飞塔双WAN(双链路)连接配置
2009-07-16 14:07:18 来源:未知作者:admin点击数:684 评论:
0 转发至:
用两条链路接入互联网有两种情况:冗余和负载均衡。这两种情况可以单独部署也可以联合使用。如下表:
环境介绍:
所有运行FortiOS2.8及以上版本的FortiGate设备。
步骤:
在每种情况中必须配置适当的防火墙策略,让数据可以正常通过。本文关心路由问题。
情况一:冗余
正常情况下只有一条链路承载数据,如果该链路断掉则备份链路开始承载数据。1,路由:
每条链路都需要配置一条默认路由,设置主链路的管理距离比备份链路底,这样在路由表中只有主链路的路由。
2,链路失效检测(Ping服务器):
链路失效检测可以检测到对端的链路是否正常。Ping服务器的地址一般是下一跳或网关地址。可以在系统管理----网络中编辑接口,配置Ping服务器。
3,防火墙策略:
一般情况下,必须配置两条防火墙策略,保障一条链路断掉后另一条会正常工作。例如:Internal > WAN1 & Internal > WAN2。详情。
情况二:负载均衡
同时使用两条链路,这种情况会提高转发带宽,但没有链路失效恢复的保障。1,路由需求:
一条主链路的默认路由,用更详细的路由通过其他链路转发其他数据。详细信息。
情况三:冗余和负载均衡
同时使用两条链路转发数据。在这种情况下一条链路断掉数据会全部从另一条链路通过。
使用两条默认路由,且其管理距离相同。除了管理距离必须一样外,这和情况一类似。这样做的结果是两条路由都可以在路由表中看到。
设定管理距离:
一般情况下在路由----静态中设定。
如果是PPPoE接口需要在系统管理----网络中编辑接口,在PPPoE选项下设定管
理距离,同时要勾上从服务器中重新得到网关。
确保一条链路总是转发数据:使用一条默认策略路由可以让一个接口总是能访问互联网。
**警告----当配置此策略时需要额外注意!**
当数据包匹配策略路由时,策略路由就会比路由表中其他所有路由都优先(包括直连),即数据包会按策略路由执行。有时你可能要加入更详细的策略路由,这些路由优先于默认的策略路由。策略路由表示从上到下执行的。
让数据通过辅链路转发:为了提高辅助链路利用率,可以使用策略路由,让一些数据通过辅链路转发,减轻主链路负载。
当配置策略路由时,最好只选择流出接口而不填写网关地址。这样做可以确保在链路断掉时策略路由就不会有效。
特例:
1,同时监控两个WAN接口:
如果需要通过Ping两个WAN接口来证实两条链路都启用,就需要将两条默认路由的管理距离设成一致。
2,通过虚拟IP路由数据包:
与虚拟IP关联的会话将采用特殊方式处理。
实例一:虚拟IP在非默认接口上
有一台FortiGate-60,默认路由的出口是WAN 1,在WAN 2口上有一个虚拟IP,该虚拟IP指向DMZ中网站服务器。
在这种情况下,不需要针对该虚拟IP配置额外的静态路由或策略路由。因为一条路由缓存已经告诉FortiGate设备,需要将路径返回哪个接口。
实例二:冗余虚拟IP
有一台FortiGate-60,它的WAN 1和WAN 2都配置了一个虚拟IP,它的DMZ接口连接网站服务器。
进方向的流量和实例一中讨论的结果一致。
出方向的流量会把服务器的IP改成两个虚拟IP中的一个,确定是改成哪个虚拟IP需要看哪条链路的路由更优。
可以通过一条策略路由让出方向流量经指定端口流出。
关键字:冗余,负载均衡,策略路由,双链路介入互联网
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
双Wan口双线单网卡实现网速叠加 在WIN7环境在(因自己用的是WIN7系统,其他系统未知),如果你具备以下条件,不妨试一下双网叠加,网速翻倍!!! 我的上网条件: 1、公司的1条电信4M宽带+ 猫+ 公司办公司路由器1个 2、自己的1条电信4M宽带+ 猫+ 自己的路由器1个+ 自己的5口交换机1个 以上是公司用网宽带和我自己的用网宽带条件 下面是自己用交换机和公司路由+ 自己的路由实现网速下载叠加4M ADSL 达到800Kb/s 步骤一 1、先分别进入两个路由器设置界面,设置公司路由LAN口IP为192.168.1.2,自己的路由LAN口IP地址为192.168.1.1(在后面的本地连接属性中自己路由器IP填为的为首选)。 2、设置自己用的电脑静态地址,公司和我的路由器都将我的电脑分配一个相同的IP地址(保存重启生效),我的
是192.168.1.103 连接上网设备(单个路由和猫的连接就不介绍了,大家应该都知道) 三条网线,两条网线分别将两个路由器接到交换机接口,另一条接自己用的电脑和交换机,硬件设备连接完毕。 步骤二 设置本地连接属性 自己用的路由器设置为首选DSN服务,具体看图
设置完毕确定保存 完成后查看本地属性设置显示OK
下面是下载测试的实际下载速度,达到了900KB/S,正常单线4M 的ADSL的下载速度为400-500KB/S,大功告成!!
如果你有双线网络,就不要让他浪费了,用上面的简单方法就能享受2条线的网络下载速度,正式爽歪歪!!(不是什么新方法,在网上看到的,但是网上的步骤不够详细,所以自己弄了一遍,分享给大家,希望管用。举例总的两个路由器和交换机都是TP-LINK,其他的路由器可能应该也是一样的设置)
如何设置双路由器,图文详解 方法一: 要点:更改第二个路由器自己的IP地址,关闭它的DHCP。 一。首先保证只一个路由器时能正常上网。 二。1)设置计算机:每台计算机最好都照如下设置:网络邻居-右键-属性,本地连接-右键-属性,TCP/IP属性,自动获取。
二。2)设置路由器。 设置路由器最好参照说明书。 可能要对两个路由器进行设置。在这里将原来的路由器命名为路由器Ⅰ。后加的路由器命名为路由器Ⅱ。要设置哪个路由器,则使用计算机直接连接那个路由器,同时,最好将其余不相关的网线暂时从该路由器上拆除。路由器Ⅰ的设置参考下图: 路由器Ⅱ的设置参考下图:
三。连接方法。参考下图: 路由器Ⅰ连路由器Ⅱ的那根网线最好是交叉网线。路由器Ⅰ的任意一个LAN口连路由器Ⅱ的任意一个LAN口即可。
四。检查是否可以正常上网了。 如果还不能上网,检查自己的设置是否正确,可利用命令来实现,参考下图:
五。此种连接方式说明。 此种方式将路由器Ⅱ当作集线器(HUB)使用,在某种意义上来说可以看成是透明的。因此所有的计算机的地位是平等的,访问局网共享也毫无阻力。但此种方法会消耗掉2个LAN口,因此多加一个4口路由器只能最多接6台电脑。因为路由器Ⅱ几乎是透明的,因此接路由器Ⅱ的电脑的网关应该和①②③台电脑一样是路由器Ⅰ的IP地址,但是由于路由器Ⅱ的DHCP可能造成分配IP地址给④⑤⑥时把网关设置成自己,因此在上面需要指定一下。 方法二: 要点:设置第二个路由器的WAN口为动态IP以便从第一个路由器那里获得IP地址,更改它自己的IP地址和DHCP到另一个网段去使之与第一个路由器不在同一个网段。 一。计算机的设置和路由器Ⅰ的设置都与第一种方法类似。 1)路由器Ⅰ的设置同方法一。 2)路由器Ⅱ的设置见下图: 更改WAN口地址,更改LAN口地址,更改DHCP地址范围。
fortigate 简易设置手册 一、更加语言设置: 1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入: https://192.168.1.99进入设置界面,如下图: 2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置), 进入如下图:在红框标注的位置进行语言选择。 二、工作模式的设置:
Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式; 要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。 三、网络接口的设置: 在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。 点击编辑按钮,进入如下图所示: 在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式: 1、采用静态IP的方式:如下图: 在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中,指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。 在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。如下图:
2、如采用ADSL拨号的方式,如下图: 当你选中PPOE就会出现如下图所示的界面: 在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.
无线路由器WAN口设置中的各种联网方式详解 大家设置无线路由器连接到互联网时,第一步必须是指定WAN口的联网方式,可选择的方式主要有静态IP、动态IP、PPPOE、L2TP、PPTP等等,一般来说,PPPOE 是最大众化的(也就是传说中的ADSL),其他的方式也或多或少存在一些,这里我们重点介绍一下PPPOE,具体设置请参考无线路由器设置大全https://www.doczj.com/doc/6e7186164.html,/special/。 PPPOE PPPOE也就是ADSL了,这种宽带接入的优势在于可以使用电话线作为传输介质而无需专门铺设线路,而且传输速度也相当给力,大中城市4M的带宽已经很普及的说,无线路由器配置PPPOE的界面如下图所示: z上网账号、上网口令、确认口令:这个不解释,办理宽带业务的时候会提供给用户。z特殊拨号模式:针对某些运营商的封杀行为,可以使用特殊拨号来化解。
z第二连接:就是说如果拨号不成功,会选择这里的第二连接,不过前提是运营商要提供这种方式,一般保持禁用。 z连接模式:推荐选择自动连接,这样无线路由器在开机和断线的时候都会自动重连。 对一般用户来讲,上边的设置完成之后就已经大功告成了,专业用户可以点击高级设置来进行进阶设定: z数据包MTU:MTU是最大传输单元的缩写,以太网的MTU就是1480byte了,数据包的尺寸超过这个值就要分片了,这个值保持默认的就好。 z服务名、服务器名:运营商不做特殊要求,这里无需填写。 z使用ISP指定IP地址:使用静态PPPOE的时候填写,就是说运营商不但给了用户名密码还给了IP地址的情况下。 z在线检测间隔时间:这个和上边的服务名、服务器名配合使用,就是无线路由器定期发送信号来监测服务器是否在线,既然上边的没有指定,这里填0就对了。 z DNS服务器、备用DNS服务器:不想使用运营商提供的,就填上自己想要的吧,DNS 的选取很重要,DNS服务器的不稳定经常会造成无线网络连接上但上不了网https://www.doczj.com/doc/6e7186164.html,/wireless/50.html的现象发生。 所有参数填写完成,点击保存,设置生效。 静态IP WAN口的联网方式选择为静态IP时,所有参数都要手工填写,包括IP地址、子网掩码、网关、DNS等,听到这里,小白用户很定头大了,莫担心,运营商会指导用户怎么填的。
软路由实现双WAN口带宽叠加 一、硬件条件 1、要实现双W AN并能实现带宽的叠加,那自然要有两个宽带了,这是必须的,至于怎么弄两个宽带,那我就不多说了,自己想办法去。 2、要有两个网卡,不必太在意是无线网卡还是有线网卡,在我的“晒晒俺的双wan”一贴中有同学提出海蜘蛛(一个软路由软件)是否支持无线网卡,在这里我可以很负责任的告诉你在VMware Workstation虚拟机上是支持的,因为我用的就是一块INTEL 3945 无线网卡。 3、下载必要的软件,我这里就不写下载地址了,在网上连必要的软件都淘不来的,那也没必要再往下看了(没有贬低什么人的意思)。 二、言归正传 在windows系统上运行VMware Workstation虚拟机软件。而且基于虚拟机的话,电脑还可以在windows系统下正常做事情,并不像一些方案专门要独占一台电脑来做路由。还有一个好处就是可以相对比较方便的添加更多的物理网卡,叠加更多的线路带宽。无线网卡就不必多说了,像萨基姆760N这种性能不错的USB网卡仅30元左右。有线网卡的话,PCI或PCI-E等等的网卡由于插槽数有限,插不了很多。如果用多口的网卡价格又贵上很多。怎么办?我们可以用USB网卡,USB2.0的百兆网卡仅20元左右,配合USB HUB或者Card Bus 转USB卡之类的,可以拓展出很多个USB口,网卡可以轻易增加很多个。然后用虚拟机桥接给虚拟网卡即可。 1、先下载软件: 虚拟机请使用V6.0以上版本,V5版本会出现海蜘蛛安装时不识别虚拟硬盘的情况。另外绿色版的VMware有可能会出现错误,譬如海蜘蛛FAQ中推荐的20MB绿盟版,添加虚拟网卡报错。 2,安装虚拟机:
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
路由器设置多WAN口要点技巧 对于企业网络来说,随着使用人数的增加,其网络应用也越来越多,当所有人使用一条网线时,明显会感觉到网速越来越慢,如果能多添加一条线路接入,那么就可以大大提高上网的速度,由于多WAN口路由器诞生了。 一、多WAN口路由器需要处理的数据很大,所以大多采用能力很强的处理芯片,对于带宽滥用及恶意攻击也起到防止作用,可以更全面地解决带宽升级方面的需求,多WAN路由器的使用目的大体上与单WAN路由器其实是一样的,为连接内部网络和公共网的接口并提供防火墙功能服务,只是多了一个可以进行第二互联网连接的以太网地址。它可以通过内置的智能型管理方式来进行流量负载均衡控制。 二、一般采用多WAN口连接,第二种连接方式最好和第一种连接方式有所不同,采用不同的运营商,这样不同运营商间可以互相备援,一般为电信和网通,这是由于许多带宽不足的问题都是因为跨网运营商带宽不足而引发。 三、在投资建立一个新的双WAN口路由器时,用户必须非常清楚地确认可以真正的拥有第二条联机,因为有些地方可能无法供应第二条线,或者没有其它运营商的网路存在,用户即使愿意付钱,也无法提供服务。 四、思科路由器内建强大高效的网路处理器,与基本的双WAN路由器相比,思科路由器提供了很多附加功能,解决BT下载问题的带宽限制功能、全中文的配置接口、不同WAN端口的负载均衡等等,非常适合中小企业、办事处、分支办公室及有宽带接入需求的组织应用。 五、思科路由器还支持带宽管理功能,可设定多组存取规则,管理对内及对外连线。管理者可依照IP或者服务埠来限定网路使用,使畅通效率加倍,并且可以任意设定保证带宽、最高带宽及优先权的设定。 六、对于大部分的用户来讲,路由器根据它的基本设置就可以开始工作并均衡负载了,如果需要的话可以通过设置接口来调整负载均衡、备份功能的属性、带宽管理及防火墙的功能,可以让带宽的运用更有效率,用户可以在路由器的状态页面,选择相关的属性来不时地检测他们的状态,还可以看到其广域网连接的状态和流量的分布状况。
F o r t i g a t e3.0M R4中文配置向导 目录 介绍(关于这篇文章介绍)-------------------------------------------------------------------------------------3 Fortigate 60防火墙介绍---------------------------------------------------------------------------------------4其他systex安全产品---------------------------------------------------------------------------------------4 SOHU&中小型网络拓扑结构-------------------------------------------------------------------------------5注:文中的IP地址以实际操作时配置的地址为准。不必照搬。 准备工作 1.修改自己电脑IP 2.进入防火墙界面 3.修改防火墙密码(以及忘记密码如何操作) 4. 配置防火墙的内网IP地址----------------------------------------------------------------------------------9目的:把防火墙的IP修改成自己想要的IP 配置局域网共享上网----------------------------------------------------------------------------------------10目的:使局域网的PC都能通过防火墙连接到Internet 设置ADSL用户名和密码拨号上网 设置固定IP上网 设置动态分配IP上网 配置双WAN共享上网---------------------------------------------------------------------------------------14目的:使用2根宽带线路连接到Internet 设置WAN2 设置WAN2 ADSL用户名和密码拨号上网 设置WAN2 固定IP上网 设置WAN2动态分配IP上网 配置特定人员从指定WAN口上网------------------------------------------------------------------------17目的:使特定人员从指定的WAN口上网 设置步骤 配置WEB服务器映射---------------------------------------------------------------------------------------19目的 设置虚拟服务器 设置地址映射 设置开放端口 配置过滤---------------------------------------------------------------------------------------------------------26目的 设置URL(网站地址)过滤
第一步,准备两台TP-LINK480单WAN口路由器,分别接入网通线路和电信线路,再把路由器接入主交换机。在设置路由器时,设置外网IP时正常设置即可。详细步骤: 1 找一台与路由器连接的客户机,客户IP设置为192.168.1.11、子网掩码为255.255.255.0,网关和DNS为192.168.1.1。 2 打开IE浏览器,再地址处键入“192.168.1.1”,输入路由器管理账号、密码,进入路由器设置界面。 3 先点击左边的“网络参数”,再点击“LAN口设置”,在右边的“IP地址设置”中设为“192.168.1.1”,点“保存”。 4先点击左边的“网络参数”,再点击“WAN口设置”,在右边的“WAN口连接类型”设为“静态IP”,“IP地址、子网掩码、网关,DNS服务器、备用DNS服务器”,分别设为“221.135.239.10、255.255.255.128、222.135.239.1、218.56.57.58、202.102.152.3”,点“保存”。(根据互联网接入商提供的参数填写即可) 5 同理,设置另外一台路由器,不同的是,在“LAN口设置”中设为“192.168.1.2” 路由器设置完毕。 第二步,设置内部服务器。 1 设置计费机,“IP地址”设为“192.168.1.20”、“子网掩码”为“255.255.255.0”、“网关”为“192.168.1.1”,“DNS服务器”为“192.168.1.1”、“备用DNS服务器”为空, 铁通电信 | | 猫猫 | | 路由路由 | | ———— 交换机 ||||| 电脑电脑电脑
TPlink 478+ —— 两个24口交换机要互连应该在同一网段。默认是:192.168.1.100~200。然后开启一个24交换机将整组的MAC与IP:192.168.1.100~123绑定,在“流量均衡控制”添加IP地址调度规则“来自LAN口-192.168.1.100-192.168.1.123 ALL端口协议”数据包“只能”从WAN口“1”转发 剩下的那个24交换机的MAC和IP可以不绑定,只要在“流量均衡控制”添加IP地址调度规则“来自LAN口-192.168.1.124-192.168.1.200 ALL端口协议”数据包“只能”从WAN口“2”转发注意是:只能!不是优先! 这样两个24交换机内的机子就只从指定的W AN口上网等于是两个路由带两个交换机 TL-R478+内网默认IP地址是192.168.1.1,用户名及密码均为admin,使用IE登录成功后会弹出快捷配置窗口,这也是TP-LINK产品的惯例,小编称其为是“开门两板斧”: 一、介绍之… 二、宽带接入类型,相信使用ADSL的用户占绝大多数。
双WAN路由器实现电信网通双出口 目前中国的ISP主要有电信和网通两家,电信和网通之间的带宽较低,从而导致了很多问题的出现。 要解决这个问题,目前普遍的做法是在路由器端采用WAN口路由器设备。下面以华盖Vigor的双WAN路由器为例来说明。 Vigor全系列的双WAN口路由器都内置了电信,网通的路由,通过申请电信网通各一条线路,然后设置“电信走电信,网通走网通”就可以让本地网络的PC 可以做到高效访问电信、网通的站点。这样一来,Vigor路由器就在电信和网通之间搭了一条高速公路。网通用户通过网通线路高速访问到中心路由器的网通线路,然后中心路由器内部将请求转到电信线路发出,到达目的电信站点。然后返回数据按照原路返回。这样一来,由于电信-网通之间的转换是在路由器LAN中进行,因此不存在速度瓶颈,从而一举解决了企业内部访问外网速度慢的问题。 采用Vigor 2910路由器作为出口设备,可以通过路由器设置来实现电信网通之间的快速访问。 中心点:Vigor 2910,双wan口接(电信、网通各一条出口)。 分支:多台PC需要“电信走电信,网通走网通”上网的情况。 这样,我们就好像在电信、网通之间架起了一座“高速公路”。电信的用户上网通网站,网通的用户上电信网站都变得很快。另外,更为重要的是,由于这条“高速公路”的存在,当企业分支的用户都接入中心路由器后,他们之间的互访也会变得快捷起来。企业用户不用再困扰两运营商网络间交流不畅的问题。 唐山瑞德数码城销售商:创基通信公司 联系电话:2840079、2854259 华盖Vigor 2910网上报价:1500-2000元
Vigor 2910特色 一、双WAN口 有别于市场上常见的双WAN口产品,Vigor 2910系列的双WAN口是可选的双WAN口,LAN P1口和WAN2共享端口,当WAN2未启用时,P1为LAN口;WAN2启用时,P1即为WAN2。这样的设计减少了生产成本,提高了产品的性价比。 Vigor的双WAN口可以实现多种应用: (1)负载平衡。两条线路同时上线,共同分摊用户的上网带宽。可以通过策略路由的设置,使特定的用户使用特定的线路,实现“专线专用” (2)线路备援。一条主线路,一条备用线路。当主线路发生断线情况时,副线路自动连接,使网络全天候连接 二、基于对象的防火墙 传统的防火墙路由器一般都是基于IP来设置访问规则,这为网管们带来了很多麻烦,例如,IP地址无法直观反映出哪个IP是哪个人,哪几个IP是哪几个部门。所以当规则设置很多的时候,网管就不胜其烦。Vigor 2910全新的基于对象的防火墙是网管的福音。 2910系列防火墙有如下特点: (1)将枯燥的IP地址标记为对象。可以定义IP对象,例如192.168.1.10-20定义为sale部门对象,192.168.1.30-50是管理部门对象。设置规则的时候,就只需要选择sales/management就可以直观的完成设置 (2)将目标服务标记为对象。可以定义web服务,dns服务为对象,设置的时候只需点选即可 (3)对象可以编组。可以将几个对象编为一组进行设置,例如销售部门和管理部门同时限制ftp下载。也可以将服务对象进行编组,例如dns和web服务编为一组。 (4)规则修改方便。我们经常会发现当设置了一堆规则时,网络规划进行了一些改变,比如sales部门要增加几个人,这时候,传统的IP防火墙必须对每个规则逐个修改,工作量很大。而使用2910,只需修改相应的对象,就可以完成修改了,工作量非常小 把各种对象先定义好,然后进行适当的排列组合,就可以完成防火墙的设置,网络规则的规划会变得非常简单,网管的工作将变得非常容易^_^ 三、内容安全管理
飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见https://www.doczj.com/doc/6e7186164.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。 fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、fortiguard 入侵防护(ips)服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括: 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能: 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。
第1章第2章2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章3.1 3.2 录 FORTINET 配置步骤配置步骤...... 2 FORTINET 防火墙日常操作和维护命令 (29) 防火墙配置......29 防火墙日常检查 (29) 防火墙的会话表:(系统管理-状态-会话)......29 检查防火墙的CPU、内存和网络的使用率......31 其他检查 (31) 异常处理……31 使用中技巧……32 FORTGATE 防火墙配置维护及升级步骤…… 33 FORTIGATE 防火墙配置维护......33 FORTIGATE 防火墙版本升级 (33) 第1章Fortinet 配置步骤章 1.1.1.1 Fortigate 防火墙基本配置 Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理IP 地址,缺省的基本管理地址为P1 口192.168.1.99,P2 口192.168.100.99。但是由于P1 口和P2 口都是光纤接口,因此需要使用Console 口和命令行进行初始配置,为了配置方便起见,建议将P5 口配置一个管理地址,由于P5 口是铜缆以太端口,可以直接用笔记本和交叉线连接访问。之后通过https 方式登陆到防火墙Internal 接口,就可以访问到配置界面 1. 系统管理”菜单 1.1 “状态”子菜单1.1.1 “状态”界面 “状态”菜单显示防火墙设备当前的重要系统信息,包括系统的运行时间、版本号、OS 产品序列号、端口IP 地址和状态以及系统资源情况。如果CPU 或内存的占用率持续超过80%,则往往意味着有异常的网络流量(病毒或网络攻击)存在。 1.1.2 “会话”显示界面 Fortigate 是基于“状态检测”的防火墙,系统会保持所有的当前网络“会话”(sessions)。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的IP”和“源/目的端口”的过滤,可以了解更特定的会话信息。例如,下图是对源IP 为10.3.1.1 的会话的过滤显示 通过“过滤器”显示会话,常常有助于发现异常的网络流量。1.2 “网络”子菜单1.2.1 网络接口 如上图,“接口”显示了防火墙设备的所有物理接口和VLAN 接口(如果有的话),显示IP 地址、访问选项和接口状态。“访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如:对于“PORT1”,我们可以以“HTTPS,TELNET”访问,并且可以PING 这个端口。点击最右边的“编辑”图标,可以更改端口的配置。 如上图,“地址模式”有三类: a.如果使用静态IP 地址,选择“自定义”;b.如果由DHCP 服务器分配IP,选择“DHCP”;c.如果这个接口连接一个xDSL 设备,则选择“PPPoE”。在“管理访问”的选项中选择所希望的管理方式。最后点击OK,使配置生效。 “区”是指可以把多个接口放在一个区里,针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中,没有使用“区”。1.2.2 DNS 如上图,在这里配置防火墙本身使用的DNS 服务器,此DNS 与内部网络中PC 和SERVER 上指定的DNS 没有关系。 1.3 DHCP 如上图,所有的防火墙端口都会显示出来。端口可以1)不提供DHCP 服务;2)作为DHCP 服务器;3)提供DHCP 中继服务。在本例中,External 端口为所有的IPSEC VPN 拨
多WAN口路由器设置技巧 对于企业网络来说,随着使用人数的增加,其网络应用也越来越多,当所有人使用一条网线时,明显会感觉到网速越来越慢,如果能多添加一条线路接入,那么就可以大大提高上网的速度,由于多WAN 口路由器诞生了。 一、多WAN口路由器需要处理的数据很大,所以大多采用能力很强的处理芯片,对于带宽滥用及恶意攻击也起到防止作用,可以更全面地解决带宽升级方面的需求,多WAN路由器的使用目的大体上与单WAN路由器其实是一样的,为连接内部网络和公共网的接口并提供防火墙功能服务,只是多了一个可以进行第二互联网连接的以太网地址。它可以通过内置的智能型管理方式来进行流量负载均衡控制。 二、一般采用多WAN口连接,第二种连接方式最好和第一种连接方式有所不同,采用不同的运营商,这样不同运营商间可以互相备援,一般为电信和网通,这是由于许多带宽不足的问题都是因为跨网运营商带宽不足而引发。 三、在投资建立一个新的双WAN口路由器时,用户必须非常清楚地确认可以真正的拥有第二条联机,因为有些地方可能无法供应第二条线,或者没有其它运营商的网路存在,用户即使愿意付钱,也无法提供服务。
四、思科路由器内建强大高效的网路处理器,与基本的双WAN路由器相比,思科路由器提供了很多附加功能,解决BT下载问题的带宽限制功能、全中文的配置接口、不同WAN端口的负载均衡等等,非常适合中小企业、办事处、分支办公室及有宽带接入需求的组织应用。 五、思科路由器还支持带宽管理功能,可设定多组存取规则,管理对内及对外连线。管理者可依照IP 或者服务埠来限定网路使用,使畅通效率加倍,并且可以任意设定保证带宽、最高带宽及优先权的设定。 六、对于大部分的用户来讲,路由器根据它的基本设置就可以开始工作并均衡负载了,如果需要的话可以通过设置接口来调整负载均衡、备份功能的属性、带宽管理及防火墙的功能,可以让带宽的运用更有效率,用户可以在路由器的状态页面,选择相关的属性来不时地检测他们的状态,还可以看到其广域网连接的状态和流量的分布状况。 路由器设置多WAN口的实例分享: 某公司内部网络为“10.0.0.0/24”,同时接Internet外线,现需要使用TL-R478+来实现网络中所有访问内部网络数据发往内部网络,访问外网的数据走Internet线路。 如图示:WAN1口接内部网络,WAN2口接Internet。
FortiAP 介绍 FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。 FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。FortiAP与FortiGate 设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。 FortiAP 外观与连接 这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO 技术。FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准。 这是FortiAP 210B正面的样子。
FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1.5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。 FortiAP 访问 和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192.168.1.2,用户名为admin,密码为空。笔记本电脑IP设为同网段的192.168.1.8,打开火狐浏览器,输入http://192.168.1.2进行访问。 输入用户名admin,密码不填,直接点击登录; 可以看到FortiAP 210B的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个AP时为了不引起冲突,又能访问每个IP,建议修改默认的192.168.1.2 IP地址。
双路由器上网的连接和设置方法(设置过程用截图详解) 下面介绍两种方法,如果是六台以下计算机可用两种方法中任意一种,但是如果追求尽可能多的接计算机上网的话可以使用第二种方法,这种方法可以接7台计算机。第一种方法的路由器Ⅱ中计算机上网速度相同,流量被三个口平分掉。第二种方法网络中的路由器Ⅱ中流量动态分配。 方法一: 要点:更改第二个路由器自己的IP地址,关闭它的DHCP(或者设置DHCP的网关)。 一、首先保证只一个路由器时能正常上网。 二、1)设置计算机:每台计算机最好都照如下设置:网络邻居-右键-属性,本地连接-右键-属性,TCP/IP属性,自动获取。 2)设置路由器 设置路由器最好参照说明书。可能要对两个路由器进行设置。在这里将原来的路由器(第一个路由器)命名为路由器Ⅰ。后加的路由器(第二个路由器,直接接目标电脑)命名为路由器Ⅱ。
要设置哪个路由器,则使用计算机直接连接那个路由器,同时,最好将其余不相关的网线暂时从该路由器上拆除。 路由器Ⅰ的设置参考下图:路由器Ⅱ的设置参考下图: 路由器Ⅱ的设置参考下图:
三、连接方法 参考下图:路由器Ⅰ的任意一个LAN口连路由器Ⅱ的任意一个LAN口即可。 注意:由路由器Ⅰ接出来接路由器Ⅱ的线直接插到接电脑的四个插口中的一个上,路由器Ⅱ的WLAN口不接线。灰色的线为连接两个路由器的线,请看清位置再接。 四。检查是否可以正常上网 注意:此时进入路由器Ⅱ会发现如下图所示的情况,属于正常现象,因为路由器Ⅱ是作为HUB使用,WLAN口没有连接数据线,所以路由器Ⅱ可能会有如下显示。不影响上网。只要开网页试试能否上网即可。 如果还不能上网,检查自己的设置是否正确,可利用命令来实现,参考下图:
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end