飞塔防火墙组策略操作设定说明书

fortigate 简易设置手册

一、更加语言设置：

1、首先把PC的网卡IP修改成192.168.1.*的网段地址，在IE中输入：

https://192.168.1.99进入设置界面，如下图：

2、进入设置界面后，点击红框标注的位置（系统管理→状态→管理员设置），

进入如下图：在红框标注的位置进行语言选择。

二、工作模式的设置：

Fortigate防火墙可以工作在以下几种模式：路由/NAT模式、透明模式；

要修改工作模式可在下图标注处进行更改，然后设置相应的IP地址和掩码等。

三、网络接口的设置：

在系统管理→点击网络，就出现如下图所示，在下图所指的各个接口，您可以自已定义各个接口IP地址。

点击编辑按钮，进入如下图所示：

在下图地址模式中，在LAN口上根据自已需要进行IP地址的设置，接着在管理访问中指定管理访问方式。

在WAN口上，如果是采用路由/NAT模式可有两种方式：

1、采用静态IP的方式：如下图：

在红框标注的地方，选中自定义，输入ISP商给你的IP地址、网关、掩码。

在管理访问的红框中，指定您要通过哪种方式进行远程管理。

如果你从ISP商获得多个IP的话，你可以在如下图中输入进去。

在如下图红框标注的地方，输入IP地址和掩码以及管理访问方式，点击ADD 即可。

注: 采用静态IP地址的方式，一定要加一条静态路由，否则就不能上网。如下图：

2、如采用ADSL拨号的方式，如下图：

当你选中PPOE就会出现如下图所示的界面：

在红框标注的地址模式中，输入ADSL用户和口令，同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。

手把手学配置FortiGate设备FortiGate Cookbook

FortiOS 4.0 MR3

目录

介绍 (1)

有关本书中使用的IP地址 (3)

关于FortiGate设备 (3)

管理界面 (5)

基于Web的管理器 (5)

CLI 命令行界面管理 (5)

FortiExplorer (6)

FortiGate产品注册 (6)

更多信息 (7)

飞塔知识库（Knowledge Base） (7)

培训 (7)

技术文档 (7)

客户服务与技术支持 (8)

FortiGate新设备的安装与初始化 (9)

将运行于NAT/路由模式的FortiGate设备连接到互联网 (10)

面临的问题 (10)

解决方法 (11)

结果 (13)

一步完成私有网络到互联网的连接 (14)

面临的问题 (14)

解决方法 (15)

结果 (16)

如果这样的配置运行不通怎么办？ (17)

使用FortiGate配置向导一步完成更改内网地址 (20)

面临的问题 (20)

解决方法 (20)

结果 (22)

NAT/路由模式安装的故障诊断与排除 (23)

面临的问题 (23)

解决方法 (23)

不更改网络配置部署FortiGate设备（透明模式） (26)

解决方法 (27)

结果 (30)

透明模式安装的故障诊断与排除 (31)

面临的问题 (31)

解决方法 (32)

当前固件版本验证与升级 (36)

面临的问题 (36)

解决方法 (36)

结果 (39)

FortiGuard服务连接及故障诊断与排除 (41)

面临的问题 (41)

解决方法 (42)

在FortiGate设备中建立管理帐户 (48)

fortigate防火墙怎么样设置

fortigate防火墙的设置好坏，会影响到我们电脑的安全，那么要怎么样去设置呢?下面由店铺给你做出详细的fortigate防火墙设置方法介绍!希望对你有帮助!

fortigate防火墙设置方法一：

近期经常有群友和坛友反映将FortiOS升级到4.0 MR2后经常出现资源利用率很高的情况，大家可以参考下面的一些建议;

1，FortiGate设备应该有足够的资源应对攻击资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的。

2，只开启用得着的管理服务如果不用SSH或SNMP，就不要启用,避免开放可用的端口.。

3，将用得最多或最重要的防火墙策略尽量靠前防火墙策略是至上而下执行的。

4，只开启那些必要的流量日志流量日志会降低系统性能。

5，只开启那些必须的应用层协议检查应用层检查对系统性能是敏感的。

6，最小化发送系统告警信息如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。7，AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。

8，精简保护内容表数量。

9，删除不必要的保护内容表。

10，精简虚拟域数量删除不必要的虚拟域低端设备最好不要用虚拟域。

11，如果性能显示不足就避免启用流量整形流量整形将降低流量处理性能

如何优化防火墙内存使用率

1，尽量不启用内存日志

2，尽量不启用不必要的AV扫描协议

3，减小扫描病毒文件的上限值，大多数带病毒的文件文件都小于

2、3M

4，删除不用的DHCP服务

<br>

<br>

<br>

<br>

<br>

<br>

<br>

<br>

<br>

<br>

FIPS 140-2 Security Policy

FortiGate-100D/200D/300D/500D

FortiGate-100D/200D/300D/500D FIPS 140-2 Non-Proprietary Security Policy Documents FIPS 140-2 Level 2 Security Policy issues, compliancy and requirements for FortiGate-200D (C4KV72)

FortiGate-300D (C1AB49)

FortiGate-100D/200D/300D/500D FIPS 140-2 Security Policy

01-525-297558-20151027

Copyright© 2016 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., in the U.S. and other jurisdictions, and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. In no event does Fortinet make any commitment related to future deliverables, features or development, and circumstances may change such that any forward-looking statements herein are not accurate. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.

1、虚拟域（VDOMS）----虚拟防火墙

配置：

（1）首先web 登陆防火墙（真机https://+ip，虚拟机http://+ip），虚拟机用户名：admin，密码：没（空的）。

登陆到管理面板找到虚拟域，默认禁用，点击启用为启动。

（2）然后启动虚拟域后，虚拟重新登陆，用户名和密码不变。

点开VDOM 界面，上面可以新建一个虚拟域（就是新的虚拟防火墙）。

防火墙名和模式，NAT为3层，透明为2层。

3、

在左手边系统菜单下面有当前VDOM角色，有全局和VDOM可以选。

2、VDOM 启用后，点击全局配置模式---------网络----接口，可以把接口分配给不

同的虚拟域

（1）全局点开接口后，选择着需要更改虚拟域的接口，选择上方编辑

（2）点开端口编辑，能配置端口IP和相应管理协议

还可以设置端口监控，web 代理、分片等。附加IP地址就是例如一个公

网24位的地址，运营商给了10个可以用IP：10.10.10.1 -10

地址模式上填写：10.10.10.1 ，剩余10.10.10.2-10就可以通过附加IP地

址填写。

3、除了对现有接口进行编辑，也能新建接口，新建接口后能选择接口类型，（根

据深信服上端口配置，均为3层口，这次配置具体端口是什么类型，需要客户确认）

其余配置和编辑端口时一样。

4、需要对虚拟防火墙进行路由、策略配置需要寻找当前VDOM角色：

静态路由配置，配置完静态路由后，能点开当前路由查看路由表：

5、防火墙object 虚地址（为外网访问内网服务器做的端口转换）

6、policy 这边所做的就是NAT 和其他放通的策略。

FortiGate飞塔防火墙简明配置指南

说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙

连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping

把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99

防火墙的出厂帐户为admin，密码为空

登陆到web管理页面后默认的语言为英文，可以改为中文

在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP

连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头

超级终端设置：所有程序----附件----通讯----超级终端

连接时使用选择com1，设置如下图

输入回车即可连接，如没有显示则断电重启防火墙即可

连接后会提示login，输入帐号、密码进入防火墙

查看接口IP：show system interface