fortigate 简易设置手册

fortigate 简易设置手册

一、更加语言设置：

1、首先把PC的网卡IP修改成192.168.1.*的网段地址，在IE中输入：

https://192.168.1.99进入设置界面，如下图：

2、进入设置界面后，点击红框标注的位置（系统管理→状态→管理员设置），

进入如下图：在红框标注的位置进行语言选择。

二、工作模式的设置：

Fortigate防火墙可以工作在以下几种模式：路由/NAT模式、透明模式；

要修改工作模式可在下图标注处进行更改，然后设置相应的IP地址和掩码等。

三、网络接口的设置：

在系统管理→点击网络，就出现如下图所示，在下图所指的各个接口，您可以自已定义各个接口IP地址。

点击编辑按钮，进入如下图所示：

在下图地址模式中，在LAN口上根据自已需要进行IP地址的设置，接着在管理访问中指定管理访问方式。

在WAN口上，如果是采用路由/NAT模式可有两种方式：

1、采用静态IP的方式：如下图：

在红框标注的地方，选中自定义，输入ISP商给你的IP地址、网关、掩码。

在管理访问的红框中，指定您要通过哪种方式进行远程管理。

如果你从ISP商获得多个IP的话，你可以在如下图中输入进去。

在如下图红框标注的地方，输入IP地址和掩码以及管理访问方式，点击ADD 即可。

注: 采用静态IP地址的方式，一定要加一条静态路由，否则就不能上网。如下图：

2、如采用ADSL拨号的方式，如下图：

当你选中PPOE就会出现如下图所示的界面：

在红框标注的地址模式中，输入ADSL用户和口令，同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。

在管理访问方式中根据自已的需要，选中相应的管理方式，对于MTU值一般情况下都采用默认值就行了.

四、防火墙的设置：

防火墙的设置，首先要规化地址和地址池，如下图：输入你要过滤和保护的地址和地址段。

点击上图标注处进入地址设置栏，首先从类型中选择你要的地址类型，然后根据所选的类型输入IP地址或地址段以及网络接口。

接着就是计划时间表和保护内容列表的设置，其中保护内容列表包括有病毒过滤、网址过滤、内容过滤、防入侵等。如下图：

最后，就是进行防火墙策略的设置，在这里根据用户的具体需求来量身打造。

需要注意：不管上网还是内网访问，以及VPN连接都需要创建相应的策略，对于VPN策略,并且还要让策略优先执行。如下图所示：

在做防火墙策略时，FG默认是全部拒绝，所以想通过FG防火墙共享上网，必须要做从内到外策略，如果你是把WEB服务器发布到公网上，想外网用户通过INTERNET来访问和浏览网页，你必须要做从外网到内网的策略。

创建策略,首先点击防火墙→策略,就会出现如下图所示和界面:

首先你要根据情况选择策略类型（从内到外或从外到内），点击‘create new‘,出现如下图所示：选中启动策略，在源和目地选中我们定义的在地址，同时选中时间表、服务、模式以及在内容保护列表选择我们定义的内容，然后确定即可。

五、端口转发

FG 防火墙虚拟IP功能提供三种服务：

静态NAT：这是个一对一的关系，既，一个外部地址对应一个内部地址，而这个外部地址必须是在地址池中，且必须是当前没有在用的。如果你防火墙只有一个公网IP，此项服务将不能应用。

端口转发：是指把外部网络发往防火墙外部接口上的某个端口上的数据，全部转发到内部网络中某个IP 上，这个IP 的接收端口可以和转发端口一样，也可以不一样，以实现内部网络某项服务可以向外网发布或提供。这篇文档所要描述的就是这个内容。

动态端口转发：跟端口转发类似，只是不指定外部IP 地址，让防火选择任意外部IP进行转发。当防火墙是动态IP的时候，可以选择此项服务。

注意：虚拟IP 最多只能设置1024个。

现在假设，我内部有一台WEB 服务器，在不使用DMZ 的情况下，需要向外部网络发布。我的外部网络是：192.168.22.0/24,内部网络是：192.168.1.0/24,并且指定防火墙外网IP为192.168.22.17/24，所以只能选择端口转发。（出于安全的考虑，跟据权限最小化原则，在不是特别情况下，请尽量使用端口转发）下面就是这个操作的过程：

1、进入“防火墙虚拟IP新建”，所填内容如下图所示：

注意：

1、名称可随意写，主要是为管理方便起到标识做用。

本处因为是要对外发布WEB服务，所以，用“WEB”来标识。外部接口选择外网接入的接口既可。

2、当需要使用动态端口转发时，在外部IP 地址处输入：0.0.0.0

3、因为防火墙的管理端口目前还不能更改，所以在启用80 端口进行转发的时候，请一定关闭或不要开启防火墙的HTTP 的管理端口，如下图：

2、进入“防火墙→策略→新建”，新建一条从外到内的策略，如下图：

2、验证设置是否正确，从外网访问http://192.168.22.17,如图：

至此，设置已全部完成，如果还需要开放其他端口，设置方法一样。注意，FG 端口转发目前不能连续开放一系列端口，既是说，您如果要在同一IP 上开放多个端口，那么只能一个个加上相关虚拟IP 端口转发和相关对应的策略。如果开放的实在多，那么建意还是使用DMZ，并通过在策略里面选择相应的服务组来一次性开放。

四、IP MAC 绑定设置：

IP/MAC绑定可以保护FG 设备和企业网络不受IP欺骗的攻击，这样可以有效的保护企业内部网络恶意者为了超越权限上网或对FG 设备的设置进行更改而任意改变自己电脑IP的问题。FG IP/MAC 有DHCP 自动分配和手动两种方式，而DHCP 分配目前只支持50 对的绑定。

现在假设，我们只充许内部网络中绑定了IP/MAC地址的电脑上网和访问FG 设备。下面我们就这两种方式来分别进行配置。

1、 DHCP方式（FG 50B不支持WEB界面下IP/MAC的绑定，只支持CLI下IP/MAC绑定）

1．1 在接口上启用DHCP服务。进入“系统管理→DHCP→服务”选择接口点击“修改”图标，如下图：

注：我们是想在内部网络中使用IP/MAC 绑定，所以选择“internal”点击红色箭头所指图标。