飞塔防火墙安装部署指南.

FORTIGATE防火墙部署指南深圳市新开思信息技术有限公司防火墙部署指南深圳市新开思信息技术有限公司设备的物理结构•所有型号都具有:网络接口•RJ45•SFP/XFP(高端型号)串口标准•RJ45/DB9(9600,8,N,1,None)•有些型号具有的特点:•集成的交换接口•LCD•USB接口•硬盘•AMC出厂的缺省设置•管理员通过SSH和HTTPS通过访问internal接口的IP地址192.168.1.99缺省的用户名是“admin”，密码为空•其他接口的IP有或没有•缺省路由：192.168.100.1•DNS设置为Fortinet原始设置•时区:GMT-8•FortiGate100A型号以下具有有一个缺省NAT防火墙策略，从“internaltoexternal”允许所有流量在internal接口上启用了DHCP服务器如何管理——串口管理•将计算机通过串口线与防火墙的console口相连，•如果计算机不支持串口的话，可以购买USB转串口设备•选择附件——超级终端，新建一个连接•端口设置采用“还原为默认值”后的设置即可如何管理——图形界面（1）•用于维护和管理来访问防火墙•基于接口来配置•缺省状态下，只有“internal”可以通过图形界面和命令行来访问•缺省的帐号是“admin”，密码为空如何管理——图形界面（2）可以再增加流量图等内容系统状态会话与内容层管理信息菜单项警告信息许可证信息设备面板如何管理——图形界面（3）•帮助——点击串口右上角的如何管理——图形界面（3）拓扑•创建描述连线的详细图片•使用FortiGate当前的子网/FQDN•定义背景图片•FortiGate100A以上才具有该功能WebUI定制化(1)——新建授权表显示和隐藏预览WebUI定制化(2)——隐藏已有菜单项•隐藏后变成虚的，在使用该内容表的管理员登录后，就看不到该菜单项WebUI定制化(3)——新建菜单项•点击下侧的+，则会添加菜单项•点击菜单的右侧向下箭头，可以隐藏该菜单或者创建子菜单项WebUI定制化(4)——新建页面为子菜单建立页面，该页面上可以添加各种功能模块WebUI定制化(5)——布局和功能模块•设计布局和内容只适用于自己定制的子菜单项，不能对内置的菜单项和子菜单项进行修改。•内置的菜单项可以掩藏。WebUI定制化(6)——保存和效果•保存当前的设置，然后将该保护内容表赋予某管理员•用该管理员帐号登录初始设置——配置接口IP•三种方式:Static(e.g.192.168.1.99/255.255.255.0)DHCPPPOE•每个接口支持多个二级IP地址，可以配置独立的管理权限初始设置——时区与时间•系统管理状态系统日期•修改时区与时间时区是非常重要，它是通过时区来确定升级服务器的•NTP服务器203.117.180.36DHCP服务器/中继•可以在有固定IP的接口上启用DHCPserver•一个接口上可以配置多个DHCP服务器•中继DHCP请求到远程的DHCP服务器初始设置——配置静态路由•缺省网关用于访问公网，FortiGate访问FortiGuard和DNSservers•基于目的和子网长度的路径判断可以指定出口和距离(1-255)同一目标的多条路由可以并存，但是只有一条是优先的熟悉命令行（1）——结构•通过SSH,Telnet,或者serialconsole•分支结构configsysteminterfaceeditport1setvdomrootsetip172.20.110.251255.255.255.0branchtableparameter熟悉命令行（2）——根命令•配置的命令configeditnextendexitabort•要查看能够使用的命令，请用“?”•补全命令的输入请用tab熟悉命令行（3）——config•可以进行设置•设置wan2的IP:Fortigate-60#configsysteminterface(interface)#editwan2(wan2)#setip192.177.11.12255.255.255.248(wan2)#endFortigate-60#熟悉命令行（3）——Get•显示参数和当前值(internal)#getname:internalvdom:rootcli-conn-status:0mode:staticdhcp-relay-service:dhcp-relay-ip:dhcp-relay-type:ip:192.168.96.254255.255.255.0allowaccess:pinghttpshttptelnet熟悉命令行（3）——Show•显示设置的命令(internal)#showconfigsysteminterfaceeditinternalsetvdomrootsetip192.168.96.254255.255.255.0setallowaccesspinghttpshttptelnetsettypephysicalnextend熟悉命令行（3）——Execute•执行某些命令，例如:executefactoryresetexecutepingexecutebackup设置管理员（1）•配置防火墙和帐号•可以通过CLI/GUI来访问防火墙•帐号是存在本地或者Radiusserver或使用PKI•登录和密码是大小敏感的设置管理员（2）•根据访问权限表来设置管理员的帐号•信任主机可以限制使用该帐号的主机的ＩＰ地址实验室部署拓扑INTERNETIntranet192.168.11.0/24ServerNetwork192.168.3.0/24ClassServerGatewayFirewallFortiAnalyzerPrivateNetwork10.0.x.0/24StudentPC192.168.11.254ＷＡＮ１ＤＨＣＰ获得ＤＭＺ192.168.3.（100+X）124.42.37.19实验一设备初始化为出厂设置1、图形界面中的设置通过、命令行下的配置Executefactoryreset实验二、设置主机名设置主机名为userX，X表示在座的号码图形界面下的配置命令行下的设置步骤实验三、熟悉某些命令•设置你的PC的ip地址为192.168.1.110255.255.255.0网关为192.168.1.99，关闭PC上的防火墙类的软件•在防火墙的命令行下运行getsystemstatus•在防火墙的命令行下运行execping192.168.1.110•试用以下辅助选项config?con[tab]返回上一次命令向上箭头或者CTRL-P返回下一个命令向下箭头或者CTRL-N返回一行的头部CTRL-A返回一行的尾部CTRL-E回退一个字符CTRL-B前进一个字符CTRL-F删除当前的字符CTRL-D取消命令和退出CTRL-C实验四、配置网络的IP地址•按照实验拓扑连接网线•设置WAN1接口自动获得IP和网关•设置内网接口IP为10.0.X.254/24•修改主机的IP地址为10.0.X.1/24网关为10.0.X.254•设置DMZ接口的IP地址为192.168.3.(100+X)实验四、配置网络的IP（续）•在Internal接口上设置DHCP为内网PC分配地址如右图，在系统/DHCP/internal接口上创建DHCP服务器修改主机自动获得IP地址在主机上运行ipconfig/all到系统/DHCP/地址租期中查看ip分配的情况（该分配的IP即使重启设备也）实验五、常用的命令•Showsysteminterface•Getsysteminterface•Getsysteminterfacewan1•Showsysdhcpserverinternal-dhcp-server•Getsystemdhcpserverinternal-dhcp-server•Showsysdns•Getsysdns注意比较Show和Get之间的区别实验六，定制管理界面定制一个只有防火墙和路由功能的管理界面FORTIGATE防火墙部署指南深圳市新开思信息技术有限公司