fortigate 简易设置手册

文章标题：深度解读FortiGate 7操作手册：从入门到精通在网络安全领域，FortiGate 7作为一款功能强大的网络安全设备备受关注。

它可以为企业提供全面的网络保护和流量管理，而且在不断更新的网络威胁中保持高效和可靠。

本文将深入探讨FortiGate 7操作手册的内容，为读者提供全面、深入和实用的使用指南。

一、FortiGate 7的介绍FortiGate 7是一款集成了网络安全、流量管理和应用加速功能的设备，它采用了先进的硬件和软件技术，为企业提供了一体化的网络安全解决方案。

无论是防火墙、入侵检测系统还是虚拟专用网，FortiGate 7都能够为用户提供高效、可靠和实用的网络保护。

二、FortiGate 7操作手册的使用1. 登录与基本设置我们需要了解如何登录和进行基本设置。

FortiGate 7提供了丰富的登录界面和设置选项，用户可以根据自己的需求进行个性化的设置。

在登录页面上，用户可以输入用户名和密码，然后进行相关的网络配置。

2. 网络安全功能FortiGate 7拥有强大的网络安全功能，包括防火墙、入侵检测系统、反病毒功能等。

用户可以根据自己的需求配置这些功能，并对网络流量进行全面的监控和管理。

3. 应用加速功能在网络传输过程中，FortiGate 7还提供了优化和加速的功能。

用户可以通过设置来提高网络传输速度和优化网络性能，这对于一些对网络速度有较高要求的企业来说尤为重要。

三、个人观点和理解作为一名网络安全专家，我对FortiGate 7的操作手册有着深刻的理解。

在实际使用中，我发现FortiGate 7不仅功能强大，而且操作简单，用户体验非常好。

通过深入研读操作手册，我对FortiGate 7的功能和性能有了更全面、更深入的了解，并且能够更好地应用于实际工作中。

总结回顾通过本文的阐述，我们对FortiGate 7操作手册有了全面的了解。

在网络安全领域，深入掌握FortiGate 7的使用方法对于提高网络安全性和流量管理效率非常重要。

手把手学配置FortiGate设备FortiGate CookbookFortiOS 4.0 MR3目录介绍 (1)有关本书中使用的IP地址 (3)关于FortiGate设备 (3)管理界面 (5)基于Web的管理器 (5)CLI 命令行界面管理 (5)FortiExplorer (6)FortiGate产品注册 (6)更多信息 (7)飞塔知识库（Knowledge Base） (7)培训 (7)技术文档 (7)客户服务与技术支持 (8)FortiGate新设备的安装与初始化 (9)将运行于NAT/路由模式的FortiGate设备连接到互联网 (10)面临的问题 (10)解决方法 (11)结果 (13)一步完成私有网络到互联网的连接 (14)面临的问题 (14)解决方法 (15)结果 (16)如果这样的配置运行不通怎么办？ (17)使用FortiGate配置向导一步完成更改内网地址 (20)面临的问题 (20)解决方法 (20)结果 (22)NAT/路由模式安装的故障诊断与排除 (23)面临的问题 (23)解决方法 (23)不更改网络配置部署FortiGate设备（透明模式） (26)解决方法 (27)结果 (30)透明模式安装的故障诊断与排除 (31)面临的问题 (31)解决方法 (32)当前固件版本验证与升级 (36)面临的问题 (36)解决方法 (36)结果 (39)FortiGuard服务连接及故障诊断与排除 (41)面临的问题 (41)解决方法 (42)在FortiGate设备中建立管理帐户 (48)面临的问题 (48)解决方法 (48)结果 (49)FortiGate设备高级安装与设置 (51)将FortiGate设备连接到两个ISP保证冗余的互联网连接 (52)面临的问题 (52)解决方法 (53)结果 (60)使用调制解调器建立到互联网的冗余连接 (63)面临的问题 (63)解决方法 (64)结果 (70)使用基于使用率的ECMP在冗余链路间分配会话 (70)面临的问题 (70)解决方法 (71)结果 (73)保护DMZ网络中的web服务器 (74)面临的问题 (74)解决方法 (75)结果 (81)在不更改网络设置的情况下配置FortiGate设备保护邮件服务器（透明模式） (86)解决方法 (87)结果 (92)使用接口配对以简化透明模式下安装 (96)面临的问题 (96)解决方法 (97)结果 (101)不做地址转换的情况下连接到网络（FortiGate设备运行于路由模式） (101)面临的问题 (101)解决方法 (102)结果 (107)对私网中的用户设置显式web代理 (107)面临的问题 (107)解决方法 (108)结果 (110)私有网络的用户访问互联网内容的web缓存建立 (110)面临的问题 (110)解决方法 (111)结果 (112)应用HA高可用性提高网络的可靠性 (113)面临的问题 (113)解决方法 (114)结果 (118)升级FortiGate设备HA群集的固件版本 (120)面临的问题 (120)解决方法 (121)结果 (123)使用虚拟局域网（VLAN）将多个网络连接到FortiGate设备 (124)面临的问题 (124)解决方法 (124)结果 (129)使用虚拟域,在一台FortiGate设备实现多主机 (130)面临的问题 (130)解决方法 (130)结果 (137)建立管理员帐户监控防火墙活动与基本维护 (138)面临的问题 (138)解决方法 (139)结果 (140)加强FortiGate设备的安全性 (142)面临的问题 (142)解决方法 (143)为内部网站和服务器创建本地DNS服务器列表 (152)面临的问题 (152)解决方法 (152)结果 (154)使用DHCP根据MAC地址分配IP地址 (154)面临的问题 (154)解决方法 (155)结果 (156)设置FortiGate设备发送SNMP陷阱 (157)面临的问题 (157)解决方法 (157)结果 (160)通过数据包嗅探方式（数据包抓包）发现并诊断故障 (161)面临的问题 (161)解决方法 (162)通过数据包嗅探方式（数据包抓包）进行高级的故障发现与诊断 (170)面临的问题 (170)解决方法 (171)创建、保存并使用数据包采集过滤选项（通过基于web的管理器嗅探数据包） (179)面临的问题 (179)解决方法 (180)调试FortiGate设备配置 (184)面临的问题 (184)解决的方法 (185)无线网络 (195)FortiWiFi设备创建安全的无线访问 (196)面临的问题 (196)解决方法 (197)结果 (200)通过FortiAP在FortiGate设备创建安全无线网络 (200)面临的问题 (200)解决方法 (201)结果 (205)使用WAP-enterprise安全提高WiFi安全 (207)面临的问题 (207)解决方法 (208)结果 (211)使用RADIUS建立安全的无线网络 (212)面临的问题 (212)解决方法 (213)结果 (217)使用网页认证建立安全的无线网络 (218)面临的问题 (218)解决方法 (219)结果 (222)在无线与有线客户端之间共享相同的子网 (224)面临的问题 (224)解决方法 (224)结果 (227)通过外部DHCP服务器创建无线网络 (228)面临的问题 (228)解决方法 (229)结果 (232)使用Windows AD验证wifi用户 (234)面临的问题 (234)解决方法 (234)结果 (244)使用安全策略和防火墙对象控制流量 (245)安全策略 (245)定义防火墙对象 (247)限制员工的互联网访问 (250)面临的问题 (250)结果 (255)基于每个IP地址限制互联网访问 (255)面临的问题 (255)解决方法 (256)结果 (259)指定用户不执行UTM过滤选项 (260)面临的问题 (260)解决方法 (260)结果 (263)校验安全策略是否应用于流量 (264)面临的问题 (264)解决方法 (265)结果 (267)以正确的顺序执行安全策略 (270)面临的问题 (270)解决方法 (271)结果 (273)允许只对一台批准的DNS服务器进行DNS查询 (274)面临的问题 (274)解决方法 (275)结果 (278)配置确保足够的和一致的VoIP带宽 (279)面临的问题 (279)解决方法 (280)结果 (283)使用地理位置地址 (285)面临的问题 (285)解决方法 (286)结果 (288)对私网用户(静态源NAT)配置提供互联网访问 (288)面临的问题 (288)解决方法 (289)结果 (290)对多个互联网地址(动态源NAT)的私网用户配置提供互联网访问 (292)面临的问题 (292)解决方法 (292)不更改源端口的情况下进行动态源NAT(一对一源地址NAT) (295)面临的问题 (295)解决方法 (296)结果 (297)使用中央NAT表进行动态源NAT (298)面临的问题 (298)解决方法 (299)结果 (301)在只有一个互联网IP地址的情况下允许对内网中一台web服务器的访问 (303)面临的问题 (303)解决方法 (304)结果 (305)只有一个IP 地址使用端口转换访问内部web 服务器 (307)面临的问题 (307)解决方法 (308)结果 (310)通过地址映射访问内网Web 服务器 (311)面临的问题 (311)解决方法 (312)结果 (313)配置端口转发到FortiGate设备的开放端口 (316)面临的问题 (316)解决方法 (317)结果 (320)对某个范围内的IP地址进行动态目标地址转换(NAT) (321)面临的问题 (321)解决方法 (322)结果 (323)UTM选项 (325)网络病毒防御 (327)面临的问题 (327)解决方法 (328)结果 (329)灰色软件防御 (330)解决方法 (331)结果 (331)网络旧有病毒防御 (332)面临的问题 (332)解决方法 (332)结果 (333)将病毒扫描检测文件的大小最大化 (334)面临的问题 (334)解决方法 (335)结果 (336)屏蔽病毒扫描中文件过大的数据包 (337)面临的问题 (337)结果 (338)通过基于数据流的UTM扫描提高FortiGate设备的性能 (338)面临的问题 (338)解决方法 (339)限制网络用户可以访问的网站类型 (342)面临的问题 (342)解决方案 (342)结果 (343)对设定用户取消FortiGuard web过滤 (344)面临的问题 (344)结果 (346)阻断Google、Bing以及Yahoo搜索引擎中令人不快的搜索结果 (347)面临的问题 (347)解决方法 (347)结果 (348)查看一个URL在FortiGuard Web过滤中的站点类型 (348)面临的问题 (348)解决方法 (349)结果 (349)设置网络用户可以访问的网站列表 (350)面临的问题 (350)解决方法 (351)使用FortiGuard Web过滤阻断对web代理的访问 (353)面临的问题 (353)解决方法 (353)结果 (354)通过设置Web过滤阻断对流媒体的访问 (354)面临的问题 (354)解决方法 (355)结果 (355)阻断对具体的网站的访问 (356)面临的问题 (356)解决方法 (356)结果 (358)阻断对所有网站的访问除了那些使用白名单设置的网站 (358)面临的问题 (358)解决方案 (359)结果 (361)配置FortiGuard Web过滤查看IP地址与URL (361)面临的问题 (361)解决方法 (362)结果 (362)配置FortiGuard Web过滤查看图片与URL (364)面临的问题 (364)解决方法 (364)结果 (365)识别HTTP重新定向 (365)面临的问题 (365)解决方法 (366)结果 (366)在网络中实现应用可视化 (366)面临的问题 (366)解决的方法 (367)结果 (367)阻断对即时消息客户端的使用 (368)面临的问题 (368)结果 (369)阻断对社交媒体类网站的访问 (370)面临的问题 (370)解决方法 (371)结果 (371)阻断P2P文件共享的使用 (372)面临的问题 (372)解决方法 (372)结果 (373)启用IPS保护Web服务器 (374)面临的问题 (374)解决方法 (375)结果 (378)扫描失败后配置IPS结束流量 (378)面临的问题 (378)解决方法 (379)结果 (379)DoS攻击的防御 (380)面临的问题 (380)解决方法 (381)结果 (382)过滤向内的垃圾邮件 (382)面临的问题 (382)解决方法 (383)结果 (384)使用DLP监控HTTP流量中的个人信息 (384)面临的问题 (384)解决方法 (385)结果 (387)阻断含有敏感信息的邮件向外发送 (387)面临的问题 (387)解决方法 (388)结果 (388)使用FortiGate漏洞扫描查看网络的漏洞 (389)解决方法 (389)结果 (391)SSL VPN (392)对内网用户使用SSL VPN建立远程网页浏览 (393)面临的问题 (393)解决方法 (394)结果 (398)使用SSL VPN对远程用户提供受保护的互联网访问 (399)面临的问题 (399)解决方法 (400)结果 (403)SSL VPN 通道分割：SSL VPN 用户访问互联网与远程私网使用不同通道 (405)面临的问题 (405)解决方法 (405)结果 (409)校验SSL VPN用户在登录到SSL VPN时具有最新的AV软件 (411)面临的问题 (411)解决方法 (411)结果 (412)IPsec VPN (414)使用IPsec VPN进行跨办公网络的通信保护 (415)面临的问题 (415)解决方法 (416)结果 (420)使用FortiClient VPN进行到办公网络的安全远程访问 (421)面临的问题 (421)解决方法 (422)结果 (428)使用iPhone通过IPsec VPN进行安全连接 (430)面临的问题 (430)解决方法 (430)结果 (436)使用安卓（Android）设备通过IPsec VPN进行安全连接 (438)面临的问题 (438)结果 (443)使用FortiGate FortiClient VPN向导建立到私网的VPN (444)面临的问题 (444)解决方法 (445)结果 (449)IPsec VPN通道不工作 (450)面临的问题 (450)解决方法 (451)认证 (463)创建安全策略识别用户 (464)面临的问题 (464)解决方法 (464)结果 (466)根据网站类别识别用户并限制访问 (467)面临的问题 (467)解决方法 (468)结果 (468)创建安全策略识别用户、限制到某些网站的访问并控制应用的使用 (470)面临的问题 (470)解决方法 (471)结果 (472)使用FortiAuthenticator配置认证 (474)面临的问题 (474)解决方案 (475)结果 (478)对用户帐户添加FortiT oken双因子认证 (478)面临的问题 (478)解决方法 (479)结果 (482)添加SMS令牌对FortiGate管理员帐户提供双因子认证 (483)面临的问题 (483)解决方法 (484)结果 (486)撤消“非信任连接”信息 (487)解决方法 (488)日志与报告 (490)认识日志信息 (491)面临的问题 (491)解决方法 (492)创建备份日志解决方案 (497)面临的问题 (497)解决方法 (498)结果 (500)将日志记录到远程Syslog服务器 (502)面临的问题 (502)解决方法 (503)结果 (505)SSL VPN登录失败的告警邮件通知 (506)面临的问题 (506)解决方法 (507)结果 (509)修改默认的FortiOS UTM报告 (510)面临的问题 (510)解决方法 (510)结果 (512)测试日志配置 (513)面临的问题 (513)解决方法 (513)结果 (515)介绍本书《手把手学配置FortiGate设备》意在帮助FortiGate设备的管理员以配置案例的形式实现基本以及高级的FortiGate设备配置功能。

fortigate使用手册FortiGate是一款功能强大的网络安全设备，可帮助企业保护其网络免受各种威胁和攻击。

本使用手册将引导您正确配置和使用FortiGate 设备，确保您的网络安全和数据的保护。

一、FortiGate设备简介FortiGate设备是一种集成了防火墙、入侵防御系统、虚拟专用网络等多种功能的网络安全设备。

它采用了先进的硬件和软件技术，能够提供高性能和可靠的安全解决方案。

FortiGate设备适用于各种规模的企业网络，从小型办公室到大型企业网络都可以使用。

二、FortiGate设备的安装与配置1. 设备安装在开始配置FortiGate设备之前，您需要确保设备已经正确安装在网络中。

将设备适配器插入电源插座，并将设备与网络交换机或路由器连接。

确保设备的电源和网络连接正常。

2. 监听设备在配置FortiGate设备之前，您需要确保您的计算机与设备处于同一网络中。

通过打开浏览器，在浏览器地址栏中输入设备的IP地址，如果一切正常，您将能够访问到设备的管理界面。

3. 初始配置初次登录设备管理界面时，您需要按照设备提供的引导进行初始配置。

设置管理员账户和密码，并进行基本网络设置，如IP地址、子网掩码、网关等。

此步骤将确保您能够正常访问设备并进行后续配置。

三、FortiGate设备的基本配置1. 接口配置FortiGate设备具有多个接口，用于与网络连接。

您需要为每个接口分配一个合适的IP地址，以确保设备能够与其他网络设备正常通信。

2. 防火墙策略配置防火墙策略是FortiGate设备的核心功能之一，它用于控制流经设备的网络流量。

您可以根据需求配置访问控制规则，允许或阻止特定的流量。

确保您的防火墙策略满足安全需求，并允许合法的网络通信。

3. 安全服务配置FortiGate设备提供了多种安全服务选项，如入侵防御系统、反病毒、反垃圾邮件等。

您可以根据需要启用这些服务，增强网络的安全性和保护能力。

四、FortiGate设备的高级配置1. 虚拟专用网络（VPN）配置FortiGate设备支持VPN功能，可实现安全的远程访问和分支之间的安全通信。

FortiGate设备实施手册2016.09FortiGate产品介绍FortiGate是全新的下一代防火墙，在整个硬件架构和系统上面都有新的设计，在性能和功能上面都有了很大提升，具有性能高、接口丰富、功能齐全、安全路由交换一体化、性价比高等优势。

FortiGate全新下一代防火墙是面向云计算、数据中心和园区及企业网出口用户开发的新一代高性能防火墙设备。

它的功能特性如下：1、采用多核cpu+芯片结构，内置cp芯片和np芯片，cp芯片用于处理内容检测加速，np 芯片用于处理网络层数据转发，具有很高的数据转发性能，大小包线速，最高可达80G吞吐；2、具有稳定的防火墙功能，同时具备全面安全防护功能，入侵防御、反病毒、反垃圾邮件、web过滤、敏感数据防泄漏等；3、支持基于用户，五元组、应用层的安全的访问控制；4、支持GRE、L2TP、IPSec和SSL等多种VPN业务，可以构建多种形式的VPN；5、提供强大的路由能力，静态/RIP/OSPF/BGP路由、及策略路由，路由负载均衡；6、高可靠性，支持vrrp、同时支持更高靠性的HA技术，可实现连接状态的同步，支持主-主模式，主备模式；支持多心跳冗余，同时可以利用通讯线路做后备心跳线。

充分满足各种环境的可靠性需求FortiGate设备管理一、Web管理1.需求通过web可视化操作界面对防火墙进行配置管理，配置wan1口的管理功能。

2、组网拓扑3、配置要点FortiGate出厂配置默认地址为192.168.1.99，可以通过https的方式进行web管理（默认用户名admin，密码为空）。

不同型号设备用于管理的接口略有不同,如:FortiGate-1500D：mgmt1接口FortiGate-60D：internal 接口，对应于交换口1-7说明：FortiGate-60D、FortiGate-90D等所有的交换口隶属于三层口internal下，仅有internal接口可以进行三层配置，例如IP配置。

FortiGate飞塔防火墙简明配置指南说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。

防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin，密码为空登陆到web管理页面后默认的语言为英文，可以改为中文在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使用选择com1，设置如下图输入回车即可连接，如没有显示则断电重启防火墙即可连接后会提示login，输入帐号、密码进入防火墙查看接口IP：show system interface配置接口IP：config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二：配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal，IP，192.168.1.1 访问方式，https ping http telnet本例中外网接口是wan1，IP，192.168.100.1访问方式，https ping步骤三：配置路由在路由----静态中写一条出网路由，本例中网关是192.168.100.254步骤四：配置策略在防火墙----策略中写一条出网策略，即internal到wan1并勾选NAT即可。

FORTIGATE HQIP简单操作文档Fortigate-100A 3.00,build0474,061228 技术部王俊2007-12-7目的：飞塔防火墙出现问题时用于设备硬件状态的一种手段前期准备：首先下载思科TFTP服务器模拟器地址：/soft/33433.htm 然后去/fortinet/aht/ 去下载做HQIP所需的文件注：文件后缀名*.img HQIP文件要放到TFTP服务器的根目录下那么现在可以正式开始了第一步：打开TFTP服务器图-1标题栏的地址是192.168.1.96 这个地址是本机的地方即：把基本模拟成TFTP服务器这个地址要是192.168.1.0网段即和FORTIGA TE的内网口地址一个网段，先把它晾这里。

第二步：打开超级终端开始----程序---附件---通讯—超级终端图-2这里的名字可以随便填图-3 这里选COM 1口图-4这里点以下还原为默认值图-5随后就正式进入超级终端界面了这是可以帮FORTIGA TE通电了~通电后出现以下界面图-6 通电后不停按空格键（其实是按任意键）然后选个G\F\B\C\Q\H这里我们做的是HQIP所以选择G图-7 第一个选项输入TFTP标题栏的地址第二个选项输入FORTIGA TE内网口地址第三个文件是之前准备好的HQIP文件然后按回车TFTP服务器中会有进度显示图-8一直到成功！图-9超级终端会让你选择D\B\R选择R在选择R的同时用交叉线把所有接口一对一连起来以FORTIGATE 100A为例FortiGate-100A: INTERNAL+-----------+[4] [3] [2] [1] [DMZ2] [DMZ1] [WAN2] [WAN1]+ + + + + + + +| | | +----+ | | || | +---------------+ | || +--------------------------+ |+-------------------------------------+/fortinet/aht/飞塔网站上有各个型号的不同接法供参考一直到出现这个界面============== Fortinet Hardware Quick Inspection Report ==================BIOS Integrity Check: PASSPCI Device Check: PASSSystem Configuration Verification: PASSMemory Test: PASSCPU Test: PASSCPU/MEM Performance Test: PASSUSB Test: FAILFortiASIC Device Test: PASSIDE Test: PASSNetwork Controller Test: PASS============== Fortinet Hardware Quick Inspection FAILED ==================USB Test requires loopback cables.Failure on this test may be caused by bad cable or poor connection.Check wirings before taking further actions.这里可以根据分析结果来判断设备问题~下面是一份完整的飞塔60 HQIP记录FGT60 (11:24-04.25.2005)Ver:04000000Serial number:FGT-603907503437RAM activationTotal RAM: 128MBEnabling cache...Done.Scanning PCI bus...Done.Allocating PCI resources...Done.Enabling PCI resources...Done.Zeroing IRQ settings...Done.Verifying PIRQ tables...Done.Boot up, boot device capacity: 30MB.Press any key to display configuration menu....[G]: Get firmware image from TFTP server.[F]: Format boot device.[Q]: Quit menu and continue to boot with default firmware.[H]: Display this list of optionsEnter G,F,Q,or H:Enter G,F,Q,or H:Enter TFTP server address [192.168.1.168]: 192.168.1.96 Enter local address [192.168.1.188]: 192.168.1.99Enter firmware image file name [image.out]: FG-60-HQIP.img MAC:00:09:0f:17:57:d8###Total 3876448 bytes data downloaded.Verifying the integrity of the firmware image.Total 28000kB unzipped.Save as Default firmware/Run image without saving:[D/R]? ...........................Reading boot image 1970152 bytes.Initializing firewall...Initializing eth0, MAC:00:09:0F:17:5Initializing eth1, MAC:00:09:0F:17:57:DAInitializing eth2, MAC:00:09:0F:17:57:D9Initializing eth3, MAC:00:09:0F:17:57:D84 interface(s) initialized.NETwork Burn-in Test(netbt) device loaded.Test program loading(61,Build044,May 4 2005 15:50:22) ...Starting test 61......Test Begin at Thu Oct 25 01:33:53 2007Model Name: [FGT-60]Unit BIOS Version: [04000000]Unit Fortinet SN: [FGT-603907503437]Unit OEM SN: [FGT-603907503437]Unit First MAC: [00090f1757d8]BIOS Integrity Check PASS.Checking PCI devices...Looking for [0x06011106](VT8601 [Apollo ProMedia]) at 00:00.00 ...Found. Looking for [0x86011106](VT8601 [Apollo ProMedia AGP]) at 00:01.00 ...Found. Looking for [0x400115BC](FortiASIC CP2) at 00:0D.00 ...No device [0x400115BC](FortiASIC CP2) found at 00:0D.00(0x400510CA). PCI devices check failed.Gathering system information......Gathering system information OK!Verify system configuartionVerify system configuartion PASS1. System informationmodel name : VIA Samuel 2CPU number : 1CPU MHz : 400CPU MIPS : 799Compact Flash : 32MB CompactFlash Cardsize : 30 MBCompact Flash : 32MB CompactFlash Cardsize : 30 MBTotal Memory : 125188 KBTotal 4 net port(s) found.internal(eth3) macaddress: 00:09:0F:17:57:D8dmz(eth2) macaddress: 00:09:0F:17:57:D9wan1(eth1) macaddress: 00:09:0F:17:57:DAwan2(eth0) macaddress: 00:09:0F:17:57:DB2. Memory testFree memory is 88060KB.pagesize=4096, pagesizemask=FFFFF000Detecting memory(117MB)... [Done, 63MB will be tested]STRESS->MEM-> 1.Stuck Address...STRESS->MEM-> 1.Stuck Address PASSED.STRESS->MEM-> 2.Random value...STRESS->MEM-> 2.Random value PASSED.STRESS->MEM-> 3.XOR comparison...STRESS->MEM-> 3.XOR comparison PASSED.STRESS->MEM-> 4.SUB comparison...STRESS->MEM-> 4.SUB comparison PASSED.STRESS->MEM-> 5.MUL comparison...STRESS->MEM-> 5.MUL comparison PASSED.STRESS->MEM-> 6.DIV comparison...STRESS->MEM-> 6.DIV comparison PASSED.STRESS->MEM-> 7.OR comparison...STRESS->MEM-> 7.OR comparison PASSED.STRESS->MEM-> 8.AND comparison...STRESS->MEM-> 8.AND comparison PASSED.STRESS->MEM-> 9.Sequential Increment...STRESS->MEM-> 9.Sequential Increment PASSED.STRESS->MEM-> Round 0 completed in 53 seconds (0 errors).Release memory done.3. CPU test OK !Free memory is 87960KB.4. Stream testvvvvvvvvvvFunction Rate (MB/s) RMS time Min time Max timeCopy: 96.6554 0.3311 0.3311 0.3312Scale: 147.0623 0.2177 0.2176 0.2183Add: 154.6935 0.3103 0.3103 0.3103Triad: 132.0655 0.3635 0.35. Test ASIC DES Encrypt and Decrypt.Open device /dev/fpga0 error:No such device6. Test Compact Flash and Harddisk.Compact Flash(/dev/hda) Model:32MB CompactFlash CardSize:32112640(bytes)Testing write/read to compact flash(/dev/hda):vvvvvvvRead/write test PASS. Write/Read Rate: 1.35MBPS/ 4.17MBPS7. Test USB ports.Testing device /dev/ttyusb0 ...:FAILED in open device(No such device).Testing device /dev/ttyusb1 ...:FAILED in open device(No such device).8. Test Network interface controller.Wire the network ports as follow for NIC loopback test.INTERNAL+-----------+[4] [3] [2] [1] [DMZ] [W AN1] [W AN2]V + + + + + +| | +----+ | || +---------------+ |+--------------------------+Initializing eth0, MAC:00:09:0F:17:57:DBInitializing eth1, MAC:00:09:0F:17:57:DAInitializing eth2, MAC:00:09:0F:17:57:D9Initializing eth3, MAC:00:09:0F:17:57:4 interface(s) initialized.Network traffic test between internal and dmz...Try to start netbt device...Interface eth3 pair: [me 00:09:0F:17:57:D8] <3>[he 00:09:0F:17:57:D9] Interface eth2 pair: [me 00:09:0F:17:57:D9] <3>[he 00:09:0F:17:57:D8]Total 2 pairs configurated.NETBT device started.------------------------------------------------------------------------------Interface | packets | bytes |dropped|errors|pks/sec| M bps< 64> eth2.tx: 154596 9275760 0< 64> eth2.rx: 154596 9275760 0 0 15459 9 0 < 64> eth3.tx: 154596 9275760 0 0 15459 9上海华盖科技发展有限公司地址：上海市北工业园区 江场三路153号5层(ZIP:200436)电话:(021)56775656 传真:(021)56036333< 64> eth3.rx: 154596 9275760 0 0 15459 9 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 128> eth2.tx: 136496 16925440 0 0 13649 15 < 128> eth2.rx: 136496 16925440 0 0 13649 15 0 < 128> eth3.tx: 136496 16925440 0 0 13649 15 < 128> eth3.rx: 136496 16925440 0 0 13649 15 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 256> eth2.tx: 112159 28263940 0 0 11215 23 < 256> eth2.rx: 112159 28263940 0 0 11215 23 0 < 256> eth3.tx: 112159 28263940 0 0 11215 23 < 256> eth3.rx: 112159 28263940 0 0 11215 23 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 512> eth2.tx: 79733 40504108 0 0 7973 33 < 512> eth2.rx: 79733 40504108 0 0 7973 33 0 < 512> eth3.tx: 79733 40504108 0 0 7973 33 < 512> eth3.rx: 79733 40504108 0 0 7973 33 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps <1024> eth2.tx: 49612 50603728 0 0 4961 40 <1024> eth2.rx: 49612 50603728 0 0 4961 40 0 <1024> eth3.tx: 49612 50603728 0 0 4961 40 <1024> eth3.rx: 49612 50603728 0 0 4961 40 0 ---------------------------------------------------------------------------- Interface | packets | bytes |dropped|errors|pks/sec| M bps <1518> eth2.tx: 35982 54476254 0 0 3598 43 <1518> eth2.rx: 35982 54476254 0 0 3598 43 0 <1518> eth3.tx: 35982 54476254 0 0 3598 43 <1518> eth3.rx: 35982 54476254 0 0 3598 43 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 64> eth2.tx: 155166 9311414 0 0 15516 9 < 64> eth2.rx: 155145 9310154 0 0 15514 9 0 < 64> eth3.tx: 155166 9311414 0 0 15516 9 < 64> eth3.rx: 155166 9311414 0 0 15516 9 0 Stop netbt device. PASSEDNetwork traffic test between internal and wan1... Try to start netbt device...Interface eth3 pair: [me 00:09:0F:17:57:D8] <3>[he 00:09:0F:17:57:DA] Interface eth1 pair: [me 00:09:0F:17:57:DA] <3>[he 00:09:0F:17:57:D8]上海华盖科技发展有限公司地址：上海市北工业园区 江场三路153号5层(ZIP:200436)电话:(021)56775656 传真:(021)56036333Total 2 pairs configurated. NETBT device started.------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 64> eth1.tx: 153289 9197340 0 0 15328 9 < 64> eth1.rx: 153289 9197340 0 0 15328 9 0 < 64> eth3.tx: 153289 9197340 0 0 15328 9 < 64> eth3.rx: 153289 9197340 0 0 15328 9 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 128> eth1.tx: 134640 16695296 0 0 13464 15 < 128> eth1.rx: 134640 16695296 0 0 13464 15 0 < 128> eth3.tx: 134640 16695296 0 0 13464 15 < 128> eth3.rx: 134640 16695296 0 0 13464 15 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 256> eth1.tx: 111890 28196152 0 0 11189 23 < 256> eth1.rx: 111890 28196152 0 0 11189 23 0 < 256> eth3.tx: 111890 28196152 0 0 11189 23 < 256> eth3.rx: 111890 28196152 0 0 11189 23 0 ---------------------------------------------------------------------------- Interface | packets | bytes |dropped|errors|pks/sec| M bps < 512> eth1.tx: 80420 40853104 0 0 8042 33 < 512> eth1.rx: 80420 40853104 0 0 8042 33 0 < 512> eth3.tx: 80420 40853104 0 0 8042 33 < 512> eth3.rx: 80420 40853104 0 0 8042 33 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps <1024> eth1.tx: 49572 50562928 0 0 4957 40 <1024> eth1.rx: 49572 50562928 0 0 4957 40 0 <1024> eth3.tx: 49572 50562928 0 0 4957 40 <1024> eth3.rx: 49572 50562928 0 0 4957 40 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps <1518> eth1.tx: 35921 54383900 0 0 3592 43 <1518> eth1.rx: 35921 54383900 0 0 3592 43 0 <1518> eth3.tx: 35921 54383900 0 0 3592 43 <1518> eth3.rx: 35921 54383900 0 0 3592 43 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 64> eth1.tx: 153751 9226514 0 0 15375 9 < 64> eth1.rx: 153751 9226514 0 0 15375 9 0 < 64> eth3.tx: 153751 9226514 0 0 15375 9 < 64> eth3.rx: 153751 9226514 0 0 15375 9 0上海华盖科技发展有限公司地址：上海市北工业园区 江场三路153号5层(ZIP:200436)电话:(021)56775656 传真:(021)56036333Stop netbt device. PASSEDNetwork traffic test between internal and wan2... Try to start netbt device...Interface eth3 pair: [me 00:09:0F:17:57:D8] <3>[he 00:09:0F:17:57:DB] Interface eth0 pair: [me 00:09:0F:17:57:DB] <3>[he 00:09:0F:17:57:D8] Total 2 pairs configurated. NETBT device started.-------------------------------------------------Interface | packets | bytes |dropped|errors|pks/sec| M bps < 64> eth0.tx: 152193 9131580 0 0 15219 9 < 64> eth0.rx: 152193 9131580 0 0 15219 9 0 < 64> eth3.tx: 152193 9131580 0 0 15219 9 < 64> eth3.rx: 152193 9131580 0 0 15219 9 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 128> eth0.tx: 135133 16756428 0 0 13513 15 < 128> eth0.rx: 135133 16756428 0 0 13513 15 0 < 128> eth3.tx: 135133 16756428 0 0 13513 15 < 128> eth3.rx: 135133 16756428 0 0 13513 15 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 256> eth0.tx: 111220 28027312 0 0 11122 23 < 256> eth0.rx: 111220 28027312 0 0 11122 23 0 < 256> eth3.tx: 111220 28027312 0 0 11122 23 < 256> eth3.rx: 111220 28027312 0 0 11122 23 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 512> eth0.tx: 76606 38915592 0 0 7660 32 < 512> eth0.rx: 76606 38915592 0 0 7660 32 0 < 512> eth3.tx: 76606 38915592 0 0 7660 32 < 512> eth3.rx: 76606 38915592 0 0 7660 32 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps <1024> eth0.tx: 49520 50509888 0 0 4952 40 <1024> eth0.rx: 49520 50509888 0 0 4952 40 0 <1024> eth3.tx: 49520 50509888 0 0 4952 40 <1024> eth3.rx: 49520 50509888 0 0 4952 40 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps <1518> eth0.tx: 35976 54467170 0 0 3597 43 <1518> eth0.rx: 35976 54467170 0 0 3597 43 0 <1518> eth3.tx: 35976 54467170 0 0 3597 43上海华盖科技发展有限公司地址：上海市北工业园区 江场三路153号5层(ZIP:200436)电话:(021)56775656 传真:(021)56036333<1518> eth3.rx: 35976 54467170 0 0 3597 43 0 ------------------------------------------------------------------------------ Interface | packets | bytes |dropped|errors|pks/sec| M bps < 64> eth0.tx: 152806 9169814 0 0 15280 9 < 64> eth0.rx: 152806 9169814 0 0 15280 9 0 < 64> eth3.tx: 152806 9169814 0 0 15280 9 < 64> eth3.rx: 152806 9169814 0 0 15280 9 0 Stop netbt device. PASSEDNetwork traffic test between interNetwork traffic test between internal and wan1: PASSED Network traffic test between internal and wan2: PASSEDTest End at Thu Oct 25 01:39:22 2007 Elapsed Time: 329 Seconds(5m29s).============== Fortinet Hardware Quick Inspection Report ==================BIOS Integrity Check: PASS PCI Device Check: FAIL System Configuration Verification: PASSMemory Test: PASS CPU Test: PASS CPU/MEM Performance Test: PASS USB Test: FAIL FortiASIC Device Test: FAIL IDE Test: PASS Network Controller Test: PASS============== Fortinet Hardware Quick Inspection FAILED ==================USB Test requires loopback cables.Failure on this test may be caused by bad cable or poor connection. Check wirings before taking further actions.。

华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。

作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3，进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品，是利用一种新的体系结构方法研发的，具有无与伦比的价格/性能比；是完全的、所有层网络安全和内容控制的产品。

经过一些安全行业深受尊重的安全专家多年的研究开发，FortiGate解决方案突破了网络的“内容处理障碍”。

提供了在网络边界所有安全威胁类型（包括病毒和其它基于内容的攻击）的广泛保护。

并且具备空前的消除误用和滥用文字的能力，管理带宽和减少设备与管理的费用。

常规的安全系统，像防火墙和VPN 网关在防止称为网络层攻击是有效的，它通过检查包头信息来保证来自信任源合法请求的安全。

但在现今，绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击，例如病毒和蠕虫。

在这些更多诡辩的攻击中，有害的内容常常深入到包内容，通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。

同样的，有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本，并且需要除了网络层实时信息，还有分解和分析应用层内容（例如文件和指令）的能力。

然而，在现今的网络速度下，完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。

结果，使用常规解决方案的机构面临着“内容处理障碍”，这就迫使他们在桌面和服务器上加强内容服务的配置。

V3.0 FortiGate设备VLAN与VDOM 用户使用与配置手册目录FortiGate设备VLAN与VDOM配置简介 (6)VLAN概述 (6)Layer-2 VLAN的数据交换 (7)Layer-2 VLAN应用示例 (7)Layer-3中VLAN的路由应用 (9)Layer-3中应用VLAN的示例 (9)VLAN ID设置规则 (10)虚拟域概述 (11)VDOM的最大设置数量 (11)VDOM间的路由 (11)管理虚拟域 (12)虚拟域的管理 (12)全局配置与虚拟域设置 (12)详细信息 (15)NAT/路由模式下使用VLAN (16)概述 (16)NAT/路由模式下配置FortiGate设备 (16)添加VLAN子接口 (17)添加防火墙策略 (17)配置路由 (18)NAT/路由模式下的VLAN配置举例（简单配置） (18)常规配置步骤 (19)配置FortiGate-800设备 (20)配置外部接口 (20)添加VLAN子接口 (21)添加防火墙地址 (22)添加防火墙策略 (24)配置Cisco交换机支持VLAN标签 (28)测试配置 (29)运行NAT/路由模式下的配置举例（复杂） (31)常规配置步骤 (33)配置FortiGate-800设备 (33)添加VLAN子接口 (33)添加默认路由 (36)添加防火墙地址 (37)添加防火墙策略 (38)配置FortiGate-800设备的IPSec通道与加密策略 (44)配置VPN网关 (44)配置VPN通道 (45)定义VPN用户IP地址 (47)添加加密策略 (47)配置VPN用户端 (49)配置内部Cisco交换机 (51)配置外部交换机 (52)测试配置 (53)NAT/路由模式下使用VDOM (55)概述 (55)启动虚拟域 (55)启动虚拟域配置 (55)创建虚拟域 (56)创建虚拟域 (56)获得VDOM许可证密钥 (56)创建虚拟域的管理员 (57)访问并配置虚拟域 (57)配置虚拟域 (58)更改管理虚拟域 (58)对虚拟域添加接口与VLAN子接口 (59)对虚拟域配置路由 (60)对虚拟域配置防火墙策略 (60)对虚拟域配置VPN (61)NAT/路由模式下配置虚拟域举例（简单） (61)常规配置步骤 (62)创建虚拟域 (63)配置FortiGate-800设备的外部与DMZ接口 (63)配置外部接口 (64)配置DMZ接口 (64)配置ABC虚拟域 (65)添加VLAN子接口 (65)添加ABC虚拟域防火墙地址 (67)添加ABC虚拟域的防火墙策略 (68)添加默认路由 (69)配置DEF虚拟域 (70)添加VLAN子接口 (70)添加DEF虚拟域防火墙地址 (71)添加DEF虚拟域的防火墙策略 (72)添加默认路由 (74)配置Cisco交换机 (75)测试配置 (75)测试VLAN100到外部网络的流量 (76)测试从VLAN200到DMZ网络的流量 (76)运行于NAT/路由模式下的虚拟域配置（复杂） (77)常规配置步骤 (79)创建虚拟域 (79)配置ABC虚拟域 (80)选择ABC虚拟域 (80)添加VLAN子接口 (80)添加默认路由 (83)添加防火墙地址 (84)添加防火墙策略 (85)配置Commercial虚拟域 (89)选择Commercial虚拟域 (89)添加VLAN子接口 (89)添加默认路由 (92)添加防火墙地址 (94)添加防火墙策略 (95)配置Cisco交换机 (102)测试配置 (104)其它测试 (105)透明模式下应用VLAN与VDOM (106)概述 (106)VLAN与虚拟域 (106)配置运行于透明模式下的FortiGate设备 (107)添加VLAN子接口 (107)创建防火墙策略 (108)透明模式下配置举例（简单） (108)常规配置步骤 (109)配置FortiGate-800设备 (110)添加VLAN子接口 (110)添加防火墙策略 (112)配置Cisco交换机 (116)配置VLAN子接口与trunk接口 (116)配置Cisco路由器 (117)配置VLAN子接口与trunk接口 (117)测试配置 (118)测试VLAN100到VLAN200的流量 (118)透明模式下配置多个虚拟域举例 (119)配置全局设置项 (119)创建时间表 (119)创建内容保护内容列表 (120)创建虚拟域 (123)配置ABC虚拟域 (124)添加VLAN子接口 (124)进入ABC虚拟域配置页面 (125)创建服务组 (126)配置ABC虚拟域的防火墙地址 (126)配置ABC虚拟域的防火墙策略 (127)配置DEF虚拟域 (130)添加VLAN子接口 (130)进入DEF虚拟域配置页面 (131)创建服务组 (131)配置DEF虚拟域的防火墙地址 (132)配置DEF虚拟域的防火墙策略 (132)配置XYZ虚拟域 (136)添加VLAN子接口 (136)进入XYZ 虚拟域配置页面 (138)创建服务组 (138)配置XYZ虚拟域的防火墙地址 (139)配置XYZ虚拟域的防火墙策略 (139)配置Cisco交换机 (142)配置交换机1 (142)配置交换机2 (143)测试配置 (143)测试VLAN100到互联网的流量 (143)VDOM间的路由 (145)概述 (145)实现VDOM间路由的好处 (145)解放了物理接口 (145)传输速度比物理接口快 (146)仍然能够使用安全的防护墙策略 (146)更多的配置灵活性 (146)开始配置VDOM间路由 (147)高级VDOM间路由的有关问题 (148)VDOM间的高级路由 (148)HA虚拟群集与VDOM间的链接 (148)FortiManager与VDOM间的路由 (149)使用FortiManager配置VDOM间的路由 (149)VDOM间的路由配置 (150)单个VDOM配置 (150)独立的VDOM配置 (151)管理VDOM的配置 (151)网状VDOM配置 (152)VDOM间的路由规划 (153)避免使用VLAN带来的问题 (153)不均衡的路由 (153)Layer-2 流量 (154)ARP流量 (154)多个VDOM的解决方案 (155)转发域的解决方案 (155)NetBIOS (156)STP转发 (156)太多的VLAN接口 (157)FortiGate设备VLAN与VDOM配置简介虚拟本地局域网络（VLAN: Virtual Local Area Networks）与虚拟域（VDOM:Virtual Domains）配置增强了FortiGate设备性能。

Fortigate端口屏蔽
如果要禁止的端口为常见端口（可在防火墙—〉服务—〉预定义找到），则直接跳到第3步。

1、登陆防火墙，进入防火墙—〉服务
如图：
选择定制—〉新建
名称：自己定义
协议：根据服务选择TCP/UDP/ICMP/IP，3.0版本中可同时选择TCP和UDP。

源端口：一般是1-65535，因为大多数情况下源端口是随机的。

目的端口：输入目的端口范围。

如果只是某个端口，则前后填相同的端口号。

如图：
如还有封其他端口要求，按如上再进行设置。

2、选择组—〉新建
把刚才定义的几个需要禁止的端口移动到右边的框内，并给这个组命名。

3、完成后在策略中新建一条从外到内的策略
1选择内部接口（internal）到外部接口(wan1或external)
2服务选刚才定义的组的名称，如果为常见端口也可直接在这里选择。

3模式选择DENY
如图：。

FortiGate防火墙3.0版本的IPSec VPN设置方法总部（中心端）的设置一、定义本地（中心端）与分支机构（客户端）的内部网络地址1. 点击菜单“防火墙”à“地址”à “新建”2. 在地址名称中写入自定义的名称（如：myabc），IP地址栏里填入本地网络地址和掩码（如：192.168.1.0/255.255.255.0）3. 重复以上操作定义对端（客户端）的内部网络地址（不能和本地网段有重复）二、定义VPN通道阶段一的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段1”2. 在“名称”中任意填写一个自定义的名字3. 远程网关选择“连接用户”4. 本地接口选择“WAN1”（当前的公网接口）5. 模式选择“野蛮模式”6. 在预共享密钥里填入自定义的密码（两端设置要相同）三、定义VPN通道阶段二的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段2”2. 在名称中填入自定义的通道名称（任取）3. 阶段一选择在在上一步中建立的网关名称四、建立VPN通道的加密策略1. 点击菜单“防火墙”à“策略”à“新建”2. 源接口区选择从“internal”，地址选择代表本地IP地址的名称3. 目的接口区选择“wan1”（当前的公网接口），地址名选择代表对端（分支机构）内部网络地址的名称4. 模式选“IPSEC”5. VPN通道选择在阶段二中建立的通道名称。

注：建议将VPN策略移到顶部位置。

客户端（分支机构）的设置一、定义本地（客户端）与总部（中心端）的内部网络地址1. 点击菜单“防火墙”à“地址”à “新建”2. 在地址名称中写入自定义的名称，IP地址栏里填入本地网络地址和掩码3. 重复以上操作定义对端（中心端）的内部网络地址二、定义VPN通道阶段一的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段1”2. 在“网关名称”中任意填写一个自定义的名字3. 远程网关选择“静态IP”4. 输入对端（中心端）的公网IP地址5. 本地接口选择“WAN1”（当前的公网接口）6. 模式选择“野蛮模式”7. 在预共享密钥里填入自定义的密码（两端设置要相同）三、定义VPN通道阶段二的安全关联1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段2”2. 在名称中填入自定义的通道名称（任取）3. 阶段一选择在在上一步中建立的网关名称4. 快速模式选择器中“源地址”填本地（客户端）的内部网络地址，“目标地址”填对端（中心端）的内部网络地址，两个地址分别与策略中定义的地址相对应。

FortiGate飞塔防火墙简明配置指南说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。

防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin，密码为空登陆到web管理页面后默认的语言为英文，可以改为中文在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使用选择com1，设置如下图输入回车即可连接，如没有显示则断电重启防火墙即可连接后会提示login，输入帐号、密码进入防火墙查看接口IP：show system interface配置接口IP：config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二：配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal，IP，192.168.1.1 访问方式，https ping http telnet本例中外网接口是wan1，IP，192.168.100.1访问方式，https ping步骤三：配置路由在路由----静态中写一条出网路由，本例中网关是192.168.100.254步骤四：配置策略在防火墙----策略中写一条出网策略，即internal到wan1并勾选NAT即可。

F ortiGate FortiWiFi 40F SeriesFG-40F, FG-40F-3G4G, FWF-40F, FWF-40F-3G4GConverged Next-Generation Firewall (NGFW) and SD-WAN The FortiGate Next-Generation Firewall 40F series is ideal for building security-driven networks at distributed enterprise sites and transforming WAN architecture at any scale.With a rich set of AI/ML-based FortiGuard security services and our integrated Security Fabric platform, the FortiGate FortiWiFi 40F series delivers coordinated, automated, end-to-end threat protection across all use cases.FortiGate has the industry’s first integrated SD-WAN and zero-trust network access (ZTNA) enforcement within an NGFW solution and is powered by one OS. FortiGate 40F automatically controls, verifies, and facilitates user access to applications, delivering consistency with a seamless and optimized user experience.HighlightsGartner Magic QuadrantLeader for both Network Firewalls and SD-WAN.Security-DrivenNetworking with FortiOS delivers convergednetworking and security.Unparalleled Performance with Fortinet’s patented SoC processors.Enterprise Security with consolidated AI / ML-powered FortiGuard Services.Simplified Operations with centralized management fornetworking and security, automation, deep analytics, and self-healing.IPS NGFW Threat Protection Interfaces1 Gbps800 Mbps600 MbpsMultiple GE RJ45 | WiFi variantsData SheetFortiOS EverywhereFortiOS, Fortinet’s Advanced Operating SystemFortiOS enables the convergence of high performing networking and security across the Fortinet Security Fabric. Because it can be deployed anywhere, it delivers consistent and context-aware security posture across network, endpoint, and multi-cloud environments.FortiOS powers all FortiGate deployments whether a physical or virtual device, as acontainer, or as a cloud service. This universal deployment model enables the consolidation of many technologies and use cases into organically built best-of-breed capabilities, unified operating system, and ultra-scalability. The solution allows organizations to protect all edges, simplify operations, and run their business without compromising performance or protection.FortiOS dramatically expands the Fortinet Security Fabric’s ability to deliver advanced AI/ML-powered services, inline advanced sandbox detection, integrated ZTNA enforcement, and more. It provides protection across hybrid deployment models for hardware, software, and Software-as-a-Service with SASE.FortiOS expands visibility and control, ensures the consistent deployment and enforcement of a simplified, single policy and management framework. Its security policies enable centralized management across large-scale networks with the following key attributes: •Interactive drill-down and topology viewers that display real-time status•On-click remediation that provides accurate and quick protection against threats and abuses •Unique threat score system correlates weighted threats with users to prioritize investigationsFortiConverter ServiceFortiConverter Service provides hassle-free migration to help organizations transition from a wide range of legacy firewalls to FortiGate Next-Generation Firewalls quickly and easily. The service eliminates errors and redundancy by employing best practices with advanced methodologies and automated processes. Organizations can accelerate their network protection with the latest FortiOS technology.Intuitive easy to use view into the network andendpoint vulnerabilitiesVisibility with FOS Application SignaturesAvailable inCloudHostedVirtualApplianceContainerFortiGuard ServicesFortiGuard AI-Powered SecurityFortiGuard’s rich suite of security services counter threats in real time using AI-powered, coordinated protection designed by FortiGuard Labs security threat researchers, engineers, and forensic specialists.Web SecurityAdvanced cloud-delivered URL, DNS (Domain Name System), and Video Filtering providing complete protection for phishing and other web born attacks while meeting compliance. Additionally, its dynamic inline CASB (Cloud Access Security Broker) service is focused on securing business SaaS data, while inline ZTNA traffic inspection and ZTNA posture check provide per-sessions access control to applications. It also integrates with the FortiClient Fabric Agent to extend protection to remote and mobile users.Content SecurityAdvanced content security technologies enable the detection and prevention of knownand unknown threats and file-based attack tactics in real-time. With capabilities like CPRL (Compact Pattern Recognition Language), AV, inline Sandbox, and lateral movement protection make it a complete solution to address ransomware, malware, and credential-based attacks.Device SecurityAdvanced security technologies are optimized to monitor and protect IT, IIoT, and OT (Operational Technology) devices against vulnerability and device-based attack tactics. Its validated near-real-time IPS intelligence detects, and blocks known and zero-day threats, provides deep visibility and control into ICS/OT/SCADA protocols, and provides automated discovery, segmentation, and pattern identification-based policies.Advanced Tools for SOC/NOCAdvanced NOC and SOC management tools attached to your NGFW provide simplified and faster time-to-activation.SOC-as-a-ServiceIncludes tier-one hunting and automation, log location, 24x7 SOC analyst experts, managed firewall and endpoint functions, and alert triage.Fabric Rating Security Best PracticesIncludes supply chain virtual patching, up-to-date risk and vulnerability data to deliver quicker business decisions, and remediation for data breach situations.Secure Any Edge at Any ScalePowered by Security Processing Unit (SPU)Traditional firewalls cannot protect against today’s content- and connection-based threats because they rely on off-the-shelf hardware and general-purpose CPUs, causing a dangerous performance gap. Fortinet’s custom SPU processors deliver the power you need—up to520Gbps—to detect emerging threats and block malicious content while ensuring your network security solution does not become a performance bottleneck.ASIC AdvantageSecure SD-WAN ASIC SOC4•Combines a RISC-based CPU with Fortinet’s proprietary Security Processing Unit (SPU) content and network processors for unmatched performance•Delivers industry’s fastest application identification and steering for efficient business operations•Accelerates IPsec VPN performance for best user experience on direct internet access •Enables best of breed NGFW Security and Deep SSL Inspection with high performance •Extends security to access layer to enable SD-Branch transformation with accelerated and integrated switch and access point connectivityFortiCare ServicesFortinet is dedicated to helping our customers succeed, and every year FortiCare Services help thousands of organizations get the most from our Fortinet Security Fabric solution. Our lifecycle portfolio offers Design, Deploy, Operate, Optimize, and Evolve services. Operate services offer device-level FortiCare Elite service with enhanced SLAs to meet our customer’s operational and availability needs. In addition, our customized account-level services provide rapid incident resolution and offer proactive care to maximize the security and performance of Fortinet deployments.Use CasesNext Generation Firewall (NGFW)•FortiGuard Labs’ suite of AI-powered Security Services—natively integrated with your NGFW—secures web, content, and devices and protects networks from ransomware and sophisticated cyberattacks•Real-time SSL inspection (including TLS 1.3) provides full visibility into users, devices, and applications across the attack surface•Fortinet’s patented SPU (Security Processing Unit) technology provides industry-leading high-performance protectionSecure SD-WAN•FortiGate WAN Edge powered by one OS and unified security and management framework and systems transforms and secures WANs•Delivers superior quality of experience and effective security posture for work-from-any where models, SD-Branch, and cloud-first WAN use cases•Achieve operational efficiencies at any scale through automation, deep analytics, and self-healingUniversal ZTNA•Control access to applications no matter where the user is and no matter where the application is hosted for universal application of access policies•Provide extensive authentications, checks, and enforce policy prior to granting application access - every time•Agent-based access with FortiClient or agentless access via proxy portal for guest or BYODHardwareFortiGate FortiWifi 40F SeriesHardware FeaturesInterfaces1. 1 x USB Port2. 1 x Console Port3. 1 x GE RJ45 WAN Port4. 1 x GE RJ45 FortiLink Port5.3 x GE RJ45 Ethernet PortsHardware FeaturesFortiGate FortiWifi 40F-3G4GInterfaces1. 1 x USB Port2. 1 x Console Port3. 1 x GE RJ45 WAN Port4. 1 x GE RJ45 FortiLink Port5. 3 x GE RJ45 Ethernet PortsCompact and Reliable Form FactorDesigned for small environments, you can place it on a desktop or wall-mount it. It is small, lightweight, yet highly reliable with a superior MTBF (Mean Time Between Failure), minimizing the chance of a network disruption.Access Layer SecurityFortiLink protocol enables you to converge security and the network access by integrating the FortiSwitch into the FortiGate as a logical extension of the NGFW. These FortiLink enabledports can be reconfigured as regular ports as needed.SpecificationsNote: All performance values are “up to” and vary depending on system configuration.1IPsec VPN performance test uses AES256-SHA256.2 IPS (Enterprise Mix), Application Control, NGFW and Threat Protection are measured with Logging enabled.3 SSL Inspection performance values use an average of HTTPS sessions of different cipher suites.4 NGFW performance is measured with Firewall, IPS and Application Control enabled. 5Threat Protection performance is measured with Firewall, IPS, Application Control andMalware Protection enabled.Interfaces and ModulesHardware Accelerated GE RJ45 WAN / DMZ Ports1111 Hardware Accelerated GE RJ45 Internal Ports3333 Hardware Accelerated GE RJ45 FortiLink Ports(Default)1111 Hardware Accelerated GE RJ45 PoE/+ Ports0000 Cellular Modem--3G4G LTE3G4G LTEWireless Interface0Single Radio(2.4GHz/5GHz) 802.11/a/b/g/n/ac-W20Single Radio(2.4GHz/5GHz), 802.11a/b/g/n/ac-W2Antenna Ports (SMA)0336 USB Ports1111 Console Port (RJ45)1111 SIM Slots (Nano SIM)0022 Onboard Storage0000 Included Transceivers0000 System Performance — Enterprise Traffic MixIPS Throughput 2 1 GbpsNGFW Throughput 2, 4800 MbpsThreat Protection Throughput 2, 5600 MbpsSystem Performance and CapacityIPv4 Firewall Throughput (1518 / 512 / 64 byte, UDP) 5 / 5 / 5 GbpsFirewall Latency (64 byte, UDP) 2.97 μsFirewall Throughput (Packet per Second)7.5 MppsConcurrent Sessions (TCP)700 000New Sessions/Second (TCP)35 000Firewall Policies5000IPsec VPN Throughput (512 byte) 1 4.4 GbpsGateway-to-Gateway IPsec VPN Tunnels 200Client-to-Gateway IPsec VPN Tunnels250SSL-VPN Throughput490 MbpsConcurrent SSL-VPN Users(Recommended Maximum, Tunnel Mode)200SSL Inspection Throughput (IPS, avg. HTTPS) 3310 MbpsSSL Inspection CPS (IPS, avg. HTTPS) 3320SSL Inspection Concurrent Session(IPS, avg. HTTPS) 355 000Application Control Throughput (HTTP 64K) 2990 MbpsCAPWAP Throughput (HTTP 64K) 3.5 GbpsVirtual Domains (Default / Maximum)10 / 10Maximum Number of FortiSwitches Supported8Maximum Number of FortiAPs (Total / Tunnel)16 / 8Maximum Number of FortiTokens500High Availability Configurations Active-Active, Active-Passive, ClusteringSpecificationsModem Model N/A Sierra Wireless EM7565(2 SIM Slots, Active/Passive)LTE Category N/A CAT-12LTE Bands N/A B1, B2, B3, B4, B5, B7, B8, B9, B12, B13, B18, B19, B20, B26, B28, B29,B30, B32, B41, B42, B43, B46, B48, B66UMTS/HSPA+N/A B1, B2, B4, B5, B6, B8, B9, B19WCDMA N/A-CDMA 1xRTT/EV-DO Rev A N/A-GSM/GPRS/EDGE N/A-Module Certifications N/A FCC, ICES, CE, RCM, VCCI, BSMI, UL/cUL, CB Diversity N/A YesMIMO N/A YesGNSS Bias N/A YesFortiGuard BundlesFortiGuard Labs delivers a number of security intelligence services to augment the FortiGate firewall platform.You can easily optimize the protection capabilities of your FortiGate with one of these FortiGuard Bundles.FortiCare EliteFortiCare Elite services offers enhanced service-level agreements (SLAs) and accelerated issue resolution. This advanced support offering provides access to a dedicated support team. Single-touch ticket handling by the expert technical team streamlines resolution. This option also provides Extended End-of-Engineering-Support (EoE’s) of 18 months for added flexibility and access to the new FortiCare Elite Portal. This intuitive portal provides a single unified view of device and security health.Fortinet CSR PolicyFortinet is committed to driving progress and sustainability for all through cybersecurity, with respect for human rights and ethical business practices, making possible a digital world you can always trust. You represent and warrant to Fortinet that you will not use Fortinet’s products and services to engage in, or support in any way, violations or abuses of human rights, including those involving illegal censorship, surveillance, detention, orexcessive use of force. Users of Fortinet products are required to comply with the Fortinet EULA and report any suspected violations of the EULA via the procedures outlined in the Fortinet Whistleblower Policy .SUBSCRIPTIONSService Category Service Offering A-la-carteBundlesEnterprise ProtectionUnified Threat ProtectionAdvanced ThreatProtectionSecurity ServicesFortiGuard IPS Service••••FortiGuard Anti-Malware Protection (AMP) — Antivirus, Mobile Malware, Botnet, CDR, Virus Outbreak Protection and FortiSandbox Cloud Service••••FortiGuard Web Security — URL and web content, Video and Secure DNS Filtering •••FortiGuard Anti-Spam••FortiGuard IoT Detection Service ••FortiGuard Industrial Security Service ••FortiCloud AI-based Inline Sandbox Service1•NOC ServicesFortiGate Cloud (SMB Logging + Cloud Management)•FortiGuard Security Fabric Rating and Compliance Monitoring Service ••FortiConverter Service••FortiGuard SD-WAN Underlay Bandwidth and Quality Monitoring Service•SOC ServicesFortiAnalyzer Cloud•FortiAnalyzer Cloud with SOCaaS •Hardware and Software SupportFortiCare Essentials •FortiCare Premium ••••FortiCare Elite•Base ServicesFortiGuard Application Control included with FortiCare SubscriptionFortiCloud ZTNA Inline CASB Service 1Internet Service (SaaS) DB Updates GeoIP DB UpdatesDevice/OS Detection Signatures Trusted Certificate DB Updates DDNS (v4/v6) Service1.Available when running FortiOS 7.2Ordering Informationcompatible FortiGate products, visit our Documentation website, AC Power Adaptor SP-FG-40F-PA-10(-XX)Pack of 10 AC power adaptors for FG/FWF-40F, come with interchangeable power plugs. (XX=various countries code). Wall Mount Kits SP-FG60F-MOUNT-20Pack of 20 wall mount kits for FG/FWF-40F series, FG/FWF-60F series, FG-80F, FG-81F and FG-80F-Bypass.[RC] = regional code: A, B, D, E, F, I, J, N, P, S, V, and Y Copyright © 2023 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, FortiCare and FortiGuard, and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.March 29, 2023FGFWF-40F-DAT-R29-20230329。

设置FortiGate网址过滤说明：本文档针对所有FortiGate设备的网址过滤配置进行说明。

FortiGate可以识别并过滤地址栏中的URL。

网址过滤是限制用户访问某类网站的有效方法之一。

环境介绍：本文使用FortiGate400A做演示。

本文支持的系统版本为FortiOS v3.0及更高。

步骤一：新建网址过滤列表在WEB过滤器----网址过滤中新建过滤列表步骤二：定义过滤的网址（简单）然后点击新建定义过滤网址网址：输入URL或IP地址输入顶级的URL或IP地址限制对该网站中所有网页的访问。

例如，输入或192.168.144.155将屏蔽对该网站中所有网页的访问。

将添加到过滤列表中，限制对所有以结尾的URL的访问。

例如，将添加到过滤列表中，将屏蔽对，， 等以结尾的网页的访类型：选择简单操作：允许：放行定义的网址并继续其他检查阻断：禁止定义的网址，不继续其他检查免屏蔽：放行定义网址，不继续其他检查（包括AV扫描）启动：勾选起用该过滤器步骤三：定义过滤的网址（正则表达式）该功能指在网址中可以识别正则表达式格式。

例如，example.*将于，， 等网页或网站相匹配。

** 如需定义阻断允许访问网站以外的其他所有网站，则需要在允许策略后跟随如下策略步骤四：配置保护内容表在防火墙----保护内容表----WEB过滤----WEB网址过滤中勾选HTTP和HTTPS注：HTTPS只支持简单类型的过滤网址(点击放大)在日志中勾选网址过滤(点击放大)步骤五：配置策略在防火墙----策略中编辑出网策略，选择上步中的保护内容表(点击放大)步骤六：察看日志在日志与报告---日志访问----内存----WEB过滤中察看过滤日志(点击放大)。

1.FortiGate-200Afortigate-200a设备包装盒中部件：1 fortigate-200a防火墙设备2 一根橙色以太网交叉线缆（fortinet 部件号：cc300248）3 一根灰色以太网普通线缆（fortinet 部件号：cc300249）4 一根rj-45到db-9串连线缆（fortinet 部件号：cc300302）5 两个19英寸大小的安装架6 一根电源线7 fortigate-200a设备快速启动指南册页8 fortinet技术手册cd一张图1：fortigate-200a设备部件安装fortigate-200a可以固定在标准的19英寸的机架上。

需要占据机架1u的垂直空间。

fortigate-200a 设备也可作为独立的器件放置在任何水平的表面。

表1：技术参数尺寸：16.8×10×1.75英尺（42×25.4×4.5厘米）重量：7.3磅（3.3千克）功率：最大功率：50w工作需求：ac输入电压：100至240vacac输入电流：1.6a频率：50至60hz工作温度：32至104华氏度（0至40度摄氏度）工作环境：放置温度：－13至158华氏度（－25至70摄氏度）湿度：5至95％（非冷凝）2.启动FortiGate设备1. 确定fortigate设备背面的电源开关是关闭的。

2. 将电源线与位于fortigate设备背面的电源接口连接。

3. 将电源线连接到电源插座。

4. 闭合电源开关。

数秒后， led 显示system staring(系统启动)。

系统启动后，led显示menu (主菜单)。

fortigate设备开始运行，led指示灯亮起。

fortigate设备启动过程中led状态指示灯闪烁并在设备启动后保持亮着状态。

表6：led显示关闭fortigate设备请在闭合电源开关之前，关掉fortigate操作系统，以免造成硬件损伤。