(完整版)FortiGate防火墙常用配置命令

FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加 ip 池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟 ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启 natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟 ip 映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把 internal 交换接口修改为路由口确保关于 internal 口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看 arp 表FortiGate # get system arp5、查看 arp 丰富信息FortiGate # diagnose ip arp list6、清楚 arp 缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或 FortiGate # diagnose sys session full- stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看 ospf 相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all1、查看 HA 状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum3.诊断命令：FortiGate # diagnose debug application ike -1execute 命令：FortiGate #execute ping 8.8.8.8 //常规 ping 操作FortiGate #execute ping-options source 192.168.1.200 //指定 ping 数据包的源地址 192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入 ping 的目标地址，即可通过 192.168.1.200 的源地址执行 ping 操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行 telnet 访问FortiGate #execute ssh 2.2.2.2 //进行 ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

Fortinet产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息，详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。

fortiguard 服务订制包括：1、fortiguard 反病毒服务2、 fortiguard 入侵防护（ips）服务3、 fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括：1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。

FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟ip映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令：FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令：FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址，即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

（完整版）FortiGate防火墙常用配置命令FortiGate 常用配置命令一、命令结构config Configure object. 对策略，对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件diagnose Diagnose facility. 诊断命令execute Execute static commands. 常用的工具命令，如ping exit Exit the CLI. 退出二、常用命令1、配置接口地址:FortiGate # config system interfaceFortiGate (interface) # edit lanFortiGate (lan) # set ip 192.168.100.99/24FortiGate (lan) # end2、配置静态路由FortiGate (static) # edit 1FortiGate (1) # set device wan1FortiGate (1) # set dst 10.0.0.0 255.0.0.0FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # end3、配置默认路由FortiGate (1) # set gateway 192.168.57.1FortiGate (1) # set device wan1FortiGate (1) # end4、添加地址FortiGate # config firewall addressFortiGate (address) # edit clientnetnew entry 'clientnet' addedFortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end5、添加ip池FortiGate (ippool) # edit nat-poolnew entry 'nat-pool' addedFortiGate (nat-pool) # set startip 100.100.100.1FortiGate (nat-pool) # set endip 100.100.100.100FortiGate (nat-pool) # end6、添加虚拟ipFortiGate # config firewall vipFortiGate (vip) # edit webservernew entry 'webserver' addedFortiGate (webserver) # set extip 202.0.0.167FortiGate (webserver) # set extintf wan1FortiGate (webserver) # set mappedip 192.168.0.168 FortiGate (webserver) # end7、配置上网策略FortiGate # config firewall policyFortiGate (policy) # edit 1FortiGate (1)#set srcintf internal //源接口FortiGate (1)#set dstintf wan1 //目的接口FortiGate (1)#set srcaddr all //源地址FortiGate (1)#set dstaddr all //目的地址FortiGate (1)#set action accept //动作FortiGate (1)#set schedule always //时间FortiGate (1)#set service ALL //服务FortiGate (1)#set logtraffic disable //日志开关FortiGate (1)#set nat enable //开启natend8、配置映射策略FortiGate # config firewall policyFortiGate (policy) #edit 2FortiGate (2)#set srcintf wan1 //源接口FortiGate (2)#set dstintf internal //目的接口FortiGate (2)#set srcaddr all //源地址FortiGate (2)#set dstaddr FortiGate1 //目的地址，虚拟ip映射，事先添加好的FortiGate (2)#set action accept //动作FortiGate (2)#set schedule always //时间FortiGate (2)#set service ALL //服务FortiGate (2)#set logtraffic all //日志开关end9、把internal交换接口修改为路由口确保关于internal口的路由、dhcp、防火墙策略都删除FortiGate # config system globalFortiGate (global) # set internal-switch-mode interfaceFortiGate (global) #end重启--------------------------------------1、查看主机名，管理端口FortiGate # show system global2、查看系统状态信息，当前资源信息FortiGate # get system performance status3、查看应用流量统计FortiGate # get system performance firewall statistics4、查看arp表FortiGate # get system arp5、查看arp丰富信息FortiGate # diagnose ip arp list6、清楚arp缓存FortiGate # execute clear system arp table7、查看当前会话表FortiGate # diagnose sys session stat 或FortiGate # diagnose sys session full-stat；8、查看会话列表FortiGate # diagnose sys session list9、查看物理接口状态FortiGate # get system interface physical10、查看默认路由配置FortiGate # show router static11、查看路由表中的静态路由FortiGate # get router info routing-table static12、查看ospf相关配置FortiGate # show router ospf13、查看全局路由表FortiGate # get router info routing-table all-----------------------------------------------1、查看HA状态FortiGate # get system ha status2、查看主备机是否同步FortiGate # diagnose sys ha showcsum---------------------------------------------------3.诊断命令：FortiGate # diagnose debug application ike -1---------------------------------------------------execute 命令：FortiGate #execute ping 8.8.8.8 //常规ping操作FortiGate #execute ping-options source 192.168.1.200 //指定ping数据包的源地址192.168.1.200FortiGate #execute ping 8.8.8.8 //继续输入ping 的目标地址，即可通过192.168.1.200的源地址执行ping操作FortiGate #execute traceroute 8.8.8.8FortiGate #execute telnet 2.2.2.2 //进行telnet访问FortiGate #execute ssh 2.2.2.2 //进行ssh 访问FortiGate #execute factoryreset //恢复出厂设置FortiGate #execute reboot //重启设备FortiGate #execute shutdown //关闭设备。

1、虚拟域（VDOMS）----虚拟防火墙配置：（1）首先web 登陆防火墙（真机https://+ip，虚拟机http://+ip），虚拟机用户名：admin，密码：没（空的）。

登陆到管理面板找到虚拟域，默认禁用，点击启用为启动。

（2）然后启动虚拟域后，虚拟重新登陆，用户名和密码不变。

点开VDOM 界面，上面可以新建一个虚拟域（就是新的虚拟防火墙）。

防火墙名和模式，NAT为3层，透明为2层。

3、在左手边系统菜单下面有当前VDOM角色，有全局和VDOM可以选。

2、VDOM 启用后，点击全局配置模式---------网络----接口，可以把接口分配给不同的虚拟域（1）全局点开接口后，选择着需要更改虚拟域的接口，选择上方编辑（2）点开端口编辑，能配置端口IP和相应管理协议还可以设置端口监控，web 代理、分片等。

附加IP地址就是例如一个公网24位的地址，运营商给了10个可以用IP：10.10.10.1 -10地址模式上填写：10.10.10.1 ，剩余10.10.10.2-10就可以通过附加IP地址填写。

3、除了对现有接口进行编辑，也能新建接口，新建接口后能选择接口类型，（根据深信服上端口配置，均为3层口，这次配置具体端口是什么类型，需要客户确认）其余配置和编辑端口时一样。

4、需要对虚拟防火墙进行路由、策略配置需要寻找当前VDOM角色：静态路由配置，配置完静态路由后，能点开当前路由查看路由表：5、防火墙object 虚地址（为外网访问内网服务器做的端口转换）6、policy 这边所做的就是NAT 和其他放通的策略。

可以完成参照深信服防火墙的策略来做。

7、全局模式下，配置HA（1）集群设置：群名和密码，主备要完全一致，启动会话交接（就是主挂了的时候，被会直接把会话复制过去，然后起来运行）（2）主备设置，设备优先级默认128，优先级高的，设备为主，记得勾选储备管理端口集群成员(这样就能对集群的设备进行单个管理)(3)选择端口作为心跳线，例如选择PORT4口,然后把心跳线对接，同步配置就可以。

.Fortigate防火墙安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章、口令管理与认证授权 (2)2.1管理* (2)2.1.1用户管理* (2)2.1.2删除无关的* (2)2.1.3登录超时* (3)2.1.4密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度 (5)2.3授权 (6)2.3.1远程维护的设备使用加密协议 (6)第3章日志安全要求 (7)3.1日志服务器 (7)3.1.1启用日志服务器 (7)3.1.2配置远程日志服务器 (7)3.2告警配置要求 (8)3.2.1配置对防火墙本身的攻击或部错误告警 (8)3.2.2配置DOS和DDOS攻击告警 (9)3.2.3配置扫描攻击检测告警* (9)3.3安全策略配置要求 (10)3.3.1访问规则列表最后一条必须是拒绝一切流量 (10)3.3.2配置访问规则应尽可能缩小围 (11)3.3.3VPN用户按照访问权限进行分组* (11)3.3.4配置NAT地址转换* (12)3.3.5关闭仅开启必要服务 (13)3.3.6禁止使用any to anyall允许规则 (13)3.4攻击防护配置要求 (14)3.4.1配置应用层攻击防护* (14)3.4.2配置网络扫描攻击防护* (15)3.4.3限制ping包大小* (15)3.4.4启用对带选项的IP包及畸形IP包的检测 (16)第4章IP协议安全要求 (17)4.1管理IP限制 (17)4.1.1管理IP限制 (17)第5章SNMP安全 (18)5.1SNMP管理 (18)5.1.1使用SNMPV2或以上版本 (18)5.2SNMP访问控制 (19)5.2.1SNMP访问控制 (19)第6章评审与修订 (20)第1章概述1.1目的本文档旨在指导系统管理人员进行Fortigate防火墙的安全配置。

FortiGate飞塔防火墙简明配置指南说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。

防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin，密码为空登陆到web管理页面后默认的语言为英文，可以改为中文在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使用选择com1，设置如下图输入回车即可连接，如没有显示则断电重启防火墙即可连接后会提示login，输入帐号、密码进入防火墙查看接口IP：show system interface配置接口IP：config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二：配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal，IP，192.168.1.1 访问方式，https ping http telnet本例中外网接口是wan1，IP，192.168.100.1访问方式，https ping步骤三：配置路由在路由----静态中写一条出网路由，本例中网关是192.168.100.254步骤四：配置策略在防火墙----策略中写一条出网策略，即internal到wan1并勾选NAT即可。

Fortigate IP/MAC绑定设置方法一、逐条IP/MAC地址绑定设置1、首先进入命令模式，用telnet 命令进入防火墙，如：telnet 192.168.1.99(这指防火墙的Internal口IP地址)，并输入用户名和口令。

2、进入防火墙的命令操作界面后，按下图的方式和命令进行绑定。

第一个红框中命令解释如下：Config firewall ipmacbinding setting 进入MAC地址功能开启界面Set bindthroughfw enable 允许绑定的IP穿透防火墙Set bindtofw enable 充许绑定IP到达防火墙Set undefinedhost block或allow 没有绑定的全部阻止End 退出保存的意思第二个红框中的意思在接口上启用绑定功能:Config system interface 进入接口配置界面Edit internal（这里填具体端口）进入接口Set ipmac enable 开启IP/MAC地址绑定功能End 退出保存3、具体绑定操作：上图各个命令解释：Config firewall ipmacbinding table 进入绑定界面Edit 1 输入编辑行号（每一个行代表一个IP/MAC地址的绑定）Set ip 192.168.1.5 指定IP地址Set mac 00:0c:29:34:95:60 指定MAC地址（需要用‘：’隔开）Set name ‘test’指定名称Set status enable 开启状态End 退出保存Show firewall ipmacbinding table 1 查看编号为1的IP/MAC绑定情况到此，一个IP/MAC绑定就完成了。

注：当有多个绑定的时候，每编辑完一个，都要“end”，然后“edit 2、edit 3……edit N”一直到全部写完为此；输入edit 1命令进行创建表1并进入到表1的命令行界面（表此数字是依次增加的，一个表只能绑定一个IP、MAC，继续绑定第二个IP时需要输入edit 2）二、FG防火墙批量绑定方法：1、前两步功能开启和穿透设定，同逐条IP/MAC地址绑定一样，请参照1-2步操作。

华为技术安全服务Fortigate防火墙简明配置指导书华为技术华为技术有限公司二〇一三年六月版权声明©2003 华为技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。

作者信息修订记录目录第一章、产品简介 (4)第二章、FORTIGATE防火墙简明配置指导 (8)1、恢复缺省 (8)2、串口配置 (8)3、交叉网线连port3，进入web配置 (9)4、配置外口网关 (9)5、配置路由 (10)6、配置虚拟外网IP (10)7、配置端口服务 (11)8、组合服务 (11)9、将组合服务关联到映射IP (12)第一章、产品简介FortiGate安全和内容控制系列产品，是利用一种新的体系结构方法研发的，具有无与伦比的价格/性能比；是完全的、所有层网络安全和内容控制的产品。

经过一些安全行业深受尊重的安全专家多年的研究开发，FortiGate解决方案突破了网络的“内容处理障碍”。

提供了在网络边界所有安全威胁类型（包括病毒和其它基于内容的攻击）的广泛保护。

并且具备空前的消除误用和滥用文字的能力，管理带宽和减少设备与管理的费用。

常规的安全系统，像防火墙和VPN 网关在防止称为网络层攻击是有效的，它通过检查包头信息来保证来自信任源合法请求的安全。

但在现今，绝大多数破坏性的攻击包括网络层和应用层或基于内容的攻击进行联合攻击，例如病毒和蠕虫。

在这些更多诡辩的攻击中，有害的内容常常深入到包内容，通过许多表面上“友好的”很容易穿过传统防火墙的数据包传播。

同样的，有效的网络保护依靠辨认复杂和狡猾的若干信息包模式样本，并且需要除了网络层实时信息，还有分解和分析应用层内容（例如文件和指令）的能力。

然而，在现今的网络速度下，完成高效率的内容处理所必需的处理能力要超过最强大网络设备的性能。

结果，使用常规解决方案的机构面临着“内容处理障碍”，这就迫使他们在桌面和服务器上加强内容服务的配置。

飞塔防火墙fortigate的show命令显示相关配置，而使用get命令显示实时状态show full-configuration显示当前完全配置show system global ?查看主机名，管理端口显示结果如下config system globalset admin-sport 10443set admintimeout 480set hostname "VPN-FT3016-02"set language simchset optimize antivirusset sslvpn-sport 443set timezone 55endshow system interface ?查看接口配置显示结果如下edit "internal"set vdom "root"set ipset allowaccess ping https ssh snmp http telnetset dns-query recursiveset type physicalnextget system inter physical查看物理接口状态，，如果不加physical参数可以显示逻辑vpn接口的状态==[port1]mode: staticipstatus: upspeed: 100Mbps Duplex: Full==[port2]mode: staticipstatus: upspeed: 1000Mbps Duplex: Fullshow router static ?查看默认路由的配置显示结果如下config router staticedit 1set device "wan1"nextendget router info routing-table static?查看路由表中的静态路由HuaiAnshow router ospf 查看ospf 的相关配置show system dns ?查看dns的相关配置显示结果如下config system dnsendget router info routing-table all 显示全局路由表（相当于cisco的show ip routing）VPN-FT3016# get router info routing-table allCodes: K - kernel, C - connected, S - static, R - RIP, B - BGP? ? ? O - OSPF, IA - OSPF inter area? ? ? N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2? ? ? E1 - OSPF external type 1, E2 - OSPF external type 2? ? ? i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area? ? ? * - candidate defaultget router info ospf neighbor 查看ospf邻居建立关系（相当于cisco的show ip ospf nei）。

飞塔常用命令FortiGate飞塔防火墙显示相关配置实用命令(2012-11-19 13:44:49)转载▼标签：全局静态接口物理逻辑杂谈分类：防火墙/VPN/负载均衡飞塔防火墙FortiGate的show 命令显示相关配置，而使用get命令显示实时状态show Full-configuration显示当前完全配置show system global 查看主机名，管理端口显示结果如下config system globalset admin-sport 10443set admintimeout 480set hostname "NEWCASE"set language simchset optimize antivirusset sslvpn-sport 443set timezone 55endshow system interface 查看接口配置显示结果如下edit "internal"set vdom "root"set ip 192.168.253.1 255.255.255.200set allowaccess ping https ssh snmp http telnetset dns-query recursiveset type physicalnextget system inter physical查看物理接口状态，如果不加physical 参数可以显示逻辑VPN接口的状态==[port1]mode: staticip: 218.94.115.50 255.255.255.248status: upspeed: 100Mbps Duplex: Full==[port2]mode: staticip: 88.2.192.52 255.255.255.240status: upspeed: 1000Mbps Duplex: Fullshow router static 查看默认路由的配置显示结果如下config router staticedit 1set device "wan1"set gateway 27.151.120.Xnextendget router info routing-table static查看路由表中的静态路由S* 0.0.0.0/0 [10/0] via 218.94.115.49, port1S 66.72.0.0/16 [120/0] via 88.0.195.130, HuaiAnshow router ospf 查看ospf 的相关配置show system dns 查看DNS的相关配置显示结果如下config system dnsset primary 208.91.112.53set secondary 208.91.112.52endget router info routing-table all 显示全局路由表（相当于cisco 的show ip routing）VPN-FT3016# get router info routing-table allCodes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate defaultS* 0.0.0.0/0 [10/0] via 218.94.115.49, port1O 1.1.1.1/32 [110/2] via 88.2.192.50, port2, 07w2d23hO 2.2.2.2/32 [110/2] via 88.2.192.81, port4, 07w2d23hO E1 10.100.10.0/23 [110/22] via 88.2.192.50, port2, 07w2d23hO E1 10.100.20.0/23 [110/22] via 88.2.192.50, port2, 07w2d23hO E1 10.254.1.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h[110/21] via 88.2.192.81, port4, 07w2d23hO E1 10.254.2.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h[110/21] via 88.2.192.81, port4, 07w2d23hO 10.254.133.0/24 [110/2] via 88.2.192.50, port2, 07w2d23h O E1 30.40.1.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h O E1 30.40.2.0/24 [110/21] via 88.2.192.50, port2, 07w2d23h O 66.0.32.0/24 [110/2] via 88.2.192.50, port2, 07w2d23h[110/2] via 88.2.192.81, port4, 07w2d23h。

飞塔防火墙fortigate的show命令显示相关配置，而使用get命令显示实时状态show full-configuration 显示当前完全配置show system global 查看主机名，管理端口显示结果如下config system globalset admi n-sport 10443set adm in timeout 480set host name "VPN-FT3016-02"set Ian guage simchset optimize an tivirusset sslvp n-sport 443set timez one 55endset allowaccess ping https ssh snmp http telnet set dn s-query recursiveset type physicaln extget system in ter physical 查看物理接口状态，，如果不加physical参数可以显示逻辑vpn接口的状态==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2]mode: staticip: 88.2.192.52 255.255.255.240status: upspeed: 1000Mbps Duplex: Fulledit 1set device "wa n1" set gateway 27.151.120.Xn ext end get router info rout in g-table static查看路由表中的静态路由S* 0.0.0.0/0 [10/0] via 218.94.115.49, portlS 66.72.0.0/16 [120/0] via 88.0.195.130, HuaiAnset seco ndary 208.91.112.52 endget router info routing-table all 显示全局路由表（相当于cisco 的show ip routing ）VPN-FT3016# get router info rout in g-table allCodes: K - kernel, C - conn ected, S - static, R - RIP , B - BGPO - OSPF, IA - OSPF in ter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - can didate defaultS* 0.0.0.0/0 [10/0] via 218.94.115.49, port1O 1.1.1.1/32 [110/2] via 88.2.192.50, port2, 07w2d23h。

Fortigate IP/MAC绑定设置方法一、逐条IP/MAC地址绑定设置1、首先进入命令模式，用telnet 命令进入防火墙，如：telnet 192.168.1.99(这指防火墙的Internal口IP地址)，并输入用户名和口令。

2、进入防火墙的命令操作界面后，按下图的方式和命令进行绑定。

第一个红框中命令解释如下：Config firewall ipmacbinding setting 进入MAC地址功能开启界面Set bindthroughfw enable 允许绑定的IP穿透防火墙Set bindtofw enable 充许绑定IP到达防火墙Set undefinedhost block或allow 没有绑定的全部阻止End 退出保存的意思第二个红框中的意思在接口上启用绑定功能:Config system interface 进入接口配置界面Edit internal（这里填具体端口）进入接口Set ipmac enable 开启IP/MAC地址绑定功能End 退出保存3、具体绑定操作：上图各个命令解释：Config firewall ipmacbinding table 进入绑定界面Edit 1 输入编辑行号（每一个行代表一个IP/MAC地址的绑定）Set ip 192.168.1.5 指定IP地址Set mac 00:0c:29:34:95:60 指定MAC地址（需要用‘：’隔开）Set name ‘test’指定名称Set status enable 开启状态End 退出保存Show firewall ipmacbinding table 1 查看编号为1的IP/MAC绑定情况到此，一个IP/MAC绑定就完成了。

注：当有多个绑定的时候，每编辑完一个，都要“end”，然后“edit 2、edit 3……edit N”一直到全部写完为此；输入edit 1命令进行创建表1并进入到表1的命令行界面（表此数字是依次增加的，一个表只能绑定一个IP、MAC，继续绑定第二个IP时需要输入edit 2）二、FG防火墙批量绑定方法：1、前两步功能开启和穿透设定，同逐条IP/MAC地址绑定一样，请参照1-2步操作。