飞塔防火墙HA配置
FORTINET飞塔防火墙集群化实施方案(中文版)
FORTINET防火墙集群实施方案翻译/排版/整理: 路芸隆HA主动-被动集群设置HA主动-被动(A-P)集群可以使用GUI或CLI设置。
这个例子使用以下网络拓扑:要使用GUI设置HA A-P群集,请执行以下操作:1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
4.除设备优先级外,所有这些设置都必须相同集群中的FortiGates, 将其余设置保留为其默认值。
他们可以改变集群运行后。
5.单击确定。
FortiGate协商建立HA集群。
与随着HA集群的协商,FortiGate可能会暂时丢失。
FGCP更改FortiGate接口的MAC地址。
6.出厂重置将在群集中的其他FortiGate,配置GUI访问,然后重复步骤1至5,省略设置设备优先级即可加入集群。
要使用CLI设置HA A-P群集,请执行以下操作:1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
更改主机名可以更轻松地识别其中的单个群集单元集群操作。
5.将其余设置保留为默认值。
他们可以改变集群运行后。
6.在其他FortiGate设备上重复步骤1至5以加入集群。
HA高可用性双活群集设置可以使用GUI或CLI设置HA Active-Active(A-A)群集。
本示例使用以下网络拓扑:要使用GUI设置HA A-A群集,请执行以下操作:1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
4.除设备优先级外,所有这些设置都必须相同集群中的FortiGates。
将其余设置保留为其默认值。
集群运行后可以更改它们。
5.单击确定。
FortiGate协商建立HA集群。
随着HA群集协商以及FGCP更改FortiGate接口的MAC地址,与FortiGate 的连接可能会暂时丢失。
6.出厂重置将在群集中的另一个FortiGate,配置GUI访问,然后重复步骤1至5,省略设置设备优先级,以加入群集。
FortiGate防火墙常用配置命令
FortiGate防火墙常用配置命令FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令:FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令:FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
5.飞塔防火墙HA配置
Fortinet Confidential
HA原理
Fortinet Confidential
HA原理
Fortinet Confidential
什么是HA
• HA(High Availability)指的是通过尽量缩短或完全避免因日常维护操作(计划)和 突发的系统崩溃(非计划)所导致的停机,以提高系统和应用的可用性。 • HA 也提供负载均衡在HA成员中分配会话及流量实现平衡系统负载以及设备性 能的最大化。
Heartbeat
Switch
Switch
Heartbeat
Switch
Port1 从设备
Port2
免费ARP
免费ARP
Port1
新主设备
Port2
Fortinet Confidential
会话交接
Fortinet Confidential
AP模式下包的流向
Fortinet Confidential
Fortinet Confidential
HA配置
Fortinet Confidential
HA故障恢复
Fortinet Confidential
故障恢复
HA Failover故障恢复是一种备份机制用于降低系统风险及减小不可预期的宕机 时间,尤其在关键业务的生产环境中,HA Failover至关重要。
•转发信息库 (FIB)
内核使用 FIB, (diag ip route list) (NAT/Route mode)
在设备之间FIB是同步的
get router info routing table
在从设备上的路由表是空的
Fortinet Confidential
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范1.概述1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。
为了提高Fortigate防火墙的安全性而提出的。
1.2. 范围本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置2.1. 配置设备名称制定一个全网统一的名称规范,以便管理。
2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。
如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。
2.3. 设置Admin口令缺省情况下,admin的口令为空,需要设置一个口令。
密码长度不少于8个字符,且密码复杂。
2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。
需要设置口令,只允许管理员修改。
密码长度不少于8个字符,且密码复杂。
2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。
用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。
单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。
2.6. 设备管理权限设置为每个设备接口设置访问权限,如下表所示:接口名称允许的访问方式Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式Port5 (保留)Port6 (保留)且只允许内网的可信主机管理Fortinet设备。
2.7. 管理会话超时管理会话空闲超时不要太长,缺省5分钟是合适的。
2.8. SNMP设置设置SNMP Community值和TrapHost的IP。
2.飞塔防火墙防火墙配置
Fortinet Confidential
防火墙介绍
Fortinet Confidential
防火墙技术分类
• 包过滤技术(Packet filtering) 包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制作用, 对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息。 • 代理网关技术(Proxy) 应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的 访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都 必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。 • 状态检测技术(Stateful) 在防火墙建立状态连接表,并将进出网络的数据当成一个个的会话,利用 状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更 考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能 力。
系统管理-物理网络接口1
Fortinet Confidential
系统管理-物理网络接口2
Fortinet Confidential
系统管理- Vlan接口
Fortinet Confidential
系统管理- 802.3ad汇聚接口1
Fortinet Confidential
系统管理- 802.3ad汇聚接口2
系统管理-冗余接口2
Router 1
Router 2
Router 1
Router 2
主接口失效后, 冗余接口中的其 他接口将激活
正常情况,只有 冗余接口的主接 口处于工作状态。
主接口失效后, 冗余接口2开始 工作。
配置HA
如何配置HA(High Availability)拓扑图:说明:你不需要配置备机,只要配置好第一步,在备机启动后,连接心跳线,备机会自动和主机进行同步并导入配置,导入成功后机器自动重启,重启完成后,配置成功。
注意,备机和主机第一次进行心跳线连接之前,请确认两台机器的操作系统版本一致,即Firmware版本一致。
一.配置HA1.登录需要做第一主机的机器。
2.从左边的菜单栏里面选择,High Availability->Setting3.在右边的页面中,选择启用HA(Enable High Availability)选择框4.在下面的sonicWALL地址选项中,输入第二台机器(备机)的序列号。
(注:备机的序列号可以在机器的铭牌或者system->status下的serial number信息中找到)5.点击Accept按钮保存设置二.配置带状态同步的HA1.以管理员身份登录防火墙2. 选择HA->Advance3. 在Advance菜单下面,如果需要当设备正常后恢复使用第一主机,在Enable Preempt Mode 上面打勾4. 如果升级Firmware时需要备份当前的系统版本和设置时,勾选Generate/OverwriteBackup Firmware and Settings When Upgrading Firmware.5. 当需要调整两台设备通讯间隔时间时,可以修改Heartbeat Interval的值,默认值是5000毫秒进行一次通讯,最小的通讯时间间隔是1000毫秒,值得注意到是,如果间隔时间设的太小,容易引起误操作导致系统切换,特别是在系统负载比较大的时候。
在这种情况下,推荐采用比较大的时间间隔设置6. Failover Trigger Level选项是确定心跳丢失而进行主机切换的数据包的数量7. Probe Level 是关于上行或下行流量间断的时间,SonicWALL推荐使用至少5秒的等待值。
FortiGate防火墙常用配置命令(可编辑修改word版)
FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加 ip 池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟 ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启 natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟 ip 映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把 internal 交换接口修改为路由口确保关于 internal 口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看 arp 表FortiGate # get system arp5、查看 arp 丰富信息FortiGate # diagnose ip arp list6、清楚 arp 缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或 FortiGate # diagnose sys session full- stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看 ospf 相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all1、查看 HA 状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum3.诊断命令:FortiGate # diagnose debug application ike -1execute 命令:FortiGate #execute ping 8.8.8.8 //常规 ping 操作FortiGate #execute ping-options source 192.168.1.200 //指定 ping 数据包的源地址 192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入 ping 的目标地址,即可通过 192.168.1.200 的源地址执行 ping 操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行 telnet 访问FortiGate #execute ssh 2.2.2.2 //进行 ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
飞塔防火墙双机操作步骤-300D
HA配置步骤步骤1、配置设备1的HA进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置200(主机高于从机);组名:SYQ-300D/密码:123456;勾选"启用会话交接"。
模式:单机模式、主动-被动、主动-主动。
修改单机模式为HA模式的时候,需要确保所有接口的"IP地址模式"处于"自定义"的方式,不能有启用PPPOE和DHCP的方式。
如果无法在命令行下配置A-P、A-A模式,命令行会提示:"The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode."步骤2、配置设备2的HA进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置100;组名:SYQ-300D/密码:123456;勾选"启用会话交接"。
步骤3、组建HAa)连接心跳线,FGT-主的port2、port4,连接到 FGT-从的port2、port4;b)防火墙开始协商建立HA集群,此时会暂时失去和防火墙到连接,这是因为在HA协商过程中会改变防火墙接口到MAC地址。
可以通过更新电脑的arp表来恢复连接,命令为arp -d。
c)连接业务口链路。
d)组建好HA后,两台防火墙配置同步,具有相同的配置,通过访问主防火墙来进行业务配置,如IP地址,策略等,更新的配置会自动同步。
步骤4、查看HA集群进入菜单" 系统管理--配置--高可用性",就可以看到HA的建立情况。
fortinet飞塔防火墙配置
Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。
更多fortinet产品信息,详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。
fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。
fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。
fortiguard 服务订制包括:1、fortiguard 反病毒服务2、 fortiguard 入侵防护(ips)服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。
FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。
forticlient的功能包括:1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。
FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。
fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。
在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。
FortiGate 防火墙常用配置命令
FortiGate 常用配置命令一、命令结构config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址,虚拟ip映射,事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名,管理端口FortiGate # show system global2、查看系统状态信息,当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat;8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令:FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令:FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址,即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。
飞塔防火墙配置
1、虚拟域(VDOMS)----虚拟防火墙配置:(1)首先web 登陆防火墙(真机https://+ip,虚拟机http://+ip),虚拟机用户名:admin,密码:没(空的)。
登陆到管理面板找到虚拟域,默认禁用,点击启用为启动。
(2)然后启动虚拟域后,虚拟重新登陆,用户名和密码不变。
点开VDOM 界面,上面可以新建一个虚拟域(就是新的虚拟防火墙)。
防火墙名和模式,NAT为3层,透明为2层。
3、在左手边系统菜单下面有当前VDOM角色,有全局和VDOM可以选。
2、VDOM 启用后,点击全局配置模式---------网络----接口,可以把接口分配给不同的虚拟域(1)全局点开接口后,选择着需要更改虚拟域的接口,选择上方编辑(2)点开端口编辑,能配置端口IP和相应管理协议还可以设置端口监控,web 代理、分片等。
附加IP地址就是例如一个公网24位的地址,运营商给了10个可以用IP:10.10.10.1 -10地址模式上填写:10.10.10.1 ,剩余10.10.10.2-10就可以通过附加IP地址填写。
3、除了对现有接口进行编辑,也能新建接口,新建接口后能选择接口类型,(根据深信服上端口配置,均为3层口,这次配置具体端口是什么类型,需要客户确认)其余配置和编辑端口时一样。
4、需要对虚拟防火墙进行路由、策略配置需要寻找当前VDOM角色:静态路由配置,配置完静态路由后,能点开当前路由查看路由表:5、防火墙object 虚地址(为外网访问内网服务器做的端口转换)6、policy 这边所做的就是NAT 和其他放通的策略。
可以完成参照深信服防火墙的策略来做。
7、全局模式下,配置HA(1)集群设置:群名和密码,主备要完全一致,启动会话交接(就是主挂了的时候,被会直接把会话复制过去,然后起来运行)(2)主备设置,设备优先级默认128,优先级高的,设备为主,记得勾选储备管理端口集群成员(这样就能对集群的设备进行单个管理)(3)选择端口作为心跳线,例如选择PORT4口,然后把心跳线对接,同步配置就可以。
Fortigate防火墙简单配置指导
华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3,进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品,是利用一种新的体系结构方法研发的,具有无与伦比的价格/性能比;是完全的、所有层网络安全和内容控制的产品。
经过一些安全行业深受尊重的安全专家多年的研究开发,FortiGate解决方案突破了网络的“内容处理障碍”。
提供了在网络边界所有安全威胁类型(包括病毒和其它基于内容的攻击)的广泛保护。
并且具备空前的消除误用和滥用文字的能力,管理带宽和减少设备与管理的费用。
常规的安全系统,像防火墙和VPN 网关在防止称为网络层攻击是有效的,它通过检查包头信息来保证来自信任源合法请求的安全。
但在现今,绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击,例如病毒和蠕虫。
在这些更多诡辩的攻击中,有害的内容常常深入到包内容,通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。
同样的,有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本,并且需要除了网络层实时信息,还有分解和分析应用层内容(例如文件和指令)的能力。
然而,在现今的网络速度下,完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。
结果,使用常规解决方案的机构面临着“内容处理障碍”,这就迫使他们在桌面和服务器上加强内容服务的配置。
Fortinet HA双机
实验一:最简单的HA 切换首先配置 HA ,相同的HA 组名,相同的HA 密码,同为 A-P 模式,相同的HA接口。
不同的防火墙设备名称,不同的优先级(FW1 250,FW2 200)。
最好先不要配置侦听口。
HA线一插,过一会,登陆HA优先级高的设备。
OK。
成为主设备。
然后在点侦听口。
这里侦听 port11 和 port 12 两个口。
默认情况下 fortigate 是不设置抢占的。
所以默认为:存活侦听口 > age > 优先级 >防火墙S/N初始时,侦听口相同,11、12 都为up,age 相同,看优先级。
优先级高的为主。
FW1 成为主设备,然后拔掉 FW1 上的 11口。
设备发生切换。
FW2 成为主设备。
(注:此时FW1 上的所有口物理为UP,可是不发送数据包。
)再将FW1 的 11口插回,设备 FW2 仍为主设备。
因为这里没有设置抢占。
实验二:设置抢占的HA。
Fortigate 设置抢占必须在命令行下进行。
FW 1#config sys haFW 1(ha)# set override enable注意: HA 配置并不会自动在防火墙间同步。
这里我是在优先级高的设备上设置了抢占。
也就是在FW1 上。
FW2 对这个配置并没有同步。
不过FW2就算是设置了抢占也没有用。
现在当FW 1 的11口再插上去的时候。
FW 1 就将再次成为主设备。
实验三:VDOM 下的 HA。
将FW,分成两个VDOM,VDOM1 下有接口port 10 11,VDOM2 下有接口port15 16。
分别侦听这四个端口。
port 9 未侦听,用来 https 配置的。
这里重点是 TEST1 和TEST2 都属于同一个虚拟集群。
如果主的 port 10 11 15 16 中的任何一个down了,都会切。
VDOM 1 2 都切。
现在我将 TEST-2 放入到虚拟集群2中。
出现了真正的两组墙。
(虚拟域。
FortiGate飞塔防火墙简明配置指南
FortiGate飞塔防⽕墙简明配置指南FortiGate飞塔防⽕墙简明配置指南说明:本⽂档针对所有飞塔 FortiGate设备的基本上⽹配置说明指南。
要求:FortiGate? ⽹络安全平台,⽀持的系统版本为FortiOS v3.0及更⾼。
步骤⼀:访问防⽕墙连线:通过PC与防⽕墙直连需要交叉线(internal接⼝可以⽤直通线),也可⽤直通线经过交换机与防⽕墙连接。
防⽕墙出⼚接⼝配置:Internal或port1:192.168.1.99/24,访问⽅式:https、ping把PC的IP设为同⼀⽹段后(例192.168.1.10/24),即可以在浏览器中访问防⽕墙https://192.168.1.99防⽕墙的出⼚帐户为admin,密码为空登陆到web管理页⾯后默认的语⾔为英⽂,可以改为中⽂在system----admin----settings中,将Idle TimeOut(超时时间)改为480分钟,Language 为simplified chinses (简体中⽂)。
如果连不上防⽕墙或不知道接⼝IP,可以通过console访问,并配置IP连线:PC的com1(九针⼝)与防⽕墙的console(RJ45)通过console线连接,有些型号的防⽕墙console是九针⼝,这时需要console转RJ45的转接头超级终端设置:所有程序----附件----通讯----超级终端连接时使⽤选择com1,设置如下图输⼊回车即可连接,如没有显⽰则断电重启防⽕墙即可连接后会提⽰login,输⼊帐号、密码进⼊防⽕墙查看接⼝IP:show system interface配置接⼝IP:config system interfaceedit port1或internal 编辑接⼝set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问⽅式set status upend配置好后就可以通过⽹线连接并访问防⽕墙步骤⼆:配置接⼝在系统管理----⽹络中编辑接⼝配置IP和访问⽅式本例中内⽹接⼝是internal,IP,192.168.1.1 访问⽅式,https ping http telnet本例中外⽹接⼝是wan1,IP,192.168.100.1访问⽅式,https ping步骤三:配置路由在路由----静态中写⼀条出⽹路由,本例中⽹关是192.168.100.254步骤四:配置策略在防⽕墙----策略中写⼀条出⽹策略,即internal到wan1并勾选NAT即可。
飞塔防火墙双机-HA与会话同步
案例三:某金融机构网络安全架构重构
总结词
金融行业合规要求
详细描述
某金融机构按照金融行业合规要求,采用飞塔防火墙双机-ha与会话同步方案,提升网 络防御能力,确保业务数据的安全传输和存储。
感谢您的观看
THANKS
故障转移
当主服务器出现故障时,从服务器可以自动接管服务。
双机-ha技术的优势与局限性
• 负载均衡:通过负载均衡,提高服务器的处理能力和效率。
双机-ha技术的优势与局限性
成本较高
01
需要两台或多台服务器,成本相对较高。
技术复杂
02
需要专业的技术人员进行配置和维护。
对网络要求较高
03
双机-ha技术的正常运行需要稳定的网络环境和良好的网络设备。
会话同步技术的优势与局限性
01
优势
02
提高网络设备的处理能力和性能;
保证网络的稳定性和可靠性;
03
会话同步技术的优势与局限性
实现快速的网络服务恢复。 局限性 需要占用一定的带宽和硬件资源;
会话同步技术的优势与局限性
01
需要对网络设备和会话数据进行 配置和管理;
02
在大规模网络环境下可能存在性 能瓶颈。
易于管理
提供友好的管理界面和丰富的管理功能,方 便管理员进行配置和管理。
高可用性
具备高可用性架构设计,确保防火墙的稳定 运行。
飞塔防火墙的应用场景
企业网络
大型数据中心
适用于企业网络环境,提供全面的安 全防护。
适用于大型数据中心,提供高效的安 全防护。
政府机构
适用于政府机构网络,保障关键信息 的安全。
问题二
如何处理防火墙之间的网络延迟和 数据传输问题?
飞塔 防火墙详解与配置
简单、高效、安全 FortiGate-110C 在一台单一的设备中集成了防火墙、IPSec&SSL VPN、入侵防御、防病毒、防恶意软件、防垃圾邮件、 P2P 安全及 Web 过滤,可识别多种安全威胁,为中小型企业和分支办公室提供完美的安全解决方案。FortiGate-110C 安装快捷,可自动下载并按时升级过滤库,保护企业不会受到最新病毒、网络漏洞、蠕虫、垃圾邮件、网络钓鱼及 恶意站点的侵害。内置专利的 FortiASIC 加速技术,FortiGate-110C 可提供业界领先的性能,10 个接口可为日益增长的 网络的扩展性提供保证。
Fortinet ASIC 技术益处 FortiASIC 是 Fortinet 独有的硬件技术的基础。FortiASIC 是特定的软件、高性能网络及内容处理器的综合, 它通过使用一个智能的、专利技术的内容扫描引擎 和多种算法来加速需要密集型计算的安全服务。 FortiASIC 为企业和运营商级的 UTM 服务提供必要的 性能。再加上 FortiOS 安全加固操作系统,FortiASIC 可提供终极的性能和安全。
特征
益处
硬件加速
八个可配置内置交 换接口和双千兆 WAN 接口 自动升级
FortiASIC 加速检测确保不会出现性 能瓶颈
网络分区配置更加灵活,不再需 要额外的交换机产品,提升网络 的扩展性和实用性
不需要管理员的干预即可实现不 间断的特征库更新
统一安全架构
单一设备中的多种威胁保护提高 了安全性,降低了部署成本
标准FortiCare支持服务 包括以下服务内容:
1 年的硬件保修 90 天的 FortiCare Web 技术支持 90 天的软件升级 售后支持指南请参阅 /support/reg-guide.html
FortiGate双机热备HA(a-a)
HA(A-A)
Fortigate-100A3907513048 3.00- (MR5 PATCH4)
Fortigate-100A2906503935 3.00- (MR5 PATCH4)
注:不论A-A 或者A-P做HA的时候都要求设备型号和版本保持一致。
系统管理—》配置
在HA选项中选择A-A主主模式。
这样的模式可以让两台飞塔设备做负载平衡我们设定监听口为WAN1心跳口为WAN2(两台设备内必须一致)
这里可以修改设备的优先级
接口的设置两台设备都要相同
两台设备的连线和设置的概况图
在CLI下要开启SYNC-CONFIG 和OVERRIDE
这个是成功以后的群组信息显示了设备的序列号和各自的权限
A-A A-P的区别是前者是作为备援,而A-A是做为伏在平庸来用的。
但是经过测试在主设备出问题的情况下A-A也可以作为备援来使用。
飞塔防火墙双机-HA与会话同步
HA Configuration
• Gratuitous ARP’s ▪ arps
• Bounce Links ▪ Link 失败信号
• 变化后重新协商 ▪ override
• Unit 优先级 ▪ priority
• 监控接口 ▪ monitor
• 虚拟集群 ▪ vcluster2
• 虚拟域成员 ▪ vdom
8
Slave External PMAC: 0b-a4-8e
负载均衡模式下主设备的会话表
session info: proto=6 proto_state=11 expire=3599 timeout=3600 flags=00000000 av_idx=4 use=5 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=49729 tunnel=/ state=redir log local may_dirty statistic(bytes/packets/err): org=1253/21/0 reply=1503/19/0 tuples=3 orgin->sink: org pre->post, reply pre->post oif=3/5 gwy=192.168.11.254/10.0.1.1 hook=post dir=org act=snat 10.0.1.1:2287->193.1.193.64:21(192.168.11.101:2287) hook=pre dir=reply act=dnat 193.1.193.64:21->192.168.11.101:2287(10.0.1.1:2287) hook=post dir=reply act=noop 193.1.193.64:21->10.0.1.1:2287(0.0.0.0:0) pos/(before,after) -233083355/(0,8), 0/(0,0) misc=20004 domain_info=0 auth_info=0 ftgd_info=0 ids=0x0 vd=0 serial=00005ae5 tos=ff/ff
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FortiGate HA功能说明1.1 主用-备用模式FortiGate防火墙HA的主用-备用(A-P)模式提供了一个双机热备份集群的机制来对网络连接进行可用性保护,在HA集群里面只有一台主用设备在处理所有的网络流量,其他的一台或几台则处于备用状态FortiGate不处理任何网络流量只是在实时的监控着主用FortiGate是否仍然正常工作。
备机主要的工作有:∙实时和主用FortiGate同步配置;∙监控主用FortiGate状态;∙如果启用了会话备份功能(session pick-up)的话,备用设备需要实时同步主用设备上的会话以确保在主用设备出现问题是可以透明接替主用设备,所有主用设备上已经建立的会话不需要重新建立,会话备份功能目前可以支持没有启用防火墙保护内容表的所有TCP/UDP/ICMP/多播/广播数据流;∙如果没有启用了会话备份功能(session pick-up)的话,备用设备不会实时同步主用设备上的会话,所有主用设备上已经建立的会话在发生HA 切换时需要重新建立;1.2 主用-主用模式第1 页共14 页A-P模式部署的防火墙虽然有多台在网但实际上只有一台设备在工作其他所有的设备都在实时的监控主用机发生故障才会有一台接替工作,这样带来的一个问题是设备资源利用率不足。
FortiGate防火墙HA功能同时提供了主用-主用(A-A)模式,也就是在所有HA集群中的所有设备都同时工作以同时达到负载均衡和热备份的功能,在A-A集群里面默认配置下的主设备不会负载均衡没有启用保护内容表的流量给非主工作设备,它只会负载均衡所有的启用了防火墙保护内容表的网络连接,处理时它会先接收下来所有的流量同时根据负载均衡配置把相关连接动态分配给其他的非主工作设备处理。
这样处理的原因是:通常启用了防火墙保护内容表的网络连接才是CPU和内存消耗主要来源,这样可以大大增加A-A部分是集群的高层安全处理能力。
实际上也可以开启A-A集群负载所有TCP网络流量的功能,需要进入命令行下面开启HA的load-balance-all功能就可以了。
FortiGate防火墙HA的A-A集群不支持UDP/ICMP/多播/广播流量的负载均衡功能,也不支持VoIP、IM、IPSec VPN、HTTPS和SSL VPN负载均衡功能,所有的以上流量都将只有A-A集群里面的主工作设备处理。
FortiGate防火墙HA的A-A集群会话备份功能(session pick-up)支持没有启用防火墙内容保护表的TCP流量,并不提供基于防火墙内容保护表的流量的会话备份功能(session pick-up),也不支持UDP/ICMP/多播/广播流量会话备份功能(session pick-up)。
第2 页共14 页第 3 页 共 14 页下图显示了一个典型的包含了2台FGT3600的HA 部署结构:2.关于设备故障切换和链路故障切换2.1 什么是设备故障切换在FortiGate防火墙A-P 模式部署中,主用设备处理所有的网络流量,当主用设备出现故障时,如断电,死机,重启等等,备用设备就会自动接替主用设备工作并成为新的主用设备。
2.2 什么是链路故障切换配置的监控口(monitor interface )如果出现故障,HA 集群就会知道哪个设备上已有网口故障,如果发生网口故障的是一个主用设备,那么HA 就会发生切换,备用设备就会主 动接替主用设备工作以确保网络的连通性。
监控端口(monitor interface )是FortiGate HA 配置的一部分,建议最好把需要监控的接口全部都配置上,这样其中任意接口出现故障都可以触发HA切换;可以把一些无关紧要的接口不配置监控功能,这样这些无关紧要的接口出现故障时并不发生HA切换。
在所有的HA集群中间,拥有最少的监控的故障接口的设备将会成为主用设备,如果有些设备监控的故障接口数量一致,将按照通常的HA主用设备选举过程产品HA主用设备。
备用设备监控接口发生故障时并不发生HA 切换而仅仅是把接口故障信息共享同步到所有的HA集群设备里面去,以备发生其他故障时使用。
3.HA集群的Fireware升级HA集群Web界面里面或这CLI界面下的升级方法和单机的升级方法是一样的,在升级一个HA集群时,升级程序会把所有的集群里面的FortiGate都升级起来包括A-A或A-P模式里面的主用和备用设备,默认配置下HA集群的升级是一个完全无中断的升级过程,这种情况下,升级程序会先把HA集群里面的备用设备升级,等所有的备用设备一台一台全部升级并且重启完成后重新加入到HA集群的时候才升级主用设备,这个时候备用设备就可以接替主用设备工作从而不会导致fireware升级过程中中断网络。
如果有必要,你也可以手工的停止HA集群默认的无中断升级功能,这样,升级程序会同时升级所有的HA集群设备从而产生网络中断。
注意:使用串口用TFTP服务器烧FortiGate版本的时候不在上述升级范围内。
4.HA 配置第4 页共14 页4.1 HA的运行模式包括单机模式,主用-备用模式(A-P)和主用-主用模式(A-A)。
4.2 设备优先级这是一个可选参数,所有的HA集群里面的设备都可以配置一个不同优先级,在HA协商过程中用来确定谁是主谁是备。
4.3 HA组名用来区分不同的HA集群,最长支持7个字符。
4.4 HA同步密码选配参数,用来HA设备间进行认证使用。
4.5 HA会话备份功能(session pick-up)启用HA会话备份功能(session pick-up)之后,当主用设备出现故障时,备用设备接替工作,所有的非启用保护内容表的连接可以被备用设备接着处理,不重新开始。
4.6 HA接口监控功能用来监控FortiGate接口是否正常工作从而触发HA集群切换的功能。
4.7 HA心跳口及优先级第5 页共14 页HA集群内的各个设备间同步配置、会话信息等等信息和设备监控功能都需要通过HA心跳口进行,在FortiGate HA集群里面可以配置多个心跳口并可以设置不同的优先级,高优先级心跳口优先使用,当高优先级心跳口故障时其他的心跳口仍然可以保证设备间心跳功能。
另外,FortiGate心跳协议也支持复用在普通的通讯口上,也就是说这个口不光有用户数据传送也同时传送HA心跳报文。
由于心跳功能对HA集群极其重要(心跳口故障将导致HA集群无法正常工作),所以建议部署HA集群时至少有一组独立的心跳口,另外加一组复用的心跳口。
5,HA集群的主用设备选举过程5.1抢占(override)功能禁止时第6 页共14 页HA选举过程如下图显示:对于大多数HA集群的默认配置来说,设备序列号最大的将会被选举成为HA集群的主用设备。
这里默认配置指的是启用了HA模式到A-A或A-P,并且配置了HA组名和认证密码,这样默认配置下面,之所以序列号最高的会被选举成为主用设备,是因为集群里面的所有设备优先级是一样的,工作时间通常也是相同的,而且这时候也没有启用接口监控功能。
第7 页共14 页5.2 抢占(override)功能启用的时候HA选举过程如下图显示:和抢占(override)功能禁止时功能类似,区别就是抢占功能启用的时候,在监控结构全部正常或工作数量相等的时候,设备优先级最高的将始终是主用设备。
举例说明,主备用设备配置了3个监控接口,这个时候主用电源故障关机了,备第8 页共14 页用设备就会接替主用设备处理用户数据,主用设备返厂维修电源后重新加入到集群里面来,这个时候它将重新成为主用设备而不管备用设备是否故障。
override 功能禁止时主用重新回来是不会发生HA切换的。
6.虚拟集群如果防火墙启用了虚拟防火墙功能(Virtual Domain),那么防火墙将会开启虚拟集群功能。
虚拟集群功能是对防火墙HA功能的一个扩展,它可以在两个虚拟集群中配置集群的主用-备用功能,也就是说你相当于可以配置2个虚拟集群的负载均衡功能,即集群1中的虚拟防火墙拥有一个优先级,假设它工作在主用模式,那么可以同时配置其他的虚拟防火墙添加到虚拟集群2中,它可以是备用模式。
HA里面的另外一台设备则正好相反的配置,即虚拟集群1是备用模式,虚拟集群2是主用模式。
这样,实际上实现了基于虚拟集群的负载均衡功能了。
第9 页共14 页上图显示了一台防火墙配置了虚拟防火墙之后的HA部分的配置实例,其中配置了虚拟集群1包括虚拟防火墙root,虚拟集群2包括虚拟防火墙test;这台设备上虚拟集群1和虚拟集群1的优先级都是128。
可以独立配置2个虚拟集群的监控接口和心跳接口。
7.HA功能的其他注意事项7.1 HA会话备份功能(session pick-up)此功能用户HA集群中设备间的会话同步,只支持A-A和A-P里面的没有启用防火墙保护内容表的策略会话同步,,同样不支持IPSec VPN、SSL VPN、PPTP 和L2TP等会话备份功能。
7.2 HA虚拟的MAC地址启用HA功能之后防火墙会在所有的接口上启用HA专用的虚拟MAC地址,MAC地址使用规律如下:00-09-0f-<16进制组号>-<虚拟集群号>-<接口编号>。
注意,在同一个广播域中如果有多个HA组存在,请配置多个不通的HA组号(group-id)以确保不同的集群虚拟MAC地址不会冲突。
7.3 如下部分配置不会在HA集群设备间同步· system.interface.secondary-ip.ha-priority· system.interface.ma caddr第10 页共14 页· system.accprofile.menu-file· system.fortiguard.avquery-expiration· system.fortiguard.antispam-expiration· system.fortiguard.webfilter-license· system.fortiguard.webfilter-expiration· system.ha.override· system.ha.priority· system.global.host name· gui.console· gui.topology7.4 所有的HA集群设备间会同步的配置文件有:· All files under /data/config/· CC_MAIN_FILE: /etc/cc_main· CC_SIG: /etc/cc_sig.dat· VIR_DB: /etc/vir· VIR_EXTDB: /data/virext or /data2/virext, depending on there is shared partition· FCNI: /etc/fcni.dat· FDNI: /etc/fdnservers.dat· FSCI: /tmp/sci.dat on FGT60B/FWF60B, /etc/sci.dat on all otherplatforms第11 页共14 页· FSAE: /etc/fsae_adgrp.cache· IDSDB: /etc/ids.rules· IDS_USER_RULES: /etc/idsuser.rules· NIDS_LIB: /data/lib/libips.so· CERT_CONF: /etc/cert/cert.conf· IM_AIM_USR: /data/cmdb/imp2p.aim-user· IM_ICQ_USR: /data/cmdb/imp2p.icq-user· IM_MSN_USR: /data/cmdb/imp2p.msn-user· IM_YAHOO_USR: /data/cmdb/imp2p.yahoo-user· TOPOLOGY_FILE: /etc/topology_root.dat· TOPOLOGY_BG_FILE: /etc/topology_erimg· TOPOL_PREFS: /etc/topology_prefs· JSCONN_PREFS: /etc/jsconsole_prefs· FDSM_MGMT_ID_DAT: /etc/fdsm_mgmt_id.dat· DAEMON_CONF: /data/config/daemon.conf.gz· ASE_SO_LIB: /data/lib/libfase.so· ASE_RULES_CONF: /etc/fase.rules.conf8.集群功能相关的命令行配置命令8.1 基本HA命令第12 页共14 页config system haset authentication {disable | enable}set encryption {disable | enable}set group-id <id_integer>set group-name <name_str>set hb-interval <interval_integer>set hbdev <interface_name> <priority_integer> set link-failed-signal {disable | enable}set load-balance-all {disable | enable}set mode {a-a | a-p | standalone}set monitor <interface_names>set override {disable | enable}set password <password_str>set priority <priority_integer>set session-pickup {disable | enable}set sync-config {disable | enable}8.2 其它几个常用的HA命令8.2.1 get system ha status可以获取当前HA集群主用、备用状态信息8.2.2 execute ha disconnect第13 页共14 页把设备从HA集群里面分离出去8.2.3 execute ha manage <index>用于从命令行下面从HA集群的一个设备登陆到另一个设备,如从主用设备上登陆到备用设备上8.2.4 execute ha synchronize <start/stop>手工从备用设备上面执行配置同步命令8.2.5 diag debug application hasync -1调试输出HA同步进程8.2.6 diag debug application hatalk -1调试输出HA通讯进程8.2.7 diag system ha showcsum显示HA集群的配置文件的checksum信息,以确认HA集群设备是否已经同步配置第14 页共14 页。