FortiGate最常见配置

设置FortiGate文件过滤器
说明：
本文档针对所有FortiGate设备文件过滤器配置进行说明。

文件过滤是病毒检查的一个子项，它可以根据文件的名称或类型过滤文件，是减少通过网络下载到病毒的方法之一。

更多：
环境介绍：
本文使用FortiGate400A做演示。

本文支持的系统版本为FortiOS v3.0及更高。

步骤一：新建过滤器
在病毒检查----文件过滤器中点击新建，创建一个过滤器
步骤二：定义过滤文件名称
写好名称后点击新建，定义文件名称或文件类型
文件名称模式：可以自定义要过滤的文件名称或文件名称的关键字，本例中*rar 表示过滤文件名（含后缀）中带有rar字样的文件。

模式：定义过滤的文件名如：*rar
操作：阻断则不允许该类文件通过，允许则放行该类文件
启动：勾选则启动过滤功能
步骤三：定义文件类型
文件类型：FortiGate预定义好的类型
文件类型：选择一个预定义的类型，FortiGate会察看文件内容去判断它的类型，而不是简单的根据文件后缀去判断。

操作：阻断则不允许该类文件通过，允许则放行该类文件
启动：勾选则启动过滤功能
定义好后可以看到过滤列表
步骤四：调用文件过滤器
在防火墙----保护内容表中点击编辑
在防病毒----文件过滤器中定义检查的协议如，HTTP；并选择定义好的文件过滤器
在日志中勾选阻断的文件
步骤五：应用策略
在防火墙----策略中编辑一条策略，启用保护内容表，并选择上一步中编辑好的保护内容表
更多：。

fortigate 简易设置手册一、更加语言设置：1、首先把PC的网卡IP修改成192.168.1.*的网段地址，在IE中输入：https://192.168.1.99进入设置界面，如下图：2、进入设置界面后，点击红框标注的位置（系统管理→状态→管理员设置），进入如下图：在红框标注的位置进行语言选择。

二、工作模式的设置：Fortigate防火墙可以工作在以下几种模式：路由/NAT模式、透明模式；要修改工作模式可在下图标注处进行更改，然后设置相应的IP地址和掩码等。

三、网络接口的设置：在系统管理→点击网络，就出现如下图所示，在下图所指的各个接口，您可以自已定义各个接口IP地址。

点击编辑按钮，进入如下图所示：在下图地址模式中，在LAN口上根据自已需要进行IP地址的设置，接着在管理访问中指定管理访问方式。

在WAN口上，如果是采用路由/NAT模式可有两种方式：1、采用静态IP的方式：如下图：在红框标注的地方，选中自定义，输入ISP商给你的IP地址、网关、掩码。

在管理访问的红框中，指定您要通过哪种方式进行远程管理。

如果你从ISP商获得多个IP的话，你可以在如下图中输入进去。

在如下图红框标注的地方，输入IP地址和掩码以及管理访问方式，点击ADD 即可。

注: 采用静态IP地址的方式，一定要加一条静态路由，否则就不能上网。

如下图：2、如采用ADSL拨号的方式，如下图：当你选中PPOE就会出现如下图所示的界面：在红框标注的地址模式中，输入ADSL用户和口令，同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。

在管理访问方式中根据自已的需要，选中相应的管理方式，对于MTU值一般情况下都采用默认值就行了.四、防火墙的设置：防火墙的设置，首先要规化地址和地址池，如下图：输入你要过滤和保护的地址和地址段。

点击上图标注处进入地址设置栏，首先从类型中选择你要的地址类型，然后根据所选的类型输入IP地址或地址段以及网络接口。

接着就是计划时间表和保护内容列表的设置，其中保护内容列表包括有病毒过滤、网址过滤、内容过滤、防入侵等。

设置FortiGate 阻断迅雷，QQ说明：本文档针对所有FortiGate设备阻断迅雷，QQ配置进行说明。

FortiOS4.0通过应用控制可以识别一千多种应用程序，并可以对其阻断。

应用控制通过IPS特征值识别应用程序。

通过应用控制管理员可以限制大部分非法流量，提高带宽利用率。

环境介绍：本文使用FortiGate400A做演示。

本文支持的系统版本为FortiOS v4.0。

步骤一：配置应用控制在UTM----应用控制中新建列表（点击放大）按下图中选择应用，动作为阻止，启用日志说明：目前所有的应用程序只支持英文名称第二个应用可以阻断迅雷使用BT、电驴、P2P下载如何选择应用程序：以qq为例，如果不知道它属于哪个分类只知道名称可以点击应用的下拉菜单，按键盘的“q”键，即可来到以q开头的应用名称，多次按“q”键即可向下查找，直到找到为止。

创建好列表后点击OK（点击放大）步骤二：配置保护内容表在防火墙----保护内容表中编辑相应的保护内容表，应用控制选择定义好的名称（点击放大）在日志中勾选记录应用控制（点击放大）步骤三：配置策略在防火墙----策略中编辑出网策略，选择定义好的保护内容表步骤四：察看日志在日志与报告----日志访问中选择应用控制，察看当前日志（点击放大）步骤五：说明应用控制对下列p2p软件支持限速：BitTorrent，eDonkey，Gnutella，KaZaa，WinNY应用控制对下列im软件支持阻止文件传输，阻止音频，检测非标准端口AIM，ICQ，MSN，Yahoo!设置FortiGate 静态路由和策略路由本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。

环境介绍：本文使用FortiGate400A做演示。

本文支持的系统版本为FortiOS v2.8及更高。

一，静态路由：不用动态路由协议，手工制定的路由条目路由表：路由表根据目的网段掩码和管理距离决定路由优先级。

FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加 ip 池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟 ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启 natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟 ip 映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把 internal 交换接口修改为路由口确保关于 internal 口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看 arp 表FortiGate # get system arp5、查看 arp 丰富信息FortiGate # diagnose ip arp list6、清楚 arp 缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或 FortiGate # diagnose sys session full- stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看 ospf 相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all1、查看 HA 状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum3.诊断命令：FortiGate # diagnose debug application ike -1execute 命令：FortiGate #execute ping 8.8.8.8 //常规 ping 操作FortiGate #execute ping-options source 192.168.1.200 //指定 ping 数据包的源地址 192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入 ping 的目标地址，即可通过 192.168.1.200 的源地址执行 ping 操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行 telnet 访问FortiGate #execute ssh 2.2.2.2 //进行 ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟ip映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令：FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令：FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址，即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息，详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。

fortiguard 服务订制包括：1、fortiguard 反病毒服务2、fortiguard 入侵防护（ips）服务3、fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括：1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。

（完整版）FortiGate防火墙常用配置命令FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟ip映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令：FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令：FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址，即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

fortigate使用手册FortiGate是一款功能强大的网络安全设备，可帮助企业保护其网络免受各种威胁和攻击。

本使用手册将引导您正确配置和使用FortiGate 设备，确保您的网络安全和数据的保护。

一、FortiGate设备简介FortiGate设备是一种集成了防火墙、入侵防御系统、虚拟专用网络等多种功能的网络安全设备。

它采用了先进的硬件和软件技术，能够提供高性能和可靠的安全解决方案。

FortiGate设备适用于各种规模的企业网络，从小型办公室到大型企业网络都可以使用。

二、FortiGate设备的安装与配置1. 设备安装在开始配置FortiGate设备之前，您需要确保设备已经正确安装在网络中。

将设备适配器插入电源插座，并将设备与网络交换机或路由器连接。

确保设备的电源和网络连接正常。

2. 监听设备在配置FortiGate设备之前，您需要确保您的计算机与设备处于同一网络中。

通过打开浏览器，在浏览器地址栏中输入设备的IP地址，如果一切正常，您将能够访问到设备的管理界面。

3. 初始配置初次登录设备管理界面时，您需要按照设备提供的引导进行初始配置。

设置管理员账户和密码，并进行基本网络设置，如IP地址、子网掩码、网关等。

此步骤将确保您能够正常访问设备并进行后续配置。

三、FortiGate设备的基本配置1. 接口配置FortiGate设备具有多个接口，用于与网络连接。

您需要为每个接口分配一个合适的IP地址，以确保设备能够与其他网络设备正常通信。

2. 防火墙策略配置防火墙策略是FortiGate设备的核心功能之一，它用于控制流经设备的网络流量。

您可以根据需求配置访问控制规则，允许或阻止特定的流量。

确保您的防火墙策略满足安全需求，并允许合法的网络通信。

3. 安全服务配置FortiGate设备提供了多种安全服务选项，如入侵防御系统、反病毒、反垃圾邮件等。

您可以根据需要启用这些服务，增强网络的安全性和保护能力。

四、FortiGate设备的高级配置1. 虚拟专用网络（VPN）配置FortiGate设备支持VPN功能，可实现安全的远程访问和分支之间的安全通信。

FortiGate飞塔防火墙简明配置指南说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。

防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin，密码为空登陆到web管理页面后默认的语言为英文，可以改为中文在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使用选择com1，设置如下图输入回车即可连接，如没有显示则断电重启防火墙即可连接后会提示login，输入帐号、密码进入防火墙查看接口IP：show system interface配置接口IP：config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二：配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal，IP，192.168.1.1 访问方式，https ping http telnet本例中外网接口是wan1，IP，192.168.100.1访问方式，https ping步骤三：配置路由在路由----静态中写一条出网路由，本例中网关是192.168.100.254步骤四：配置策略在防火墙----策略中写一条出网策略，即internal到wan1并勾选NAT即可。

Fortigate防火墙安全配置规范Fortigate防火墙安全配置规范1.概述1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。

为了提高Fortigate防火墙的安全性而提出的。

1.2. 范围本标准适用于XXXX使用的Fortigate 60防火墙的整体安全配置，针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置2.1. 配置设备名称制定一个全网统一的名称规范，以便管理。

2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。

如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。

2.3. 设置Admin口令缺省情况下，admin的口令为空，需要设置一个口令。

密码长度不少于8个字符，且密码复杂。

2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。

需要设置口令，只允许管理员修改。

密码长度不少于8个字符，且密码复杂。

2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。

用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。

单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。

2.6. 设备管理权限设置为每个设备接口设置访问权限，如下表所示：接口名称允许的访问方式Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线，不提供管理方式Port5 （保留）Port6 （保留）且只允许内网的可信主机管理Fortinet设备。

2.7. 管理会话超时管理会话空闲超时不要太长，缺省5分钟是合适的。

2.8. SNMP设置设置SNMP Community值和TrapHost的IP。

华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。

作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3，进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品，是利用一种新的体系结构方法研发的，具有无与伦比的价格/性能比；是完全的、所有层网络安全和内容控制的产品。

经过一些安全行业深受尊重的安全专家多年的研究开发，FortiGate解决方案突破了网络的“内容处理障碍”。

提供了在网络边界所有安全威胁类型（包括病毒和其它基于内容的攻击）的广泛保护。

并且具备空前的消除误用和滥用文字的能力，管理带宽和减少设备与管理的费用。

常规的安全系统，像防火墙和VPN 网关在防止称为网络层攻击是有效的，它通过检查包头信息来保证来自信任源合法请求的安全。

但在现今，绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击，例如病毒和蠕虫。

在这些更多诡辩的攻击中，有害的内容常常深入到包内容，通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。

同样的，有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本，并且需要除了网络层实时信息，还有分解和分析应用层内容（例如文件和指令）的能力。

然而，在现今的网络速度下，完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。

结果，使用常规解决方案的机构面临着“内容处理障碍”，这就迫使他们在桌面和服务器上加强内容服务的配置。

3．3 配置相关防火墙策略需要同时配置相关的防火墙策略来允许从内网分别到两个不同的出网口，例如，出口是WAN1和WAN2，内网是Internal，那么需要同时配置Internal->WAN1和Internal->WAN2的出网防火墙策略以保证无论是WAN1还是WAN2启用防火墙策略都是合理的。

如果觉得这样配置的防火墙策略数量太多了的话，有另一个变通的方法就是可以新建一个防火墙区域，同时把WAN1和WAN2这两个接口包含起来比如说名字是WAN，那么这样只需要设置从Internal->WAN的防火墙策略就可以了。

4．情况二，双链路没有链路备份功能但具有负载均衡功能在网络出口连通性可以保证的前提下或者无须线路热备份时或者出口用途不是完全一样的时候，可以配置FortiGate为这种模式工作，这种情况下配置如下两个步骤：4．1 路由可以配置一条默认的出网路由。

同时配置相关的策略路由以设置某些符合指定条件的数据流从另一个出口出去。

4．2 防火墙策略和情况一类似，需要配置相关的防火墙策略以允许相关的数据流可以正常的通过防火墙。

5．情况三，双链路同时具有链路备份和负载均衡功能就是在两个出口都正常工作的情况下FortiGate可以把从内网出去的数据流按照特定的算法分流到两个不同的出口；当其中的某一个出口失效的时候，FortiGate又可以保证让所有的数据流可以从正常工作的出口出网。

这样一来，就同时达到了链路热备份和负载均衡的功能。

具体的配置步骤如下：5．1 路由如果是静态路由的话可以把出网路由的管理距离配置成相等的，也就是等价路由。

如果是ADSL、DHCP等动态获取的网关的话可以把“从服务器中重新得到网关”选中同时动态获取的路由的管理距离配置成一样的就可以了。

在默认路由已经配置完成的情况下，如果仍然有某些特定的数据流需要从指定的出口出网的话，可以使用策略路由功能来完成这样的需求。

策略路由的优先级高于动态和静态路由，而且是按照从上到下的次序来匹配的，也就是说当策略路由里面有多条交叉定义的路由存在时，哪条路由在最上面哪条路由就将被执行。

Fortinet飞塔产品的配置说明文档200aFortinet飞塔产品的配置说明文档如何重发布特定的路由如下配置可以实现的功能是：只把静态路由里面是192.168.0.0/16重发布OSPF 里面，其它的所有静态路由不发布到OSPF。

以下所有命令只能在CLI下面配置，不能在GUI配置。

步骤一：新建一个access-list：config router access-listedit "static2ospf"config ruleedit 1set prefix 192.168.0.0 255.255.0.0set exact-match disablenextendnextend步骤二：新建一个route-map：config router route-mapedit "static2ospf"config ruleedit 1set match-ip-address "static2ospf"nextendnextend步骤三：配置动态路由协议并在重发布相关路由选项里面只重发布静态路由并引用上面定义的route-map：config router ospfset abr-type ciscoconfig areaedit 0.0.0.0nextendset default-metric 1config networkedit 1set prefix 172.16.0.0 255.255.0.0nextendconfig redistribute "connected"endconfig redistribute "static"set status enableset routemap "static2ospf"endconfig redistribute "rip"endconfig redistribute "bgp"endset restart-mode graceful-restartset router-id 172.16.1.1end设置FortiGate 静态路由和策略路由本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。

FortiGate飞塔防火墙简明配置指南说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。

防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin，密码为空登陆到web管理页面后默认的语言为英文，可以改为中文在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使用选择com1，设置如下图输入回车即可连接，如没有显示则断电重启防火墙即可连接后会提示login，输入帐号、密码进入防火墙查看接口IP：show system interface配置接口IP：config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二：配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal，IP，192.168.1.1 访问方式，https ping http telnet本例中外网接口是wan1，IP，192.168.100.1访问方式，https ping步骤三：配置路由在路由----静态中写一条出网路由，本例中网关是192.168.100.254步骤四：配置策略在防火墙----策略中写一条出网策略，即internal到wan1并勾选NAT即可。

FortiClient配置说明FortiClient IPSEC VPN 配置说明 (3)飞塔如何配置SSL VPN (7)1．1 SSL VPN功能介绍 (7)1．2 典型拓扑结构如下 (7)1．3 SSL VPN⽀持的认证协议有： (8)1．4 SSL VPN 和IPSEC VPN⽐较 (8)2．Web模式配置 (8)2．1启⽤SSL VPN (9)2．2新建SSL VPN⽤户 (9)2．3 新建SSL VPN⽤户组 (9)2．4 建⽴SSL VPN策略 (10)2．5 如何设置防⽕墙默认的SSL VPN登陆端⼝，具体如下： (10)2．6 登陆SSL VPN Web模式后的界⾯如下： (11)3．隧道模式配置 (11)3．1 修改SSL VPN设置 (12)3．2 修改SSL VPN⽤户组 (12)3．3 配置相关的隧道模式SSL VPN防⽕墙策略 (12)3．4 配置相关的隧道模式SSL VPN的静态路由 (13)3．5 如何在客户端启⽤SSL VPN隧道模式 (14)3．5．1 从外⽹通过https://防⽕墙外⽹⼝地址:10443 登陆到防⽕墙Web模式的SSL VPN⼊⼝，进⼊到SSL VPN Web模式界⾯下⾯，如下图显⽰： (14)3．5．2 点击左上⾓的“激活SSL-VPN通道模式”，如下图显⽰： (14)3．5．3 SSL VPN隧道启动前后客户端系统路由表的变化 (15)3．6 关于隧道模式的SSL VPN的通道分割功能 (16)3．6．1 通道分割模式启动后客户端路由表的变化 (16)3．6．2 通道分割功能下⾯可以基于⽤户组的IP地址分配功能 (17)4．SSL VPN客户端 (18)4．1 Windows下⾯的SSL VPN客户端 (18)4．2 Linux/Mac下⾯的SSL VPN客户端 (19)5．FortiGate 4.0新功能介绍 (20)5．1 新的FortiGate 4.0防⽕墙SSL VPN登陆界⾯设置 (20)5．1．1 ⼤体上的界⾯配置如下： (20)5．1．2 如何配置Web模式登陆界⾯的风格和布局模式（Theme and Layout） (21)5．1．3 配置Widget (22)5．1．4 如何配置SSL VPN 的Web模式应⽤程序控制 (22)5．1．5 SSL VPN界⾯配置⾥⾯的⾼级选项 (22)6．其他关于SSL VPN的功能 (25)6．1 SSL VPN⽤户监控 (25)6．2 ⽤户认证超时和通讯超时时间 (25)6．3 常⽤的SSL VPN诊断命令 (25)怎么通过TFTP刷新飞塔OS (25)飞塔CLI命令⾏概述 (27)飞塔如何升级防⽕墙硬件？ (29)最快速恢复飞塔管理员密码 (30)FortiGate⾃定义IPS阻断迅雷HTTP下载 (30)飞塔如何启⽤AV,IPS功能及⽇志记录功能？ (33)塔设备⼊门基础 (37)飞塔重要资料集中录 (40)飞塔如何使⽤CLI通过TFTP升级Fortigate防⽕墙系统⽂件 (42)飞塔IP和MAC地址绑定⽅法⼆ (43)飞塔MSN、BT屏蔽⽅法（V3.0） (44)飞塔基于时间的策略控制实例 (46)飞塔如何配置SSL的VPN(3.0版本) (48)如何升级飞塔（FortiGate）防⽕墙软件版本 (51)如何升级飞塔（FortiGate）防⽕墙软件版本 (53)飞塔（FortiGate）防⽕墙只开放特定浏览⽹站 (54)飞塔（FortiGate）如何封MSN QQ P2P (60)在飞塔（FortiGate）上使⽤花⽣壳的动态域名功能 (71)飞塔FortiGate端⼝映射 (74)飞塔FortiGate IPSec VPN 动态路由设置步骤 (76)飞塔（Fortinet）SSL VPN 隧道模式使⽤说明 (88)FortiClient IPSEC VPN 配置说明本⽂档针对IPsec VPN 中的Remote VPN 进⾏说明，即远程⽤户使⽤PC中的FortiClient软件，通过VPN拨号的⽅式连接到公司总部FortiGate设备，访问公司内部服务器。