,所有新的会话将使用内 部接口到 wan1 的安全策略。 故障恢复过程中向外的会话与其回复在重新开始,因一个接口发出的流量,其回 应不会从其 他接口返回。 故障恢复过程中,在故障恢复之前发生的从 wan1 接口接收的通过防火墙 VIP 安 全策略的向内 的会话在故障恢复之后可能从 wan2 接口发出。服务器发起的出站会M M76 F5:sRTinEr ____________________________________________________________________ 话以及已发出的 VIP 安全策略会根据将会话发出到互联网的接口信息修改其源 IP 地 址。如果 wanl 链接故障,向外的 VIP 会话将自动转向 wan2。这些会话的源地址将 根据防火墙 VIP 中的 定义进行修改。 如果你可以从内部网络访问互连网,那么配置是成功的。更改冗余互联网连接配置使用 ECMP本章节所述的基本冗余互联网连接情况在多数网络状态下都是可用的。为了更 有效的提 供默认路由故障恢复的能力且在主 ISP 故障后能够快速恢复进入的流量连 接,你可以使用等价 路由(ECMP )恢复连接。 你可以通过对两条路由设置为相同的路由距离值,到主要 ISP 的默认路由的优先 级要低于 到备份 ISP 默认路由的优先级,从而实现冗余互联网连接的基于 ECMP 配置 场景。通过以下步 骤修改配置。 因 wan2 默认路由是使用 DHCP 从 ISP 获取地址,wan2 默认路由的优先级必须使 用 CLI 编 辑 wan2 接口。1. 进入路由&静态&静态路由,并点击&编辑〃,编辑 wanl 默认路由。 2. 点击&高级设置〃并将距离设置为 10 ,优先级设置为 5。 3. 使用以下 CLI 命令编辑 wan2 默认路由的距离与优先级:config system interface edit wan2 set distance 10 F5:;RTinEr ____________________________________________________________________ set priority 20 end 因为 wanl 默认路由的优先级是最低的,将被认为是最佳路由,所有来自私有 网络的流 量都将使用 wanl 接口路由到互联网。当 wanl 与 wan2 使用不同的距离值,来自互联网的流量只能由具有最低路由距 离值的77 接口( wanl)做出响应。如果互联网中的一个用户通过 wanl 建立了一条到 内网的访问链接, 如果 wanl 到互联网的连接故障后,该用户所建链接将G失。短 暂的访问中断后,用户将被自 动转向通过 wan2 接口,重新建立连接。当 wanl 互联 网连接恢复后,用户的连接将被二次中 断,因要切换回 wanl 接口。 设置 ECMP 后,两个接口都可以对从互联网进入的流量基于会话列表做出响应。 当 wanl 互联网连接故障时,用户仍然会丢失其连接,但是当连接转给 wan2 接口后, 用户的连接在 wanl 接口连接恢复之前一直在 wan2 口转发数据,且只有一次中断。使用调制解调器建立到互联网的冗余连接 面临的问题 如何通过调制解调器建立到互联网的冗余连接,以便主要的互联网连接故障时, 一些或者 全部流量能够自动切换到备份的互联网连接,也就是使用调制解调器接口78 F5:;RTinEr的拨号网络连接。当主要互联网连接恢复后,流量将自动切换回去。Primary ISPBackup ISP ternet解决方法我们在此提出使用两种互联网连接,从而提高网络连接的可靠性。主要的互联 网连接是通 过 wanl 接口,备份连接是使用_台调制解调器与 FortiGate 设备的调制 解调器接口建立的拨号 连接。调制解调器接口是 wanl 接口的备份接口,且对 wanl 接口添加 ping 服务器。当 ping 服务 器 i 识删到 wanl 接口不能连接到互联网时, FortiGate 设备将拨号调制解调器,调制解调器将 成为激活的互联网连接。 当调制解调器接口运行中,你可以通过添加到调制解调器接口的安全策略,来 限制网络流 量。你也可以通过流量整形这样的技术限制通过调制解调器接口的流量。 你也可以配置 FortiGuard 的网页过滤或其他网页过滤服务,阻断流行并不重要的网79 F5:;RTinEr站的访问。也可以通过应用控制限制通过调制解调器接口的应用。 使用 wanl 配置到互联网的主 要连接 1?将 FortiGate 设备的 WAN1 接口连接到首要的 ISP 提供的连接设备。将内网与内部接口连接。Internal NetworkinternalA B _|= illnrjBnnnnn waniPrimary ISP 2?从内网的 PC ,登录 FortiGate 设备基于 Web 的管理器用户名是 admin ,无密码。3.地址模式设置进入系统管理&网络&接口,并点击&编辑”wan1 接口,更改以下选项: rs 劢80 4. 编辑内部接口并更改以下设置: 0.0.0.0./ 0.0.0.0 接口 Wan 1 目标 IP/掩码 IP /掩码设置 172.20.120.14/255.255.255.0 自动 地址模式设置Ping 服务器 设备接口 IP/掩码设置172.20.120.2 检测协议 网关 ICMP Ping 5.进入路由&静态&静态路由,点击&新建〃设置以下默认路由: 5 6. 进入路由 &静态&静态路由,点击 &新建〃设置以下默认路由: Ping 间隔(秒)F5:;RTinET5172.20.120.2 wan 1 172.20.120.99/255.255.255.0故障恢复阀值7.进入系统管理&网络&DNS,并添加主次 DNS 服务器。8. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许专有网络用 户访问互联网。 一些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的 是该型 号的设备,在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。 源接口 /区域 |81 FS::RTinET源地址 目标接口 /区域 目标地址 时间 服务 动作 All Wan1 All always ANY ACCEPT9?点击&启动 NAT”与&使用目标接口地址〃。10. 点击 OK 确认保存安全策略。配置调制解调器作为备份的互联网连接1.将调制解调器接口与一根电话线连接。 你也可以将一个 USB modem 连接到 USB 接口,或将一个扩展卡 modem 插入到 FortiGate 设 备的扩展卡插槽。在连接到外部 modem 时,你可能需要重新启动 FortiGate 设备。 2?登录到基于 Web 的管理器。82 F5:5RTinETInternal Networkinternalmilra wan1modemPrimary ISP Backup ISP3. 系统管理&网络&modem,并点击&编辑〃 modem 接口设置,然后点击&启动Modem〃,并点击&应用〃。4. 配置一 Tmodem 选项:Internal Modem (如果使用外部 modem ,选择外部 modem ) 主要 Modem模式 冗余选项 拨号方式 重置超时 重拨限制冗余 Wan1 随需 5 分钟 无83 FS::RTinET5?配置外部 modem 或内部 modem 设置。 电话号码 用户名 密码 555 555 1212 ISP_user 设置密码 击 应 用 保 存 配 置 更 改 。6. 点7. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许专有网络用户通过 modem 接口访问互联网。 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Modem All always ANY ACCEPT 击 启 动 N A T 与 使 用 目 标 接 口 地 址 。8. 点9. 点击 OK 保存安全策略。该配置下,如果失去与 wanl 接口的连接,modem 将自动进行拨号建立与 ISP 的 连接。如果84 F5:5RTinET连接成功,modem 接口将配置通过 PPPoE 并且路由列表中将含有默 认的路由将指向 modem 接口这样的路由。所有到达互联网的流量将使用 modem 接口。85 F5:;RTinEr ____________________________________________________________________结果你可以通过阻断 wanl 接口的连接(例如,断开 wanl 接口的物理连接)测试默 认路由故 障恢复的配置。Modem 应开始拨号,拨号连接建立后,路由监控中取代 了 wanl 默认路由,显示 modem 默认路由。你也可以通过查看内网到 modem 的安 全策略校验 modem 接口的连接。你可以 恢复 wanl 连接,查看 wanl 默认路由将恢 复在路由监控中,并校验连接性。 当 modem 拨号后,你可以从内部网络访问互联网,那么配置是成功的。如果不 能,参见& 透明模式安装的故障诊断与排除”。使用基于使用率的 ECMP 在冗余链路间分配会话 面临的问题 你的公司使用两个不同的 ISP ,以增强网络的可靠性。如何在不使用其中任何一 个超负载 的情况下,通过对两个 ISP 分配会话,更有效的利用两个互联网连接。86 FS::RTinETPrimary ISPBackup ISP解决方法使用溢出(基于使用率的等价路由。当一个互联网连接达到定义的流量水平时, 会话溢出到 另外一个连接。 1?进入策略 & 静态 &静态策略,点击新建对 wanl 与 wan2 接口添加默认路由。 配置 wanl 接口: 目标 IP/掩码 设备接口 网关 0?0?0?0?/ 0?0?0?0 wanl 172.20.120.2 1 0 。 配 置 w a n 2 接 口 :点 击 高 级 选 顶 , 设 置 距 离 为目标 IP/掩码 0?0?0?00?0?0?0?/87 FS::RTinET设备接口 网关 Wan2 172.30.120.2点击高级选顶,设置距离为 10。ECMP 启动后,两条默认路由必须设置相同的距离与优先级。2. 进入路由&静态&设置,并选中 ECMP 负载均衡方式中溢出。3?在失效网关检测下,点击&新建〃,对 wanl 与 wan2 接口添加失效网关检测。 配置 wanl 接口: 接口 Ping 服务器 检测协议 Ping 间隔(秒) 故障恢复阀值 配置 wan2 接口: Wan1 172.20.120.2 ICMP Ping 5 588 接口 Ping 服务器 检测协议 Ping 间隔(秒) 故障恢复阀值Wan2 172.30.120.2 ICMP Ping 5 54.进入系统管理&网络&接口,并编辑 wanl 接口,将溢出阀值设置为 10000kbit/秒。5. 进入系统管理&网络&接口,并编辑 wan2 接口,将溢出阀值设置为 20000kbit/89 F5:sRTinEr ____________________________________________________________________秒。你必须对两个接口添加溢出阀值,因为默认的溢出阀值是 0 ,这意味着没有带宽 限制。如 果其中一个接口的溢出阀值为,那么该接口将处理全部的会话。结果大部分从内网到互联网会话应该使用 wanl 接口。当 wanl 接口达到溢出阀值时, 新的会话应 开始使用 wan2 接口。当 wanl 接口的会话降至溢出阀值以下时,新的会 话会恢复使用 wanl 接口。 实际上基于使用率的 ECMP 路由不是负载平衡,因路由不在接口之间平均分配。 ―个 10000kbits( 10 Mbps )的溢出阀值意味着当 wanl 接口的使用率达到 10Mbps , 新的会话将溢出 到 wan2 接口处理。因此在会话流量较低的时候,wanl 将处理所有 的会话。 溢出阀值并未严格限制经接口所处理的带宽,因为在路由缓存中存在的目标 IP 地址的新 会话将使用缓存路由,这意味着,即使 wanl 超过了其带宽限制,新会话 也能够继续通过 wanl 发送,因它的目标地址已经在路由缓存中了。 你可以根据你管理网络中的流量模式,调整溢出阀值从而更改 ISP 之间的会话分 配。你可 以通过流量面板工具查看 wanl 与 wan2 的带宽使用率。 你可以使用以下 CLI 命令查看接口是否超过其溢出阀值: diagnose netlink dstmac list F5:sRTinEr ____________________________________________________________________输出类似如下信息: dev=wan2 mac=00:00:00:00:00:00 rx_tcp_mss=0 tx_tcp_mss=0 overspill-threshold=0 bytes=0 over_bps=0 sampler_rate=0 dev=wan1 mac=00:00:00:00:00:00 rx_tcp_mss=输出的信息中,over_bps = 1 表示接口正在超出其溢出阀值,over_bps = 0 表示接 口通过的流90 量没有超过其阀值。保护 DMZ 网络中的 web 服务器面临的问题如何保护 web 服务器来自内部专有网络与互联网访问的安全。91
Fm:5RTInmTWebserver Internet address 172.2P120.123
缉wf铒 冰咖 道 恕讲浙i s s l t :Ms u l s i H ' m PwebM( demilitarized zone ) Z M l D m & B wwebM^tl ,a3aCJJT w回s:M ^ l s ^ p ti lM, t菊 @aDMZa镟 胳 M 」3 fl。webM^#!i_ l-&FortiGate珊( DMZ筘 瞰 M □M 口 疑M 口 。 n 痤 爵 丨 a - B-SIs油webM回露 丨 澉 葫 里
抖 卟 谳 昂浙 s 。菊& d c$a a B ss IwebMsa._aUFortiGate#?]鹃 部
骱 , 鹃 隳 冈镟 胳 M筘 瞰 ,筘浙 s 。这 书油回,?谳 昂 , 书 皿)SSNAT(DNAT )ww&商 脚 彦 油 迓? 忝|+1'鄯 咖濉菊??]w
F5:sRTinEr ____________________________________________________________________ 分与网络接口的不同接口的功能。你可以进入系统管理& 网络 & 接口,编辑接口并 在别名字 段添加描述的文字,那么在基于 web 的管理器中的大多数界面都以接口 的别名显示。将网络连接到 FortiGate 设备并配置 IP 设置1?将 DMZ 网络连接到 FortiGate 设备 DMZ 接口、内部网络连接到内部接口、互联 网与 wanl 接口连接(或任何其他可用接口)。3?编辑 dmz 接口:90 F5:5RTinET别名 地址模式 IP/掩码 4.编辑内部接口 : DMZ 服务器网络 手动 10.10.10.10/255.255.255.0别名 地址模式 IP/掩码 5.编辑 wanl 接口:内部专用网络 手动 192.168.1.99/255.255.255.0别名 地址模式 IP/掩码互联网 手动 192.168.1.99/255.255.255.06.进入路由&静态&静态路由,并编辑默认的路由如下:目标 IP/掩码 设备接口 网关0.0.0.0./ 0.0.0.0 Wan1 ( 互联网) 172.30.120.2 D N S 服 务 器 。7. 进 入 系 统 管 理 & 网 络 & D N S , 且 添 加 主 次91 8. 配置 web 服务器的 IP 网络设置。IP 地址 掩码 默认网关F5:5RTinET10.10.10.123 255.255.255.0 10.10.10.1092 DNS 服务器F5:5RTinET 可用的 DNS 服务器 IP 地址如果 web 服务器没有正确的默认网关,其回复的数据包便不能到达 DMZ 接口, web 服务器 也会显示为无响应。创建 DNAT 安全策略允许互联网到 web 服务器的会话访问通过创建防火墙虚拟 IP ( VIP )配置 DNAT (端口转发),将 web 服务器的互联 网地址 (172.20.120.123 ) 映射为 DMZ 网络中 web 服务器的实际 IP 地址 (10.10.10.23 )。然后将该 VIP 添加到一条安全策略,允许互联网中的用户通过 FortiGate 设备访问 DMZ 网络中的 web 服 务器在互联网中的 IP 地址(本实例中应是 172.20.120.123 )。 1?进入 Firewall Objects&虚拟 IP&虚拟 IP 并点击新建添加新的虚拟 IP 并做以下设置: 名称 外部接口 类型 外部 IP 地址/范围 映射 IP 地址/范围 Web - server - DNAT Wan1 ( 互联网) 静态 NAT 172.20.120.123 10.10.10.1232. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许互联网用户连接到 DMZ 网络中的 web 服务器。93 源接口 /区域 源地址F5:;RTinET Wan1 ( 互联网)全部 Dmz ( dmz 服务器网络) Web - server - DNAT always目标接口 /区域 目标地址 时间3 ? 在 服 务 旁 边 , 点 击 多 重 并 添 加 HTTP 与 HTTPS 到成员列表。4. 设置动作为接受。 5. 点击 UTM 选项并选中启动反病毒,启动应用控制与启动 IPS。 6. 点击 OK 保存安全策略设置。创建路由模式安全策略允许内部网络中的用户连接到 DMZ 网络中的 web 服务器 通过配置路由模式安全策略,内网中的用户可以使用其真是的 DMZ IP 地址 (通过访问 http ://10.10.10.123 或 https ://10.10.10.123 )连接到 web 服务器。 因内网中的用户知道 web 服务器真正的地址,你不需要在安全策略中启动 NAT。 1?进入 Firewall Objects&地址 & 地址并点击新建设置内网中用户地址范围。 地址名称 类型 子网/IP 地址范围 internal - user - addresses 子网 /IP 范围 192.168.1.100 - 192.168.1.150 (也可以输入 192.168.1 [100-150])源地址记录 web 服务器的使用率情况。94 户连接到 2. 点击新建,对 DMZ 网络。 DMZ 网络中的 web 服务器添加防火墙地址。 接口 内部(专有内部网络) 地址名称 源接口 /区域 DMZ - web Internal (专有内部网络) - server - address源地址 类型目标接口 /区域 子网/IP 地址范围 接口 目标地址F5:5RTinETInternal - user - addresses 子网/IP 范围10.10.10.123/255.255.255.255 Dmz ( dmz 服务器网络)dmz ( DMZ - DMZ web 服务器网络) - server - address一直(总是) 时间 3. 进入 P licy&策略&策略,并点击 &新建〃添加以下安全策略,允许内部网络用 4.在服务旁边,点击 多重并添加 HTTP 与 HTTPS 到成员列表。设置动作为接受。5.点击 UTM 选项并选中启动反病毒,启动应用控制与启动 IPS。6. 点击 OK 保存安全策略设置。对于这项安全策略,你应该选中启动 NAT ,以启动源地址 NAT。但是,该操 作意味着从内 部网络连接到 web 服务器的所有数据包都具有相同的源地址(DMZ 接口的 IP 地址)。如果你不 启动启动 NAT 选项,你可以根据内部网络实际的会话95 添加安全策略允许内部网络中的用户访问互联网F5:5RTinET1?进入 Plicy&策略 & 策略,并点击&新建〃添加以下安全策略。 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal (专有内部网络) Internal - user - addresses Wan1 ( 互联网) 全部 一直(总是) 任何 接受 U T M 选 项 并 选 中 启 动 反 病 毒 启 动 应 用 控 制 。2. 点 击3. 点击 OK 保存安全策略设置。结果测试下从内部网络与互联网访问 web 服务器如果以下测试失败,重新查看下 FortiGate 设备的配置。同时,确定 web 服务器 配置了 正确的默认路由。这对于从内部网络的连接尤其重要,因安全策略如果不执 行源地址 NAT ,那么 web 服务器需要正确的路由才能够正确的发送返回的数据包。 测试从内部网络访问 web 服务器从内部网络访问 web 服务器的真实 IP 地址(http : //10.10.10.123 或 https :96 F5:sRTinEr ____________________________________________________________________ //10.10.10.123 )。连接应该是成功的。该通信使用内部网络到 dmz 网络的安全策 略。进入 Policy&监视器 &策略状态,查看适用于内部网络到 dmz 网络安全策略的 会话(在示例中是策 略 3 )。也可以看到添加其他策略的会话。FS::RTinET9 Refresh _________________________________________________ Report By: [ ActiveSessions ?'下拉查看适用该策略的会话的详细信息 。 应全部都是 HTTP( 端口 80 )或 HTTPS (端口 443 ) 会话。源地址应该是内部网络中的地址,目标地址应该是 web 服务器 的真实 IP 地址 (10.10.10.123 )。因没有地址转换,NAT 栏目应是空的。 你也可以使用 FortiGate 数据包嗅探器查看相似的会话。以下的嗅探器输入显示 内网中 一台地址为 192.168.1.110 的 PC 与 web 服务器(IP 地址为 10.10.10.123 )之 间的 HTTP 流量 (80 端口)。你可以查看内网中 PC 与内部接口,以及 dmz 网络接口 与 web 服务器之间的 HTTP 会话。请注意,源地址与目标地址与端口没有进行转换:97 9 Return □irjTT 1 Refres tcp 192.168.1 4011 2 Tmi tcp 192.168.1 4012 3 h tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
3989 0 tcp 192.168.1 .110 1 tcp 192.168.1
New Sessions .110 per Second: 0 / Total 3 .110 Concurrent Sessions: 43T Port Dst Dst t D Expiry duration 10.10.10.12 44 3 .10.10.12 44 3
Address 1 Por Polic ( se c) [ (sec) 10.10.10.12 44 3 2 10 3 3 10.10.10.12 44
3 y I3 10.10.10.12 44 3
3 10.10.10.12 44 3
3 10.10.10.12 44 3
3 10.10.10.12 80 3 6 129 3 3 10.10.10.12 80 1 6 128 3 3 10.10.10.12 80 1 36 90 3 10.10.10.12 80 1 36 90 3 10.10.10.12 80 a 51 81 3 10.10.10.12 80 3 51 79 3 \i /I ? ?1 Total: 3 & 11 3 24diagnose sniffer packet any 'port 80' 4 10 interfaces=[any] filters=[port 80] 5.360359 internal in 192.168.1.110.4359 -& 10.10.10.123.80: syn
5.361982 internal out 10.10.10.123.80 -& 192.168.1.110.4359: syn
5.362165 internal in 192.168.1.110.4359 -& 10.10.10.123.80: ack .362463 internal in 192.168.1.110.4359 -& 10.10.10.123.80: psh
ack .366684 internal out 10.10.10.123.80 -& 192.168.1.110.4359: ack
5.370189 dmz out 192.168.1.110.4359 -& 10.10.10.123.80: syn
5.370411 dmz in 10.10.10.123.80 -& 192.168.1.110.4359: syn
5.370606 dmz out 192.168.1.110.4359 -& 10.10.10.123.80: ack
5.375160 dmz out 192.168.1.110.4359 -& 10.10.10.123.80: psh
5.375417 dmz in 10.10.10.123.80 -& 192.168.1.110.4359: ack 以下的 FortiGate 设备数据包(抓包)嗅探器输出显示 IP 地址 192.168 A 110 与 web 服98 FS::RTinET务器(IP 地址为 10.10.10.123 ) 之间的 HTTPS 流量(443 端口)。你可以查 看内网中 PC 与内 部接口,以及 dmz 网络接口与 web 服务器之间的 HTTPS 会话。请注 意,源地址与目标地址与端 口没有进行转换:99 FS::RTinETdiagnose sniffer packet any 'port 443 4 10 interfaces=[any] filters=[port 443] 5.124564 internal in 192.168.1.110.4366 -& 10.10.10.123.443: syn
5.128308 dmz out 192.168.1.110.4366 -& 10.10.10.123.443: syn
5.128538 dmz in 10.10.10.123.443 -& 192.168.1.110.4366: syn
5.130991 internal out 10.10.10.123.443 -& 192.168.1.110.4366: syn
5.131151 internal in 192.168.1.110.4366 -& 10.10.10.123.443: ack
5.131414 dmz out 192.168.1.110.4366 -& 10.10.10.123.443: ack
5.131702 internal in 192.168.1.110.4366 -& 10.10.10.123.443: psh
5.138192 dmz out 192.168.1.110.4366 -& 10.10.10.123.443: psh
5.138361 dmz in 10.10.10.123.443 -& 192.168.1.110.4366: ack
5.138632 internal out 10.10.10.123.443 -& 192.168.1.110.4366: ack 1你也可以使用以下数据包嗅探器命令,获得类似以下的信息:1diagnose sniffer packet anyhost 192.168.1.110 or 10.10.10.123' 4 10测试从互联网到 web 服务器的访问连接从互联网的任何地点(或 172.20.120.0 网络中的任何位置)访问 web 服务器的 互联网 IP 地址(http://172.20.120.123 或 https://172.20.120.123 )。该会话是使 用 wanl 到 dmz 接 口的策略。进入 Plicy&监视器 &策略状态,查看适用于该安全 策略的会话。通过策略监控会 显示使用内部接口到 dmz 接口策略的会话。 下拉查看适用该策略的会话的详细信息。应全部都是 HTTP( 端口 80 )或 HTTPS (端口 443 )100 F5:;RTinET会话。源地址应该是互联网中的地址(或 172.20.120.123 ), 目标地 址应该是 web 服务器的内 部地址(172.20.120.123 )。wan1 到 DMZ 的策略对向内 的数据包执行了 DNAT ,将来自 172.20.120.123 数据包的目标 IP 地址转换为 10.10.10.123。在源 NAT IP 地址栏目中显示的是 发生目的 NAT 转换后的目标 NAT IP 地址。目标端口没有被转换,因此源 NAT 端口栏目与目标端 口栏目都显示的是 80口,以及 dmz 网络接口与 web 服务器之间的 HTTPS 会话。请注意,源地址与目标地101 F5:5RTinET端口。你也可以使用 FortiGate 数据包嗅探器查看相似的会话。以下的嗅探器输出显示 的信息 为从 172.20.120.12 到 172.20.120.123 的 HTTP 流量(目标端口 80 ) 。所有 wanl 接口接收的 数据包的源地址为 172.20.120.12,目标地址为 172.20.120.123。 从 dmz 接口出去的所有数据 包的源地址为 172.20.120.12 ,目标地址为 10.10.10.123 :diagnose sniffer packet any port 80 4 10 interfaces:[any] filters=[port 80] 5.384633 wanl in 172.20.120.12.59485 -& 172.20.120.123.80: syn
5.390855 wanl out 172.20.120.123.80 -& 172.20.120.12.59485: syn
5.3S2429 wanl in 5.392970 wanl in
5.402474 wanl out 172.20.120.123.80 -& 172.20.120.12.59485: ack
5.404772 dmz out 172.20.120.12.59485 -& 10.10.10.123.80: syn
5.405014 dmz in 10.10.10.123.80 -& 172.20.120.12.59485: syn
5.405236 dmz out 5.406434 dmz out 172.20.120.12.59485 -& 10.10.10.123.80: ack
172.20.120.12.59485 -& 10.10.10.123.80: psh
ack 172.20.120.12.59485 -& 172.20.120.123.80: ack
172.20.120.12.59485 -& 172.20.120.123.80: psh
ack11102 F5:;RTinET 5.406689 dmz in 10.10.10.123.80 -& 172.20.120.12.59485: ack 以下的 FortiGate 设备数据包(抓包)嗅探器输出显示从 172.20.120.12 到172.20.120.123 之间的 HTTPS 流量(443 端口)。你可以查看内网中 PC 与 wan1 接 址与端口没有进行转换: diagnose sniffer packet any 'port 443 4 10 interfaces=[any] filters=[port 443] 4.557201 wanl in 172.20.120.12.59666 -& 172.20.120.123.443: syn
4.561331 dmz out 172.20.120.12.59666 -& 10.10.10.123.443: syn
4.561577 dmz in 10.10.10.123.443 -& 172.20.120.12.59666: syn
4.562214 wanl out 172.20.120.123.443 -& 172.20.120.12.59666: syn
4.562974 wanl in 172.20.120.12.59666 -& 172.20.120.123.443: ack
4.563323 dmz out 172.20.120.12.59666 -& 10.10.10.123.443: ack
4.563540 wanl in 172.20.120.12.59666 -& 172.20.120.123.443: psh
4.570165 dmz out 172.20.120.12.59666 -& 10.10.10.123.443: psh
4.570270 dmz in 10.10.10.123.443 -& 172.20.120.12.59666: ack
4.570566 wanl out 172.20.120.123.443 -& 172.20.120.12.59666: ack 1你也可以使用以下数据包嗅探器命令,获得类似以下的信息: diagnose sniffer packet any host 172.20.120.12 or 172.20.120.123 * 4 10?口,以及 dmz 网络接口与 web 服务器之间的 HTTPS 会话。请注意,源地址与目标地103 F5:5RTinET在不更改网络设置的情况下配置 FortiGate 设备保护邮件服务 器(透明模式)面临的问题如何在不更改服务器与网络设置的情况,防御邮件服务器受到病毒的威胁。举 例说明, 不更改服务器的设置包括不能在邮件服务器上安装病毒扫描软件或更改邮 件服务器的 IP 地址或 更改网络的地址。104 Protected Emai Server 10.31.101.200FortiGate Unit in Transparent modeRouter ^^Tterriet解决方法将应用于透明模式的 FortiGate 设备部署在邮件服务器与网络之间。配置 FortiGate 设备 允许从网络到邮件服务器的会话,并对通过的会话应用反病毒防护, 防御邮件服务器受到病毒 的威胁。 内网中的用户连接到邮件服务器,通过 IMAP、IMAPS、POP3、POP3 或 HTTPS (webmail ) 收取邮件,且通过 SMTP 或 SMTPS 发送邮件。邮件服务器通过 SMTP 或 SMTPS ,连接到互联网并将 向外的邮件送出,且通过 SMTP 或 SMTPS 从互联网中105 F5:;RTinEr ____________________________________________________________________接收向内网的邮件。将 FortiGate 设备切换到透明模式并配置 IP 设置1. 将一台 PC 连接到 FortiGate 设备的内部接口。 2. 启动 FortiGate 设备与 PC。 3. 连接到 FortiGate 设备基于 web 的管理器。你可以配置 PC 通过 DHCP 获取 IP 地址后访问 https://192.168-1.99。或者你也可 以设置 PC 使用 192.168.1.1/255.255.255.0 子网中静态 IP 地址。 输入 admin 登录,没有密码设置。4. 进入系统管理 & 控制面板& 状态 & 系统信息,点击操作模式旁边的更改并配 置以下信息: 操作模式 管理 IP 地址/掩码 默认网关 透明 10.31.101.40/255.255.255.0 10.31.101.100 击 O K , 切 换 到 透 明 模 式 。5. 点6. 访问 https://10.31.101.40 登录到基于 web 的管理器。将 PC 的 IP 地址更改为10.31.101.0/255.255.255.0 子网中的地址。7. 进入系统管理 & 网络 & 接口,点击编辑 wan1 接口。 8. 设置管理访问为 HTTPS 与 SSH , 并点击 OK 确认。当 FortiGate 设备连接到网络时便可以通过 wan1 接口对其进行管理。9. 进入系统管理 & 网络 &DNS , 添加主次 DNS 服务器。F5:;RTinEr ________________________________________________________________ 配置安全策略106 1?进入 Firewa 丨丨 Objects〉地址 & 地址,并点击新建配置以下防火墙地址 :配置邮件服务器地址: 地址名称 类型 子网/IP 地址范围 接口 配置用户网络地址: email - server - address 子网/IP 范围 10.31.101.200/255.255.255.255 Internal 内部接口地址名称 类型 子网/IP 地址范围 接口email - user - network 子网/IP 范围 10.31.101. [1-30] Wan12. 进入 Plicy&策略&策略,并点击&新建〃添加安全策略允许用户网络使用 IMAP、IMAPS、 POP3、POP3S、SMTP、SMTPS 与 HTTPS 访问邮件服务器。源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务Wan1 Email - user - network Internal 内部接口 Email - server - addresses always ANY107 F5:sRTinEr ___________________________________________________________________ 3 ?在服务旁边,点击多个并添加 IMAP、IMAPS、POP3、POP3S、SMTP、 SMTPS 与 HTTPS 到成员 列表。4. 设置动作为接受。 5. 点击 UTM 选项并选中启动反病毒。 6. 点击 OK 保存安全策略设置。 7. 进入 Plicy&策略&策略,并点击&新建〃添加安全策略允许邮件服务器使用SMTP、SMTPS 向互联网送出邮件: 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 Internal Email - server - addresses Wan1 All always S M T P 与 S M T P S 到 成 员 列 表 。8. 在 服 务 旁 边 , 点 击 多 个 并 添 加9. 设置动作为接受。 10. 点击 UTM 选项并选中启动反病毒。 11. 点击 OK 保存安全策略设置。 12. 进入 Policy&策略 & 策略,并点击&新建〃添加安全策略允许邮件服务器使用SMTP、SMTPS 接收来自互联网的邮件: 源接口 /区域 源地址 Wan1 All108 F5:5RTinET目标接口 /区域 目标地址 时间 Internal 内部接口 Email - server - addresses always13 ?在服务旁边,点击多个并添加 SMTP 与 SMTPS 到成员列表。14. 设置动作为接受。 15. 点击 UTM 选项并选中启动反病毒。 16. 点击 OK 保存安全策略设置。 17. 进入 Plicy&策略 & 策略,并点击&新建〃添加安全策略允许邮件服务器连接到任何 DNS 服务器: 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 Internal 内部接口 Email - server - addresses Wan1 All always DNS 击 O K 保 存 安 全 策 略 设 置 。18. 点19. 将 FortiGate 设备连接到邮件服务器与用户网络之间。将 wan1 接口连接到一台交换台,然后连接到用户网络。将内部接口连接到邮件服务器。109 Email ServerinternalF5:5RTinET nn Qwan1nmnnUser Network结果FortiGate 设备部署在邮件服务器与网络之间时,邮件服务器的功能是没有发生 更改的。 你可以从用户网络使用任何的邮件协议访问邮件服务器。 通过基于 web 的管理器,你可以进入 Plicy&监视器 & 策略状态查看 FortiGate 设备安 全策略活动,以确认邮件服务。策略监控的条形图显示了每一项策 略的会话。条形图是根据策 略 ID 显示的。110 FSIERTinET如果没有在 FortiGate 设备中添加任何其他安全策略}
手把手学配置FortiGate设备
F5:5RTinET手把手学配置 FortiGate 设备 FortiGate 新设备的安装与初始化 大多数的用户购买 FortiGate 设备的目的是希望能够建立私有网络与互联网之 间的安全连 接。且多数情况下,用户希望 FortiGate 设备可以在对互联网的访问连接 中隐藏私有网络中的 IP 地址。本章描述的内容是:如何安装 FortiGate 设备实现私有 网络 IP 地址的隐藏,也称为 NAT/路由模式部署;以及如何进行 NAT/路由模式安装 下的故障诊断与排除。 此外,本章还描述了基本的 FortiGate 设备透明模式部署方法。运行于透明模式 下的 FortiGate 设备在不需要网络进行任何更改的情况下提供安全服务。本章还介 绍了在 FortiGate 设备安装完成后的一些基本的操作程序,包括检查固件版本和升级 固件、FortiGuard 服务连接 校验。 本章包括以下基本的安全与配置举例:? 将 运 行 于 NAT/路由模式的 FortiGate 设备连接到互联网? 一步完成私有网络到互联网的连接?使用 FortiGate 配置向导一步完成内网地址更改? NAT/路由模式安装的故障诊断与排除?不更改网络配置部署 FortiGate 设备(透明模式) ?透明模式安装的故障诊断与排除当前固件版本验证与升级1 F5:sRTinET? FortiGuard 服务连接及故障诊断与排除? 在 FortiGate 设备中建立管理员帐户将运行于 NAT/路i模式的 FortiGate 设备连接到互联网面临的问题如何配置新的 FortiGate 设备,使其安全的将私有网络连接到互联网。 FortiGate 设备在 保护私有网络免受互联网威胁的同时,保证私有网络中的任何用户 能够自由的连接访问互联网。FortiGate Unit in NAT/Route mode2 F5:;RTinEr ____________________________________________________________________解决方法通常情况下,FortiGate 设备是安装作为私有网络和互联网之间的网关或路由器。 FortiGate 设备运行于 NAT/路由模式,可以隐藏私网访问互联网的地址。 1?将 FortiGate 设备的 WAN1 接口连接到互联网服务提供商(ISP )的设备接口。3?将 ISP 设备、FortiGate 设备、内网中的 PC 设备接通电源。4. 从一台 PC 连接到 FortiGate 设备基于 Web 的管理器。你可以配置 PC 使用 DHCP 方式获取其 IP 地址,然后访问 https://192.168-1.99。 你也 可以对 PC 配置一个 192.168.1.0/255.255.255.0 子网中的静态 IP。 5?使用&admin&登录,没有密码。6. 进入系统管理& 网络&接口并点击&编辑”wan1 接口与更改以下设置:3 地址模式设置 IP/掩码设置F5:5RTinET自动 172.20.120.14/255.255.255.07.编辑内部接口并更改以下设置:地址模式设置 IP/掩码设置自动 172.20.120.14/255.255.255.08.进入路由&静态&静态路由,点击&新建〃设置以下默认路由:目标 IP/掩码 设备接口 网关0.0.0.0./ 0.0.0.0 wan1 172.20.120.2―条默认路由总是目标 IP/掩码为???./ 0.0.0.0。通常情况你只有一条默认路由。 如果静 态路由列表中已经包含了默认的路由,你可以编辑或删除后添加新的路由。9. 进入系统管理&网络&DNS , 并 添 加 首 选 与 第 二 DNS 服务器。 10. 进入 Plicy&策略 & 策略,并点击&新建〃添加以下安全策略,允许私有网络用4 户访问互联网。 源接口 /区域 源地址F5:5RTinETInternal 内网 All Wan1 All always目标接口 /区域 目标地址 时间5 服务 动作F5:5RTinETANY ACCEPT11?点击&启动 NAT&与&使用目标接口地址〃。12.点击 OK 确认保存安全策略。 一些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的是该 型号的设 备,在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。结果在你用于连接到 FortiGate 内部接口的 PC 上,打开网页浏览器和浏览任何互联网 网站。你 也应该能够使用 FTP 或任何其他协议或连接方法连接到互联网。 进入 Plicy&策略 & 策略,查看安全策略的&计数〃栏,你可以校验所添加的安 全策略是 否应用于所处理的流量。 进入 Plicy&监视器 &会话状态,查看 FortiGate 设备正在处理的会话。多数会话源地址应该在 192.168.1.0 地址网络。多数会话的源 NAT IP 地址应该是172.20.120.14(或添加到 WAN1 接口的 IP 地址 X 策略 ID 应该是 1,这是默认的允6 F5:sRTinEr ____________________________________________________________________ 许用户在内部网络连接到互联网的安全策略。 进入 Policy〉监视器 & 策略状态中,你还可以查看到每条策略处理的活动会话图。 因暂时 这里只有一条策略,图中只有一个条目。你可以选中策略 1 的栏目条根据源 地址、目标地址、 目标端口 /服务,查看会话。 会话中顶部的栏目是一个工具条,你可以下拉查看当前会话的详细信息。其他栏 目工具可 以用于显示会话历史、流量历史,以及基于每个 IP 的带宽使用率情况。 如果你可以从内网中访问 web 网络,那么你的配置是成功的。如果不能访问,查 看配置诊 断故障。FSIERTinET一步芫成私有网络到互联网的连接 面临的问题 如何用尽量少的步骤启动并运行 FortiGate 设备,提供私有网络到互联网的连接。3?将 ISP 设备、FortiGate 设备、内网中的 PC 设备接通电源。7 解决方法如果你的互联网服务提供商 (ISP )使用 DHCP 自动提供互联网连接 , 唯一需要 配置 ForiGate 设备的步骤就是使设备启动运行并允许从私有网络到互联网的连接。 将 FortiGate 设备连接到 你的私有网络与 ISP 网络,配置内部网络中的一台 PC 使用 DHCP 自动获取地址,启动 FortiGate 设备,并配置设备使用 DHCP 连接到互联网。 如果 FortiGate 设备默认的没有配置 DHCP 与安全策略,那么一步配置法不适合 该设备型 号。一些适用于小企业/ SOHO 的 FortiGate 和 FortiWiFi 产品型号中均已 经完成了以上的默认 配置。 1?将 FortiGate 设备的 WAN1 接口连接到网口(互联网服务商提供的网络接口) 2?将内部网络连接到 FortiGate 设备的内部接口。8 F5:5RTinET所有的 PC 应该获取地址段为 192.168 A 0/255.255.255.0 的地址。 5.在内部网络的一台 PC 上开启一个浏览器并访问 https://192.168.1-99。 6?输入 admin ,登录到 FortiGate 设备的管理接口,密码字段为空。7. 进入系统管理&网络接口,并点击编辑 wan1 接口。 8. 设置&地址模式〃为 DHCP ,并选中&从服务器中重新得到网关〃与&改变内部 DNS”。 9. 点击 OK 保存配置更改。如果你 ISP 使用 PPPoE 或自动获取 IP 地址,你可以配置 wan1 使用这些选项。结果任何 FortiGate 内部接口连接到电脑上,打开一个网页浏览器,浏览到任何互联9 F5:sRTinEr ___________________________________________________________ 网网站。你也应该能够使用 FTP 或任何其他协议或连接方法连接到互联网。 进入 Policy〉监视器 &会话状态,查看 FortiGate 设备正在处理的会话。多数会话源地址应该在 192.168 A 0 地址网络。多数会话的源 NAT IP 地址应该 是 172.20.120.14 (或添加到 WAN1 接口的 IP 地址 X 策略 ID 应该是 1 ,这是默认的 允许用户在内 部网络连接到互联网的安全策略。 进入 Policy&监视器 & 策略状态中,你还可以查看到每条策略处理的活动会话 图。因暂 时这里只有一条策略,图中只有一个条目。你可以选中策略 1 的栏目条根 据源地址、目标地址、 目标端口 /服务,查看会话。 会话中顶部的栏目是一个工具条,你可以下拉查看当前会话的详细信息。其他 栏目工具可 以用于显示会话历史、流量历史,以及基于每个 IP 的带宽使用率情况。如果这样的配置运行不通怎幺办?使用以下步骤: 1?确认 FortiGate 设备的 WAN1 接口是否从 ISP 获得 IP 地址。通过基于 Web 管理器, 进入系统 管理 & 网络 & 接口 &wan1。 F5:sRTinEr ___________________________________________________________________ 确认地址模式是设置为 DHCP ,设置显示与以下例图相似,显示 wanl 接口已 经从 ISP 获 取到 IP 地址,_个或多个 DNS 服务器 IP 地址,以及_个默认的网关。10 如果 IP 地址疑似不正确或G失,点击&重新获取〃,重新从 ISP 获取新的 IP 配置 信息。如果 你不以这样的方式获取到正确的 IP 地址,FortiGate 设备就不能与 ISP 的 DNS 服务器通信。 请确定获取默认网关与覆盖内部 DNS 选项已开启。如果你的 ISP 不是通过 DHCP 提供 DNS 服务器的,你可以进入系统管理&网络&DNS ,手动添加一个或多个 DNS 服务器 IP 地址,以便 FortiGate 设备使用。这些添加的 IP 地址也会被 FortiGate 设备 DHCP 服务器使用,用以对内 部网络的 PC 提供 IP 配置。 如果你的 ISP 不是通过 DHCP 提供默认网关,你可以进入路由 & 静态 &静态路由, 手动 添加从 FortiGate 设备 WAN1 接口到 ISP 默认网关的默认路由。 2?如果内部网络是配置从 FortiGate 设备服务器获取 IP 地址,进入系统管理&网 络&口日〔卩 服务器,点击编辑设置内部接口的 DHCP 服务器。 使用系统 DNS 设置校验 DHCP 服务器配置。进入系统管理& 监视器&DHCP 状态 F5:sRTinEr ____________________________________________________________________ 监测,查看配置了从 FortiGate 设备 DHCP 服务器获取地址的内网 PC 的信息。内 网的每台 PC 应只有一个 IP 地址条目,且是通过 DHCP 获取的地址。 查看内网中 PC 的网络配置,以确定其从 FortiGate 设备 DHCP 服务器获取了正确 的 IP 配 置。如果它们没有获取到 IP ,那便可能是内网的 PC 不能与 FortiGate 设备 的内部接口进 行通信。查看 PC 的网络配置,并校验物理上的连接是良好的后, 重新获取 IP。使用系统 DNS 设置的 DHCP 服务器选项是对应基于 web 管理器中系统管理 &网 络&口化页面 ,11 提供 DNS IP 地址。如果 FortiGate 接口的&改变内部 DNS”选项 被选中,那么内部 PC 机的 IP 地址就是由 ISP 的 DNS 服务器提供的,而不是 FortiGate 设备的 DHCP 服务器提供的。 如果 PC 在从 ISP 获取 DNS IP 地址之前向 FortiGate 设备发出了 DHCP 请求 , 那么 FortiGate 设备将从基于 web 管理器的 DNS IP 地址页面发出 DNS IP 地址。为了 确定 PC 获取到了正 确的 DNS 服务器 IP 地址,你可以更新 PC 的 DHCP 地址获取请 求。12 F5:;RTinEr ___________________________________________________________________ 使用 FortiGate 配置向导一步芫成更改内网地址 面临的问题 使用尽可能少的步骤快速更改内部网络以及与之连接的所有设备的子网地址。FortiGate Unit in NAT/Route mode解决方法使用 FortiGate 的安装向导更改 FortiGate 内部 IP 地址以及更改通过 FortiGate 设 备 DHCP 服务器提供网络地址的内网中的计算机设备的地址。内部网络中的设备可 以通过重申 DHCP 而重 新获取新的 IP 地址。如果你有两个不同的内部网络且允许内 网之间进行的通信,你可能需要更 改内部网络地址。FortiGate 的安装向导是删除所有的安全策略,只增加了一条单个的安全策略配13 F5:;RTinEr ____________________________________________________________________ 置允许内部网络与互联网之间的通信。如果你已经添加了自定义的安全策略,可能 不希望使用 默认的配置向导。但是,如果你还没有添加很多的安全策略的话,你可 以采用这样方便的配置 方案。 一个比较繁琐的方法是手动更改 FortiGate 内部接口的 IP 地址,然后手动更改内 部网络中 PC 的 IP 地址的。那么你就需要重新登录到基于 Web 的管理界面并更改的 DHCP 服务器的配置。 这一过程涉及许多繁琐的步骤,使用配置向导,可以简化为 几个简单的步骤。 1?从内部网络的一台 PC,登录到 FortiGate 设备基于 Web 的管理器。2. 点击&配置向导”。 3. 跟随配置向导所示页面不做任何更改直到进入&本地局域网 LAN 设置〃页面。4. 更改以下设置:IP 地址 掩码 192.168.50.10 255.255.255.05.选中 DHCP 选项,更改以下设置:起始地址 终止地址192.168.50.20 192.168.50.606.继续跟随向导显示页面,不做任何其他的更改。多数的配置向导页面显示的是当前的配置信息且允许你进行修改的。如果你不做 任何更 改,配置向导不会更改配置中的选项。其中只有一个页面例外的是,互联 网访问策略页面, 该页面中的设置适用于 FortiGate 设备的安全策略配置。所有 现有的安全策略都被删除且 取而代之的是一条配置向导中设置。14 F5:sRTinEr ____________________________________________________________________7. 更新内网中 PC 的 DHCP 设置。你可能得重新启动接口设置或者重新进行设置。结果内网中的所有设备(包括 FortiGate 设备内部接口)的 IP 地址都是在 192.168.50.0/255.255.255.0 网段。试着从内网中的任何 PC 连接到互联网。 访问 https://192.168.50.10.登录到 FortiGate 设备基于 web 的管理器。进入系 统管理& 网络&接口,校验内部接口的 IP 地址是否已经更改为 192.168.50.10 ,同时 也校验其他接口的 IP 地址是否没有被改变。 进入系统管理&网络&DHCP 服务器,点击编辑内部接口的 DHCP 服务器。IP 地 址范围应该更 改为配置向导中的设置,且默认网关更改为一个新的内部接口的 IP 地 址。 进入系统管理 & 监视器&DHCP 状态监测, 查看内部网络中的设备已经从 FortiGate 设备 DHCP 服务器获得新的地址。进入 Policy&策略 & 策略,并校验策略列表中只含有一条允许内部网络访问互联 网的安全 策略。 从内网中的任何设备连接到互联网。如果你不能从内网的设备访问互联网,参见 接下来的 章节&NAT/路由模式安装的故障诊断与排除”。15 F5:;RTinEr ____________________________________________________________________ NAT/路i模式安装的故障诊断与排除 面临的问题 你已经创建了运行于 NAT/路由模式下 FortiGate 设备,专有网络中的设备不能 连接到互联 网。FortiGate Unit in NAT/Route mode解决方法使用以下步骤查找并修复内网用户不能访问互联网的问题。 1?查看内网的 PC 设备与 FortiGate 设备的物理连接,以及 FortiGate 设备与 ISP 提供 网口的物 理连接性。设备运行面板工具会显示 FortiGate 设备网口的连接性(进16 F5:sRTinEr ____________________________________________________________________ 入 & 系统管理& 面板 & 状态)?2. 查看下 ISP 提供的网口或连接设备是否能够正常工作。3?确认你可以连接到 FortiGate 设备的内部接口。 例如 , 在 Web 浏览器中键入 FortiGate 设备 Web 管理器的连接 IP 地址 (https://192.1681.99 X 可以登录到基于 Web 的管理器。从内部网络的一台 PC 上,Ping 内部接口(输入命令,如 ping 192.168.1.99 X 如果你连接不到内 部接口,查看下 PC 的 IP 配置,并确认下所有的 网络设备,例如交换机设备,都 已经通电并在运行状态。你能够连接到内部接口后,参考 下一步骤。4. 查看 FortiGate 设备接口连接到内部网络的配置。 5. 查看 FortiGate 设备的接口连接到互联网的配置,确认地址模式是正确的。 如果地址模式是手动,确认 IP 地址与掩码是正确的。 如果地址模式是 DHCP,参见上一节中如果这样的配置运行不通怎么办?6. 确认 FortiGate 设备到互联网的连接是通的,你可以访问 FortiGate 设备的命令行 CLI,使用execute ping 命令,访问互联网中常见的域名。你也可以使用 execute traceroute 测试连 接性的问题。7. 查看 FortiGate 设备与内网中 PC 的 DNS 配置 。 你通过 Ping 与 traceroute 命令校验 是否 DNS错误。如果 FortiGate 设备的名称不能被解析或者内网 PC 连接不到一个 DNS 服务器,你应 该确认 DNS 服务器的 IP 地址是否显示且正确。例如: ping www.fortinet.comping: cannot resolve www.fre.com: Unknown host8. 查看安全策略配置。F5:sRTinEr ____________________________________________________________________ 进入 Policy〉策略 & 策略,并校验从内部接口到 wanl 的安全策略已经添加。查 看计数栏 目确认策略正在处理流量。查看策略的配置以确定与以下配置相同, 启动 NAT 并使用目标 接口:17 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作Internal All Wan1 All always ANY ACCEPT 看 静 态 路 由 配 置 。9. 查进入路由& 静态 &静态路由,并校验默认的路由是正确的。进入路由 & 当前路 由& 路由监 控表并查看路由监控并确认默认列表中显示的默认路由是静态路由。 确认默认路由后,你 还应该查看至少两条连接的路由,其中一条是对连接的 FortiGate 设备接口设置的。10. 不启动 web 过滤选项。如果你在安全策略中启动了 web 过滤选项,可能会导致对你正在试图访问的 网页连接 的阻断。发生的这种现象的原因很多。如果不启动 web 过滤,你可以通 过浏览器访问互联 网,策略中启动 web 过滤选项可能会阻断你正在访问的网站。 发生这样的阻断情况,可能 是你要访问的网页是在默认的 web 过滤列表中。也可 能是 FortiGuard web 过滤对网站的过 滤发生了分类错误。网页分类错误发生的 F5:sRTinEr ____________________________________________________________________ 原因也很多,其中不能访问 FortiGuard web 过滤评级也是原因之_。进入 UTM Profiles&web 过滤器&Profile,在默认设置中选中&增强型过滤器&分类出错 时允许访问网站〃的选项,可 以修复这个问题。 还有其他方法你可以尝试的是: 核查连接到 FortiGate 设备的 WAN1 接口的 IP 地址。确定内部网络是通的情况 下,你 可以使用内网中的 PC 机,使用 Ping 命令,连接 FortiGate 设备的 WAN1 接口(例如 ping 172.20.120.12 X 如果 WAN1 接口启动了管理访问选项(进 入系统管理 & 网络 & 接口,编18 辑 WAN1 接口启动管理访问),那么就会对 Ping 产 生响应。如果你连接不到 wan1 接口, FortiGate 设备是不允许内部网络与 wan1 接口之间发生通信会话的。 请验证 ISP 提供的网关连接是否正常。不更改网络配置部署 FortiGate 设备(透明模式)面临的问题如何在不更改网络配置的情况下 , 部署连接 FortiGate 设备 , 提供对私有网络的 安全防御。 私有网络是通过执行 NAT 功能的路由连接到互联网的。这样的部署方式在不取代路由器的同时增加网络安全防御。FortiGate 设备应该 阻断从互 联网到私有网络的访问,但允许私有网络的用户连接访问互联网。 FortiGate 设备同时也应该监 控应用的使用情况并发现以及移除病毒。19 解决方法参见视频:http://docs.fortinet.com/cb/inst1.html 在内网与路由器之间部署 FortiGate 设备运行于透明模式。在 FortiGate 设备中添 加一条 安全策略允许内网中的用户访问互联网,并对该安全策略启动病毒扫描与应 用控制功能。不需 要做任何的网络更改,除了提供到 FortiGate 设备的管理 IP 地址。 切换到透明模式后,NAT/路 由模式下所作的配置更改,大部分都将被删除。如果你 想保留 NAT/路由模式下配置,需要使用 系统信息页面的面板工具对配置进行备份。1. 将内网中的一台 PC 与 FortiGate 设备的内部接口连接。 2. 启动 PC 机与 FortiGate 设备。20 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ T_ _ _ _ _ _ _ _ _ _ _ _ _ m _ _ _ _ 3 I _ _ _ _ m _ _ _ _ ; , ; F l JT _ _ _? 胳 M晡 猫葙 油绨 卸C P JS L C S J ? # ,筘 瞰摄3UFortiGatewTwebsDHCPmIps iit,sf4 & 1 § : _ | ] https://19216p°L99 # ? & lp }5 I E a yt l i ] d i n, a &彐 峨 l 骱 咖 。||操作模式 管理 IP/掩码 透明10.31.101.40/255.255.255.0n 淋10.31.101.100 。 「 筘 丨 屮。珐馨19zl6p°lo/255.255.255oH&J_iiJ:回
6.sf'?Jhttps://lp3L10L4° uwTweb a。晡 猫 s 钿 到 。峨 l#ilytaaPCSIPsiihM^^10.31.101o/255.255.255o &DNS , M NS D ^ T J J W CA | S & i铆 绺 晡 喵a &谳 昂 : 此 讲 翌 爵 , H 苷谳 昂浙 s 。H 苷镟屮谳 昂珊镟油& w w u l H A I i ^ apoiaApolicyv&Internal&B Ss I回,W源接□/区域 源地址 目标接□/区域菊 。aWanl&S 标地址 m 画always ANY服努42
动作ACCEPT9.点击 UTM ,选中启动反病毒与启动应用控制选项。F5:5RTinET10. 点击 OK 保存安全策略的配置。 11. 关闭 FortiGate 设备。 12. 将 FortiGate 设备部署在网络与路由器之间。wani 碥 iInternal N 将 FortiGate 设备的 wan1 接口与路由器的内部接口连接。将内部网络连接到 FortiGate 设 备(例如 FortiGate - 60C )的内部接口。如果内网网络只有五台设 备组成,那么这些设备 都可以内部接口连接。13. 启动 FortiGate 设备。43 F5:;RTinEr结果从内网中一台 PC 上打开 Web 浏览器并访问任何的互联网网站。你也应该可以使 用 FTP 或任 何其他协议或连接都可以访问互联网。 进入 Policy〉策略 & 策略,查看安全策略的&计数〃栏,你可以校验所添加的安 全策略是 否应用于所处理的流量。 进入 Plicy&监视器 &会话状态,查看 FortiGate 设备正在处理的会话。多数会话源地址应该在 192.168 A 0 地址网络。多数会话的源 NAT IP 地址应该是172.20.120.14(或添加到 WAN1 接口的 IP 地址 X 政策 ID 应该是 1 ,这是默认的允 许用户在内部网络连接到互联网的安全策略。 进入 Policy&监视器 & 策略状态中,你还可以查看到每条策略处理的活动会话图。 因暂时 这里只有一条策略,图中只有一个条目。你可以选中策略 1 的栏目条根据源 地址、目标地址、 目标端口 /服务,查看会话。 会话中顶部的栏目是一个工具条,你可以下拉查看当前会话的详细信息。其他栏 目工具可 以用于显示会话历史、流量历史,以及基于每个 IP 的带宽使用率情况。44 F5:sRTinEr ____________________________________________________________________ 如果 FortiGate 设备运行于透明模式,且部署在 DHCP 服务器与 PC 之间,且通过 DHCP 获 取 IP 地址;你必须添加一条安全策略允许 DHCP 服务器通过 FortiGate 设备 对 DHCP 客户端的 请求做出回复。内网到 wanl 的策略允许客户端从服务器进行 DHCP 请求,但是从服务器发出的 请求应答是一项新的会话,不是对原始请求的典 型响应,因此 FortiGate 设备不接受这样的会 话,除非你对 WAN1 设置一项策略, 将服务选项设置为 DHCP。如果你从内部网络中可以访问互 联网,那么你的配置就 是成功的。如果不能访问,参见以下章节&透明模式安装的故障诊断与 排除〃解决 问题。透明模式安装的故障诊断与排除 面临的问题 你完成了基于的 FortiGate 设备透明模式配置部署,但是没有流量通过 FortiGate 设备。45 解决方法通过以下步骤查找并修复用户不能通过 FortiGate 设备连接网络的问题。 使用以下步骤查找并修复内网用户不能访问互联网的问题。 1?查看内网与 FortiGate 设备的物理连接,以及 FortiGate 设备与互联网的物理连接 性。设备 运行面板工具会显示 FortiGate 设备网口的连接性。2. 查看下 ISP 提供的网口或连接设备是否能够正常工作。3?确认你可以通过 FortiGate 设备的管理 IP 地址连接到内部网络接口。 从内网网络 Ping 管理 IP 地址。如果你连接不到内部接口,查看下 PC 的 IP 配置, 并确认 下所有的网络设备,例如交换机设备,都已经通电并在运行状态。你能 够连接到内部接口 后,参考下一步骤。4?确认 FortiGate 设备到互联网的连接是通的,你可以访问 FortiGate 设备的命令行46 F5:;RTinErCLI,使用 execute ping 命令,访问互联网中常见的域名。你也可以使用 execute traceroute 测试连接性的问题。5. 查看 FortiGate 设备与内网中 PC 的 DNS 配置。你通过 Ping 与 traceroute 命令校验 是否 DNS错误。如果 FortiGate 设备的名称不能被解析或者内网 PC 连接不到一个 DNS 服务器,你应 该确认 DNS 服务器的 IP 地址是否显示且正确。例如: ping www.fortinet.com ping: cannot resolve www.fre.com: Unknown host6. 查看安全策略配置。进入 Policy&策略 & 策略,并校验从内部接口到 wan1 的安全策略已经添加。查 看计数栏目确认策略正在处理流量。查看策略的配置以确定与以下配置相同: 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Wan1 All always ANY ACCEPT7. 进 入 系 统 管 理 & 网 络 & 路 由 列 表 , 确 认 默 认 列 表 中 显 示 的 默 认 路 由 是 正 确 的 。8. 不启动 web 过滤选项。 如果你在安全策略中启动了 web 过滤选项可能会导致对你正在试图访问的网页 连接的阻断。发生的这种现象的原因很多。如果不启动 web 过滤,你可以通过 浏47 F5:;RTinEr ____________________________________________________________________ 览器访问互联网,策略中启动 web 过滤选项可能会阻断你正在访问的网站。发生 这样的阻 断情况,可能是你要访问的网页是在默认的 web 过滤列表中。也可能是 FortiGuard web 过 滤对网站的过滤发生了分类错误。网页分类错误发生的原因 也很多,其中不能访问 FortiGuard web 过滤评级也是原因之_。进入 UTM Profiles&Web 过滤器&Profile 中,在默 认设置中选中高级过滤请启动&分类错 误发生时允许网站访问〃的选项 , 可以修复这个问题 。 9?校验下你可以连接到网关(ISP 提供的 X 从内网中的 PC 中 Ping―下默认网关的 IP 地址。 10.确认 FortiGate 设备可以连接到 FortiGuard 网络。 产品注册激活服务后,FortiGate 设备可以从 FortiGuard 网络获取反病毒、应用 控制与其 他的服务更新。FortiGate 设备必须通过其管理 IP 地址连接到网络。如 果以下的测试提供 了错误的结果,请确认 FortiGate 设备的默认路由是正确的。 查看你的互联网防火墙,确 认从 FortiGate 设备管理 IP 到互联网的连接。首先从服务信息面板工具中确认所有的 FortiGuard 服务是否与你所购买的服务 项目一致。 FortiGate 设备是通过与 FortiGuard 网络的连接确定服务信息的。进入系统管理 & 配置&FortiGuard。开启网页过滤与邮件选项并选中&连接可 用性测试〃。 约一分钟左右,基于 web 的管理器界面将显示连接成功信息。 11?查看 FortiGate 设备的桥接表。桥接表是与 FortiGate 设备处于相同网络的设备的 MAC 地址列表,以及每台设备48 F5:sRTinEr ____________________________________________________________________ 中的与 FortiGate 设备连接的接口。FortiGate 设备依赖该列表转发数据包。如果 一台具体 设备的 MAC 地址被获取添加到了桥接表中,那么到达该 MAC 地址的数 据包将被阻断。这表示数据 包去向该 MAC 地址,但是没有回复的流量产生。这 种情况下,查看桥接表确定桥接表中添加的是 正确的 MAC 地址。通过以下 CLI 命令查看与根 VDOM 联动的桥接表。 diagnose netlink brctl name host root.b show bridge control interface root.b host. fdb: size=2048, used=25, num=25, depth=1 Bridge root.b host table port no device devname mac addr ttl attributes 3 4 wan1 00:09:0f:cb:c2:77 88 3 4 wan1 00:26:2d:24:b7:d3 03 4 wan1 00:13:72:38:72:21 98 4 3 internal 00:1a:a0:2f:bc:c6 6 1 6 dmz 00:09:0f:dc:90:69 0 Local Static 3 4 wan1c4:2c:03:0d:3a:38 81 3 4 wan1 00:09:0f:15:05:46 89 3 4 wan1 c4:2c:03:1d:1b:10 02 5 wan2 00:09:0f:dc:90:68 0 Local StaticF5:;RTinEr ______________________________________________________________的设备。也就是说该设备没有连接或没有启动。请查看设备的连接是否正常。当前固件版本验证与升级 面临的问题 Fortinet 公司发布了新的 FortiOS 操作系统版本。你想查看下当前所管理的 FortiGate 设备运行的固件版本以及如果将固件版本升级到当前最新发布的版本状如果你的设备的 MAC 没在桥接列表中,FortiGate 设备就是没有在网络中发现你49 解决方法通过基于 Web 的管理器或 CU 都可以查看当前的固件版本。从 Fortinet 客户支持 F5:sRTinEr ____________________________________________________________________ 中心网站下载最新的固件版本,并通过基于 Web 的管理器安装固件版本。 Fortinet 客户支持中心网站中列出了所有可用的固件镜像。在访问这些镜像之前, 你必须先 进行 FortiGate 设备注册,参见 http://support.fortinet.com,点击产品 注册。在安装新的固 件版本之前,请先查看下发布说明。发布说明中提供了推荐的 升级路径以及一些其他技术文件中 没有说明的信息。只在维护窗口下执行固件升级。 1.登录基于 Web 的管理器,查看系统信息面板中当前的固件版本。通过 CLI,输入 以下命令也可 以查看,首先显示的是当前的固件版本: get system status Version: Fortigate-60C v4.0,build (MR3 Patch 1) Virus-DB: 11.-05-04 13:32) Extended DB: 0.-03-16 10:31) IPS-DB: 3.-05-18 15:09) FortiClient application signature package: 1.421( 10:19) Serial-Number: FGT60C3G50 BIOS version:
Log hard disk: Need format Internal Switch mode: switch Hostname: FGT60C3G Operation Mode: NAT Current virtual domain: root Max number of virtual domains: 1051
FUJTIrlmT _________________________________________________________________________Virtual domains status: 1 in NAT mode, 0 in TP mode Virtual domain configuration: disable Flps-nn mode: disable nurrent HAmode: standalone l l a a n m o l e i n Distribution: I + + Branch point 458 3 Patch 1 O P release Version Information: M 2 1 1 0 System time: Wed Sep M
2.sf'?Jhttp://supportfortinetcom-H i?s& l a r D ; H回 钭^ a ! # 回h 。,、
A .i a 4 H #郝 。#&FortiGate^ -1FortiGate/&4.00/4.0MR3/MR3―patch―l \s m i . T 6 . 7 H 泔 涵 瘫 铒 姊 讲 筘 。 钭 回 。 回? s #s 餐 | N S S s l H i钭 。p° A S 9.i铆 h 猫
F5:sRTinEr ___________________________________________________________________10. 在 系 统 信 息 &固件版本,选中&更新〃。11. 找到之前存放下载固件版本的地址,点击 OK 上传并安装固件。结果FortiGate 设备上载固件镜像文件,并进行更新,更新后重启设备,显示登录页 面。整个 升级过程花费几分钟的时间。从 FortiGate 设备基于 Web 的管理器中,进 入系统管理 & 面板 & 状态,显示更新后的版本号(或是使用 CLI 命令 get system status X如果配置运行不通怎么办?可能的一个原因是通过基于 Web 管理时上载固件镜像不当。如果是这个原因, 你会发现 FortiGate 设备没有启动,或连续的重启。 这时最好通过 CLI 在重启时重新执行固件安装。该操作将安装新的固件镜像并重新启 动 FortiGate 设备恢复到默认的设置。该操作下,你必须通过 console 口与一根 RJ45 的线连接到 CLI。Installing FortiGate firmware 什 om a TFTP server 从一个 TFTP 服务器安装 FortiGate 固 件 F5:sRTinEr ___________________________________________________________________ FortiGate 设备的管理接口属于同一个子网。 1?通过一根 RJ-45 到 DB-9 的线连接到 CLI。 2. TFTP 服务器处于运行状态且将固件镜像拷贝到服务器上。 3?输入以下命令重新启动 FortiGate 设备。该操作需要一个你可以从 FortiGate 设备连接的 TFTP 服务器。TFTP 服务器应该与53 execute reboot4. 标示符弹出是否要重新启动 FortiGate 时,点击 Y 确认。 5. FortiGate 设备重新启动时,会显示一系列的系统启动信息。当以下信息显示时:Press any key to display configuration menu.......... 立即按下任何按键中断 系统启动。 你只有三秒钟的时间按任意键的机会。如果你没有及时按键,FortiGate 设 备将会继 续启动,那么你需要登录后重新进行重启动作 如果你成功的中断了启动过程,类似以下的信息 将显示(根据 FortiGate 设备 BIOS 的版本不同,显示信息略有不同): [G]: Get firmware image from TFTP server.[F]: Format boot device.[B[: Boot with backup firmware and set as default[C]: Configuration and information[Q]: Quit menu and continue to boot with default firmware.[H]: Display this list of options.Enter G, F, Q, or H:6. 键入 G,从 TFTP 服务器找到新的固件镜像。 7. 提示符弹出时,输入 TFTP 服务器的 IP 地址以及本地 FortiGate 设备的 IP 地址。该地址可以是与接口连接的网络的任何一个 IP 地址。确定你输入的地址不是该网 络中其 他设备的 IP 地址。 F5:;RTinEr ____________________________________________________________________8. 输入固件镜像文件名并按回车键。TFTP 服务器上载固件镜像文件。9. 当提示是否保存当前固件为默认的固件时,键入 D 将上传的镜像作为默认镜像。 FortiGate设备安装新的镜像并重新启动。 使用本方法上传固件时,现有的配置被恢复为默认值。你需要重新配置 IP 地址并 从系统 面板中的信息中上载配置文件。54 FortiGuard 服务连接及故障诊断与排除面临的问题你要确认所管理的 FortiGate 设备是在正常接收 FortiGuard 服务。你同时也想知 道如果 IPS 更新、网页过滤或邮件过滤不能生效的时候,如何确定问题所在。55 FSIERTinET解决方法 如果你已经购买了 FortiGuard 服务且已注册激活了服务,FortiGate 设备将会 自动连接 到 FortiGuard 分布式网络(FDN : FortiGuard Distribution Net)并会显 示所购买 FortiGuard 服务的激活授权信息。从授权信息面板工具中校验 FortiGate 设备是否与 FDN 网络正在通信。 FortiGate 设备自动连接到 FortiGuard 网络查证 FortiGuard 服务。Support ContractRegistration Hardware Rrmvrarc Enhanced Support Comprehensive Support FortiGuard Services Registered (Login ID: -~~mm0O G O 0 0K)[ Login Now J8x5 support (Expires: ) 8x5 support (Expires: ) 8 x S support (Expires: S) R x 5 s 叩 port (Expired: ) Licensed (Expires ) 12.520 12.520 (Updated ) [Update] (Updated )AntlVirus AV Definitions Extendedset Intrusion Protection IPS Definitions Web Filtering Email Filtering Analysis & Management Service Services Account ID Virtual Domain VIKJMs Allowed Endpoint Security FortiClient Software l/Vindows InstallerLicensed (Expires & 2.00888 (Updated )【Update] Licensed (Expires ) Licensed (Expires ) Expired [Renew]o 0004.1.3 (Updated ) [Download]License Information 在所订购的 FortiGuard 服务旁应显示有绿色标记,表示连接是通的。灰色的打 叉(X )显示说 明 FortiGate 设备没有连接到 FortiGuard 网络,或 FortiGate 设备没有进行注册。红色打叉(X )显示说明 FortiGate 设备之前可以连接到 FortiGuard 网56 F5:;RTinEr ____________________________________________________________________络,但是订购的服务已经过期,或服务没有被激活。通过以下步骤可以进行 FortiGuard 服务连接的故障诊断1. 确认你已经将 FortiGate 设备注册,且拿到所订购的 FortiGuard 服务的授权信息, 或所购买的 服 务 已 激 活 且 在 有 效 期 内 。 这 些 信 息 你 都 可 以 在 Fortinet 服 务 支 持 网 站 (https://support.fortinet.com/ )查询并得到确认。2. 查看 FortiGate 设备中 FortiGuard 服务的状态。从授权信息面板中或进入系统管理&配置&FortiGuard ,可以查看 FortiGuard 服务的状态。 授权信息面板中显示的信息应与你登录 Fortinet 服务支持网站显示 的信息一致。如果不一 致说明 FortiGate 设备与 FortiGuard 网络之间的通信存在 问题 。 你也可以进入系统管理 & 配 置&FortiGuard 查看连接状态。57 F5:5RTinET3. 校验确认 FortiGate 设备可以与互联网之间通信。如果与互联网之间的通信没有 问题,那么FortiGate 设备即可与 FortiGuard 网络通信。4. 进入路由&当前路由&路由监控表(NAT/路由模式下),或进入系统管理&网络& 路由表,查看是否有默认的路由且配置正确。5. 进入系统管理&网络&DNS ,并确认 ISP 所提供的主次 DNS 服务器是正确的。 FortiGate 设备是使用域名,而不是 IP 地址与 FortiGuard 网络连接的。如果 FortiGate 接口通过 DHCP 获取 IP 地 址连接到互联网,那么你需要确认&改变内
PDNS&选项是启动的,这样 FortiGate 设备才能够 通过 DHCP 直接获取其 DNS 月服务器 IP 地址。6. 执行 execute ping 命令确认 FortiGate 设备可以连接到 DNS 服务器。58 F5:;RTinEr ____________________________________________________________________7. 你也可以通过 FortiGate 设备 CL 膀口,用 CLI 命令测试 FortiGate 设备与互联网的 连接,例如: execute traceroute www.fortiguard.com 如果执行以上命令后,依然找不到 www.fortiguard.com 的 IP 地址,说明 FortiGate 设备连 接不到配置的 DNS 服务器。8. 确认至少一条安全策略中包含了反病毒。如果没有一项安全策略中设置了反病毒,那么反病毒数据库可能不能被更新。9. 校验 FortiGate 设备能够与 FortiGuard 网络通信。进 入 系 统 管 理 & 配置&FortiGuard&反病毒与 IPS 选项,你可以点击更新,立 即更新反病 毒与 IPS 数据库。几分钟后,你可以校验更新是否成功。10. 进入系统管理 & 配置&FortiGuard&网页过滤与邮件过滤选项,点击可用性测试, 测试网页过滤与邮件过滤查询服务的可用性。 如果测试不可用,试着更改网页过滤与邮件过滤查询使用的端口。FortiGate 设 备使用端口 53 或 8888 与 FortiGuard 网络通信,一些 ISP 可能设置屏蔽了这样的 端口。11. 判断下是否有任何可能来自网络或 ISP 网络中的上游的流量可能阻断了 FortiGuard 流量。一些防火墙在默认的情况是阻断所有端口的,且 ISP 经常会屏 蔽较低的端口(例如端口 53 X FortiGuard 默认的情况是使用端口 53,―旦该端 口被阻断,你需要开启端口,或更改 FortiGate 设备使用的端口。12. 更改 FortiGuard 的源端口。有可能之前用于与 FortiGuard 网络通信的端口,在到达 FortiGuard 之前,或到59 F5:;RTinEr达后通信返回到 FortiGate 设备之前,端口被更改了。对于此种情况可能的解决方案是在 NAT 防火墙上设置固定的端口以保证端口的 同一性。 FortiGate 设备通过特有的源端口 1027 或 1031 与目标端口 53 或 8888 发 送 UDP 数据包与 FortiGuard 网络建立通信。FDN 回复具有目标端口为 1027 或 1031 的数据包。 如果你的 ISP 服务商阻断了这个端口范围的 UDP 数据包,FortiGate 设备便接收 不到从 FDN 返回的数据包。你可以对 FortiGate 设备设置使用一个不同的源端口 范围。如果 ISP 阻断了 较低范围的 UDP 端口( 1024 左右的端口),你可以配置 FortiGate 设备使用较高的端口例 如 2048 - 20000 ,使用以下命令: config system global set ip-src-port-range
end 可能需要反复实验才可以选择到最佳的源端口范围。你也可以与 ISP 联系以确 定最佳的使 用范围。 13?显示 FortiGuard 服务器列表。 使用 webfilter status CLI 命令显示 FortiGate 设备不能连接到的 FortiGuard 服 务器列表。该命令应该可以显示不止一个服务器。60 F5:5RTinETget webfilter starus Locale : english License Expiration Hostname =-Server List (Wed Sep 14 14:39:46 2011) IP 69.20.236.179 174.137.33.92 208.91.112.196 9.20.236.180 209.222.147.36 66.117.56.42 6.117.56.37 69.20.236.182 69.195.205.101 80.85.69.37 80.85.69.41 80.85.69.40 2.209.40.72 208.91.112.194 lie.58.208.39 Weight: 30 0 0 30 30 30 30 30 30 80 80 80 90 118 160 RTT Flags 3 91 62 4 22 24 24 4 32 85 85 88 109 128 DI 276 TZ -5 -8 _3 -5 -5 -5 -5 -5 -5 0 0 0 1 -8 8 Packets Curr Lost Total 4 0 146 0 9 0 B792 0 37 93 0 0 0 4 0 1 0 5 0 Lost 9 7 9 11 9 10 7 27 17 21 25 8 3912 22Contract Thu Oct 9 02:00:00 2012 service.fortiguard.netHostname 是 FortiGate 设备试图连接的 FortiGuard 服务器的名称。服务器列表 显示如果第一个 服务器无法连接后的其他可选的服务器的 IP 地址。本示例的说明 中,IP 地址都是非公共地址。 在使用 get webfilter status 命令后,以下的标记分别表示了服务器的不同状态: D -通过主机 名称的 DNS 查询后发现了服务器。如果主机名称返回了不止一个 IP 地址,所有的 IP 地址都具有 D 的标记,在向下使用其他服务器之前,先将使用第 _tINIT 请求。 I -服务器向哪个最后的 INIT 发送了请求。(the server to which the last INIT request was sent.)F-服务器对请求没有发出响应,通常认为该服务器已失效。 T -正在确定 连接到当前服务器的时间。61 F5:;RTinEr在 FortiGate 设备中建立管理帐户面临的问题你想在 FortiGate 设备中建立一个新的管理员帐户,且具有超级管理访问所有功 能的配置权 限。你还应该能够鉴别多个独立的管理员,而不允许多人共用 admin 账 户。Internet解决方法创建一个具有超级管理员权限的管理帐户,能够全权访问所有的 FortiGate 功能 配置。1. 进入系统管理 & 管理 & 管理员,点击&新建〃,创建以下管理员选项:62 F5:5RTinET管理员名称 类型 密码 确认密码 管理选项 2?点击 OK 保存设置。 Terry_White 常规 输入密码 再次输入密码 super_admin管理员名称与密码是区分大小写的。创建的名称与密码中不能设置含有&& 0# ” 的字符。 在第一个字符或最后一个字符允许设置含有空格。名称或密码中的空格设 置经常会出现混乱,且 在 CLI 中的使用名称需要使用引号。 管理员选项表示使用 Web 管理器或 CLI 可以查看或配置 FortiGate 设备的权限。 你可以添 加多个选项,并根据其使用 FortiGate 设备从事的工作与任务,对用户与管 理器配置使用不同的 选项。结果使用 Terry_White 管理员名称和密码登录 FortiGate 设备。作为一个管理员,你 可以查看 所有的基于 Web 管理器的页面以及对全部 FortiGate 配置设置进行更改。 从基于 Web 的管理器, 进入日志与报告 &事件日志,校验已发生登录活动。点击日志条目,可以查看日志详细信息。该日志显示 Terry White 从 192.168.1.163 F5:sRTinEr ____________________________________________________________________ 成功登录设备。 进入系统管理 & 面板 & 状态,查看系统信息工具。当前管理器字段显示登录的管 理员的 数量。点击&详细信息〃显示名称为 Terry White 的管理登录到设备。64 F5:5RTinETFortiGate 设备高级安装与设置FortiGate 设备可以根据各种高级的需求完成不同的部署。本章节的高级配置举 例中包括 了高级的 NAT 与透明模式下的配置、高可用性以及 VLAN 与虚拟域 (VDOM )配置说明。 本章还包括两个小节,介绍有关如何使用 FortiGate 设备数据包嗅探器抓包以及 调试工具 的使用。 本章包括一下方面的配置举例内容: n将 FortiGate 设备连接到两个 ISP 保证冗余的互联网连接 *对冗余的互联网连接配置使用调 制解调器 *通过基于使用率的 ECMP 在双互联网连接之间分配通信会话 n在 DMZ 网络中保护一 台 web 服务器 *不更改网络配置情况下使用 FortiGate 设备保护邮件服务器(透明模式) *使用接口配对以简化透明模式下安装 *不做地址转换的情况下连接到网络(FortiGate 设备运行于路由模式) *对私网中的用户设置显式 web 代理 *私有网络的用户访问互联网内容的 web 缓存建立 * 应用 HA 高可用性提高网络的可靠性 *升级 FortiGate 设备 HA 群集的固件版本65 F5:sRTinErn 使 用 虚 拟 局 域 网 (VLAN )将多个网络连接到 FortiGate 设备n使用虚拟域,在一 gFortiGate 设备实现多主机*建立管理员帐户监控防火墙活动与基本维护 ?加强 FortiGate 设备的安全性 *为内部网站和服务器创建本地 DNS 服务器列表 ?使用 DHCP 根据 MAC 地址分配 IP 地址 *设置 FortiGate 设备发送 SNMP 陷阱 *通过数据包嗅探方式(数据包抓包)发现并诊断故障 *通过数据包嗅探方式(数据包抓包)进行高级的故障发现与诊断 *创建、保存并使用数据包采集过滤选项(通过基于 web 的管理器嗅探数据包) *调试 FortiGate 设备配置*常规调试命令的快速参考将 FortiGate 设备连接到两个 ISP 保证冗余的互联网连接面临的问题如何通过 FortiGate 设备建立与互联网的连接备份,如果与互联网的主要连接发 生故障 后,一些或全部的流量自动切换到备份的互联网连接,直至主连接恢复后, 流量将自动切换回 去。66 解决方法查看视频文件:http://docs.fortinet.com/cb/inst2.html 以下的方法描述了如何通过与 两个不同的 ISP 建立互联网连接从而提高网络连 接的可靠性。本方法中主要的 ISP 使用静态 IP 连接到 FortiGate 设备的 WAN1 接口, 备份的 ISP 连接是使用 DHCP 连接到 WAN2 接口。 通过设置内网到 WAN1 接口设置安全策略 , 保证内网与互联网之间通信 。 备份 连接是通过 WAN2 到互联网的连接。 在 WAN2 接口是运行的状态下,通过对到 wan2 的连接添加安全策略,你可以分 配流量。你 也可以使用诸如流量整形这样的技术限制 wan2 接口处理的流量。你也 可以添加安全策略例如 FortiGuard 网页过滤或使用其他网页过滤技术阻断一些无 关紧要的网站的连接访问。67 F5:;RTinEr ___________________________________________________________________ 通过 wanl 配置到互联网的主要访问连接1?将 FortiGate 设备的 WAN1 接口连接到首要的 ISP 提供的连接设备。将内网与内部接口连接。Internal NetworkinternalA B A丨=nnBnnnnn waniPrimary ISP 2?从内网的 PC ,登录 FortiGate 设备基于 Web 的管理器用户名是 admin ,无密码。3. 进入系统管理&网络&接口,并点击&编辑”wan1 接口,更改以下选项:68 地址模式设置 IP/掩码设置F5:5RTinET 172.20.120.14/255.255.255.0自动4.编辑内部接口并更改以下设置:69 F5:5RTinET地址模式设置 IP/掩码设置 自动 172.20.120.99/255.255.255.05.进入路由&静态&静态路由,点击&新建〃设置以下默认路由:目标 IP/掩码 设备接口 网关0.0.0.0./ 0.0.0.0 wan1 172.20.120.26?进入系统管理& 网络&DNS,并添加主次 DNS 服务器。7. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许专有网络用 户访问互联网。一些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的 是该型号 的设备,在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Wan1 All always ANY ACCEPT8?点击&启动 NAT”与&使用目标接口地址”。 9.点击 OK 确认保存安全策略。70 配置 wan2 接口添加备份互联网连接 1?将 FortiGate 设备的 WAN2 接口连接到备份的 ISP 提供的连接设 备。 2?登录到基于 web 的管理器。 3?进入系统管理& 网络 & 接口,并点击&编辑”wan2 接口。F5:5RTinET4.将地址模式设置为 DHCP ,并选中&从服务器中重新得到网关〃。勾上&改变 内部 DNS”。5. 点击 ok 保存设置。如果以上的配置正确,wan2 接口应从 ISP 的 DHCP 服务器获取一个 IP 地址。这个 过程可能需 要几分钟的时间,您可以点击&状态〃连接刷新显示。最后会显示 &IP/子网地址已获得〃。如 果 ISP 的 DHCP 服务器提供了 DNS 服务器 IP 地址,那 么默认的网关也会显示。 确认&从服务器中重新得到网关〃已选中,路由表中才会出现默认的路由。正常 的双重互联网 连接 , 你不需要选中&改变内部 DNS”,因你不希望 FortiGate 设备 使用备份的 ISP 的 DNS 服务器 。71 FSIERTinET nt6「n3 Networkinterna.:V: : : : : Backup ISP6. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许私有网络用 户访问互联网。有些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的是该 型号的设备, 在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。wan2wan 172 F5:5RTinET源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Wan2 All always ANY ACCEPT 8.点击 OK 保存安全策略。7?选中&启动 NAT”与&使用目标接口地址〃。设置到 wanl 的默认路由为首选的默认路由并对 wanl 与 wan2 添加 ping 服务器 该配置的结果是 FortiGate 设备将具有两条默认路由,一条将流量指向 wanl ,另 _条将流量 指向 wan2。默认到 wan2 的路由是从备份的 ISP 的 DHCP 服务器获得。 Ping 服务器的作用是校验 wanl 与 wan2 接口到互联网的连接。 因 wan2 默认的路由是通过 DHCP 从 ISP 获得的,默认的路由必须通过编辑 wan2 接口更改。 1.进入路由&静态&静态路由,点击&编辑”wan1 默认路由,点击高级选项, 设置路径为 10。73 路径值通常已经设置为 10 ,因此你不需要更改。 2?进入系统管理& 网络&接口,编辑 wan2 接口并设置距离为 20 (或胃哂 10 的 路径值)。 3?确定 FortiGate 设备正在使用的是哪一条路由,进入路由 & 当前路由& 路由监控表, 查看当前 的 FortiGate 设备的路由表。没有激活的路由不在路由监控中显示。在 以下举例中,应只显 示一条静态路由:wanl 默认路由。该路由的距离应为 10。 连接的接口的路由也应该显示。F5:;RTinErType: All i : Type Subtype Static Connected Connected ConnectedNetwork: Network 0?0.0?0/0 10.41.101.0/24 172.20.120.0/24 192.168.1.0/24 Distance 10 0 0 0 Metri c0 0 0 0Gateway: Gateway 172.20.120.2 0?0.0?0 0?0.0?0 0.0.0.0 Interface wanl wan2 wanl internal如果编辑 wan2 接口并将距离值设置到较低的值(例如说 5 ), wanl 默认路由 将从路由监 控中被删除,并以 wan2 默认路由代替(因为 wan2 路由具有较低的路由 距离值)。通过将路由 距离值设置为相同的数值(例如 10 ),那么路由监控将保持 有两条路由。当两条路由具有相同 的路由值时,也就是&等价路由”(ECMP:equal cost multi path ),路由将同时被使用。流量会 话将在二者之间相互平衡。 4?进入路由 & 静态 & 设置,并点击&新建〃,添加 wan1 ping 服务器: 接口 Ping 服务器 检测协议 Ping 间隔(秒) Wan1 172.20.120.2 ICMP Ping 5故障恢复值55?点击&新建”,添加 wan2 ping 服务器。该配置中 wan2 Ping 服务器是可选项。74 FS::RTinET但是,添加 wan2 ping 服务器意味着 FortiGate 设备将在 wan2 ping 服务器不能 到达其目的 地时启动记录日志信息。 接口 Ping 服务器 检测协议 Ping 间隔(秒) 故障恢复值 Wan2 l0.4l.l0l.l00 ICMP Ping 5 5结果如果 wanl ping 服务器可以连接到其 ping 服务器 IP 地址 , 路由监控将显示以上 所示到 wanl 接口的默认路由。所有到互联网的流量都会通过 wanl 接口适用内网到 wanl 安全策略。你可以进 入 Policy&策略 & 策略,查看路由监控,检验路由;并可 以点击&计数〃显示路由的详细信息。 如果你更改了网络配置,wanl ping 服务器不能连接到其 ping 服务器 IP 地址, (例如,断 了 wanl 接口的物理连接),默认的路由将更改为 wan2 接口(也称为默 认路由故障):75 FS ::RTinET Type: . Ail T: Network:Type Subtype Static Connected Connected Connected Network 0.0.0.0/0 10.41.101.0/24 172.20.120.0/24 192.168.1.0/24 Distance 20 0 0 0 Metri c0 0 0 0Gateway: Gateway 10.41.101.100 0.0.0.0 0?0.0.0 0.0.0.0 Interface wan2 wan2 wanl internal一条类似如下日志信息将被记录:
10:16:39 log_id= type=event subtype=system pri=critical vd = root interface= wan1 status=down msg = &Ping peer: (172.20.120.14- &172.20.120.2 ping-down)& Wan2 链接在激活的状态下,测试内网到互联网的连接。如果连接可用,说明 双路互联网连 接配置是正确的。查看安全策略计数栏目中内网到 wan2 的策略。计 数栏目应该是增加的状态, 表明该策略正在接收流量。 当你恢复 wan1 接口的连接时,ping 服务器应该可以检测到网络流量已恢复且路 由表应还原 为包括 wan1 默认路由。所有新的会话将使用内部接口到 wan1 的安全策 略。已建立的会话将使用 内部接口到 wan2 安全策略且会持续使用该策略,直到会 话超时。但是,所有新的会话将使用内 部接口到 wan1 的安全策略。 故障恢复过程中向外的会话与其回复在重新开始,因一个接口发出的流量,其回 应不会从其 他接口返回。 故障恢复过程中,在故障恢复之前发生的从 wan1 接口接收的通过防火墙 VIP 安 全策略的向内 的会话在故障恢复之后可能从 wan2 接口发出。服务器发起的出站会M M76 F5:sRTinEr ____________________________________________________________________ 话以及已发出的 VIP 安全策略会根据将会话发出到互联网的接口信息修改其源 IP 地 址。如果 wanl 链接故障,向外的 VIP 会话将自动转向 wan2。这些会话的源地址将 根据防火墙 VIP 中的 定义进行修改。 如果你可以从内部网络访问互连网,那么配置是成功的。更改冗余互联网连接配置使用 ECMP本章节所述的基本冗余互联网连接情况在多数网络状态下都是可用的。为了更 有效的提 供默认路由故障恢复的能力且在主 ISP 故障后能够快速恢复进入的流量连 接,你可以使用等价 路由(ECMP )恢复连接。 你可以通过对两条路由设置为相同的路由距离值,到主要 ISP 的默认路由的优先 级要低于 到备份 ISP 默认路由的优先级,从而实现冗余互联网连接的基于 ECMP 配置 场景。通过以下步 骤修改配置。 因 wan2 默认路由是使用 DHCP 从 ISP 获取地址,wan2 默认路由的优先级必须使 用 CLI 编 辑 wan2 接口。1. 进入路由&静态&静态路由,并点击&编辑〃,编辑 wanl 默认路由。 2. 点击&高级设置〃并将距离设置为 10 ,优先级设置为 5。 3. 使用以下 CLI 命令编辑 wan2 默认路由的距离与优先级:config system interface edit wan2 set distance 10 F5:;RTinEr ____________________________________________________________________ set priority 20 end 因为 wanl 默认路由的优先级是最低的,将被认为是最佳路由,所有来自私有 网络的流 量都将使用 wanl 接口路由到互联网。当 wanl 与 wan2 使用不同的距离值,来自互联网的流量只能由具有最低路由距 离值的77 接口( wanl)做出响应。如果互联网中的一个用户通过 wanl 建立了一条到 内网的访问链接, 如果 wanl 到互联网的连接故障后,该用户所建链接将G失。短 暂的访问中断后,用户将被自 动转向通过 wan2 接口,重新建立连接。当 wanl 互联 网连接恢复后,用户的连接将被二次中 断,因要切换回 wanl 接口。 设置 ECMP 后,两个接口都可以对从互联网进入的流量基于会话列表做出响应。 当 wanl 互联网连接故障时,用户仍然会丢失其连接,但是当连接转给 wan2 接口后, 用户的连接在 wanl 接口连接恢复之前一直在 wan2 口转发数据,且只有一次中断。使用调制解调器建立到互联网的冗余连接 面临的问题 如何通过调制解调器建立到互联网的冗余连接,以便主要的互联网连接故障时, 一些或者 全部流量能够自动切换到备份的互联网连接,也就是使用调制解调器接口78 F5:;RTinEr的拨号网络连接。当主要互联网连接恢复后,流量将自动切换回去。Primary ISPBackup ISP ternet解决方法我们在此提出使用两种互联网连接,从而提高网络连接的可靠性。主要的互联 网连接是通 过 wanl 接口,备份连接是使用_台调制解调器与 FortiGate 设备的调制 解调器接口建立的拨号 连接。调制解调器接口是 wanl 接口的备份接口,且对 wanl 接口添加 ping 服务器。当 ping 服务 器 i 识删到 wanl 接口不能连接到互联网时, FortiGate 设备将拨号调制解调器,调制解调器将 成为激活的互联网连接。 当调制解调器接口运行中,你可以通过添加到调制解调器接口的安全策略,来 限制网络流 量。你也可以通过流量整形这样的技术限制通过调制解调器接口的流量。 你也可以配置 FortiGuard 的网页过滤或其他网页过滤服务,阻断流行并不重要的网79 F5:;RTinEr站的访问。也可以通过应用控制限制通过调制解调器接口的应用。 使用 wanl 配置到互联网的主 要连接 1?将 FortiGate 设备的 WAN1 接口连接到首要的 ISP 提供的连接设备。将内网与内部接口连接。Internal NetworkinternalA B _|= illnrjBnnnnn waniPrimary ISP 2?从内网的 PC ,登录 FortiGate 设备基于 Web 的管理器用户名是 admin ,无密码。3.地址模式设置进入系统管理&网络&接口,并点击&编辑”wan1 接口,更改以下选项: rs 劢80 4. 编辑内部接口并更改以下设置: 0.0.0.0./ 0.0.0.0 接口 Wan 1 目标 IP/掩码 IP /掩码设置 172.20.120.14/255.255.255.0 自动 地址模式设置Ping 服务器 设备接口 IP/掩码设置172.20.120.2 检测协议 网关 ICMP Ping 5.进入路由&静态&静态路由,点击&新建〃设置以下默认路由: 5 6. 进入路由 &静态&静态路由,点击 &新建〃设置以下默认路由: Ping 间隔(秒)F5:;RTinET5172.20.120.2 wan 1 172.20.120.99/255.255.255.0故障恢复阀值7.进入系统管理&网络&DNS,并添加主次 DNS 服务器。8. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许专有网络用 户访问互联网。 一些型号的 FortiGate 设备,以上的安全策略是默认的配置。如果你正好使用的 是该型 号的设备,在你将 FortiGate 设备连接到内网 PC 后,就可以访问互联网了。 源接口 /区域 |81 FS::RTinET源地址 目标接口 /区域 目标地址 时间 服务 动作 All Wan1 All always ANY ACCEPT9?点击&启动 NAT”与&使用目标接口地址〃。10. 点击 OK 确认保存安全策略。配置调制解调器作为备份的互联网连接1.将调制解调器接口与一根电话线连接。 你也可以将一个 USB modem 连接到 USB 接口,或将一个扩展卡 modem 插入到 FortiGate 设 备的扩展卡插槽。在连接到外部 modem 时,你可能需要重新启动 FortiGate 设备。 2?登录到基于 Web 的管理器。82 F5:5RTinETInternal Networkinternalmilra wan1modemPrimary ISP Backup ISP3. 系统管理&网络&modem,并点击&编辑〃 modem 接口设置,然后点击&启动Modem〃,并点击&应用〃。4. 配置一 Tmodem 选项:Internal Modem (如果使用外部 modem ,选择外部 modem ) 主要 Modem模式 冗余选项 拨号方式 重置超时 重拨限制冗余 Wan1 随需 5 分钟 无83 FS::RTinET5?配置外部 modem 或内部 modem 设置。 电话号码 用户名 密码 555 555 1212 ISP_user 设置密码 击 应 用 保 存 配 置 更 改 。6. 点7. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许专有网络用户通过 modem 接口访问互联网。 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal All Modem All always ANY ACCEPT 击 启 动 N A T 与 使 用 目 标 接 口 地 址 。8. 点9. 点击 OK 保存安全策略。该配置下,如果失去与 wanl 接口的连接,modem 将自动进行拨号建立与 ISP 的 连接。如果84 F5:5RTinET连接成功,modem 接口将配置通过 PPPoE 并且路由列表中将含有默 认的路由将指向 modem 接口这样的路由。所有到达互联网的流量将使用 modem 接口。85 F5:;RTinEr ____________________________________________________________________结果你可以通过阻断 wanl 接口的连接(例如,断开 wanl 接口的物理连接)测试默 认路由故 障恢复的配置。Modem 应开始拨号,拨号连接建立后,路由监控中取代 了 wanl 默认路由,显示 modem 默认路由。你也可以通过查看内网到 modem 的安 全策略校验 modem 接口的连接。你可以 恢复 wanl 连接,查看 wanl 默认路由将恢 复在路由监控中,并校验连接性。 当 modem 拨号后,你可以从内部网络访问互联网,那么配置是成功的。如果不 能,参见& 透明模式安装的故障诊断与排除”。使用基于使用率的 ECMP 在冗余链路间分配会话 面临的问题 你的公司使用两个不同的 ISP ,以增强网络的可靠性。如何在不使用其中任何一 个超负载 的情况下,通过对两个 ISP 分配会话,更有效的利用两个互联网连接。86 FS::RTinETPrimary ISPBackup ISP解决方法使用溢出(基于使用率的等价路由。当一个互联网连接达到定义的流量水平时, 会话溢出到 另外一个连接。 1?进入策略 & 静态 &静态策略,点击新建对 wanl 与 wan2 接口添加默认路由。 配置 wanl 接口: 目标 IP/掩码 设备接口 网关 0?0?0?0?/ 0?0?0?0 wanl 172.20.120.2 1 0 。 配 置 w a n 2 接 口 :点 击 高 级 选 顶 , 设 置 距 离 为目标 IP/掩码 0?0?0?00?0?0?0?/87 FS::RTinET设备接口 网关 Wan2 172.30.120.2点击高级选顶,设置距离为 10。ECMP 启动后,两条默认路由必须设置相同的距离与优先级。2. 进入路由&静态&设置,并选中 ECMP 负载均衡方式中溢出。3?在失效网关检测下,点击&新建〃,对 wanl 与 wan2 接口添加失效网关检测。 配置 wanl 接口: 接口 Ping 服务器 检测协议 Ping 间隔(秒) 故障恢复阀值 配置 wan2 接口: Wan1 172.20.120.2 ICMP Ping 5 588 接口 Ping 服务器 检测协议 Ping 间隔(秒) 故障恢复阀值Wan2 172.30.120.2 ICMP Ping 5 54.进入系统管理&网络&接口,并编辑 wanl 接口,将溢出阀值设置为 10000kbit/秒。5. 进入系统管理&网络&接口,并编辑 wan2 接口,将溢出阀值设置为 20000kbit/89 F5:sRTinEr ____________________________________________________________________秒。你必须对两个接口添加溢出阀值,因为默认的溢出阀值是 0 ,这意味着没有带宽 限制。如 果其中一个接口的溢出阀值为,那么该接口将处理全部的会话。结果大部分从内网到互联网会话应该使用 wanl 接口。当 wanl 接口达到溢出阀值时, 新的会话应 开始使用 wan2 接口。当 wanl 接口的会话降至溢出阀值以下时,新的会 话会恢复使用 wanl 接口。 实际上基于使用率的 ECMP 路由不是负载平衡,因路由不在接口之间平均分配。 ―个 10000kbits( 10 Mbps )的溢出阀值意味着当 wanl 接口的使用率达到 10Mbps , 新的会话将溢出 到 wan2 接口处理。因此在会话流量较低的时候,wanl 将处理所有 的会话。 溢出阀值并未严格限制经接口所处理的带宽,因为在路由缓存中存在的目标 IP 地址的新 会话将使用缓存路由,这意味着,即使 wanl 超过了其带宽限制,新会话 也能够继续通过 wanl 发送,因它的目标地址已经在路由缓存中了。 你可以根据你管理网络中的流量模式,调整溢出阀值从而更改 ISP 之间的会话分 配。你可 以通过流量面板工具查看 wanl 与 wan2 的带宽使用率。 你可以使用以下 CLI 命令查看接口是否超过其溢出阀值: diagnose netlink dstmac list F5:sRTinEr ____________________________________________________________________输出类似如下信息: dev=wan2 mac=00:00:00:00:00:00 rx_tcp_mss=0 tx_tcp_mss=0 overspill-threshold=0 bytes=0 over_bps=0 sampler_rate=0 dev=wan1 mac=00:00:00:00:00:00 rx_tcp_mss=输出的信息中,over_bps = 1 表示接口正在超出其溢出阀值,over_bps = 0 表示接 口通过的流90 量没有超过其阀值。保护 DMZ 网络中的 web 服务器面临的问题如何保护 web 服务器来自内部专有网络与互联网访问的安全。91
Fm:5RTInmTWebserver Internet address 172.2P120.123
缉wf铒 冰咖 道 恕讲浙i s s l t :Ms u l s i H ' m PwebM( demilitarized zone ) Z M l D m & B wwebM^tl ,a3aCJJT w回s:M ^ l s ^ p ti lM, t菊 @aDMZa镟 胳 M 」3 fl。webM^#!i_ l-&FortiGate珊( DMZ筘 瞰 M □M 口 疑M 口 。 n 痤 爵 丨 a - B-SIs油webM回露 丨 澉 葫 里
抖 卟 谳 昂浙 s 。菊& d c$a a B ss IwebMsa._aUFortiGate#?]鹃 部
骱 , 鹃 隳 冈镟 胳 M筘 瞰 ,筘浙 s 。这 书油回,?谳 昂 , 书 皿)SSNAT(DNAT )ww&商 脚 彦 油 迓? 忝|+1'鄯 咖濉菊??]w
F5:sRTinEr ____________________________________________________________________ 分与网络接口的不同接口的功能。你可以进入系统管理& 网络 & 接口,编辑接口并 在别名字 段添加描述的文字,那么在基于 web 的管理器中的大多数界面都以接口 的别名显示。将网络连接到 FortiGate 设备并配置 IP 设置1?将 DMZ 网络连接到 FortiGate 设备 DMZ 接口、内部网络连接到内部接口、互联 网与 wanl 接口连接(或任何其他可用接口)。3?编辑 dmz 接口:90 F5:5RTinET别名 地址模式 IP/掩码 4.编辑内部接口 : DMZ 服务器网络 手动 10.10.10.10/255.255.255.0别名 地址模式 IP/掩码 5.编辑 wanl 接口:内部专用网络 手动 192.168.1.99/255.255.255.0别名 地址模式 IP/掩码互联网 手动 192.168.1.99/255.255.255.06.进入路由&静态&静态路由,并编辑默认的路由如下:目标 IP/掩码 设备接口 网关0.0.0.0./ 0.0.0.0 Wan1 ( 互联网) 172.30.120.2 D N S 服 务 器 。7. 进 入 系 统 管 理 & 网 络 & D N S , 且 添 加 主 次91 8. 配置 web 服务器的 IP 网络设置。IP 地址 掩码 默认网关F5:5RTinET10.10.10.123 255.255.255.0 10.10.10.1092 DNS 服务器F5:5RTinET 可用的 DNS 服务器 IP 地址如果 web 服务器没有正确的默认网关,其回复的数据包便不能到达 DMZ 接口, web 服务器 也会显示为无响应。创建 DNAT 安全策略允许互联网到 web 服务器的会话访问通过创建防火墙虚拟 IP ( VIP )配置 DNAT (端口转发),将 web 服务器的互联 网地址 (172.20.120.123 ) 映射为 DMZ 网络中 web 服务器的实际 IP 地址 (10.10.10.23 )。然后将该 VIP 添加到一条安全策略,允许互联网中的用户通过 FortiGate 设备访问 DMZ 网络中的 web 服 务器在互联网中的 IP 地址(本实例中应是 172.20.120.123 )。 1?进入 Firewall Objects&虚拟 IP&虚拟 IP 并点击新建添加新的虚拟 IP 并做以下设置: 名称 外部接口 类型 外部 IP 地址/范围 映射 IP 地址/范围 Web - server - DNAT Wan1 ( 互联网) 静态 NAT 172.20.120.123 10.10.10.1232. 进入 Plicy&策略&策略,并点击&新建〃添加以下安全策略,允许互联网用户连接到 DMZ 网络中的 web 服务器。93 源接口 /区域 源地址F5:;RTinET Wan1 ( 互联网)全部 Dmz ( dmz 服务器网络) Web - server - DNAT always目标接口 /区域 目标地址 时间3 ? 在 服 务 旁 边 , 点 击 多 重 并 添 加 HTTP 与 HTTPS 到成员列表。4. 设置动作为接受。 5. 点击 UTM 选项并选中启动反病毒,启动应用控制与启动 IPS。 6. 点击 OK 保存安全策略设置。创建路由模式安全策略允许内部网络中的用户连接到 DMZ 网络中的 web 服务器 通过配置路由模式安全策略,内网中的用户可以使用其真是的 DMZ IP 地址 (通过访问 http ://10.10.10.123 或 https ://10.10.10.123 )连接到 web 服务器。 因内网中的用户知道 web 服务器真正的地址,你不需要在安全策略中启动 NAT。 1?进入 Firewall Objects&地址 & 地址并点击新建设置内网中用户地址范围。 地址名称 类型 子网/IP 地址范围 internal - user - addresses 子网 /IP 范围 192.168.1.100 - 192.168.1.150 (也可以输入 192.168.1 [100-150])源地址记录 web 服务器的使用率情况。94 户连接到 2. 点击新建,对 DMZ 网络。 DMZ 网络中的 web 服务器添加防火墙地址。 接口 内部(专有内部网络) 地址名称 源接口 /区域 DMZ - web Internal (专有内部网络) - server - address源地址 类型目标接口 /区域 子网/IP 地址范围 接口 目标地址F5:5RTinETInternal - user - addresses 子网/IP 范围10.10.10.123/255.255.255.255 Dmz ( dmz 服务器网络)dmz ( DMZ - DMZ web 服务器网络) - server - address一直(总是) 时间 3. 进入 P licy&策略&策略,并点击 &新建〃添加以下安全策略,允许内部网络用 4.在服务旁边,点击 多重并添加 HTTP 与 HTTPS 到成员列表。设置动作为接受。5.点击 UTM 选项并选中启动反病毒,启动应用控制与启动 IPS。6. 点击 OK 保存安全策略设置。对于这项安全策略,你应该选中启动 NAT ,以启动源地址 NAT。但是,该操 作意味着从内 部网络连接到 web 服务器的所有数据包都具有相同的源地址(DMZ 接口的 IP 地址)。如果你不 启动启动 NAT 选项,你可以根据内部网络实际的会话95 添加安全策略允许内部网络中的用户访问互联网F5:5RTinET1?进入 Plicy&策略 & 策略,并点击&新建〃添加以下安全策略。 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 动作 Internal (专有内部网络) Internal - user - addresses Wan1 ( 互联网) 全部 一直(总是) 任何 接受 U T M 选 项 并 选 中 启 动 反 病 毒 启 动 应 用 控 制 。2. 点 击3. 点击 OK 保存安全策略设置。结果测试下从内部网络与互联网访问 web 服务器如果以下测试失败,重新查看下 FortiGate 设备的配置。同时,确定 web 服务器 配置了 正确的默认路由。这对于从内部网络的连接尤其重要,因安全策略如果不执 行源地址 NAT ,那么 web 服务器需要正确的路由才能够正确的发送返回的数据包。 测试从内部网络访问 web 服务器从内部网络访问 web 服务器的真实 IP 地址(http : //10.10.10.123 或 https :96 F5:sRTinEr ____________________________________________________________________ //10.10.10.123 )。连接应该是成功的。该通信使用内部网络到 dmz 网络的安全策 略。进入 Policy&监视器 &策略状态,查看适用于内部网络到 dmz 网络安全策略的 会话(在示例中是策 略 3 )。也可以看到添加其他策略的会话。FS::RTinET9 Refresh _________________________________________________ Report By: [ ActiveSessions ?'下拉查看适用该策略的会话的详细信息 。 应全部都是 HTTP( 端口 80 )或 HTTPS (端口 443 ) 会话。源地址应该是内部网络中的地址,目标地址应该是 web 服务器 的真实 IP 地址 (10.10.10.123 )。因没有地址转换,NAT 栏目应是空的。 你也可以使用 FortiGate 数据包嗅探器查看相似的会话。以下的嗅探器输入显示 内网中 一台地址为 192.168.1.110 的 PC 与 web 服务器(IP 地址为 10.10.10.123 )之 间的 HTTP 流量 (80 端口)。你可以查看内网中 PC 与内部接口,以及 dmz 网络接口 与 web 服务器之间的 HTTP 会话。请注意,源地址与目标地址与端口没有进行转换:97 9 Return □irjTT 1 Refres tcp 192.168.1 4011 2 Tmi tcp 192.168.1 4012 3 h tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
tcp 192.168.1
3989 0 tcp 192.168.1 .110 1 tcp 192.168.1
New Sessions .110 per Second: 0 / Total 3 .110 Concurrent Sessions: 43T Port Dst Dst t D Expiry duration 10.10.10.12 44 3 .10.10.12 44 3
Address 1 Por Polic ( se c) [ (sec) 10.10.10.12 44 3 2 10 3 3 10.10.10.12 44
3 y I3 10.10.10.12 44 3
3 10.10.10.12 44 3
3 10.10.10.12 44 3
3 10.10.10.12 80 3 6 129 3 3 10.10.10.12 80 1 6 128 3 3 10.10.10.12 80 1 36 90 3 10.10.10.12 80 1 36 90 3 10.10.10.12 80 a 51 81 3 10.10.10.12 80 3 51 79 3 \i /I ? ?1 Total: 3 & 11 3 24diagnose sniffer packet any 'port 80' 4 10 interfaces=[any] filters=[port 80] 5.360359 internal in 192.168.1.110.4359 -& 10.10.10.123.80: syn
5.361982 internal out 10.10.10.123.80 -& 192.168.1.110.4359: syn
5.362165 internal in 192.168.1.110.4359 -& 10.10.10.123.80: ack .362463 internal in 192.168.1.110.4359 -& 10.10.10.123.80: psh
ack .366684 internal out 10.10.10.123.80 -& 192.168.1.110.4359: ack
5.370189 dmz out 192.168.1.110.4359 -& 10.10.10.123.80: syn
5.370411 dmz in 10.10.10.123.80 -& 192.168.1.110.4359: syn
5.370606 dmz out 192.168.1.110.4359 -& 10.10.10.123.80: ack
5.375160 dmz out 192.168.1.110.4359 -& 10.10.10.123.80: psh
5.375417 dmz in 10.10.10.123.80 -& 192.168.1.110.4359: ack 以下的 FortiGate 设备数据包(抓包)嗅探器输出显示 IP 地址 192.168 A 110 与 web 服98 FS::RTinET务器(IP 地址为 10.10.10.123 ) 之间的 HTTPS 流量(443 端口)。你可以查 看内网中 PC 与内 部接口,以及 dmz 网络接口与 web 服务器之间的 HTTPS 会话。请注 意,源地址与目标地址与端 口没有进行转换:99 FS::RTinETdiagnose sniffer packet any 'port 443 4 10 interfaces=[any] filters=[port 443] 5.124564 internal in 192.168.1.110.4366 -& 10.10.10.123.443: syn
5.128308 dmz out 192.168.1.110.4366 -& 10.10.10.123.443: syn
5.128538 dmz in 10.10.10.123.443 -& 192.168.1.110.4366: syn
5.130991 internal out 10.10.10.123.443 -& 192.168.1.110.4366: syn
5.131151 internal in 192.168.1.110.4366 -& 10.10.10.123.443: ack
5.131414 dmz out 192.168.1.110.4366 -& 10.10.10.123.443: ack
5.131702 internal in 192.168.1.110.4366 -& 10.10.10.123.443: psh
5.138192 dmz out 192.168.1.110.4366 -& 10.10.10.123.443: psh
5.138361 dmz in 10.10.10.123.443 -& 192.168.1.110.4366: ack
5.138632 internal out 10.10.10.123.443 -& 192.168.1.110.4366: ack 1你也可以使用以下数据包嗅探器命令,获得类似以下的信息:1diagnose sniffer packet anyhost 192.168.1.110 or 10.10.10.123' 4 10测试从互联网到 web 服务器的访问连接从互联网的任何地点(或 172.20.120.0 网络中的任何位置)访问 web 服务器的 互联网 IP 地址(http://172.20.120.123 或 https://172.20.120.123 )。该会话是使 用 wanl 到 dmz 接 口的策略。进入 Plicy&监视器 &策略状态,查看适用于该安全 策略的会话。通过策略监控会 显示使用内部接口到 dmz 接口策略的会话。 下拉查看适用该策略的会话的详细信息。应全部都是 HTTP( 端口 80 )或 HTTPS (端口 443 )100 F5:;RTinET会话。源地址应该是互联网中的地址(或 172.20.120.123 ), 目标地 址应该是 web 服务器的内 部地址(172.20.120.123 )。wan1 到 DMZ 的策略对向内 的数据包执行了 DNAT ,将来自 172.20.120.123 数据包的目标 IP 地址转换为 10.10.10.123。在源 NAT IP 地址栏目中显示的是 发生目的 NAT 转换后的目标 NAT IP 地址。目标端口没有被转换,因此源 NAT 端口栏目与目标端 口栏目都显示的是 80口,以及 dmz 网络接口与 web 服务器之间的 HTTPS 会话。请注意,源地址与目标地101 F5:5RTinET端口。你也可以使用 FortiGate 数据包嗅探器查看相似的会话。以下的嗅探器输出显示 的信息 为从 172.20.120.12 到 172.20.120.123 的 HTTP 流量(目标端口 80 ) 。所有 wanl 接口接收的 数据包的源地址为 172.20.120.12,目标地址为 172.20.120.123。 从 dmz 接口出去的所有数据 包的源地址为 172.20.120.12 ,目标地址为 10.10.10.123 :diagnose sniffer packet any port 80 4 10 interfaces:[any] filters=[port 80] 5.384633 wanl in 172.20.120.12.59485 -& 172.20.120.123.80: syn
5.390855 wanl out 172.20.120.123.80 -& 172.20.120.12.59485: syn
5.3S2429 wanl in 5.392970 wanl in
5.402474 wanl out 172.20.120.123.80 -& 172.20.120.12.59485: ack
5.404772 dmz out 172.20.120.12.59485 -& 10.10.10.123.80: syn
5.405014 dmz in 10.10.10.123.80 -& 172.20.120.12.59485: syn
5.405236 dmz out 5.406434 dmz out 172.20.120.12.59485 -& 10.10.10.123.80: ack
172.20.120.12.59485 -& 10.10.10.123.80: psh
ack 172.20.120.12.59485 -& 172.20.120.123.80: ack
172.20.120.12.59485 -& 172.20.120.123.80: psh
ack11102 F5:;RTinET 5.406689 dmz in 10.10.10.123.80 -& 172.20.120.12.59485: ack 以下的 FortiGate 设备数据包(抓包)嗅探器输出显示从 172.20.120.12 到172.20.120.123 之间的 HTTPS 流量(443 端口)。你可以查看内网中 PC 与 wan1 接 址与端口没有进行转换: diagnose sniffer packet any 'port 443 4 10 interfaces=[any] filters=[port 443] 4.557201 wanl in 172.20.120.12.59666 -& 172.20.120.123.443: syn
4.561331 dmz out 172.20.120.12.59666 -& 10.10.10.123.443: syn
4.561577 dmz in 10.10.10.123.443 -& 172.20.120.12.59666: syn
4.562214 wanl out 172.20.120.123.443 -& 172.20.120.12.59666: syn
4.562974 wanl in 172.20.120.12.59666 -& 172.20.120.123.443: ack
4.563323 dmz out 172.20.120.12.59666 -& 10.10.10.123.443: ack
4.563540 wanl in 172.20.120.12.59666 -& 172.20.120.123.443: psh
4.570165 dmz out 172.20.120.12.59666 -& 10.10.10.123.443: psh
4.570270 dmz in 10.10.10.123.443 -& 172.20.120.12.59666: ack
4.570566 wanl out 172.20.120.123.443 -& 172.20.120.12.59666: ack 1你也可以使用以下数据包嗅探器命令,获得类似以下的信息: diagnose sniffer packet any host 172.20.120.12 or 172.20.120.123 * 4 10?口,以及 dmz 网络接口与 web 服务器之间的 HTTPS 会话。请注意,源地址与目标地103 F5:5RTinET在不更改网络设置的情况下配置 FortiGate 设备保护邮件服务 器(透明模式)面临的问题如何在不更改服务器与网络设置的情况,防御邮件服务器受到病毒的威胁。举 例说明, 不更改服务器的设置包括不能在邮件服务器上安装病毒扫描软件或更改邮 件服务器的 IP 地址或 更改网络的地址。104 Protected Emai Server 10.31.101.200FortiGate Unit in Transparent modeRouter ^^Tterriet解决方法将应用于透明模式的 FortiGate 设备部署在邮件服务器与网络之间。配置 FortiGate 设备 允许从网络到邮件服务器的会话,并对通过的会话应用反病毒防护, 防御邮件服务器受到病毒 的威胁。 内网中的用户连接到邮件服务器,通过 IMAP、IMAPS、POP3、POP3 或 HTTPS (webmail ) 收取邮件,且通过 SMTP 或 SMTPS 发送邮件。邮件服务器通过 SMTP 或 SMTPS ,连接到互联网并将 向外的邮件送出,且通过 SMTP 或 SMTPS 从互联网中105 F5:;RTinEr ____________________________________________________________________接收向内网的邮件。将 FortiGate 设备切换到透明模式并配置 IP 设置1. 将一台 PC 连接到 FortiGate 设备的内部接口。 2. 启动 FortiGate 设备与 PC。 3. 连接到 FortiGate 设备基于 web 的管理器。你可以配置 PC 通过 DHCP 获取 IP 地址后访问 https://192.168-1.99。或者你也可 以设置 PC 使用 192.168.1.1/255.255.255.0 子网中静态 IP 地址。 输入 admin 登录,没有密码设置。4. 进入系统管理 & 控制面板& 状态 & 系统信息,点击操作模式旁边的更改并配 置以下信息: 操作模式 管理 IP 地址/掩码 默认网关 透明 10.31.101.40/255.255.255.0 10.31.101.100 击 O K , 切 换 到 透 明 模 式 。5. 点6. 访问 https://10.31.101.40 登录到基于 web 的管理器。将 PC 的 IP 地址更改为10.31.101.0/255.255.255.0 子网中的地址。7. 进入系统管理 & 网络 & 接口,点击编辑 wan1 接口。 8. 设置管理访问为 HTTPS 与 SSH , 并点击 OK 确认。当 FortiGate 设备连接到网络时便可以通过 wan1 接口对其进行管理。9. 进入系统管理 & 网络 &DNS , 添加主次 DNS 服务器。F5:;RTinEr ________________________________________________________________ 配置安全策略106 1?进入 Firewa 丨丨 Objects〉地址 & 地址,并点击新建配置以下防火墙地址 :配置邮件服务器地址: 地址名称 类型 子网/IP 地址范围 接口 配置用户网络地址: email - server - address 子网/IP 范围 10.31.101.200/255.255.255.255 Internal 内部接口地址名称 类型 子网/IP 地址范围 接口email - user - network 子网/IP 范围 10.31.101. [1-30] Wan12. 进入 Plicy&策略&策略,并点击&新建〃添加安全策略允许用户网络使用 IMAP、IMAPS、 POP3、POP3S、SMTP、SMTPS 与 HTTPS 访问邮件服务器。源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务Wan1 Email - user - network Internal 内部接口 Email - server - addresses always ANY107 F5:sRTinEr ___________________________________________________________________ 3 ?在服务旁边,点击多个并添加 IMAP、IMAPS、POP3、POP3S、SMTP、 SMTPS 与 HTTPS 到成员 列表。4. 设置动作为接受。 5. 点击 UTM 选项并选中启动反病毒。 6. 点击 OK 保存安全策略设置。 7. 进入 Plicy&策略&策略,并点击&新建〃添加安全策略允许邮件服务器使用SMTP、SMTPS 向互联网送出邮件: 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 Internal Email - server - addresses Wan1 All always S M T P 与 S M T P S 到 成 员 列 表 。8. 在 服 务 旁 边 , 点 击 多 个 并 添 加9. 设置动作为接受。 10. 点击 UTM 选项并选中启动反病毒。 11. 点击 OK 保存安全策略设置。 12. 进入 Policy&策略 & 策略,并点击&新建〃添加安全策略允许邮件服务器使用SMTP、SMTPS 接收来自互联网的邮件: 源接口 /区域 源地址 Wan1 All108 F5:5RTinET目标接口 /区域 目标地址 时间 Internal 内部接口 Email - server - addresses always13 ?在服务旁边,点击多个并添加 SMTP 与 SMTPS 到成员列表。14. 设置动作为接受。 15. 点击 UTM 选项并选中启动反病毒。 16. 点击 OK 保存安全策略设置。 17. 进入 Plicy&策略 & 策略,并点击&新建〃添加安全策略允许邮件服务器连接到任何 DNS 服务器: 源接口 /区域 源地址 目标接口 /区域 目标地址 时间 服务 Internal 内部接口 Email - server - addresses Wan1 All always DNS 击 O K 保 存 安 全 策 略 设 置 。18. 点19. 将 FortiGate 设备连接到邮件服务器与用户网络之间。将 wan1 接口连接到一台交换台,然后连接到用户网络。将内部接口连接到邮件服务器。109 Email ServerinternalF5:5RTinET nn Qwan1nmnnUser Network结果FortiGate 设备部署在邮件服务器与网络之间时,邮件服务器的功能是没有发生 更改的。 你可以从用户网络使用任何的邮件协议访问邮件服务器。 通过基于 web 的管理器,你可以进入 Plicy&监视器 & 策略状态查看 FortiGate 设备安 全策略活动,以确认邮件服务。策略监控的条形图显示了每一项策 略的会话。条形图是根据策 略 ID 显示的。110 FSIERTinET如果没有在 FortiGate 设备中添加任何其他安全策略}
我要回帖
更多关于 静态路由的优先级 的文章
更多推荐
- ·解放j6p原车柴暖故障灯闪12下怎么解除一下不着了,后来关了从开启动不了电源灯一直闪烁是什么情况啦?
- ·怎么用excel做数据分析图表气泡图 X轴日期 Y轴价格 气泡大小销量?
- ·Excel中文本类型的数字怎么如何批量把文本格式转换成数字格式转换?
- ·搜狗手机用什么输入法最好用怎么样?
- ·上海字符宇宙工作室正规吗无限科技公司是做什么的?
- ·逆战弱化陷阱爆率转生后爆率是不是变低了
- ·dnf十周dnf十年追忆武器装扮选哪个
- ·新手求问,做一套天空之城吉他新手教学的预算是多少
- ·王者荣耀五大战神排名:玩家公认五大美女英雄,有你心中的女神吗
- ·刚练了个乌鸦,周年庆85ss跨界石给的那个85ss套,我领什么好
- ·王者荣耀合成途径不全积分怎么获取 王者荣耀合成途径不全积分获取途径一览
- ·我们萌新问个问题题,会免领的游戏会员过期了还能玩吗
- ·いたずラブ ひと気のない老年人公园玩失足少女で少女と爱を育もう的通关存档
- ·小鸡药、终结者1免费高清、支呼清、磷干清去哪买?
- ·拼多多签到2.5元了怎么让手机炉石几秒重新登陆陆呢,手机炉石几秒重新登陆上钱没了,好友也没了,怎么回事
- ·小米手机小米5后置摄像头模糊坏了
- ·115182951918199是哪里的号码号码
- ·美的吸顶式空调空调五匹显示E9怎么回事
- ·怎样在家把茶叶,焦枣,西洋参 黄精 红枣,阿克苏冰糖心苹果,通过网络卖到全国各地,该怎么去做?求解
- ·网上香港哪里买卡西欧便宜相机便宜最实惠
- ·新版本固件的静态路由的原理怎么没有了
- ·便携迷你音响 音乐冲击波3 流放之路红色冲击波怎么样,好不好
- ·南昌手表厂回收哪里有,哪个方式把手表卖掉价格更
- ·低危型hpvhpv不治多久好
- ·空调不制冷只有自然风为啥不制冷
- ·王者荣耀冰剑是谁出的的gua谁有
- ·新车空调有异味,出风口刺鼻异味,开不开空调
- ·请教高人,索尼照相机这三种相机买哪个
- ·下救赎之翼会和近卫荣耀改成什么了冲突么
- ·电脑强制关机后开机没反应不开机了怎么回事求解
- ·求魔道祖师第五集分享广播剧第五集
- ·截图是silk系列哪部好看的哪一部片?
- ·云豹区块链网络科技做区块链积分系统开发已经走到了行业的前列,是真的吗?
- ·嫁到他家住老房子,几年过去带着婆婆嫁一张纸让我觉得所付出
- ·P2P近800亿网贷平台爆雷:是真雷还是假雷
- ·初心哆咪辅食不合格新人代理如何快速起步,快速逆袭的捷径是什么
