fortigate防火墙配置 PPT
FortiGate防火墙产品培训
NAT/Route Mode
Port1 10.11.101.1
59.108.29.182
Wan Port2 192.168.1.1
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
Fortinet Confidential
FortiGate透明模式
●所有接口都在同一广播域,通过二层MAC地址转发处理流量,易于部署,不需要改变原来的网络 结构。不支持PPTP、L2TP、SSL、GRE VPN,支持IPSec VPN
59.108.29.1
Transparent Mode
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24 Fortinet Confidential
FortiGate防火墙产品培训
Fortinet Confidential
内容和时间安排
第一天 产品介绍 FortiGate配置 . FortiGate系统管理 . 路由 . 防火墙功能 . UTM功能 . VPN
Fortinet Confidential
第二天 FortiGate配置 . 用户管理 . 终端控制 . WAN优化 . 无线控制器 . 日志与报告 . HA配置和管理 部署运行维护建议 故障排错 第三天 实验测试
; 配置
系统管理-物理网络接口1
Fortinet Confidential
系统管理-物理网络接口2
Fortinet Confidential
系统管理- Vlan接口
Fortinet Confidential
系统管理- 802.3ad汇聚接口1
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范1.概述1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。
为了提高Fortigate防火墙的安全性而提出的。
1.2. 范围本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置2.1. 配置设备名称制定一个全网统一的名称规范,以便管理。
2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。
如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。
2.3. 设置Admin口令缺省情况下,admin的口令为空,需要设置一个口令。
密码长度不少于8个字符,且密码复杂。
2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。
需要设置口令,只允许管理员修改。
密码长度不少于8个字符,且密码复杂。
2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。
用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。
单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。
2.6. 设备管理权限设置为每个设备接口设置访问权限,如下表所示:接口名称允许的访问方式Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式Port5 (保留)Port6 (保留)且只允许内网的可信主机管理Fortinet设备。
2.7. 管理会话超时管理会话空闲超时不要太长,缺省5分钟是合适的。
2.8. SNMP设置设置SNMP Community值和TrapHost的IP。
FortiGate防火墙 路由与透明模式精品PPT课件
如何实现链路负载均衡(1)
• 建立两个缺省路由,子网掩码、路径长度和priority都保持一致, 如下
如何实现链路负载均衡(2)
• 设置两条链路对应的防火墙策略
设置策略路由
• 其路由判断是根据以 下因素判断的:
▪ 协议号 ▪ 流入接口 ▪ 源地址和目标地址 ▪ 目标端口
策略路由的特点
• 建立在静态路由和直连路由的基础上的 • 通畅不需要指定网关 • 不能在图形界面的路由监控和命令行下的路由表中显示出来 (diagnose
谢谢大家
荣幸这一路,与你同行
It'S An Honor To Walk With You All The Way
演讲人:XXXXXX 时 间:XX年XX月XX日
启动透明模式
比较透明模式与路由模式的区别
• 没有路由功能 • 不能支持SSL VPN、
PPTP和L2TP • 不能支持接口模式的
VPN
实验
0/0 192.168.11.254 10 Internet
0/0 192.168.3.254 10 CERNET
映射地址为 192.168.11.2x
192.168.11.1/24
ip route list) • 发源于防火墙的流量不能使用策略路由 • 按照顺序执行
什么是Loopback接口以及如何创建
• 主要用途:
▪ 可用于GRE通道和IPSec通道的端点 ▪ 用于 OSPF, BGP 和RIP的Router IDset type loopback)
路由与透明模式
Course 201 v4.0
支持的路由类型
设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包转 发到一个特殊目的地的所需的信息
fortinet飞塔防火墙配置
Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。
更多fortinet产品信息,详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。
fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。
fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。
fortiguard 服务订制包括:1、fortiguard 反病毒服务2、 fortiguard 入侵防护(ips)服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。
FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。
forticlient的功能包括:1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。
FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。
fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。
在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。
fortinet防火墙完全配置01-产品介绍与实验拓扑
config system interface edit port1 set vdom "root" set ip 172.20.110.251 255.255.255.0
branch
table
parameter
熟悉命令行(2)——根命令
• Show system interface • Get system interface • Get system interface wan1 • Show sys dhcp server internal-dhcp-server • Get system dhcp server internal-dhcp-server • Show sys dns • Get sys dns 注意比较Show和Get之间的区别
•
中继DHCP请求到远程的DHCP服务器
初始设置——配置静态路由
• 缺省网关 用于访问公网,FortiGate访问FortiGuard和DNS servers
•
基于(1-255)
同一目标的多条路由可以并存,但是只有一条是优先的
熟悉命令行(1)——结构
•
试用以下辅助选项 config ? con[tab] 返回上一次命令 向上箭头或者CTRL-P 返回下一个命令 向下箭头或者CTRL-N 返回一行的头部 CTRL-A 返回一行的尾部 CTRL-E 回退一个字符 CTRL-B 前进一个字符 CTRL-F 删除当前的字符 CTRL-D 取消命令和退出 CTRL-C
Server Network
WAN1 DHCP获得 DMZ 192.168.3.(100+X) 192.168.3.0 /24
fortigate防火墙配置ppt课件
Internal 2 192.168.1.0/24
FortiGate透明模式
Transparent
59.108.29.1
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24
6
Internal 2 192.168.1.0/24
数据包处理流程
7
NP数据包处理流程
32
防火墙-流量整形器
33
防火墙-策略
34
防火墙-策略的顺序
35
▪ IPS特征匹配 ▪ IPSEC SSL/TLS协议处理器 ▪ IKE ▪ 认证模块SHA2界面与配置
FortiGate路由模式
59.108.29.182
NAT/Route
Port1 10.11.101.1
Wan
Port2 192.168.1.1
Internal 1 10.11.101.0/24
Passive 工作 不工作 不工作
Static 不工作 不工作 建议使用
14
查看链路聚合工作状态
ha-a-981 # diagnose netlink aggregate name linkaggregate LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D) (A|P) - LACP mode is Active or Passive (S|F) - LACP speed is Slow or Fast (A|I) - Aggregatable or Individual (I|O) - Port In sync or Out of sync (E|D) - Frame collection is Enabled or Disabled (E|D) - Frame distribution is Enabled or Disabled
FortiGate最常见配置
• 配置:
– – 系统管理-->网络-->接口 外网接口参数配置
• 选择接口地址模式为PPPoE • 输入用户名和密码 • MTU设置为1492
–
内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
外网接口参数配置:
内网接口参数配置:
实例
策略配置:
故障排除
• 地址范围是否定义正确 • 协议类型选择是否正确 • 端口是否定义正确
• 是否将要控制的服务添加到组中
• 策略中的源地址和目的地址是否选择正确 • 策略中的服务是否选择正确 • 策略中的模式是否选择正确
备份与负载均衡
配置过程
备份与负载均衡
实例 故障排除
配置过程
• 接口配置(操作步骤见共享上网部分) • 若要对服务进行分流控制,则要在防火墙菜单中服务下面定制服务 • 若要针对内部网络的IP地址进行分流控制,则要在防火墙菜单中地址下面 定义地址段 • 策略配置
– 宽带线路2:
• IP:192.168.10.147 • 掩码:255.255.255.0 • 网关:192.168.10.1
实例
• 要求:
– 财务部单独使用一条宽带线路,市场、技术等其他部门共同 使用另一条宽带线路,实现数据分流,以保证带宽利用
实例
配置:
• 接口配置(操作步骤见共享上网部分,只是要在配置时将PING服务器打开,并输 入一个有效的公网IP地址)
FortiGate培训讲义
2005.09.23
FortiGate培训讲义
共享上网
PPPoE
共享上网
DHCP
静态
Fortigate防火墙简单配置指导
华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3,进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品,是利用一种新的体系结构方法研发的,具有无与伦比的价格/性能比;是完全的、所有层网络安全和内容控制的产品。
经过一些安全行业深受尊重的安全专家多年的研究开发,FortiGate解决方案突破了网络的“内容处理障碍”。
提供了在网络边界所有安全威胁类型(包括病毒和其它基于内容的攻击)的广泛保护。
并且具备空前的消除误用和滥用文字的能力,管理带宽和减少设备与管理的费用。
常规的安全系统,像防火墙和VPN 网关在防止称为网络层攻击是有效的,它通过检查包头信息来保证来自信任源合法请求的安全。
但在现今,绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击,例如病毒和蠕虫。
在这些更多诡辩的攻击中,有害的内容常常深入到包内容,通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。
同样的,有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本,并且需要除了网络层实时信息,还有分解和分析应用层内容(例如文件和指令)的能力。
然而,在现今的网络速度下,完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。
结果,使用常规解决方案的机构面临着“内容处理障碍”,这就迫使他们在桌面和服务器上加强内容服务的配置。
飞塔 防火墙详解与配置
简单、高效、安全 FortiGate-110C 在一台单一的设备中集成了防火墙、IPSec&SSL VPN、入侵防御、防病毒、防恶意软件、防垃圾邮件、 P2P 安全及 Web 过滤,可识别多种安全威胁,为中小型企业和分支办公室提供完美的安全解决方案。FortiGate-110C 安装快捷,可自动下载并按时升级过滤库,保护企业不会受到最新病毒、网络漏洞、蠕虫、垃圾邮件、网络钓鱼及 恶意站点的侵害。内置专利的 FortiASIC 加速技术,FortiGate-110C 可提供业界领先的性能,10 个接口可为日益增长的 网络的扩展性提供保证。
Fortinet ASIC 技术益处 FortiASIC 是 Fortinet 独有的硬件技术的基础。FortiASIC 是特定的软件、高性能网络及内容处理器的综合, 它通过使用一个智能的、专利技术的内容扫描引擎 和多种算法来加速需要密集型计算的安全服务。 FortiASIC 为企业和运营商级的 UTM 服务提供必要的 性能。再加上 FortiOS 安全加固操作系统,FortiASIC 可提供终极的性能和安全。
特征
益处
硬件加速
八个可配置内置交 换接口和双千兆 WAN 接口 自动升级
FortiASIC 加速检测确保不会出现性 能瓶颈
网络分区配置更加灵活,不再需 要额外的交换机产品,提升网络 的扩展性和实用性
不需要管理员的干预即可实现不 间断的特征库更新
统一安全架构
单一设备中的多种威胁保护提高 了安全性,降低了部署成本
标准FortiCare支持服务 包括以下服务内容:
1 年的硬件保修 90 天的 FortiCare Web 技术支持 90 天的软件升级 售后支持指南请参阅 /support/reg-guide.html
飞塔防火墙透明模式配置ppt课件
MAC地址转发表 2
查看转发表存在的forward-domain数量及id 查看转发表与各接口的对应关系
11
Tagged与untagged
4
Trunk与forwarddomain 1
switch1
Vlan 102 Vlan 103
intern Port3
extern Vlan 102
Port4
Vlan 103
switch2
通过系统管理--网络中新建vlan 接口,及定义vlan id。配置完 成后需要在cli中声明forwaddomain。
防火墙接口下可创建多个VLAN接口,所有的VLAN接口都依附在物理接口之下。 从物理接口流出的数据包为untagged数据包(红色标记)。 从Vlan接口流出的数据包为tagged数据包(绿色标记)。
Untagged 数据包流经防火墙必须配置策略允许从相关的物理端口进出
12
透明模式 配置
启用透明模式
系统默认运行模式为NAT,在 状态面板中系统信息可以更改 为透明模式
更改为透明模式后,输入管理 地址与网关用于管理防火墙
2
CDP与VTP穿越 1
CDP/VTP数据包
switch
Port1
CDP/VTP数据包
LACP
switch
3
CDP与VTP穿越 2
switch1 cdp 表 switch2 cdp 表
6
Trunk与forwarddomain 3
防火墙抓取数据包后可以看到Vlan的原始信息,及使用fgt2eth转换的数据信息
飞塔防火墙的路由与透明模式要点课件
设置FortiGate设备的路由是指设置提供给FortiGate设备将数据包 转发到一个特殊目的地的所需的信息
• 静态
▪ 静态路由 ▪ 直连网络 ▪ 缺省路由
• 动态
▪ RIP ▪ OSPF ▪ BGP
• 策略路由
网关检测
• 使用“ping server” (GUI) 或者 “detect server” (CLI)
密码字段中输入密码(密码最大可以设置为35个字符)。FortiGate设 备与RIP更新路由器必须配置相同的密码。密码通过网络以文本格式 发送 选择MD5即使用MD5验证来往的RIP更新。
设置接口不广播路由信息。如要接口对RIP请求作出反应,撤消该设置。
OSPF
• OSPF(OSPF: open shortest path first)是一种链路状态协议, 最常用于异构网络中在相同的自主域(AS: automonous system) 中共享路由信息。 FortiGate设备支持OSPF版本2(参见 RFC2328)。
• 一个OSPF自主域(AS: automonous system)是由边界路由器 链接的分割为不同逻辑区域组成的系统。一个区域由一组同构 网络构成。一个区域边界路由器通过一个或多个区域链接到 OSPF主干网络(区域ID为0)。
定义自治域
• 进入“路由>动态路由>OSPF”。 • 在“区域”项下,点击“新建”。 • 定义一个或多个OSPF区域特征。 • 在“网络”项下,点击“新建”。 • 建立所定义的区域与属于OSPF自
• 用ICMP ping来检测某 主机是否能够抵达来判 断所指定的接口是否工 作
• ICMP ping 间歇和阈值 都是可以配置的
路由的判断过程(一)
飞塔防火墙策略课件
绑定的外部接口
外部的IP地址 内部的IP地址
端口映射
外部IP端口 内部服务器端口
映射服务器——设置服务器的负载均衡
选择使用服务器 负载均衡
外部的IP 分配流量的方式 外部的IP端口
内部的服务器列 表
映射服务器——添加允许访问服务器的策 略
• 策略是从外向内建立的 • 目标地址是服务器映射的
虚拟IP
如何设置防火墙认证——用户组
用户组名称 类别设为防火墙 保护内容表与用
户组绑定 设置组成员
如何设置防火墙认证——用户认证子策略
• 启用基于用户的子策略 • 可以针对不同的用户组使用不同的
▪ 时间表 ▪ 服务 ▪ 保护内述
• 所有启用用户认证的防火墙策略将成为“基于用户认证的策 略”
如何设置源地址转换
• 缺省情况下,端口地址翻译为外部接口IP地址
.10
.20
.30
Internal Network 172.16.20.0 /24
.1
204.50.168.90
Internet
Original source IP: 172.16.20.20
Source IP received by Internet server: 204.50.168.90
将应用层的安全附加在防火墙策略上—— 保护内容表
AV IM P2P URL
IPS AV
IPS AV AS VPN
Internet
Internet Client
Internal Network
Internet Server
DMZ
保护内容表 – 说明
• 可以进行更细粒度的应 用层的内容检测技术
• 防火墙> 保护内容表
FortiGate飞塔防火墙 简明配置指南
FortiGate飞塔防火墙简明配置指南说明:本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。
要求:FortiGate® 网络安全平台,支持的系统版本为FortiOS v3.0及更高。
步骤一:访问防火墙连线:通过PC与防火墙直连需要交叉线(internal接口可以用直通线),也可用直通线经过交换机与防火墙连接。
防火墙出厂接口配置:Internal或port1:192.168.1.99/24,访问方式:https、ping把PC的IP设为同一网段后(例192.168.1.10/24),即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin,密码为空登陆到web管理页面后默认的语言为英文,可以改为中文在system----admin----settings中,将Idle TimeOut(超时时间)改为480分钟,Language 为simplified chinses (简体中文)。
如果连不上防火墙或不知道接口IP,可以通过console访问,并配置IP连线:PC的com1(九针口)与防火墙的console(RJ45)通过console线连接,有些型号的防火墙console是九针口,这时需要console转RJ45的转接头超级终端设置:所有程序----附件----通讯----超级终端连接时使用选择com1,设置如下图输入回车即可连接,如没有显示则断电重启防火墙即可连接后会提示login,输入帐号、密码进入防火墙查看接口IP:show system interface配置接口IP:config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二:配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal,IP,192.168.1.1 访问方式,https ping http telnet本例中外网接口是wan1,IP,192.168.100.1访问方式,https ping步骤三:配置路由在路由----静态中写一条出网路由,本例中网关是192.168.100.254步骤四:配置策略在防火墙----策略中写一条出网策略,即internal到wan1并勾选NAT即可。
fortigate02防火墙策略课件
end
虚拟IP的ARP广播
服务器负载均衡——新建虚拟服务器
虚拟服务器支持的
多种分配方式
多种分配方式
• First Alive 根据健康检查状况,永远把流量转向第
一个保持存活的服务器 • Last RTT 根据健康检查的ping获得的RTT来判断
将流量传到哪台服务器
• Last Session 按照权重来分配会话,比如分别设置两
个服务器的权重为2和10,则会话按 照2:10的方式来分配
AMC 诊断工具
• Diagnose
SSL内容扫描与监测
两种模式可以选 • URL Filtering (URL过滤) • to limit HTTPS content filtering to URL filtering • only. Select this option if all you wan t to do is apply URL web • filtering to HTTPS traffic. If you select this option you cannot • select any Anti-Virus options for HTTPS. Under Web Filtering • you can select only Web URL Filter and Block Invalid URLs • for HTTPS. Selecting this option also limits the FortiGuard • Web Filtering options that you can select for HTTPS. • Deep Scan (深度扫描) • to decrypt HTTPS • traffic and perform additional scanning of the content of the • HTTPS traffic. Select this option if you want to apply all • applicable protection pro to HTTPS traffic. Using • this option requires adding HTTPS server certificates to the • FortiGate unit so that HTTPS traffic can be unencrypted.
FortiGate500防火墙配置案例
华为技术安全服务FortiGate500防火墙配置指导华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
作者信息修订记录目录1、FortiGate500的基本配置步骤 (4)1.1防火墙加电,进入web配置 (4)1.2区域的配置 (4)1.3配置外口默认网关 (5)1.4配置路由 (5)1.5配置虚拟外网IP (5)1.6配置动态池 (6)1.7配置策略地址组 (6)1.8配置端口服务 (7)1.9组合服务 (7)1.10将组合服务关联到映射IP (8)1.11完成其它需求 (10)2、配置中需要特别注意的几个问题: (11)Fortigate500防火墙配置指导FortiGate500防火墙是美国飞塔公司的一款高性能防火墙,它可以使用CLI配置界面,也具有完整的WEB管理。
下面我们以WEB管理配置防火墙为例讲述甘肃移动的配置步骤。
1、FortiGate500的基本配置步骤1.1防火墙加电,进入web配置将便携机配置固定IP:172.1.1.2/24,然后利用交叉网线连接至Fortigate500的Port1口,在IE地址栏输入:https://172.1.1.1即进入web配置。
缺省用户名为admin,缺省密码为空。
1.2区域的配置左边窗口选择“system->network”,然后在右边窗口选择“interface”,点击“internal”行的最右边标记,进入修改页面,其操作界面如下:输入IP:192.168.40.25 Mask:255.255.255.248 允许https,ping,ssh,snmp访问。
点击“external”行的最右边标记,进入修改页面,输入IP:211.139.84.2 Mask:255.255.255.240 允许ssh访问点击“dmz”行的最右边标记,进入修改页面,输入IP:192.168.40.58 Mask:255.255.255.248 允许ssh,访问1.3配置外口默认网关在左边窗口选择“system->network”,右边窗口选择“routing gateway”,出现如下配置页面。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FMC模块内部专有处理器
• FortiASIC NP4 lite网络处理器芯片
• 接口级的数据加速服务 • 低延迟, 百万NAT级会话线速性能
» IPSec ESP 加解密处理 » IPS异常检测,数据包重组 » 约NP4一半的性能
• FortiASIC CP8 安全处理器芯片
» 多核多线程安全处理 » 提供FortiASIC NP4以外的功能服务
• IPS特征匹配 • IPSEC SSL/TLS协议处理器 • IKE • 认证模块SHA256/SHA1/MD5
防火墙界面与配置
FortiGate路由模式
59.108.29.182
NAT/Route
Port1 10.11.101.1
系统管理-访问内容表
系统管理-管理员设置1
系统管理-管理员设置2
系统管理-固件升级
路由-静态路由
路由-策略路由
路由-当前路由表
防火墙-地址
防火墙-地址组
防火墙-预定义与定制
防火墙-服务组
防火墙-时间表
防火墙-流量整形器
防火墙-策略
防火墙-策略的顺序
感谢您的聆听!
系统管理-冗余接口1
系统管理-冗余接口2
Router 1
Router 2
Router 1
主接口失效后, 冗余接口中的其 他接口将激活
Router 2
正常情况,只有 冗余接口的主接 口处于工作状态。
主接口失效后, 冗余接口2开始 工作。
系统管理-区Zone
系统管理- DHCP服务器
系统管理- FortiGate选项
Active 建议使用
工作 不工作
Passive 工作 不工作 不工作
Static 不工作 不工作 建议使用
查看链路聚合工作状态
ha-a-981 # diagnose netlink aggregate name linkaggregate LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D) (A|P) - LACP mode is Active or Passive (S|F) - LACP speed is Slow or Fast (A|I) - Aggregatable or Individual (I|O) - Port In sync or Out of sync (E|D) - Frame collection is Enabled or Disabled (E|D) - Frame distribution is Enabled or Disabled
Wan
Port2 192.168.1.1
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
FortiGate透明模式
Transparent
59.108.29.1
Port1
Wan Port2
59.108.29.184
Internal 1 10.11.101.0/24
Internal 2 192.168.1.0/24
数据包处理流程
NP数据包处理流程
系统管理-网络接口
系统管理-物理网络接口1Vlan接口
系统管理- 802.3ad汇聚接口1
系统管理- 802.3ad汇聚接口2
802.3ad 两端设定使用状态
Active Passive Static