FortiGate最常见配置

地址/端口控制
• 配置过程 • 实例 • 故障排除
配置过程
• 防火墙-->地址-->新建
– 输入自定义的地址名称 – 输入要控制的IP地址范围
• 防火墙-->服务-->定制
– – – – – – – 在名称中输入自定义的服务名称 在协议中选择协议类型 在源端口中输入要控制的源端口范围 在目的端口中输入要控制的目的端口范围 在组标签页中新建一个组 任取一个组的名称 在可用服务中选择要控制的服务名称并添加到成员中
– 建立从内网到WAN2的策略路由
• • • • • • 进入接口选择希望从WAN2出去的接口名称 源地址选/掩码填入希望从WAN2出去的地址段 目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可 目的端口填入希望从WAN2接口出去的服务端口范围或者不写 流出接口选择WAN2 网关地址填入公网网关，或使用0.0.0.0（ADSL）
• 系统管理-->路由-->静态（路由配置）
– 修改默认路由的网关为222.1.2.1 – 在设备中选择连接公网的接口
• 系统管理-->防火墙-->策略（策略配置）
– 系统默认已有一条没有任何限制的策略可用
外网接口参数配置:
表态路由配置:
策略配置:
故障排除
• • • • • 检查本地PC机的IP地址、掩码、网关、DNS设置是否正确 检查公网线路连接是否正确 检查防火墙的外网指示灯工作是否正常 检查防火墙内、外网络接参数设置是否正确 检查防火墙策略设置是否正确
• 防火墙-->策略-->新建
– – – – 源接口选择内网接口名称 源地址选择自定义的地址名称 目的地址选择ALL 其它参数由用户自行定义
实例
• 网络环境：
– 某公司内部有20台计算机 – 使用FG60实现宽带共享接入Internet – 财务部使用192.168.1-126的地址段
• 要求：禁止财务部上网浏览网页并禁止冲击波等病毒 使用的端口135
实例
策略配置:
故障排除
• 地址范围是否定义正确 • 协议类型选择是否正确 • 端口是否定义正确
• 是否将要控制的服务添加到组中
• 策略中的源地址和目的地址是否选择正确 • 策略中的服务是否选择正确 • 策略中的模式是否选择正确
备份与负载均衡
配置过程
备份与负载均衡
实例 故障排除
配置过程
• 接口配置（操作步骤见共享上网部分） • 若要对服务进行分流控制，则要在防火墙菜单中服务下面定制服务 • 若要针对内部网络的IP地址进行分流控制，则要在防火墙菜单中地址下面 定义地址段 • 策略配置
• 检查外网口是否已成功获得公网合法IP地址 • 检查本地PC机的IP地址、掩码、网关、DNS设置是否正确 • 检查策略设置是否正确
– 不能获得公网地址
• 检查线路连接是否正确 • 使用PC机直接连接公网线路进行测试
静态IP
• 配置过程 • 实例 • 故障排除
配置过程
• 系统管理-->网络-->接口
端口映射
实例 故障排除
配置过程
• 防火墙-->虚拟IP-->新建 • 填写名称（自定义） • 选择外部接口
故障排除
• 不能登录防火墙
– – – – 检查是否使用https登录 检查本地PC机的IP地址设置是否正确 检查是否能Ping通防火墙 必要时用Console线登录防火墙查看系统信息
• 不能上网
– 检查外网口是否已拨号成功 – 检查本地PC机的IP地址、掩码、网关、DNS设置是否正确
• 拨号不成功
• 添加策略
– 防火墙-->策略-->新建 – 添加从内网到WAN1的控制策略 – 添加从内网到WAN1的控制策略
实例
双WAN口的策略路由配置：
故障排除
• 默认路由是否正确
– – –
– – – – – – –
到两个外网口的默认路由是否都已建立 两个外网的网关是否都设置正确 注：如是ADSL拨号上网，则不需要建立静态路由
– 建立从内网到WAN2的策略
配置过程
• 策略路由配置
– 建立从内网到WAN1的策略路由
• • • • • • 进入接口选择希望从WAN1出去的接口名称 源地址选/掩码填入希望从WAN1出去的地址段 目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可 目的端口填入希望从WAN1接口出去的服务端口范围或者不写 流出接口选择WAN1 网关地址填入公网网关，或使用0.0.0.0（ADSL）
进入接口是否选择正确 源地址和掩码是否填写正确 流出接口是否选择正确 是否两条出口的策略都已建立 源接口和地址名称是否选择正确 目的接口和地址名称是否选择正确 NAT选项是否已启用
• 策略路由是否正确
• 策略控制是否正确
• 默认路由、策略路由与策略的配置是否一至 • 注：不具动态负载均衡
端口映射
配置过程
– 防火墙-->策略
• 选择新建进行新的策略编辑 • 保护内容表中选择QQ、MSN（在保护内容表中定义的名称） • 其它参数与共享上网的策略相同
控制QQ、MSN
QQ屏蔽配置:
控制QQ、MSN
• 故障排除
– IPS特征中的动作是否为丢弃 – 保护内容表中IPS特征是否为启用状态 – 策略中是否使用了正确的保护内容表 – 策略的优先位置是否调整正确
FortiGate培训讲义
2005.09.23
FortiGate培训讲义
共享上网
PPPoE
共享上网
DHCP
静态
PPPoE
• 配置过程 • 实例 • 故障排除
配置过程
• 登录防火墙
– 用双绞线将PC机的网卡与防火墙内网口连通 – 将本地PC的IP地址设置正确 – 防火墙的默认地址是192.168.1.99
• 配置：
– – 系统管理-->网络-->接口 外网接口参数配置
• 选择接口地址模式为PPPoE • 输入用户名和密码 • MTU设置为1492
–
内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
外网接口参数配置:
内网接口参数配置:
– 建立从内网到WAN1的策略
• • • •
• • • •
源接口选择希望从WAN1出去的接口 源地址名选择自定义的希望从WAN1出去的地址名称 目的接口选择WAN1，目的地址名选择ALL（所有） 其它选项同共享上网设置
源端口选择希望从WAN2出去的接口 源地址名选择自定义的希望从WAN2出去的地址名称 目的接口选择WAN2，目的地址名选择ALL（所有） 其它选项同共享上网设置
– 外网接口参数配置
• 选择接口地址模式为自定义 • 输入内网的IP地址和网络掩码
– 内网接口参数配置
• 选择接口地址模式为自定义 • 输入内网的IP地址和网络掩码
• 系统管理-->路由-->静态：修改默认路由的网关 • 系统管理-->防火墙-->策略：添加开放从内网到外网 的策略
实例
• 网络环境：
策略
过滤策略
控制QQ、MSN 地址/端口控制
控制QQ、MSN
• 配置过程
– 防火墙-->入侵检测系统-->特征
• 在IM下面选择QQ或MSN进行编辑 • 勾选启用选项 • 动作中选择丢弃
– 防火墙-->保护内容表
• 选择新建进行新保护内容表编辑 • 在内容表名称中输入QQ、MSN（可自定义） • 在入侵防护系统下勾选IPS特征的启用选项
实例
• 配置：
– 防火墙-->地址-->新建
• 在地址名称中输入CW（可自定义） • 在IP地址范围中输入192.168.1.[1-126]
– 防火墙-->服务-->定制
• 在名称中输入135(可自定义） • 在协议中选择TCP • 在源端口中使用默认值0-65535 • 在目的端口中输入135-139 • 在组标签页中新建一个组 • 组的名称中输入Test-Group
实例
财务地址段定义:
其他地址段定义:
实例
第一条默认路由:
第二条默认路由:
实例
配置：
• 添加策略路由
– – – – – – – 防火墙-->策略路由-->新建 进入接口中选择Internal 源地址/掩码中输入192.168.1.0/255.255.255.128 目的地址/掩码使用默认值0.0.0.0/0.0.0.0 流出接口选择WAN1 目的端口使用默认值0 按上述操作步骤再建一条源地址为192.168.1.128/25的策略路由 ，流出接口选择WAN2
– 宽带线路2：
• IP：192.168.10.147 • 掩码：255.255.255.0 • 网关：192.168.10.1
实例
• 要求：
– 财务部单独使用一条宽带线路，市场、技术等其他部门共同 使用另一条宽带线路，实现数据分流，以保证带宽利用
实例
配置：
• 接口配置（操作步骤见共享上网部分，只是要在配置时将PING服务器打开，并输 入一个有效的公网IP地址）
Internet接入。
配置： • 系统管理-->网络-->接口（接口参数配置）
– 外网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入222.1.2.3/255.255.255.0
– 内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
实例
配置：
• 定义要控制的地址段
– 防火墙-->地址-->新建 – 地址名称中输入自定义的名称（CW） – IP地址范围中输入192.168.1.[1-126] – 按上面操作步骤再建一个129-253的地址段（Other)
• 添加默认路由
– 防火墙-->策略路由-->新建 – 在目的IP中使用默认值0.0.0.0，网关中填写 192.168.253.1，设备选择WAN1 – 再建一条网关中填写192.168.10.1，设备选择WAN2
• 在可用服务中选择135和HTTP并添加到成员中
实例
地址配置:
端口定制:
Fra Baidu bibliotek
实例
定义组:
实例
– 防火墙-->策略-->新建
• 源接口选择内网接口名称 • 源地址选择自定义的地址名称CW • 目的接口选择连接宽带的外网接口名称 • 目的地址选择ALL • 服务选择自定义的服务组的名称Test-Group • 模式选择DENY • 其它参数使用默认值即可
– 策略的优先级别调整是否正确 – 源接口为内网端口LAN或Internal – 目的接口为WAN1或External，如有多WAN口请检查是否与实际连接线路的 接口对应 – 源地址、目的地址为ALL（默认定义为所有地址0.0.0.0） – 时间表为always（默认定义为任意时间段） – 服务为ANY（默认定义为所有服务） – 模式为ACCEPT（默认定义为允许通过） – NAT选项为启用状态 – 保护内容表的选项是否过于严格
– 检查线路连接是否正确 – 检查ADSL帐号是否正确 – 必要时使用PC机直接连接ADSL线路进行拨号
DHCP
• 配置过程
– – – – – 系统管理-->网络-->接口 选择接口的地址模式式为DHCP 选择从服务器中重新得到网关 设置内网接口IP地址 建立从内网到外网的策略
• 故障排除
– 不能上网
实例
• 网络环境：某公司内部共有40台计算机，并申请了两条有固定IP的宽带线
路 – – – – 市场部、技术部等使用192.168.1.129-254的地址段 财务部使用192.168.0.1-126的地址段 内部网络的掩码为255.255.255.0，网关为192.168.1.1 宽带线路1：
• IP：192.168.253.147 • 掩码：255.255.255.0 • 网关：192.168.253.1
– 某公司内网有30台计算机，使用192.168.1.x/24网段，网关为 192.168.1.1 – 宽带线路为固定IP的光纤接入
• IP地址：222.1.2.3
• 掩码：255.255.255.0 • 网关：222.1.2.1 • DNS：222.2.2.2
• 要求：内部的所有计算机共享宽带线路，通过FG防火墙实现
– 默认用户名是admin，密码为空
• 接口配置
– 系统管理-->网络-->接口 – 选择接口的地址模式为PPPoE – 配置用户名和密码 – 选择从服务器中重新得到网关 – 配置MTU为1492
实例
• 网络环境：某公司有20台计算机，现使用192.168.0.x/24网段，网
关为192.168.1.1，宽带线路为ADSL拨号。 • 要求：内部的所有计算机共享宽带线路，通过FG防火墙实现Internet 接入。