飞塔防火墙日常维护与操作

纳智捷汽车生活馆

IT主管日常操作指导

目录

一、设备维护 (02)

二、网络设备密码重置步骤 (20)

三、飞塔限速设置 (05)

四、飞塔SSLVPN设置及应用 (07)

五、服务需求 (15)

六、安装调试流程 (16)

七、备机服务流程 (17)

八、安装及测试 (18)

九、注意事项 (19)

一、设备维护

1、登录防火墙

内网登录防火墙，可在浏览器中https://172.31.X.254 或 https://192.168.X.254（注：登录地址中的X代表当前生活馆的X值），从外网登录可输当前生活馆的WAN1口的外网IP 地址（例如：https://117.40.91.123）进入界面输入用户名密码即可对防火墙进行管理和配置。

2、登录交换机

从内网登录交换机，在浏览器输入交换机的管理地址即可。

http://172.31.X.253\252\251\250

（注：同样登录地址中的X代表当前生活馆的X值）

3、登录无线AP

从内网登录无线AP，在浏览器输入无线AP的管理地址即可。

员工区http://172.31.X.241

客户区 http://192.168.X.241

（注：同样登录地址中的X代表当前生活馆的X值）

二、网络设备密码重置步骤

2.1 防火墙Fortigate-80C重置密码

1，连上串口并配置好；

2，给设备加电启动；

3，启动完30秒内从串口登陆系统，用户名为：maintainer；

4，密码：bcpb＋序列号（区分大小写）；注意:有些序列号之间有-字符,需要输入.如序列号为FGT-100XXXXXXX,则密码为bcpbFGT-100XXXXXXX.不然无法登陆.

5，在命令行下执行如下系列命令重新配置“admin”的密码：

config system admin

edit admin

set password “需要配置的新密码“

end

6，可以用新密码从Web界面登陆系统了。具体命令行如下图设置：

2.2交换机DES-3028密码重置步骤

1，连上串口并配置好；

2，给设备加电启动；

3，当界面出现第二个100%时，立即按住shift + 6,然后出现一下界面

4，按任意键，转入下一个命令行界面

5，根据上图操作，最后重启设备；交换机所有配置恢复为出厂设置。

2.3无线DWP-2360恢复出厂默认设置方法

找到设备网线接口LAN口旁有个reset按钮，长按5-10秒后，设备重新启动后恢复到出厂默认值。

三、飞塔限速设置

3.1：首先点击进入流量整形器

点击”Per-IP”（针对策略中每个IP的流量设置）

上图点击”创建新的”

3.2：新建Per-IP的流量整形对象

可以针对调用策略中的每个IP做下行限速，如上图

最大带宽：调用策略中的每个IP最大下行带宽为100K

同时可以限制每个IP的最大并发连接数，这里可以根据实际需求进行设置。

3.3：设置流量整形器中”共享的”对象

点击”共享的”（针对单条策略中所有的IP或者所有调用流量整形对象策略中的所有IP）

上图点击”创建新的”

3.4：新建共享的流量整形对象

根据上图可以看到，新建共享的流量整形器可以是针对每条策略的调用设置，也可以是针对所有使用这个流量控制器的策略。

可以根据需求设置最大带宽和保证带宽（预留带宽）

流量优先级：当所有策略中所有带宽分配大于实际带宽，调用流量优先级高的策略得到保证。

3.5：下图是在策略中对流量整形器对象的调用示例

四、飞塔SSLVPN设置及应用

4.1: SSLVPN设置

4.1.1：进入防火墙web页面，新建准备分配给SSLVPN拨号用户的IP地址范围；如下图：SSLVPN地址组，IP范围是172.16.0.1-172.16.0.10

4.1.2：下图为新建SSLVPN地址组具体设置界面

4.1.3：进入虚拟专网中的SSL选项—设置；

首先勾选”启用SSL-VPN”，IP池选择刚才建立的SSLVPN地址组

4.1.4：然后进入SSL--界面；

针对默认的full-access界面进行编辑

4.1.5：进入full-access编辑界面，如下图点击红色标注选项，针对”Tunnel Mode”进行编辑；

4.1.6：在Tunnel Mode界面下，首先IP池”编辑”，选择之前建立的SSLVPN地址组，勾选”通道分割”；然后点击”确定”。（如不勾选”通道分割”，SSLVPN用户连接到防火墙，将无法上网）

4.1.7：返回到full access界面，点选下图中的Apply，再点击OK，将提示保存成功的对话框。点击确定。

4.1.8：SSLVPN界面设置完成，我们需要新建SSLVPN用户；进入设置用户，选择”创建新的”;

4.1.9:添加新用户如下，设置用户名和密码；

如需要新建多个用户，则重复以上步骤

4.1.10：然后新建用户组，选择用户组界面，”创建新的”用户组;

4.1.11:进入用户组编辑界面；

设置名称，勾选”允许SSL-VPN接入”，下拉列表选择之前编辑的full access

然后把刚才新建的用户添加到已选成员列表中；如下图：

（如果有多个用户则选择多个用户到已选成员列表）

4.1.12：以上步骤设置完成，我们需要新建SSLVPN用户访问策略；总共三条策略

第一条策略首先新建一条允许由WAN1访问内部VLAN172接口的策略，源地址all，目的地址172网段，动作必须选择SSLVPN，然后点击”添加”选择刚才建立好的用户组，如刚才的sslgroup;