Fortinet FortiGate 300, Installation & Configuration Manual

Page 1: ...FortiGate 300 Installation and Configuration Guide Esc Enter FortiGate 用户手册 第一卷 2 50 版 2003 年 7 月 21 日 安装和配置指南 FortiGate 300 ...

Page 2: ... 机械 人工 光学或其它任何手段翻印 传 播或发布 FortiGate 300 安装和配置指南 2 50 版 2003 年 7 月 21 日 注册商标 本手册中提及的产品由他们各自的所有者拥有其商标或注册商标 服从规范 FCC Class A Part 15 CSA CUS 注意 如果更换的电池型号错误 有可能会导致爆炸 请根据使用说明中的 规定处理用过的电池 请访问 http www fortinet com 以获取技术支持 请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送 到 techdoc fortinet com ...

Page 3: ...测系统 NIDS 3 虚拟专用网络 VPN 4 高可用性 4 安全安装 配置 管理 4 基于 Web 的管理程序 5 命令行接口 CLI 5 日志和报告 6 2 50 版本的新特点 6 系统管理 6 防火墙 Firewall 7 用户和认证 7 VPN 8 NIDS 8 防病毒 8 网页过滤 8 电子邮件过滤 8 日志和报告 9 关于本手册 10 文档中的约定 10 Fortinet 的文档 11 Fortinet 技术文档的注释 12 客户服务和技术支持 13 开始 15 包装中的物品 16 安置 16 启动 17 连接到基于 Web 的管理程序 18 连接到命令行接口 CLI 19 ...

Page 4: ...模式 25 透明模式 26 配置选项 26 FortiGate 系列产品参数最大值列表 27 下一步 28 NAT 路由 模式安装 29 准备配置 NAT 路由模式 29 NAT 路由模式高级设置 30 DMZ 接口 30 使用安装向导 31 启动安装向导 31 重连接到 基于 Web 的管理程序 31 使用前面板控制按钮和 LCD 31 使用命令行界面 32 将 FortiGate 配置为在 NAT 路由模式操作 32 将 FortiGate 连接到网络中 33 配置网络 34 完成配置 34 配置 DMZ HA 接口 35 设置日期和时间 35 启用防病毒保护 35 注册 FortiGate 设备 35 配置防病毒和攻击定义更新 35 配置举例 到互联网的多重连接 36 配置 Ping 服务器 37 基于目的地的路由配置举例 38 策略路由的例子 40 防火墙策略举例 41 透明模式安...

Page 5: ...间 46 启用防病毒保护 46 注册 FortiGate 设备 46 配置防病毒和攻击定义更新 46 将 FortiGate 连接到网络中 46 透明模式配置的例子 48 默认路由和静态路由 48 到外部网络的默认路由的例子 48 到外部目的地址的静态路由的例子 50 到内部目的地址的静态路由的例子 52 高可用性 55 主动 被动 HA 55 主动 主动 HA 56 NAT 路由模式下的 HA 57 安装和配置 FortiGate 设备 57 配置 HA 接口 57 配置 HA 簇 58 将 HA 簇连接到您的网络 59 启动 HA 簇 61 透明模式下的 HA 61 安装和配置 FortiGate 设备 61 配置 HA 接口和 IP 地址 61 配置 HA 簇 62 将 HA 簇连接到您的网络中 63 启动 HA 簇 64 ...

Page 6: ...69 系统状态 71 修改 FortiGate 主机名 72 修改 FortiGate 固件 72 升级到新版本的固件 72 恢复到一个旧的固件版本 74 使用 CLI 重新启动系统安装固件 76 在安装新版本的固件之前进行测试 78 安装和使用一个备份了的固件映像 80 手动更新病毒防护定义库 83 手动更新攻击定义库 83 显示 FortiGate 的序列号 84 显示 FortiGate 运行时间 84 显示日志硬盘状态 84 备份系统设备 84 恢复系统设置 84 将系统设置恢复到出厂设置 85 转换到透明模式 85 转换到 NAT 路由模式 86 重新启动 FortiGate 设备 86 关闭 FortiGate 设备 86 系统状态 86 查看 CPU 和内存状态 87 查看会话和网络状态 88 查看病毒和入侵状态 88 会话列表 89 ...

Page 7: ...rtiGate 设备列表 103 注册一个新的 FortiGate 设备 104 添加或修改 FortiCare 支持合同号 104 修改您的 Fortinet 支持密码 105 修改您的联系信息或安全提示问题 105 下载病毒防护和攻击定义更新 105 RMA 之后注册 FortiGate 设备 106 网络配置 107 配置网络接口 107 查看接口列表 108 启动一个接口 108 修改一个接口的静态 IP 地址 108 为接口添加第二个 IP 地址 108 为接口添加 ping 服务器 109 控制到接口的管理访问 109 为接口的连接配置通讯日志 109 使用静态 IP 地址配置外部网络接口 110 使用 DHCP 配置外部网络接口 110 为以太网点对点传输协议 PPPoE 配置外部网络接口 111 修改外部网络接口的 MTU 大小以提高网络性能 111 将 DMZ HA 接口...

Page 8: ...过滤器 123 添加单一 RIP 过滤器 124 添加一个 RIP 过滤列表 124 添加一个邻居过滤器 125 添加一个路由过滤器 125 系统配置 127 设置系统日期和时间 127 更改基于基于 Web 的管理程序的选项 128 添加和编辑管理员帐号 129 添加新的管理员帐号 129 编辑管理员帐号 130 配置 SNMP 131 为 SNMP 监视配置 FortiGate 设备 131 配置 FortiGate 的 SNMP 支持 131 FortiGate 管理信息库 MIB 132 FortiGate 陷阱 133 定制替换信息 133 定制替换信息 134 定制报警邮件 135 防火墙配置 137 默认防火墙配置 138 地址 138 服务 138 任务计划 138 内容配置文件 139 添加防火墙策略 139 防火墙策略选项 140 ...

Page 9: ...拟 IP 155 添加静态 NAT 虚拟 IP 155 添加端口转发虚拟 IP 156 添加使用虚拟 IP 的策略 157 IP 池 158 添加 IP 池 158 使用固定端口的防火墙策略的 IP 池 159 IP 池和动态 NAT 159 IP MAC 绑定 160 为穿过防火墙的数据包配置 IP MAC 绑定 160 为连接到防火墙的数据包配置 IP MAC 绑定 161 添加 IP MAC 地址 161 查看动态 IP MAC 列表 162 启用 IP MAC 地址绑定 162 内容配置文件 163 默认的内容配置文件 163 添加一个内容配置文件 163 将内容配置文件添加到策略 165 用户与认证 167 设置认证超时 168 添加用户名并配置认证 168 添加用户名和配置认证 168 从内部数据库中删除用户名 169 配置 RADIUS 支持 169 添加 RADIUS 服务...

Page 10: ...78 为自动 IKE VPN 添加第一阶段配置 179 为自动 IKE VPN 添加第二阶段配置 182 管理数字证书 184 获得签名的本地证书 184 获得一个 CA 证书 188 配置加密策略 188 添加源地址 189 添加目的地址 189 添加一个加密策略 190 IPSec VPN 集中器 191 VPN 集中器 集线器 一般配置步骤 192 添加一个 VPN 集中器 193 VPN 辐条一般配置步骤 194 冗余 IPSec VPN 195 配置冗余 IPSec VPN 195 VPN 监视和问题解答 196 查看 VPN 通道状态 196 查看拨号 VPN 连接的状态 197 测试 VPN 197 PPTP 和 L2TP VPN 199 配置 PPTP 199 把 FortiGate 配置为 PPTP 网关 200 配置 PPTP 的 Windows98 客户端 202 配...

Page 11: ... 215 启用和禁用 NIDS 攻击特征 216 添加 用户定义的特征 217 NIDS 攻击预防 217 启用 NIDS 攻击预防 218 启用 NIDS 攻击预防特征 218 设置特征临界值 219 配置握手溢出特征值 220 记录 NIDS 攻击日志 220 将攻击消息记录到攻击日志 220 减少 NIDS 攻击日志消息和报警邮件的数量 221 防病毒保护 223 一般配置步骤 223 防病毒扫描 224 文件阻塞 225 在防火墙通讯中阻塞文件 226 添加用于阻塞的文件名样板 226 隔离 226 隔离被感染的文件 227 隔离被阻塞的文件 227 查看隔离列表 227 隔离列表排序 228 过滤隔离列表 228 从隔离区中删除文件 228 下载被隔离的文件 228 配置隔离选项 229 阻塞过大的文件和电子邮件 229 配置文件或电子邮件大小限制 229 对邮件片段免除阻塞 2...

Page 12: ...1 一般配置步骤 241 电子邮件禁忌词汇列表 241 在禁忌词汇列表中添加单词或短语 242 电子邮件阻塞列表 242 在邮件阻塞列表中添加地址模板 242 邮件排除列表 243 在邮件排除列表中添加地址模板 243 添加一个主题标签 244 日志和报告 245 记录日志 245 在远程电脑上记录日志 246 在 NetIQ WebTrends 服务器上记录日志 246 将日志记录到 FortiGate 硬盘 246 将日志记录到系统内存 247 过滤日志消息 248 配置通讯日志 249 启用通讯日志 250 配置通讯过滤设置 250 添加通讯过滤的条目 251 查看记录到内存的日志 252 查看日志 252 搜索日志 252 查看和管理保存在硬盘上的日志 253 查看日志 253 搜索日志 253 将日志文件下载到管理员电脑 254 删除当前日志中的全部消息 254 删除一个保存了的...

Page 13: ...目录 FortiGate 300 安装和配置指南 xiii 配置报警邮件 255 添加报警邮件地址 255 测试报警邮件 256 启用报警邮件 256 术语表 257 索引 259 ...

Page 14: ...目录 xiv 美国飞塔有限公司 ...

Page 15: ...FortiGate 系列对现有的一些解决方案 如以主机为基础的防病毒保护进行补充 并在大力降低 设备 管理和维修成本的同时 为您提供一些新的应用和服务 FortiGate 300 型在性能 可用性及 可靠性上满足了企业级应用的需要 拥有 高可用性包括无会话 Session 损失的失 效自动恢功能 FortiGate 300 是您企业 中运行重大关键性任务所需的最佳选择 防病毒保护 ICSA 认证的 FortiGate 防病毒保护 可将通过 FortiGate 传输的 WEB HTTP 文件传输 FTP 和 EMAIL SMTP POP3 和 IMAP 内容中被病毒感染的文件删除 当 FortiGate 从内容流中检测出病毒时 自动病毒防护功能可以删除那些感染了病毒的文 件 用一条病毒感染信息替换掉原来的文件 然后转发到内容流的接收方 Web 和电子 邮件内容可以是存在于常规网络通讯中的或者...

Page 16: ...它可以配置为阻塞如下一些非安全 web 内容 如 Java 小程序 Cookies ActiveX 您还可以使用 Cerberian URL 阻塞去阻塞不受欢迎的 URL 电子邮件过滤 通过配置 FortiGate 的电子邮件过滤功能 可以扫描所有的 IMAP 和 POP3 邮件内 容 找出不受欢迎的发件人或不受欢迎的内容 如果发现某个邮件的发件人地址与电 子邮件阻塞列表中的某一项相匹配 或者在邮件的内容中含有和禁忌词汇列表中的词 汇相匹配的内容 FortiGate 会在这个邮件的标题栏中添加一个电子邮件标签 接收者 可以用他们的电子邮件客户端软件根据这个电子邮件标签过滤不想要的邮件 对于所有的或部分已知的广告邮件发送组织 您可以通过配置电子邮件阻塞功能在 属于这些组织的发件人所发送的电子邮件上添加电子邮件标签 为了避免无意中在正 常发件人发送的邮件上加上电子邮件标签 您可以将发件人的地址...

Page 17: ... NAT 模式策略通过网络地址转换对较不安全网络中的用户隐藏较安全网络中的地址 路由模式策略在不执行地址转换下接受或拒绝网络间的连接 透明模式 透明模式提供了与 NAT 模式相同的基本防火墙保护 从 FortiGate 中接收到的数据 包根据防火墙策略可被智能地转发或阻塞掉 FortiGate 可插入到网络的任何一点而不 需要对此网络或其它相关组件做任何的改变 然而 VPN 及一些高级防火墙功能只能在 NAT 路由模式下使用 网络入侵检测系统 NIDS FortiGate 网络入侵侦测系统 NIDS 是一种实时网络入侵探测器 它能对外界各 种可疑的网络活动进行识别及采取行动 NIDS 通过攻击特征来识别超过 1000 种的攻 击 您可以启用或禁止 NIDS 对某一类型的攻击进行检测 还可以自行编写攻击特征从 而生成用户自定义的攻击类型检测 NIDS 可以防止探测 大部分常见的拒绝服务攻击和...

Page 18: ... IPSec VPN 流通控制的防火墙策略 IPSec NAT 跨越技术使得位于 NAT 后边的远程 IPSec VPN 网关或客户端可以连接到 IPSec VPN 通道 用 VPN 集中器的 VPN 星形连接 可以使 VPN 流通从一个通道经 FortiGate 连接到另一 个通道 IPSec 冗余可以创建到远程网络的自动密钥交换 IPSec VPN 连接 高可用性 高可用性 HA 提供两个或多个 FortiGate 之间的 失效恢复机制 Fortinet 通过 冗余硬件实现 HA 功能 匹配在 NAT 路由模式运行下的 FortiGate 您可以将 FortiGates 配置为主动 被动 A P 模式或主动 主动 A A HA 模式 A P 模式和 A A 模式的 HA 均使用类似的高可用性冗余硬件配置 高可用性软件保 证了当 HA 组中一个 FortiGate 失效 所有功能及已建的...

Page 19: ...rtiGate 设备的状态 使用 基于 Web 的管理程序对配置所做的 修改会立即生效 而无须重新启动防火墙或中断服务 您可以将已经完成的配置下载 并保存 您所保存的设置可以在任何时间恢复到系统中 图 1 FortiGate 基于 Web 的管理程序 和设置向导 命令行接口 CLI 您可以将管理员计算机的串行通讯接口连接到 FortiGate 的 RS 232 串行控制台接 口上 从而访问 FortiGate 命令行控制界面 CLI 或者也可以使用 Telnet 或者安 全的 SSH 连接方式从任何与 FortiGate 连接的网络 包括互联网 中访问 CLI 界面 CLI 具有和 基于 Web 的管理程序相同的管理和监视功能 另外 您可以使用 CLI 进行一些高级配置工作 这是 基于 Web 的管理程序无法实现的 安装和配置指南 中 包含了有关基本 CLI 命令和高级 CLI 命令的信息...

Page 20: ...告 把最近 的事件记录到共享系统内存中去 2 50 版本的新特点 本节主要描述了 Forti0S v2 50 中的一些新的特征 系统管理 改善了 FortiGate 系统健康状态监视图象功能 包括 CPU 及内存的使用率 会话数 量 网络带宽使用率 以及检测到的病毒和入侵的数量 详细内容请见 第 86 页 系统状态 修订了防病毒和攻击定义更新功能 使其连接到新版本的 Fortinet 响应发布网络 现在可以以小时为单位进行定期更新 并且 系统 更新页面显示关于更新状态的 更多的详细信息 详情请见 第 91 页 病毒防护定义和攻击定义更新 可以从基于 Web 的管理程序直接连接到 Fortinet 技术支持网页的页面 您可以注册 您的 FortiGate 设备并获得访问其他技术支持资源的权利 详情请见 第 100 页 注册 FortiGate 设备 网络配置 新的网络接口配置选项 详情请见 ...

Page 21: ... 配置 SNMP HA 主动 主动模式的 HA 使用了交换机 并且具有选择时间表的能力 透明模式的 HA HA 簇的 A V 更新 HA 功能的配置同步 详情请见 第 55 页 高可用性 替换信息 您可以定制 FortiGate 设备发送的以下替换信息 当检测到病毒时 当有文件被阻塞时 当一个碎片文件被阻塞时 发送警报邮件时 详情请见 第 133 页 定制替换信息 防火墙 Firewall 防火墙的默认配置有一些改动 详情请见 第 138 页 默认防火墙配置 在所有接口上添加了虚拟 IP 详情请见 第 155 页 虚拟 IP 为防火墙策略添加了内容配置文件 可以组合有关阻塞 扫描 隔离 网页内容阻塞 和电子邮件过滤的有关配置信息 详情请见 第 163 页 内容配置文件 用户和认证 LDAP 认证 详情请见 第 170 页 配置 LDAP 支持 ...

Page 22: ...密策略选择服务 生成和导入本地证书 导入 CA 证书 NIDS 关于 FortiGate NIDS 功能的完整说明 请见 FortiGate NIDS 指南 新特性包 括 攻击检测特征分组 用户定义的攻击预防方式 在多个接口监视攻击 用户定义的攻击检测特征 防病毒 关于 FortiGate 防病毒功能的完整说明请见 FortiGate 内容保护指南 新特性包 括 内容配置文件 隔离含有病毒的文件或被阻塞的文件 阻塞大小超过限制的文件 网页过滤 关于 FortiGate 网页过滤功能的完整说明 请见 FortiGate 内容保护指南 新特 性包括 Cerberian URL 过滤 电子邮件过滤 关于 FortiGate 电子邮件过滤功能的完整说明请见 FortiGate 内容保护指南 ...

Page 23: ...2 50 版本的新特点 FortiGate 300 安装和配置指南 9 日志和报告 关于 FortiGate 日志记录的详细说明请见 FortiGate 日志和消息参考指南 使用 CSV 格式将日志记录到远程主机 日志消息级别 紧急 警报 危急 错误 警告 注意 信息 日志级别策略 通讯日志过滤 新病毒 网页过滤和电子邮件过滤日志 支持认证的报警邮件 抑制邮件泛滥 扩展的 WebTrends 活动图表支持 ...

Page 24: ...HCP 服务器 RIP 配置 描述了 FortiGate RIP2 如何实现以及如何配置 RIP 的相关设置 系统配置 描述了在系统 配置 基于 Web 的管理程序页可以进行的系统管理操作 本章描述了如何设置系统时间 添加和更改有管理权限的用户 配置 SNMP 以及编 辑可自定义的消息 防火墙配置 描述了如何配置防火墙策略以控制通过 FortiGate 设备的数据通讯 和 对数据通讯应用内容过滤 用户与认证 描述了如何在 FrotiGate 用户数据库中添加用户名 如何将 FortiGate 配置为连接到一个 RADIUS 服务器进行用户认证 IPSec VPN 描述如何配置 FortiGate IPSec VPN PPTP 和 L2TP VPN 描述了如何在 FortiGate 和 windows 客户端之间配置 PPTP 和 L2TP VPN 网络入侵检测系统 NIDS 描述了如何配置...

Page 25: ...iGate 安装和配置指南 描述了 FortiGate 设备的安装和基本配置方法 还描述了如何使用 FortiGate 的防 火墙策略去控制通过 FortiGate 设备的网络通讯 以及如何使用防火墙策略在通过 FortiGate 设备的网络通讯中对 HTTP FTP 和电子邮件等内容应用防病毒保护 网 页内容过滤和电子邮件过滤 第二卷 FortiGate 虚拟专用网络 VPN 指南 包含了在 FortiGate IPSec VPN 中使用认证 预置密钥和手工密钥加密的更加详细 的信息 还包括了 Fortinet 远程 VPN 客户端配置的基本信息 FortiGate PPTP 和 L2TP VPN 配置的详细信息 以及 VPN 配置的例子 第三卷 FortiGate 内容保护指南 描述了如何配置防病毒保护 网页内容过滤和电子邮件过滤 以保护通过 FortiGate 的内容 第四卷 For...

Page 26: ...12 美国飞塔有限公司 Fortinet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处 欢迎您将有 关信息发送到 techdoc fortinet com ...

Page 27: ...陆到该网站更改您的注册信息 以下电子邮件信箱用于 Fortinet 电子邮件支持 关于 Fortinet 电话支持的信息 请访问 http support fortinet com 当您需要我们的技术支持的时候 请您提供以下信息 您的姓名 公司名称 位置 电子邮件地址 电话号码 FortiGate 设备生产序列号 FortiGate 型号 FortiGate FortiOS 固件版本 您所遇到的问题的详细说明 amer_support fortinet com 为美国 加拿大 墨西哥 拉丁美洲和南美地区的客户提供服 务 apac_support fortinet com 为日本 韩国 中国 中国香港 新加坡 马来西亚 以及其 他所有亚洲国家和澳大利亚地区的客户提供服务 eu_support fortinet com 为英国 斯堪的纳维亚半岛 欧洲大陆 非洲和中东地区的客 户提供服务 ...

Page 28: ...14 美国飞塔有限公司 客户服务和技术支持 简介 ...

Page 29: ...防病毒防火墙的内容 一旦完 成此章内容 您可按如下章节进行配置 如果要在 NAT 路由 模式下运行 FortiGate 请参阅 第 29 页 NAT 路由 模式 安装 如果要在 透明 模式下运行 FortiGate 请参阅 第 43 页 透明模式安装 如果要在 HA 模式下运行两个或多个 FortiGate 请参阅 第 55 页 高可用 性 本章叙述了以下内容 包装中的物品 安置 启动 连接到基于 Web 的管理程序 连接到命令行接口 CLI FortiGate 出厂默认设置 规划您的 FortiGate 设备的配置 FortiGate 系列产品参数最大值列表 下一步 ...

Page 30: ...交叉连接以太网电缆 一根灰色普通以太网电缆 一根串行通信电缆 FortiGate 300 快速入门手册 一根电源线 包含了用户手册内容的光盘 两个 19 英寸机架安装支架 图 2 FortiGate 300 包装中的物品 安置 FortiGate 300 可安置在 19 英寸标准机架上 它需占据机架中 1 U 的空间 FortiGate 300 也可被独立安装在任何稳定平台上 独立安装需确保在其周围每側 留有 1 5 英寸 3 75 厘米 的空间以保证空气流通和风冷 尺寸 16 75 x 11 x 1 75 英寸 42 7 x 27 8 x 4 5 厘米 ...

Page 31: ...摄氏度 湿度 5 至 95 非冷凝 启动 按以下步骤启动 FortiGate 300 1 确认 FortiGate 300 后面的电源开关处在关闭状态 2 将电源线连接到 FortiGate 300 背面的电源接口处 3 将电源线接到电源插座 4 接通电源开关 数秒后 LCD 显示 SYSTEM STARTING 系统启动 当系统启动完毕并正常运行后 LCD 将显示主菜单 MAIN MENU 表 1 FortiGate 300 LED 指示灯 LED 状态 说明 Power 绿色 FortiGate 设备已经加电 熄灭 FortiGate 设备已经断电 Internal External DMZ HA 橙色 当前电缆使用中 并且所连接的设备已经加电 橙色闪烁 此接口有网络活动 绿色 此接口已建立速率为 100Mbps 的连接 熄灭 未建立连接 ...

Page 32: ...连接到 基于 Web 的管理程序 1 将与以太网相连的控制电脑的静态 IP 地址设定为 192 168 1 2 网络掩码 255 255 255 0 2 用交叉电缆或以太网集线器及电缆 控制电脑与 FortiGate 设备的内部接口相连 3 启动 Internet 浏览器并访问 https 192 168 1 99 需要输入 https 将显示 FortiGate 登录界面 4 在登录页面的姓名域中输入 admin 后按登录按钮 现在注册 页面将显示 根据此页所给信息来注册 FortiGate 这样 以便 Fortinet 在需要固件升级时与您联系 同时 也为了您可及时收到更新的防病毒和入 侵侦测数据库 图 3 FortiGate 登录 注意 您可以使用大多数常见的老版本的网页浏览器访问 基于 Web 的管理程序 微软互联网浏 览器 4 0 及以上版本能够完全支持 基于 Web 的管理程序...

Page 33: ...级终端程序 HyperTerminal 连接到 CLI 1 用串行通讯线将电脑的通信端口和 FortiGate 控制台端口相连 2 确认 FortiGate 的电源已打开 3 运行超级终端 为连接输入一个名称 然后单击 确定 4 将超级终端的连接方式配置为直接连接到计算机的串行通讯接口 这个接口即串行通 讯线所连接的接口 单击 确定 5 选择以下端口设置并单击确定 6 按回车键 连接到 CLI 将出现以下提示 FortiGate 300 login 7 输入 admin 后按两次回车键 将出现以下提示 Type for a list of commands 关于如何使用 CLI 请参阅 FortiGate CLI 参考手册 注意 以下步骤描述了如何用 Windows HyperTerminal 软件与 CLI 连接 您可以使用任何一种终 端模拟软件 每秒比特数 115200 数据位 8 奇...

Page 34: ...FortiGate 设备的通讯进行更多的控制 出厂时默认的内容配置文件可以用来快速地在防火墙策略中设置不同级别的防病毒 保护 网页内容过滤 电子邮件过滤 以控制网络通讯 出厂默认的 NAT 路由模式的网络配置 出厂默认的透明模式的网络设置 出厂时默认的防火墙配置 出厂时默认的内容配置文件 出厂默认的 NAT 路由模式的网络配置 FortiGate 设备首次加电时 它运行于 NAT 由模式 并具有表 2 中列出的基本网 络配置 这一配置允许您连接到 FortiGate 设备的基于 Web 的管理程序 并根据您网 络连接的要求配置 FortiGate 设备 在 表 2 中 HTTPS 管理访问意味着您可以使用这 一接口连接到 基于 Web 的管理程序 Ping 管理访问意味着这一接口可以响应 ping 请 求 表 2 出厂默认的 NAT 路由模式网络配置 管理员帐号 用户名 admin 密码 ...

Page 35: ...4 200 129 管理访问 Internal HTTPS Ping External Ping DMZ HA HTTPS Ping 表 4 出厂默认防火墙设置 内部地址 内部 _ 全部 IP 0 0 0 0 表示内部网络中的全部 IP 地址 掩码 0 0 0 0 外部地址 外部 _ 全部 IP 0 0 0 0 表示外部网络中的全部 IP 地址 掩码 0 0 0 0 DMZ 地址 DMZ_ 全部 IP 0 0 0 0 表示 DMZ 网络中的全部 IP 地址 掩码 0 0 0 0 循环任务 计划 总是 任务计划始终有效 这意味着防火墙策略始终有 效 防火墙策 略 内部 外部 从内部网络到外部网络的防火墙策略 源 内部 _ 全部 策略的源地址 内部 _ 全部意味着策略接受来自任 何内部 IP 地址的连接请求 目的 外部 _ 全部 策略的目的地址 外部 _ 全部意味着策略接受到外 部网络中的任何...

Page 36: ... 内容配置文件可以添加到 NAT 路由模式或透明模式策略中 严谨型内容配置文件 使用严谨的内容配置文件可以对 UHTTP FTP IMAP POP3 和 SMTP 等通讯的内容 应用最大限度的防护 通常情况下您不需要使用严谨型内容配置文件 但是如果您受 到病毒的严重威胁 需要最大限度地屏蔽病毒 可以选择严谨型内容配置文件 NAT NAT 在 NAT 路由模式的默认策略中被选中 以使得 策略对其处理的通讯进行网络地址转换 NAT 在透 明模式下不可用 流量控制 流量控制未被选中 策略不会对其所控制的通讯应 用流量控制 您可以选中这一选项 以控制这一策 略所处理的通讯的最大或最小带宽 认证 认证没有被选中 用户在建立到目的地址的连接之 前 无须通过防火墙的认证 您可以在防火墙上配 置用户组 并启用认证功能 要求用户在通过防火 墙建立连接之前先取得防火墙的认证 防病毒和网页内容过滤 防病毒和网页...

Page 37: ...据需要决定是否恢复被隔离的 文件 网页型内容配置文件 使用网页型内容配置文件可以对 HTTP 通讯的内容应用防病毒扫描和网页内容阻 塞 您可以在控制 HTTP 通讯的防火墙策略中添加这一内容配置文件 表 5 严谨型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 邮件阻塞 阻塞 阻塞 阻塞 阻塞 阻塞 传输邮件片段 表 6 扫描型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 邮件阻塞 传输 传...

Page 38: ...一下如何将它集成到您的网络中去 首 先 您需要决定这个设备在网络中是否可见 要提供哪些防火墙功能 以及如何控制 网络接口之间的数据流 表 7 网页型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 邮件阻塞 传输 传输 传输 传输 传输 传输邮件片段 表 8 非过滤型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护 文件阻塞 隔离 Web URL 阻塞 Web 内容阻塞 Web 脚本过滤 Web 排除列表 Email 阻塞列表 Email 排除列表 Email 内容阻塞 超大型文件 邮件阻塞 传输 传输 传输 传输 传输 传输邮件片段 ...

Page 39: ...连接 安全策略根据每个数据包的源地址 目的地址和服 务控制数据流 在 NAT 模式下 FortiGate 在将数据包发送到目的网络之前进行网络地 址转换 在路由模式下 不进行转换 默认情况下 FortiGate 只有一个 NAT 模式的策略 它使内部网络中的用户可以安 全地从外部网络下载内容 如果您没有配置其他安全策略 其他的数据流都将被阻塞 FortiGate 300 的 NAT 路由模式的一个比较典型的应用是作为私有网络和公共网 络之间的网关 在这种配置中 您可以创建 NAT 模式的策略以控制内部的私有网络和 外部的公共网络 通常是互联网 之间的数据流通 如果您安装了多个内部网络 例如除了内部私有网络之外还有 DMZ 网络 您也可以 添加从 DMZ 网络到内部或外部网络之间的路由模式策略 图 4 NAT 路由模式网络配置的例子 具有多个外部网络连接的 NAT 路由模式 在 NAT 路由...

Page 40: ...管理 IP 地址以便修改 FortiGate 的配置 这个管理 IP 地址还将用于获得防病毒保护和攻击定义的更新 透明模式下的 FortiGate 设备一个比较典型的应用是安装在一个位于防火墙或路由 器后面的私有网络中 FortiGate 提供一些基本的防护 例如防病毒和内容扫描 但是 不支持 VPN 图 6 透明模式网络配置的例子 您可以将 3 个网段连接到 FortiGate 设备上 以控制这些网段之间的数据流通 外部 可以连接到外部的防火墙或路由器 内部 可以连接到内部网络 DMZ HA 可以连接到其他网段 如果您创建了 HA 簇 DMZ HA 接口也可以连接到其他 FortiGate 300 上 配置选项 选择了透明模式或 NAT 路由模式操作之后 您可以继续完成您的配置计划 并开 始配置 FortiGate 设备 您可以使用基于 Web 的管理程序上的设置向导 控制按钮和 LCD...

Page 41: ...的 DHCP 服务器为您的内部网络中的 计算机分配 IP 地址 如果您计划将 FortiGate 设备设置为透明模式 您可以使用 CLI 切换到透明模式 添加管理员密码 管理 IP 地址和网关 以及 DNS 服务器地址 前面板和 LCD 如果您计划将 FortiGate 设备设置为以 NAT 路由模式运行 您可以使用控制按钮 和 LCD 添加 FortiGate 接口的 IP 地址和外部默认网关 如果您计划将 FortiGate 设备培植为以透明模式运行 您可以使用控制按钮和 LCD 切换到透明模式 然后添加管理 IP 地址和默认网关 FortiGate 系列产品参数最大值列表 表 9 FortiGate 参数最大值列表 FortiGate 产品型号 50 60 100 200 300 400 500 1000 2000 3000 3600 策略 200 500 1000 2000 500...

Page 42: ...0 500 500 500 500 500 500 500 500 500 IPsec 第一阶段 20 50 80 200 1500 1500 3000 5000 5000 5000 5000 VPN 集中器 500 500 500 500 500 500 500 500 500 500 500 VLAN 子接口 N A N A N A N A N A 1024 1024 2048 2048 8192 8192 区域 N A N A N A N A N A 100 100 200 200 300 500 IP 池 50 50 50 50 50 50 50 50 50 50 50 RADIUS 服务器 6 6 6 6 6 6 6 6 6 6 6 文件模板 56 56 56 56 56 56 56 56 56 56 56 PPTP 用户 500 500 500 500 500 500 500 ...

Page 43: ...模 式下安装 FortiGate 请参阅 第 43 页 透明模式安装 如果您要在 HA 模式 下安装两个或多个 FortiGate 请参阅 第 55 页 高可用性 本章叙述了以下内容 准备配置 NAT 路由模式 使用安装向导 使用前面板控制按钮和 LCD 使用命令行界面 完成配置 将 FortiGate 连接到网络中 配置网络 完成配置 配置举例 到互联网的多重连接 准备配置 NAT 路由模式 使用 表 10 收集您设置 NAT 路由 模式配置所需的信息 表 10 NAT 路由 模式配置 管理员密码 内部接口 IP _____ _____ _____ _____ 网络掩码 _____ _____ _____ _____ ...

Page 44: ...OP3 服务器 _____ _____ _____ _____ IMAP 服务器 _____ _____ _____ _____ FTP 服务器 _____ _____ _____ _____ 如果要从 Internet 访问内部网中的 WEB 服务器 邮件服务器 IMAP 服 务器 或 FTP 服务器 请在此添加服务器的 IP 地址 表 10 NAT 路由 模式配置 续 表 11 NAT 路由模式高级设置 外部接口 DHCP 如果您的互联网服务供应商 ISP 为您提供了使用 DHCP 的 IP 地址 则无须更多的信息 PPPoE 用户名 密码 如果您的互联网服务供应商使用 PPPoE 为您分配 IP 地址 记录您的 PPPoE 用户名和口令 DHCP 服务器 启始 IP _____ _____ _____ _____ 终止 IP _____ _____ _____ _____ 网络掩码 ...

Page 45: ...eb 的管理程序 至此 您已完成 FortiGate 的初始 配置 现在 可以进入 第 34 页 完成配 置 使用前面板控制按钮和 LCD 除安装向导外 也可使用 第 29 页 表 10 和 第 30 页 表 12 中记录的信息来完 成如下步骤 从 LCD 上显示的主菜单开始 用前面板控制按钮和 LCD 1 按回车键三次来配置内部接口 的 IP 地址 2 设置内部接口 的 IP 地址 使用上箭头和下箭头增加或减少 IP 地址中每位的值 按回车到下一位 按退出 Esc 回到前一位 3 在输入完最后一位 IP 地址后按回车 4 用向下箭头选择子网掩码 5 按回车并设置内部子网掩码 注意 如果您使用安装向导来配置内部服务器设置 FortiGate 会向每个配置的服务器分配端口 转送 IPs 和防火墙策略 对位于内部网的每个服务器 FortiGate 添加一个外部 内部策略 对位于 DMZ 里的每...

Page 46: ...255 255 255 0 3 将外部网络接口的 IP 地址和网络掩码设置为您在 第 29 页 表 10 中记录的外部 IP 地 址和网络掩码 输入 set system interface external mode static ip IP_ 地址 网络掩码 例如 set system interface external mode static ip 204 23 1 5 255 255 255 0 要将外部网络接口设置为使用 DHCP 输入 set system interface external mode dhcp connection enable 要将外部网络接口设置为使用 PPPoE 输入 set system interface external mode pppoe username 用户名_ 字符串 password 密码 _ 字符串 connection enab...

Page 47: ...号 _ 整数 dst 0 0 0 0 0 0 0 0 gw1 网关 IP 地址 例如 set system route number 0 dst 0 0 0 0 0 0 0 0 gw1 204 23 1 2 将 FortiGate 连接到网络中 在完成了初始配置之后 您可以在内部网络和互联网之间连接 FortiGate 了 FortiGate 300 有以下 10 100 BaseTX 接口 内部接口 用于连接到内部网络 外部接口 用于连接到互联网 DMZ HA 用于连接到 DMZ 网络或其他 FortiGate 300 组成高可用性应用 请见 第 55 页 高可用性 按以下方式连接运行于 NAT 路由模式的 FortiGate 1 将内部接口连接到您的内部网络的交换机或集线器上 2 将外部接口连接到互联网上 连接到 ISP 服务商提供的公共交换机和路由器上 如果使用 DSL 或带宽上网 ...

Page 48: ...FortiGate 接口的 IP 地址上 对于内部网 需将所有连接到 内部网上的电脑和路由器的缺省网关地址改为 FortiGate 内部接口的 IP 地址 对于 DMZ 网 需将所有连接到 DMZ 网上的电脑和路由器的缺省网关地址改为 FortiGate DMZ 接口的 IP 地址 对于外部网 则路由所有的数据包到 FortiGate 的外部接口上 如果使用 FortiGate 作为您内部网的 DHCP 服务器 需对内部网的电脑进行配置 一旦 FortiGate 连接好 可通过从内部网的电脑连接到 Internet 来确保其运行是 否正常 您应该能连接到任何的 Internet 地址 完成配置 根据用本节内容来完成 FortiGate 的初始配置 ...

Page 49: ...间 启用防病毒保护 按以下步骤启用防病毒保护 可以防止您的内部网络中的用户从互联网上下载病 毒 1 进入 防火墙 策略 内部 外部 2 单击编辑 以编辑这个策略 3 单击 防病毒和网络过滤 以启用这个策略的防病毒防火墙功能 4 选择扫描型内容配置文件 5 单击确定以保存您所做的修改 注册 FortiGate 设备 在购买和安装了一个新的 FortiGate 设备之后 您可以进入 系统 更新 支持来 注册您的设备 或者使用网页浏览器连接到 http support fortinet com 然后选择 产品注册 注册内容包括您的联系方式 您或者您所在的机构购买的 FortiGate 设备的产品序 列号 注册过程非常方便快捷 您可以一次就注册多个 FortiGate 设备 而无须重复 输入您的联系方式 关于注册的更多信息 请见 第 100 页 注册 FortiGate 设备 配置防病毒和攻击定义...

Page 50: ...服务供应商连接到互联网 FortiGate 设备使用外部接口和 DMZ HA 接口 连接到互联网 外部接口连接到 ISP1 提供的网关 1 DMZ HA 连接到 ISP2 提供的网关 2 在接口上添加了 ping 服务器 并配置了路由之后 您可以控制通讯如何使用每个 到互联网的连接 在这种路由配置方式下您可以继续创建支持到互联网的多重连接的 防火墙策略 本节提供了一些具有到互联网的多重连接的 FortiGate 设备中配置路由和防火墙 的例子 要使用本节中的所提供的信息 我们建议您先熟悉一下关于 FortiGate 路由 请见 第 113 页 配置路由 和 FortiGate 防火墙配置 见 第 137 页 防火墙配置 下面的例子显示了如何配置基于目的地的路由和策略路由以控制不同类型的通讯 配置 Ping 服务器 基于目的地的路由配置举例 策略路由的例子 防火墙策略举例 ...

Page 51: ...tiGate 300 安装和配置指南 37 图 8 到互联网的多重连接的配置的例子 配置 Ping 服务器 按照以下步骤将网关 1 设置为外部接口的 Ping 服务器 将网关 2 设置为 DMZ HA 接 口的 Ping 服务器 1 进入系统 网络 接口 2 在外部接口上选择修改 Ping 服务器 1 1 1 1 选择启用 Ping 服务器 单击确定 3 在 DMZ HA 接口上选择修改 Ping 服务器 2 2 2 1 选择启用 Ping 服务器 单击确定 ...

Page 52: ...备份连接 按照以下步骤添加默认的基于目的地的路由 以将所有向外的通讯定向到网关 1 如果网关 1 失效了 所有连接会被重定向到网关 2 网关 1 是到互联网的主连接 网关 2 是备份连接 1 进入 系统 网络 路由表 2 选择 新建 目的 IP 0 0 0 0 掩码 0 0 0 0 网关 1 1 1 1 1 网关 2 2 2 2 1 设备 1 外部 设备 2 dmz ha 单击确定 使用 CLI 1 在路由表中添加路由 set system route number 0 dst 0 0 0 0 0 0 0 0 gw1 1 1 1 1 dev1 external gw2 2 2 2 1 dev2 dmz ha 负载分配 您也可以将基于目的的路由配置为同时将通讯定向到两个网关 如果您的内部网络 中的用户连接到 IPS1 和 IPS2 的网络中 您可以为每个目的地添加路由 每个路由可 以包括一个...

Page 53: ...子中的路由方法组合起来 为用户提供一个到互联网的 主连接和一个备份连接 并根据需要将通讯分配到每个 ISP 的网络上 下面所描述的路由允许内部网络中的用户通过网关 1 和 ISP1 访问互联网 同时 这个用户还可以通过 ISP2 的网关 2 去访问他的电子邮件服务器 使用 基于 Web 的管理程序添加路由 1 进入 系统 网络 路由表 2 单击新建以添加到互联网的主连接和备份连接的默认路由 目的 IP 0 0 0 0 掩码 0 0 0 0 网关 1 1 1 1 1 网关 2 2 2 2 1 设备 1 外部 设备 2 dmz ha 单击确定 3 单击新建以添加到 ISP1 的网络的路由 目的 IP 0 0 0 0 掩码 0 0 0 0 网关 1 1 1 1 1 网关 2 2 2 2 1 设备 1 外部 设备 2 dmz ha 表 14 负载分配路由 目的 IP 掩码 网关 1 设备 1 网关...

Page 54: ...55 255 255 0 gw1 2 2 2 1 dev1 dmz ha gw2 1 1 1 1 dev2 external 2 添加到互联网的主连接和备份连接的默认路由 set system route number 3 dst 0 0 0 0 0 0 0 0 gw1 1 1 1 1 dev1 external gw2 2 2 2 1 dev2 dmz ha 路由表中的路由应当按照 表 15 中的顺序排序 策略路由的例子 添加策略路由可以增强您对数据包被路由的方式的控制能力 策略路由工作在基于 目的的路由的顶部 这意味着您应当先配置基于目的的路由并在顶部建立策略路由以 增强由基于目的的路由提供的控制能力 例如 如果您为一个到互联网的双重连接配置了基于目的的路由 您可以使用策略 路由对通讯被发送到哪条目的路由进行控制 本节描述了以下策略路由的例子 它们 基于类似于 第 37 页 图 8 的...

Page 55: ...5 0 gw 2 2 2 1 路由到外部网络的服务 您可以使用以下策略路由将所有 HTTP 通讯 使用 80 端口 定向到一个外部网络 而将其他的全部通讯定向到另一个外部网络 1 输入以下命令将使用 80 端口的全部 HTTP 通讯路由到 IP 地址为 1 1 1 1 的网关 set system route policy 1 src 0 0 0 0 0 0 0 0 dst 0 0 0 0 0 0 0 0 protocol 6 port 1 1000 gw 1 1 1 1 2 输入以下命令将其他的全部通讯路由到 IP 地址为 2 2 2 1 的网关 Set system route policy 2 src 0 0 0 0 0 0 0 0 dst 0 0 0 0 0 0 0 0 gw 2 2 2 1 防火墙策略举例 防火墙策略控制着通过 FortiGate 设备的通讯流 一旦配置了到互联网...

Page 56: ... 为了将 FortiGate 设备配置为使用到互联网的多重连 接 您必须为从内部网络到每个连接到互联网的接口的连接方式创建双重的策略 而 且 您添加了冗余策略后 还需要在两个策略列表中将他们按照相同的顺序排列 限制到单一互联网连接的访问 在某些情况下 您可能希望将一些通讯限制为仅能通过一个到互联网的线路进行连 接 例如 在 第 37 页 图 8 所示的拓扑结构中 该机构可能希望只有通过 ISP1 的 到 SMTP 服务器可以连接到他们的邮件服务器 为此 您需要为 SMTP 连接添加一个内 部 外部防火墙策略 因为没有添加冗余策略 来自内部网络的 SMTP 通讯总是连接 到 ISP1 如果到 ISP1 的连接失败 SMTP 连接就无法建立 源 内部 _ 全部 目的 DMZ_ 全部 任务计划 总是 服务 任意 动作 接受 NAT 选种 NAT ...

Page 57: ...接口 完成配置 将 FortiGate 连接到网络中 透明模式配置的例子 准备配置透明模式 使用 表 16 收集您设置 NAT 路由 模式配置所需的信息 使用安装向导 从 基于 Web 的管理程序 使用安装向导来建立您 FortiGate 的初始配置 欲连接 到基于 Web 的管理程序 请参阅 第 18 页 连接到基于 Web 的管理程序 表 16 透明模式设置 管理员密码 管理用 IP 地址 IP _____ _____ _____ _____ 子网掩码 _____ _____ _____ _____ 默认网关 _____ _____ _____ _____ 管理 FortiGate 的网络中的管理 IP 地址和子网掩码必须有效 如 FortiGate 须连接到路由器来到达控制电脑 则需填入缺省网关地址 DNS 设置 主 DNS 服务器 _____ _____ _____ _____ 辅...

Page 58: ...所获得的信息进行设置 单击下一步按顺序逐步完成安装向 导的若干页面 3 保您的输入无误后按完成按钮结束 重连接到 基于 Web 的管理程序 如果使用安装向导更换内部接口的 IP 地址 必须使用新 IP 地址重连接到基于 Web 的管理程序上 流览 https 跟着管理接口的新 IP 地址 或者 您也可通过 https 10 10 10 1 重连到基于 Web 的管理程序 如果要通过一路由器连接到管理 接口 请确保在管理 IP 缺省网关域里填入此路由器的缺省网关值 使用前面板控制按钮和 LCD 以下步骤描述了如何使用控制按钮和 LCD 配置透明模式下的 IP 地址 使用您在 第 43 页 表 16 中记录的信息完成如下步骤 从 LCD 上显示的主菜单开始 使用前面 板的控制按钮和 LCD 1 按回车键三次来配置管理 的 IP 地址 2 设置管理接口的 IP 地址 使用上箭头和下箭头增加或减少...

Page 59: ...ype for a list of commands 4 确认 FortiGate 已经切换到了透明模式 输入 get system status CLI 显示 FortiGate 的状态 最后一行显示了当前的操作模式 Operation mode Transparent 配置透明模式的管理 IP 地址 1 如果您还没有登录 首先登录到 CLI 2 将管理用 IP 地址和网络掩码设置为您在 第 43 页 表 16 输入 set system management ip IP 地址 网络掩码 例如 set system management ip 10 10 10 2 255 255 255 0 3 确认地址是正确的 输入 get system management CLI 列出管理 IP 地址和网络掩码 配置透明模式的默认网关 1 如果您还没有登录 首先登录到 CLI 2 将默认路由设置为...

Page 60: ... FortiGate 设备 在购买和安装了一个新的 FortiGate 设备之后 您可以进入 系统 更新 支持来 注册您的设备 或者使用网页浏览器连接到 http support fortinet com 然后选择 产品注册 注册内容包括您的联系方式 您或者您所在的机构购买的 FortiGate 设备的产品序 列号 注册过程非常方便快捷 您可以一次就注册多个 FortiGate 设备 而无须重复 输入您的联系方式 关于注册的更多信息 请见 第 100 页 注册 FortiGate 设备 配置防病毒和攻击定义更新 您可以进入 系统 更新 以配置 FortiGate 设备的自动检查新版本的防病毒定义和 攻击定义 如果它发现了新的版本 FortiGate 设备会自动下载和安装更新的定义 FortiGate 设备使用 8890 端口的 HTTPS 方式连接去检查更新 FortiGate 外部接口 ...

Page 61: ...按以下方式连接运行于透明模式的 FortiGate 300 1 将内部接口连接到您的内部网络的交换机或集线器上 2 将外部接口连接到互联网上 连接到 ISP 服务商提供的公共交换机和路由器上 3 将 DMZ HA 接口连接到其他网络的集线器或交换机上 图 9 FortiGate 300 透明模式连接 在透明模式下 FortiGate 不改变网络的第三层拓扑结构 这意味着它的所有接口 在相同的子网中 并且对于其他设备来说它相当于一个网桥 FortiGate 透明模式的一 个典型的应用是在一个已有的防火墙配置后面提供防病毒和内容扫描 透明模式的 FortiGate 也可以提供防火墙功能 尽管它不是第三层拓扑结构中的一 部分 但是它可以检验第三层头信息以决定是否阻塞或允许流通 ...

Page 62: ...本节描述了 默认路由和静态路由 到外部网络的默认路由的例子 到外部目的地址的静态路由的例子 到内部目的地址的静态路由的例子 默认路由和静态路由 要创建到一个目的地的路由 您需要根据 IP 网络地址和相应的网络掩码定义一个 IP 前缀 一个默认的路由匹配任何前缀 可以将数据流转发到下一个路由器 或默认 网关 一个静态的路由匹配特定的前缀 并将数据流转发到下一个路由器 默认路由的例子 静态路由的例子 到外部网络的默认路由的例子 图 10 展示了 FortiGate 中包括管理站点在内的所有目的地址都位于外部网络的例 子 要达到这些地址 FortiGate 必须连接到通向外部网络的上游路由器 为了便于连 接 您需要输入单一的默认路由指向上游路由器 使之成为下一个跳跃 默认网关 IP 前缀 0 0 0 0 IP 地址 0 0 0 0 网络掩码 下一个跳跃 192 168 1 2 IP 前缀 172...

Page 63: ...透明模式安装 透明模式配置的例子 FortiGate 300 安装和配置指南 49 图 10 到外部网络的默认路由 通用配置步骤 1 将 FortiGate 设置为透明模式 2 配置 FortiGate 的管理 IP 地址和网络掩码 3 配置到外部网络的默认路由 ...

Page 64: ... 配置 FortiGate 基本设置和路由 1 将系统操作模式修改为透明模式 ode set system opmode transparent 2 添加管理 IP 地址和掩码 set system management ip 192 168 1 1 255 255 255 0 3 添加到外部网络的默认路由 set system route number 1 gw1 192 168 1 2 到外部目的地址的静态路由的例子 图 11 展示了需要到 FDN 的路由的 FortiGate 配置的例子 FortiGate 不需要到 DNS 服务器或管理工作站的路由 因为它们位于内部网络中 要连接到 FDN 您只需要输入一个到外部网络的默认路由 然而如果您希望使用更 加安全的方法 除了到外部网络的默认路由外 还可以输入到一个特定 FortiResponse 服务器的静态路由 如果静态路由不可用 可能...

Page 65: ...51 图 11 到外部地址的静态路由 通用配置步骤 1 将 FortiGate 设置为透明模式 2 配置 FortiGate 的管理 IP 地址和网络掩码 3 配置到 FortiResponse 服务器的静态路由 4 配置到外部网络的默认路由 基于 Web 的管理程序配置步骤 要使用基于 Web 的管理程序配置基本的 FortiGate 设置和静态路由 1 进入 系统 状态 选择 切换到透明模式 在操作模式列表中选择透明 单击 确定 FortiGate 现在已经切换到透明模式 ...

Page 66: ...置和静态路由 1 将系统操作模式设置为透明模式 set system opmode transparent 2 添加管理 IP 地址和网络掩码 set system management ip 192 168 1 1 255 255 255 0 3 添加到主 FortiResponse 服务器的静态路由 set system route number 1 dst 24 102 233 5 255 255 255 0 gw1 192 168 1 2 4 添加到外部网络的默认路由 set system route number 2 gw1 192 168 1 2 到内部目的地址的静态路由的例子 图 12 展示了 FDN 位于一个外部子网而管理工作站位于一个远程的内部子网的 FortiGate 连接的例子 要达到 FDN 您需要输入一个默认路由指向作为下一个跳跃 默认网关的上游路由器 要达到管理...

Page 67: ...透明模式安装 透明模式配置的例子 FortiGate 300 安装和配置指南 53 图 12 到内部目的地址的静态路由 通用配置步骤 1 将 FortiGate 切换到透明模式 2 配置 FortiGate 的管理 IP 地址和网络掩码 3 配置到内部网络中的管理工作站的静态路由 4 配置到外部网络的默认路由 ...

Page 68: ... 选择新建 添加到管理工作站的静态路由 IP 172 16 1 11 掩码 255 255 255 0 网关 192 168 1 3 单击 确定 选择新建添加到外部网络的默认路由 IP 0 0 0 0 掩码 0 0 0 0 网关 192 168 1 2 单击 确定 CLI 配置步骤 使用 CLI 配置 FortiGate 基本设置和静态路由 默认路由 1 将系统操作模式设置为透明模式 set system opmode transparent 2 添加管理 IP 地址和掩码 set system management ip 192 168 1 1 255 255 255 0 3 添加到管理工作站的静态路由 set system route number 1 dst 172 16 1 11 255 255 255 0 gw1 192 168 1 3 4 添加到外部网络的默认路由 set sy...

Page 69: ...告各自的系统状态 这个 HA 簇中的设备会一直进行 HA 状态信息通讯以保证 HA 簇工 作正常 因此 在这个 HA 簇中全部 FortiGate 设备的 HA 接口之间的连接必须妥善地 维护 这些通讯的任何中断都将导致不可预知的后果 您可以连接到主 FortiGate 的任何接口去管理 HA 簇 FortiGate 设备可以设置为以主动 被动 A P 模式或主动 主动 A A 模式 运行 NAT 路由模式和透明模式下的 FortiGate 设备都支持主动 主动模式和主动 被动模式的 HA 本章提供了一个关于 HA 功能的概述 并描述了在 NAT 路由模式和透明模式下如何 创建一个 HA 簇 主动 被动 HA 主动 主动 HA NAT 路由模式下的 HA 透明模式下的 HA 管理 HA 组 高级 HA 选项 主动 被动 HA 主动 被动 A P 式的 HA 也可以称作热备份型的 HA 它包...

Page 70: ...e 设备中去 在主动 主动 HA 模式下 主设备使用下面所列出的算法之一在 HA 簇的成员设备中 分配网络会话 HA 簇的成员在启动过程中协商推选出主设备 主设备可以允许其他 FortiGate 设 备作为附属设备加入这个 HA 簇 并为每个附属设备分配优先权 FortiGate 设备通过 FortiGate HA 接口传输状态和会话信息 在同一个 HA 簇中的 所有设备共同维护所有的会话信息 在使用负载均衡的工作模式下 主 FortiGate 设 备将数据包转发到附属设备 它将数据包从收到数据包的那个接口发送到附属 FortiGate 设备的对应的接口上 如果主设备失效 在已经失效的主设备上注册的第一个附属设备将成为新的主设 备 新的主设备会通知其他的 FortiGate 设备它已经成为主设备 并重新设置剩下的 附属设备的优先级 新的主设备还将重新分配 HA 簇中的每个设备所负担的通讯会...

Page 71: ...装和配置 FortiGate 设备 HA 组中的所有 FortiGates 应具有相同的配置 在完成 配置 HA 接口 之前 先不要将 FortiGate 设备接入网络 配置 HA 接口 将 HA 簇中的全部 FortiGate 300 的 DMZ HA 接口配置为 HA 模式 当您将 DMZ HA 接 口配置为 HA 模式的时候 系统 配置 HA 选项变成活动状态 在 HA 模式下运行时 DMZ HA 接口不能连接到 DMZ 网络 因为它们是 HA 通讯专用的 每个 FortiGate 300 的 DMZ HA 接口必须配置不同的 IP 地址 DMZ HA 接口的 IP 地 址必须在同一子网内 并且他们必须配置为可以进行管理访问 对 HA 组中的所有 FortiGate 重复以下操作 1 连接 FortiGate 设备 并登录基于 Web 的管理程序 2 进入 系统 网络 接口 3 对于...

Page 72: ...须相同 5 为这个 HA 簇设置一个密码 在这个 HA 簇中 所有的密码必须相同 6 为这个 HA 簇选择一个组 ID 在这个 HA 中的所有 FortiGate 必须使用相同的组 ID 7 如果您将设备配置为以主动 主动 HA 模式工作 选择一个负载均衡算法 算法控制主动 主动 HA 簇中的 FortiGate 设备之间的负载均衡 在这个 HA 簇中的所 有 FortiGate 设备的负载均衡算法必须相同 SSH 允许通过此接口建立到 CLI 的 SSH 连接 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息 TELNET 允许通过此接口建立到 CLI 的 Telnet 连接 Telnet 连接并不安全 有可能被第三 方截获 注意 以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备 您还可以使用 第 59 页 ...

Page 73: ...每个 FortiGate 重复以上操作 当您配置完全部的 FortiGate 设备之后 可以进行 将 HA 簇连接到您的网络 操作 将 HA 簇连接到您的网络 要将 HA 簇接入您的网络 您必须将 HA 簇内所有对应的接口连接到同一个集线器或 交换机上 然后您必须将这些接口通过相同的交换机或集线器分别连接到对应的网络 上 加权循环 加权循环负载均衡 类似于循环算法 但它是为 HA 簇中的每个设备根据 他们的容量和其当前处理的连接数计权 例如 主设备应该具有最低的 权重 因为它要负责处理和分配通讯连接 加权循环负载均衡能够将通 讯分配得更加均匀 因为处理较少通讯的设备将比处理较多通讯的设备 更容易被分配到通讯连接 随机 随机负载均衡 如果 FortiGate 设备使用交换机连接 选择随机负载均 衡可以将通讯随机分配到 HA 簇中的设备上 IP 根据 IP 地址的负载均衡 如果 FortiGa...

Page 74: ...Gate 设备的 HA 接口之间的连接 必须妥善地维护 这个通讯的任何中断都将导致不可预料的后果 建议您使用交换机以提高网络的性能 无论您将 FortiGate 设备配置为主动 主动 HA 模式或主动 被动 HA 模式 所需的 网络设备和配置的步骤都十分相似 以下操作用于把 FortiGate 连接到您的网络上 1 将每一台 FortiGate 的内部网络接口都连接到一个与您的部网络相连的交换机或者集 线器上 2 将每一台 FortiGate 的外部网络接口都连接到一个与您外部网络相连的交换机或者集 线器上 3 把 FortiGates 的 DMZ HA 接口连接到一台单独的交换机或者集线器上 图 14 HA 网络配置 当您连接完 HA 簇之后 可以进行 启动 HA 簇 操作 ...

Page 75: ...Gates 应具有相同的配置 在完成 配置 HA 接口 之前 先不要将 FortiGate 设备接入网络 配置 HA 接口和 IP 地址 将 HA 簇中的全部 FortiGate 300 的 DMZ HA 接口配置为 HA 模式 当您将 DMZ HA 接 口配置为 HA 模式的时候 系统 配置 HA 选项必须设置为活动 在 HA 模式下运行时 DMZ HA 接口不能连接到 DMZ 网络 因为它们是 HA 通讯专用的 每个 FortiGate 300 的 DMZ HA 接口必须配置不同的 IP 地址 DMZ HA 接口的 IP 地 址必须在同一子网内 并且他们必须配置为可以进行管理访问 对 HA 组中的所有 FortiGate 重复以下操作 1 连接 FortiGate 设备 并登录 基于 Web 的管理程序 2 进入 系统 网络 接口 3 对于 DMZ HA 接口 选择 工作于 HA 把 ...

Page 76: ... HA 簇中的全部 FortiGate 设备的 HA 模式必须相同 5 为这个 HA 簇设置一个密码 在这个 HA 簇中 所有的密码必须相同 6 为这个 HA 簇选择一个组 ID 在这个 HA 中的所有 FortiGate 必须使用相同的组 ID 7 如果您将设备配置为以主动 主动 HA 模式工作 选择一个负载均衡算法 算法控制主动 主动 HA 簇中的 FortiGate 设备之间的负载均衡 在这个 HA 簇中的所 有 FortiGate 设备的负载均衡算法必须相同 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息 TELNET 允许通过此接口建立到 CLI 的 Telnet 连接 Telnet 连接并不安全 有可能被第三 方截获 注意 以下操作叙述了在将 HA 簇连接到您的网络之前如何配置 HA 簇中的每个 FortiGate 设备 您还可以使用 第 63 ...

Page 77: ...iGate 设备重复以上操作 当您完成了对每个 FortiGate 设备的配置工作之后 可以进入下一步 将 HA 簇 连接到您的网络中 将 HA 簇连接到您的网络中 要将 HA 簇接入您的网络 必须将 HA 簇内所有对应的接口连接到同一个集线器或交 换机上 然后您必须将这些接口通过相同的交换机或集线器分别连接到对应的网络上 加权循环 加权循环负载均衡 类似于循环算法 但是为 HA 簇中的每个设备根据他 们的容量和他们当前处理的连接数计权 例如 主设备应该具有最低的 权重 因为它要负责处理和分配通讯连接 加权循环负载均衡能够将通 讯分配得更加均匀 因为处理的通讯少的设备将比任务重的设备更容易 被分配到通讯连接 随机 随机负载均衡 如果 FortiGate 设备使用交换机连接 选择随机负载均 衡可以将通讯随机分配到 HA 簇中的设备上 IP 根据 IP 地址的负载均衡 如果 FortiGate...

Page 78: ...接了 HA 簇之后 可以进行 启动 HA 簇 操作 启动 HA 簇 将 HA 簇中的全部 FortiGate 设备都配置为 HA 并且将这个簇连接起来之后 可以使 用以下操作启动 HA 簇 1 为簇中的所有 HA 设备加电 在设备启动过程中 它们将协商以选出主簇设备和附属设备 这个协商过程是自动进 行的 无须用户干预 当协商完成后 这个簇已经准备好处理网络通讯了 您可以使用 第 64 页 管理 HA 组 中的信息在这个簇登录和进行管理 管理 HA 组 当 FortiGate 设备启动并运行时 您可以把它作为一个簇进行管理 而不是管理一 组独立的 FortiGate 设备 对 HA 簇的管理 可以通过将基于 Web 的管理程序或者 CLI 连接到为管理访问配置好的任何接口来实现 因为这个簇中的全部设备都配置了相同 的接口 IP 地址 除了 HA 接口 连接到 IP 地址配置为管理访问连接的任...

Page 79: ...了这个 HA 簇中的 FortiGate 设备的序列号 主设备的识别符 是本地 列表中还包括了簇成员的运行时间和状态 图 16 簇成员列表的例子 监视簇成员 按如下步骤操作可以监视每一个簇成员的状态信息 1 连接到簇并登录基于 Web 的管理程序 2 进入系统 状态 监视器 显示每个簇成员的 CPU 内存状态和硬盘状态 主设备的标识符是本地 其他设备则按 照序列号列出 显示内容还包括了当前 CPU 和内存使用率的柱状图示 以及过去数分钟的 CPU 和内存 使用率的曲线图 关于详细信息请见 第 87 页 查看 CPU 和内存状态 3 选择会话和网络 显示出每个簇成员的会话和网络状态 主设备的识别标志是本地 其他设备根据他们 的序列号列出 显示的内容还包括当前会话数和当前网络利用率的柱状显示 以及过去数分钟内的会 话数和网络利用率的曲线图 曲线图的比例尺在图的左上角显示 有关详细信息 请见 第...

Page 80: ...曲线图 曲线图的比例尺在图的左上角显示 有关详细信息 请见 第 88 页 查看病毒和入侵状态 5 选择数据包和字节 显示每个簇成员处理的数据包数和字节数 6 您可以设置上述显示内容的刷新次数 然后单击执行以控制基于 Web 的管理程序更新 显示的次数 刷新得越频繁 消耗的系统资源和网络通讯就越多 然而 只有在您使用基于 Web 的 管理程序查看显示的时候才会出现这种情况 曲线图比例尺显示在图的右上角 监视簇会话 如下操作可以查看当前主设备上的会话 1 连接到簇并登录进基于 Web 的管理程序 2 进入 系统 状态 会话 会话表显示了簇中的主设备处理的会话 会话包括主设备和附属设备之间的 HA 通讯 查看和管理簇日志消息 按如下步骤查看每个簇成员的日志消息 1 连接到簇并登录基于 Web 的管理程序 ...

Page 81: ... 首先 每个设备的 HA 接口必须配置为允许 HTTPS 和 SSH 管理访问 您还可以按照如下操作连接到簇中的每个设备的 CLI 从基于 Web 的管理程序单独管理设备 1 使用 SSH 连接到簇并登录基于 Web 的管理程序 连接到簇的任何配置了 SSH 管理访问的接口可以自动地登录到主设备 您还可以使用直接电缆连接登录到主设备的 CLI 首先您要知道哪个设备是主设备 请见 第 69 页 从 FortiGate 设备中选择一个主设备 以控制哪个 FortiGate 设 备成为主设备 2 输入以下命令 后边加上一个空格和一个问号 execute ha manage 将显示簇中的全部附属设备的列表 这个列表中的每个簇设备从 1 开始编号 显示的 每个簇设备的信息包括设备序列号和主机名 3 在命令后加上附属设备的编号即可登录 例如 要登录到一号附属设备 输入如下命 令 execute ha ...

Page 82: ...eb 的管理程序 2 进入 系统 配置 HA 3 选择 独立模式 然后单击 应用 现在 FortiGate 设备退出了 HA 模式 并返回到了 独立模式 在失效恢复后替换 FortiGate 失效 恢复 出现在软件或者硬件有问题的情况下 当 失效 恢复出现时 您可以 尝试关闭失效的 FortiGate 的电源再打开它 重新启动这台 FortiGate 如果这个 FortiGate 能够正常地启动 它将重新加入到 HA 组中并正常工作 如果 FortiGate 没 能正常启动或者无法重新加入 HA 组中 您必须把它从网络中取出 更换它或者重新配 置它 表 18 execute ha synchronize 关键字 关键字 说明 config 同步 FortiGate 配置 包括常规系统配置 防火墙配置 VPN 配置以及其他保 存在 FortiGate 配置文件中的内容 avupd 同步主设备...

Page 83: ... 设置永久主设备的优先级 输入 set system ha priority 优先级 _ 整数 优先级 _ 整数 是永久主设备要设置的优先级 优先级最低的设备将成为主设备 默 认的优先级 128 将永久性主设备的优先级设置为一个小于 128 的数 例如 将永久性主设备的优先级设置为 10 使用如下命令 set system ha priority 10 3 确保这个簇中的其他所有设备的优先级高于这个永久性主设备的优先级 get system ha mode 命令显示您当前连接到的 FortiGate 设备的优先级 4 当永久性主设备加入簇时覆盖一个现有的主设备的设置 使用如下命令 set system ha override enable 启用覆盖可以使永久性主设备总是能够覆盖其他主设备的设置 例如 如果永久性主 设备关机 簇中的其他另一个设备将代替它成为主设备 当永久性主设备重新启动后 ...

Page 84: ...70 美国飞塔有限公司 高级 HA 选项 高可用性 这个命令有以下结果 第一个连接由主设备处理 下面的三个连接由第一个附属设备处理 在下面的三个连接由第二个附属设备处理 附属设备将比主设备处理更多的连接 而两个附属设备处理的连接数一样多 ...

Page 85: ...rtiGate 系统设置做以下修改 修改 FortiGate 主机名 修改 FortiGate 固件 手动更新病毒防护定义库 手动更新攻击定义库 备份系统设备 恢复系统设置 将系统设置恢复到出厂设置 转换到透明模式 转换到 NAT 路由模式 重新启动 FortiGate 设备 关闭 FortiGate 设备 如果您使用任何其他管理员帐号登录到基于 Web 的管理程序 您可以进入系统 状 态 以查看包括如下系统设置 显示 FortiGate 的序列号 显示 FortiGate 运行时间 显示日志硬盘状态 所有的管理员用户还可以进入系统 状态 监视器 查看 FortiGate 系统的状态 系统状态显示了 FortiGate 的健康状态监视信息 包括 CPU 和内存状态 会话和网络 状态 系统状态 所有的管理员用户也可以进入系统 状态 会话查看连接到 FortiGate 设备和通过 该设备的活动...

Page 86: ...eb 的管理程序和 CLI 操作将 FortiOS 升级到一个新 的 FortiOS 固件版本或者同一固件版本的较新的子版本 恢复到一个旧的固件版 本 使用基于 Web 的管理程序 或 CLI 恢复到一个从前版本的固件 这一 操作可以将您的 FortiGate 设备恢复到它的出厂默认设置 使用 CLI 重新启动系统 安装固件 使用这一操作可以安装新版本的固件或者恢复一个老版本的固件 您只能使用 FortiGate 串行通讯接口和串行通讯线缆通过 CLI 执行 这一操作 这一操作将您的 FortiGate 设备恢复到它的出厂默认设 置 在安装新版本的固件之 前进行测试 使用这一操作可以在安装新版本的固件映像之前对它进行测试 您 只能使用 FortiGate 串行通讯接口和串行通讯线缆通过 CLI 执行这 一操作 这一操作临时安装新版本的固件映像并使用您当前的系统 配置 您可以在永久性地安装它...

Page 87: ...FPT 服务的电脑 例如 如果 TFTP 服务器的 IP 地址是 192 168 1 168 execute ping 192 168 1 168 5 输入下述命令将固件映像文件从 TFPT 服务器拷贝到 FortiGate 上 execute restore image 名称 _ 字符串 tftp_ip 名称_字符串 是TFTP服务器上的固件映像文件的文件名 tftp_ip 是TFTP 服务器的 IP 地址 例如 如果固件映像文件的文件名是 FGT 60 v236 build068 FORTINET out TFTP 服务器的 IP 地址为 192 168 1 168 输入 execute restore image FGT 60 v236 build068 FORTINET out 192 168 1 168 FortiGate 上载固件映像文件 升级到新版本的固件 重新启动 这一过程...

Page 88: ...v2 36 您可能无法恢复您的配置备份文件中保存的从前的配置 1 将固件映像文件拷贝到您的管理员电脑 2 使用 admin 管理员帐号登录到基于 Web 的管理程序 3 进入 系统 状态 4 单击 固件升级 5 输入固件升级文件的文件名和路径 或者单击 浏览 然后定位那个文件 6 单击 确定 FortiGate 将上载升级文件 回复到旧版本的固件并重新启动 复位系统配置 重新 启动 显示 FortiGate 登录提示 这一过程需要几分钟的时间 7 登录到基于 Web 的管理程序 当 FortiGate 设备设置为出厂默认设置时 关于登录到基于 Web 的管理程序的详细信 息请见 第 18 页 连接到基于 Web 的管理程序 8 进入 系统 状态 检查固件的版本 确认固件已经被成功地安装上了 9 恢复您的配置 请见 第 84 页 恢复系统设置 如何恢复您从前的配置 10 使用 第 95 页 ...

Page 89: ...cute restore image 名称 _ 字符串 tftp_ip 名称 _ 字符串 是 TFTP 服务器上的固件映像文件的文件名 tftp_ip 是 TFTP 服务器的 IP 地址 例如 如果固件映像文件的文件名是 FGT 60 v236 build068 FORTINET out TFTP 服务器的 IP 地址为 192 168 1 168 输入 execute restore image FGT_300 v250 build045 FORTINET out 192 168 1 168 FortiGate 将上载升级文件 一旦文件上载完成 将显示如下信息 Get image from tftp server OK This operation will downgarde the current firmware version Do you want to continue y ...

Page 90: ... 中的步骤 备份 NIDS 用户定义的特征 请见 FortiGate NIDS 指南 备份网页内容和电子邮件过滤列表 请见 FortiGate 内容保护指南 如果您要恢复到一个旧版本的 FortiOS 例如 从 FortiOS v2 50 恢复到 v2 36 您可能无法恢复您的配置备份文件中保存的从前的配置 从系统重新启动中安装固件 1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI 2 确认 TFTP 服务器工作正常 3 将新版本的固件映像文件拷贝到您的 TFTP 服务器的根目录下 4 确认 FortiGate 的内部接口和 TFTP 服务器连接到同一网络上 5 确认您可以从 FortiGate 连接到 TFTP 服务器上 具体方法是使用以下命令 ping 运行 TFPT 服务的电脑 例如 如果 TFTP 服务器的 IP 地址是 192 168 1 168 exe...

Page 91: ...ss 192 168 1 168 转到步骤 9 运行 v3 x 版 BIOS 的 FortiGate 设备 G Get firmware image from TFTP server F Format boot device B Boot with backup firmware and set as default Q Quit menu and continue to boot with default firmware H Display this list of options Enter G F B Q or H 8 按 G 从 TFTP 服务器获得新版本的固件 9 输入 TFTP 服务器的地址并按回车 将显示以下信息 Enter Local Address 192 168 1 188 10 输入 FortiGate 设备的内部网络接口的地址然后回车 将会出现以下消息 Enter...

Page 92: ...Gate 设备并恢复您的 配置 要恢复您的 FortiGate 设备的配置 请见 第 84 页 恢复系统设置 要恢 复 NIDS 用户定义特征 请见 FortiGate NIDS 指南 要恢复网页内容和邮件过滤列 表 请见 FortiGate 内容保护指南 如果您是回复到一个从前版本的固件 例如 从 FortiOS2 50 回复到 FortiOS v2 36 您可能无法恢复您保存过的配置文件 12 将病毒防护和攻击定义更新到最新版本 请见 第 95 页 手工更新病毒防护定义 和攻击定义 在安装新版本的固件之前进行测试 您可以在从系统重新启动安装新版本固件之前先测试这个版本的固件映像并将它保 存到系统内存 这一操作完成之后 FortiGate 设备将使用新的固件映像运行 但是仍 旧使用当前的配置 这一新版本的固件映像并没有永久性地安装 下一次 FortiGate 重新启动的时候将重新使用原来...

Page 93: ...to enter configuration menu 7 立刻按任意键中断系统启动过程 I 如果您成功地中断了启动过程 将显示下面的消息之一 运行 v2 x 版 BIOS 的 FortiGate 设备 Enter TFTP Server Address 192 168 1 168 转到步骤 9 运行 v3 x 版 BIOS 的 FortiGate 设备 G Get firmware image from TFTP server F Format boot device Q Quit menu and continue to boot with default firmware H Display this list of options Enter G F Q or H 8 按 G 从 TFTP 服务器获得新版本的固件 9 输入 TFTP 服务器的地址并按回车 将显示以下信息 Enter...

Page 94: ...理程序 13 要确认新版本的固件已经加载了 可以从 CLI 输入 get system status 您可以根据需要测试新版本的固件 安装和使用一个备份了的固件映像 如果您的 FortiGate 设备运行的 BIOS 是 v3 x 版 您可以安装一个备份固件映像 在备份固件映像安装成功之后您可以在需要时切换到备份映像上 本节叙述了如下内容 安装备份固件映像 切换到备份固件影象 切换回默认的固件映像 安装备份固件映像 要进行这一操作您需要 使用一根零调制解调器电缆连接到 FortiGate 的控制端口 以访问 CLI 安装一个您可以从 FortiGate 连接到的 TFTP 服务器 如同 第 76 页 使用 CLI 重新启动系统安装固件 中的步骤所描述的那样 要安装备份固件映像 1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI 2 确认 TFTP 服务器工作正常 3...

Page 95: ...回车 将显示以下信息 Enter Local Address 192 168 1 188 9 输入 FortiGate 设备可以连接到 TFTP 服务器的接口地址然后按回车 将显示以下信息 Enter File Name image out 10 输入固件文件的名称然后回车 TFPT 服务器会把固件的映像文件上载到 FortiGate 上 并会出现类似以下消息 Save as Default firmware Backup firmware Run image without saving D B R 11 输入 B FortiGate 设备将保存备份固件映像并重新启动 当 FortiGate 设备重新启动时它 将运行原先安装的版本的固件 切换到备份固件影象 使用如下步骤将您的 FortiGate 设备切换到以您安装过的备份固件影响运行 当您 将 FortiGate 设备切换到备份固件映像...

Page 96: ...this list of options Enter G F B Q or H 4 输入 B 加载备份固件映像 FortiGate 设备将加载固件映像并重新启动 当 FortiGate 重新启动时它将运行备 份固件并将配置设置为出厂默认状态 切换回默认的固件映像 使用下面的操作可以将您的 FortiGate 设备切换到以曾经作为默认固件映像运行过 的备份固件运行 当您切换到备份固件映像的时候 同这个固件一起被保存的配置将 被恢复 1 使用一根零调制解调器电缆和 FortiGate 控制端口连接到 CLI 2 输入以下命令重新启动 FortiGate execute reboot 在 FortiGate 设备启动过程中 将显示一系列的系统启动信息 当下面信息之一显示的时候 Press any key to enter configuration menu 3 立刻按任意键中断系统启动过程 I...

Page 97: ...最新的病毒防护定义库更新文件 然后把它拷贝到用来连接基于 Web 的管理程序的电脑上 2 启动基于 Web 的管理程序 进入 系统 状态 3 在 病毒防护定义库的右边 单击 更新定义 4 输入病毒防护定义库更新文件的路径和文件名 或者单击 浏览 然后在浏览器中定位 该文件 5 单击 确定 将病毒防护定义库文件上载到 FortiGate 设备上 FortiGate 将上载病毒防护定义库更新文件 整个过程将持续约 1 分钟 6 进入 系统 状态 检查病毒防护定义库的版本信息 确定它已经被更新了 手动更新攻击定义库 按照以下步骤手动更新的攻击定义库 1 从 Fortinet 下载最新版本的攻击定义库更新文件 并将文件拷贝到您用来连接基于 WEB 的管理程序的电脑上 2 启动基于 WEB 的管理程序并进入系统 状态 3 在 攻击定义库版本 的右边 单击 更新定义 4 输入攻击定义库更新文件的路径和...

Page 98: ...Gate 的唯一标识 即使固件更新了也不会改变 显示 FortiGate 运行时间 1 进入 系统 状态 FortiGate 运行时间以天 小时 分钟显示了 FortiGate 设备从启动到现在所经历的时 间 显示日志硬盘状态 1 进入 系统 状态 如果 FortiGate 设备包含了一个硬盘则可显示日志硬盘状态 如果没有安装硬盘 则此功能不可用 FortiGate 设备使用硬盘保存日志消息和隔离的被病毒感染的文件或 被防病毒保护功能阻塞的文件 备份系统设备 可以将系统设置下载到管理员电脑上并保存成一个文本文件 从而以这种方式备份 它们 1 进入 系统 状态 2 选择 系统设置备份 3 选择 备份系统设置 4 输入 文件名 和 路径 系统设置文件将被保存到管理员电脑上 5 单击 返回 即可回到状态页面 恢复系统设置 可以通过上载一个以前下载过的系统设置文件的方式来恢复系统设置 1 进入 系...

Page 99: ...设置 3 单击 确定 以确认操作 FortiGate 将使用第一次加电时的配置重新启动 4 重新连接到基于 Web 的管理程序并查看系统配置 确认它已经恢复到了默认设置 要恢复您的系统设置 请参阅 第 84 页 恢复系统设置 转换到透明模式 使用如下操作可以将 FortiGate 设备从 NAT 路由模式转换到透明模式 当 FortiGate 设备改到透明模式之后 它的配置将被设置为透明模式的默认配置 1 进入 系统 状态 2 选择 转换到透明模式 3 选择 操作模式列表 中的 透明模式 选项 4 单击 确定 FortiGate 现在已经转换到了透明模式 5 用以下方法重新连接到基于 Web 的管理程序 将浏览器连接到为透明模式管理访问设 置的网络接口上 在地址栏输入 https 后边是透明模式管理所用的接口的 IP 地址 在透明模式的默认情况下 您可以连接到内部接口或者 DMZ 接口 默...

Page 100: ...认情况下 您可以连接到内部接口或者 DMZ 接口 默认的 NAT 路由模式管理所用的 IP 地址是 192 168 1 99 请见 第 18 页 连接到基于 Web 的管理程序 或 第 19 页 连接到命令行接 口 CLI 重新启动 FortiGate 设备 1 进入 系统 状态 2 单击 重新启动 FortiGate 将重新启动 关闭 FortiGate 设备 1 进入 系统 状态 2 单击 关机 FortiGate 将会关闭 所有的连接都被断开 FortiGate 关闭后 只有切断电源然后再次接通 才能重新启动 系统状态 您可以使用系统状态监视器显示 FortiGate 系统当前的健康状态信息 系统的健康 状态信息包括 CPU 和内存使用率 活动的通讯会话数 当前使用的网络带宽统计等 基于 Web 的管理程序同时显示当前的统计信息和过去数分钟内的统计信息 如果 FortiGate 设备...

Page 101: ...的连接 没有被统计进去 如果 CPU 和内存使用率很低 这个 FortiGate 设备还有能力处理比它现在所运行的 更多的网络通讯 如果 CPU 和内存使用率很高 FortiGate 设备已经接近于满负荷工 作 此时再增加更多的任务可能会导致系统对通讯的处理出现延迟 对 CPU 和内存要求较多的进程 例如 IPSec VPN 通讯的加密和解密 病毒扫描以及 包含了小数据包的网络通讯的高级处理将增加 CPU 和内存的使用率 1 进入 系统 状态 监视器 将显示 CPU 和内存的状态 显示的内容包括图形显示的当前 CPU 和内存的使用率 过 去数分钟内的 CPU 和内存的使用率曲线 如果您的 FortiGate 设备配备了硬盘 将显示 CPU 内存和硬盘状态 2 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率 频繁地刷新将消耗系统资源并增加网络通讯 然而 这只...

Page 102: ...处理能力的百分比 网络使用显示了通过 FortiGate 全部网络接口的网络带宽的总量 网络使用还显示 了当前所使用的网络带宽占 FortiGate 设备能处理的最大网络带宽的百分比 1 进入 系统 状态 监视器 2 单击会话和网络 显示会话和网络状态 显示的内容包括图形化显示的当前会话数和当前网络使用量 以及过去数分钟内的会话数曲线和网络使用量曲线 曲线图的比例显示在图的左上角 3 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率 频繁地刷新将消耗系统资源并增加网络通讯 然而 这只发生在您使用 基于 Web 的管 理程序查看显示的时候 4 单击刷新可以手工更新当前显示的信息 图 2 会话和网络监视器 查看病毒和入侵状态 使用病毒和入侵状态显示可以跟踪 FortiGate 病毒防护系统发现的病毒和 NIDS 检 测到的网络攻击 1 进入 系统 状态 监视器 ...

Page 103: ...将消耗系统资源并增加网络通讯 然而 这只发生在您使用 基于 Web 的管 理程序查看显示的时候 4 单击刷新可以手工更新当前显示的信息 图 3 病毒和入侵状态监视器 会话列表 会话列表显示了关于 FortiGate 设备当前处理的通讯会话的信息 您可以使用会话 列表查看当前会话 FortiGate 有读写权限的管理员以及 FortiGate 的 admin 管理员可 以终止活动的通讯会话 查看会话列表 1 进入系统 状态 会话 基于 Web 的管理程序在 FortiGate 设备会话列表中显示了会话的总数并列出前 16 个会 话 2 要在列表中翻页浏览会话 单击上一页 或下一页 3 单击更新 可以更新会话列表 4 如果您使用具有读写权限的管理员用户或者 admin 用户登录 您可以单击清除 以 停止任何活动的会话 ...

Page 104: ...90 美国飞塔有限公司 会话列表 系统状态 会话列表中的每一行显示了以下信息 图 4 会话列表举例 协议 连接的服务类型或者协议类型 例如 TCP UDP ICMP 源 IP 连接的源 IP 地址 源端口 连接的源端口 目的 IP 连接的目的 IP 地址 目的端口 连接的目的端口 到期时间 在连接到期前剩余的时间 以秒为单位 清除 中断一个处于活动状态的通讯会话 ...

Page 105: ...信息 RMA 之后注册 FortiGate 设备 病毒防护定义和攻击定义更新 您可以将 FortiGate 设备配置为连接到 Forti 响应发布网络 FDN 并自动更新病毒 防护定义和攻击定义 以及病毒防护引擎 FortiGte 设备支持以下病毒防护和攻击定 义更新功能 用户定义的从 FDN 手工更新 每小时 每天或每周定期从 FDN 更新病毒防护定义 攻击定义和病毒防护引擎 来自 FDN 的推送更新 查看更新状态 包括版本号 有效期 更新日期和时间 通过 NAT 设备的推送更新 基于 Web 的管理程序的系统 更新页面显示了以下病毒防护定义和攻击定义更新信 息 版本 显示当前的防病毒引擎 病毒定义和攻击定义的版本号 有效期 显示您的病毒防护引擎 病毒定义和攻击定义更新许可证的有效期 最后更新企图 显示 FortiGate 设备最后一次试图下载病毒防护引擎 病毒定义和攻击定义 更新的日期...

Page 106: ... FDN 是 Forti 响应分布服务器 FDS 组成的一个世界范围的网络 当您的 FortiGate 设备连接到 FDN 时 它实际上连接的是最近的 FDS 这是因为所有的 FortiGate 设备内部都保存了一个 FDS 地址列表 这个地址列表根据 FortiGate 设备的 时区设置 按照距离这个时区的远近排序 要确保 FortiGate 设备从最近的 FDS 接收 更新 进入系统 配置 时间并确认您根据您所在的区域正确选择了时区设置 以下方法可以确认 FortiGate 设备能否连接到 FDN 1 进入 系统 配置 时间 并确保时区已经根据您所在的区域正确地设置了 2 进入 系统 更新 3 单击更新 FortiGate 设备将测试它到 FDN 的连接 测试结果显示在系统更新页的顶部 表 1 连接到 FDN 连接 状态 说明 Forti 响应发布网络 可用 FortiGate 设备可...

Page 107: ...可用 FDN 可以连接到 FortiGate 设备以发送推送更新 您可 以将 FortiGate 设备配置为接收推送更新 请见 第 95 页 配置推送更新 不可用 FDN 不能连接到 FortiGate 设备发送推送更新 如果您 没有注册您的 FortiGate 设备 请见 第 101 页 注册 FortiGate 设备 推送更新可能无法使用 如 果在 FortiGate 设备和 FDN 之间有一个 NAT 设备 请见 第 96 页 通过 NAT 设备的推送更新 或者您的 FortiGate 设备使用代理服务器 请见 第 100 页 通过代理服务器定期更新 连接到互联网 推送更新 也可能无法使用 表 1 连接到 FDN 连接 状态 说明 每小时 每 1 小时到每 23 小时检查一次 选择两次更新请求之间的时间间隔 可以精确 到小时和分钟 每天 每天检查一次 您可以指定一天当中检查更新的具体...

Page 108: ... FortiGate 设备要记录的日志类型上单击配置策略 请见 第 245 页 记录日志 3 单击更新 FortiGate 设备将在更新病毒防护和攻击定义时记录日志消息 4 选择以下更新日志选项 5 单击确定 添加后备服务器 如果您不能连接到 FDN 或者您所在的机构使用他们自己的 Forti 响应服务器提供病 毒防护和攻击定义的更新 您可以按照如下步骤添加一个 Forti 响应后备服务器 1 进入 系统 更新 2 单击使用后备服务器地址并添加一个 Forti 响应服务器的 IP 地址 更新失败 FortiGate 设备在试图更新失败的时候记录一条日志消息 更新成功 FortiGate 设备在成功地更新之后记录一条日志消息 FDN 错误 FortiGate 设备在无法连接到 FDN 或者它从 FDN 接收到一条错误信息时记录 一条日志消息 ...

Page 109: ...防护定义 病毒防护引 擎 或攻击定义的新版本的信息 系统状态页还将显示病毒防护定义和攻击定义的新 的日期和版本信息 无论更新工作成功与否 都将在事件日志中记录一条消息 配置推送更新 FDN 可以将更新主动发送到 FortiGate 设备上 以最快的速度对紧急的事态作出响 应 您必须先注册您的 FortiGate 设备才能接收推送更新 请见 第 101 页 注 册 FortiGate 设备 如果 FDN 必须通过一个 NAT 设备才能连接到 FortiGate 设备上 请见 通过 NAT 设备的推送更新 如果 FortiGate 设备必须使用一个代理服务器才能连接到 FDN 则无法支持推送更 新 有关的详细信息请见 第 100 页 通过代理服务器定期更新 按照如下步骤启用推送更新 1 进入 系统 更新 2 单击允许推送更新 3 单击应用 关于推送更新 当您将 FortiGate 设备配置为允...

Page 110: ... 您必须在 NAT 设备上 配置端口转发并在推送更新配置中添加端口转发信息 使用端口转发 FDN 使用 9443 或者您指定的备份端口连接到 FortiGate 设备 例子 通过一个 NAT 设备的推送更新 这个例子描述了如何配置一个 FortiGate NAT 设备以向安装在它的内部网络中的一 个 FortiGate 设备转发推送更新 为了让内部网络中的 FortiGate 设备能够接收推送 更新 这个 FortiGate NAT 设备必须配置一个端口转发虚拟 IP 这个虚拟 IP 将这个 FortiGate NAT 设备的外部接口的 IP 地址和一个指定的端口影射到内部网络中的那个 FortiGate 设备的 IP 地址上去 如果这个 FortiGate 设备运行于 NAT 路由模式 这个 IP 地址可以是它的外部接口 IP 地址 如果这个 FortiGate 设备运行于透明模式 那么...

Page 111: ...中的 FortiGate 设备 使得内部 网络中的 FortiGate 设备可以接收推送更新 1 向 FortiGate NAT 设备添加一个端口转发虚拟 IP 2 向包含了端口转发虚拟 IP 的 FortiGate NAT 设备添加一个防火墙策略 3 为内部网络中的 FortiGate 设备配置一个代理推送 IP 地址和端口 在 FortiGate NAT 设备上添加端口转发虚拟 IP 使用以下步骤配置 FortiGate NAT 设备 使用端口转发将来自 FDN 的推送更新连接 转发到内部网络的一个 FortiGate 设备上 注意 在完成如下操作之前 您需要注册您的内部网络中的 FortiGate 设备 这样它才能接收推 送更新 ...

Page 112: ...选择外部接口 5 选择端口转发 6 输入 FDN 连接到的外部 IP 地址 对于例子中的拓扑结构 输入 64 230 123 149 7 输入 FDN 连接到的外部服务端口 对于例子中的拓扑结构 输入 45001 8 将映射到的 IP 地址设置为内部网络中的 FortiGate 设备的 IP 地址 如果这个 FortiGate 设备运行于 NAT 路由模式 输入外部接口的 IP 地址 如果这个 FortiGate 设备运行于透明模式 输入管理 IP 地址 对于例子中的拓扑结构 输入 192 168 1 99 9 将影射到的端口设置为 9443 10 将协议设置为 UDP 11 单击确定 图 3 推送更新端口转发虚拟 IP 为端口转发虚拟 IP 添加一个防火墙策略 ...

Page 113: ...新 3 选择使用代理推送更新 4 将 IP 地址设置为添加到虚拟 IP 的外部 IP 地址 对于例子中的拓扑结构 输入 64 230 123 149 5 将端口号设置为添加到虚拟 IP 的外部服务端口 对于这个例子中的拓扑结构 输入 45001 6 单击应用 FortiGate 设备将代理推送更新 IP 地址和端口发送给 FDN 现在 FDN 使用这个 IP 地址 和端口向内部网络中的 FortiGate 设备发送推送更新 如果外部 IP 地址或者外部服务端口有所改变 将所做的改变添加到使用代理推送更新 的配置中并单击应用 即可更新 FDN 的推送更新信息 图 4 推送更新配置举例 7 单击应用 8 您可以单击刷新以确定推送更新是否正常工作 推送更新的状态应当变为可用 源地址 外部 _ 全部 目的地址 前面步骤中添加的虚拟 IP 地址 任务计划 总是 服务 任意 动作 接受 NAT 选中 ...

Page 114: ...代理服务器 这一方法在 RFC2616 中有详细描述 FortiGate 设备将一个 HTTP CONNECT 连接请求发送到代理服务器 可 选是否附加认证信息 指定请求连接到 FDN 的 IP 地址和端口 代理服务器建立到 FDN 的连接并在 FortiGate 设备和 FDN 之间传输信息 CONNECT 方法通常被用于 SSL 通讯通道 有些代理服务器不允许 CONNECT 连接到任 意端口 他们将允许连接的端口范围限制在使用 HTTPS 连接众所周知的端口和类似的 服务 因为 FortiGate 自动更新使用 HTTPS 协议和 8890 端口来连接 FDN 所以您所使 用的代理服务器必须被配置为允许连接到这一端口 如果您已经配置了一个连接到 FDN 的代理服务地址 就无须指定通道 如果 FortiGate 设备必须通过一个代理服务器连接到互联网 则无法支持推送更 新 注册 For...

Page 115: ...联系您的 Fortinet 分销商以获得关于包装和价格的详细信 息 您必须注册您的 FortiGate 设备并在注册信息中添加 FortiCare 支持合同号以激活 您的 FortiCare 支持合同 您也可以不购买 FortiCare 支持合同 仅仅注册 FortiGate 设备 在这种情况下 当您购买一个 FortiGate 支持合同的时候 您可以更新您的注 册信息 添加这个支持合同号 一个 FortiGate 支持合同可以覆盖多个 FortiGate 设备 您必须为这个服务合同涵 盖的每一个 FortiGate 设备输入相同的合同号 注册 FortiGate 设备 在您注册 FortiGate 设备之前 您需要以下信息 您的联系方式 包括 姓名 全名 公司名 电子邮件地址 您的 Fortinet 支持登录用户名和密码将被发送到这个地址 地址 联系电话 安全提示问题和答案 这一信息用于...

Page 116: ...tiGate 设备的序列号 6 如果您为这个 FortiGate 设备购买了 FortiCare 支持合同 请输入支持合同号 图 6 注册 FortiGate 设备 产品信息 7 单击完成 如果您还没有输入 FortiCare 支持合同号 SCN 您可以回到上一个页面并输入这个 号码 如果您没有购买 FortiCare 支持合同您可以选择继续以完成注册过程 如果您输入了一个支持合同号 将出现一个实时确认提示以验证 SCN 信息是否与 FortiGate 设备匹配 如果信息不匹配您可以尝试再次输入信息 包含了可用于您注册的 FortiGate 设备的 Fortinet 技术支持服务的详细信息将显示在 一个网页中 您的 Fortinet 支持用户名和密码将被发送到您在联系信息中提供的电子邮件地址 ...

Page 117: ...码 如果您在注册到 Fortinet 支持网站时提供了一个安全提示问题和答案 您可以按 照如下步骤接收一个临时密码 如果您没有提供安全提示问题和答案 请联系 Fortinet 技术支持 1 进入 系统 更新 支持 2 选择支持登录 3 输入您的 Fortinet 支持用户名 4 单击 忘记了您的密码 5 输入您的电子邮件地址并单击提交 您在注册时输入的安全提示问题将会显示 6 输入您的安全提示问题的答案并单击获取密码 如果您输入的答案是正确的 一个含有新密码的电子邮件将被发送到您的电子邮件信 箱中 您可以使用您的当前用户名和这个密码登录到 Fortinet 支持网站 7 单击支持登录 8 当您收到新的密码后 输入您的用户名和新密码以登录到 Fortinet 支持网站 查看注册的 FortiGate 设备列表 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持用...

Page 118: ... 选择您要注册的产品的型号 6 输入您要注册的 FortiGate 设备的序列号 7 如果您为这个 FortiGate 设备购买了 FortiCare 支持 请输入支持合同号 8 单击完成 将显示您已经注册了的 FortiGate 产品列表 这个列表现在包括您刚注册的 FortiGate 设备 添加或修改 FortiCare 支持合同号 1 进入 系统 更新 支持 单击支持登录 2 输入您的 Fortinet 支持用户名和密码 3 单击登录 4 单击添加 修改合同号 5 选择您要添加或修改 FortiCare 合同号的 FortiGate 设备的序列号 6 添加一个新的支持合同号 7 单击完成 将显示您已经注册的 FortiGate 产品列表 这个列表现在包括新的支持合同信息 ...

Page 119: ...录到 Fortinet 技术支持网站时需要使用您当前的用户名和新的密码 修改您的联系信息或安全提示问题 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持用户名和密码 3 单击登录 4 单击我的配置文件 5 单击修改配置文件 6 根据需要修改您的联系信息 7 根据需要修改您的安全提示问题 8 单击更新配置文件 您所做的修改将被保存到 Fortinet 技术支持数据库中 如果您修改了您的联系信息 您所做的改动将被显示 下载病毒防护和攻击定义更新 按照如下步骤手工下载病毒防护和攻击定义更新 下述步骤还包括了如何在您的 FortiGate 设备上安装定义的更新 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持用户名和密码 3 单击登录 4 单击下载病毒 攻击更新 5 如果需要 选择 FortiOS 的版本 6 单击病毒和攻击定义以下载...

Page 120: ...候 如果这一情况发生在 FortiGate 设备的硬件维修期内 您可以将出现 故障的 FortiGate 设备送回到您的分销商处 RMA 是有记录的 而您将收到一个代替的设备 Fortinet 会将 RMA 信息添加到 Fortinet 支持数据库中 当您受到代替的设备之后 您可以按照如下步骤更新您的产 品注册信息 1 进入 系统 更新 支持 并单击支持登录 2 输入您的 Fortinet 支持用户名和密码以登录到 Fortinet 支持 3 单击添加注册 4 单击 从 RMA 用新设备替换现有设备的链接 5 如果 RMA 已经被输入了 Fortinet 的支持数据库 您可以选择替换现有设备并输入那个 替代设备的序列号 6 单击完成 将显示您已注册的 FortiGate 产品列表 这个列表现在包括了那个替换的 FortiGate 设备 所有您原有的支持服务都将被转到这个替换的设备上 ...

Page 121: ...络接口 添加 DNS 服务器 IP 地址 配置路由 在您的内部网络中提供 DHCP 服务 配置网络接口 按照以下步骤可以配置网络接口 查看接口列表 启动一个接口 修改一个接口的静态 IP 地址 为接口添加第二个 IP 地址 为接口添加 ping 服务器 控制到接口的管理访问 为接口的连接配置通讯日志 使用静态 IP 地址配置外部网络接口 使用 DHCP 配置外部网络接口 为以太网点对点传输协议 PPPoE 配置外部网络接口 修改外部网络接口的 MTU 大小以提高网络性能 将 DMZ HA 接口配置为 DMZ 模式 将 DMZ HA 网络接口配置为以 HA 方式工作 配置管理接口 透明模式 ...

Page 122: ...一个接口添加 IP 地址 1 进入 系统 网络 接口 2 对你要修改的接口单击修改 3 根据需要修改 IP 地址和网络掩码 接口的 IP 地址必须和接口所连接的网络在同一子网内 任何两个接口不能有相同的 IP 地址或在同一子网内的 IP 地址 4 单击确定以保存您所做的修改 如果您修改了你用来连接到 FortiGate 设备进行管理操作的接口的 IP 地址 您必 须使用新的 IP 地址重新连接到基于 Web 的管理程序 为接口添加第二个 IP 地址 您可以使用 CLI 为任何 FortiGate 接口添加第二个 IP 地址 第二个 IP 地址不能 和主 IP 地址相同 但是它们可以在同一子网内 用以下 CLI 命令添加第二个 IP 地址 set system interface internal config secip 第二 ip 网络掩码 _ip 您还可以为第二个 IP 地址配置管理访...

Page 123: ...修改 3 选择这个接口的管理访问权限 配置对一个连接到互联网的接口的管理访问方式将允许从互联网中的任何地方对这个 FortiGate 设备进行远程管理 允许来自互联网的对您的 FortiGate 设备的远程管理可 能会危及您的设备的安全性 您应当禁止对连接到互联网的网络接口的管理访问的许 可 除非这是必须的 要提高允许从互联网访问的 FortiGate 设备的安全性 需要为 有管理权限的用户设置安全的密码 定期更换这些密码 并且只启用 HTTPS 或 SSH 的 安全管理访问 4 单击确定以保存您所做的修改 为接口的连接配置通讯日志 1 进入 系统 网络 通讯 2 在要配置日志的接口上单击修改 3 单击日志以将这个接口设置为某个防火墙策略接收连接时记录日志消息 4 单击确定以保存您所做的修改 HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序 PING 如果您...

Page 124: ... 来分配 您的外部网络接口的 IP 地址时 才需要使用这种配置 1 进入 系统 网络 接口 2 对外部网络接口 单击 修改 3 将地址模式设置为 DHCP 单击 确定 以切换到 DHCP 模式 此时 IP 地址和子网掩码都将变成 0 0 0 0 4 选择 启用到 DHCP 服务器的连接 使 FortiGate 在启动时自动连接到 DHCP 服务器上 如果您没有选择连接到 DHCP 服务器 FortiGate 设备将不连接到 DHCP 服务器 如果您 要将 FortiGate 设备配置为离线状态 可以取消对这一选项的选中 5 单击 确定 FortiGate 将试图从外部网络接口连接到一个 DHCP 服务器 以获取外部网络接口的 IP 地址 子网掩码和网关的配置信息 当 FortiGate 从 DHCP 服务器取得了这些信息之 后 新的 IP 地址和子网掩码将显示在 IP 地址和子网掩码区域里...

Page 125: ...为离线状态 可以取消对这一选项的选中 7 单击 确定 修改外部网络接口的 MTU 大小以提高网络性能 为了提高互联网连接的性能 可以调整 FortiGate 在外部网络接口上传输数据时数据 包的最大传输 MTU 的尺寸 理想情况下 FortiGate 的外部网络接口上的 MTU 的尺 寸应该等于从 FortiGate 到互联网所经过的所有网络中最小的 MTU 的尺寸 如果 FortiGate 发送的 MTU 大于这一尺寸 数据包在传输过程中将被分割成碎片 这将减慢 传输速度 只有一种方法能够找出最优的 MTU 尺寸 那就是反复实验 但是也有一些信息能对 我们调整 MTU 的尺寸提供帮助 例如 多数点对点协议 PPP 连接的 MTU 是 576 所 以如果您是通过 PPP 或者 PPPoE 连接到互联网的 您可以试试将 MTU 的尺寸设为 576 DSL 调制解调器使用很小的 MTU 尺寸 ...

Page 126: ...骤将 DMZ HA 接口配置为以 HA 模式工作 1 进入 系统 网络 接口 2 选择 DMZ HA 接口 单击 修改 3 选择 HA 4 单击 确定 以保存您所做的修改 配置管理接口 透明模式 在透明模式下 您可以配置 FortiGate 用于管理访问的管理接口 1 进入 系统 网络 管理 2 根据需要修改管理用的 IP 地址 和 子网掩码 设置的 IP 地址和子网掩码必须是您用来管理 FortiGate 的网络中的有效地址和掩码 3 如果 FortiGate 设备需要通过默认网关才能访问管理员电脑 则为接口添加默认网关 IP 地址 4 选择每个网络接口的 管理访问方式 在透明模式的默认情况下 您可以连接到内部网络接口或 DMZ 网络接口对 FortiGate 进行管理 但是您可以配置用于管理的网络接口 所以您可以连接到任何一个网络接 口进行管理 HTTPS 允许安全 HTTPS 连接通...

Page 127: ...用 DNS 服务 以下操作用来设置 DNS 服务器地址 1 进入 系统 网络 DNS 2 根据需要修改 主 DNS 服务器 和 辅助 DNS 服务器 的设定 3 单击 应用 以保存修改 配置路由 本节描述了如何配置 FortiGate 的路由 您可以将路由配置为从 FortiGate 到本地 路由器的静态路由 您还可以使用策略路由提高 FortiGate 路由的灵活性 以提供更 高级的路由功能 您也可以使用多重路由网关和建立广域网的多重配置以提供对两个互联网连接的冗 余和负载均衡的支持 本节叙述了以下内容 添加默认路由 向路由表添加基于目的的路由 添加路由 透明模式 配置路由表 策略路由 添加默认路由 以下操作将为外部网络接口向外发出的数据设定一个默认的路由 ...

Page 128: ...效恢复 必须将每个网关的 IP 地址添加到同一网络内的对应的 FortiGate 设备的网络接口的 ping 服务器设置中 请见 第 109 页 为接口添加 ping 服务器 为路由表添加基于目的的路由 1 进入 系统 网络 路由表 2 单击 新建 以添加一个新的路由 3 输入这个路由的 目的 IP 地址 和 子网掩码 4 输入一号网关的 IP 地址 一号网关是这个路由的主目的地址的 IP 地址 一号网关必须和 FortiGate 网络接口在同一子网内 如果您是从 ForitGate 设备添加一个到单一目的路由器的静态路由 您只须指定一个 网关 5 可选的 如果您希望为路由通讯提供多重网关 可以添加二号网关的 IP 地址 6 可选的 一号设备以指定 FortiGate 用来将路由通讯连接到一号网关的接口 7 可选的 二号设备以指定 FortiGate 用来将路由通讯连接到二号网关的接口 8...

Page 129: ...示 FortiGate 使用 ping 服务器和网关失 效检测判断可以连接到这个网关 一个红色的叉子意味着 FortiGate 无法建立到这个 网关的连接 兰色问号的意思是这个连接的状态未知 关于更进一步的信息 请见 第 109 页 为接口添加 ping 服务器 FortiGate 选用路由的方式是从上到下地扫描路由表寻找匹配的路由 直到它找到 第一个匹配的路由为止 您必须把路由在路由表中按照专用的路由到通用路由的顺序 排列 默认的路由是通用路由中的最后一个 所以如果添加了默认路由 它应该位于 路由表的最底端的位置 1 进入 系统 网络 路由表 2 选择要移动的路由 然后单击 移动 以改变它在路由表中的位置 3 在 移动到的位置 一栏输入序号 这个序号是您想要这个路由移动到路由表中的位置 序号 然后单击 确定 4 单击 删除 可以从路由表中删除一个路由 图 3 路由表 策略路由 策略路由拓...

Page 130: ...编号_整数 src 源_ip 源_掩码 iifname 源接口_名称 dst 目的_ip 目的_掩码 oifname 目的接口_名 称 protocol 协议编号 _ 整数 port 低端口 _ 整数 高端口 _ 整数 gw 网关 _ip 在第六卷 FortiGateCLI 参考指南中有关于策略路由语法的完整叙述 在您的内部网络中提供 DHCP 服务 如果 FortiGate 运行在 NAT 路由模式下 可以把它配置成内部网络的 DHCP 服务 器 1 进入 系统 网络 DHCP 2 选择 启用 DHCP 3 配置 DHCP 设置 起点 IP 终点 IP FortiGate 根据您输入的起点 IP 和终点 IP 确定能够分配给 DHCP 客户的 IP 地址范围 这些 IP 地址必须是您内部子网上的 IP 地址 子网掩码 输入 FortiGate 分配给 DHCP 客户的子网掩码 有效期 输...

Page 131: ...表 如果您已经配置了 FortiGate 上的 DHCP 服务器 您可以查看 DHCP 服务器已经分配 的动态 IP 列表 列表中除了 IP 地址外 还包括相应的 MAC 地址以及这些 IP 地址的有 效期 FortiGate 把这些地址添加到动态 IP MAC 地址列表中 并且如果启用了 IP MAC 绑定功能 动态 IP MAC 地址列表中的地址将被加入信任的 IP MAC 地址对中去 要获 取关于 IP MAC 地址绑定的更多信息 请查阅 第 160 页 IP MAC 绑定 以下操作用于查看动态 IP 地址列表 1 进入 系统 网络 DHCP 2 选择 动态 IP 地址列表 将显示动态 IP 地址列表 图 5 动态 IP 地址列表的例子 ...

Page 132: ...118 美国飞塔有限公司 在您的内部网络中提供 DHCP 服务 网络配置 ...

Page 133: ...将一个路径中允许的 最大跳跃数限制为 15 以防止路由循环 这一特性也将 RIP 网络的最大半径限制为 15 个跳跃 RIP 使用水平分割来防止网络拓扑改变引起的临时路由循环 水平分割可以保证永 远不会将关于路由器的信息发送回它发出的地方 例如 路由器 1 可以告诉路由器 2 它有一个关于网络 A 的路由 路由器 2 通过从路由器 1 获取信息知道了这一事实 所 以当路由器 2 将它自己的更新发送给路由器 1 时 它不会把关于网络 A 的路由更新信 息包括进去 在本例中 如果路由器 1 收到了路由器 2 发送的关于网络 A 的路由信息 路由器 1 可能会试图使用这一路由去连接网络 A 而不是使用它自己的路由 RIP 使用计时器来调节性能 一个路由更新计时器控制了两次路由更新之间的时间 间隔 通常这一计时器被设置为 30 秒 每个路由表中的条目都有一个路由超时设置 当发生路由超时的时候此路由...

Page 134: ...数值越大 则队列越长 如果您的 FortiGate 设备使用很高的速度向一个可能无法以此速度接收的低速的路由器 发送数据 则您可以修改队列长度以适应这一情况 修改这一配置可以防止 路由表丢失信息 可以设置的值的范围是从 0 到 1024 默认的输入队列的长 度是 50 长度为 0 的输入队列意味着没有输入队列 输出延迟 修改输出延迟可以在多数据包 RIP 更新的数据包时间添加毫秒级的延迟 标 准的输出延迟是 8 到 50 毫秒 如果您配置 RIP 的 FortiGate 设备要将更新数 据包发送到一个路由器 而这个路由器又无法以 FortiGate 设备发送的速率 接收更新数据包 那么您可以为 FortiGate RIP 设定一个输出延迟 默认的 输出延迟是 0 毫秒 更新 两次发送路由表更新之间的以秒为单位的时间间隔 默认的间隔是 30 秒 失效 路由被宣布为失效的以秒为单位的时间间隔 ...

Page 135: ...每个接口上所连接的网络定制专用的 RIP 例如 如果您有一个复杂的内部网络 其中包含了使用 RIP2 协议的设备 您可能希望在内 部接口上配置 RIP2 发送和接收功能 如果外部接口是连接到互联网的 您可能不希望在这个接口上启用 RIP 发送功能 使 得内部路由不被暴露到互联网上 然而 您可能希望配置 RIP 接收功能使得 FortiGate 设备可以从您的 ISP 接收路由信息 如果 DMZ 接口连接到一个小型的 DMZ 网络 您可能无须为这个接口配置 RIP 按如下步骤配置 FortiGate 接口的 RIP 1 进入 系统 RIP 接口 在本页您可以看到每个 FortiGate 接口的 RIP 设置的摘要 2 对要配置 RIP 设置的接口单击修改 3 配置以下 RIP 设置 ...

Page 136: ...口发送的 RIP2 数据包的认证 只有 RIP2 支持认证 如果您将接 口配置为使用 RIP1 不要选择认证功能 密码 在 RIP2 请求中输入密码 密码最多可以有 16 个字符 模式 定义 FortiGate RIP2 数据包的认证方式 可以选择明文或 MD5 无 意味着不发送密码 明文 意味着不加密 密码为明文 MD5 意味着使用 MD5 加密算法加密密码 度量 修改由这个接口发送的路由的度量 从这个接口发送的全部路由将把这个度 量值添加到他们的当前度量值中 您可以设置接口的度量值以提高一些接口 的优先级 例如 如果您有两个接口可以为同一个目的地提供路由 如果您 将其中一个接口的度量值设置得比另一个接口高 这个接口上的度量值较低 的路由看起来代价较低 所以大多数通讯将使用这个接口上的度量值较低的 路由 度量的值范围是从 1 到 16 注意 MD5 认证用于 FortiGate 设备发送...

Page 137: ...击确定以将 RIP 邻居添加到列表 添加 RIP 过滤器 使用 RIP 过滤器可以控制 FortiGate 设备接收的路由信息和 FortiGate 设备发送的 路由信息 您可以创建两种过滤器 RIP 过滤器包括路由的 IP 地址和网络掩码 对这个路由执行的操作 接受或拒 绝 以及这个过滤器应用到的接口 在 RIP 过滤器中找不到匹配的路由将被允许接 受 单一 RIP 过滤器包含对单一路由的接受或拒绝的指令 您可以在同一个 RIP 过滤器 名下添加多个 RIP 路由入口 以创建一个 RIP 过滤器列表 您可以使用一个 RIP 过滤 列表过滤多个路由 创建完 RIP 过滤器和过滤器列表之后 您可以通过为每种类型的过滤器选择一个过 滤器或者过滤列表来配置邻居过滤器或路由过滤器 如果您没有为邻居或路由选择 RIP 过滤器 则不会对它们应用过滤 您最多可以添加 4 个 RIP 过滤器或过滤列表 但...

Page 138: ...P 过滤器或者 RIP 过滤器列表 当一个 RIP 过滤器列表被添加到邻居过滤器或者路由过滤器时 RIP 过滤器列表中 的所有路由都将被过滤 1 进入 系统 RIP 过滤器 2 单击新建以添加一个 RIP 过滤器 3 配置这个 RIP 过滤器列表 4 单击确定以保存 RIP 过滤器列表 5 对 RIP 过滤器列表名 单击 添加前缀 可以将路由前缀添加到这个过滤器列表 6 配置路由前缀 过滤器名 为这个 RIP 过滤器输入一个名称 每个 RIP 过滤器和 RIP 过滤器列表必须有 一个单独的名称 这个名称的长度为 15 个字符 可以包含大写和小写字母 数字和特定字符 名称不能包含空格 空白过滤器 使用过滤器列表 请见 第 124 页 添加一个 RIP 过滤列表 IP 添加路由的 IP 地址 掩码 添加路由的网络掩码 动作 选择允许可以使过滤器允许这个路由的通讯 选择拒绝可以阻止这个路由被 交...

Page 139: ...对于邻居过滤器 选择一个 RIP 过滤器或 RIP 过滤器列表的名称 使之成为邻居过滤 器 4 单击应用 从邻居接收到的路由将被选定的 RIP 过滤器或 RIP 过滤器列表过滤 添加一个路由过滤器 您可以将一个 RIP 过滤器或者 RIP 过滤器列表设置为路由过滤器 1 进入 系统 RIP 过滤器 2 根据需要添加 RIP 过滤器和 RIP 过滤器列表 3 对于路由过滤器 选择一个 RIP 过滤器或 RIP 过滤器列表的名称 使之成为路由过滤 器 4 单击应用 FortiGate 设备发送的路由将被选定的 RIP 过滤器或 RIP 过滤器列表过滤 图 3 RIP 过滤器配置举例 IP 添加这个路由的 IP 地址 掩码 添加这个路由的掩码 动作 选择允许可以使过滤器允许这个路由的通讯 选择拒绝可以阻止这个路由被 交换 接口 选择这个 RIP 过滤器要应用到的接口 ...

Page 140: ...126 美国飞塔有限公司 添加 RIP 过滤器 RIP 配置 ...

Page 141: ...步 如欲得到关于 NTP 的更多信息或需要查找可用的 NTP 服务器 请访问 http www ntp org 按以下步骤设置日期和时钟 1 进入 系统 配置 时间 2 单击 刷新 以显示 FortiGate 中的当前日期和时间 3 从列表中选择您所在的 时区 4 如果您希望 FortiGate 系统时钟当您所在的时区调整为夏令时的时候自动调整 请单 击自动调整时钟 5 可以选择 设置时间 然后将 FortiGate 的日期和时间设定为当前的日期和时间 6 如果要将 FortiGate 配置为使用 NTP 选择 与 NTP 服务器同步 您可以从 www ntp org 站点中流览关于网络时间协议 NTP 的信息并选择您地区的 NTP 服务器 7 输入 FortiGate 设备用于设置日期和时间的 NTP 服务器的 IP 地址 或域名 8 指定 FortiGate 把自己的时钟同步到 NTP...

Page 142: ...语言 修改网关失效检测的设置 您还可以要求使用控制按钮和 LCD 时先输入一个 PIN 个人识别码 设置系统空闲超时 1 在空闲超时栏输入以分钟为单位的数字 2 单击应用 设定的空闲超时时间控制着基于 Web 的管理程序在要求管理员重新登录前所经历的非 活动状态的等待时间 默认的空闲超时时间是 5 分钟 可以设置的最大空闲超时时间是 480 分钟 8 小时 设置认证超时 1 在认证超时栏输入一个以分钟为单位的数字 2 单击应用 认证超时时间控制了防火墙在要求用户再认证前所等待的非活动时间的时间间隔 查 看 第 167 页 用户与认证 以获取更多信息 默认的认证超时时间是 15 分钟 您可以设置的最大认证超时时间是 480 分钟 8 小 时 ...

Page 143: ... 单击应用 添加和编辑管理员帐号 在最初安装 FortiGate 时 只为它配置了一个管理员帐号 这个帐号的用户名是 admin 您可以使用这个管理员帐号再添加和编辑其它的管理员帐号 也可以控制您所 添加的每个管理员帐号的访问级别 另外还可以选择限制管理员用来连接到 FortiGate 的 IP 地址 管理员帐号可以有三种访问级别 添加新的管理员帐号 使用 admin 帐号按照以下步骤可以在 FortiGate 中添加新的管理员帐号和设定他们 的权限 1 进入 系统 配置 Admin 注意 如果基于 Web 的管理程序的语言被设定为使用简体中文 日文 韩文或者繁体中文 您可 以使用基于 Web 的管理程序右上角的 Englsih 按钮切换回英文 admin 拥有所有权限 可以查看 添加 编辑和删除管理员帐号 可以查看和修改配 置 只有拥有管理级别访问权限的管理员可以进行以下操作 进入 系统...

Page 144: ...255 255 0 6 设置这个管理员帐号的 访问级别 7 单击确定以添加这个管理员帐号 编辑管理员帐号 拥有管理权限的帐号的用户可以更改其它管理员帐号的密码 配置允许管理员帐号 访问 FortiGate 基于 Web 的管理程序的 IP 地址和更改管理员帐号的权利级别 拥有读 写访问权限的管理员帐号用户可以更改他们自己的帐号的密码 按以下步骤编辑管理员帐号 1 进入 系统 配置 Admin 2 如果要改变管理员帐号的密码 单击 修改密码 3 输入 旧的密码 4 输入 新的密码 然后再次 确认新密码 为了提高安全性 密码的长度应当不少于 6 个字符 密码可以包括除了空格以外的任 何字符 如果您输入的密码长度少于 6 个字符 系统将显示一个警告信息 但仍会接 受这个密码 5 单击 确定 6 要编辑一个管理员帐号的设置 单击 编辑 7 可选的 输入受信任主机的的 IP 地址 和 网络掩码 从而...

Page 145: ...连接之后 远程的 SNMP 管理程序才能 连接到您的 FortiGate SNMP 代理 要获得这方面的更多信息 请参阅 第 109 页 控制到接口的管理访问 以及相关的网络接口配置章节 配置 FortiGate 的 SNMP 支持 1 进入 系统 配置 SNMP v1 v2c 2 单击启用 SNMP 3 配置 SNMP 设置 系统名称 自动设置 FortiGate 主机名称 要修改系统名称 请见 第 72 页 修改 FortiGate 主机名 系统位置 描述了 FortiGate 的物理位置 系统位置描述的长度最长为 31 个字符 可以包含数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 空格符和 等符号都不能使用 联系信息 添加这个 FortiGate 的负责人的联系信息 联系信息的长度最长为 31 个 字符 可以包含数字 0 9 大写和小写字母 A Z a z 以及...

Page 146: ...P 管理者 您的 SNMP 管理者可能已经在一个已编译的数据库中包含了标准的和私有的 MIB 并且已经可以使用了 您必须将 Fortinet 私有 MIB 添加到这个数据库 如果 FortinetSNMP 代理使用的标准 MIB 已经被编译进了您的 SNMP 管理者 您无须再次重新 编译它们 陷阱团体 陷阱团体字符串类似于密码 在发送 SNMP 陷阱时被一起发送出去 默认的陷阱团体名称字符串是 public 如果需要可把这个字符串改 为接收您发送的陷阱消息的管理程序的名称 陷阱团体字符串的长度最长为 31 个字符 可以包含数字 0 9 大写 和小写字母 A Z a z 以及特殊字符 和 _ 空格符和 等符号都不能使用 陷阱接收器 IP 地址 最多可以输入三个陷阱接收器的 IP 地址 这些 IP 地址必须都在您的网 络上 这些陷阱接收器被配置为接收从 FortiGate 中发出的陷阱消息 而...

Page 147: ...的信息 FN TRAP mib Fortinet 陷阱 MIB 是一个私有 MIB 您的 SNMP 管理者需要用它来接收来 自 FortiGateSNMP 代理的陷阱消息 关于 FortiGate 陷阱的详细信息 请 见 第 133 页 FortiGate 陷阱 FORTINET mib Fortinet MIB 是一个私有 MIB 它包含了 FortiGate 系统配置的详细信 息 您需要将这个 MIB 添加到您的 SNMP 管理者以监视所有的 FortiGate 配 置设置 RFC1213 mib RFC 1213 MIB 是服从 MIB II 标准的 MIB 它描述了用于 TCP IP 网络的网 络管理协议 表 2 FortiGate 陷阱 陷阱消息 描述 接口名称 接口的 IP 地址更改为 新 _IP Fortigate 序列号 FortiGate_ 序列号 FortiGate 设...

Page 148: ...的组 合创建您自己的替换信息 您可以编辑替换信息列表中的任何替换信息 并且可以根据需要添加替换信息片 段 1 进入 系统 配置 替换信息 2 对于您要定制的替换信息单击修改 3 在消息设置对话框 编辑这个消息的内容 表 3 列出了可以添加到替换信息的替换信息片段和每个片段的标签书写格式 对于每 个合法的标签您可以添加任何文字 对于电子邮件和 HTTP 消息您还可以添加 HTML 编 码 4 单击确定以保存您所做的修改 表 3 替换信息片段 文件阻塞 用于阻塞文件 所有服务 片段开始 BLOCKED 允许的标签 FILE 这个名字的文件被阻塞 URL 被阻塞的网页页面的 URL 片段结束 BLOCKED ...

Page 149: ...BLOCKED 隔离 当隔离功能被启用时使用 可以被电子邮件的阻塞服务和所有的扫描服务 使用 片段开始 QUARANTINE 允许的标签 QUARFILENAME 被隔离的文件的文件名 片段结束 QUARANTINE 表 3 替换信息片段 表 4 报警邮件消息的片段 NIDS 事件 用于 NIDS 事件报警邮件 片段开始 NIDS_EVENT 允许的标签 NIDS_EVENT NIDS 攻击消息 片段结束 NIDS_EVENT 病毒警报 用于病毒警报邮件消息 片段开始 VIRUS_ALERT 允许的标签 VIRUS 病毒名称 PROTOCOL 检测到病毒的服务 SOURCE_IP 接收到病毒所来自的 IP 地址 对于电子邮件 这 个 IP 地址是发送包含病毒的电子邮件的邮件服务 器的地址 对于 HTTP 协议数据流这是发送病毒的 网页的 IP 地址 DEST_IP 会接收到病毒的计算机的 ...

Page 150: ...地址 对于电子邮件 这个 IP 地址是发送包含了被阻塞的文件的电子邮 件的邮件服务器的地址 对于 HTTP 它是发送被阻 塞的文件的网页页面的 IP 地址 DEST_IP 要接收被阻塞的文件的计算机的 IP 地址 对于电 子邮件这个 IP 地址是试图下载含有被感染了的病 毒的消息的用户计算机的 IP 地址 EMAIL_FROM 含有被阻塞的文件的消息的发件人的邮件地址 EMAIL_TO 含有被阻塞的文件的消息的收件人的邮件地址 紧急事件 用于紧急防火墙报警邮件 片段开始 CRITICAL_EVENT 允许的标签 CRITICAL_EVENT 防火墙紧急事件消息 片段结束 CRITICAL_EVENT 表 4 报警邮件消息的片段 续 ...

Page 151: ...要求认证 或将数据包 作为 IPSec VPN 包处理 您还可以在策略中添加任务计划使得防火墙可以在每天不同 时间 一周 月或年中的不同日子用不同的方式处理连接 每个策略都可以单独地配置为路由连接或应用网络地址转换 NAT 以转换源地 址 目的地址和端口 您可以添加 IP 池使防火墙转换源地址的时候使用动态 NAT 您 可以使用策略配置通过 FortiGate 的端口地址转换 PAT 您可以在策略中添加内容配置文件 从而获得对网页 文件传输和电子邮件服务的 防病毒保护 网页过滤和电子邮件过滤 您可以创建由下面动作之一或任意组合的功 能的内容配置文件 在 HTTP FTP SMTP IMAP 或 POP3 服务中应用防病毒保护 隔离已经被病毒感染或可能被病毒感染了的文件 对 HTTP 服务应用网页过滤 对 IMAP 和 POP3 服务应用电子邮件过滤 您也可以对防火墙策略添加日志记录 从而使...

Page 152: ...的数据包的源地址和目的地址 默认的策略 匹配从内部网络来的全部连接 因为它包含了内部 _ 全部 地址 默认策略也匹配到外 部网络的全部连接 因为它包含了 外部 _ 全部 地址 您可以在每个接口上添加更多的地址以增强对通过防火墙的连接的控制能力 关于 防火墙地址的详细信息 请见 第 145 页 地址 如果 DMZ HA 接口配置为 HA 模式 您不能为 DMZ HA 接口添加地址或为这个接口配 置防火墙策略 您也可以添加提供网络地址转换 NAT 功能的防火墙策略 要使用 NAT 转换目的 地址 必须添加虚拟 IP 虚拟 IP 将一个网络中的地址映射到另一个网络中的被转换的 地址上 关于虚拟 IP 的详细信息请见 第 155 页 虚拟 IP 服务 防火墙策略也可以根据数据包的服务或目的端口来控制连接 默认的策略接受使用 任何服务或目的端口的连接 防火墙配置中包含了 40 多个预定义的服务 您可...

Page 153: ...TTP FTP IMAP POP3 和 SMTP 内容通讯应用防病毒扫描 网页 对 HTTP 内容通讯应用防病毒扫描和网页内容阻塞 不过滤 允许超大型的文件不经过防病毒扫描直接通过 FortiGate 设备 关于内容配置文件的详细信息 请见 第 163 页 内容配置文件 添加防火墙策略 添加防火墙策略可以控制 FortiGate 接口之间的连接和通讯 1 进入 防火墙 策略 2 选择您要添加策略的策略 列表 3 单击新建以添加一个新的策略 也可以在策略列表中的一条策略前面单击在策略前面插入 在这个策略的上面添 加一条新策略 4 配置这个策略 关于策略选项的详细信息请见 第 140 页 防火墙策略选项 5 单击 确定 以添加这条策略 6 重新安排策略在策略列表中的位置以达到您所期望的效果 关于策略在策略列表中的排列在 第 143 页 配置策略列表 有详细描述 ...

Page 154: ...防火墙策略中设置的选项 源地址 选择与数据包源地址匹配的地址或地址组 在您把这个地址添加到策略之前 必须 先把它添加到源网络接口上 关于添加地址 见 第 145 页 地址 目的地址 选择与数据包目的地址匹配的地址或者地址组 在您把这个地址添加到策略之前 必须先把它添加到目的网络接口上 关于添加地址 请参阅 第 145 页 地址 NAT 模式下的策略 目的网络上的地址是源网络中使用 NAT 隐藏的地址 目的地址 还可以是一个虚拟 IP 地址 它将数据包的目的地址映射到一个隐藏的目的地址 请见 第 155 页 虚拟 IP ...

Page 155: ...选项 将此策略拒绝的连接记录到日志中 加密 把这个策略设置为 IPSec VPN 策略 如果选择了 加密 可以为这个策略选择 一个自动密钥交换的 VPN 通道或者一个手工密钥的 VPN 通道 并配置其它 IPSec 设置 您不能为加密策略设置认证 并且加密在透明模式下不可用 请 见 第 188 页 配置加密策略 动态 IP 池 如果外部接口被配置为使用 DHCP 或 PPPoE 您不能为内部 外部或 DMZ 外 部型的策略选择动态 IP 池 选择动态 IP 池可以将源地址转换为从此策略添加到目的接口的 IP 池中随机 选择的一个地址 要添加 IP 池 请见 第 158 页 IP 池 固定端口 选择固定端口可以防止 NAT 转换源端口 如果源端口改变了 有些应用程序 将无法工作 如果选择了固定端口 必须也选择动态 IP 池并为策略的目的网 络接口上添加一个动态 IP 池的地址范围 如果没有选...

Page 156: ...用户在使用其它服务时认证 例如 POP3 或者 IMAP 可以创建一个 包含了您想要进行认证的服务和 HTTP Telnet 或 FTP 服务的服务组 用户可以在使用 这个策略的其它服务之前先使用 HTTP Telnet 或 FPT 认证 在大多数情况下 您必须确定用户无须认证就可以通过防火墙使用 DNS 如果 DNS 不可用 用户将无法使用域名访问网页服务 FTP 或者 Telnet 服务 病毒防护与 Web 过滤器 启用防病毒保护和网页内容过滤功能可以过滤由这个策略控制的通讯 如果服务类 型是 任意 HTTP SMTP POP3 或者 IMAP 或者是一个包含了 HTTP SMTP POP3 或 IMAP 的服务组 您可以选择病毒防护和网页过滤 选择一个内容配置文件以配置应用到这个策略的防病毒保护和内容过滤功能 请见 第 163 页 内容配置文件 保证带宽 使用 流量控制可以保证策略允...

Page 157: ...流通日志可以在策略处理一个连接的时候向日志写入一条消息 关于记录 日志的详细信息请见 第 245 页 日志和报告 注释 可以选择添加一个关于这个策略的描述或者其他信息 注释的长度最多可以到 63 个字符 包括空格 配置策略列表 防火墙从策略列表的顶端向下搜索匹配的策略 直到找到第一个匹配的策略为止 您必须把策略列表中的策略按照从特殊到一般的顺序排列 例如 默认策略是非常一般的策略 因为它匹配所有的连接尝试 当创建这个策略 的一个例外策略时 必须把这些例外的策略添加到默认策略的上方 任何在默认策略 下面的策略都永远不会被匹配到 ...

Page 158: ...内部网络到互联网的连接 因 为所有的连接都和默认策略匹配 如果有其他特殊策略被添加到了策略列表并处在默 认策略的下方 他们永远也不会被匹配 对于默认策略的例外策略 例如 一个阻塞 FTP 连接的策略 必须在内部 外部 策略列表中位于默认策略的上方 在这个例子中 所有来自内部网络的 FTP 连接尝试 都与这个 FTP 策略匹配 于是被阻塞 而其它类型服务的连接请求将不会被这个 FTP 策略所匹配 但是它们能够匹配默认策略 于是 防火墙仍然接受来自内部网络的所 有其它连接 更改策略列表中策略的顺序 1 进入 防火墙 策略 2 选择所要重新排序的策略列表的标签 3 选择要移动的策略然后单击 移动 以改变这个策略在策略列表中的位置 4 在 移动到 一栏输入一个数字以指定这个策略要移动到策略列表中的位置 单击 确 定 启用和禁用策略 您可以启用和禁用策略列表中的策略以控制这个策略是否生效 Forti...

Page 159: ...简化创建的策略 一个防火墙地址由一个 IP 地址和一个网络掩码构成 这一信息可以描述为 子网的地址 例如 对于一个 C 类子网 IP 地址 192 168 20 0 和网络掩码 255 255 255 0 一个单独的 IP 地址 例如 IP 地址 192 168 20 1 和网络掩码 255 255 255 255 全部可能的 IP 地址 表示方式为 IP 地址 0 0 0 0 和网络掩码 0 0 0 0 本节叙述了如下内容 添加地址 编辑地址 删除地址 将地址编入地址组 添加地址 按如下步骤添加一个地址 1 进入 防火墙 地址 2 选择要添加地址的接口 3 单击新建以添加新的地址 4 输入一个 地址名 以识别这个地址 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 NO 注意 IP 地址 0 0 0 0 和网络掩码 2...

Page 160: ... IP 地址的子网掩码应当是 255 255 255 255 A 类子网的子网掩码应该是 255 0 0 0 B 类子网的子网掩码应该是 255 255 0 0 C 类子网的子网掩码应该是 255 255 255 0 全部地址的网络掩码应当是 0 0 0 0 7 单击确定以保存地址 图 7 添加内部地址 编辑地址 可以编辑一个地址 修改它的 IP 地址和子网掩码 您不能修改一个地址的名称 如果需要修改一个地址的名字 您必须删除这个地址然后用一个新的名字来添加它 1 进入 防火墙 地址 2 选择包含了您所要编辑的那个地址的列表 3 选择要编辑的地址 单击编辑地址 4 完成所需的改动 单击 确定 以保存您所做的修改 注意 要添加一个地址以表示在一个网络中的任意地址 可以将 IP 地址设置为 0 0 0 0 并将 网络掩码设置为 0 0 0 0 ...

Page 161: ...地址组 这样便于以后添加到策略 例如 如果添加 三个地址并将其添加到一个地址组 您只需要为这个地址组创建一个策略 而不用去 为三个地址创建三个单独的策略 您可以把地址组添加到任何网络接口中 地址组只能包含已经添加到这个网络接口 的地址 地址组可以用于网络接口的源地址或者目的地址列表 地址组的名字不能和独立地址相同 如果一个地址组已经被加到一个策略中了 就 不能删除它 除非先从这个策略中删除这个地址组 1 进入 防火墙 地址 组 2 选择要添加地址组的接口 3 输入一个地址组名 以标识这个地址组 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 要把 地址 添加到这个地址组 从有效地址列表中选择一个地址 然后单击向右箭头 把它添加到成员列表中 5 要从地址组中删除地址 从成员列表中选择要删除的地址 然后单击向左箭头把它从...

Page 162: ...后把服务添加到服务组中去 本节叙述了以下内容 预定义的服务 访问定制服务 服务分组 预定义的服务 FortiGate 预定义服务在表 5 中列出 您可以将这些服务添加到任何策略中 表 5 FortiGate 预定义的服务 服务名称 内容 协议 端口 任意 可以在任何端口匹配连接 使用任何预定义服 务的连接都可以通过防火墙 全部 全部 GRE 通用路由封装 通过把协议的数据包封装为 GRE 数据包的方式 允许任意一个网络协议通 过任意一个另外的网络协议传输的协议 47 AH 认证头 AH 提供安全主机认证和数据验证 但是不加密 这个协议用于设置为积极模式的 IPSec 远程网关的认证 51 ...

Page 163: ...务器的安全通讯 tcp 443 IKE IKE 是用来使用 IPSEC 的 ISAKMP 获得原始认 证密钥的协议 udp 500 IMAP 互联网消息访问协议 IMAP 是用于接收邮 件消息的协议 tcp 143 互联网定位服务 互联网定位协议包括 LDAP 用户定位服务和 TLS SSL 上的 LDAP tcp 389 IRC 互联网聊天中继允许人们连接到互联网并加入 聊天组 tcp 6660 6669 L2TP L2TP 是一个用于远程访问的基于 PPP 的通道 协议 tcp 1701 LDAP 轻型目录访问协议是用于访问信息目录的一组 协议 tcp 389 NetMeeting 网络会议允许用户将互联网作为传输介质进行 远程电信会议 tcp 1720 NFS 网络文件系统允许网络用户访问存贮在不同类 型的计算机上的共享文件 tcp 111 2049 NNTP 网络新闻传输协议是一个...

Page 164: ... udp 520 SMTP 用于在互联网上的电子邮件服务器之间发送邮 件 tcp 25 SNMP 简单网络管理协议是用于管理复杂网络的一组 协议 tcp 161 162 udp 161 162 SSH 用于安全连接到一台电脑进行远程管理的 SSH 服务 tcp 22 udp 22 SYSLOG 用于远程记录日志的系统日志服务 udp 514 TALK 一种支持两个或多个用户之间交谈的协议 udp 517 518 TCP 全部 TCP 端口 tcp 0 65535 TELNET 连接到远程电脑运行命令的 Telnet 服务 tcp 23 TFTP 微型文件传输协议 一个比 FTP 更简单的文件 传输协议 没有安全功能 udp 69 UDP 全部的 UPD 端口 udp 0 65535 UUCP UNIX 到 UNIX 文件拷贝协议 一个简单的文件 复制协议 udp 540 VDOLIVE 用...

Page 165: ...7 单击 确定 以添加这个定制服务 现在您可以把这个服务添加到策略中了 服务分组 为了便于添加策略 可以创建服务组 然后添加一个接受或者阻塞此组中的全部服 务的策略 一个服务组可以包括预定义服务和定制服务并以任何方式将其组合 您不 能把一个服务添加到其它服务组里 1 进入 防火墙 服务 组 2 单击 新建 3 输入一个用于识别这个组的 组名 当添加策略的时候 这个名字将出现在服务列表中 这个名字不能和预定义服务相同 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 要向服务组中 添加服务 从可用服务列表中选择服务 然后单击向右箭头把服务复制 到成员列表中 5 要从服务组中 删除服务 从成员列表中选择要删除的服务 单击向左箭头把它从这个 组中删除 6 单击 确定 以保存这个服务组 图 9 添加服务组 ...

Page 166: ...创建一个一次性任务计划 创建周期性任务计划 在策略中添加一个任务计划 创建一个一次性任务计划 可以创建一个一次性任务计划用于在特定的时间内激活策略或者解除对策略的激 活 例如 您的防火墙可能被配置为默认的 内部到外部 策略 它允许在任何时间从 内部网络访问互联网上的任何服务 您可以添加一个一次性任务计划以阻止在节日期 间对互联网的访问 1 进入 防火墙 任务计划 一次性 2 单击 新建 3 输入一个任务计划任务计划的 名称 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 输入任务计划的 开始日期 和 时间 如果需要任务计划在一整天中都有效 就把开始和结束时间都设置为 00 5 设置任务计划的 结束日期 和 时间 一次性任务计划使用 24 小时制 6 单击 确定 以保存任务计划 ...

Page 167: ...联网 如果创建了一个结束时间在开始时间之前的周期性任务计划 这个任务计划将于您 所设置的开始时间开始 并于第二天的结束时间终止 您可以使用这种方法创建一个 周期性任务计划让它从第一天运行到第二天 也可以创建一个 24 小时运行的周期性任 务计划 只需要把它的开始时间和结束时间设置成相同的时间既可 1 进入 防火墙 任务计划 周期性 2 单击 新建 以添加新的任务计划 3 输入任务计划的 名称 这个名字可以包含数字 0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 选择在一周里任务计划生效的 日期 5 设置 开始时间 和 结束时间 在这段时间里任务计划是激活的 周期性任务计划使用 24 小时制的时间表示法 6 单击 确定 以保存周期性任务计划 ...

Page 168: ...在策略中添加新的任务计划 或者可以编辑现有的策略 向其 添加一个新的任务计划 1 进入 防火墙 策略 2 选择要添加的策略类型对应的标签 3 单击 新建 以添加新的策略 或者单击 编辑 以编辑一个策略 改变它的运行时 间 4 根据需要配置策略 5 从任务计划列表中选择要添加的 任务计划 6 单击 确定 以保存策略 7 安排这个策略在策略列表中的顺序 以达到预期的效果 例如 使用一个一次性任务计划来拒绝对一个策略的访问 可以添加一个与这个策 略相匹配的新策略来拒绝任何访问 并选择您所添加的一次性任务计划 把动作方式 设置为拒绝 然后把这个包含一次性任务计划的策略放到策略列表中要被拒绝的策略 的上方 ...

Page 169: ...0 9 大写或者小写字母 A Z a z 以及特殊字符 和 _ 不允许使用其它特殊字符和空格符 4 选择这个虚拟 IP 的外部网络接口 外部接口是安全程度较低的区域中的网络接口 它接收数据包 并转发到安全程度较 高的区域中 5 确保类型被设置为 静态 NAT 6 在 外部 IP 地址 一栏 输入影射到网络中的地址的那个外部 IP 地址 例如 如果虚拟 IP 提供了从互联网到 DMZ 网络或者内部网络上的一台 Web 服务器的访 问 那么外部 IP 地址应当是从您的 ISP 那里获得的一个为 Web 服务器准备的静态 IP 地址 这个地址必须是唯一的 不能被其它主机使用 也不能跟步骤 4 中选择的外部 网络接口的地址相同 而且 这个地址必须是可以在这个网络接口中路由的 如果在步骤 4 中选择的外部接口的 IP 地址被设置为使用 PPPoE 或 DHCP 您可以在外部 IP 地址中输入 0 0...

Page 170: ...P 外部接口 外部接口是接收转发到目的网络的数据包的源网络的接口 5 修改端口转发的类型 6 在外部 IP 地址一栏 输入被影射到目的区域的地址上的外部地址 您可以将外部地址设置为在步骤 4 中选择的外部接口的地址或者其他任何地址 如果在步骤 4 中选择的外部接口的 IP 地址被设置为使用 PPPoE 或 DHCP 您可以在外 部 IP 地址中输入 0 0 0 0 FortiGate 设备使用 PPPoE 或 DHCP 替换这个接口的 IP 地 址设置 例如 如果虚拟 IP 提供了从互联网到您内部网络上的一台服务器的访问 那么此外部 地址必须是由您的 ISP 分配给这个服务器的一个静态的 IP 地址 这个地址必须是唯一 的一个地址 不能用于网络上的其它主机 而且这个地址必须是可以被步骤 4 中选定 的外部网络接口路由的 注意 防火墙把从主机向外发出的数据包的源地址从被映射的 IP 地址转换...

Page 171: ...络上的 真实 IP 地址 例如 真实 IP 地址可以是位于您的内部网络中的 Web 服务器的地址 如果您输入的是和内部接口在同一子网内的一个 IP 地址 虚拟 IP 可以被添加到外部 内部 或 DMZ 内部类型的策略中去 如果您输入的是和 DMZ 接口在同一子网内的 IP 地址 虚拟 IP 可以被添加到外部 DMZ 类型的策略中去 9 把 映射到端口 设置为转发数据包时要给它们添加的端口号 如果您不希望转换端口 可以输入和外部服务端口相同的端口号 如果您希望转换端口 输入要转换到的目的端口的端口号 当数据包被防火墙转发时 它们的目的端口将被按照这个号码被修改 10 选择被转发的端口所要使用的 协议 11 单击 确定 以保存端口转发虚拟 IP 图 13 添加端口转发虚拟 IP 添加使用虚拟 IP 的策略 按照如下步骤添加使用虚拟 IP 转发数据包的策略 1 进入 防火墙 策略 ...

Page 172: ...FortiGate 网络接口是 192 168 1 99 那么一个有效的 IP 池可以是从 192 168 1 10 到 192 168 1 20 的 IP 地址 这个 IP 池可以为防火墙提供 11 个可选的 IP 地址 供防 火墙在转换源地址时候使用 IP 池地址范围中的地址不能和所添加到的那个网络接口位于同一网络中的其它地 址冲突 您可以在任何接口上添加多个 IP 池 但是只有 IP 池被防火墙使用 本节描述了以下内容 添加 IP 池 使用固定端口的防火墙策略的 IP 池 IP 池和动态 NAT 添加 IP 池 以下操作用于添加 IP 池 1 进入 防火墙 IP 池 源地址 选择用户可以用来访问服务器的源地址 目的地址 选择虚拟 IP 任务计划 根据需要选择任务计划 服务 选择的服务应当对应于您选择的端口转发虚拟 IP 所映射到的服务 动作 将 动作 设置为 接受以接受到内部网络服务...

Page 173: ...的源端口 有些网络配置就无法 正常工作 NAT 通过转换源端口来跟踪特定服务的连接 您可以为 NAT 策略选择固定的 端口以防止源端口转换 然而 选择固定端口意味着这个服务只有一个连接可以通过 防火墙 为了支持多个连接 您可以为目的接口添加一个 IP 池 然后在这个策略中选 择动态 IP 池 防火墙将从 IP 池中随机选择 IP 地址并将它们分配给每个连接 在这种 情况下防火墙能够支持的连接的数量仅仅受这个 IP 池中 IP 地址数量的限制 IP 池和动态 NAT 您可以在动态 NAT 中使用 IP 池 例如 您所在的机构可能购买了某个地址范围内 的 IP 地址 但是您可能只有一个到互联网的连接 您的 FortiGate 设备的外部接口 您可以为您的 FortiGate 设备的外部接口指定一个您所在的机构购买的互联网 IP 地址 如果您的 FortiGate 设备运行在 NAT 路由模式 ...

Page 174: ...墙的数据包或者穿过防火墙的数据包 本节讨论了以下内容 为穿过防火墙的数据包配置 IP MAC 绑定 为连接到防火墙的数据包配置 IP MAC 绑定 添加 IP MAC 地址 查看动态 IP MAC 列表 启用 IP MAC 地址绑定 为穿过防火墙的数据包配置 IP MAC 绑定 对匹配于防火墙策略 可以使用防火墙策略穿越防火墙的数据包 使用以下操作可 以对它进行 IP MAC 绑定过滤 1 进入 防火墙 IP MAC 绑定 设置 2 选择 启用经过防火墙的 IP MAC 地址绑定 3 进入 防火墙 IP MAC 绑定 静态 IP MAC 4 单击 新建 在 IP MAC 地址绑定列表中添加新的 IP MAC 地址绑定对 所有能够正常地匹配策略并通过防火墙的数据包将首先和 IP MAC 地址绑定列表中 的条目比较 如果能够发现匹配的条目 防火墙将试图把这个数据包同策略相匹配 注意 在您启用了...

Page 175: ...AC 绑定 静态 IP MAC 4 单击新建在 IP MAC 地址列表中添加新的 IP MAC 地址绑定对 所有能正常连接到防火墙的数据包都将首先在 IP MAC 绑定列表中查找匹配的 IP MAC 地址对 例如 如果 IP 地址为 1 1 1 1 和 MAC 地址为 12 34 56 78 90 ab cd 的 IP MAC 地 址对已经添加到 IP MAC 地址绑定列表了 一个 IP 地址为 1 1 1 1 MAC 地址为 12 34 56 78 90 ab cd 的数据包将被允许连 接到防火墙 一个 IP 地址为 1 1 1 1 但是使用了不同 MAC 地址的数据包将立即被丢弃 以防止 IP 欺骗攻击 一个使用了不同 IP 地址但是 MAC 地址是 12 34 56 78 90 ab cd 的数据包也将被丢 弃以防止 IP 欺骗 如果这个数据包的 IP 地址和 MAC 地址在 IP ...

Page 176: ...IP MAC 绑定 动态 IP MAC 启用 IP MAC 地址绑定 1 进入防火墙 IP MAC 绑定 设置 2 选择启用通过防火墙的 IP MAC 绑定可以启用对匹配防火墙策略的数据包的 IP MAC 地 址绑定 3 选择启用到防火墙的 IP MAC 绑定可以启用对连接到 FortiGate 的数据包的 IP MAC 地 址绑定 4 配置 IP MAC 地址绑定如何处理在 IP MAC 地址列表中没有定义 IP 和 MAC 地址的数据 包 选择允许流通可以允许所有具有不在 IP MAC 地址列表中的 IP MAC 地址对的数据包通 过 选择阻塞流通可以阻塞所有具有不在 IP MAC 地址列表中的 IP MAC 地址对的数据包通 过 5 单击应用以保存您所做的修改 图 15 IP MAC 设置 警告 确保您在启用 IP MAC 绑定之前已经添加了您的管理员电脑的 IP MAC 地址对 ...

Page 177: ...认的内容配置文件 FortiGate 设备具有以下四种默认的内容配置文件 它们位于防火墙 内容配置文 件 您可以使用现有的内容配置文件或者创建您自己的 添加一个内容配置文件 如果默认的内容配置文件不能提供您所要求的保护 您可以创建新的内容配置文件 并根据您的需要定制它的内容 1 进入 防火墙 内容配置文件 2 单击新建 3 输入一个配置文件名 4 启用防病毒保护选项 严谨 使用严谨的内容配置文件可以对 UHTTP FTP IMAP POP3 和 SMTP 等通讯的内容应用最大限度的防护 通常情况下您不需要使用严谨型 内容配置文件 但是如果您受到病毒的严重威胁 需要最大限度地屏 蔽病毒 可以选择严谨型内容配置文件 扫描 使用扫描型内容配置文件可以对 HTTP FTP IMAP POP3 和 SMTP 通讯的内 容应用防病毒扫描 同时 隔离功能也被启用了 并适用于所有类型的服 务 在 Fort...

Page 178: ...网站 这个选项将 Fortinet URL 阻塞 请见 第 233 页 阻塞对 URL 的访问 和 Cerberian URL 过滤 请见 第 235 页 使用 Cerberian 网页过滤器 添加到策略接受的 HTTP 通讯中 网页内容阻塞 阻塞包含不受欢迎的词汇或短语的网页 请见 第 232 页 内容阻 塞 网页脚本过滤 从网页中删除脚本 请见 第 238 页 脚本过滤 网页排除列表 从网页过滤和病毒扫描中排除 URL 请见 第 239 页 URL 排除列 表 电子邮件阻塞列表 对来自不受欢迎的地址的邮件添加主题标签 请见 第 242 页 电 子邮件阻塞列表 电子邮件排除列表 从电子邮件过滤中排除某些发件人地址模板 请见 第 243 页 邮 件排除列表 电子邮件内容阻塞 对包含不受欢迎的词汇活短语的电子邮件 添加主题标签 请见 第 241 页 电子邮件禁忌词汇列表 超大型文件 邮件阻塞...

Page 179: ...略 您可以将内容配置文件添加到一个策略 这个策略的动作可以是接受或拒绝 服务类 型可以是任意 HTTP FTP IMAP POP3 SMTP 或一个包含以上服务的服务组 1 进入 防火墙 策略 2 单击包含了您要添加内容配置文件的那个策略的策略列表 例如 要内部网络用户从网站上下载的文件启用网络保护 选择一个内部到外部的策 略 3 单击新建以添加一个新的策略 或选择一个策略并单击编辑 4 选择病毒防护和网页过滤 5 选择内容配置文件 6 如果需要的话配置其余的策略选项 7 单击确定 8 对您要启用网络保护的任何策略重复以上步骤 ...

Page 180: ...166 美国飞塔有限公司 内容配置文件 防火墙配置 ...

Page 181: ...户组中 然后当您需要认证的时候 可以选择相应的用户 组 可以在以下操作中要求认证 任何 动作 被设置为 接受 的防火墙策略 IPSec 拨号用户第一阶段配置 第一阶段 IPSec VPN 配置的 XAuth 功能 PPTP L2TP 当一个用户输入用户名和密码时 FortiGate 在内部用户数据库上搜索匹配的用户 名 如果这个用户名被设置成了禁用 那么这个用户就无法取得认证 连接将被放弃 如果这个用户设置了密码并且密码匹配 那么就允许连接 如果密码不匹配 连接同 样会被放弃 如果选择的是 RADIUS 而且配置了 RADIUS 支持 用户名和密码与 RADIUS 服务器 中的用户名和密码相匹配 则允许连接 如果用户名和密码不同于 RADIUS 服务器中的 用户名和密码 连接将被放弃 如果选择的是 LDAP 而且配置了 LDAP 支持 用户名和密码与 LDAP 服务器中的用 户名和密码相匹...

Page 182: ...殊字符和空格符 4 从以下内容中选择一项认证配置认证 5 如果您希望 FortiGate 在连接 RADIUS 服务器失败时尝试连接 FortiGate RADIUS 配置 中的其它 RADIUS 服务器 可以选择 如果选用的服务器连接失败则尝试连接其它服务 器 6 单击确定 禁用 阻止这个用户认证 密码 输入用户用于认证的密码 这个密码的长度不得少于 6 个字符 这个密码可 以包含数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符和空格符 LDAP 用于要求用户取得 LDAP 服务器的认证 选择用于用户认证的 LDAP 服务器的 名字 您只能选择一个已经添加到 FortiGate LDAP 配置中的 LDAP 服务器 请参阅 第 170 页 配置 LDAP 支持 Radius 用于要求用户取得 RADIUS 服务器的认证 选择用于用户认证的 RADI...

Page 183: ...前必须将它们从所添加到的 用户组中删除 1 进入用户 本地 2 对于要删除的用户的用户名 单击 删除用户 3 单击 确定 配置 RADIUS 支持 如果您配置了 RADIUS 支持 当某个用户被配置为要求使用 RADIUS 服务器认证的时 候 FortiGate 将连接 RADIUS 服务器以获得认证 本节描述了以下内容 添加 RADIUS 服务器 删除 RADIUS 服务器 添加 RADIUS 服务器 按照以下步骤为 FortiGate 配置 RADIUS 认证 1 进入 用户 RADIUS 2 单击 新建 以添加新的 RADIUS 服务器 注意 删除用户名将删除这个用户的认证配置 ...

Page 184: ...要求使用 LDAP 服务器认证的时候 FortiGate 将连接 LDAP 服务器以获得认证 要通过 FortiGate 设备进行认证 这个用 户需要输入一个用户名和对应的密码 FortiGate 将拥护名和密码发送到 LDAP 服务 器 如果 LDAP 服务器认证了这个用户 那么用户即可成功地通过 FortiGate 设备的认 证 如果 LDAP 服务器不能认证这个用户 FortiGate 设备将拒绝这个连接 FortiGate 设备支持 RFC2251 定义的 LDAP 协议功能 用于搜索有效的用户名和密 码 ForitGate LDAP 支持所有兼容于 LDAP v3 的 LDAP 服务器 FortiGate LDAP 支持不包括 LDAP 的扩展功能 例如某些 LDAP 服务器的密码到期 通知功能 FortiGate LDAP 支持不为用户提供有关认证失败的原因等信息 PPTP L...

Page 185: ...入与 LDAP 服务器通讯的端口 默认的 LDAP 使用 389 端口 6 为这个 LDAP 服务器输入一个通用标识符 大多数 LDAP 服务器的通用标识符是 cn 然而有些服务器可能会使用其他标识符例如 uid 7 输入用于在 LDAP 服务器上搜索条目的名称 使用适当的 X 509 或 LDAP 格式为服务器输入一个基本名称 FortiGate 设备会将这个 名称不加修改直接发送到服务器 例如 您可以使用以下基本名称 ou 行销 dc fortinet dc com 其中 ou 是机构单位的缩写 dc 是域成员的缩写 您还可以在基本名称中指定同一域名的多个实例 例如 要指定多个机构单位 ou 帐目 ou 行销 dc fortinet dc com 8 单击确定 图 19 LDAP 配置举例 删除 LDAP 服务器 您不能删除已经添加到用户组的 LDAP 服务器 1 进入用户 LDAP ...

Page 186: ...PTP 配置 只有选定用户组中的用户可以使用 PPTP TFortiGate L2TP 配置 只有选定用户组中的用户可以使用 L2TP 当您将用户名 RADIUS 服务器和 LDAP 服务器添加到用户组中时 您添加它们的顺 序决定了 FortiGate 设备使用他们请求认证的顺序 如果用户名在前 FortiGate 设备 在本地用户中检索匹配的用户名 如果没有找到匹配的用户名 FortiGate 设备将检索 RADIUS 服务器或 LDAP 服务器 如果先添加的是 RADIUS 服务器或 LDAP 服务器 FortiGate 设备将先在服务器中检索 如果没有找到匹配的用户名才在本地用户中检 索 如果用户组包含用户名 RADIUS 服务器和 LDAP 服务器 FortiGate 设备根据他们 被添加时的顺序在其中检索用户 本节描述了以下内容 添加用户组 删除用户组 添加用户组 使用以下信息在...

Page 187: ...头将 用户名添加到成员列表中 5 要向用户组中添加 RADIUS 服务器 从 有效用户列表 中选择 RADIUS 服务器名然后单 击右箭头将 RADIUS 服务器添加到成员列表中 6 要向用户组中添加 LDAP 服务器 从 有效用户列表 中选择 LDAP 服务器名然后单击右 箭头将 RADIUS 服务器添加到成员列表中 7 要从用户组中删除用户 RADIUS 服务器或 LDAP 服务器 选中 成员列表 中要删除的用 户 RADIUS 服务器或 LDAP 服务器 然后单击右箭头将用户名或者 RADIUS 服务器从组 中删除 8 单击 确定 删除用户组 您不能删除已经被策略 远程网关 PPTP 或 L2TP 配置选用的用户组 按以下步骤删除用户组 1 进入 用户 用户组 2 单击您要删除的用户组右侧的 删除 3 单击 确定 ...

Page 188: ...174 美国飞塔有限公司 配置用户组 用户与认证 ...

Page 189: ... 可以将通道 数据加密和认证结合起来以实现安全的 VPN 连接 通道封装数据 以 使得它可以通过公共网络传播 数据帧并不是以它原始的格式发送的 而是用一个附 加的头部进行封装并在通道的两个端点之间路由 在到达目的端点之后 数据被解封 并转发到它在专用网络中的目的地址 加密将数据流从明文 一些人类或程序能看懂的东西 转换成密文 看不懂的东 西 这些信息根据已知的密钥使用数学算法加密和解密 认证能够校验数据包的来源和它内容的完整性 认证使用带有密钥的 hash 功能算 法计算校验和 本章提供了关于如何配置 FortiGate IPSec VPN 的概述 关于 FortiGate VPN 的详 细信息 请见 FortiGate VPN 指南 密钥管理 手工密钥 IPSec VPN 自动 IKE IPSec VPN 管理数字证书 配置加密策略 IPSec VPN 集中器 冗余 IPSec VPN ...

Page 190: ...ffie Hellman 组结合起来创建一个会话密钥 这个会话密钥可以 用于加密和认证的目的 并且在通讯会话的过程中通过 IKE 自动重建 预置密钥与手工设置密钥相似的地方在于他们都需要网络管理员去分配和管理 VPN 通道两端的匹配信息 当一个预置密钥改变时 系统管理员必须更新通道两端的设置 使用证书的 自动 IKE 这种密钥管理方法需要一个受信任的第三方 证书发布中心 CA 的参与 在一 个 VPN 中对等的双方首先请求生成一系列密钥 通常被称做公钥 私钥对 CA 为每一 方的公钥签名 创建一个签名的数字证书 对等的双方可以联系 CA 以找回他们自己的 证书 加上 CA 自己的 一旦证书被上载到 FortiGate 设备 并配置好了适当的策略和 IPSec 通道 那么双方就可以发起通讯了 在通讯中 IKE 负责管理证书交换 从一方 将签名的数字证书传送到另一方 这个签名的数字证书的有效性...

Page 191: ...ate 和同样使用手工密钥的远程 IPSec VPN 客户或 网关之间建立 IPSec VPN 通道 按照以下步骤添加一个手工密钥 VPN 通道 1 进入 VPN IPSec 手工密钥 2 单击新建以添加一个新的手工密钥 VPN 通道 3 输入 VPN 通道名称 这个名称可以含有数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符或者空格符 4 输入本地 SPI 本地安全参数索引是一个不多于八位的十六进制数 数字 0 到 9 字母 a 到 f 这个 十六进制数必须添加到通道另一端的远程 SPI 中 本地 SPI 的取值范围是 bb8 到 FFFFFFF 5 输入远程安全参数索引 远程安全参数索引是一个不多于八位的一个十六进制数 数字 0 到 9 字母 a 到 f 这个十六进制数必须添加到通道另一端的本地 SPI 中 远程 SPI 的取值范围是 bb8 到...

Page 192: ...内容包括 第一阶段和第二阶段参数 通道两端的源地址 和目的地址 以及一个控制对这个通道的访问的加密策略 按以下步骤创建一个自动 IKE VPN 配置 1 添加第一阶段参数 请见 第 179 页 为自动 IKE VPN 添加第一阶段配置 2 添加第二阶段参数 请见 第 182 页 为自动 IKE VPN 添加第二阶段配置 3 配置一个包含了这个通道 通道两端的源地址和目的地址的加密策略 请见 第 188 页 配置加密策略 AES128 输入一个 32 个字符 16 字节 的十六进制数 0 9 A F 将这个数分成两个 16 个字符的部分 AES192 输入一个 48 个字符 24 字节 的十六进制数 0 9 A F 将这个数分成三个 16 个字符的部分 AES256 输入一个 64 个字符 32 字节 的十六进制数 0 9 A F 将这个数分成四个 16 个字符的部分 MD5 输入一个 32...

Page 193: ...点的网关名称 远端 VPN 端点可以是另一个网络的网关或者互联网上的一个独立的客户 这个名称可以含有数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符或者空格符 4 选择远程网关地址类型 如果远程 VPN 端点有静态 IP 地址 选择静态 IP 地址 如果远程 VPN 端点使用动态 IP 地址 DHCP 或 PPPoE 或者远程 VPN 端点有一个无 须端点识别处理的静态地址 选择拨号用户 根据您所选择的远程网关地址类型 可能还要填写其他栏目 5 选择进取模式或主模式 ID 保护 当使用进取模式时 VPN 双方使用明文交换识别信息 当使用主模式时 识别信息是隐 藏的 VPN 双方必须使用同一模式 6 配置 P1 提议 最多可以为第一阶段的提议选择三个加密算法和认证算法 VPN 通道的两端必须使用相同的 P1 阶段提议设置 7 选择 DH 组 选择一个或...

Page 194: ...如果您没有添加本地 ID FortiGate 设备将发送它的 IP 地址 只能在预置密钥和进取模式下配置本地 ID 不要在证书或者主模式下配置本地 ID 配置高级选项 1 单击高级选项 2 可选的 选择对等选项 选择对等选项可以使用远程 VPN 端点在第一阶段发送的 ID 对它们进行认证 3 可选的 配置 XAuth XAuth IKE 扩展认证 在用户层认证 VPN 双方 如果 FortiGate 设备 本地 VPN 端 点 被配置为一个 XAuth 服务器 它将通过在用户组中查询来验证远程 VPN 端点 包 含在用户组中的这个用户可以是 FortiGate 设备中配置的本地用户 或者远程的 LDAP 或 RADIUS 服务器中的用户 如果 FortiGate 设备被配置为 XAuth 客户端 当它被查询 的时候将提供一个用户名和密码 接受任何端点 ID 选择接受任何端点 ID 从而不认...

Page 195: ...IUS 服务器认证 在用户组被选中之前它必须被添加到 FortiGate 的配置中 启用 选择启用 如果您希望 IPSec VPN 的数据流通过一个执行 NAT 的网关 如果 没有检测到 NAT 设备 启用 NAT 穿越功能不会有任何效果 在网关的两端必 须使用相同的 NAT 穿越设置 激活频率 如果启用了 NAT 穿越 则可以修改保持活动的时间间隔 以秒为单位 这个 时间间隔指定了空 UDP 包发送的频率 这个 UDP 包穿过 NAT 设备 以保证 NAT 映象不会改变 直到第一阶段和第二阶段的密钥过期 保持活动的时间 间隔可以从 0 一直到 900 秒 启用 选择启用可以启用本地和远程端点之间的 DPD 短时空闲 设置以秒为单位的时间 这是本地 VPN 端点需要考虑连接是否空闲之前所经 历的时间 在这段时间之后 当本地端点要向远程 VPN 端点发送通讯时 它 必须同时发送一个 DPD ...

Page 196: ...法添加第二阶段配置 1 进入 VPN IPSEC 第二阶段 2 单击新建以添加新的第二阶段配置 3 输入一个通道名称 这个名称可以含有数字 0 9 大写和小写字母 A Z a z 以及特殊字符 和 _ 不能使用其它特殊字符或者空格符 4 选择一个连接到这个 VPN 通道的远程网关 远程网关可以是另一个网络中的网关或者互联网上的一个独立的客户 远程网关是作 为第一阶段配置的一部分添加的 有关的详细信息请见 第 179 页 为自动 IKE VPN 添加第一阶段配置 可以选择单独的拨号远程网关或者最多三个静态远程网关 如果您要配置 ISec 冗余 就需要多个静态远程网关 关于 IPSec 冗余的详细信息 请见 第 195 页 冗余 IPSec VPN 注意 使用预置密钥 VPN 和证书 VPN 的第二阶段配置相同 ...

Page 197: ...须使用相同的 DH 组设置 9 输入密钥有效期 密钥有效期限制第二阶段的密钥在一定时间内 或者千字节的数据被 VPN 通道处理过 之后过期 或者两者都有 如果您选择两者都是 则直到经过了指定的时间并且处理 了指定量的数据之后 密钥才会过期 当密钥过期之后 无须中断服务就可以生成一个新的密钥 P2 提议中的密钥有效期可 以从 120 秒到 172800 秒或者从 5120 千字节到 99999 千字节 10 可选的 启用自动密钥保持激活 启用自动密钥保持激活可以在没有数据传输的时候也保持 VPN 通道的有效 11 可选的 是否指定一个集中器 如果您希望通道成为星型 VPN 配置的一部分 选择集中器 如果您使用了这个操作 第 193 页 添加一个 VPN 集中器 可以为集中器添加通道 下次您打开通道 集 中器栏会显示您添加到通道的集中器的名字 12 单击 确定 保存自动密钥 VPN 通道 注意...

Page 198: ...的 Fortinet 使用手工操作获得证书 这包括从您的本地电脑将文本文件复制和粘贴 到认证中心 或从认证中心到您的本地电脑 获得签名的本地证书 获得一个 CA 证书 获得签名的本地证书 签名的本地证书可以为 FortiGate 设备提供其他设备鉴别它的能力 生成证书请求 您可以按照如下步骤生成一个公钥 私钥对 公钥是证书请求的基本元素 按照如下步骤生成证书请求 1 进入 VPN 本地证书 注意 配置 fortiGate VPN 无须数字证书 数字证书是一项高级功能 它为系统管理提供了便 利 这一操作假定用户具有如何在他们的应用中配置数字证书的有关知识 注意 VPN 端点的数字证书必须遵从 X 509 标准 ...

Page 199: ... 设备的 IP 地址作为主机 IP 域名 输入被人证的 FortiGate 设备的完整的域名 不包括协议标识 http 或任何端口号或路径名 E Mail 输入被认证的 FortiGate 设备的所有者的电子邮件地址 典型情况下 只 有客户才需要电子邮件地址 网关不需要 组织单位 输入请求这个 FortiGate 设备的证书的组织中的部门或单位的识别名称 例如制造商或 MF 组织 输入请求这个 FortiGate 设备的证书的组织的依法登记的名称 例如 Fortinet 位置 输入这个 FortiGate 设备所在的城市或城镇的名称 例如北京 州 省 输入 FortiGate 设备所在的省 市 自治区的名称 例如河北省 国家 选择这个 FortiGate 设备所在的国家 电子邮件 输入这个 FortiGate 设备的联络电子邮件地址 通常电子邮件地址仅用于 客户 而不是网关 密钥类型 选择...

Page 200: ...证书 下载证书请求 您可以使用如下操作将证书请求从 FortiGate 设备下载到管理员电脑 按照如下步骤下载证书请求 1 进入 VPN 本地证书 2 单击下载 以将本地证书下载到管理员电脑 3 单击保存 4 命名这个文件并将它保存到管理员电脑中 请求签名的本地证书 在下面的操作中 您可以从管理员电脑中将证书请求复制和粘贴到 CA 网页服务 器 按照如下步骤请求签名的本地证书 1 在管理员电脑中使用一个文本编辑器打开本地证书请求 2 复制证书请求 3 连接到 CA 网页服务器 ...

Page 201: ...服务器上提交证书请求 现在证书请求已经提交到 CA 以进行签名 图 24 在文本编辑器中打开证书请求 领取一个签名的本地证书 在下面的操作中 您可以连接到 CA 网页服务器并将一个签名的本地证书下载到管 理员电脑 在 CA 已经对证书请求签名之后再领取证书 按照如下步骤领取一个签名了的本地证书 1 连接到 CA 网页服务器 2 按照 CA 网页服务器的指示下载签名了的本地证书 将显示文件下载对话框 3 单击保存 4 在管理员电脑中的一个目录中保存文件 导入签名的本地证书 在下面的操作中 您可以从管理员电脑中将签名的本地证书导入 FortiGate 设备 中 按照如下步骤导入签名的本地证书 1 进入 VPN 本地证书 2 单击导入 3 输入路径或通过浏览在管理员电脑中定位签名的本地证书 ...

Page 202: ...理员电脑 按以下操作恢复 CA 证书 1 连接到 CA 网页服务器 2 跟随 CA 网页服务器的指示下载 CA 证书 将显示文件下载对话框 3 单击保存 4 在管理员电脑的一个目录中保存 CA 证书 导入一个 CA 证书 从管理员电脑将一个 CA 证书导入到 FortiGate 设备 按以下步骤导入 CA 证书 1 进入 VPN CA 证书 2 单击导入 3 输入路径或浏览以在管理员电脑中定位 CA 证书 4 单击确定 现在 CA 证书将显示在 CA 证书列表中 配置加密策略 VPN 将本地的内部网络连接到远程的外部网络 加密策略的主要角色是定义 和限 制 这些网络上的哪些地址可以使用这个 VPN 一个 VPN 只需要一个加密策略 它可以同时控制向内和向外的连接 根据您对加密 策略所做的配置 它可以控制您的内部网络中的用户是否可以建立到远程网络的通道 向外连接 以及远程网络中的用户是否可以...

Page 203: ...可以使 FortiGate 设备对所有使用 VPN 的连接记录日志 策略必须包含您所创建的用来和远程 FortiGateVPN 网关通讯的 VPN 通道 当您的 内部网络中的用户试图连接到远程 VPN 网关后面的网络中的时候 加密策略截获这个 连接企图并发起一个添加到这个策略的 VPN 通道 这个通道使用添加到它的配置中的 远程网关来连接到连接到远程 VPN 网关 当远程 VPN 网关接收到连接请求时 它检查 自己的策略 网关和通道配置 如果配置允许 将在这两个 VPN 端点之间协商一个 IPSec VPN 通道 添加源地址 添加目的地址 添加一个加密策略 添加源地址 源地址是本地 VPN 端点所在的网络中的地址 它可以是一个单独的电脑的地址或是 一个网络的地址 1 进入 防火墙 地址 2 选择一个内部接口 根据 FortiGate 型号的不同 方法稍有差别 3 单击新建以添加一个地址 4...

Page 204: ...略列表中的位置 使它在其他具有同样源和目的地址以及服务的 策略之上 以确保加密策略能匹配 VPN 连接 VPN 通道 为这个加密策略选择一个自动密钥通道 允许向内 选择 允许向内 可以允许向内连接的用户连接到源地址上 允许向外 选择 允许向外 可以允许向外连接的用户连接到目的地址上 向内 NAT FortiGate 可以把接收到的向内的数据包的源地址转换为连接到源地址网络 上的 FortiGate 内部网络接口的 IP 地址 通常这是 FORTIGate 设备的一个 内部接口 向内 NAT 使得本地主机无法看到远程主机 在远程 VPN 网关后面的网络中的 主机 的 IP 地址 向外 NAT FortiGate 可以把向外发送的数据包的源地址转换为连接到目的地址网络上 的 FortiGate 的网络接口的 IP 地址 通常情况下这是 FortiGate 设备的一 个外部接口 向外 NAT 使...

Page 205: ...个 集中器 管理着辐条之间的 VPN 连接 星型配置的网络的优势在于辐条的配置更加简单 因为它们只需较少的策略 一个 星型配置的网络能够提供同样的处理效率 特别是在辐条上 星型配置的网络的劣势 是它依赖于一个端点去管理所有的 VPN 如果这个端点发生故障或关闭 这个网络中将 无法进行任何加密通讯 一个星型配置的 VPN 网络需要一个特定的配置 配置的不同取决于 VPN 端点所扮演 的角色的不同 如果 VPN 端点是一个作为集线器或集中器的的 FortiGate 设备 它需 要一个 VPN 配置以将它连接到每个辐条 自动 IKE 第一阶段和第二阶段设置或手工密 钥设置 加上加密策略 还需要一个集中器配置以将星型配置的通道彼此分组 这个 集中器配置将 FortiGate 设备定义为星型配置网络中的集线器 ...

Page 206: ... 地址 以 及这个通道所用的加密和认证算法 请见 第 176 页 手工密钥 IPSec VPN 一个自动 IKE 通道 包括第一阶段和第二阶段参数 第一阶段参数包括辐条 客户 或网关 的名称 辐条如何接收它的 IP 地址 静态 的指示 加密和认证算法 以及认证方法 可以是预置密钥或着 PKI 证书 第二阶段参数包括通道名 在第一 阶段中选择的辐条 客户或网关 的配置 加密和认证算法 以及一些安全参数 请见 第 178 页 自动 IKE IPSec VPN 2 为每个辐条添加一个目的地址 这个目的地址是辐条 可以是互联网上的客户或者一 个网关后边的网络 的地址 请见 第 189 页 添加源地址 3 添加集中器配置 这一步将 FortiGate 设备上的通道彼此分组 这些通道将辐条连接 到集线器上 这些通道是作为自动 IKE 第二阶段配置或手工密钥配置的一部分添加的 请见 第 193 页 添加...

Page 207: ...N 集中器 按以下步骤添加一个 VPN 集中器配置 1 进入 VPN IPSec 集中器 2 单击 新建 以添加新的 VPN 集中器 3 在 集中器名称 一栏输入新集中器的名称 4 把通道添加到 VPN 集中器 从 可用通道列表 中选择 VPN 通道然后单击右箭头 5 要从集中器中删除通道 从 成员列表 中选定要删除的通道然后单击左箭头 6 单击 确定 添加 VPN 集中器 图 26 添加 VPN 集中器 源 内部 _ 全部 目的 VPN 辐条地址 动作 加密 VPN 通道 VPN 辐条通道名 允许向内 选择允许向内的通讯 允许向外 选择允许向外的通讯 向内 NAT 如果需要选择向内 NAT 向外 NAT 如果需要选择向外的 NAT ...

Page 208: ...c VPN 2 添加源地址 需要一个本地 VPN 辐条的源地址 请见 第 189 页 添加源地址 3 为每个远程 VPN 辐条输入一个目的地址 目的地址是辐条 互联网上的客户端或者网 关后边的网络 的地址 请见 第 189 页 添加目的地址 4 为每个远程 VPN 辐条设置一个独立的向外加密策略 这个策略控制这本地 VPN 辐条初 始化的加连接 加密策略必须包括在步骤 1 中添加的适当的源地址和目的地址和通道 使用如下配置 请见 第 190 页 添加一个加密策略 5 添加一个向内加密策略 这个策略控制这由远程 VPN 辐条初始化的加密连接 集线器的加密策略必须包含在步骤 1 中添加的通道的源地址和目的地址 使用如下配 置 源 本地 VPN 辐条的地址 目的 远程 VPN 辐条的地址 动作 加密 VPN 通道 在步骤 1 中添加的 VPN 通道名 对所有加密策略使用相同的通道名 允许向内 不...

Page 209: ... 使用不 对称的配置的情况下 VPN 的一端的冗余级别和另一端不同 配置冗余 IPSec VPN 在配置 VPN 之前 确保两个 FortiGate 设备都有到互联网的多重连接 对于每个设 备 首先添加多个 两个或更多 外部接口 然后将每个接口分配到一个外部区域 最后 为每个接口添加到互联网的路由 使用对称的设置配置两个 FortiGate 设备到互联网的连接 例如 如果远程 FortiGate 设备有两个外部接口并被分组到同一区域内 那么本地的 FortiGate 设备应 当也有两个在同一区域内的外部接口 类似地 如果远程 FortiGate 设备有两个外部接口并且在不同的区域中 那么本地 FortiGate 设备应当也有两个在不同区域中的外部接口 如果所有的外部接口都分组在同一区域内 配置将比接口在不同区域内简单 然 而 处于安全角度考虑 或者其他原因 可能无法这样配置 当您定义完了两...

Page 210: ...地址 请见 第 189 页 添加源地址 请见 第 189 页 添加目的地址 4 最多为三个 VPN 连接添加加密策略 如果 VPN 连接在同一区域内 添加一个向外的加密策略 例如一个内部 外部策 略 为这个策略添加自动 IKE 密钥通道 如果 VPN 连接在不同区域 为每个连接添加一个单独的向外加密策略 例如 一个内 部 外部策略和一个内部 DMZ 策略 每个策略的源地址和目的地址必须相同 为每个策略添加不同的自动 IKE 密钥通道 请见 第 190 页 添加一个加密策略 VPN 监视和问题解答 本节提供了一些常见的 VPN 维护和监视手段 本节叙述了以下内容 查看 VPN 通道状态 查看拨号 VPN 连接的状态 测试 VPN 查看 VPN 通道状态 您可以使用 IPSec VPN 通道列表查看所有 IPSec 自动密钥 VPN 通道的状态 对于 每个通道 列表中都显示了通道的状态以及通道...

Page 211: ...PSec 拨号 有效期 列显示了这个连接建立以来经历的时间 超时 列显示了下次密钥交换之前剩下的时间 这个时间等于密钥有效期减去上次密钥 交换以来经历的时间 源代理 ID 列 显示了远端的实际的 IP 地址或者子网地址 目的代理 ID 列 显示了本地院的实际 IP 地址或者子网地址 图 28 拨号监视器 测试 VPN 为了确认位于两个网络之间的 VPN 是否配置正确 可以使用 PING 命令从一个内部 网络连接另一个内部网络中的一台计算机 当 FortiGate 收到第一个发往 VPN 的数据 包时 就会发起 VPN 连接 为了确认一个在网络和一个或多个远程用户之间的 VPN 是否配置正确 可以发起一 个 VPN 客户端连接然后使用 PING 命令连接到内部网络中的一台电脑上 当客户试图连 接时 VPN 通道会自动初始化 您只需从客户端 PING 内部网络中的一台电脑就可以同 时发起这个通...

Page 212: ...198 美国飞塔有限公司 VPN 监视和问题解答 IPSec VPN ...

Page 213: ...务供应商支持 PPTP 和 L2TP 连接 您只要在客户电脑和 FortiGate 设备上做一 些必要的简单设置即可创建一个安全的连接 本章提供了一个关于如何配置 FortiGate PPTP 和 L2TP VPN 的概述 关于 FortiGate PPTP 和 L2TP 的详细描述请见 FortiGate VPN 指南 本章描述了以下内容 配置 PPTP L2TP VPN 配置 配置 PPTP 顾名思义 PPTP 包括点对点通讯协议 PPTP 使用 PPP 包将数据封包并使用 IP 包压 缩 PPP 包以使得它能通过 VPN 通道传输 本节叙述了以下内容 把 FortiGate 配置为 PPTP 网关 配置 PPTP 的 Windows98 客户端 配置 Windows2000 的 PPTP 客户端 配置 WindowsXP 的 PPTP 客户端 注意 只有在 NAT 路由模式下才支持 ...

Page 214: ...照以下步骤将 FortiGate 设备配置问 PPTP 网关 添加用户名和组 按以下步骤为每个 PPTP 客户端添加一个用户 1 进入 用户 本地 2 添加并配置 PPTP 用户 请见 第 168 页 添加用户名并配置认证 3 进入 用户 用户组 4 添加并配置 PPTP 用户组 请见 第 172 页 配置用户组 启用 PPTP 并指定一个地址范围 1 进入 VPN PPTP PPTP 范围 2 单击启用 PPTP 3 输入 PPTP 地址范围的起点 IP 地址和终点 IP 地址 4 选择您在 第 200 页 添加用户名和组 中添加的用户组 5 单击 应用 以启用通过 FortiGate 的 PPTP ...

Page 215: ... 为 PPTP 地址范围内的一个地址输入地址名 IP 地址和网络掩码 5 单击确定以保存源地址 6 对 PPTP 地址范围内的所有地址重复上述步骤 添加一个地址组 将源地址编进地址组 1 进入 防火墙 地址 组 2 在 PPTP 客户连接到的网络接口添加一个新的地址组 3 输入一个用于识别地址组的组名称 这个名称可以包含数字 0 9 大写或小写字母 A Z a z 以及特殊字符 和 _ 不能包含其他字符和空格 4 要添加地址组 在可用地址列表中选择一个地址 单击右箭头将它添加到成员列表 5 要从地址组中删除地址 从成员列表中选择一个地址 然后单击左箭头以将它从组中 删除 6 单击确定以添加这个地址组 注意 如果 PPTP 地址范围包含某个子网的全部地址 您可以添加这个子网的地址 不 要添加地址组 ...

Page 216: ...选择您要添加策略的策略列表 3 单击新建以添加新的策略 4 将源地址设置为与 PPTP 地址范围匹配的组 5 将目的地址设置为 PPTP 用户可以连接到的地址 6 将服务设置为与 PPTP VPN 通道内的通讯匹配的类型 例如 如果 PPTP 用户可以访问网页 选择 HTTP 7 将动作设置为 接受 8 如果需要地址转换则选择 NAT 您还可以配置 PPTP 策略的流量控制 记录日志以及病毒防护和网页内容过滤 9 单击确定以保存防火墙策略 配置 PPTP 的 Windows98 客户端 按照以下步骤配置运行Windows98 操作系统的电脑以使得它可以连接到FortiGate PPTP VPN 为了配置 Windows98 的客户端 您必须安装和配置 Windows 拨号网络和虚 拟专用网络支持 安装 PPTP 支持 1 进入开始 设置 控制面板 网络 2 选择添加 3 选择网络适配器 4...

Page 217: ...头压缩 的选中 11 取消对 使用远程网络的默认网关 的选中 12 单击两次 确定 连接到 PPTP VPN 1 启动您在上面步骤中刚刚建立的拨号连接 2 输入您的 PPTP VPN 用户名和密码 3 单击 连接 配置 Windows2000 的 PPTP 客户端 按照以下步骤配置运行 Windows2000 操作系统的电脑以使它可以连接到 FortiGate PPTP VPN 上 配置 PPTP 拨号网络连接 1 进入开始 设置 网络 与拨号连接 2 双击 建立新连接 以启动网络连接向导 单击 下一步 3 在 网络连接类型 选项 选择 通过互联网连接到专用网络 单击 下一步 4 在 目的地址一项 输入要连接的 FortiGate 的主机名或者 IP 地址 单击 下一步 5 设置 只有我能使用此连接 单击 下一步 6 单击 完成 7 在连接窗口 选择 属性 8 选择 安全 属性页 9 取消...

Page 218: ...络和互联网连接 3 选择 建立一个您的工作间的网络连接 单击 下一步 4 选择 虚拟专用网络连接 单击 下一步 5 为连接输入一个名字 单击 下一步 6 如果弹出公共网络对话框 选择 自动初始化连接 单击 下一步 7 在 VPN 服务器选择 对话框 输入您要连接到的 FortiGate 的主机名或者 IP 地址 单 击 下一步 8 单击 完成 配置 VPN 连接 1 鼠标右键单击您在上面操作中创建的连接图标 2 选择 属性 安全 3 选择 常规 以进行常规设置 4 选择 需要数据加密 5 单击 高级 以配置高级设置 6 单击 设置 7 选择 挑战握手认证协议 CHAP 8 确定没有选中其它设置 9 选择 网络 属性页 10 确定以下选项已经被选中了 TCP IP QoS 数据包调度程序 11 确定以下选项没有没选中 微软网络的文件和打印共享 微软网络客户 注意 如果是用 RADIUS 服务...

Page 219: ... 输入您的 PPTP VPN 用户名和密码 4 单击 连接 5 在 连接 窗口 输入您用来连接到您的 拨号网络连接 的用户名和密码 这个用户名和密码不同于 VPN 连接的用户名和密码 L2TP VPN 配置 有些 L2TP 的应用支持 IPSec 元素 在 FortiGate 设备中使用 L2TP 时必须禁用这些 IPSec 元素 本节叙述了以下内容 把 FortiGate 配置为 L2TP 网关 配置 Windows2000 客户的 L2TP 配置 WindowsXP 客户的 L2TP 图 31 Windows 客户和 FortiGate 之间的 L2TP VPN 注意 只有在 NAT 路由模式下才支持 L2TP VPN ...

Page 220: ...4 添加并配置 L2TP 用户组 请见 第 172 页 配置用户组 启用 L2TP 并指定地址范围 1 进入 VPN L2TP L2TP 范围 2 选择启用 L2TP 3 输入 L2TP 地址范围的 起点 IP 地址 和 终点 IP 地址 4 选择您在 第 206 页 添加用户和用户组 添加的用户组 5 单击应用 以启动通过 FortiGate 的 L2TP 图 32 L2TP 地址范围配置的例子 6 把 L2TP 地址范围中的地址添加到外部接口地址列表 这些地址可以放进一个外部地址 组里 7 在连接到目的接口中添加 L2TP 用户可以连接的网络地址 这些地址可以放进一个地址 组里 例如 如果您希望 L2TP 用户可以连接到内部网络中 您可以在防火墙 地址 内部 的内部接口地址列表里添加这个地址 8 添加一个允许 L2TP 用户通过 FortiGate 连接的策略 ...

Page 221: ...组 3 输入一个用于识别地址组的组名称 这个名称可以包含数字 0 9 大写或小写字母 A Z a z 以及特殊字符 和 _ 不能包含其他字符和空格 4 要添加地址组 在可用地址列表中选择一个地址 单击右箭头将它添加到成员列表 5 要从地址组中删除地址 从成员列表中选择一个地址 然后单击左箭头以将它从组中 删除 6 单击确定以添加这个地址组 添加一个目的地址 添加一个 L2TP 用户可以连接到的地址 1 进入 防火墙 地址 2 选择一个内部接口或者 DMZ 接口 对于不同型号的的 FortiGate 方法一些差别 3 单击新建以添加新的地址 4 为本地 VPN 的内部接口上的单个电脑或一个子网输入地址名 IP 地址和网络掩码 5 单击确定以保存目的地址 添加一个防火墙策略 添加一个指定了源地址和目的地址的策略 并将策略的服务类型设置为 L2TP VPN 通道内的通讯类型 1 进入 防火墙 策...

Page 222: ...dows2000 的电脑 使得它能够连接到 FortiGate L2TP VPN 配置 L2TP 拨号连接 1 进入开始 设置 网络 与拨号连接 2 双击 新建连接 以启动网络连接向导 单击 下一步 3 在 网络连接类型 中 选择 通过互联网连接到专用网络 单击 下一步 4 在 目的地址 一栏 输入您要连接的 FortiGate 的地址 单击 下一步 5 将连接设置为 只有我自己可以使用此连接 单击 下一步 6 单击 完成 7 在连接窗口 单击 属性 8 选择 安全 属性页 9 确定 需要数据加密 已经被选中了 10 选择 网络 属性页 11 将 VPN 服务器类型设置为第二层隧道协议 L2TP 12 保存您所做的修改 继续以下操作 禁用 IPSec 1 选择 网络 属性页 2 选择互联网协议 TCP IP 属性 3 双击 高级 属性页 4 进入选项 页 选择 IP 安全 属性 5 确认 ...

Page 223: ...自动过滤器 取而代之的是 它检查本地或者活动目录上的 IPSec 策略 连接到 L2TP VPN 1 启动您在前面步骤中创建的拨号连接 2 输入您的 L2TP 用户名和密码 3 单击 连接 4 在连接窗口 输入您的拨号网络连接的用户名和密码 这个用户名和密码不同于您的 L2TP VPN 用户名和密码 配置 WindowsXP 客户的 L2TP 按照以下步骤配置运行 WindowsXP 系统的电脑使得它能够连接到 FortiGate L2TP VPN 配置 L2TP VPN 拨号网络连接 1 进入开始 设置 2 选择 网络和互联网连接 3 选择 建立一个您的工作间的网络连接 单击 下一步 4 一选择 虚拟专用网络连接 单击 下一步 5 为连接输入一个名字 单击 下一步 6 如果弹出公共网络对话框 选择 自动初始化连接 单击 下一步 7 在 VPN 服务器选择 对话框 输入您要连接到的 For...

Page 224: ...下主键 HKEY_LOCAL_MACHINE System CurrentControlSet Services Rasman Parameters 8 添加以下键值 Value Name ProhibitIpSec Data Type REG_DWORD Value 1 9 保存您所做的改动并重新启动电脑以使修改生效 您必须添加 ProhibitIpSec 注册表键值到每个要使用 L2TP 和 IPSec 的运行 WindowsXP 操作系统的电脑 以防止 L2TP 或 IPSec 连接在启动时起用自动过滤功能 当 ProhibitIpSec 注册键值被设置为 1 的时候 您的 WindowsXP 电脑不生成使用 CA 认 证的自动过滤器 取而代之的是 它检查本地或者活动目录上的 IPSec 策略 注意 如果是用 RADIUS 服务器进行认证 不要选择 需要数据加密 RADIUS 服务器...

Page 225: ...PPTP 和 L2TP VPN L2TP VPN 配置 FortiGate 300 安装和配置指南 211 连接到 L2TP VPN 1 连接到您的 ISP 2 启动您在前面步骤中创建的拨号连接 3 输入您的 L2TP VPN 用户名和密码 4 单击 连接 5 在连接窗口 输入您的拨号网络连接的用户名和密码 这个用户名和密码不同于您的 VPN 用户名和密码 ...

Page 226: ...212 美国飞塔有限公司 L2TP VPN 配置 PPTP 和 L2TP VPN ...

Page 227: ...报警邮件 本章叙述了以下内容 检测攻击 NIDS 攻击预防 检测攻击 NIDS 检测模块可以检测到大多数可疑的网络通讯和基于网络的攻击 按照以下步 骤配置 NIDS 的通用设置和 NIDS 检测模块特征列表 对于 NIDS 通用设置 您需要选择要监视基于网络攻击的网络接口 您还需要决定 是否启用校验和检验功能 校验和检验功能测试被监视的接口接收到的数据包的完整 性 本节描述了以下内容 选择要监视的网络接口 禁用 NIDS 验证校验和的配置 查看攻击特征列表 查看攻击描述 启用和禁用 NIDS 攻击特征 添加 用户定义的特征 选择要监视的网络接口 1 进入 NIDS 检测 通用 2 选择要检测网络攻击的网络接口 您可以选择一个或多个网络接口 3 单击应用以保存您所做的修改 禁用 NIDS 1 进入 NIDS 检测 通用 2 删除全部网络接口 ...

Page 228: ...214 美国飞塔有限公司 检测攻击 网络入侵检测系统 NIDS 3 单击 应用 以保存您所做的修改 ...

Page 229: ...tiGate 是安装在一个同样进行校验和验证的路由器后面 您就没 有必要再进行校验和验证 1 进入 NIDS 检测 通用 2 选中要验证校验和的数据流类型 3 单击 应用 以保存您所做的修改 图 33 NIDS 检测配置举例 查看攻击特征列表 按以下操作显示当前的攻击特征组和特征组成员列表 1 进入 NIDS 检测 特征列表 2 查看列表中的特征组的名称和活动状态 NIDS 根据列表中所有修改列或细节列被选中的特征组进行攻击检测 3 单击查看细节 以查看特征组的成员 特征组成员列表显示了每个成员的攻击 ID 名称和修订版本 查看攻击描述 Fortinet 提供了所有 NIDS 攻击的在线信息 按照如下步骤查看特征列表中的某一 种攻击对应的 Forti 响应攻击分析网页 1 进入 NIDS 检测 特征列表 2 单击查看细节 可以显示一个特征组的成员 选择一个特征并复制它的攻击 ID 注意 用...

Page 230: ...量 例如 NIDS 检测大量的网页服务器攻 击 如果您没有提供对您的防火墙后面的 Web 服务器的访问 则可以禁用所有对 Web 服务器攻击类型的攻击检测 禁用 NIDS 攻击特征 1 进入 NIDS 检测 特征列表 2 卷动特征列表 找到要禁用的攻击特征 攻击日志和报警邮件中的攻击名称和 ID 号与攻击列表中的相对应 您可以很容易地通 过 ID 号在攻击列表中找到特定的攻击定义库 3 取消对攻击特征旁边的活动选项的选中就可以禁用对这个攻击的检测 4 单击确定 5 对您要禁用的每个攻击特征重复步骤 2 到 4 单击全部选中 可以启用攻击特征列表中的全部的 NIDS 攻击特征组 单击全部取消 可以禁用攻击特征列表中的全部的 NIDS 攻击特征组 注意 每个攻击日志消息包含一个直接连到这个攻击的 Forti 响应攻击分析网页的 URL 这个 URL 可以从攻击日志消息和报警邮件消息中直接访问 ...

Page 231: ...名和路径 或者单击浏览并定位文件 4 单击确定以上载用户定义攻击特征列表的文本文件 5 单击确定以显示上载的用户定义攻击特征列表 图 35 用户定义攻击特征列表的例子 下载用户定义攻击特征列表 您可以将用户定义攻击特征列表备份到管理员电脑中 保存成文本文件 1 进入 NIDS 检测 用户定义攻击特征列表 2 单击下载 FortiGate 设备将用户定义的攻击特征列表下载到管理员电脑中保存为文本文件 您可 以指定文本文件保存时的文件名和路径 NIDS 攻击预防 NIDS 攻击预防功能可以保护 FortiGate 设备和所连接的网络不受一般 TCP ICMP UDP 和 IP 攻击的威胁 您可以使用默认的攻击检测临界值启用 NIDS 攻击预防功能 或 者也可以根据您的需要启用攻击预防并调整攻击检测的临界值 注意 FortiGate 设备重新启动后 NIDS 攻击预防和握手信号淹没预防功能始终是...

Page 232: ...防 2 单击左上角的启用 启用 NIDS 攻击预防特征 NIDS 预防模块包括了各种常见攻击的特征 以保护您的网络不受这些攻击的威胁 默认情况下只启用了部分特征 您可以根据需要手工启用其他的 关于 NIDS 预防特征 的完整列表和详细描述 请见 FortiGate NIDS 指南 1 进入 NIDS 预防 2 选中您要启用的每个特征旁边的核选框 3 单击全部选中 可以启用 NIDS 攻击预防特征列表中的全部特征 4 单击全部取消 可以禁用 NIDS 攻击预防特征列表中的全部特征 5 单击恢复默认值 可以只启用默认的 NIDS 攻击预防特征 并恢复到默认的临界 值 图 36 NIDS 攻击预防特征列表的条目举例 ...

Page 233: ... 表 6 NIDS 预防特征的临界值 特征缩写 临界值的单位 默认临界 值 最小临界 值 最大临界 值 握手淹没 每秒接收到的 SYN 包的最大数目 200 30 3000 端口扫描 每秒接收到的 SYN 包的最大数目 128 10 256 会话淹没 来自同一源地址的会话初始化请求的最 大数目 2048 128 10240 FTP 溢出 一个 FTP 命令的最大缓冲区大小 字 节 256 128 1024 SMTP 溢出 一个 SMTP 命令的最大缓冲区大小 字 节 512 128 1024 POP3 溢出 一个 POP3 命令的最大缓冲区大小 字 节 Maximum buffer size for a POP3 command bytes 512 128 1024 UDP 淹没 每秒从同一源地址接收到的或发送到同 一目的地址的最大 UDP 包数目 2048 512 102400 UDP ...

Page 234: ...将这个消息添加到攻击日志 将攻击消息记录到攻击日志 减少 NIDS 攻击日志消息和报警邮件的数量 将攻击消息记录到攻击日志 按照如下步骤将攻击消息记录到攻击日志 1 进入 日志和报告 日志设置 2 对您设置的日志位置单击配置策略 3 单击 IDS 日志 4 单击 IDS 检测和 IDS 预防 5 单击确定 值 描述 最小值 最大值 默认值 临界值 每秒发送到目的主机或服务器的建立连接请 求 握手 的数量 如果握手请求是发送到 目的主机的所有端口的 而不是仅仅发送到 一个端口 那么临界值将提高为原来的四倍 30 3000 200 队列长度 FortiGate 设备能控制的代理连接的最大值 FortiGate 设备将丢弃更多的代理请求 10 10240 1024 超时 一个代理连接的握手请求 SYN 的以秒为单 位的有效时间 此值限制了代理连接表的大 小 3 60 15 注意 关于日志消息的内...

Page 235: ...的 ID 编号和名称 FortiGate 设备有一个报警邮件队列 它将每个新生成的消息与队列中已有的消息 比对 如果新的消息没有重复 FortiGate 设备将立刻发送这个消息 并将消息的一个 副本放进队列 如果新消息是重复的 FortiGate 设备会删除它并将队列中对应的消息 内部的计数器加一 FortiGate 设备将报警邮件消息的副本保存 60 秒 如果一个消息副本在队列中的 时间超过了 60 秒 FortiGate 设备删除这个消息并将副本计数器加一 如果副本数大 于一 FortiGate 设备将发送一个标题为 重复 x 次 的统计信息邮件 邮件内容为 以下邮件在过去的 y 秒中重复了 x 次 和原始信息 手工减少信息 如果您希望减少 NIDS 生成的警报的数量 您可以查看以下攻击日志消息的内容和 报警邮件的内容 如果有大量的无效警报 例如 网页攻击警报 而您根本没有运行 网页服...

Page 236: ...222 美国飞塔有限公司 记录 NIDS 攻击日志 网络入侵检测系统 NIDS ...

Page 237: ...骤 防病毒保护功能的配置一般包括以下几步 1 在一个新的内容配置文件或现有的内容配置文件中选择防病毒保护选项 请见 第 163 页 添加一个内容配置文件 2 在防火墙策略中选中防病毒保护和网页过滤选项 以允许网页 HTTP FTP 和电子邮 件 IMAP POP3 和 SMTP 连接通过 FortiGate 设备 对防火墙策略选择一个内容配置 文件以提供您所希望的防病毒保护功能 请见 第 165 页 将内容配置文件添加 到策略 3 配置防病毒保护设置 以控制 FortiGate 设备应用到该策略所接受的网页 FTP 和电子 邮件通讯上的防病毒保护功能 请见 第 224 页 防病毒扫描 第 225 页 文件阻塞 第 229 页 阻塞过大的文件和电子邮件 第 229 页 对邮件片段免除阻塞 4 配置文件隔离设置可以控制要实施隔离的被感染的文件或被阻塞的文件的通讯类型 时间和文件大小 请见 第 ...

Page 238: ...FortiGate 病毒扫描功能不扫描以下类型的文件 cd 映像 软盘映像 扩展名为 ace 的文件 扩展名为 bzip2 的文件 扩展名为 Tar Gzip Bzip2 的文件 一旦发现某个文件含有病毒 它将被从内容流中删除 并用一条替换信息提示用 户 如果您的 FortiGate 设备配备了硬盘并启用了对匹配的通讯协议中的感染的文件隔 离的功能 FortiGate 设备会把文件加入隔离列表 以下方法用于在 FortiGate 防火墙通讯中扫描病毒 1 在一个内容配置文件中选择防病毒扫描 见 第 163 页 添加一个内容配置文件 2 可以在这个内容配置文件中选择隔离 3 将这个内容配置文件添加到防火墙策略以对防火墙策略接受的通讯应用病毒扫描 见 第 165 页 将内容配置文件添加到策略 4 配置文件隔离设置以控制如何隔离被感染的文件 见 第 229 页 配置隔离选 项 注意 要接收病毒日...

Page 239: ...能 提供对病毒的防护 通常情况下您没有必要启用 FortiGate 设备的文件阻塞功能 然 而 在极度危险的情况下 当没有其它的方式能够保护您的网络免受文件型病毒的危 害的时候 文件阻塞是唯一有效的方法 在配备了硬盘的 FortiGate 设备中 如果启用了对应通讯协议的文件阻塞的隔离功 能 FortiGate 设备会将文件添加到隔离列表 文件阻塞功能会删除所有与文件样板列表匹配的文件 FortiGate 设备会用一条警 告消息替换掉文件并转发给用户 同时 如果做了相应的配置 FortiGate 设备还会在 病毒日志中写入一条消息 并发送一封报警邮件 注意 如果同时启用了阻塞和扫描 FortiGate 设备直接阻塞与文件名样板列表匹配 的文件 而不对它们进行病毒扫描 ...

Page 240: ...防火墙策略接受的 HTTP FTP POP3 IMAP 和 SMTP 通 讯中应用文件阻塞 1 在一个内容配置文件中选择文件阻塞 请见 第 163 页 添加一个内容配置文件 2 把这个内容配置文件添加到防火墙策略 以在这个防火墙策略接受的通讯中应用内容 阻塞 请见 第 165 页 将内容配置文件添加到策略 添加用于阻塞的文件名样板 1 进入 防病毒 文件阻塞 2 单击新建 3 在文件名样板栏输入新的样板 输入文件名样板所需的字符 您可以使用星号来代表任何字符 用问号来代表任何单 个字符 例如 dot 阻塞 Microsoft Word 模板文件 do 阻塞 Microsoft Word 模板文件和文档文件 4 选中要启用对这个文件样板的阻塞的通讯协议旁边的核选框 5 单击确定 隔离 配备了硬盘的 FortiGate 可以配置为隔离被阻塞或被感染的文件 被隔离的文件将 被从内容流中删除 并存...

Page 241: ...讯中发现的被感染的文件 1 进入 病毒防护 隔离 隔离配置 2 选择要隔离被感染的文件的内容协议 3 在内容配置文件中选择防病毒扫描 请见 第 163 页 添加一个内容配置文件 4 选择隔离以将任何已发现被病毒感染的文件隔离 5 将这个内容配置文件添加到防火墙策略 以隔离由这个防火墙策略控制的通讯中发现 的被感染的文件 请见 第 165 页 将内容配置文件添加到策略 隔离被阻塞的文件 使用内容配置文件可以隔离在由防火墙策略控制的 HTTP FTP POP3 IMAP 和 SMTP 通讯中被阻塞的文件 1 进入 病毒防护 隔离 隔离配置 2 选择要隔离被阻塞的文件的内容协议 3 要隔离被阻塞的文件 在内容配置文件中选择文件阻塞 见 第 163 页 添加一个内容配置文件 4 选择隔离以将被阻塞的文件放入隔离区 5 将这个内容配置文件添加到防火墙策略 以隔离由这个防火墙策略控制的通讯中发现 的阻...

Page 242: ...ize exe 的文件按以下格式存储 3fc155d2 oversize exe 隔离日期 文件被隔离时的日期和时间 按如下格式存储 天天 月月 年年年年 时 时 分分 如果这个文件存在多个副本 这个时间指的是第一个被隔离的文 件被存储的时间 服务 被隔离的文件所用的协议 HTTP FTP IMAP POP3 SMTP 状态 用颜色表示的状态指示 t 红 文件被感染 t 黄 文件被启发式扫描捕获 t 绿 文件被阻塞样板所阻塞 t 蓝 文件大小超过了限制 Fortinet 建议您将状态为黄色的文件发送到 Forti 响应中心 因为这些文 件可能含有新的病毒或已知病毒的变种 状态描述 指出与状态相关的信息 例如 文件被 W32 Klez h 病毒感染 或 文 件被文件阻塞样板所阻塞 DC 副本数统计 统计出文件一共被重复地隔离了多少次 如果 DC 迅速地增加 则很有可能是某种病毒发作了 TTL...

Page 243: ...Gate 设备不再隔离任何新的大小超过这一限制的 文件 文件大小范围是 1 499 兆字节 输入零将不限制文件的大小 5 选择硬盘空间过低复选框以指定当 FortiGate 设备的硬盘将满的时候如何处理要被隔 离的文件 您可以选择覆盖最老的文件或丢弃新的被隔离的文件 6 单击应用 阻塞过大的文件和电子邮件 您可以将 FortiGate 配置为使用 1 到 15 的可用内存来缓冲过大的文件和电子邮 件 FortiGate 设备将阻塞超过这一大小限制的文件和电子邮件 而不是对它们进行病 毒扫描和直接发送服务器或用户 FortiGate 设备会将过大的文件替换为一条替换信息 发送给 HTTP 或电子邮件代理客户端 配置文件或电子邮件大小限制 1 进入 病毒防护 配置 配置 2 以兆字节为单位输入大小限制 3 单击应用 对邮件片段免除阻塞 分割的邮件是一个很大的邮件 通常被分割成多个部分分别发送 ...

Page 244: ...内容配置文件中启用邮件片段传递 2 在防火墙策略中选种 病毒防护和网页过滤 例如 要传递由内部网络用户到外部网络 的邮件片段 选择一个内部到外部的策略 3 对您希望 FortiGate 设备扫描的策略 选择一个已经启用了邮件片段传递的内容配置 文件 查看病毒列表 使用以下操作可以显示当前病毒定义库列表中的病毒和蠕虫列表 1 要显示病毒列表 进入 病毒防护 配置 病毒列表 2 卷动病毒和蠕虫列表可以查看列表中的所有病毒和蠕虫名称 警告 FortiGate 不能扫描邮件碎片中的病毒或者使用文件名样板从这些邮件中删除文件 ...

Page 245: ...请见 第 235 页 使用 Cerberian 网页过滤器 本章描述了以下内容 一般配置步骤 内容阻塞 阻塞对 URL 的访问 使用 Cerberian 网页过滤器 脚本过滤 URL 排除列表 一般配置步骤 配置网页内容过滤功能通常包括以下两个步骤 1 在一个新的或现有的内容配置文件中选中网页过滤选项 请见 第 163 页 添加一 个内容配置文件 2 对于允许 HTTP 连接通过 FortiGate 设备的防火墙策略 选中该策略的防病毒和网页过 滤选项 对您希望应用网页过滤功能的防火墙策略选择一个能提供网页过滤功能的内容配置文 件 请见 第 165 页 将内容配置文件添加到策略 3 配置网页过滤的设置 以控制 FortiGate 设备将网页过滤功能应用到该防火墙策略接 受的 HTTP 通讯的方式 请见 第 233 页 阻塞对 URL 的访问 第 235 页 使用 Cerberian 网页过...

Page 246: ...用的语言或字符集 您可以选择西方语言 简体中文 繁体中文 日文或是韩文 您的电脑和网页浏览器必须也被配置为支持您所选择的字符集 4 输入禁忌词汇或者短语 如果您输入的是单个词汇 例如 禁忌 FortiGate 将阻塞所有包含了这个词汇 的网页 如果输入的是一个短语 例如 禁忌 短语 FortiGate 将阻塞所有同时包含这 两个词汇的网页 当这个短语出现在禁忌词汇列表中时 FortiGate 将在两个词汇之间 的空格处插入一个加号 例如 禁忌 短语 如果输入了一个被引号包围的短语 例如 禁忌 词汇 FortiGate 将阻塞所 有内容中包含这两个词汇并以一个短语的形式出现的网页 内容过滤并不区分大小写字母 您也不能在禁忌词汇中包含特殊字符 5 单击 确定 这个词汇或短语就被添加进禁忌词汇列表了 6 在禁忌词汇列表中的修改列上 选中新增加的条目旁边的核选框 FortiGate 将阻塞所 有包...

Page 247: ...rberian 网页过滤器阻塞不受欢迎的内 容 使用 FortiGate 网页过滤器 使用 Cerberian 网页过滤器 使用 FortiGate 网页过滤器 您可以阻塞某个网站的所有页面 只需要把顶级 URL 或者 IP 地址添加到阻塞列 表 或者 您可以单独阻塞某个页面 方法是在阻塞列表里添加这个页面的整个路径 和文件名 本节讨论了 在阻塞列表中添加 URL 或者 URL 样板 清除 URL 阻塞列表 下载 URL 阻塞列表 上载 URL 阻塞列表 在阻塞列表中添加 URL 或者 URL 样板 1 进入 Web 过滤器 URL 阻塞 2 单击 新建 在 URL 阻塞列表中添加新的条目 ...

Page 248: ...adsite com mail badsite com www finace badsite com 等等站点 的访问 4 选择 启用 以阻塞 URL URL 样板 5 单击 确定 把这个 URL 样板添加到 URL 阻塞列表 您可以输入多个 URL 然后单击全部选中 一次激活 URL 阻塞列表中的所有条目 URL 阻塞列表的每一页可以显示 100 个 URL 6 您可以使用 向下翻页 和 向上翻页 在 URL 阻塞列表中翻页浏览 图 39 URL 阻塞列表的例子 清除 URL 阻塞列表 1 进入 Web 过滤器 URL 阻塞 2 选择 清除 URL 阻塞列表 以删除 URL 阻塞列表中的所有 URL 注意 不要在要阻塞的 URL 中包含 http 不要使用星号 来代表任意字符 您 可以输入一个顶级域名的后缀 例如 不带前边的 的 com 以阻塞所有带有 这个后缀的 URL 的访问 注意 ...

Page 249: ...可以把 squidGuard 的黑名单 作为文本文件上载到 FortiGate 仅仅需要做一点儿小改动 删除每个名单顶部的注释 并把您需要的名单组合成一个单独的文本文件 1 在文本编辑器中 创建要阻塞的 URL 和样板列表 2 使用基于 Web 的管理程序 进入 Web 过滤器 URL 阻塞 3 选择 上载 URL 阻塞列表 4 输入您的 URL 阻塞列表文件的路径和文件名 或者单击浏览然后在浏览器中定位文件 5 单击 确定 以上载文件到 FortiGate 6 单击 返回 以显示更新过的 URL 阻塞列表 URL 阻塞列表的每一页可以显示 100 个 URL 7 您可以使用 向下翻页 和 向上翻页 按钮在 URL 阻塞列表中浏览 8 您可以继续维护 URL 列表 修改文本文件然后再次上载它 使用 Cerberian 网页过滤器 FortiGate 设备支持 Cerberian 网页过滤器...

Page 250: ...te 设备使用 Cerberian 网页过滤功能的最终用户数 1 进入 网页过滤 URL 阻塞 2 选择 Cerberian URL 过滤 3 输入许可证号 4 单击应用 在 FortiGate 设备中添加一个 Cerberian 用户 Cerberian 网页过滤策略只能应用到用户组 您可以在 FortiGate 设备上添加用 户 然后将用户添加到 Cerberian 管理网页站点的用户组 当最终用户试图访问某个 URL 的时候 FortiGate 设备将检查用户的 IP 地址是否 在 FortiGate 设备的 IP 地址列表中 如果用户 IP 地址在列表中 这个 URL 访问请求 将被发送到 Cerberian 服务器 否则 将发送给这个用户一条错误信息 声明这个用 户没有访问 Cerberian 网页过滤器的许可 1 进入 网页过滤 URL 阻塞 2 选择 Cerberian UR...

Page 251: ...组 按以下方法配置 Cerberian 网页过滤 1 根据您添加到 FortiGate 设备的别名将用户添加到 Cerberian 服务器的用户组 因为 网页策略只能应用到用户组 如果您没有为 FortiGate 设备中的用户 IP 输入别名 用 户 IP 自动添加到默认组中 2 选择您要阻塞的网页类别 创建您册策略 3 将策略应用到包含这个用户的用户组 详细的步骤 请见 Cerberian 网页过滤页面的在线帮助 启用 Cerberian URL 过滤 您添加了 Cerberian 用户 用户组并配置了 Cerberian 网页过滤之后 可以启用 CerberianURL 过滤功能 您必须在以下三个地方启用它 Cerberian URL 过滤页面 内容配置文件 使用内容配置文件的策略 1 进入 网页过滤 URL 阻塞 2 选择 Cerberian URL 过滤 3 单击 Cerberia...

Page 252: ...ortiGate 配 置为阻塞 java 小程序 cookies 和 ActiveX 启用脚本过滤 选择脚本过滤选项 启用脚本过滤 1 进入 防火墙 内容配置文件 2 选择您要启用脚本过滤的内容配置文件 3 单击脚本过滤 4 单击确定 选择脚本过滤选项 1 进入 Web 过滤器 脚本过滤 2 选择您要启用的脚本过滤选项 您可以阻塞 java 小程序 cookies 和 ActiveX 3 单击 应用 图 41 脚本过滤设置为阻塞 java 小程序和 ActiveX 的例子 注意 阻塞这些内容中的任何一项都可能会使得某些网页无法正常工作 ...

Page 253: ...阻塞 例如 www goodsite com index html 可以排除对这个站点的主页的阻塞 您也 可以指定 IP 地址 例如 122 63 44 67 index html 可以免除对这个地址的站点 上的主页的阻塞 不要在排除的 URL 前面加上 http 排除一个顶级的 URL 例如 www goodsite com 可以排除任何内容阻塞规则和 URL 阻塞规则对这个站点上的任何网页 例如 www goodsite com badpage 的阻 塞 4 选择 启用 以排除这个 URL 5 单击 确定 把 URL 添加到 URL 排除列表 您可以输入多个 URL 然后单击 全部选中 一次激活 URL 排除列表中的所有 URL URL 排除列表中的每页可以显示 100 个 URL 6 使用 向下翻页 和向上翻页 可以浏览整个 URL 排除列表 图 42 URL 排除列表的例子 注意 ...

Page 254: ...240 美国飞塔有限公司 URL 排除列表 网页内容过滤 ...

Page 255: ...包括通常如下步骤 1 在一个新的或现有的内容配置文件中选择邮件过滤选项 请见 第 163 页 添加一 个内容配置文件 2 对允许通过通过 FortiGate 设备传输 IMAP 和 POP3 连接的防火墙策略选择病毒防护和 网页内容过滤选项 选择一个提供了您所需要的电子邮件过滤功能的内容配置文件应 用到防火墙策略中 请见 第 165 页 将内容配置文件添加到策略 3 对不受欢迎的电子邮件添加一个主题标签 使邮件接收者可以使用他们的邮件客户软 件根据这个标签对邮件进行过滤 请见 第 244 页 添加一个主题标签 电子邮件禁忌词汇列表 当 FortiGate 设备检测到在电子邮件中含有禁忌词汇列表中的词汇或短语时 FortiGate 设备将在这封电子邮件的主题中添加一个标签 并在事件日志中写入一条消 息 接收者可以使用他们的电子邮件客户端软件根据主题中的标签过滤邮件 注意 要接收电子邮件过滤日...

Page 256: ...包含这两个词汇并以一个短语的形式出现的 IMAP 和 POP3 电子邮件 内容过滤并不区分大小写字母 您也不能在禁忌词汇中包含特殊字符 4 选择禁忌词汇或短语使用的语言或字符集 您可以选择西方语言 简体中文 繁体中文 日文或是韩文 您的电脑和网页浏览器必须也被配置为支持您所选择的字符集 5 单击启用 6 单击确定 这个词汇或短语就被添加进禁忌词汇列表了 您可以输入多个禁忌词汇或者短语 然后单击 全部选中 从而一次激活禁忌词汇 列表中的所有条目 电子邮件阻塞列表 您可以将 FortiGate 设备配置为对所有不受欢迎的地址发来的 IMAP 和 POP3 协议的 通讯添加标记 当 FortiGate 设备检测到一封邮件的发件人符合不受欢迎地址模板时 FortiGate 设备将在这封邮件的主题中添加一个标签 并在邮件过滤日志中写入一条消 息 接收者可以使用他们的邮件客户端软件根据主题中的标签过滤...

Page 257: ...表中的任意模板 邮件排除列表 在排除列表中添加地址模板可以避免合法的 IMAP 和 POP3 通讯被阻塞或添加标记 例如 如果邮件禁忌词汇列表中设置了阻塞含有与色情相关的词汇 而一个著名的公 司发送的邮件中含有这些词汇 FortiGate 设备将在这封邮件中添加标签 将这个著名 的公司的域名添加到排除列表可以避免这个公司的 IMAP 和 POP3 通讯被阻塞或添加标 签 在邮件排除列表中添加地址模板 1 进入 邮件过滤器 排除列表 2 单击新建在邮件排除列表中添加地址模板 3 输入要排除的地址模板 要排除来自一个特定地址的所有邮件 只需输入这个邮件的地址 例如 sender abccompany com 要排除从特定域来的邮件 输入域名 例如 abccompany com 要排除从特定子域来的邮件 输入子域名 例如 mail abccompany com 要排除从某一类地址来的全部邮件 输...

Page 258: ...地址收到电子邮件 或收到含有邮件禁忌词汇 列表中的词汇的邮件的时候 FortiGate 设备将在主题中添加一个标签并将消息发送到 邮件的目的地址 邮件用户可以使用他们的电子邮件客户端软件根据主题中的标签过 滤电子邮件 按以下方法添加主题标签 1 进入 电子邮件过滤 配置 2 输入您希望在主题栏显示的标签 这一标签将显示在从不受欢迎的地址受到的邮件或 含有禁忌词汇的邮件的主题栏中 例如 输入 不受欢迎的邮件 3 单击应用 FortiGate 设备将在所有不受欢迎的邮件的主题栏中添加这一标签 注意 不要在主题标签中使用引号 ...

Page 259: ...下一个或多个地点记录日志 运行系统日志服务的电脑 运行 WebTrends 防火墙报告服务的电脑 FortiGate 的硬盘 如果您的 FortiGate 内装有硬盘 控制台 如果您的 FortiGate 设备没有配备硬盘 您也可以将日志配置为将事件 攻击 防 病毒 网页过滤和电子邮件过滤日志记录到 FortiGate 系统内存里 把日志记录到内 存允许快速地访问最近记录的日志条目 如果 FortiGate 重新启动 所有的日志条目 都会丢失 您可以将不同级别的日志记录到不同的位置 例如 您可能希望只将紧急消息和警 报消息记录到 FortiGate 内存 而将其他级别的消息记录到一个远程计算机上 关于过滤日志类型和 FortiGate 设备记录日志的方式的详细信息 请见 第 248 页 过滤日志消息 关于通讯日志的信息 请见 第 249 页 配置通讯日 志 本节描述了以下内容 在远程电脑上...

Page 260: ...ebTrends 服务器上记录日志 以下操作可以将 FortiGate 配置为在一台远程的 NetIQ 防火墙报告服务器上记录 日志 以供存储和分析之用 FortiGate 日志的格式服从 Web Trends Enhanced Log WELF 格式规范 并与 Web Trends NetIQ 安全报告中心 2 0 和防火墙套件 4 1 兼 容 可以从安全报告中心和防火墙套件的文档中获得更详细的信息 以下操作将日志记录到一台 NetIQ Web Trends 服务器上 1 进入 日志与报告 日志设置 2 选择 以 Web Trends Enhanced 日志格式记录日志 3 输入 NetIP WebTrends 防火墙报告中心的 IP 地址 4 选择您希望记录到日志的消息的紧急程度 FortiGate 会将所有不低于您所选择的级别的消息记录进日志 例如 如果您希望记录 紧急 警报 危险和...

Page 261: ...48 页 过滤 日志消息 和 第 249 页 配置通讯日志 中的步骤操作 7 设置当磁盘被写满时的日志选项 8 单击 应用 保存您的日志设置 将日志记录到系统内存 如果您的 FortiGate 没有安装硬盘 您可以使用以下操作将 FortiGate 配置为保留 一些系统内存用来记录当前的事件日志 攻击日志 防病毒 网页过滤 电子邮件日 志消息 将日志记录到内存允许对近期的日志条目进行快速访问 FortiGate 可以在系 统内存中保留有限的日志消息 一旦所有的可用内存都被用掉了 FortiGate 会删除最 早的日志消息 如果 FortiGate 重新启动 所有的记录都会丢失 以下操作可以将日志设置为记录到内存 1 进入 日志与报告 日志设置 2 选择 在内存中记录日志 3 选择您希望记录到日志的消息的紧急程度 FortiGate 会将所有不低于您所选择的级别的消息记录进日志 例如 如果您...

Page 262: ...的消息的类型 5 单击确定 通讯日志 记录所有到该接口和通过该接口的连接 要配置通讯过滤 请见 第 251 页 添加通讯过滤的条目 事件日志 将管理和活动事件记录到事件日志里 管理事件包括系统配置的修改 管理员和用户的登录和注销 活动日志包 括系统活动 例如建立 VPN 通道 HA 失效恢复事件 病毒日志 记录病毒入侵事件 例如当 FortiGate 设备检测到一个病毒阻塞某个类型 的文件 或者阻塞一个超大型的文件或电子邮件的时候 发生此事件 网页过滤日志 记录系统活动事件 例如 URL 和内容阻塞 以及从阻塞的 URL 中排除指定 的 URL 攻击日志 记录由 NIDS 检测到的攻击和 NIDS 预防功能阻止的攻击企图 电子邮件过滤日志 记录活动事件 例如检测到包含有不受欢迎的内容的邮件或者由不受欢迎 的发件人发送的邮件 更新 当 FortiGate 连接到 FDN 下载病毒防护和攻击更...

Page 263: ...配置指南 249 图 43 日志过滤配置的例子 配置通讯日志 您可以将 FortiGate 设备配置为记录以下连接的通讯日志消息 任意接口 任意防火墙策略 FortiGate 设备可以根据任何源地址 目的地址或服务类型对通讯日志进行过滤 您还可以起用以下全局设置 将 IP 地址解析为主机名 记录会话或包信息 显示端口号或服务 通讯过滤列表显示了过滤的通讯的名称 源地址 目的地址和协议类别 本节描述了以下内容 启用通讯日志 配置通讯过滤设置 添加通讯过滤的条目 ...

Page 264: ...通讯日志记录 这个防火墙策略接受的全部连接都 将被记录进通讯日志 1 进入 防火墙 策略 2 选择一个策略标签 3 选择记录通讯日志 4 单击确定 配置通讯过滤设置 按照如下步骤配置在全部通讯日志消息中记录的信息 1 进入 日志和报告 日志设置 通讯过滤 2 选择您要应用到所有通讯日志消息的设置 3 单击应用 解析 IP 如果您希望通讯日志消息列如 IP 地址和 DNS 服务器上所存储的域名 则 选中解析 IP 如果您还没有添加由您的 ISP 提供的主 DNS 服务器和辅助 DNS 服务器的地址 请进入系统 网络 DNS 并添加地址 类型 选择 会话或包 如果您选择了会话 FortiGate 设备将每个会话发送和接 收的包的数量 如果您选择了包 FortiGate 设备将记录每个会话的包的 平均长度 以字节为单位 显示 如果您希望通讯日志消息列出端口号 例如 80 TCP 则选择端口号 如...

Page 265: ...包含源地址 目的地址和服务类型的任意组合 按照以下步骤在通讯过滤列表中添加条目 1 进入 日志和报告 日志设置 通讯过滤 2 单击新建 3 配置通讯过滤 选择您希望通讯日志记录的通讯的类型 4 单击确定 通讯过滤列表根据您在 第 250 页 启用通讯日志 中选择的设置显示新的通讯地 址条目 名称 输入一个名称以识别这个通讯过滤条目 名称可以包含数字 0 9 大写或小写字母 A Z a z 以及特殊字 符 和 _ 不能使用其他特殊字符和空格 源 IP 地址 源网络掩码 输入您希望 FortiGate 设备记录通讯日志消息的源 IP 地址和网络掩 码 地址可以是一个独立的主机 一个子网或者一个网络 目的 IP 地址 目的网络掩码 输入您希望 FortiGate 设备记录通讯日志消息的目的 IP 地址和网络 掩码 地址可以是一个独立的主机 一个子网或者一个网络 服务 选择您希望 FortiGat...

Page 266: ...在日志消息列表中 消息按照时间顺序排列 生成时间晚的消息排在上面 以下操 作用于查看保存在系统内存中的日志消息 1 进入日志与报告 记录日志 2 选择 事件日志 攻击日志 防病毒日志 网页过滤日志或电子邮件过滤日志 基于 Web 的管理程序列出保存在系统内存中的日志消息 3 滚动窗口可以查看到更多的日志消息 4 要查看日志中的某一行 只需在转到某行的空白处填写行号 然后单击 5 要在日志消息中翻页 单击 向下翻页 或 向上翻页 搜索日志 使用以下操作可以搜索保存在系统内存里的日志消息 1 进入 日志与报告 记录日志 2 选择 事件日志 攻击日志 防病毒日志 网页过滤日志或电子邮件过滤日志 3 单击 可以在选定的日志中搜索消息 4 选择 与 可以搜索与所有给定条件匹配的消息 ...

Page 267: ...作查看活动的 或者保存了的日志 1 进入日志与报告 记录日志 2 选择 事件日志 攻击日志 防病毒日志 网页过滤日志或电子邮件过滤日志 基于 Web 的管理程序 列出选定类型的日志中已保存的全部消息 在列表顶部的是当前 日志 对于每一个日志 列表显示了添加到日志的最后一个条目的添加时的日期和时 间 日志文件的大小和文件名 3 要查看日志文件 单击查看 4 基于 Web 的管理程序 显示了被选中的日志中的消息 5 您可以将每一页中显示的日志消息的数量设置为 30 50 或 1000 您可以通过卷动浏览 日志条目 6 要查看日志文件中的指定行 只需在转到行字段填写要查看的行号 然后单击 7 要在日志消息中翻页 单击 向下翻页 或 向上翻页 8 要在您所查看的日志中搜索某条消息 单击搜索 搜索日志 以下操作用于在被保存的日志或当前日志中搜索消息 1 进入 日志与报告 记录日志 关键词 可以搜索包...

Page 268: ...如下步骤下载日志文件 1 进入日志和报告 记录日志 2 选择流量日志 事件日志 攻击日志 病毒防护日志 网页过滤日志 或者电子邮件 日志 3 要将日志文件下载到管理员电脑 单击下载 4 为这个日志文件选择格式 选择以普通格式下载文件可以将日志消息下载保存为文本文件 文本文件的每一行是 一条日志消息 消息的格式和它们杂基于 Web 的管理程序中的格式相同 选择以 CSV 格式下载文件可以将日志消息以逗号分隔值格式保存到文本文件中 用这 种格式 每个消息的每个字段以逗号分隔 如果您使用一个电子表格软件打开这个 文件 每个消息字段显示为一个单独的列 5 单击保存 删除当前日志中的全部消息 按照如下步骤可以删除当前日志中的全部消息 1 进入日志和报告 记录日志 2 选择流量日志 事件日志 攻击日志 病毒防护日志 网页过滤日志 或者电子邮件 日志 3 要删除所有消息 单击清空日志 4 单击确定以删除...

Page 269: ...完邮件地址之后 可以通过发送测试邮件来测试您的设置是否正确 添加报警邮件地址 测试报警邮件 启用报警邮件 添加报警邮件地址 因为 FortiGate 设备使用 SMTP 服务器名来连接邮件服务器 所以它必须能够在您的 DNS 服务器上解析这个服务器名 因此 在您配置报警邮件之前确保您已经配置了至少 一个 DNS 服务器 按以下方法添加 DNS 服务器 1 进入 系统 网络 DNS 2 如果还没有添加 DNS 服务器 则输入您的 ISP 提供的主 DNS 和辅助 DNS 的地址 3 单击应用 按以下方法添加报警邮件地址 1 进入 日志和报告 报警邮件 配置 2 如果您的邮件服务器要求 SMTP 口令 选中 认证 3 在 SMTP 服务器栏填写 SMTP 服务器的名字 这个 SMTP 服务器即是 FortiGate 设备用来 发送报警邮件的服务器 名字按以下格式填写 smtp 域名 com S...

Page 270: ...事件 如果您已经配置了将日志存储到本地硬盘 则可以启用当硬盘 快被写满时发送报警邮件的功能 按照以下步骤启用报警邮件 1 进入 日志与报告 报警邮件 分类 2 选中启用病毒事件的报警邮件 可以使 FortiGate 在防病毒扫描功能发现病毒时发送报 警邮件 当病毒文件阻塞功能删除一个文件时不会发送此邮件 3 选中启用阻塞事件报警邮件可以使 FortiGate 在阻塞被病毒感染的文件时发送报警邮 件 4 选中启用入侵报警邮件 可以使 FortiGate 发送报警邮件通知系统管理员 NIDS 检测到 了攻击活动 5 选中启用防火墙 VPN 紧急事件或者异常 可以使 FortiGate 在出现防火墙或 VPN 的紧 急事件时发送报警邮件 防火墙关键事件包括失败了的认证企图 VPN 关键事件包括重放检测功能检测到一个重放的数据包 重放检测功能可以配置在自 动密钥 VPN 通道或者手工密钥 VPN ...

Page 271: ... 协议 内部接口 FortiGate 用于连接到内部 私有 网络的 网络接口 互联网 以 NFSNET 为骨干网 覆盖全球的彼此连接的 网络总称 在一般的术语中 也可以表示一些互相连接 的网络 IICMP 互联网控制信息协议 互联网协议 IP 的一部 分 它一般被用来发送错误信息 测试数据包以及一些 与 IP 有关的信息 当 PING 功能发送 ICMP 响应请求到 网络中的一台主机时会用到这一协议 IKE 互联网密钥交换 一种在两台安全服务器之间自 动交换认证密钥和加密密钥的方法 IMAP 互联网消息访问协议 一种互联网电子邮件协 议 用来通过任何兼容 IMAP 的浏览器访问您的电子邮 件 使用 IMAP 时 您的电子邮件保存在服务器上 IP 互联网协议 TCP IP 协议的一部分 处理数据包 路由 IP 地址 在 TCP IP 网络中的一台电脑或者设备的识别 标志 IP 地址是一个 3...

Page 272: ...备如何指示它已经完成了一个消息的接收 RADIUS 远程拨号访问用户认证服务 很多 INTERNET 服务供应商 ISP 使用的认证和计帐系统 当用户拨 入一个 ISP 时 他们输入一个用户名和密码 这些信息 被传送到 RADIUS 服务器 RADIUS 检验这些信息的正确 性 然后授予访问 ISP 系统的权限 路由器 把局域往连接到互联网并为他们之间的数据提 供路由的设备 路由 决定发送数据到目的地时要经过的路径的过程 路由表 含有一系列有效的数据传送路径的列表 服务 应答其他设备 客户 的请求的应用程序 通 常用来描述任何在网络上提供类似打印 海量存储 网 络访问等服务的设备 SMTP 简单邮件传输协议 在 TCP IP 网络中提供邮件 发送服务的程序 SNMP 简单网络管理协议 一组网络管理协议 SNMP 对网络的不同部分发送消息 支持 SNMP 的设备 称做 代理 把他们自己的数据...

Page 273: ...XP 客户端 209 拨号 PPTP 配置 Windows 2000 客户端 203 配置 Windows 98 客户端 202 配置 Windows XP 客户端 204 拨号 VPN 查看连接状态 197 病毒定义更新 自动 94 不记录日志 日志选项 247 病毒事件 启用报警邮件 256 报警邮件 病毒事件 256 测试 256 防火墙或 VPN 紧急事件 256 减少消息数量 216 配置 255 配置 SMTP 服务器 255 启用 256 入侵企图 256 消息内容 221 硬盘满 256 不受欢迎的内容 阻塞 232 241 保证带宽 142 C 出厂状态 恢复系统设置 85 从电子邮件阻塞中排除电子邮件 243 策略 禁用 144 启用 145 查看 保存到内存的日志 252 拨号连接状态 197 日志 253 VPN 通道状态 196 策略 保证带宽 142 固定端口 ...

Page 274: ...DHCP 设置 116 定期更新 通过代理服务器 100 当前日志 查看 253 查看和维护保存的日志 253 删除所有消息 254 搜索 252 253 到期时间 系统状态 90 动态 IP MAC 列表 160 查看 162 动态 IP 池 IP 池 141 动态 IP 列表 查看 117 读写级别访问 管理员帐号 129 电源要求 17 地址 145 编辑 146 147 IP MAC 绑定 161 删除 147 添加 145 虚拟 IP 155 组 147 动作 策略选项 141 定制服务 150 地址名 145 电子邮件 添加到电子邮件排除列表 243 电子邮件排除列表 243 请参阅电子邮件排除列表 243 添加电子邮件 243 电子邮件阻塞 电子邮件排除列表 243 排除电子邮件 243 地址组 147 举例 148 E 恶意脚本 从网页中删除 238 F FDS Forti...

Page 275: ...预防 NIDS 217 配置特征临界值 219 启用攻击预防特征 218 隔离 被感染的文件 227 文件 226 阻塞文件 227 管理 IP 地址 透明模式 45 管理接口 透明模式 112 隔离列表 查看 227 过滤 228 排序 228 过滤器 RIP 123 过滤日志消息 248 过滤通讯 249 管理员帐号 admin 129 编辑 129 130 改变密码 130 权限 130 受信主机 130 添加 129 子网掩码 130 更新 248 病毒定义 95 攻击定义 95 H HA 55 安装和配置 FortiGate 设备 57 61 返回独立模式 68 FortiGate 失效后的替换 68 管理 HA 簇 64 介绍 4 NAT 路由模式 57 配置 DMZ HA 接口 61 配置 DMZ HA 接口 57 配置 DMZ 接口 112 配置 HA 簇 58 62 配置...

Page 276: ...网页中删除 238 脚本 从网页中删除 238 脚本过滤 238 设置举例 238 检测 NIDS 213 拒绝 策略 141 防火墙策略 141 禁忌词汇列表 添加词汇 232 242 接口 RIP 121 记录日志 245 查看日志 253 更新日志 248 记录到 WebTrends 246 将日志记录到内存 247 配置通讯设置 250 删除日志文件 255 删除所有消息 254 搜索日志 252 253 下载日志文件 254 在 FortiGate 硬盘上记录日志 246 记录日志到本地 记录日志 247 记录日志 记录到本地 247 加密 策略 141 加密策略 向内 NAT 141 向外 NAT 141 允许向内 141 允许向外 141 将日志记录到内存 设置 247 监视器 系统状态 86 87 88 89 接受团体 SNMP 131 技术支持 13 静态 IP 外部接口...

Page 277: ...加到路由表 透明模式 115 添加路由 114 添加路由 通明模式 115 添加默认 113 添加默认路由 113 路由器 下一个跳跃 109 M MAC 地址 257 IP MAC 绑定 160 目的 日志搜索 254 目的端口 系统状态 90 目的地址 策略选项 140 目的 IP 系统状态 90 MIB FortiGate 132 命令行接口 5 密码 改变管理员帐号的密码 130 添加 168 默认路由 116 默认网关 配置 透明模式 45 模式 透明 3 MTU 大小 111 定义 258 提高网络性能 111 修改 111 N NAT 策略选项 141 介绍 3 推送更新 96 NAT 路由模式 从 CLI 配置 32 HA 57 介绍 3 NAT 模式 IP 地址 32 添加策略 139 内部地址 举例 146 内部地址组 举例 148 内部网络 配置 34 NIDS 3 ...

Page 278: ...5 权限 管理员帐号 130 R RADIUS 定义 258 配置举例 170 RADIUS 服务器 删除 170 添加服务器地址 169 蠕虫防护 230 蠕虫列表 显示 230 任务计划 一次性 153 RIP 过滤器 123 接口配置 121 邻居 123 配置 119 设置 120 日期和时间设置 例子 128 入侵企图 报警邮件 256 日期设置 127 任务计划 152 创建一次性任务计划 152 创建周期性任务计划 153 策略选项 141 应用到策略 154 自动更新病毒防护和攻击定义 93 周期性 154 认证 167 策略选项 142 超时 128 LDAP 服务器 171 配置 168 启用 172 RADIUS 服务器 169 日志 6 245 不记录日志 247 查看 253 过滤日志消息 248 记录 245 通讯会话 249 维护 253 选择记录的内容 24...

Page 279: ...2 HA 61 管理 IP 地址 45 配置默认网关 45 切换到 45 添加路由 115 推送更新 通过代理服务器 100 通过一个 NAT 设备 96 通讯 过滤 249 记录日志 249 配置全局设置 250 通讯策略 142 通讯过滤 包 250 端口号 250 会话 250 解析 IP 250 类型 250 日志设置 250 添加条目 251 显示 250 服务名称 250 通讯日志 248 特征临界值 219 U UDP 配置验证校验和 215 URL 添加到 URL 排除列表 239 添加到 URL 阻塞列表 233 242 阻塞对 URL 的访问 233 242 URL 排除列表 239 参阅 URL 排除列表 239 添加 URL 239 URL 阻塞 URL 排除列表 239 URL 阻塞列表 清除 234 上载 235 添加 URL 233 242 下载 235 UR...

Page 280: ...述 241 网页内容过滤 ActiveX 238 cookies 238 概述 231 Java 小程序 238 介绍 2 X 向导 启动 31 44 设置防火墙 31 43 陷阱 SNMP 133 陷阱接收器 IP 地址 SNMP 132 陷阱团体 SNMP 132 序列号 显示 84 虚拟 IP 静态 NAT 155 虚拟 IP 155 虚拟 IP 端口转发 155 虚拟 IP 端口转发 156 向内 NAT 加密策略 141 系统名称 SNMP 131 系统配置 127 系统日期和时间 设置 127 系统设置 备份 84 恢复 84 恢复到出厂状态 85 系统位置 SNMP 131 系统状态 71 119 系统状态监视器 86 87 88 89 向外 NAT 加密策略 141 协议 服务 148 系统状态 90 下一个路由器 109 下载 病毒定义更新 106 攻击定义更新 106 ...

Page 281: ...104 自动病毒定义更新 91 最大带宽 142 自动攻击定义更新 91 AutoIKE 证书 176 自动 IKE 176 介绍 176 预置密钥 176 终点 IP 地址 DHCP 116 终点 IP 地址 PPTP 200 终点 IP 地址 L2TP 206 只读级别访问 管理员帐号 129 阻塞 网页 232 241 在内存中记录日志 查看保存的日志 252 在 NetIQ WebTrends 服务器上记录日志 246 周期性任务计划 154 创建 153 证书 介绍 176 注释 策略 143 防火墙策略 143 阻塞 对互联网站点的访问 233 242 对 URL 的访问 233 242 过大的文件和电子邮件 229 添加文件名样板 226 文件 225 阻塞流通 IP MAC 绑定 161 记录日志选项 247 状态 查看拨号连接状态 197 查看 VPN 通道状态 196 ...

Page 282: ...268 美国飞塔有限公司 索引 ...