第1章第2章2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章3.1 3.2录FORTINET 配置步骤配置步骤...... 2 FORTINET 防火墙日常操作和维护命令 (29)防火墙配置......29 防火墙日常检查 (29)防火墙的会话表：（系统管理－状态－会话）......29 检查防火墙的CPU、内存和网络的使用率......31 其他检查 (31)异常处理……31 使用中技巧……32 FORTGATE 防火墙配置维护及升级步骤……33 FORTIGATE 防火墙配置维护......33 FORTIGATE 防火墙版本升级 (33)第1章Fortinet 配置步骤章1.1.1.1 Fortigate 防火墙基本配置Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。

本手册主要介绍后者的配置方法。

首先设定基本管理IP 地址，缺省的基本管理地址为P1 口192.168.1.99，P2 口192.168.100.99。

但是由于P1 口和P2 口都是光纤接口，因此需要使用Console 口和命令行进行初始配置，为了配置方便起见，建议将P5 口配置一个管理地址，由于P5 口是铜缆以太端口，可以直接用笔记本和交叉线连接访问。

之后通过https 方式登陆到防火墙Internal 接口，就可以访问到配置界面1.系统管理”菜单1.1 “状态”子菜单1.1.1 “状态”界面“状态”菜单显示防火墙设备当前的重要系统信息，包括系统的运行时间、版本号、OS 产品序列号、端口IP 地址和状态以及系统资源情况。

如果CPU 或内存的占用率持续超过80%，则往往意味着有异常的网络流量（病毒或网络攻击）存在。

1.1.2 “会话”显示界面Fortigate 是基于“状态检测”的防火墙，系统会保持所有的当前网络“会话”（sessions）。

这个界面方便网络管理者了解当前的网络使用状况。

通过对“源/目的IP”和“源/目的端口”的过滤，可以了解更特定的会话信息。

例如，下图是对源IP 为10.3.1.1 的会话的过滤显示通过“过滤器”显示会话，常常有助于发现异常的网络流量。

1.2 “网络”子菜单1.2.1 网络接口如上图，“接口”显示了防火墙设备的所有物理接口和VLAN 接口（如果有的话），显示IP 地址、访问选项和接口状态。

“访问选项”表示可以使用哪种方式通过此接口访问防火墙。

例如：对于“PORT1”，我们可以以“HTTPS，TELNET”访问，并且可以PING 这个端口。

点击最右边的“编辑”图标，可以更改端口的配置。

如上图，“地址模式”有三类： a.如果使用静态IP 地址，选择“自定义”；b.如果由DHCP 服务器分配IP，选择“DHCP”；c.如果这个接口连接一个xDSL 设备，则选择“PPPoE”。

在“管理访问”的选项中选择所希望的管理方式。

最后点击OK，使配置生效。

“区”是指可以把多个接口放在一个区里，针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。

在本项目中，没有使用“区”。

1.2.2 DNS如上图，在这里配置防火墙本身使用的DNS 服务器，此DNS 与内部网络中PC 和SERVER 上指定的DNS 没有关系。

1.3 DHCP如上图，所有的防火墙端口都会显示出来。

端口可以1）不提供DHCP 服务；2）作为DHCP 服务器；3）提供DHCP 中继服务。

在本例中，External 端口为所有的IPSEC VPN 拨入客户提供DHCP 的中继，使得VPN 客户可以从内部网络的DHCP 服务器上取得动态分配的内网地址。

下图是相关配置，其中10.3.1.1 是内部网络的DHCP 服务器。

1.4 配置1.4.1 时间设置如下图，本设置选项用来设置防火墙的系统时间，可以手工校正时间，也可以与NTP 服务器同步时间。

请注意：在防火墙上线的时候选择正确的时区和校准时间很重要，这样将来在读系统日志文件时，日志上显示的LOG 时间才是准确的。

1.4.2 选项如上图，“超时设置”中的“超时控制”指如果LOGIN 的用户在设定的时间内没有任何操作，系统将自动将用户LOGOUT。

例如：如果设置为5 分钟，如果在5 分钟内用户没有做操作，则用户需要再次LOGIN，继续进一步的操作。

“授权超时”是指在设定的时间过去以后，用户的连接会被断开。

用户如果需要继续操作，需要重新连接，这主要是为了安全性的考虑。

Fortigate 产品支持7 种语言，我们一般常用的是“简体中文”和“英文”。

Fortigate300 或更高端的设备有LCD 面板，可以通过LCD 直接设置网络接口的地址。

为了安全性的考虑，可以在LCD 面板管理选项中设置密码（PIN 保护），以防止未授权的配置修改。

Fortigate 设备支持多gateway 配置，可以在一条默认gateway 失效后起用备用gateway。

防火墙使用PING 包的方式检测gateway 是否有效。

1.4.3 高可用性（HA）Active-Passive 和Active-Active 两种。

A-P 模式下主设备工作，从设备通过“心跳接口”同步主设备上的信息。

一旦主设备出现故障，从设备立刻接替原来的主设备，保证网络服务不中断。

A-A 模式下两台或多台设备是在负载均衡的状态下工作，一旦其中一台故障，其他的设备分担故障设备的网络负荷。

本项目中使用了双机热备模式，工作在A-P 模式下。

同一个“高可用”设备组的设备必须具有同样的：硬件型号、OS 版本、HA 模式、组ID 和HA 密码。

“心跳接口”需要设置一个参考值，此接口用来同步HA 设备的信息，主要是配置变动的信息和网络流量的Sessions 表。

防火墙的网络接口如果在“监测接口”上有数值，一旦这个接口故障（断线等），HA 组将进行主/从切换。

如上图，显示此HA 集群有2 台设备，在上边显示的是“主”设备，从“网络利用率”中也能分辨出来。

1.4.4 管理员设置如上图，系统默认的管理员帐号是“admin”，没有默认密码。

管理帐号的权限在“访问内容表”中设定。

点击右边“带锁”的图标可以增加或修改LOGIN 密码。

如上图，系统默认的“访问内容表”设定了调用此表的用户帐号的权限，若要修改特定权限，只须增加或去掉相应的“勾”即可。

如上图，编辑用户帐号，可以指定信任主机（只允许来自信任主机的用户使用此帐号LOGIN），如果信任主机是“0.0.0.0/0.0.0.0”，则允许任何源地址的主机用此帐号LOGIN。

2.“路由”菜单2.1 路由配置2.1.1 静态路由如上图，Fortigate 防火墙支持“透明模式（桥接）”和“路由/NAT”模式，在中石油项目使用的是路由模式。

我们要在防火墙上设置静态路由。

如本例中所示：默认路由0.0.0.0/0 指向ISP 的路由设备210.78.134.126；静态路由10.0.0.0/8 指向内网的路由器10.3.18.254。

点击“新建”可以增加新的静态路由。

Fortigate 防火墙也支持动态路由协议：RIP、RIP2、OSPF。

如上图，显示了防火墙上当前的所有路由条目。

1.1.1.2 防火墙和VPN 配置1. 防火墙配置在做防火墙的配置时，首先要定义“地址/地址组”“服务/服务组”、，然后把它们应用到防火墙策略中。

1.1 地址和地址组如上图，首先需要定义“地址”，可以是一台主机的地址或者是一个地址段。

如上图，给一个“地址名称”并设置相应的IP 地址段即可定义一个“地址”。

如上图，多个“地址”可以放到一个“地址组”中。

如上图，定义一个“地址组”，首先要输入一个“组名”，然后可以在已经定义的“地址”中选择需要的地址加入这个组。

1.2 服务和服务组如上图，“服务”指的是防火墙要控制的网络流量（协议），Fortigate 已经预定义了很多常用的网络服务的“协议或TCP/UDP 端口”。

如上图，用户可以根据自己的需要“定制服务”。

在上面的定制服务条目中，有“回收桶”的表示这个“服务”没有被任何“服务组”或“防火墙策略”调用，可以直接删除。

如果“服务”已经被调用，则需要先停止相关调用，才能删除。

如上图，这里显示了一个自定义的“对TCP 8080 端口的服务”。

如上图，多个“服务”可以加入到一个“服务组”中，在被防火墙策略调用的时候直接使用“服务组”。

如上图，“服务组”的配置与“地址组“类似。

1.3 虚拟IP 映射“虚拟IP”是指把外网的一个公网地址映射到内网的一个私有地址，外部网络对公网地址的访问被转发到内网中绑定私有地址的主机上。

我们可以配置防火墙策略来对这种访问进行控制，保护内网中的主机。

如上图，显示了当前所有的虚拟IP 映射。

如上图，这个例子是把防火墙external 端口上的一个公网地址210.78.134.66 映射到内网中的主机192.168.254.66。

防火墙能够通过ARP 查询找到适当的映射的内网端口，并把网络流量转发过去。

静态NAT 是实现内/外IP 地址一对一映射，如果选择“端口转发”可以实现把一个外部公网地址不同的TCP/UDP 端口，映射到内网的多个主机上。

例如：把210.78.134.66 的HTTP 端口(tcp 80)映射到192.168.254.66 tcp 80；把210.78.134.66 的telnet 端口（tcp 23）映射到192.168.1.66 的tcp 23。

第2章Fortinet 防火墙日常操作和维护命令章当用户发现防火墙出现异常情况如：出口访问速度慢、登录防火墙管理慢，某些服务访问不正常时，可以通过一下步骤检查2.1 防火墙配置若用户出现访问某些服务不正常，首先检查防火墙配置，确认是否出现配置限制的问题注意：用户应该在每次配置后，备份配置并记录每次修改的配置细节。

保证出现问题时可以及时查找配置策略的问题。

2.2 防火墙日常检查2.2.1 防火墙的会话表：系统管理－状态－会话）防火墙的会话表：系统管理－状态－会话）（系统管理（通过防火墙的会话表：可以得到如下重要信息(1) 通过防火墙的会话数量（注意与平时正常业务工作时的会话数量的对比），当防火墙出现异常流量时，一般可以通过防火墙的会话表反应出来。

(2) 通过防火墙的会话表，可以查看发起会话的源地址和目的地址。

正常情况的用户访问一般会在防火墙会话表保留10－20 个会话连接，当防火墙的会话表出现单个IP 地址的大量会话连接时，一般可以断定该IP 地址工作异常。

(3) 通过防火墙的会话表，可以查看发起会话的IP 地址的服务端口，当发现有大量异常端口如微软的135－139，443 以及sql 的1433 的端口时，一般可以断定该IP 地址出现蠕虫病毒，应该立刻在防火墙上通过策略控制端口。