Fortinet 1000 User Manual

Product codes
Page of 286
FortiGate 1000
Installation and
Configuration Guide
Esc
Enter
INTERNAL
EXTERNAL
1
2
3
4 / HA
FortiGate 用户手册 第一卷
2.50 版
2003 年 7 月 21 日
安装和配置指南
 FortiGate-1000

Summary of Contents of user manual for Fortinet 1000

  • Page 1

    FortiGate-1000 FortiGate 1000 Installation and 安装和配置指南 Configuration Guide Enter 1 2 3 4 / HA INTERNAL EXTERNAL Esc FortiGate 用户手册 第一卷 2.50 版...

  • Page 2

    © Copyright 2003 美国飞塔有限公司版权所有。 本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司的 许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传 播或发布。 FortiGate-1000 安装和配置指南 2.50 版 2003 年 7 月 21 日 注册商标 本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。...

  • Page 3: 目 录

    目录 目 录 简介 ................................................................... 1 防病毒保护 ................................................................... 1 Web 内容过滤 ................................................................. 2 电子邮件过滤 ................................................................. 2 防火墙 ....................................................................... 3...

  • Page 4

    目录 FortiGate 出厂默认设置 ...................................................... 20 出厂默认的 NAT/ 路由模式的网络配置 ......................................... 20 出厂默认的透明模式的网络设置 .............................................. 21 出厂时默认的防火墙配置 .................................................... 21 出厂时默认的内容配置文件 .................................................. 22 严谨型内容配置文件...

  • Page 5

    目录 使用安装向导 ................................................................ 45 切换到透明模式 ............................................................ 46 启动安装向导 .............................................................. 46 重连接到 基于 Web 的管理程序 ............................................... 46 使用前面板控制按钮和 LCD .......................................................

  • Page 6

    目录 管理 HA 组 ................................................................... 66 查看 HA 簇成员状态 ......................................................... 67 监视簇成员 ................................................................ 67 监视簇会话 ................................................................ 68 查看和管理簇日志消息 ...................................................... 68...

  • Page 7

    目录 病毒和攻击定义升级及注册 .............................................. 93 病毒防护定义和攻击定义更新 .................................................. 93 连接到 Forti 响应发布网络 .................................................. 94 配置周期性更新 ............................................................ 95 配置更新日志 .............................................................. 96 添加后备服务器...

  • Page 8

    目录 配置虚拟局域网 (VLAN)..................................................... 115 VLAN 网络配置 ............................................................ 115 添加 VLAN 子网络接口 ...................................................... 116 配置路由 ................................................................... 118 添加默认路由 ............................................................. 118 向路由表添加基于目的的路由...

  • Page 9

    目录 防火墙配置 ........................................................... 141 默认防火墙配置 ............................................................. 142 接口 ..................................................................... 142 VLAN 子接口 .............................................................. 142 区域 ..................................................................... 142 地址 ........................................................................

  • Page 10

    目录 内容配置文件 ............................................................... 167 默认的内容配置文件 ....................................................... 168 添加一个内容配置文件 ..................................................... 168 将内容配置文件添加到策略 ................................................. 169 用户与认证 ........................................................... 171 设置认证超时 ............................................................... 172 添加用户名并配置认证...

  • Page 11

    目录 VPN 监视和问题解答 ......................................................... 200 查看 VPN 通道状态 ......................................................... 200 查看拨号 VPN 连接的状态 ................................................... 201 测试 VPN ................................................................. 201...

  • Page 12

    目录 隔离 ....................................................................... 230 隔离被感染的文件 ......................................................... 231 隔离被阻塞的文件 ......................................................... 231 查看隔离列表 ............................................................. 231 隔离列表排序 ............................................................. 232 过滤隔离列表 ............................................................. 232 从隔离区中删除文件...

  • Page 13

    目录 配置通讯日志 ............................................................... 253 启用通讯日志 ............................................................. 254 配置通讯过滤设置 ......................................................... 254 添加通讯过滤的条目 ....................................................... 255 查看记录到内存的日志 ....................................................... 256 查看日志 ................................................................. 256...

  • Page 14

    目录 xiv 美国飞塔有限公司

  • Page 15: 简介

    FortiGate-1000 安装和配置指南 2.50 版 简介 FortiGate 防病毒防火墙支持应用层服务的基于网络的部署,包括防病毒保护和全 内容扫描过滤。FortiGate 防病毒防火墙增强了网络的安全性,避免了网络资源的误用 和滥用,可以帮助您更好地使用通讯资源而不会降低网络的性能。FortiGate 防病毒防 火墙获得了 ICSA 防火墙认证,IP 安全认证和防病毒服务认证。 FortiGate 防病毒防火墙是一个易于管理的安全设备,它提供了一套完整的功能, 包括: ·应用层服务,例如病毒防护和内容过滤,...

  • Page 16

    Web 内容过滤 简介 如果 FortiGate 设备内配有硬盘,可以将被感染或被阻塞的文件隔离。FortiGate 管理员可以下载被隔离的文件,然后对它们进行病毒扫描,杀毒,再将它们发送给原 来的接收者。您也可以将 FortiGate 设备配置为每过一段时间就自动删除被隔离的文 件。 当 FortiGate 设备从内容流中检测到病毒并将它删除的时候,它可以向系统管理员 发送一封报警邮件。 ICSA LABS 认证了 FortiGates 的以下功能:...

  • Page 17

    简介 防火墙 防火墙 ICSA 认证的 FortiGate 防火墙可以在互联网这个充满敌意的环境中保护您的电脑 网络。ISCA 已对 FortiGate 防火墙 4.0 版本授予了证书,确保了 FortiGates 可以成功 保护企业网络不受来自公共或其它非信任网络的各种威胁。 在完成 FortiGate 的基本安装后,防火墙可设置为允许用户从受保护内部网络访问 Internet,并同时封锁从...

  • Page 18

    网络入侵检测系统 (NIDS) 简介 网络入侵检测系统 (NIDS) FortiGate 网络入侵侦测系统 (NIDS) 是一种实时网络入侵探测器,它能对外界各 种可疑的网络活动进行识别及采取行动。NIDS 通过攻击特征来识别超过 1000 种的攻 击。您可以启用或禁止 NIDS 对某一类型的攻击进行检测。还可以自行编写攻击特征从 而生成用户自定义的攻击类型检测。 NIDS 可以防止探测、大部分常见的拒绝服务攻击和基于数据包的攻击。您可以启 用或禁用预防攻击的特征,和定制攻击检测的灵敏度和其他参数。...

  • Page 19

    简介 高可用性 高可用性 高可用性 (HA) 提供两个或多个 FortiGate 之间的 失效恢复机制。Fortinet 通过 冗余硬件实现 HA 功能,匹配在 NAT/ 路由模式运行下的 FortiGate。您可以将 FortiGates 配置为主动 - 被动...

  • Page 20

    安全安装、配置、管理 简介 图 1: FortiGate 基于 Web 的管理程序 和设置向导 命令行接口 (CLI) 您可以将管理员计算机的串行通讯接口连接到 FortiGate 的 RS-232 串行控制台接 口上,从而访问 FortiGate 命令行控制界面 (CLI)。或者也可以使用...

  • Page 21

    简介 2.50 版本的新特点 日志可被传送到远程系统日志服务器或以 WebTrends 增强日志格式传输到远程 WebTrends NetIQ 安全报告中心和防火墙服务器上。某些型号的防火墙可将日志存储在 可选择的内置硬盘上。如果没有安装硬盘,您可配置 FortiGate 日志和报告,把最近 的事件记录到共享系统内存中去。 2.50 版本的新特点 本节主要描述了 Forti0S v2.50 中的一些新的特征: 系统管理...

  • Page 22

    2.50 版本的新特点 简介 HA ·主动 - 主动模式的 HA 使用了交换机,并且具有选择时间表的能力 ·透明模式的 HA ·HA 簇的 A/V 更新 ·HA 功能的配置同步 详情请见 第 57...

  • Page 23

    简介 2.50 版本的新特点 NIDS 关于 FortiGate NIDS 功能的完整说明,请见 FortiGate NIDS 指南 。新特性包 括: ·攻击检测特征分组 ·用户定义的攻击预防方式 ·在多个接口监视攻击 ·监视 VLAN 子接口的攻击 ·用户定义的攻击检测特征...

  • Page 24

    关于本手册 简介 关于本手册 安装和配置向导描述了如何安装和配置 FortiGate-2000C。本手册包含以下内容: ·开始 描述了拆包,安置,和启动 FortiGate。 ·NAT/ 路由 模式安装 描述了如果您希望 FortiGate 运行于 NAT/ 路由模式,应当如何 安装。 ·透明模式安装 描述了如果您希望 FortiGate...

  • Page 25

    简介 Fortinet 的文档 要执行 restore config < 文件名 _ 字符串 > 您应当输入 restore config myfile.bak <xxx_ 字符串 > 表示一个 ASCII...

  • Page 26

    Fortinet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您将有 关信息发送到 techdoc@fortinet.com。 12 美国飞塔有限公司

  • Page 27

    简介 客户服务和技术支持 客户服务和技术支持 请访问我们的技术支持网站,以获取防病毒保护和网络攻击定义更新、固件更新、 产品文档更新,技术支持信息,以及其他资源。网址: http://support.fortinet.com。 您也可以到 http://support.fortinet.com 注册您的 FortiGate 防病毒防火墙或 在任何时间登陆到该网站更改您的注册信息。 以下电子邮件信箱用于 Fortinet 电子邮件支持: amer_support@fortinet.com 为美国、加拿大、墨西哥、拉丁美洲和南美地区的客户提供服 务。 apac_support@fortinet.com 为日本、韩国、中国、中国香港、新加坡、马来西亚、以及其...

  • Page 28

    客户服务和技术支持 简介 14 美国飞塔有限公司

  • Page 29: 开始

    FortiGate-1000 安装和配置指南 2.50 版 开始 本章描述了有关拆包、安装及如何启动 FortiGate 防病毒防火墙的内容。 一旦完 成此章内容,您可按如下章节进行配置 : ·如果要在 NAT/ 路由 模式下运行 FortiGate, 请参阅 第 31...

  • Page 30

    包装中的物品 开始 包装中的物品 FortiGate-1000 包装中含有以下物品: ·FortiGate-1000 防病毒防火墙 ·两根黄色交叉连接以太网电缆 ·两根灰色普通以太网电缆 ·一根串行通信电缆 ·FortiGate-1000 快速入门手册 ·电源线 ·包含了用户手册内容的光盘 ·两个 19 英寸机架安装支架 图 2: FortiGate-1000...

  • Page 31

    开始 启动 尺寸 ·16.75 x 12 x 1.75 英寸 (42.7 x 30.5 x 4.5 厘米 ) 重量 ·17.5 磅 (8...

  • Page 32

    连接到基于 Web 的管理程序 开始 连接到基于 Web 的管理程序 当初始启动 FortiGate 时,可按如下步骤连接到基于 Web 的管理程序。在基于 Web 的管理程序中所做的配置修改,无需重启动防火墙或中断服务即可生效。 欲连接到基于 Web 的管理程序,您需要 : ·一台能连接以太网的控制电脑, ·IE...

  • Page 33

    开始 连接到命令行接口 (CLI) 连接到命令行接口 (CLI) 除了基于 Web 的管理程序,您可使用 CLI 来安装和设置 FortiGate。在 CLI 中所做 的配置修改,无需重启动防火墙或中断服务即可生效。 欲连接到 CLI 上,您需具备如下器材: ·一台拥有可用的通信端口的电脑, ·一个 FortiGate...

  • Page 34

    FortiGate 出厂默认设置 开始 FortiGate 出厂默认设置 FortiGate 设备出厂时已经根据默认的配置方式进行了设置。这一默认设置允许您 连接到 FortiGate 并根据您的网络配置 FortiGate 设备。要将 FortiGate 设备配置为 在您的网络中工作,您需要添加管理员密码、修改网络接口的 IP 地址、DNS 服务器地 址、如果需要的话还可以配置路由。 如果您准备让...

  • Page 35

    开始 FortiGate 出厂默认设置 表 2: 出厂默认的 NAT/ 路由模式网络配置 ( 续 ) IP: 0.0.0.0 接口 2 网络掩码: 0.0.0.0 管理访问: Ping IP:...

  • Page 36

    FortiGate 出厂默认设置 开始 表 4: 出厂默认防火墙设置 ( 续 ) 防火墙策 内部 -> 外部 从内部网络到外部网络的防火墙策略 略 源 内部 _ 全部 策略的源地址。内部...

  • Page 37

    开始 FortiGate 出厂默认设置 严谨型内容配置文件 使用严谨的内容配置文件可以对 UHTTP, FTP, IMAP, POP3, 和 SMTP 等通讯的内容 应用最大限度的防护。通常情况下您不需要使用严谨型内容配置文件,但是如果您受 到病毒的严重威胁,需要最大限度地屏蔽病毒,可以选择严谨型内容配置文件。 表 5: 严谨型内容配置文件 选项 HTTP FTP...

  • Page 38

    FortiGate 出厂默认设置 开始 网页型内容配置文件 使用网页型内容配置文件可以对 HTTP 通讯的内容应用防病毒扫描和网页内容阻 塞。您可以在控制 HTTP 通讯的防火墙策略中添加这一内容配置文件。 表 7: 网页型内容配置文件 选项 HTTP FTP IMAP POP3 SMTP 防病毒保护...

  • Page 39

    开始 规划您的 FortiGate 设备的配置 规划您的 FortiGate 设备的配置 在开始配置 FortiGate 之前,您需要计划一下如何将它集成到您的网络中去。首 先,您需要决定这个设备在网络中是否可见,要提供哪些防火墙功能,以及如何控制 网络接口之间的数据流。 您所选择的操作模式决定了 FortiGate 的配置方式。FortiGate 有两种配置方式: NAT/ 路由模式 (默认),或者透明模式。 NAT/...

  • Page 40

    规划您的 FortiGate 设备的配置 开始 具有多个外部网络连接的 NAT/ 路由模式 在 NAT/ 路由模式下,您可以为 FortiGate 设备配置到外部网络 (通常是互联网) 的多重冗余连接。例如,您可以创建以下配置: ·外部接口作为到外部网络 (通常是互联网)的默认接口。 ·接口 1 是到外部网络的冗余接口。 ·内部接口作为到内部网络的接口。...

  • Page 41

    开始 规划您的 FortiGate 设备的配置 您可以将 6 个网段连接到 FortiGate 设备上,以控制这些网段之间的数据流通。 ·外部 可以连接到外部的防火墙或路由器。 ·内部 可以连接到内部网络。 ·接口 1 到 3 可以连接到其他网段。 ·接口 4/HA...

  • Page 42

    FortiGate 系列产品参数最大值列表 开始 FortiGate 系列产品参数最大值列表 表 9: FortiGate 参数最大值列表 FortiGate 产品型号 50 60 100 200 300 400 500 1000 2000...

  • Page 43

    开始 下一步 下一步 至此,FortiGate 已启动并正常运行,您可继续配置如下设置: ·如果要在 NAT/ 路由模式下运行 FortiGate, 请参阅 第 31 页 “ NAT/ 路由 模式 安装” 。 ·如果要在...

  • Page 44

    下一步 开始 30 美国飞塔有限公司

  • Page 45: NAT/路由 模式安装

    FortiGate-1000 安装和配置指南 2.50 版 NAT/ 路由 模式安装 本章说明了如何进行 FortiGate NAT/Route( 路由 ) 模式的安装。如果要在透明模 式下安装 FortiGate ,请参阅 第 45 页...

  • Page 46

    使用安装向导 NAT/ 路由 模式安装 表 10: NAT/ 路由 模式配置 ( 续 ) IP: _____._____._____._____ 接口 2 网络掩码 : _____._____._____._____ 接口...

  • Page 47

    NAT/ 路由 模式安装 使用前面板控制按钮和 LCD 使用前面板控制按钮和 LCD 除安装向导外,也可使用 第 31 页 表 10 中记录的信息来完成如下步骤。从 LCD 上显示的主菜单开始,用前面板 控制按钮和 LCD: 1 按回车键三次来配置内部接口...

  • Page 48

    将 FortiGate 连接到网络中 NAT/ 路由 模式安装 3 将外部网络接口的 IP 地址和网络掩码设置为您在 第 31 页 表 10 中记录的外部 IP 地 址和网络掩码。输入: set...

  • Page 49

    NAT/ 路由 模式安装 配置网络 FortiGate-2000C 有 4 个 10/100Base-TX 接口: ·接口 1 和 3 可以将两个网络连接到 FortiGate-2000C , ·接口 2 可以将...

  • Page 50

    完成配置 NAT/ 路由 模式安装 一旦 FortiGate 连接好,可通过从内部网的电脑连接到 Internet 来确保其运行是 否正常。您应该能连接到任何的 Internet 地址。 完成配置 根据用本节内容来完成 FortiGate 的初始配置。 配置接口 1、2 和 3...

  • Page 51

    NAT/ 路由 模式安装 配置举例:到互联网的多重连接 注册 FortiGate 设备 在购买和安装了一个新的 FortiGate 设备之后,您可以进入 系统 > 更新 > 支持来 注册您的设备,或者使用网页浏览器连接到 http://support.fortinet.com 然后选择 产品注册。 注册内容包括您的联系方式、您或者您所在的机构购买的...

  • Page 52

    配置举例:到互联网的多重连接 NAT/ 路由 模式安装 图 8: 到互联网的多重连接的配置的例子 配置 Ping 服务器 按照以下步骤将网关 1 设置为外部接口的 Ping 服务器,将网关 2 设置为接口 3 的 Ping...

  • Page 53

    NAT/ 路由 模式安装 配置举例:到互联网的多重连接 使用 CLI 1 将 ping 服务器添加到外部接口。 set system interface external config detectserver 1.1.1.1 gwdetect enable 2...

  • Page 54

    配置举例:到互联网的多重连接 NAT/ 路由 模式安装 表 12: 负载分配路由 目的 IP □ 掩码 网关 #1 设备 #1 网关 #2 设备 #2 100.100.100.0...

  • Page 55

    NAT/ 路由 模式安装 配置举例:到互联网的多重连接 4 单击新建以添加到 ISP2 的网络的路由。 ·目的 IP: 0.0.0.0 ·掩码 : 0.0.0.0 ·网关 #1: 1.1.1.1 ·网关 #2: 2.2.2.1...

  • Page 56

    配置举例:到互联网的多重连接 NAT/ 路由 模式安装 只有您已经定义了类似于在前面章节中描述的目的路由之后,在这些例子中描述的 策略路由才能正常工作。 ·将通讯从内部子网路由到不同的外部网络 ·路由到外部网络的服务 关于策略路由的详细信息,请见 第 121 页 “ 策略路由” 。 将通讯从内部子网路由到不同的外部网络 如果 FortiGate 提供了从多个内部子网到互联网的访问,您可以使用策略路由控制 从各个内部子网到互联网的通讯的路由。例如,如果内部网络包含了...

  • Page 57

    NAT/ 路由 模式安装 配置举例:到互联网的多重连接 按以下步骤添加冗余的默认策略: 1 进入 防火墙 > 地址 > 接口 3。 2 为接口 3 添加以下地址。 地址 接口 3_...

  • Page 58

    配置举例:到互联网的多重连接 NAT/ 路由 模式安装 44 美国飞塔有限公司

  • Page 59: 透明模式安装

    FortiGate-1000 安装和配置指南 2.50 版 透明模式安装 本章说明了如何进行透明模式的安装。如果要在 FortiGate NAT/ 路由模式下安装 FortiGate ,请参阅 第 31 页 “ NAT/ 路由 模式安装” 如果您要在...

  • Page 60

    使用前面板控制按钮和 LCD 透明模式安装 切换到透明模式 当首次连接到 FortiGate 时,它被预设在 NAT/ 路由模式下运行。欲切换为透明模 式需使用基于 Web 的管理程序 : 1 进入系统 > 状态。 2 单击 更改...

  • Page 61

    透明模式安装 使用命令行接口 5 按回车并设置内部子网掩码。 6 在输入完最后一位子网掩码地址后按回车。 7 按 退出 (Esc)返回主菜单。 8 如需要,重复如上步骤来设置缺省网关。 使用命令行接口 除了使用连接向导以外,您还可以使用命令行接口 (CLI)配置 FortiGate。要连 接到 CLI 接口,请参阅 第...

  • Page 62

    完成配置 透明模式安装 完成配置 根据用本节内容来完成 FortiGate 的初始配置。 设置日期和时间 为了有效的安排日程和记录日志, FortiGate 的日期和时间必须精确。 您可手动 设置时间,或通过配置 FortiGate 来自动与网络时间协议服务器 (NTP) 同步从而更正 时间。 设置 FortiGate 日期和时间,请参阅...

  • Page 63

    透明模式安装 将 FortiGate 连接到网络中 FortiGate-2000C 有两个千兆接口: ·内部接口,用于连接到您的内部网络, ·外部接口 , 用于连接到您的公共交换机或集线器和互联网。 FortiGate-2000C 有 4 个 10/100Base-TX 接口可以连接 4 个不同的网络。您可以 在任何配置方式中连接它们。 按以下方式连接运行于透明模式的...

  • Page 64

    透明模式配置的例子 透明模式安装 透明模式配置的例子 运行于透明模式的 FortiGate 也需要一个基本配置,以成为 IP 网络中的一个结 点。至少,FortiGate 必须配置一个 IP 地址和子网掩码。它们可以用来对 FortiGate 进行管理访问,并允许 FortiGate 进行防病毒和攻击定义的更新。另外,FortiGate 必 须有足够的信息达到: ·管理员电脑, ·Forti...

  • Page 65

    透明模式安装 透明模式配置的例子 图 10: 到外部网络的默认路由 通用配置步骤 1 将 FortiGate 设置为透明模式。 2 配置 FortiGate 的管理 IP 地址和网络掩码。 3 配置到外部网络的默认路由。 FortiGate-1000 安装和配置指南...

  • Page 66

    透明模式配置的例子 透明模式安装 基于 Web 的管理程序配置步骤的例子 使用基于 Web 的管理程序配置基本的透明模式设置和默认路由: 1 进入 系统 > 状态。 ·选择切换到透明模式。 ·在操作模式列表中选择 透明。 ·单击 确定。 FortiGate 已切换到透明模式。...

  • Page 67

    透明模式安装 透明模式配置的例子 图 11: 到外部地址的静态路由 通用配置步骤 1 将 FortiGate 设置为透明模式。 2 配置 FortiGate 的管理 IP 地址和网络掩码。 3 配置到 FortiResponse 服务器的静态路由。...

  • Page 68

    透明模式配置的例子 透明模式安装 2 进入 系统 > 网络 > 管理。 ·修改管理 IP 地址和网络掩码: IP: 192.168.1.1 掩码 : 255.255.255.0 ·单击 应用。 3...

  • Page 69

    透明模式安装 透明模式配置的例子 图 12: 到内部目的地址的静态路由 通用配置步骤 1 将 FortiGate 切换到透明模式。 2 配置 FortiGate 的管理 IP 地址和网络掩码。 3 配置到内部网络中的管理工作站的静态路由。 4 配置到外部网络的默认路由。...

  • Page 70

    透明模式配置的例子 透明模式安装 基于 Web 的管理程序的配置步骤举例 要使用基于 Web 的管理程序配置 FortiGate 基本设置、静态路由和默认路由: 1 进入 系统 > 状态。 ·选择切换到透明模式。 ·在操作模式列表中选择透明模式。 ·单击 确定。 FortiGate...

  • Page 71: 高可用性

    FortiGate-1000 安装和配置指南 2.50 版 高可用性 Fortinet 通过使用冗余的硬件设备和 FortiGate 聚合协议 (FGCP)实现高可用性 (HA)的目标。HA 簇中的 FortiGate 设备全部使用完全相同的安全策略,并共享同样 的设置内容。您可以在一个 HA 簇中最多加入 32 个...

  • Page 72

    主动 - 主动 HA 高可用性 主 FortiGate 设备通过 FortiGate HA 接口向附属设备发送会话信息。在同一个 HA 簇中的所有设备共同维护所有的会话信息。如果主 FortiGate 设备失效了,附属设备 会互相协商选出一个新的主设备。新的主设备负责恢复所有已经建立的连接。 在失效恢复期间,HA 组会通知附近的网络设备,以使得整个网络可以迅速地转换 到新的数据路径中。新的主设备还会将 HA...

  • Page 73

    高可用性 NAT/ 路由模式下的 HA 在失效恢复期间,HA 组会通知附近的网络设备,以使得整个网络可以迅速地转换 到新的数据路径中。新的主设备还会将 HA 簇中发生的变动通知管理员。它会在它自己 的事件日志中写入一条消息,发送一个 SNMP 陷阱 (如果启用了 SNMP),并且发送一个 报警邮件。 如果一个附属的 FortiGate 设备失效了,主 FortiGate 设备会在它自己的事件日志...

  • Page 74

    NAT/ 路由模式下的 HA 高可用性 SSH 允许通过此接口建立到 CLI 的 SSH 连接。 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息。 TELNET 允许通过此接口建立到 CLI 的...

  • Page 75

    高可用性 NAT/ 路由模式下的 HA 加权循环 加权循环负载均衡。类似于循环算法,但它是为 HA 簇中的每个设备根据 他们的容量和其当前处理的连接数计权。例如,主设备应该具有最低的 权重,因为它要负责处理和分配通讯连接。加权循环负载均衡能够将通 讯分配得更加均匀,因为处理较少通讯的设备将比处理较多通讯的设备 更容易被分配到通讯连接。 随机 随机负载均衡。如果 FortiGate 设备使用交换机连接,选择随机负载均 衡可以将通讯随机分配到 HA 簇中的设备上。 IP...

  • Page 76

    NAT/ 路由模式下的 HA 高可用性 还有,您必须将这一 HA 簇中所有的 HA 接口连接到同一交换机或集线器上。您还需 要将一台管理员电脑连接到这个交换机或集线器上。这个簇中的设备将一直进行 HA 状 态通讯以确保簇工作正常。因此,这个簇中全部 FortiGate 设备的 HA 接口之间的连接 必须妥善地维护。这个通讯的任何中断都将导致不可预料的后果。 建议您使用交换机以提高网络的性能。 无论您将...

  • Page 77

    高可用性 透明模式下的 HA 启动 HA 簇 将 HA 簇中的全部 FortiGate 设备都配置为 HA 并且将这个簇连接起来之后,可以使 用以下操作启动 HA 簇。 1 为簇中的所有 HA 设备加电。...

  • Page 78

    透明模式下的 HA 高可用性 SSH 允许通过此接口建立到 CLI 的 SSH 连接。 SNMP 允许一个远程 SNMP 管理者连接到此接口并请求 SNMP 管理信息。 TELNET 允许通过此接口建立到 CLI 的 Telnet...

  • Page 79

    高可用性 透明模式下的 HA 加权循环 加权循环负载均衡。类似于循环算法,但是为 HA 簇中的每个设备根据他 们的容量和他们当前处理的连接数计权。例如,主设备应该具有最低的 权重,因为它要负责处理和分配通讯连接。加权循环负载均衡能够将通 讯分配得更加均匀,因为处理的通讯少的设备将比任务重的设备更容易 被分配到通讯连接。 随机 随机负载均衡。如果 FortiGate 设备使用交换机连接,选择随机负载均 衡可以将通讯随机分配到 HA 簇中的设备上。 IP 根据...

  • Page 80

    管理 HA 组 高可用性 还有,您必须将这一 HA 簇中所有的 HA 接口连接到同一交换机或集线器上。此外还 需要将一台管理员电脑连接到这个交换机或集线器上。 建议使用交换机以提高网络的性能。 无论将 FortiGate 设备配置为主动 - 主动模式 HA 或者主动 - 被动模式...

  • Page 81

    高可用性 管理 HA 组 本节描述了以下内容: ·查看 HA 簇成员状态 ·监视簇成员 ·监视簇会话 ·查看和管理簇日志消息 ·单独管理簇中的设备 ·同步簇配置 ·返回到独立模式配置 ·在失效恢复后替换 FortiGate 查看 HA 簇成员状态 按以下步骤查看...

  • Page 82

    管理 HA 组 高可用性 图 17: 簇会话数和网络显示的例子 4 选择病毒和入侵。 显示出每个簇成员的病毒和入侵状态。主设备的识别标志是本地,其他设备根据他们 的序列号列出。 显示的内容还包括当前每小时检测到的病毒数和当前入侵次数的柱状显示,以及过去 20 小时内的病毒数和入侵次数的曲线图。曲线图的比例尺在图的左上角显示。 有关详细信息,请见 第 90 页 “ 查看病毒和入侵状态”...

  • Page 83

    高可用性 管理 HA 组 2 进入日志和报告 > 记录日志。 显示主设备通讯日志、事件日志、攻击日志、病毒防护日志、网页过滤日志和电子邮 件日志。 右上角的下拉列表控制着要显示的日志类别。主设备的识别标志是本地,其他设备根 据他们的序列号列出。 3 选择簇中的一个设备的序列号可以显示这个簇成员的日志。 您可以查看保存在内存中的日志或者保存在硬盘中的日志,这取决于这个簇成员的配 置。 4 对于簇中的每个设备: ·您可以查看和搜索日志消息(请见 第...

  • Page 84

    管理 HA 组 高可用性 同步簇配置 当运行于簇模式的时候,为了达到较好的效果,必须确保簇中的全部设备的配置始 终同步。您可以在主设备上对配置做修改,然后在 HA 簇中的每个附属设备上使用 execute ha synchronize 命令手工将它的配置和主设备的配置同步。您可以使用 这个命令同步如下内容: 表 16: execute ha synchronize 关键字...

  • Page 85

    高可用性 高级 HA 选项 一旦重新配置或者更换了新的 FortiGate 设备,需要改变它的 HA 配置以与原来失 效的 FortiGate 的配置相匹配。然后把它重新连接到网络中。这个 FortiGate 将自动 地加入 HA 组中。 高级 HA 选项...

  • Page 86

    高级 HA 选项 高可用性 这个命令有以下结果: ·第一个连接由主设备处理 ·下面的三个连接由第一个附属设备处理 ·在下面的三个连接由第二个附属设备处理 附属设备将比主设备处理更多的连接,而两个附属设备处理的连接数一样多。 72 美国飞塔有限公司

  • Page 87: 系统状态

    FortiGate-1000 安装和配置指南 2.50 版 系统状态 您可以连接到基于 Web 的管理程序进入系统 > 状态 以查看您的 FortiGate 设备的 当前状态。显示的状态信息包括当前的固件版本,当前的病毒防护定义和攻击定义以 及 FortiGate 设备的序列号。 如果您使用管理员帐号 admin...

  • Page 88

    修改 FortiGate 主机名 系统状态 修改 FortiGate 主机名 FortiGate 设备的主机名显示在系统 > 状态页和 FortiGate CLI 提示符中。主机名 也被用做 SNMP 系统名 (见 第 135...

  • Page 89

    系统状态 修改 FortiGate 固件 2 使用 admin 管理员帐号登录到基于 Web 的管理程序。 3 进入 系统 > 状态。 4 单击 固件升级 。 5...

  • Page 90

    修改 FortiGate 固件 系统状态 9 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、 病毒和攻击定义的版本,合同有效期和最新更新信息。 get system objver 恢复到一个旧的固件版本 按照如下操作可以将您的 FortiGate 设备恢复到一个旧的固件版本。 使用基于 Web 的管理程序恢复到一个旧版本的固件 以下操作将您的 FortiGate 设备恢复到它的出厂时的默认配置状态,并删除...

  • Page 91

    系统状态 修改 FortiGate 固件 您可以在进行这一操作之前先进行: ·使用命令 execute backup config 备份 FortiGate 设备的配置。 ·使用命令 execute backup nidsuserdefsig 备份 NIDS 用户定义的特征。 ·备份网页内容和电子邮件过滤列表,请见...

  • Page 92

    修改 FortiGate 固件 系统状态 10 使用 第 97 页 “ 手工更新病毒防护定义和攻击定义” 中描述的步骤更新病毒防护 定义和攻击定义,或从 CLI 输入 execute updatecenter updatenow 11 要确认病毒防护定义和攻击定义是否已经被更新,输入以下命令显示病毒防护引擎、...

  • Page 93

    系统状态 修改 FortiGate 固件 6 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: ·运行 v2.x 版 BIOS 的 FortiGate 设备...

  • Page 94

    修改 FortiGate 固件 系统状态 11 输入固件文件的名称然后回车。 TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息: ·运行 v2.x 版 BIOS 的 FortiGate 设备 Do You Want...

  • Page 95

    系统状态 修改 FortiGate 固件 4 确认 FortiGate 的接口 3 和 TFTP 服务器连接到内部网络上。 确认您可以从 FortiGate 连接到 TFTP 服务器上。具体方法是使用以下命令 ping 运行 TFPT...

  • Page 96

    修改 FortiGate 固件 系统状态 11 输入固件文件的名称然后回车。 输入固件文件的名称然后回车。 TFPT 服务器会把固件的映像文件上载到 FortiGate 上,并会出现类似以下消息: ·运行 v2.x 版 BIOS 的 FortiGate 设备 Do You...

  • Page 97

    系统状态 修改 FortiGate 固件 5 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: Press any key to enter configuration menu........

  • Page 98

    修改 FortiGate 固件 系统状态 2 输入以下命令重新启动 FortiGate: execute reboot 在 FortiGate 设备启动过程中,将显示一系列的系统启动信息。 当下面信息之一显示的时候: Press any key to enter configuration menu........

  • Page 99

    系统状态 手动更新病毒防护定义库 如果您成功地中断了启动过程,将显示下面的消息之一: [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and...

  • Page 100

    显示 FortiGate 的序列号 系统状态 5 单击 确定 将攻击定义库文件上载到 FortiGate。 FortiGate 将更新新的攻击定义库,整个过程将持续约 1 分钟。 6 进入 系统 > 状态 查看攻击定义库的信息,确认它已经被更新了。 显示...

  • Page 101

    系统状态 将系统设置恢复到出厂设置 2 选择 系统设置恢复 。 3 输入系统设置文件的名称和路径,或者单击 浏览 然后在浏览器中定位文件。 4 单击 确定 将系统设置文件恢复到 FortiGate 上。 FortiGate 将上载系统设置文件并重新启动,调入新的系统设置。 5 重新连接到基于...

  • Page 102

    转换到 NAT/ 路由模式 系统状态 转换到 NAT/ 路由模式 使用如下操作可以将 FortiGate 设备从透明模式转换到 NAT/ 路由模式。当 FortiGate 设备改到 NAT/ 路由模式式之后,它的配置将被设置为 NAT/ 路由模式的默认 配置。 1...

  • Page 103

    系统状态 系统状态 您可以设置一个自动更新时间间隔每过一段时间就更新当前的显示。这个时间间隔 可以从 5 秒到 30 秒。您还可以手工刷新显示的内容。 ·查看 CPU 和内存状态 ·查看会话和网络状态 ·查看病毒和入侵状态 查看 CPU 和内存状态 当前 CPU 和内存状态指示了 FortiGate...

  • Page 104

    系统状态 系统状态 查看会话和网络状态 使用会话和网络状态显示可以跟踪 FortiGate 设备正在处理的网络会话并查看可用 网络带宽上的会话数量。另外通过对比 CPU、内存使用率和网络、会话状态,您可以知 道系统资源可以承担多少网络通讯。 会话显示了当前 FortiGate 设备的全部接口所处理的会话总数。会话还显示了 FortiGate 设备当前处理的会话数占它设计的处理能力的百分比。 网络使用显示了通过 FortiGate 全部网络接口的网络带宽的总量。网络使用还显示 了当前所使用的网络带宽占 FortiGate 设备能处理的最大网络带宽的百分比。...

  • Page 105

    系统状态 会话列表 2 单击病毒和入侵。 显示病毒和入侵状态。显示的内容包括以条形图方式显示的每小时检测到的病毒和入 侵数量,以及过去 20 小时内的病毒和入侵数量统计曲线。 3 设置自动刷新的时间间隔并单击执行以设置基于 Web 的管理程序更新当前显示的频率。 频繁地刷新将消耗系统资源并增加网络通讯。然而,这只发生在您使用 基于 Web 的管 理程序查看显示的时候。 4 单击刷新可以手工更新当前显示的信息。 图...

  • Page 106

    会话列表 系统状态 会话列表中的每一行显示了以下信息: 协议 连接的服务类型或者协议类型。例如 TCP、UDP、ICMP 源 IP 连接的源 IP 地址。 源端口 连接的源端口。 目的 IP 连接的目的 IP 地址。 目的端口 连接的目的端口。...

  • Page 107: 病毒和攻击定义升级及注册

    FortiGate-1000 安装和配置指南 2.50 版 病毒和攻击定义升级及注册 您可以将 FortiGate 设备配置为连接到 Forti 响应发布网络 (FDN) 并自动更新病毒 防护定义和攻击定义,以及病毒防护引擎。您可以使用以下更新选项: ·从 FDN 手工请求更新, ·每小时、每天或每周定期启动请求最新版本的更新, ·使用推送更新使得 FDN...

  • Page 108

    病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 本节描述了以下内容: ·连接到 Forti 响应发布网络 ·配置周期性更新 ·配置更新日志 ·添加后备服务器 ·手工更新病毒防护定义和攻击定义 ·配置推送更新 ·通过 NAT 设备的推送更新 ·通过代理服务器定期更新 连接到 Forti 响应发布网络 FortiGate 设备必须能够连接到...

  • Page 109

    病毒和攻击定义升级及注册 病毒防护定义和攻击定义更新 表 1: 连接到 FDN 连接 状态 说明 推送更新 可用 FDN 可以连接到 FortiGate 设备以发送推送更新。您可 以将 FortiGate 设备配置为接收推送更新。请见 第 97...

  • Page 110

    病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 图 1: 配置病毒防护和攻击定义自动更新 配置更新日志 使用如下步骤配置 FortiGate 日记记录可以在 FortiGate 设备更新病毒防护和攻击 定义的时候记录日志消息。更新日志消息记录在 FortiGate 事件日志中。 1 进入 日志和报告 > 日志设置。 2...

  • Page 111

    病毒和攻击定义升级及注册 病毒防护定义和攻击定义更新 3 单击应用。 FortiGate 设备将测试到这个后备服务器的连接。 如果 Forti 响应发布网络的修改是正确的,FortiGate 设备应当可以连接到后备服务 器。 如果 Forti 响应发布网络的设置仍旧不可用,FortiGate 设备就无法连接到后备服务 器。检查 FortiGate 的配置和网络配置,确保您可以从 FortiGate 设备连接到后备服...

  • Page 112

    病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 不建议将启用推送更新作为唯一的获取更新的方式。FortiGate 设备可能无法收到 推送更新。同样,当 FortiGate 设备接收到一个更新通报的的时候,它只尝试一次连 接到 FDN 和下载更新。 通过 NAT 设备的推送更新 如果 FDN 必须通过一个 NAT 设备才能连接到 FortiGate 设备,您必须在...

  • Page 113

    病毒和攻击定义升级及注册 病毒防护定义和攻击定义更新 图 2: 网络拓扑结构举例:通过一个 NAT 设备的推送更新 一般配置步骤 使用以下步骤配置 FortiGate NAT 设备和内部网络中的 FortiGate 设备,使得内部 网络中的 FortiGate 设备可以接收推送更新: 1 向 FortiGate...

  • Page 114

    病毒防护定义和攻击定义更新 病毒和攻击定义升级及注册 按照如下步骤配置 FortiGate NAT 设备: 1 进入 防火墙 > 虚拟 IP。 2 单击新建。 3 为虚拟 IP 地址添加一个名称。 4 选择...

  • Page 115

    病毒和攻击定义升级及注册 病毒防护定义和攻击定义更新 按照如下步骤配置 FortiGate NAT 设备: 1 添加一个新的外部到内部的防火墙策略。 2 使用如下设置配置策略: 源地址 外部 _ 全部 目的地址 前面步骤中添加的虚拟 IP 地址。 任务计划 总是。...

  • Page 116

    注册 FortiGate 设备 病毒和攻击定义升级及注册 通过代理服务器定期更新 如果您的 FortiGate 设备必须通过一个代理服务器才能连接到互联网,您可以使用 set system autoupdate tunneling 命令使得 FortiGate 设备 可以使用这个代理 服务器连接到 (或者通过通道)FDN。您可以使用这个命令来指定代理服务器的 IP 地...

  • Page 117

    病毒和攻击定义升级及注册 注册 FortiGate 设备 很快您将可以获得如下服务: ·访问 Fortinet 用户文档 ·访问 Fortinet 知识库 ·下载固件升级 所有注册信息存储在 Fortinet 客户支持数据库中。这些信息用来确保您所注册的 FortiGate 设备能够被更新。所有信息都是严格保密的。Fortinet 不会以任何理由同 第三方分享这些信息。 本节描述了如下内容:...

  • Page 118

    注册 FortiGate 设备 病毒和攻击定义升级及注册 1 进入 系统 > 更新 > 支持。 2 在产品注册单中输入您的联系信息。 图 5: 注册 FortiGate 设备 (联系信息和安全提示问题) 3...

  • Page 119

    病毒和攻击定义升级及注册 更新注册信息 更新注册信息 您可以在任何时间使用您的 Fortinet 支持用户名和密码登录到 Fortinet 支持网站 以查看和更新您的 Fortinet 支持信息。 本节描述了以下内容: ·找回丢失的 Fortinet 支持密码 ·查看注册的 FortiGate 设备列表 ·注册一个新的 FortiGate...

  • Page 120

    更新注册信息 病毒和攻击定义升级及注册 图 7: 注册的 FortiGate 设备列表举例 注册一个新的 FortiGate 设备 1 进入 系统 > 更新 > 支持单击支持登录。 2 输入您的 Fortinet...

  • Page 121

    病毒和攻击定义升级及注册 更新注册信息 修改您的 Fortinet 支持密码 1 进入 系统 > 更新 > 支持 并单击支持登录。 2 输入您的 Fortinet 支持用户名和密码。 3 单击登录。 4...

  • Page 122

    RMA 之后注册 FortiGate 设备 病毒和攻击定义升级及注册 图 8: 下载病毒和攻击定义更新 关于如何安装下载的文件的详细信息,请见 第 85 页 “ 手动更新病毒防护定 义库” 和 第 85 页 “...

  • Page 123: 网络配置

    FortiGate-1000 安装和配置指南 2.50 版 网络配置 进入 系统 > 网络 可以对 FortiGate 网络做如下设置: ·配置区域 ·配置网络接口 ·配置虚拟局域网 (VLAN) ·配置路由 ·在您的内部网络中提供 DHCP...

  • Page 124

    配置区域 网络配置 4 您可以选择阻塞区域内部通讯功能以阻塞在同一区域中的两个网络接口之间的通讯。 5 单击确定以添加区域。 这个区域现在将显示在防火墙策略网格中。 在区域中添加接口 您可以在一个区域中添加一个或多个网络接口。如果您为接口添加了防火墙地址, 在将接口添加到区域之前您必须删除这些防火墙地址。请见 第 152 页 “ 删除地 址” 。当您将一个网络接口添加到区域的时候,您不能为这个接口添加防火墙地址, 这个接口也不会出现在策略网格中。 1 进入...

  • Page 125

    网络配置 配置网络接口 配置网络接口 按照以下步骤配置 FortiGate 的网络接口: ·查看接口列表 ·启动一个接口 ·修改一个接口的静态 IP 地址 ·为接口添加第二个 IP 地址 ·为接口添加 ping 服务器 ·控制到接口的管理访问 ·为接口的连接配置通讯日志 ·修改外部网络接口的...

  • Page 126

    配置网络接口 网络配置 4 单击确定以保存您所做的修改。 如果您修改了你用来连接到 FortiGate 设备进行管理操作的接口的 IP 地址,您必 须使用新的 IP 地址重新连接到基于 Web 的管理程序。 为接口添加第二个 IP 地址 您可以使用 CLI 为任何...

  • Page 127

    网络配置 配置网络接口 HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序。 PING 如果您希望网络接口对 PING 作出响应,选中此项。用于验证您的安装和测试。 HTTP 允许 HTTP 连接通过此接口连接到 基于 Web 的管理程序。...

  • Page 128

    配置网络接口 网络配置 4 设置 MTU 尺寸 。 可以将最大的数据包尺寸设定在 68 字节到 1500 字节之间。默认的 MTU 尺寸是 1500 字 节。您可以试着减小 MTU 的尺寸以找到网络性能最高的时对应的 MTU...

  • Page 129

    网络配置 配置虚拟局域网 (VLAN) HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序。 PING 如果您希望网络接口对 PING 作出响应,选中此项。用于验证您的安装和测试。 SSH 允许安全 SSH 连接通过此接口连接到 CLI。 SNMP...

  • Page 130

    配置虚拟局域网 (VLAN) 网络配置 图 9: VLAN 网络典型配置 添加 VLAN 子网络接口 每个 VLAN 子网络接口的 VLAN ID 必须和服从 IEEE 802.1Q 标准的路由器所添加的 VLAN...

  • Page 131

    网络配置 配置虚拟局域网 (VLAN) VLAN ID 的规则 添加到同一物理接口的两个 VLAN 子接口不能有相同的 VLAN ID。然而,您可以在 不同的物理接口上添加具有相同 VLAN ID 的两个或多个 VLAN 子接口。在有相同的 VLAN ID 的...

  • Page 132

    配置路由 网络配置 SNMP 允许远程 SNMP 管理者连接到这个接口请求 SNMP 信息。见 第 135 页 “ 配置 SNMP” 。 TELNET 允许通过这个接口使用 CLI 的 Telnet...

  • Page 133

    网络配置 配置路由 1 进入 系统 > 网络 > 路由 表。 2 单击 新建 。 3 将 源 IP 地址 和...

  • Page 134

    配置路由 网络配置 注意:将路由表中的路由按照从特殊到一般的顺序排列。有关路由表中的路由的排列顺序,请参 阅 “配置路由表”。 添加路由 (透明模式) 以下操作用于 FortiGate 在透明模式运行时添加路由: 1 进入 系统 > 网络 > 路由。 2 单击 新建...

  • Page 135

    网络配置 在您的内部网络中提供 DHCP 服务 策略路由 策略路由拓展了目的路由的功能。您可以使用策略路由根据以下内容路由通讯: ·源地址 ·协议、服务类型或端口范围 ·进入的或源接口 您可以使用策略路由创建一个路由策略数据库 (RPDB),从一组路由规则中为通讯 找出适当的路由。要为通讯选择一个路由,FortiGate 从头搜索 RPDB 寻找与通讯匹配 的路由策略。搜索到的第一个匹配的策略将被用于设置通讯的路由。路由支持网络跳 跃网关和用于此通讯的 FortiGate 接口。 数据包在匹配目的策略之前先匹配策略路由。如果一个数据包不能匹配策略路由,...

  • Page 136

    在您的内部网络中提供 DHCP 服务 网络配置 表 2: 设置 system dhcpserver 命令语法 ( 续 ) 关键词 说明 exclusionrange {< 起点 最多可以输入 4...

  • Page 137: RIP 配置

    FortiGate-1000 安装和配置指南 2.50 版 RIP 配置 FortiGate 路由信息协议 (RIP)实现支持 RIP 版本 1 (RFC1058 所定义)和 RIP 版本 2 (也称做 RIP2,RFC2453...

  • Page 138

    RIP 设置 RIP 配置 RIP 设置 配置 RIP 设置以启用基本的 RIP 功能和度量,以及配置 RIP 计时器。 1 进入 系统 >RIP> 设置。 2 单击启用...

  • Page 139

    RIP 配置 为 FortiGate 接口配置 RIP 图 1: 配置 RIP 设置 为 FortiGate 接口配置 RIP 您可以为每个 FortiGate 接口和 VLAN 子网络接口创建一个单独的配置。这样一来...

  • Page 140

    为 FortiGate 接口配置 RIP RIP 配置 RIP1 发送 本接口可以将 RIP1 路由广播发送到此网络上的其他路由器。路由信息是目的 端口为 520 的 UDP 数据包。 RIP1 接收 这个接口可以接收 RIP1...

  • Page 141

    RIP 配置 添加 RIP 邻居 添加 RIP 邻居 添加 RIP 邻居可以定义用于交换路由信息的邻近的路由器。将邻居添加到非广播网 络中。 当您添加邻居的时候,FortiGate 设备与邻居直接交换信息,而不是依赖于广播路 由。这种 FortiGate 和添加到邻居列表的路由器之间的点对点的路由信息交换更加安 全,并且可以减少网络通讯。在非广播网络中必须添加邻居以交换路由。 当使用组合的 RIP...

  • Page 142

    添加 RIP 过滤器 RIP 配置 本节叙述了如下内容: ·添加单一 RIP 过滤器 ·添加一个 RIP 过滤列表 ·添加一个邻居过滤器 ·添加一个路由过滤器 添加单一 RIP 过滤器 添加单一 RIP 过滤器可以过滤单一过滤。您可以对邻居过滤器或路由过滤器应用单...

  • Page 143

    RIP 配置 添加 RIP 过滤器 IP 添加这个路由的 IP 地址。 掩码 添加这个路由的掩码。 动作 选择允许可以使过滤器允许这个路由的通讯。选择拒绝可以阻止这个路由被 交换。 接口 选择这个 RIP 过滤器要应用到的接口。 7 单击确定以将路由前缀添加到这个过滤器。...

  • Page 144

    添加 RIP 过滤器 RIP 配置 130 美国飞塔有限公司

  • Page 145: 系统配置

    FortiGate-1000 安装和配置指南 2.50 版 系统配置 进入 系统 > 配置 可以对 FortiGate 系统配置做以下改动: ·设置系统日期和时间 ·更改基于基于 Web 的管理程序的选项 ·添加和编辑管理员帐号 ·配置 SNMP...

  • Page 146

    更改基于基于 Web 的管理程序的选项 系统配置 图 1: 日期和时间设置的例子 更改基于基于 Web 的管理程序的选项 在 系统 > 配置 > 选项页,您可以: ·设置系统空闲超时。 ·设置认证超时。 ·选择基于 Web...

  • Page 147

    系统配置 添加和编辑管理员帐号 选择基于 Web 的管理程序所用的语言 1 在语言列表中选择基于 Web 的管理程序使用的语言。 2 单击应用。 您可以选择英文、简体中文、日文、韩文或繁体中文。 注意:如果基于 Web 的管理程序的语言被设定为使用简体中文、日文、韩文或者繁体中文,您可 以使用基于 Web 的管理程序右上角的 Englsih 按钮切换回英文。...

  • Page 148

    添加和编辑管理员帐号 系统配置 添加新的管理员帐号 使用 admin 帐号按照以下步骤可以在 FortiGate 中添加新的管理员帐号和设定他们 的权限: 1 进入 系统 > 配置 > Admin。 2 单击 新建 以添加新的管理员帐号。...

  • Page 149

    系统配置 配置 SNMP 7 ( 可选的)输入受信任主机的的 IP 地址 和 网络掩码 ,从而允许这个管理员用来访 问基于 Web 的管理程序。 如果您希望管理员可以从任何地方访问 FortiGate,就把受信任主机的 IP 地址设置为 0.0.0.0,把掩码设置为 255.255.255.255。...

  • Page 150

    配置 SNMP 系统配置 接受团体 也可以称做读团体。接受团体是一个用来识别发送到 FortiGate 上的 SNMP 访问请求的密码。当一个 SNMP 管理程序发送访问请求到 FortiGate 的时候,它必须包括正确的访问团体的字符串。 默认的接受团体字符串是 “public”。修改这个默认的接受团体字符串 可以防止入侵者通过 SNMP 的访问请求获取您的网络配置信息。而您的 SNMP 管理程序必须使用这个接受团体字符串才能取得...

  • Page 151

    系统配置 定制替换信息 表 1: FortiGate MIBs MIB 文件名 描述 EtherLike.mib 以太网连接 MIB 是基于 RFC2665 的标准 MIB。这个 MIB 包含了用来管理以 太网接口的信息。 FN-TRAP.mib...

  • Page 152

    定制替换信息 系统配置 本节描述了以下内容: ·定制替换信息 ·定制报警邮件 图 3: 替换信息的例子 定制替换信息 替换信息列表中的每个替换信息由不同的几个部分组成。您可以利用这些部分的组 合创建您自己的替换信息。 您可以编辑替换信息列表中的任何替换信息,并且可以根据需要添加替换信息片 段。 1 进入 系统 > 配置 > 替换信息。...

  • Page 153

    系统配置 定制替换信息 表 3: 替换信息片段 扫描 用于病毒扫描 (所有服务)。 片段开始 <**INFECTED**> 允许的标签 %%FILE%% 被感染的文件的文件名。 %%VIRUS%% 感染文件的病毒名称。 %%URL%% 被阻塞的网页页面或文件的 URL。 片段结束 <**/BLOCKED**>...

  • Page 154

    定制替换信息 系统配置 表 4: 报警邮件消息的片段 ( 续 ) 阻塞事件 用于文件阻塞报警邮件消息 片段开始 <**BLOCK_ALERT**> 允许的标签 %%FILE%% %%PROTOCOL%% 被阻塞的文件所用的服务。 %%SOURCE_IP%% 接收被阻塞的文件时的源 IP 地址。对于电子邮件,...

  • Page 155: 防火墙配置

    FortiGate-1000 安装和配置指南 2.50 版 防火墙配置 防火墙策略控制着所有通过 FortiGate 设备的通讯。防火墙策略是 FortiGate 设备 用来决定如何处理一个连接请求的一系列指令。当防火墙收到一个数据包内的连接请 求时,它提取出这个数据包的源地址、目的地址和服务 (端口号)进行分析。 对于要通过 FortiGate 设备传输的数据包,必须在 FortiGate 设备上添加一个与该 数据包源地址、目的地址和服务相匹配的防火墙策略。这个策略指导防火墙如何处理...

  • Page 156

    默认防火墙配置 防火墙配置 默认防火墙配置 防火墙策略控制接口之间的连接。默认情况下,您内部网络中的用户可以通过 FortiGate 设备连接到互联网。防火墙阻塞其他所有的连接。防火墙被配置为用一条默 认策略匹配从内部网络上收到的所有的连接请求。这条策略指示防火墙将这些连接转 发到互联网上。 图 4: 默认防火墙策略 • 接口 • VLAN 子接口 • 区域 • 地址...

  • Page 157

    防火墙配置 默认防火墙配置 要在区域中添加策略,您必须使用以下步骤将区域添加到防火墙网格: 1 将区域添加到 FortiGate 配置。 请见 第 109 页 “ 添加区域” 。 2 将接口和 VLAN 子网络接口添加到这个区域。 请见 第...

  • Page 158

    添加防火墙策略 防火墙配置 内容配置文件 内容配置文件可以添加到策略中以应用对网页、文件传输和电子邮件服务的防病毒 保护、网页内容过滤和电子邮件过滤。FortiGate 设备包括了以下默认的内容配置文 件: ·严谨 : 对 HTTP, FTP, IMAP, POP3, 和 SMTP 内容通讯应用最大程度的内容保护。 ·扫描 : 对...

  • Page 159

    防火墙配置 添加防火墙策略 图 5: 添加 NAT/ 路由策略 防火墙策略选项 本节叙述了您可以在防火墙策略中设置的选项。 源地址 选择与数据包源地址匹配的地址或地址组。在您把这个地址添加到策略之前,必须 先把它添加到源网络接口上。关于添加地址,见 第 150 页 “ 地址” 。 目的地址 选择与数据包目的地址匹配的地址或者地址组。在您把这个地址添加到策略之前,...

  • Page 160

    添加防火墙策略 防火墙配置 任务计划 选择任务计划可以控制策略生效和用于匹配连接的时间,见 第 157 页 “ 任务 计划” 。 服务 选择一个服务与数据包的服务 (端口)相对应。您可以从大量的预定义服务中选 择,或者添加自己定制的服务类型和服务组。 见 第 153 页 “...

  • Page 161

    防火墙配置 添加防火墙策略 流量控制 流量控制功能控制可以使用的带宽并设置被策略处理的数据流的优先权。在大量的 数据通过 FortiGate 时,流量控制可以控制哪个策略具有更高的优先权。例如,为网 页服务器设定的策略可能被分配比大多数为雇员电脑设定的策略更高的优先级。当一 个雇员需要非同寻常的对互联网的高速访问的时候,可以为他设置一个具有较高带宽 的特定的向外连接策略。 如果设置保证带宽和最大带宽均为 0,策略将拒绝所有流通流量。 保证带宽 使用 流量控制可以保证策略允许经过防火墙的通讯享有一定的带宽。 保证 带宽 ( 以 kbps...

  • Page 162

    配置策略列表 防火墙配置 图 6: 添加透明模式策略 记录流通日志 选择记录流通日志可以在策略处理一个连接的时候向日志写入一条消息。关于记录 日志的详细信息请见 第 249 页 “ 日志和报告” 。 注释 可以选择添加一个关于这个策略的描述或者其他信息。注释的长度最多可以到 63 个字符,包括空格。 配置策略列表 防火墙从策略列表的顶端向下搜索匹配的策略,直到找到第一个匹配的策略为止。...

  • Page 163

    防火墙配置 配置策略列表 本节讨论了以下内容: ·策略匹配的细节 ·更改策略列表中策略的顺序 ·启用和禁用策略 策略匹配的细节 当 FortiGate 从网络接口上收到一个连接请求时,它首先要选择一个策略列表,在 这个策略列表中查找与这个连接请求匹配的策略。FortiGate 根据连接请求的源地址和 目的地址决定使用哪个策略列表。 随后 FortiGate 从选定的策略列表的顶端开始向下搜索策略列表,查找第一个与连 接请求的源地址、目的地址、服务端口以及接收到连接请求的日期和时间相匹配的策 略。匹配的第一个策略将被应用于连接。如果没有找到匹配的策略,连接将被丢弃。 默认的策略接受所有的从内部网络到互联网的连接请求。用户可以从内部网络浏览 网页、使用...

  • Page 164

    地址 防火墙配置 启用一个策略 启用一个被禁用了的策略可以使防火墙继续用这个策略匹配连接: 1 进入 防火墙 > 策略。 2 选择含有要启用的策略的策略列表的标签。 3 选中要启用的策略的选中标志。 地址 所有的策略都需要配置源地址和目的地址。要为两个接口之间的策略添加地址,您 必须先把这些地址添加到这个策略的接口、VLAN 子接口和区域的地址列表中去。 您可以根据需要添加、编辑和删除全部的防火墙地址。您也可以将相关的地址编入 地址组以简化创建的策略。 ·一个防火墙地址由一个...

  • Page 165

    防火墙配置 地址 5 输入这个 IP 地址。 这个 IP 地址可以是: ·单个电脑的 IP 地址 (例如,192.45.46.45)。 ·一个子网的地址 (例如,一个 C 类子网 192.168.1.0)。 ·0.0.0.0 来表示全部可能的...

  • Page 166

    地址 防火墙配置 删除地址 删除一个地址可以把此地址移出地址列表。一旦地址被删除了,这个地址就不能再 添加到策略中。要删除一个已经添加到策略的地址,必须先把它从那个策略中删除。 1 进入 防火墙 > 地址。 2 选择含有您要删除的地址的列表。 您可以删除被列出的地址中带有 删除标志 的任何地址。 3 选择要删除的地址,单击 删除 。 4...

  • Page 167

    防火墙配置 服务 图 8: 添加一个内部地址组。 服务 使用服务可以控制防火墙接受或者拒绝的流通类型。可以为一个策略添加任何预定 义的服务。也可以创建您自己定制的服务然后把服务添加到服务组中去 本节叙述了以下内容: ·预定义的服务 ·访问定制服务 ·服务分组 预定义的服务 FortiGate 预定义服务在表 6 中列出。您可以将这些服务添加到任何策略中。 表 6: FortiGate...

  • Page 168

    服务 防火墙配置 表 6: FortiGate 预定义的服务 ( 续 ) 服务名称 内容 协议 端口 ESP 封装安全有效载荷。这个服务用于自动密钥交 50 换的 VPN 通道和手工密钥 VPN...

  • Page 169

    防火墙配置 服务 表 6: FortiGate 预定义的服务 ( 续 ) 服务名称 内容 协议 端口 PPTP 点对点通道协议是一个允许组织结构通过公共 tcp 1723 网络上的私有通道拓展他们自己的网络的协 议。 QUAKE...

  • Page 170

    服务 防火墙配置 5 通过输入 最高端口号 和 最低端口号 ,为这个协议指定一个源端口和一个目的端口 号的范围。如果服务仅使用一个端口,就在最高和最低端口号上输入相同的数字。 6 如果这个服务有多于一个的 端口地址范围 ,选择 添加 以指定附加的协议和端口范 围。 如果错误地添加了太多的端口地址范围,可以单击 删除 删除多余的行。 7...

  • Page 171

    防火墙配置 任务计划 任务计划 任务计划用来控制策略生效和无效的时间。可以创建一次性的任务计划和周期性的 任务计划。您可以使用一次性的任务计划创建策略,这个策略只在任务计划指定的时 间段内有效。周期性的任务计划不断地重复生效;可以使用周期性任务计划创建策略, 这个策略只在每天的特定时间或者每周的特定日期生效。 本节叙述了以下内容: ·创建一个一次性任务计划 ·创建周期性任务计划 ·在策略中添加一个任务计划 创建一个一次性任务计划 可以创建一个一次性任务计划用于在特定的时间内激活策略或者解除对策略的激 活。例如,您的防火墙可能被配置为默认的 内部到外部 策略,它允许在任何时间从 内部网络访问互联网上的任何服务。您可以添加一个一次性任务计划以阻止在节日期 间对互联网的访问。 1 进入...

  • Page 172

    任务计划 防火墙配置 图 10: 添加一次性任务计划任务计划 创建周期性任务计划 可以创建一个周期性的任务计划在每天的特定时间或者每周的特定天数里激活策略 或者取消对策略的激活。例如,您可能需要创建一个任务计划阻止在工作时间以外的 时间里访问互联网。 如果创建了一个结束时间在开始时间之前的周期性任务计划,这个任务计划将于您 所设置的开始时间开始,并于第二天的结束时间终止。您可以使用这种方法创建一个 周期性任务计划让它从第一天运行到第二天。也可以创建一个 24 小时运行的周期性任 务计划,只需要把它的开始时间和结束时间设置成相同的时间既可。 1 进入 防火墙 > 任务计划...

  • Page 173

    防火墙配置 任务计划 图 11: 添加周期性任务计划 在策略中添加一个任务计划 在创建一个任务计划之后,您可以把它添加到策略中,以控制策略生效的时间。在 创建策略的时候,可以在策略中添加新的任务计划,或者可以编辑现有的策略,向其 添加一个新的任务计划。 1 进入 防火墙 > 策略。 2 选择要添加的策略类型对应的标签。 3 单击 新建 以添加新的策略,或者单击...

  • Page 174

    虚拟 IP 防火墙配置 虚拟 IP NAT 模式的安全策略可以对较不安全的网络隐藏较安全的网络中的地址。要允许从 一个较不安全的网络连接到一个较安全的网络中的某个地址上,您必须创建一个从较 不安全的网络中的地址到较安全的网络中的地址的映射。这个映射称为虚拟 IP。 例如,如果在您的 DMZ 网络中有一台提供 Web 服务的电脑,它可以使用一个诸如 10.10.10.3 的私有 IP。为了让互联网内的数据包能够达到网页服务器,您必须为网页 服务器提供一个互联网上的外部地址。然后需要添加一个虚拟 IP...

  • Page 175

    防火墙配置 虚拟 IP 注意:防火墙把从主机向外发出的数据包的源地址从被映射的 IP 地址转换为外部的虚拟 IP 地 址,而不是防火墙的地址。 8 单击 确定 以保存虚拟 IP 地址。 您现在可以把这个虚拟 IP 地址添加到防火墙的策略中了。 图 12:...

  • Page 176

    虚拟 IP 防火墙配置 8 在 映射 IP 地址 一栏中,需要输入在目的网络上的 真实 IP 地址 。 例如,真实 IP 地址可以是位于您的内部网络中的 Web 服务器的地址。 9 把...

  • Page 177

    防火墙配置 IP 池 动作 将 动作 设置为 接受以接受到内部网络服务器的连接。也可以选择拒 绝以拒绝对服务器的访问。 NAT 如果防火墙对于源地址网络隐藏了目的网络上的私有地址,则选择 NAT。 认证 可选项。选择认证并选择一个用户组可以要求用户在使用端口转发访 问服务器的时候先取得防火墙的认证。 记录流通日志 可以选中此项启用对端口转发的数据流记录日志,并启用对数据流应 病毒防护与 Web 过滤器...

  • Page 178

    IP/MAC 绑定 防火墙配置 图 14: 添加一个 IP 池 使用固定端口的防火墙策略的 IP 池 如果一个 NAT 防火墙策略转换连接所使用的数据报的源端口,有些网络配置就无法 正常工作。NAT 通过转换源端口来跟踪特定服务的连接。您可以为 NAT 策略选择固定的 端口以防止源端口转换。然而,选择固定端口意味着这个服务只有一个连接可以通过 防火墙。为了支持多个连接,您可以为目的接口添加一个...

  • Page 179

    防火墙配置 IP/MAC 绑定 IP/MAC 绑定可以应用于连接到防火墙的数据包或者穿过防火墙的数据包。 注意:在您启用了 IP/MAC 绑定后,如果您修改了一台电脑的 IP 地址或者 MAC 地址,且此 IP 地 址和 MAC 地址已经在 IP/MAC 绑定列表中,则您必须同时修改 IP/MAC...

  • Page 180

    IP/MAC 绑定 防火墙配置 所有能正常连接到防火墙的数据包都将首先在 IP/MAC 绑定列表中查找匹配的 IP/MAC 地址对。 例如,如果 IP 地址为 1.1.1.1 和 MAC 地址为 12:34:56:78:90:ab:cd 的 IP/MAC 地 址对已经添加到...

  • Page 181

    防火墙配置 内容配置文件 4 配置 IP/MAC 地址绑定如何处理在 IP/MAC 地址列表中没有定义 IP 和 MAC 地址的数据 包: 选择允许流通可以允许所有具有不在 IP/MAC 地址列表中的 IP/MAC 地址对的数据包通 过。 选择阻塞流通可以阻塞所有具有不在...

  • Page 182

    内容配置文件 防火墙配置 默认的内容配置文件 FortiGate 设备具有以下四种默认的内容配置文件,它们位于防火墙 > 内容配置文 件。 您可以使用现有的内容配置文件或者创建您自己的: 严谨 使用严谨的内容配置文件可以对 UHTTP, FTP, IMAP, POP3, 和 SMTP 等通讯的内容应用最大限度的防护。通常情况下您不需要使用严谨型 内容配置文件,但是如果您受到病毒的严重威胁,需要最大限度地屏 蔽病毒,可以选择严谨型内容配置文件。...

  • Page 183

    防火墙配置 内容配置文件 电子邮件阻塞列表 对来自不受欢迎的地址的邮件添加主题标签。请见 第 246 页 “ 电 子邮件阻塞列表” 。 电子邮件排除列表 从电子邮件过滤中排除某些发件人地址模板。请见 第 247 页 “ 邮 件排除列表” 。...

  • Page 184

    内容配置文件 防火墙配置 2 单击包含了您要添加内容配置文件的那个策略的策略列表。 例如,要内部网络用户从网站上下载的文件启用网络保护,选择一个内部到外部的策 略。 3 单击新建以添加一个新的策略,或选择一个策略并单击编辑 。 4 选择病毒防护和网页过滤。 5 选择内容配置文件。 6 如果需要的话配置其余的策略选项。 7 单击确定。 8 对您要启用网络保护的任何策略重复以上步骤。 170...

  • Page 185: 用户与认证

    FortiGate-1000 安装和配置指南 2.50 版 用户与认证 FortiGate 支持使用 FortiGate 用户数据库、RADIUS 服务器和 LDAP 服务器的用户 认证。您可以把用户名添加到 FortiGate 用户数据库中,然后为用户设置一个密码以 允许用户使用这个内部数据库进行认证。也可以添加一个 RADIUS 服务器并且选择 RADIUS,以允许用户使用选定的...

  • Page 186

    设置认证超时 用户与认证 设置认证超时 按以下步骤设置认证超时: 1 进入 系统 > 配置 > 选项。 2 设置 认证超时 以控制在用户再次认证以取得对防火墙的访问权之前,防火墙能够保 持空闲的时间。 默认的认证超时是 15 分钟。 添加用户名并配置认证...

  • Page 187

    用户与认证 配置 RADIUS 支持 图 17: 添加用户名 从内部数据库中删除用户名 您不能删除已经添加到用户组的用户名。在删除用户之前必须将它们从所添加到的 用户组中删除。 1 进入用户 > 本地。 2 对于要删除的用户的用户名,单击 删除用户 。 3 单击...

  • Page 188

    配置 LDAP 支持 用户与认证 3 输入 RADIUS 服务器的名称。 您可以输入任何名称。此用户名可以包括数字 (0-9),大写和小写字母 (A-Z,a-z), 以及特殊字符 - 和 _。不能使用其它特殊字符和空格符。 4 输入 RADIUS 服务器的域名 或者...

  • Page 189

    用户与认证 配置 LDAP 支持 添加 LDAP 服务器 按以下步骤配置 FortiGate 设备的 LDAP 认证: 1 进入用户 > LDAP。 2 单击新建以添加新的 LDAP 服务器。...

  • Page 190

    配置用户组 用户与认证 3 单击 确定。 配置用户组 要启用认证,您必须在一个或多个用户组中添加用户名和 / 或 RADIUS 服务器。当 您需要认证时,可以选择一个用户组。您可以对以下情况选择一个用户组: ·需要认证的策略。只有被选中的组中的用户和可以被添加到这个用户组的 RADIUS 服 务器认证的用户才能使用这些策略认证。 ·拨号用户的 IPSec VPN 第一阶段配置。只有选定用户组中的用户可以通过认证使用...

  • Page 191

    用户与认证 配置用户组 图 20: 添加用户组 3 输入一个用于识别此用户组的 组名 。 这个组名可以是数字 (0-9),大写和小写字母 (A-Z,a-z),以及特殊字符 - 和 _。不 能使用其它特殊字符和空格符。 4 要向这个用户组中添加 用户 ,需从...

  • Page 192

    配置用户组 用户与认证 178 美国飞塔有限公司

  • Page 193: IPSec VPN

    FortiGate-1000 安装和配置指南 2.50 版 IPSec VPN 虚拟专用网络 (VPN)是一个拓展的私有网络,它由穿过共享或公共网络,例如互 联网,的连接组成。例如,某公司有两个办公室分别在两个不同的城市,每个都有它 自己的专用网络。这两个办公室可以通过 VPN 在彼此之间创建一个安全的通道。类似 地,一个电话拨号用户可以使用他的 VPN 客户端获得对他的专用办公网络的远程访问 权。在这两种情况下,在用户看来安全连接如同一个专用的网络通讯,即使这个通讯 是通过一个公共网络来传输的。 可以将通道、数据加密和认证结合起来以实现安全的 VPN...

  • Page 194

    手工密钥 IPSec VPN IPSec VPN IPSec 提供了两种控制密钥交换和管理的方法:手工密钥和 IKE 自动密钥管理。 ·“手工密钥” ·“使用预置密钥或证书的自动互联网密钥交换 ( 自动 IKE)” 手工密钥 当选择了手工密钥之后,通道两端的安全参数必须互相匹配。包括加密和认证密钥 在内的这些设置必须保密,从而避免未经授权的人员对数据解密,哪怕他们知道加密 所使用的算法。 使用预置密钥或证书的自动互联网密钥交换 (...

  • Page 195

    IPSec VPN 手工密钥 IPSec VPN 本地和远端的加密和认证密钥必须匹配;并且彼此的 SPI 值也必须互为镜像。当您 输入了这些值之后,无须再协商认证和加密算法即可发起 VPN 通道。只要您正确、完 整地输入了所有的值,双方之间即可建立通道。实质上通道一直存在于双方之间。结 果是当被一个策略所匹配的通讯请求通道时,它可以立刻被认证和加密。 ·手工密钥 VPN 的一般配置步骤 ·添加一个手工密钥 VPN 通道 手工密钥...

  • Page 196

    自动 IKE IPSec VPN IPSec VPN AES128 输入一个 32 个字符 (16 字节 ) 的十六进制数 (0- 9, A- F)。将这个数分成两个 16 个字符的部分。...

  • Page 197

    IPSec VPN 自动 IKE IPSec VPN 为自动 IKE VPN 添加第一阶段配置 当您添加第一阶段配置的时候,您需要定义 FortiGate 设备和 VPN 远端 (网关或 客户)用于彼此认证以建立 IPSec VPN 通道的有关条件。...

  • Page 198

    自动 IKE IPSec VPN IPSec VPN 8 输入密钥寿命。 指定在第一阶段密钥的有效期。密钥有效期是在第一阶段加密密钥过期之前以秒为单 位计算的时间。当密钥过期之后,无须中断服务就可以生成一个新的密钥。P1 提议中 的密钥有效期可以从 120 秒到 172800 秒。 9 认证方式可以设置为预置密钥或者 RSA 签名。...

  • Page 199

    IPSec VPN 自动 IKE IPSec VPN 加密方法 选择 XAuth 客户端、FortiGate 设备和认证服务器之间的加密方法。 PAP ——密码认证协议。 CHAP ——挑战 - 握手认证协议。 混合 ——选择混合可以在 XAuth...

  • Page 200

    自动 IKE IPSec VPN IPSec VPN 图 21: 添加第一阶段配置 为自动 IKE VPN 添加第二阶段配置 添加第二阶段配置以指定在本地 VPN 端点 (Fortigate 设备)和远程 VPN 端点...

  • Page 201

    IPSec VPN 自动 IKE IPSec VPN 5 配置 P2 提议。 可以为第二阶段的提议最多选择三个加密和认证算法组合。 VPN 通道的两端必须使用相同的 P2 提议设置。 6 (可选的)启用重放检测。 重放检测可以保护 VPN 通道以抵御重放攻击。...

  • Page 202

    管理数字证书 IPSec VPN 图 22: 添加第二阶段配置 管理数字证书 在一个 IPSec 通讯会话的参与双方建立一个加密的 VPN 通道之前,数字证书可以用 来保证参与双方是可信的。 Fortinet 使用手工操作获得证书。这包括从您的本地电脑将文本文件复制和粘贴 到认证中心,或从认证中心到您的本地电脑。 ·获得签名的本地证书 ·获得一个 CA 证书...

  • Page 203

    IPSec VPN 管理数字证书 2 单击生成。 3 输入一个证书名称。 输入的名称。这个名称可以含有数字 (0-9),大写和小写字母 (A-Z,a-z),以及特 殊字符 - 和 _。不能使用其它特殊字符或者空格符。 4 配置要认证的对象的主题信息。 最好使用一个 IP 地址或域名。如果不能用 (例如一个拨号客户),使用一个电子邮件...

  • Page 204

    管理数字证书 IPSec VPN 图 23: 添加本地证书 下载证书请求 您可以使用如下操作将证书请求从 FortiGate 设备下载到管理员电脑。 按照如下步骤下载证书请求: 1 进入 VPN > 本地证书。 2 单击下载 以将本地证书下载到管理员电脑。 3...

  • Page 205

    IPSec VPN 管理数字证书 4 申请一个签名了的本地证书。 按照 CA 网页服务器的指令进行如下操作: ·将一个 base64 编码的 PKCS#10 认证请求添加到 CA 网页服务器, ·将证书请求粘贴到 CA 网页服务器, ·在 CA...

  • Page 206

    配置加密策略 IPSec VPN 4 单击确定。 在本地证书列表中将显示签名的本地证书,其状态为 OK。 获得一个 CA 证书 VPN 双方为了让对方认证自己,必须从同一个证书授权获得 CA 证书。CA 认证为 VPN 双方提供了坚定他们从其他设备中收到的数字证书是否有效的方法。 FortiGate 设备为了验证它从远程 VPN...

  • Page 207

    IPSec VPN 配置加密策略 尽管加密策略同时控制进入和发出的连接,它必须被配置成为一个向外的策略。一 个向外的策略具有一个内部网络的源地址和一个外部网络上的目的地址。源地址标识 VPN 在内部网络中的部分。目的地址标识了 VPN 在远程网络中的部分。典型的向外策略 包括内部到外部的策略和 DMZ 到外部的策略。 注意:目的地址可以是互联网上的一个 VPN 客户端地址或是一个远程 VPN 网关后边的一个网络中 的地址。 除了用定义 VPN...

  • Page 208

    配置加密策略 IPSec VPN 4 输入互联网上的一个 VPN 客户端或是远程 VPN 网关后边的一个网络的地址名,IP 地址 和网络掩码。 5 单击确定以保存目的地址。 添加一个加密策略 1 进入 防火墙 > 策略。 2...

  • Page 209

    IPSec VPN IPSec VPN 集中器 图 25: 添加一个加密策略 IPSec VPN 集中器 在一个星型配置的网络中,所有的 VPN 通道都终结在一个起集线器作用的端点上。 其他的端点就象辐条一样连接到这个集线器上。这个集线器的功能如同网络中的一个 集中器,管理着辐条之间的 VPN 连接。 星型配置的网络的优势在于辐条的配置更加简单,因为它们只需较少的策略。一个 星型配置的网络能够提供同样的处理效率,特别是在辐条上。星型配置的网络的劣势...

  • Page 210

    IPSec VPN 集中器 IPSec VPN 如果 VPN 端点是一个辐条,它需要一个通道以将它连接到集线器 (但是不连接到 其他辐条)。它还需要控制它到其他辐条的加密连接策略和到其他网络,例如互联网的 非加密连接的策略。 ·VPN 集中器 ( 集线器 ) 一般配置步骤 ·添加一个 VPN 集中器...

  • Page 211

    IPSec VPN IPSec VPN 集中器 源 内部 _ 全部。 目的 VPN 辐条地址。 动作 加密。 VPN 通道 VPN 辐条通道名。 允许向内 选择允许向内的通讯。...

  • Page 212

    IPSec VPN 集中器 IPSec VPN VPN 辐条一般配置步骤 一个实现辐条功能的远程 VPN 端点需要以下配置: ·一个到集线器的通道 (自动 IKE 第一阶段和第二阶段配置或手工密钥配置)。 ·本地 VPN 辐条的源地址。 ·每个远程 VPN 辐条的目的地址。...

  • Page 213

    IPSec VPN 冗余 IPSec VPN 向内 NAT 如果需要,选择向内 NAT。 向外 NAT 如果需要,选择向外的 NAT。 请见 第 194 页 “ 添加一个加密策略” 。...

  • Page 214

    VPN 监视和问题解答 IPSec VPN 按如下步骤配置 IPSec 冗余: 1 最多可以为三个 VPN 连接添加第一阶段参数。 除了网关名和 IP 地址以外,为每个 VPN 连接输入一样的数值。确保远程 VPN 端点 (远 程网关)有静态...

  • Page 215

    IPSec VPN VPN 监视和问题解答 图 27: 自动 IKE 密钥通道状态 查看拨号 VPN 连接的状态 您可以使用拨号监视器查看拨号 VPN 的连接状态。拨号监视器列出了远程网关和每 个网关上处于活动状态的 VPN 通道。监视器上还列出了每个通道的通道有效期、超时、 源代理 ID...

  • Page 216

    VPN 监视和问题解答 IPSec VPN 202 美国飞塔有限公司

  • Page 217: PPTP 和 L2TP VPN

    FortiGate-1000 安装和配置指南 2.50 版 PPTP 和 L2TP VPN 您可以使用点对点隧道协议 (PPTP)和第二层隧道协议 (L2TP)在运行 Windwos 操作系统的远程客户电脑和您的内部网络之间建立一个虚拟专用网络 (VPN)。PPTP 和 L2TP 不需要第三方软件即可在客户电脑上运行,因为它们一种 Windows 标准。只要互...

  • Page 218

    配置 PPTP PPTP 和 L2TP VPN 图 29: Windows 客户和 FortiGate 之间的 PPTP VPN 把 FortiGate 配置为 PPTP 网关 按照以下步骤将...

  • Page 219

    PPTP 和 L2TP VPN 配置 PPTP 图 30: PPTP 地址范围配置的例子 添加一个源地址 对 PPTP 地址范围中的每个地址添加一个源地址。 1 进入 防火墙 > 地址。 2...

  • Page 220

    配置 PPTP PPTP 和 L2TP VPN 6 单击确定以添加这个地址组。 添加一个目的地址 添加一个 PPTP 用户可以连接到的地址。 1 进入 防火墙 > 地址。 2 选择一个内部接口或者 DMZ...

  • Page 221

    PPTP 和 L2TP VPN 配置 PPTP 9 重新启动电脑。 配置 PPTP 拨号连接 1 进入我的电脑 > 拨号 网络 > 配置。 2 双击新建拨号连接。...

  • Page 222

    配置 PPTP PPTP 和 L2TP VPN 连接到 PPTP VPN 1 启动您在上面步骤中刚刚建立的拨号连接。 2 输入您的 PPTP VPN 用户名和密码。 3 单击 连接。 4...

  • Page 223

    PPTP 和 L2TP VPN L2TP VPN 配置 11 确定以下选项没有没选中: ·微软网络的文件和打印共享 ·微软网络客户 12 单击 确定。 连接到 PPTP VPN 1 连接到您的 ISP。...

  • Page 224

    L2TP VPN 配置 PPTP 和 L2TP VPN 图 31: Windows 客户和 FortiGate 之间的 L2TP VPN 把 FortiGate 配置为 L2TP 网关...

  • Page 225

    PPTP 和 L2TP VPN L2TP VPN 配置 图 32: L2TP 地址范围配置的例子 6 把 L2TP 地址范围中的地址添加到外部区域地址列表。这些地址可以放进一个外部地址 组里。 7 在连接到目的区域中添加 L2TP 用户可以连接的网络地址。这些地址可以放进一个地址...

  • Page 226

    L2TP VPN 配置 PPTP 和 L2TP VPN 3 输入一个用于识别地址组的组名称。 这个名称可以包含数字 (0-9), 大写或小写字母 (A-Z, a-z), 以及特殊字符 - 和 _。 不能包含其他字符和空格。 4...

  • Page 227

    PPTP 和 L2TP VPN L2TP VPN 配置 4 在 目的地址 一栏,输入您要连接的 FortiGate 的地址,单击 下一步。 5 将连接设置为 只有我自己可以使用此连接,单击 下一步。 6 单击...

  • Page 228

    L2TP VPN 配置 PPTP 和 L2TP VPN 4 在连接窗口,输入您的拨号网络连接的用户名和密码。 这个用户名和密码不同于您的 L2TP VPN 用户名和密码。 配置 WindowsXP 客户的 L2TP 按照以下步骤配置运行 WindowsXP 系统的电脑使得它能够连接到...

  • Page 229

    PPTP 和 L2TP VPN L2TP VPN 配置 禁用 IPSec 1 选择 网络 标签。 2 选择互联网 (TCP/IP)协议属性。 3 双击 高级 标签。...

  • Page 230

    L2TP VPN 配置 PPTP 和 L2TP VPN 216 美国飞塔有限公司

  • Page 231: 网络入侵检测系统 (NIDS)

    FortiGate-1000 安装和配置指南 2.50 版 网络入侵检测系统 (NIDS) FortiGate NIDS 是一个实时的网络入侵探测器,它使用攻击定义库来检测和阻止 各种各样的可疑的网络数据流和基于网络的直接攻击。此外,当发生攻击时,NIDS 可 以将事件写入攻击日志并向系统管理员发送报警邮件。 本章叙述了以下内容: ·检测攻击 ·NIDS 攻击预防 检测攻击 NIDS 检测模块可以检测到大多数可疑的网络通讯和基于网络的攻击。按照以下步...

  • Page 232

    检测攻击 网络入侵检测系统 (NIDS) 3 单击 应用 以保存您所做的修改。 218 美国飞塔有限公司

  • Page 233

    网络入侵检测系统 (NIDS) 检测攻击 验证校验和的配置 校验和验证测试通过 FortiGate 的文件,确保他们在传送过程中没有被篡改。NIDS 可以在 IP、TCP、UDP 和 ICMP 数据流上进行校验和检查。如果要进行最大限度的检查, 您可以启用所有类型数据流的校验和检查。然而,如果 FortiGate 不需要进行校验和 验证,您可以关掉部分或者全部类型的数据流的校验和验证,这样可以提高网络传输 性能。如果您的 FortiGate 是安装在一个同样进行校验和验证的路由器后面,您就没 有必要再进行校验和验证。...

  • Page 234

    检测攻击 网络入侵检测系统 (NIDS) 3 打开网页浏览器并输入以下 URL: http://www.fortinet.com/ids/ID< 攻击 ID> 记住要包括这个攻击 ID。 例如,要查看 ssh CRC32 overflow /bin/sh 攻击 (ID101646338)的 Fortinet 攻击分...

  • Page 235

    网络入侵检测系统 (NIDS) NIDS 攻击预防 添加 用户定义的特征 您可以在一个文本文件中创建用户定义特征列表然后将它从管理员电脑中上载到 FortiGate 设备。 关于如何编写用户定义的攻击特征的详细信息,请见 FortiGate NIDS 指南。 1 进入 NIDS > 检测 > 用户定义特征列表。...

  • Page 236

    NIDS 攻击预防 网络入侵检测系统 (NIDS) ·启用 NIDS 攻击预防 ·启用 NIDS 攻击预防特征 ·设置特征临界值 ·配置握手溢出特征值 启用 NIDS 攻击预防 1 进入 NIDS > 预防。...

  • Page 237

    网络入侵检测系统 (NIDS) NIDS 攻击预防 设置特征临界值 您可以表 7 中列出的 NIDS 攻击预防特征的默认的临界值。临界值取决于攻击的类 型。对于淹没攻击,临界值是每秒接收到的包的最大数目。对于溢出攻击,临界值是 命令的缓冲区大小。对于超大 ICMP 包攻击,临界值是允许传输的 ICMP 包的尺寸限制。 例如,将 ICMP 淹没特征的临界值设置为 500...

  • Page 238

    记录 NIDS 攻击日志 网络入侵检测系统 (NIDS) 配置握手溢出特征值 您可以设置对握手溢出特征进行检测的临界值、队列长度和有效期。 值 描述 最小值 最大值 默认值 临界值 每秒发送到目的主机或服务器的建立连接请 30 3000 200 求 (握手)的数量。如果握手请求是发送到 目的主机的所有端口的,而不是仅仅发送到...

  • Page 239

    网络入侵检测系统 (NIDS) 记录 NIDS 攻击日志 减少 NIDS 攻击日志消息和报警邮件的数量 入侵企图可能产生大量的攻击消息。为了帮助您从无关的警报中找到真正有用的信 息,FortiGate 设备提供了减少没必要的消息的数量的方法。根据消息生成的频率, FortiGate 设备能自动删除重复的消息。如果您还收到大量的虚假警报,您可以手工禁 用有关的特征组的消息生成。 自动减少消息 NIDS 生成的攻击日志和报警邮件消息中的内容包括被检测到的攻击的 ID 编号和名 称。消息中的攻击...

  • Page 240

    记录 NIDS 攻击日志 网络入侵检测系统 (NIDS) 226 美国飞塔有限公司

  • Page 241: 防病毒保护

    FortiGate-1000 安装和配置指南 2.50 版 防病毒保护 在防火墙策略中启用了防病毒保护功能。当您启用一个防火墙策略中的防病毒保护 功能时,您可以选择一个内容配置文件来决定防病毒保护的程度。内容配置文件可以 控制通讯保护的类型 (HTTP, FTP, IMAP, POP3, SMTP),防病毒保护的类型以及如何处 理邮件片段、超大型的文件和电子邮件。 本章描述了以下内容: ·一般配置步骤 ·防病毒扫描 ·文件阻塞 ·隔离...

  • Page 242

    防病毒扫描 防病毒保护 6 配置 FortiGate 设备在阻塞或删除被感染的文件时发送的报警邮件,请见 日志和消息 参考指南中的 “配置报警邮件”。 注意:要接收病毒日志消息,请见日志配置和参考指南中的 “配置日志”,关于日志消息的内容 和格式的信息,请见日志配置和参考指南中的 “病毒日志消息”。 防病毒扫描 病毒扫描可以从启用了防病毒保护功能的内容流中截取大多数的文件 (包括使用 ZIP、RAR、GZIP、UPX 和 OLE 压缩了...

  • Page 243

    防病毒保护 文件阻塞 图 37: 病毒扫描的内容配置文件的例子 文件阻塞 启用文件阻塞删除所有的文件以阻止潜在的威胁,并对计算机病毒攻击提供最好的 保护。只有出现防病毒扫描功能不能发现的新病毒的时候才有必要使用文件阻塞功能 提供对病毒的防护。通常情况下您没有必要启用 FortiGate 设备的文件阻塞功能。然 而,在极度危险的情况下,当没有其它的方式能够保护您的网络免受文件型病毒的危 害的时候,文件阻塞是唯一有效的方法。 在配备了硬盘的 FortiGate 设备中,如果启用了对应通讯协议的文件阻塞的隔离功 能,FortiGate 设备会将文件添加到隔离列表。 文件阻塞功能会删除所有与文件样板列表匹配的文件。FortiGate 设备会用一条警...

  • Page 244

    隔离 防病毒保护 默认情况下,当阻塞功能启用时,FortiGate 按照以下文件名样板阻塞文件: ·可执行文件 (*.bat, *.com, 和 *.exe) ·压缩或存档文件 (*.gz, *.rar, *.tar, *.tgz, 和 *.zip) ·动态链接库文件 (*.dll) ·HTML 应用程序...

  • Page 245

    防病毒保护 隔离 在 FortiGate 设备中,被隔离的文件的文件名显示在隔离列表里。列表显示每个被 隔离的文件的状态、副本数和时间信息。您可以根据这些条件对列表进行排序和过滤。 您也可以从这个列表中删除或下载文件。 ·隔离被感染的文件 ·隔离被阻塞的文件 ·查看隔离列表 ·隔离列表排序 ·过滤隔离列表 ·从隔离区中删除文件 ·下载被隔离的文件 ·配置隔离选项 隔离被感染的文件 使用内容配置文件可以隔离在由防火墙策略控制的 HTTP, FTP, POP3,...

  • Page 246

    隔离 防病毒保护 文件名 被隔离的文件的文件名。文件名中的空格将被删除。当文件被隔离时,它会 被添加一个 32 比特的校验和并用以下格式存贮在 FortiGate 硬盘上: <32bit CRC>.< 被处理过的文件名 > 例如,一个名为 Over Size.exe 的文件按以下格式存储: 3fc155d2.oversize.exe。 隔离日期 文件被隔离时的日期和时间,按如下格式存储:天天...

  • Page 247

    防病毒保护 阻塞过大的文件和电子邮件 2 单击下载 以原始格式下载被隔离的文件。 配置隔离选项 您可以指定 FortiGate 设备是否隔离被感染的文件、被阻塞的文件或两者都隔离。 您可以指定从网页、FTP 和电子邮件通讯中进行隔离。您还可以设置文件的有效期限, 文件的最大尺寸和当 FortiGate 设备的硬盘满时如何处理文件。 1 进入病毒防护 > 隔离 > 隔离配置。...

  • Page 248

    查看病毒列表 防病毒保护 ! 警告:FortiGate 不能扫描邮件碎片中的病毒或者使用文件名样板从这些邮件中删除文件。 按以下方法将 FortiGate 设备配置为传递邮件片段: 1 在内容配置文件中启用邮件片段传递。 2 在防火墙策略中选种 病毒防护和网页过滤。例如,要传递由内部网络用户到外部网络 的邮件片段,选择一个内部到外部的策略。 3 对您希望 FortiGate 设备扫描的策略,选择一个已经启用了邮件片段传递的内容配置 文件。 查看病毒列表...

  • Page 249: 网页内容过滤

    FortiGate-1000 安装和配置指南 2.50 版 网页内容过滤 在防火墙策略中可以启用网页内容过滤功能。您在一个防火墙策略中启用了防病毒 和网页过滤功能后,可以选择一个内容配置文件以控制对 HTTP 通讯的网页过滤方式。 内容配置文件控制以下类型的内容过滤: ·阻塞不受欢迎的 URL, ·阻塞不受欢迎的内容, ·从网页中删除脚本, ·从阻塞列表中排除 URL。 您还可以使用 Cerberian URL...

  • Page 250

    内容阻塞 网页内容过滤 4 配置当 FortiGate 设备阻塞不受欢迎的内容或不受欢迎的 URL 的时候用户收到的信息。 请见 第 137 页 “ 定制替换信息” 。 5 配置 FortiGate 设备在阻塞或删除一个受感染的文件的时候发送一封报警邮件。请见 日志配置和参考指南中的...

  • Page 251

    网页内容过滤 阻塞对 URL 的访问 图 38: 禁忌词汇列表举例 阻塞对 URL 的访问 您可以使用 FortiGate 网页过滤功能或 Cerberian 网页过滤器阻塞不受欢迎的内 容。 ·使用 FortiGate 网页过滤器 ·使用...

  • Page 252

    阻塞对 URL 的访问 网页内容过滤 3 输入要阻塞的 URL。 输入一个顶级 URL 或者 IP 地址可以阻塞对一个站点上所有网页的访问。例如, www.badsite.com 或者 122.133.144.155 阻塞了对这个站点上所有网页的访问。 输入一个顶级 URL 后面加上路径和文件名可以阻塞对这个站点中单个页面的访问。例 如,...

  • Page 253

    网页内容过滤 阻塞对 URL 的访问 下载 URL 阻塞列表 您可以将 URL 阻塞列表备份,方法是将它下载到管理员电脑上保存为文本文件。 1 进入 Web 过滤器 > URL 阻塞。 2 选择 下载...

  • Page 254

    阻塞对 URL 的访问 网页内容过滤 如果您为您的 FortiGate 设备购买了 Cerberian 网页过滤功能,按照以下步骤为 FortiGate 设备配置 Cerberian 网页过滤器。 一般配置步骤 要使用 Cerberian 网页过滤器,您需要: 1 安装 Cerberian...

  • Page 255

    网页内容过滤 阻塞对 URL 的访问 配置 Cerberian 网页过滤 您在 FortiGate 设备中添加了 Cerberian 网页过滤用户之后,可以将用户添加到 Cerberian 网页过滤服务器的用户组中。然后您可以创建策略并将策略应用到这个用户 组。 关于默认组和策略 在 Cerberian 网页过滤器中存在一个默认用户组,并和默认策略关联。 您可以在默认组中添加用户,并将任何策略应用到这个组。...

  • Page 256

    脚本过滤 网页内容过滤 脚本过滤 使用以下方法可以将 FortiGate 配置为从网页中删除脚本。您可以将 FortiGate 配 置为阻塞 java 小程序、cookies 和 ActiveX。 注意:阻塞这些内容中的任何一项都可能会使得某些网页无法正常工作。 ·启用脚本过滤 ·选择脚本过滤选项 启用脚本过滤 1 进入 防火墙...

  • Page 257

    网页内容过滤 URL 排除列表 URL 排除列表 在 URL 排除列表中添加的 URL 是为了避免正常的数据流被内容过滤或 URL 过滤功能 意外地阻塞掉。例如,如果内容过滤被设置为阻塞含有关于色情描写的词汇而一个著 名的站点上有一个色情故事,那么这个站点上的全部网页就会被阻塞。把这个站点的 URL 添加到 URL 排除列表里就可以避免内容阻塞功能对这个站点上的网页的阻塞。 注意:从被排除的 URL...

  • Page 258

    URL 排除列表 网页内容过滤 244 美国飞塔有限公司

  • Page 259: 电子邮件过滤

    FortiGate-1000 安装和配置指南 2.50 版 电子邮件过滤 防火墙策略中可以使用电子邮件过滤。当您在一个防火墙策略中启用了病毒防护和 网页过滤,您可以选择一个内容配置文件用来控制电子邮件过滤功能如何处理邮件 (IMAP 或 POP3)通讯。内容配置文件用以下方式识别不受欢迎的电子邮件并提供保 护: ·过滤不受欢迎的发件人地址模板, ·过滤不受欢迎的内容, ·从阻塞中排除发件人地址模板。 本章叙述了如下内容: ·一般配置步骤 ·电子邮件禁忌词汇列表 ·电子邮件阻塞列表 ·邮件排除列表...

  • Page 260

    电子邮件阻塞列表 电子邮件过滤 您可以用西方字符集、简体中文、繁体中文、日文、或韩文字符集使用多种语言在 列表中添加禁忌词汇。 在禁忌词汇列表中添加单词或短语 1 进入 Web 过滤器 > 内容阻塞。 2 单击 新建 ,在禁忌词汇列表中添加新的词汇或短语。 3 输入禁忌词汇或者短语。 如果您输入的是单个词汇 (例如,禁忌),FortiGate 将标记所有包含了这个词汇...

  • Page 261

    电子邮件过滤 邮件排除列表 3 输入一个阻塞模板。 ·要标记来自一个特定地址的所有邮件,只需输入这个邮件的地址。例如, sender@abccompany.com。 ·要标记从特定域来的邮件,输入域名。例如, abccompany.com。 ·要标记从特定子域来的邮件,输入子域名。例如, mail.abccompany.com。 ·要标记从某一类地址来的全部邮件,输入顶级域名。例如,输入 com 可以标记所有使 用 .com 作为顶级域名的组织。 模板可以包含数字 (0- 9), 大写或小写字母...

  • Page 262

    添加一个主题标签 电子邮件过滤 添加一个主题标签 当 FortiGate 设备从一个不受欢迎的地址收到电子邮件、或收到含有邮件禁忌词汇 列表中的词汇的邮件的时候,FortiGate 设备将在主题中添加一个标签并将消息发送到 邮件的目的地址。邮件用户可以使用他们的电子邮件客户端软件根据主题中的标签过 滤电子邮件。 按以下方法添加主题标签 1 进入 电子邮件过滤 > 配置。 2 输入您希望在主题栏显示的标签。这一标签将显示在从不受欢迎的地址受到的邮件或 含有禁忌词汇的邮件的主题栏中。例如,输入 “不受欢迎的邮件”。...

  • Page 263: 日志和报告

    FortiGate-1000 安装和配置指南 2.50 版 日志和报告 您可以将 FortiGate 设备配置为记录网络的各种活动,从常规配置的改变和通讯会 话直到紧急事件。您还可以将 FortiGate 设备配置为发送警报邮件消息以提醒系统管 理员当前发生的事件,例如网络攻击,病毒入侵以及防火墙和 VPN 事件。 本章描述了以下内容: ·记录日志 ·过滤日志消息 ·配置通讯日志 ·查看记录到内存的日志...

  • Page 264

    记录日志 日志和报告 在远程电脑上记录日志 以下操作用于将 FortiGate 配置为将日志消息记录到一台远程电脑上。这台远程电 脑必须配置为一个系统日志服务器。 1 进入 日志与报告 > 日志设置。 2 选择 记录日志到远程主机 以发送日志到一个日志服务器上。 3 输入运行系统日志服务器软件的远程主机的 IP 地址...

  • Page 265

    日志和报告 记录日志 以下操作设置日志的记录方式为记录到硬盘: 1 进入日志与报告 > 日志设置。 2 选择 记录到本地 。 3 输入一个日志文件的 最大值 ( 以兆字节为单位) 。 当日志文件的大小达到这一最大值的时候,当前日志文件将被保存并关闭。系统将创 建一个新的当前日志文件用来记录日志。默认的最大系统日志文件的大小是 10M...

  • Page 266

    过滤日志消息 日志和报告 过滤日志消息 您可以选择记录哪种日志和在每种日志中记录哪类消息。 1 进入 日志和报告 > 日志设置。 2 选择配置策略设置您在 第 249 页 “ 记录日志” 选择的日志记录位置。 3 选择您希望 FortiGate...

  • Page 267

    日志和报告 配置通讯日志 图 43: 日志过滤配置的例子 配置通讯日志 您可以将 FortiGate 设备配置为记录以下连接的通讯日志消息: ·任意接口 ·任意 VLAN 子网络接口 ·任意防火墙策略 FortiGate 设备可以根据任何源地址、目的地址或服务类型对通讯日志进行过滤。 您还可以起用以下全局设置: ·将 IP 地址解析为主机名,...

  • Page 268

    配置通讯日志 日志和报告 启用通讯日志 您可以对任何接口、VLAN 子接口和防火墙策略启用日志记录。 在网络接口上启用通讯日志 如果您对某个网络接口启用了通讯日志记录,所有到此接口和通过此接口的网络连 接将被记录进通讯日志。 1 进入 系统 > 网络 > 接口。 2 在你要启用日志记录的接口的一侧,单击修改列上的编辑 。 3 对日志,单击...

  • Page 269

    日志和报告 配置通讯日志 类型 选择 会话或包。如果您选择了会话,FortiGate 设备将每个会话发送和接 收的包的数量。如果您选择了包,FortiGate 设备将记录每个会话的包的 平均长度 (以字节为单位)。 显示 如果您希望通讯日志消息列出端口号,例如,80/TCP,则选择端口号。如 果您希望通讯日志消息列出服务的名称,例如,TCP,则选择服务名称。 3 单击应用。 图 44: 通讯过滤列表的例子 添加通讯过滤的条目 在通讯过滤列表中添加条目可以过滤通讯日志记录的消息。如果您不在通讯过滤列...

  • Page 270

    查看记录到内存的日志 日志和报告 图 45: 新通讯地址条目的例子 查看记录到内存的日志 如果 FortiGate 被配置为在内存中记录日志。您可以使用基于 Web 的管理程序来查 看、搜索和清除日志中的消息。本节讨论了: ·查看日志 ·搜索日志 查看日志 在日志消息列表中,消息按照时间顺序排列,生成时间晚的消息排在上面。以下操 作用于查看保存在系统内存中的日志消息: 1 进入日志与报告 >...

  • Page 271

    日志和报告 查看和管理保存在硬盘上的日志 5 选择 或 可以搜索与某个或多个给定条件匹配的消息。 6 选择以下一个或多个搜索条件: 关键词 可以搜索包含在消息中的任何文字。关键词搜索中区分大小写字母。 时间 搜索日志中创建时间符合给定的年、月、日、小时条件的日志。 7 单击 确定 开始搜索 基于 Web 的管理程序 会显示出符合给定搜索条件的日志消息。您可以卷动窗口查看消...

  • Page 272

    查看和管理保存在硬盘上的日志 日志和报告 2 选择 事件日志、攻击日志、防病毒日志、网页过滤日志或电子邮件过滤日志。 3 对要查看的日志文件,单击查看 。 4 单击 在您正在查看的日志文件中搜索消息。 5 选择 与 可以搜索与所有给定条件匹配的消息。 6 选择 或 可以搜索与某个或多个给定条件匹配的消息。 7...

  • Page 273

    日志和报告 配置报警邮件 删除一个保存了的日志文件 按照如下步骤操作可以删除一个保存了的日志文件: 1 进入日志和报告 > 记录日志。 2 选择流量日志,事件日志,攻击日志,病毒防护日志,网页过滤日志,或者电子邮件 日志。 基于 Web 的管理程序列出了符合选定的类型的全部日志,在列表的顶部是当前日志。 对于每个日子后,列表显示了添加到这个日志的最后一个条目的日期和时间,日志文 件的大小和文件名。 3 要删除一个保存了的日志文件,单击删除 。 单击确定以删除这个日志文件。...

  • Page 274

    配置报警邮件 日志和报告 6 在 邮件发送到 一栏最多可以输入三个目的地址。 这个地址是 FortiGate 将报警邮件实际发送到的电子邮件地址。 7 单击 应用 以保存您的报警邮件设定。 测试报警邮件 您可以通过发送测试邮件的方法测试报警邮件设置是否正确: 1 进入 日志与报告 > 报警邮件...

  • Page 275: 术语表

    FortiGate-1000 安装和配置指南 2.50 版 术语表 连接: 两台电脑之间、应用程序之间、进程之间或者其 IICMP, 互联网控制信息协议:互联网协议 (IP) 的一部 他诸如此类的对象之间的物理上或逻辑上的联系,或者 分。它一般被用来发送错误信息、测试数据包以及一些 两者都有的联系。 与 IP 有关的信息。当 PING 功能发送...

  • Page 276

    术语表 MTU,最大传输单元: 一个网络可以传输的数据包的最 路由器: 把局域往连接到互联网并为他们之间的数据提 大物理尺寸,以字节为单位。任何大于 MTU 的数据包在 供路由的设备。 发送之前都会被分成较小的数据包。理想情况下,网络 中的 MTU 应当等于从您的电脑到目的地之间所经过的所 路由: 决定发送数据到目的地时要经过的路径的过程。 有网络中的最小 MTU。如果您的消息大于其中的任何一 路由表:含有一系列有效的数据传送路径的列表。 个 MTU,它们会把它分割...

  • Page 277: 索引

    FortiGate-1000 安装和配置指南 2.50 版 索引 A 病毒事件 启用报警邮件 260 ActiveX 242 报警邮件 从网页中删除 242 病毒事件 260 admin 级别访问 测试...

  • Page 278

    索引 策略列表 动作 配置 148 策略选项 146 重命名区域 110 定制服务 155 从内容和 URL 阻塞中排除 URL 243 地址名 150 cookies 电子邮件...

  • Page 279

    索引 服务组 156 管理员帐号 admin 133 G 编辑 133, 134 改变密码 134 高可用性 权限 135 介绍 5 受信主机 134,...

  • Page 280

    索引 IP 池 记录日志到本地 添加 163 记录日志 251 IP 地址 记录日志 从 CLI 配置 47 记录到本地 251 IP 地址 加密...

  • Page 281

    索引 LDAP 服务器 N 添加服务器地址 175 删除 175 NAT 连接 策略选项 146 到基于 Web 的管理程序 18 介绍 3 到您的网络...

  • Page 282

    索引 Q 认证 171 策略选项 147 清除 超时 132 通讯会话 91 LDAP 服务器 175 URL 阻塞列表 238 配置 172 启动...

  • Page 283

    索引 搜索日志 257 URL 阻塞列表 保存到 FortiGate 硬盘的日志 257 清除 238 记录到内存的日志 256 上载 239 受信主机 添加 URL 237,...

  • Page 284

    索引 网络入侵侦测系统 217 Y 网络掩码 添加地址 151 源 网页 日志搜索 258 内容阻塞 236, 245 一次性任务计划 网页过滤 创建 157 概述 245...

  • Page 285

    索引 自动攻击定义更新 93 注释 自动 IKE 180 策略 148 介绍 180 防火墙策略 148 预置密钥 180 阻塞 AutoIKE 对互联网站点的访问 237,...

  • Page 286

    索引 272 美国飞塔有限公司

downloadlike
ArtboardArtboardArtboard