Fortigate防火墙安全配置规范
1.概述
1.1. 目的
本规范明确了Fortigate防火墙安全配置方面的基本要求。

为了提高Fortigate防火墙的安全性而提出的。

1.2. 范围
本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置，针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置
2.1. 配置设备名称
制定一个全网统一的名称规范，以便管理。

2.2. 配置设备时钟
建议采用NTP server同步全网设备时钟。

如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。

2.3. 设置Admin口令
缺省情况下，admin的口令为空，需要设置一个口令。

密码长度不少于8个字符，且密码复杂。

2.4. 设置LCD口令
从设备前面板的LCD可以设置各接口IP地址、设备模式等。

需要设置口令，只允许管理员修改。

密码长度不少于8个字符，且密码复杂。

2.5. 用户管理
用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。

用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。

单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。

2.6. 设备管理权限设置
为每个设备接口设置访问权限，如下表所示：
接口名称允许的访问方式
Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线，不提供管理方式
Port5 （保留）
Port6 （保留）
且只允许内网的可信主机管理Fortinet设备。

2.7. 管理会话超时
管理会话空闲超时不要太长，缺省5分钟是合适的。

2.8. SNMP设置
设置SNMP Community值和TrapHost的IP。

监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。

2.9. 系统日志设置
系统日志是了解设备运行情况、网络流量的最原始的数据，系统日志功能是设备有效管理维护的基础。

在启用日志功能前首先要做日志配置，包括日志保存的位
置（fortigate内存、syslog服务器等）、需要激活日志功能的安全模块等。

如下图
所示：
2.10. Update策略的设置
如果Fortigate设备不连接互联网，升级需要网络管理员手工完成。

在设备采购完成后，即可根据合同号和设备序列号，到fortinet网站注册，定期下载病毒库和IPS特征库，选择没有业务量的时间段升级，避免因升级对业务造成影响。

2.11. 配置文件的备份
设备配置发生变更后（包括最初部署时，和以后添加或删除策略时），就要及时做配置备份。

备份文件/文件夹的命名：设备名称_日期，如TJ_FG300A01_20050718。

在HA CLUSTER情况下，只需备份primary unit即可。

2.12. 安装后记录
安装后建议保存以下文档：
•一份解释FortiGate周边设备拓扑的文档
•一份文档解释：
–FG运行模式,接口相关参数,路由定义
–防火墙/VPN的策略解释
–保护内容表的服务启用情况
–防火墙的注册信息
–FortiCare/FortiGuard服务包扩展
•一份运行状态文档
–CPU/MEM利用率,并发会话数
–建立一周或一个月的基本运行状态文档
3.防火墙设置
3.1. 防火墙设置注意事项
•策略中尽量不用all作源/目的地址。

•尽可能不用FQDN地址，FortiGate自己发起DNS查询影响性能。

•策略中尽可能不用ANY作协议/服务。

•确有必要才启用流量日志，流量日志会影响系统性能。

•每条策略加上注释，比如谁是请求者和授权者等。

•如果可能不要用端口范围作服务，认证审核每个服务端口，避免留出漏洞。

•尽量使用地址组及服务组，以减少策略条数，既能优化性能，也能便于管理。

•定义VIP时要特别小心，VIP采用了ARP代理的方法，而且定义后马上生效。

•最后一条是全deny的防火墙策略
•防火墙策略尽量精确到单个IP地址、单个端口，这样既提高安全性，也能提高系统的性能和稳定性
4.性能调整
•FortiGate设备应该有足够的资源应对攻击
–资源利用率最好不要超过65% ( get sys performance status)
–在65%到85%是可以接受的, 但超过后可能不稳定
•只开启用得着的管理服务，如果不用SSH或SNMP，就不要启用。

•将用得最多或最重要的防火墙策略尽量靠前，防火墙策略是至上而下执行的。

•只开启那些必要的流量日志，流量日志会降低系统性能。

•只开启那些必须的应用层协议检查，应用层检查对系统性能是敏感的。

•最小化发送系统告警信息，如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。

•A V/IPS特征库更新间隔为4或6小时。

•精简保护内容表数量，删除不必要的保护内容表。

•精简虚拟域数量，删除不必要的虚拟域，低端设备不要用虚拟域。

•如果性能显示不足就避免启用流量整形，流量整形将降低流量处理性能。

•建议采用外置的日志存储方式（如syslog、FortiAnalyzer等），建议使用单独的接口输出日志。

•关闭不必要的内容存档。

•建议关闭或降低各种自动运行程序的频率，如自动更新、NTP时间同步等。

•设置正确的优化模式，如果使用防病毒或IPS功能，则设置为antivirus模式；
如果仅使用防火墙功能，则设置为throughput模式。

•尽量使用NP2接口，其次FA2接口。

•关闭不必要的session-helper可以降低CPU负载。

5.内存释放
•不启用内存日志
•不启用不必要的A V扫描协议
•减小扫描病毒文件的上限值
•删除不用的DHCP服务
•取消不用的DNS转发服务
•如IPS不需要，执行命令节省内存，Diag ips global all status disable •改变session的ttl值
–set default 300 [conf sys session-ttl]
–set tcp-halfclose-timer 30 [config sys global]
–set tcp-halfopen-timer 20 [conf sys global]
•改变fortiguard的ttl值
–set webfilter-cache-ttl [conf sys fortiguard ]
–Set antispam-cache-ttl [conf sys fortiguard ]
•改变DNS缓存的条数
–Set dns-cache-limit [conf sys dns]
•不启用DNS转发
unset fwdintf [conf system dns]。