FortiGate产品安装及快速配置
Fortinet公司是全球网络安全行业领导者,FortiGate正是这家公司的旗舰产品。FortiGate拥有强大的网络和安全功能,服务于全球数万家客户,产品型号也是业界覆盖最广的,从几十兆产品到几百G产品,能够满足不同规模用户的使用需求。对于大企业和运营商客户来说,IT人员能力强,资源多,对于设备的配置自然不在话下。但是对于规模不大的中小企业来说,IT人员的运维能力可能就没有那么强了。
大家印象中传统的企业级设备配置安装都比较麻烦,友好性远不如家用路由器。因此很多用户也希望他们购买的企业级产品能够像家用级设备一样简单配置。FortiGate就是一款这样的产品。我们以FortiGate-90D-POE设备为演示,来为大家介绍一下FortiGate产品的安装、配置。后续我们还会有设备功能的使用介绍。
图1:FortiGate-90D-POE包装
图2:FortiGate-90D-POE和配件
如上图所示,FortiGate-90D-POE内置了电源,光盘,手册,RJ45网线和一根USB 管理数据线。PC可以通过USB管理数据线,使用FortiExplorer软件实现设备的快速配置。稍后我们会有讲解。
图3:FortiGate-90D-POE前面板和后面板
如图3,前面板的左侧接口是用于调试的console口,中间四个灯为电源,状态等指示灯,右侧的双排指示灯是WAN口和交换口的状态指示灯,红色的ABCD四个灯标示了POE供电的四个接口。后面板的左侧为电源接口,螺丝钉为固定地线用,避免在漏电的情况下用户触电。螺丝钉下面的接口为USB2.0小接口,用于手机连接设备进行配置。再往右两个为USB管理口。后面板上的16个接口中,最右面两个为WAN口,其余14个为交换接口,红色标示的ABCD接口为POE供电口。
FortiGate管理方式
图4:接口示意图
FortiGate系列产品默认在internal或者mgmt1口上有IP地址:https://192.168.1.99。用户名为:admin 密码为空。对于这款设备,随意插到任何一个接口都可以进行web登陆,因为默认在交换接口上已经启用了DHCP功能。所以只需让PC自动获得IP地址,即可通过访问上面的管理地址来进行web页面的登陆。结果如下图所示:
图5 :Web界面
Fortinet为用户提供了简单易用的管理软件FortiExplorer来进行初始化配置。下面我们就来介绍下如何使用FortiExplorer管理FortiGate。
FortiExplorer下载地址:
https://www.doczj.com/doc/6f9442067.html,/resource_center/product_downloads.html
图6:下载界面
可以看出FortiExplorer支持windows,macOS以及iOS三种操作系统,也就是说我们不仅可以通过PC和MAC来进行配置,还可以使用iPhone。下面我们先来看看如何用PC版FortiExplorer来配置设备。
图7:FortiExplorer PC版连接方式
图7中使用的数据线就是设备包装中自带的USB2.0数据线。小口插到FortiGate上,大口插在PC端。
图8:FortiExplorer界面
连接上之后界面上就会自动显示出设备的产品图,序列号,系统版本,注册情况等等。跟常用的PC端手机管理软件很像。黄色高亮的内容就是这台FortiGate设备的名字,默认为设备序列号。用户可以使用这个软件来进行快速配置,基于web和命令行模式的管理。
有人可能会问,既然可以用浏览器进行web管理,在这个软件中还提供web模式管
理不是多此一举吗?
非也!有的用户可能时间长了不登陆忘记了管理ip,通过这个软件可以直接通过USB 线连接到设备上,在软件中运行友好的web模式来查看接口信息等等。是不是想的很周到呢!
图9:通过FortiExplorer进行初始化配置
用户可以按照深蓝色的部分来依次配置,以完成设备的初始化配置。当然,虽然列表
项很多,但是可以快速跳过某些项,比如3G/4GModem,负载均衡等等。
刚才我们介绍了,我们可以通过iPhone配置和管理FortiGate设备,只需要通过一根数据线和FortiExplorer应用就可以了。那么该如何使用呢?
图10: iPhone连接FortiGate设备
将手机上的fortiexplorer打开,在将手机连接到设备上,就会自动进行初始化。过程中,您需要在如图11中所示的那样,选择设备类型,比如我们使用的是FortiGate-90D-PoE,在app中就选择FortiGate 90DP,然后选择添加,之后就会看到图11右侧的界面,用户名
处输入admin,密码留空,点击login,就通过手机登陆到设备上了。
图11:手机连接初始化
图12:手机连接后fortigate状态显示
用手机登陆之后,就能看到如图12所示的内容了。设备名称,默认DNS,初始IP地址,还有设备的版本信息,接口信息等等。
介绍完使用fortiexplorer进行设备初始化配置和管理之后,我们现在来介绍对一般用户来说难度较高的初始配置方法,也是我们后期真正做调试的过程中用的比较多的一种方法,就是使用Console口来进行配置。
图13: console线连接示意
线接好之后,我们使用的是SecureCRT来创建连接。
图14:SecureCRT界面
图13:SecureCRT 新建连接
我们需要在连接到设备之前新建一个连接,协议选择的地方选择串口协议。选完协议后会被要求选择接口,具体是COM1/COM2/COM3。。。我们就要到计算机的设备管理器中查看了,看一下端口(COM和LPT)这一项下面虚拟出来的COM口是几,我们的计算机显示为COM3,就回到SecureCRT中选择COM3接口,然后波特率选择9600
图14:初始化连接建立配置
图15:连接建立成功
界面操作
刚才介绍了几种不同的连接方式,我们已经能够成功地连接到设备上了。那么一开始基本的操作都有哪些呢?让我们来一起看一看。
图16:修改英文界面到中文界面
FortiGate设备的web界面默认是英文的,但是管理员可能需要中文界面才能更好的操作,这样的话只需要在System-Admin-Settings中最下面找到Language,选择simplified Chinese(简体中文),然后点击Apply。我们的web界面就会切换到中文模式了。
图17:配置向导
配置向导中第一项就是集中管理,我们可以从图17中看到,可以选择是否启用集中管理,需要FortiManager IP等信息。FortiManager是fortinet一款集中管理平台,可以管理分布在不同地区的上百台FortiGate设备,进行集中策略部署,下发,更新等等。这里我们由于没有FortiManager需要连接,所以直接点击下一步。
图18:修改密码
第二项就是Admin密码,如果修改密码的话可以点击修改密码。不需要修改密码则只需点击下一步即可到下一项来设置时区。FortiGate默认时区是GMT-8,我们可以改为+8北京时间。设置完之后再点击下一步,我们就来到了网络配置部分。
图19:网络设置
由于这款设备支持双WAN接入,因此在图19中您可以看到有单以太网和双以太网两个,而且还支持3G/4G接入,可以将上网卡插到设备的USB接口上。由于我们演示环境只有单线接入,因此我们选择单以太网,然后点击下一步。
图20:主WAN连接选择
设备提供3种主WAN网络接入类型,DHCP类型,静态IP类型,和PPPoE拨号类型。PPPoE就像是ADSL接入,设置方法和家用无线路由器一样,将ADSL账号和密码输入就好了。图20所示为静态IP的配置情况,填写好就可以了。我们演示环境是DHCP,也是大多数企业场景。
图21:LAN设置
其实选择了DHCP之后,到LAN配置的界面上,设备自动生成了默认的一套配置。
可以看到internal接口默认启用DHCP,接口ip为192.168.1.99,24位掩码。地址池为
110-210。到这里网络方面的配置就已经结束了。按照向导,我们要进行安全策略方面的配置。
图22:安全策略配置-时间表
这是要控制允许设备如何上外网,是否是允许设备总是通过设备上外网。或者在固定
的时间段内可以上外网。比如有的公司要求某些部门的员工在9点到12点,14点到18点是禁止上外网的,就会用到这样的策略。在这里我们选择总是允许来进行下一步的配置。
图23:网络接入策略
内网设备要上外网必须要有从私网地址到公网地址的转换,因此NAT是默认开启的,其余的安全功能比如UTM功能,用户行为限制等等也是默认开启的。用户为了快速上线可以先不考虑,把界面上的勾点掉。后续有需求的时候可以再自行根据需求来开启相应的功能并且配置策略。
图24:配置虚拟服务器
这一步就来到了是否要配置虚拟服务器。有些诸如FTP服务器的需要对外开放,因此要做服务器的虚拟地址映射。关于这部分内容和VPN连接我们后期会有详细的介绍。这里就不开启虚拟服务器了,并且跳过VPN配置,直接保存现有配置。
图25:Web界面确认配置
我们可以再系统管理-网络-接口中查看接口状态。FortiGate的web界面作的比较友
好的一点就是当您选择了internal接口后,图25中红色圈出来的地方能看到灰色的格子,可以对比没有高亮的WAN口,这样很直观地告诉用户哪些口是属于您选择的这个类型的接口。
之前我们已经通过向导正常配置设备。包括向导中也自动生成了一条策略。始终允许
内网所有接口到WAN口的流量通行。
图26:策略示意
至此为止我们已经建立好了网络。下一步就是需要对设备进行注册。当然您也可以选
择不注册。注册地址为https://www.doczj.com/doc/6f9442067.html,。
图27:注册网站
如果您已经注册过这个网站,那么可以直接选择登陆,如果是第一次使用Fortinet的
产品,则需要先创建一个账号。点击创建账号之后完成个人信息的填写。保存之后您会收到一份确认注册成功的邮件。
图28:注册设备
我们点击图28黄色部分,开始将设备注册到您之前注册的账号中。将设备的序列号填写到表格中,点击下一步。会显示您设备所包含的服务。比如病毒库,IPS特征库,安全服务等等。
图29:服务列表
图29显示了我们演示的这台设备的服务内容。
图30:设备管理界面显示服务状态
若是已经注册成功,在图30所示的设备管理界面中蓝色高亮出来的部分会显示服务到期的日期,和是否生效的信息。由于我们的服务信息是通过云网络同步的,可能会有几分钟的延迟。如果几分钟之后还没有更新,您可以在下方的命令行中输入命令exec update-now来强制同步服务信息。
图31:手动更新服务
至此为止,我们产品安装及快速配置部分就为您介绍完毕了。后续我们还会针对重点功能来进行细致的讲解。
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
如何启用防火墙的AV,IPS,Webfilter和 AntiSpam服务 版本 1.0 时间2013年4月 支持的版本N/A 状态已审核 反馈support_cn@https://www.doczj.com/doc/6f9442067.html, 1.用Web浏览器打开防火墙的管理页面,进入系统管理-----维护----FortiGuard,如下图, 启用“防病毒与IPS选项”里面的定期升级,并在“Web过滤和反垃圾邮件选项”里面的Enable Web过滤和Enable 反垃圾邮件前面复选框中打上勾,这样就在防火墙上启用了AV,IPS,Webfilter和AntiSpam服务功能了。 2.启用防病毒与IPS选项的同时可以手动点击“立即升级”按钮让防火墙马上升级防病 毒,入侵检测数据库到最新版本,以后防火墙会按照“定期升级”配置自动定期升级防火墙的防病毒,入侵检测,web过虑和垃圾邮件分类;如果同时选上“允许服务器推送方式升级”的话,我们FortiGuard服务器在有新的升级包的同时会主动把最新的升级包推送到配置了该选项的防火墙上,如下所示:
3,检查是否成功升级到最新版本,可以打开防火墙系统管理----状态页面,看许可证信息部分或进入系统管理-----维护----FortiGuard里面也可以查看到许可证相关信息,注意许可证信息会在启用试用或合同注册完后的4个小时内得到更新,那时候才能验证确保防火墙防病毒、入侵检测数据库是最新的: 4,进入到防火墙----保护内容表,点击新建或打开一个已经存在的保护内容表,按下图显示内容启用病毒及攻击检测功能:
5,同样的在保护内容表里面,如上图所示,可以启用“FortiGuard网页过滤”和“垃圾过滤”功能,如下2图显示: 6,在保护内容表的最后一部分,可以把相关的攻击等日志记录下来,送给日志服务器:
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
飞塔防火墙f o r t i g a t e 的s h o w命令显示相关 配置 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
Fortinet产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见 https://www.doczj.com/doc/6f9442067.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低 的运行成本考虑设计。
fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、 fortiguard 入侵防护(ips)服务 3、 fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。 forticlient的功能包括: 1、建立与远程网络的vpn连接
2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到 几个用户的计算机。 FortiMail fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的 邮件威胁。
使用SCP下载FortiGate配置文件 1.版本支持: 该特性在FortiOS 4.0MR2 及以上版本可用. 2.特性描述 FortiOS 4.0 MR2,FortiOS 基于接口进行采样,数据流被转发至sFlow collector,FortiGate 本身不作为sFlow collector。sFlow 代理可以被添加在FortiGate接口上,包括物理接口,Vlan 接口,汇聚接口,不支持vdom-link,IPSec,GRE或者ssl接口。 3.配置步骤 Flow配置可以用于全局模式,各个vdom或各个接口上。 1. 在FortiGate设定sFlow collector/server ip config system sflow set collector-ip x.x.x.x set collector-port xxxx (default udp/6343) end 各Vdom配置sFlow. config system vdom-sflow set vdom-sflow [disable*|enable] set collector-ip x.x.x.x set collector-port xxxx end 2. 在接口中启用sFlow代理.
config sys interface edit port1 set sflow-sampler [disable*|enable] set sample-rate xxxx //sample ever xxxx packets set sample-direction [tx|rx|both*] set polling-interval xx //in secs next end
飞塔防火墙f o r t i g a t e的s h o w命令显示相关配 置 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
3分钟搞定飞塔50B防火墙配置 飞塔防火墙的默认管理IP地址为192.168.1.99(internal口),可以将电脑与其internal 口进行连接,https://192.168.1.99就可以登录了,默认用户名为admin,密码为空。 该指导会完成以下功能的描述,其他功能需自己慢慢体会。 一.配置界面改中文 二.配置PPPoE和固定IP 三.封端口 四.禁止P2P,在线视频 五.升级防火墙系统软件 六.配置文件的备份和回复 七.恢复初始设置 八.恢复密码 如下图,初始配置界面是英文,通过选择System——Admin——Settings——Display setting——language——Simplified Chinese——Apply
二、PPPoE和固定IP设置 如下图,设置网络——接口——wan1——编辑
这里先配置用户名和密码,拨号成功后会获得IP地址,网关等,注意PPPoE拨号不用写路由。其他保持默认。 如果选择固定IP就用自定义。 防火墙策略
防火墙策略里面有很多选项,这里就不一一讲解了,只说我们会用到的方面。防火墙是有一个默认的策略在里面,all到all的全部都放通。 这里可以对策略进行配置,做到精确匹配。
这里可以配置每个主机的地址,调用在策略上方便管理。封端口 在服务——定制——新建 这里我新建了一个服务是封17991端口
流量整形器可以做共享和每IP的流量控制。具体可以自行操作。 虚拟IP的设置: 虚拟IP主要的作用是把内网主机的端口,映射到外网IP的端口地址,典型应用主要在总部,总部将内部主机17991,3000端口等映射出外网,让营业部的通信平台进行连接。 保护内容表 防护墙的保护内容表的内容是在UTM中进行设备,然后在这里统一调用的。所以我们要现在UTM功能区里做好内容。
FortiGate飞塔防火墙简明配置指南 说明:本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。 要求:FortiGate? 网络安全平台,支持的系统版本为FortiOS v3.0及更高。 步骤一:访问防火墙 连线:通过PC与防火墙直连需要交叉线(internal接口可以用直通线),也可用直通线经过交换机与防火墙连接。防火墙出厂接口配置:Internal或port1:192.168.1.99/24,访问方式:https、ping 把PC的IP设为同一网段后(例192.168.1.10/24),即可以在浏览器中访问防火墙https://192.168.1.99 防火墙的出厂帐户为admin,密码为空 登陆到web管理页面后默认的语言为英文,可以改为中文 在system----admin----settings中,将Idle TimeOut(超时时间)改为480分钟,Language 为simplified chinses (简体中文)。 如果连不上防火墙或不知道接口IP,可以通过console访问,并配置IP 连线:PC的com1(九针口)与防火墙的console(RJ45)通过console线连接,有些型号的防火墙console是九针口,这时需要console转RJ45的转接头 超级终端设置:所有程序----附件----通讯----超级终端 连接时使用选择com1,设置如下图 输入回车即可连接,如没有显示则断电重启防火墙即可
连接后会提示login,输入帐号、密码进入防火墙 查看接口IP:show system interface 配置接口IP: config system interface edit port1或internal 编辑接口 set ip 192.168.1.1 255.255.255.0 配置IP set allowaccess ping https http telnet 配置访问方式 set status up end 配置好后就可以通过网线连接并访问防火墙 步骤二:配置接口 在系统管理----网络中编辑接口配置IP和访问方式 本例中内网接口是internal,IP,192.168.1.1 访问方式,https ping http telnet 本例中外网接口是wan1,IP,192.168.100.1访问方式,https ping