FortiGate 防火墙常用配置命令
fortigate 简易设置手册
fortigate 简易设置手册一、更加语言设置:1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入:https://192.168.1.99进入设置界面,如下图:2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置),进入如下图:在红框标注的位置进行语言选择。
二、工作模式的设置:Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式;要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。
三、网络接口的设置:在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。
点击编辑按钮,进入如下图所示:在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式:1、采用静态IP的方式:如下图:在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。
在管理访问的红框中,指定您要通过哪种方式进行远程管理。
如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。
在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。
如下图:2、如采用ADSL拨号的方式,如下图:当你选中PPOE就会出现如下图所示的界面:在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。
在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.四、防火墙的设置:防火墙的设置,首先要规化地址和地址池,如下图:输入你要过滤和保护的地址和地址段。
点击上图标注处进入地址设置栏,首先从类型中选择你要的地址类型,然后根据所选的类型输入IP地址或地址段以及网络接口。
接着就是计划时间表和保护内容列表的设置,其中保护内容列表包括有病毒过滤、网址过滤、内容过滤、防入侵等。
fortigate防火墙怎么样设置
fortigate防火墙怎么样设置fortigate防火墙的设置好坏,会影响到我们电脑的安全,那么要怎么样去设置呢?下面由店铺给你做出详细的fortigate防火墙设置方法介绍!希望对你有帮助!fortigate防火墙设置方法一:近期经常有群友和坛友反映将FortiOS升级到4.0 MR2后经常出现资源利用率很高的情况,大家可以参考下面的一些建议;1,FortiGate设备应该有足够的资源应对攻击资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的。
2,只开启用得着的管理服务如果不用SSH或SNMP,就不要启用,避免开放可用的端口.。
3,将用得最多或最重要的防火墙策略尽量靠前防火墙策略是至上而下执行的。
4,只开启那些必要的流量日志流量日志会降低系统性能。
5,只开启那些必须的应用层协议检查应用层检查对系统性能是敏感的。
6,最小化发送系统告警信息如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。
7,AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。
8,精简保护内容表数量。
9,删除不必要的保护内容表。
10,精简虚拟域数量删除不必要的虚拟域低端设备最好不要用虚拟域。
11,如果性能显示不足就避免启用流量整形流量整形将降低流量处理性能如何优化防火墙内存使用率1,尽量不启用内存日志2,尽量不启用不必要的AV扫描协议3,减小扫描病毒文件的上限值,大多数带病毒的文件文件都小于2、3M4,删除不用的DHCP服务5,取消不用的DNS转发服务6,如IPS不需要,执行命令节省内存 Diag ips global all status disable7,改变session的ttl值set default 300 [conf sys session-ttl]set tcp-halfclose-timer 30 [config sys global]set tcp-halfopen-timer 20 [conf sys global]8,改变fortiguard的ttl值set webfilter-cache-ttl [conf sys fortiguard ]set antispam-cache-ttl [conf sys fortiguard ]9,改变DNS缓存的条数set dns-cache-limit [conf sys dns]10,不启用DNS转发unset fwdintf [conf system dns]上面出现的命令可查看CLI文档中相关用法fortigate防火墙设置方法二:恢复飞塔(FortiGate)防火墙的出厂设置当我们不能登录飞塔(FortiGate)防火墙的管理界面时可以使用此方法,不过必须要知道管理密码。
FortiGate防火墙常用配置命令(可编辑修改word版)
FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加 ip 池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟 ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启 natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟 ip 映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把 internal 交换接口修改为路由口确保关于 internal 口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看 arp 表FortiGate # get system arp5、查看 arp 丰富信息FortiGate # diagnose ip arp list6、清楚 arp 缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或 FortiGate # diagnose sys session full- stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看 ospf 相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all1、查看 HA 状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum3.诊断命令:FortiGate # diagnose debug application ike -1execute 命令:FortiGate #execute ping 8.8.8.8 //常规 ping 操作FortiGate #execute ping-options source 192.168.1.200 //指定 ping 数据包的源地址 192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入 ping 的目标地址,即可通过 192.168.1.200 的源地址执行 ping 操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行 telnet 访问FortiGate #execute ssh 2.2.2.2 //进行 ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
fortinet飞塔防火墙配置
Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。
更多fortinet产品信息,详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。
fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。
fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。
fortiguard 服务订制包括:1、fortiguard 反病毒服务2、 fortiguard 入侵防护(ips)服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。
FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。
forticlient的功能包括:1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。
FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。
fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。
在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。
(完整版)FortiGate防火墙常用配置命令
(完整版)FortiGate防火墙常用配置命令FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令:FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令:FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
FortiGate最常见配置
• 配置:
– – 系统管理-->网络-->接口 外网接口参数配置
• 选择接口地址模式为PPPoE • 输入用户名和密码 • MTU设置为1492
–
内网接口参数配置
• 选择接口地址模式为自定义 • 在IP地址/掩码栏中输入192.168.1.1/255.255.255.0
外网接口参数配置:
内网接口参数配置:
实例
策略配置:
故障排除
• 地址范围是否定义正确 • 协议类型选择是否正确 • 端口是否定义正确
• 是否将要控制的服务添加到组中
• 策略中的源地址和目的地址是否选择正确 • 策略中的服务是否选择正确 • 策略中的模式是否选择正确
备份与负载均衡
配置过程
备份与负载均衡
实例 故障排除
配置过程
• 接口配置(操作步骤见共享上网部分) • 若要对服务进行分流控制,则要在防火墙菜单中服务下面定制服务 • 若要针对内部网络的IP地址进行分流控制,则要在防火墙菜单中地址下面 定义地址段 • 策略配置
– 宽带线路2:
• IP:192.168.10.147 • 掩码:255.255.255.0 • 网关:192.168.10.1
实例
• 要求:
– 财务部单独使用一条宽带线路,市场、技术等其他部门共同 使用另一条宽带线路,实现数据分流,以保证带宽利用
实例
配置:
• 接口配置(操作步骤见共享上网部分,只是要在配置时将PING服务器打开,并输 入一个有效的公网IP地址)
FortiGate培训讲义
2005.09.23
FortiGate培训讲义
共享上网
PPPoE
共享上网
DHCP
静态
Fortigate防火墙安全配置基线
.Fortigate防火墙安全配置基线1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (1)1.1目的 (1)1.2适用围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章、口令管理与认证授权 (2)2.1管理* (2)2.1.1用户管理* (2)2.1.2删除无关的* (2)2.1.3登录超时* (3)2.1.4密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度 (5)2.3授权 (6)2.3.1远程维护的设备使用加密协议 (6)第3章日志安全要求 (7)3.1日志服务器 (7)3.1.1启用日志服务器 (7)3.1.2配置远程日志服务器 (7)3.2告警配置要求 (8)3.2.1配置对防火墙本身的攻击或部错误告警 (8)3.2.2配置DOS和DDOS攻击告警 (9)3.2.3配置扫描攻击检测告警* (9)3.3安全策略配置要求 (10)3.3.1访问规则列表最后一条必须是拒绝一切流量 (10)3.3.2配置访问规则应尽可能缩小围 (11)3.3.3VPN用户按照访问权限进行分组* (11)3.3.4配置NAT地址转换* (12)3.3.5关闭仅开启必要服务 (13)3.3.6禁止使用any to anyall允许规则 (13)3.4攻击防护配置要求 (14)3.4.1配置应用层攻击防护* (14)3.4.2配置网络扫描攻击防护* (15)3.4.3限制ping包大小* (15)3.4.4启用对带选项的IP包及畸形IP包的检测 (16)第4章IP协议安全要求 (17)4.1管理IP限制 (17)4.1.1管理IP限制 (17)第5章SNMP安全 (18)5.1SNMP管理 (18)5.1.1使用SNMPV2或以上版本 (18)5.2SNMP访问控制 (19)5.2.1SNMP访问控制 (19)第6章评审与修订 (20)第1章概述1.1目的本文档旨在指导系统管理人员进行Fortigate防火墙的安全配置。
FortiGate飞塔防火墙 简明配置指南
FortiGate飞塔防火墙简明配置指南说明:本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。
要求:FortiGate® 网络安全平台,支持的系统版本为FortiOS v3.0及更高。
步骤一:访问防火墙连线:通过PC与防火墙直连需要交叉线(internal接口可以用直通线),也可用直通线经过交换机与防火墙连接。
防火墙出厂接口配置:Internal或port1:192.168.1.99/24,访问方式:https、ping把PC的IP设为同一网段后(例192.168.1.10/24),即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin,密码为空登陆到web管理页面后默认的语言为英文,可以改为中文在system----admin----settings中,将Idle TimeOut(超时时间)改为480分钟,Language 为simplified chinses (简体中文)。
如果连不上防火墙或不知道接口IP,可以通过console访问,并配置IP连线:PC的com1(九针口)与防火墙的console(RJ45)通过console线连接,有些型号的防火墙console是九针口,这时需要console转RJ45的转接头超级终端设置:所有程序----附件----通讯----超级终端连接时使用选择com1,设置如下图输入回车即可连接,如没有显示则断电重启防火墙即可连接后会提示login,输入帐号、密码进入防火墙查看接口IP:show system interface配置接口IP:config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二:配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal,IP,192.168.1.1 访问方式,https ping http telnet本例中外网接口是wan1,IP,192.168.100.1访问方式,https ping步骤三:配置路由在路由----静态中写一条出网路由,本例中网关是192.168.100.254步骤四:配置策略在防火墙----策略中写一条出网策略,即internal到wan1并勾选NAT即可。
Fortigate防火墙简单配置指导
华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3,进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品,是利用一种新的体系结构方法研发的,具有无与伦比的价格/性能比;是完全的、所有层网络安全和内容控制的产品。
经过一些安全行业深受尊重的安全专家多年的研究开发,FortiGate解决方案突破了网络的“内容处理障碍”。
提供了在网络边界所有安全威胁类型(包括病毒和其它基于内容的攻击)的广泛保护。
并且具备空前的消除误用和滥用文字的能力,管理带宽和减少设备与管理的费用。
常规的安全系统,像防火墙和VPN 网关在防止称为网络层攻击是有效的,它通过检查包头信息来保证来自信任源合法请求的安全。
但在现今,绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击,例如病毒和蠕虫。
在这些更多诡辩的攻击中,有害的内容常常深入到包内容,通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。
同样的,有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本,并且需要除了网络层实时信息,还有分解和分析应用层内容(例如文件和指令)的能力。
然而,在现今的网络速度下,完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。
结果,使用常规解决方案的机构面临着“内容处理障碍”,这就迫使他们在桌面和服务器上加强内容服务的配置。
飞塔防火墙fortigate的show命令显示相关配置
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态show full-configuration显示当前完全配置show system global ?查看主机名,管理端口显示结果如下config system globalset admin-sport 10443set admintimeout 480set hostname "VPN-FT3016-02"set language simchset optimize antivirusset sslvpn-sport 443set timezone 55endshow system interface ?查看接口配置显示结果如下edit "internal"set vdom "root"set ipset allowaccess ping https ssh snmp http telnetset dns-query recursiveset type physicalnextget system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态==[port1]mode: staticipstatus: upspeed: 100Mbps Duplex: Full==[port2]mode: staticipstatus: upspeed: 1000Mbps Duplex: Fullshow router static ?查看默认路由的配置显示结果如下config router staticedit 1set device "wan1"nextendget router info routing-table static?查看路由表中的静态路由HuaiAnshow router ospf 查看ospf 的相关配置show system dns ?查看dns的相关配置显示结果如下config system dnsendget router info routing-table all 显示全局路由表(相当于cisco的show ip routing)VPN-FT3016# get router info routing-table allCodes: K - kernel, C - connected, S - static, R - RIP, B - BGP? ? ? O - OSPF, IA - OSPF inter area? ? ? N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2? ? ? E1 - OSPF external type 1, E2 - OSPF external type 2? ? ? i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area? ? ? * - candidate defaultget router info ospf neighbor 查看ospf邻居建立关系(相当于cisco的show ip ospf nei)。
飞塔常用命令
飞塔常用命令FortiGate飞塔防火墙显示相关配置实用命令(2012-11-19 13:44:49)转载▼标签:全局静态接口物理逻辑杂谈分类:防火墙/VPN/负载均衡飞塔防火墙FortiGate的show 命令显示相关配置,而使用get命令显示实时状态show Full-configuration显示当前完全配置show system global 查看主机名,管理端口显示结果如下config system globalset admin-sport 10443set admintimeout 480set hostname "NEWCASE"set language simchset optimize antivirusset sslvpn-sport 443set timezone 55endshow system interface 查看接口配置显示结果如下edit "internal"set vdom "root"set ip 192.168.253.1 255.255.255.200set allowaccess ping https ssh snmp http telnetset dns-query recursiveset type physicalnextget system inter physical查看物理接口状态,如果不加physical 参数可以显示逻辑VPN接口的状态==[port1]mode: staticip: 218.94.115.50 255.255.255.248status: upspeed: 100Mbps Duplex: Full==[port2]mode: staticip: 88.2.192.52 255.255.255.240status: upspeed: 1000Mbps Duplex: Fullshow router static 查看默认路由的配置显示结果如下config router staticedit 1set device "wan1"set gateway 27.151.120.Xnextendget router info routing-table static查看路由表中的静态路由S* 0.0.0.0/0 [10/0] via 218.94.115.49, port1S 66.72.0.0/16 [120/0] via 88.0.195.130, HuaiAnshow router ospf 查看ospf 的相关配置show system dns 查看DNS的相关配置显示结果如下config system dnsset primary 208.91.112.53set secondary 208.91.112.52endget router info routing-table all 显示全局路由表(相当于cisco 的show ip routing)VPN-FT3016# get router info routing-table allCodes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate defaultS* 0.0.0.0/0 [10/0] via 218.94.115.49, port1O 1.1.1.1/32 [110/2] via 88.2.192.50, port2, 07w2d23hO 2.2.2.2/32 [110/2] via 88.2.192.81, port4, 07w2d23hO E1 10.100.10.0/23 [110/22] via 88.2.192.50, port2, 07w2d23hO E1 10.100.20.0/23 [110/22] via 88.2.192.50, port2, 07w2d23hO E1 10.254.1.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h[110/21] via 88.2.192.81, port4, 07w2d23hO E1 10.254.2.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h[110/21] via 88.2.192.81, port4, 07w2d23hO 10.254.133.0/24 [110/2] via 88.2.192.50, port2, 07w2d23h O E1 30.40.1.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h O E1 30.40.2.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h O 66.0.32.0/24 [110/2] via 88.2.192.50, port2, 07w2d23h[110/2] via 88.2.192.81, port4, 07w2d23h。
飞塔防火墙IP_MAC地址绑定方法简介
Fortigate IP/MAC绑定设置方法一、逐条IP/MAC地址绑定设置1、首先进入命令模式,用telnet 命令进入防火墙,如:telnet 192.168.1.99(这指防火墙的Internal口IP地址),并输入用户名和口令。
2、进入防火墙的命令操作界面后,按下图的方式和命令进行绑定。
第一个红框中命令解释如下:Config firewall ipmacbinding setting 进入MAC地址功能开启界面Set bindthroughfw enable 允许绑定的IP穿透防火墙Set bindtofw enable 充许绑定IP到达防火墙Set undefinedhost block或allow 没有绑定的全部阻止End 退出保存的意思第二个红框中的意思在接口上启用绑定功能:Config system interface 进入接口配置界面Edit internal(这里填具体端口)进入接口Set ipmac enable 开启IP/MAC地址绑定功能End 退出保存3、具体绑定操作:上图各个命令解释:Config firewall ipmacbinding table 进入绑定界面Edit 1 输入编辑行号(每一个行代表一个IP/MAC地址的绑定)Set ip 192.168.1.5 指定IP地址Set mac 00:0c:29:34:95:60 指定MAC地址(需要用‘:’隔开)Set name ‘test’指定名称Set status enable 开启状态End 退出保存Show firewall ipmacbinding table 1 查看编号为1的IP/MAC绑定情况到此,一个IP/MAC绑定就完成了。
注:当有多个绑定的时候,每编辑完一个,都要“end”,然后“edit 2、edit 3……edit N”一直到全部写完为此;输入edit 1命令进行创建表1并进入到表1的命令行界面(表此数字是依次增加的,一个表只能绑定一个IP、MAC,继续绑定第二个IP时需要输入edit 2)二、FG防火墙批量绑定方法:1、前两步功能开启和穿透设定,同逐条IP/MAC地址绑定一样,请参照1-2步操作。
飞塔防火墙fortigate的show命令显示相关配置
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态show full-configuration 显示当前完全配置show system global 查看主机名,管理端口显示结果如下config system globalset admi n-sport 10443set adm in timeout 480set host name "VPN-FT3016-02"set Ian guage simchset optimize an tivirusset sslvp n-sport 443set timez one 55endset allowaccess ping https ssh snmp http telnet set dn s-query recursiveset type physicaln extget system in ter physical 查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2]mode: staticip: 88.2.192.52 255.255.255.240status: upspeed: 1000Mbps Duplex: Fulledit 1set device "wa n1" set gateway 27.151.120.Xn ext end get router info rout in g-table static查看路由表中的静态路由S* 0.0.0.0/0 [10/0] via 218.94.115.49, portlS 66.72.0.0/16 [120/0] via 88.0.195.130, HuaiAnset seco ndary 208.91.112.52 endget router info routing-table all 显示全局路由表(相当于cisco 的show ip routing )VPN-FT3016# get router info rout in g-table allCodes: K - kernel, C - conn ected, S - static, R - RIP , B - BGPO - OSPF, IA - OSPF in ter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - can didate defaultS* 0.0.0.0/0 [10/0] via 218.94.115.49, port1O 1.1.1.1/32 [110/2] via 88.2.192.50, port2, 07w2d23h。
飞塔配置
放出内网访问策略详情
1 2
3
上面需要注意的问题有: 1. 源与目的接口。这个就是防火墙的数据流向。 2. 源与目的地址。在后面配置VPN策略的时候,会用到。 3. NAT:注意默认是不启用的,一般是要启用起来。
六、添加VPN用户DHCP
2
1
IPSEC VPN会需要由接入的WAN口设备提供DHCP,从而获得远端IP。这个DHCP是要配置 在VPN链接进来的WAN口上的。
内网接口具体配置
1
2
内网口的配置 跟外网口需要 注意的地方是 相似的,可参 照外网口注意 事项。
三、修改内网DHCP
3 2
1
内网DHCP,是给没有DHCP设备的企业做DHCP服务器用的,如果企业内部有DHCP服 务器,则可以将内网DHCP删除。
DHCP具体配置
1
2
DHCP配置有2点要特别注意: 1. 模式:一般是服务器模式。 2. 类型:2种,因为飞塔含IPSEC VPN功能,所以DHCP有IPSEC类型。 3. DNS服务器:可以在分配IP地址的时候指定DNS服务器,也可以利用系统设置的 DNS。修改系统DNS见下图。
12.2 添加端口映射防火墙放过策略
1
1. 源/目的端口:数据发生流向是从外网到内网,所以源接口是wan,目的接口是 inetrnal接口。 2. 目的地址:这个要注意,选择上一步里添加的虚拟IP。 3. NAT:这个一定要注意,普通的防火墙策略必须要开启NAT,但是端口映射防火墙 策略不能启用NAT
1 2
3
二、修改内网接口配置
3 2 1
内网接口实际上是一个管理地址来的,它定义了一个从internal接口(也可能叫switch) 访问防火墙设备的地址。飞塔默认的内网IP是192.168.1.99,如果企业实际应用需要 改IP,而且需要飞塔设备承担DHCP的任务,则必须同时修改内网DHCP设置,保持设 置IP一致,否则会出现无法分配到IP的情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FortiGate 常用配置命令
一、命令结构
config Configure object. 对策略,对象等进行配置
get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件
diagnose Diagnose facility. 诊断命令
execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出
二、常用命令
1、配置接口地址:
FortiGate # config system interface
FortiGate (interface) # edit lan
FortiGate (lan) # set ip 192.168.100.99/24
FortiGate (lan) # end
2、配置静态路由
FortiGate (static) # edit 1
FortiGate (1) # set device wan1
FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1
FortiGate (1) # end
3、配置默认路由
FortiGate (1) # set gateway 192.168.57.1
FortiGate (1) # set device wan1
FortiGate (1) # end
4、添加地址
FortiGate # config firewall address
FortiGate (address) # edit clientnet
new entry 'clientnet' added
FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end
5、添加ip池
FortiGate (ippool) # edit nat-pool
new entry 'nat-pool' added
FortiGate (nat-pool) # set startip 100.100.100.1
FortiGate (nat-pool) # set endip 100.100.100.100
FortiGate (nat-pool) # end
6、添加虚拟ip
FortiGate # config firewall vip
FortiGate (vip) # edit webserver
new entry 'webserver' added
FortiGate (webserver) # set extip 202.0.0.167
FortiGate (webserver) # set extintf wan1
FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end
7、配置上网策略
FortiGate # config firewall policy
FortiGate (policy) # edit 1
FortiGate (1)#set srcintf internal //源接口
FortiGate (1)#set dstintf wan1 //目的接口
FortiGate (1)#set srcaddr all //源地址
FortiGate (1)#set dstaddr all //目的地址
FortiGate (1)#set action accept //动作
FortiGate (1)#set schedule always //时间
FortiGate (1)#set service ALL //服务
FortiGate (1)#set logtraffic disable //日志开关
FortiGate (1)#set nat enable //开启nat
end
8、配置映射策略
FortiGate # config firewall policy
FortiGate (policy) #edit 2
FortiGate (2)#set srcintf wan1 //源接口
FortiGate (2)#set dstintf internal //目的接口
FortiGate (2)#set srcaddr all //源地址
FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作
FortiGate (2)#set schedule always //时间
FortiGate (2)#set service ALL //服务
FortiGate (2)#set logtraffic all //日志开关
end
9、把internal交换接口修改为路由口
确保关于internal口的路由、dhcp、防火墙策略都删除
FortiGate # config system global
FortiGate (global) # set internal-switch-mode interface
FortiGate (global) #end
重启
--------------------------------------
1、查看主机名,管理端口
FortiGate # show system global
2、查看系统状态信息,当前资源信息
FortiGate # get system performance status
3、查看应用流量统计
FortiGate # get system performance firewall statistics
4、查看arp表
FortiGate # get system arp
5、查看arp丰富信息
FortiGate # diagnose ip arp list
6、清楚arp缓存
FortiGate # execute clear system arp table
7、查看当前会话表
FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;
8、查看会话列表
FortiGate # diagnose sys session list
9、查看物理接口状态
FortiGate # get system interface physical
10、查看默认路由配置
FortiGate # show router static
11、查看路由表中的静态路由
FortiGate # get router info routing-table static
12、查看ospf相关配置
FortiGate # show router ospf
13、查看全局路由表
FortiGate # get router info routing-table all
-----------------------------------------------
1、查看HA状态
FortiGate # get system ha status
2、查看主备机是否同步
FortiGate # diagnose sys ha showcsum
---------------------------------------------------
3.诊断命令:
FortiGate # diagnose debug application ike -1
---------------------------------------------------
execute 命令:
FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200
FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作
FortiGate #execute traceroute 8.8.8.8
FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。