Fortinet防火墙设备维护手册

第1章第2章2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章3.1 3.2

录

FORTINET 配置步骤配置步骤...... 2 FORTINET 防火墙日常操作和维护命令 (29)

防火墙配置......29 防火墙日常检查 (29)

防火墙的会话表：（系统管理－状态－会话）......29 检查防火墙的CPU、内存和网络的使用率......31 其他检查 (31)

异常处理……31 使用中技巧……32 FORTGATE 防火墙配置维护及升级步骤……

33 FORTIGATE 防火墙配置维护......33 FORTIGATE 防火墙版本升级 (33)

第1章Fortinet 配置步骤章

1.1.1.1 Fortigate 防火墙基本配置

Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理IP 地址，缺省的基本管理地址为P1 口192.168.1.99，P2 口192.168.100.99。但是由于P1 口和P2 口都是光纤接口，因此需要使用Console 口和命令行进行初始配置，为了配置方便起见，建议将P5 口配置一个管理地址，由于P5 口是铜缆以太端口，可以直接用笔记本和交叉线连接访问。之后通过https 方式登陆到防火墙Internal 接口，就可以访问到配置界面

1.

系统管理”菜单

1.1 “状态”子菜单1.1.1 “状态”界面

“状态”菜单显示防火墙设备当前的重要系统信息，包括系统的运行时间、版本号、OS 产品序列号、端口IP 地址和状态以及系统资源情况。如果CPU 或内存的占用率持续超过80%，则往往意味着有异常的网络流量（病毒或网络攻击）存在。 1.1.2 “会话”显示界面

Fortigate 是基于“状态检测”的防火墙，系统会保持所有的当前网络“会话”（sessions）。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的IP”和“源/目的端口”的过滤，可以了解更特定的会话信息。例如，下图是对源IP 为10.3.1.1 的会话的过滤显示

通过“过滤器”显示会话，常常有助于发现异常的网络流量。1.2 “网络”子菜单1.2.1 网络接口

如上图，“接口”显示了防火墙设备的所有物理接口和VLAN 接口（如果有的话），显示IP 地址、访问选项和接口状态。“访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如：对于“PORT1”，我们可以以“HTTPS，TELNET”访问，并且可以PING 这个端口。点击最右边的“编辑”图标，可以更改端口的配置。

如上图，“地址模式”有三类： a.如果使用静态IP 地址，选择“自定义”；b.如果由DHCP 服务器分配IP，选择“DHCP”；c.如果这个接口连接一个xDSL 设备，则选择“PPPoE”。在“管理访问”的选项中选择所希望的管理方式。最后点击OK，使配置生效。

“区”是指可以把多个接口放在一个区里，针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中，没有使用“区”。1.2.2 DNS

如上图，在这里配置防火墙本身使用的DNS 服务器，此DNS 与内部网络中PC 和SERVER 上指定的DNS 没有关系。

1.3 DHCP

如上图，所有的防火墙端口都会显示出来。端口可以1）不提供DHCP 服务；2）作为DHCP 服务器；3）提供DHCP 中继服务。在本例中，External 端口为所有的IPSEC VPN 拨

入客户提供DHCP 的中继，使得VPN 客户可以从内部网络的DHCP 服务器上取得动态分配的内网地址。下图是相关配置，其中10.3.1.1 是内部网络的DHCP 服务器。

1.4 配置1.4.1 时间设置如下图，本设置选项用来设置防火墙的系统时间，可以手工校正时间，也可以与NTP 服务器同步时间。请注意：在防火墙上线的时候选择正确的时区和校准时间很重要，这样将

来在读系统日志文件时，日志上显示的LOG 时间才是准确的。

1.4.2 选项

如上图，“超时设置”中的“超时控制”指如果LOGIN 的用户在设定的时间内没有任何操作，系统将自动将用户LOGOUT。例如：如果设置为5 分钟，如果在5 分钟内用户没有做操作，则用户需要再次LOGIN，继续进一步的操作。“授权超时”是指在设定的时间过去以后，用户的连接会被断开。用户如果需要继续操作，需要重新连接，这主要是为了安全性的考虑。

Fortigate 产品支持7 种语言，我们一般常用的是“简体中文”和“英文”。Fortigate300 或更高端的设备有LCD 面板，可以通过LCD 直接设置网络接口的地址。

为了安全性的考虑，可以在LCD 面板管理选项中设置密码（PIN 保护），以防止未授权的配置修改。Fortigate 设备支持多gateway 配置，可以在一条默认gateway 失效后起用备用gateway。防火墙使用PING 包的方式检测gateway 是否有效。

1.4.3 高可用性（HA）

Active-Passive 和Active-Active 两种。A-P 模式下主设备工作，从设备通过“心跳接口”同步主设备上的信息。一旦主设备出现故障，从设备立刻接替原来的主设备，保证网络服务不中断。A-A 模式下两台或多台设备是在负载均衡的状态下工作，一旦其中一台故障，其他的设备分担故障设备的网络负荷。本项目中使用了双机热备模式，工作在A-P 模式下。同一个“高可用”设备组的设备必须具有同样的：硬件型号、OS 版本、HA 模式、组ID 和HA 密码。“心跳接口”需要设置一个参考值，此接口用来同步HA 设备的信息，主要是配置变动的信息和网络流量的Sessions 表。防火墙的网络接口如果在“监测接口”上有数值，一旦这个接口故障（断线等），HA 组将进行主/从切换。

如上图，显示此HA 集群有2 台设备，在上边显示的是“主”设备，从“网络利用率”中也能分辨出来。1.4.4 管理员设置

如上图，系统默认的管理员帐号是“admin”，没有默认密码。管理帐号的权限在“访问内容表”中设定。点击右边“带锁”的图标可以增加或修改LOGIN 密码。

如上图，系统默认的“访问内容表”设定了调用此表的用户帐号的权限，若要修改特定权限，只须增加或去掉相应的“勾”即可。

如上图，编辑用户帐号，可以指定信任主机（只允许来自信任主机的用户使用此帐号LOGIN），如果信任主机是“0.0.0.0/0.0.0.0”，则允许任何源地址的主机用此帐号LOGIN。

2.

“路由”菜单

2.1 路由配置

2.1.1 静态路由

如上图，Fortigate 防火墙支持“透明模式（桥接）”和“路由/NAT”模式，在中石油项目使用的是路由模式。我们要在防火墙上设置静态路由。如本例中所示：默认路由0.0.0.0/0 指向ISP 的路由设备210.78.134.126；静态路由10.0.0.0/8 指向内网的路由器10.3.18.254。点击“新建”可以增加新的静态路由。Fortigate 防火墙也支持动态路由协议：RIP、RIP2、OSPF。

如上图，显示了防火墙上当前的所有路由条目。