网御防火墙常用命令1101[可修改版ppt]

FortiGate防火墙常用配置命令（可编辑修改word版）FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加 ip 池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟 ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启 natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟 ip 映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把 internal 交换接口修改为路由口确保关于 internal 口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看 arp 表FortiGate # get system arp5、查看 arp 丰富信息FortiGate # diagnose ip arp list6、清楚 arp 缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或 FortiGate # diagnose sys session full- stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看 ospf 相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all1、查看 HA 状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum3.诊断命令：FortiGate # diagnose debug application ike -1execute 命令：FortiGate #execute ping 8.8.8.8 //常规 ping 操作FortiGate #execute ping-options source 192.168.1.200 //指定ping 数据包的源地址 192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入 ping 的目标地址，即可通过 192.168.1.200 的源地址执行 ping 操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行 telnet 访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

防⽕墙配置中必备的六个主要命令防⽕墙的基本功能，是通过六个命令来完成的。

⼀般情况下，除⾮有特殊的安全需求，这个六个命令基本上可以搞定防⽕墙的配置。

下⾯笔者就结合CISCO的防⽕墙，来谈谈防⽕墙的基本配置，希望能够给⼤家⼀点参考。

第⼀个命令：interfaceInterface是防⽕墙配置中最基本的命令之⼀，他主要的功能就是开启关闭接⼝、配置接⼝的速度、对接⼝进⾏命名等等。

在买来防⽕墙的时候，防⽕墙的各个端都都是关闭的，所以，防⽕墙买来后，若不进⾏任何的配置，防⽌在企业的⽹络上，则防⽕墙根本⽆法⼯作，⽽且，还会导致企业⽹络不同。

1、配置接⼝速度在防⽕墙中，配置接⼝速度的⽅法有两种，⼀种是⼿⼯配置，另外⼀种是⾃动配置。

⼿⼯配置就是需要⽤户⼿⼯的指定防⽕墙接⼝的通信速度;⽽⾃动配置的话，则是指防⽕墙接⼝会⾃动根据所连接的设备，来决定所需要的通信速度。

如：interface ethernet0 auto --为接⼝配置“⾃动设置连接速度”Interface ethernet2 100ful --为接⼝2⼿⼯指定连接速度，100MBIT/S。

这⾥，参数ethernet0或者etnernet2则表⽰防⽕墙的接⼝，⽽后⾯的参数表⽰具体的速度。

笔者建议在配置接⼝速度的时候，要注意两个问题。

⼀是若采⽤⼿⼯指定接⼝速度的话，则指定的速度必须跟他所连接的设备的速度相同，否则的话，会出现⼀些意外的错误。

如在防⽕墙上，若连接了⼀个交换机的话，则交换机的端⼝速度必须跟防⽕墙这⾥设置的速度相匹配。

⼆是虽然防⽕墙提供了⾃动设置接⼝速度的功能，不过，在实际⼯作中，作者还是不建议⼤家采⽤这个功能。

因为这个⾃动配置接⼝速度，会影响防⽕墙的性能。

⽽且，其有时候也会判断失误，给⽹络造成通信故障。

所以，在⼀般情况下，⽆论是笔者，还是思科的官⽅资料，都建议⼤家采⽤⼿⼯配置接⼝速度。

2、关闭与开启接⼝防⽕墙上有多个接⼝，为了安全起见，打开的接⼝不⽤的话，则需要及时的进⾏关闭。

网络防火墙是保障网络安全的重要工具，通过限制网络流量和实施访问控制，防火墙可以有效地阻止恶意攻击和未经授权的访问。

为了正确地管理和配置网络防火墙，掌握一些常用的管理命令和技巧是非常有必要的。

一、命令行界面管理网络防火墙通常提供命令行界面，使管理员能够通过输入命令来配置和管理防火墙。

对于Linux系统来说，常用的命令行工具是iptables。

通过iptables，管理员可以设置各种规则和策略，以控制网络流量的进出。

1. 查看当前的规则和策略：使用命令"iptables -L"可以列出当前的防火墙规则和策略。

这对于了解当前防火墙配置的状态非常有用。

管理员可以查看已经定义的规则、策略以及它们的顺序。

2. 添加新的规则：命令"iptables -A"用于添加一个新的规则到防火墙中。

管理员需要指定规则的类型（输入、输出或转发），以及规则所适用的源IP地址、目标IP地址和端口号等信息。

例如，"iptables -A INPUT -s/24 -p tcp --dport 22 -j ACCEPT"将允许从/24网络的主机访问防火墙上的SSH服务。

3. 删除已有的规则：使用命令"iptables -D"可以删除已经存在的规则。

管理员需要指定规则的类型和规则的编号。

例如，"iptables -D INPUT 2"将删除INPUT链上的第二条规则。

4. 保存和加载规则集：在对防火墙进行配置和修改后，管理员需要保存规则集，以便在系统重启后能够重新加载。

通过命令"iptables-save"可以将当前的规则集保存到文件中。

而通过命令"iptables-restore"可以从文件中加载规则集。

二、图形界面管理除了命令行界面，一些网络防火墙还提供了图形界面用于管理和配置。

这种类型的管理界面通常提供了可视化的操作，使得管理者可以更直观地配置和监视防火墙。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

防火墙配置常用命令firewall zone name userzone 创建一个安全区域，进一个已建立的安全区域视图时不需要用关键字。

set priority 60 设置优先级add interface GigabitEthernet0/0/1 把接口添加进区域dis zone [userzone]显示区域配置信息[FW]policy interzone trust untrust outbound[FW-policy-interzone-trust-untrust-outbound]policy 1firewall defend ip-sweep enablefirewall defend ip-sweep max-rate 1000firewall blacklist enable[SRG]firewall defend ip-sweep blacklist-timeout 20firewall mac-binding enable MAC地址绑定配置firewall mac-binding 202.169.168.2 00e0-fc00-0100[FW2]firewall zone untrust[FW2-zone-untrust]add interface g0/0/0[FW2]firewall packet-filter default permit interzone trust untrust[FW2]firewall packet-filter default permit interzone local untrustIPSec相关配置：先配置ACL：acl number 3000rule 5 permit ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.2551、配置安全提议，封闭使用隧道模式，ESP协议，ESP使用DES 加密算法，完整性验证使用SHA1算法。

第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。

3.2 日期时间防火墙系统时间旳精确性是非常重要旳。

可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。

3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。

防火墙名称旳最大长度是14个英文字符, 不能有空格。

默认旳防火墙名称是themis, 顾客可以自己修改这个名称。

动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。

动态域名旳设立在网络配备>>网络设备旳物理网络配备中。

图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。

图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。

检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。