3.Fortinet防火墙设备维护手册

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

目录第1章FORTINET配置步骤.......................................................................................................2第2章FORTINET防火墙日常操作和维护命令......................................................................292.1防火墙配置...........................................................................................................................292.2防火墙日常检查...................................................................................................................292.2.1防火墙的会话表:(系统管理-状态-会话).........................................................292.2.2检查防火墙的CPU、内存和网络的使用率..............................................................312.2.3其他检查.......................................................................................................................312.3异常处理...............................................................................................................................312.4使用中技巧...........................................................................................................................32第3章FORTGATE防火墙配置维护及升级步骤....................................................................333.1FORTIGATE防火墙配置维护.................................................................................................333.2FORTIGATE防火墙版本升级.................................................................................................33第1章Fortinet配置步骤1.1.1.1Fortigate防火墙基本配置Fortigate防火墙可以通过“命令行”或“WEB界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理IP地址,缺省的基本管理地址为P1口192.168.1.99,P2口192.168.100.99。但是由于P1口和P2口都是光纤接口,因此需要使用Console口和命令行进行初始配置,为了配置方便起见,建议将P5口配置一个管理地址,由于P5口是铜缆以太端口,可以直接用笔记本和交叉线连接访问。之后通过https方式登陆到防火墙Internal接口,就可以访问到配置界面1.系统管理”菜单1.1“状态”子菜单1.1.1“状态”界面“状态”菜单显示防火墙设备当前的重要系统信息,包括系统的运行时间、OS版本号、产品序列号、端口IP地址和状态以及系统资源情况。如果CPU或内存的占用率持续超过80%,则往往意味着有异常的网络流量(病毒或网络攻击)存在。1.1.2“会话”显示界面Fortigate是基于“状态检测”的防火墙,系统会保持所有的当前网络“会话”(sessions)。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的IP”和“源/目的端口”的过滤,可以了解更特定的会话信息。例如,下图是对源IP为10.3.1.1的会话的过滤显示通过“过滤器”显示会话,常常有助于发现异常的网络流量。1.2“网络”子菜单1.2.1网络接口如上图,“接口”显示了防火墙设备的所有物理接口和VLAN接口(如果有的话),显示IP地址、访问选项和接口状态。“访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如:对于“PORT1”,我们可以以“HTTPS,TELNET”访问,并且可以PING这个端口。点击最右边的“编辑”图标,可以更改端口的配置。如上图,“地址模式”有三类:a.如果使用静态IP地址,选择“自定义”;b.如果由DHCP服务器分配IP,选择“DHCP”;c.如果这个接口连接一个xDSL设备,则选择“PPPoE”。在“管理访问”的选项中选择所希望的管理方式。最后点击OK,使配置生效。“区”是指可以把多个接口放在一个区里,针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中,没有使用“区”。1.2.2DNS如上图,在这里配置防火墙本身使用的DNS服务器,此DNS与内部网络中PC和SERVER上指定的DNS没有关系。1.3DHCP如上图,所有的防火墙端口都会显示出来。端口可以1)不提供DHCP服务;2)作为DHCP服务器;3)提供DHCP中继服务。在本例中,External端口为所有的IPSECVPN拨入客户提供DHCP的中继,使得VPN客户可以从内部网络的DHCP服务器上取得动态分配的内网地址。下图是相关配置,其中10.3.1.1是内部网络的DHCP服务器。1.4配置1.4.1时间设置如下图,本设置选项用来设置防火墙的系统时间,可以手工校正时间,也可以与NTP服务器同步时间。请注意:在防火墙上线的时候选择正确的时区和校准时间很重要,这样将来在读系统日志文件时,日志上显示的LOG时间才是准确的。1.4.2选项如上图,“超时设置”中的“超时控制”指如果LOGIN的用户在设定的时间内没有任何操作,系统将自动将用户LOGOUT。例如:如果设置为5分钟,如果在5分钟内用户没有做操作,则用户需要再次LOGIN,继续进一步的操作。“授权超时”是指在设定的时间过去以后,用户的连接会被断开。用户如果需要继续操作,需要重新连接,这主要是为了安全性的考虑。Fortigate产品支持7种语言,我们一般常用的是“简体中文”和“英文”。Fortigate300或更高端的设备有LCD面板,可以通过LCD直接设置网络接口的地址。为了安全性的考虑,可以在LCD面板管理选项中设置密码(PIN保护),以防止未授权的配置修改。Fortigate设备支持多gateway配置,可以在一条默认gateway失效后起用备用gateway。防火墙使用PING包的方式检测gateway是否有效。1.4.3高可用性(HA)Active-Passive和Active-Active两种。A-P模式下主设备工作,从设备通过“心跳接口”同步主设备上的信息。一旦主设备出现故障,从设备立刻接替原来的主设备,保证网络服务不中断。A-A模式下两台或多台设备是在负载均衡的状态下工作,一旦其中一台故障,其他的设备分担故障设备的网络负荷。本项目中使用了双机热备模式,工作在A-P模式下。同一个“高可用”设备组的设备必须具有同样的:硬件型号、OS版本、HA模式、组ID和HA密码。“心跳接口”需要设置一个参考值,此接口用来同步HA设备的信息,主要是配置变动的信息和网络流量的Sessions表。防火墙的网络接口如果在“监测接口”上有数值,一旦这个接口故障(断线等),HA组将进行主/从切换。如上图,显示此HA集群有2台设备,在上边显示的是“主”设备,从“网络利用率”中也能分辨出来。1.4.4管理员设置如上图,系统默认的管理员帐号是“admin”,没有默认密码。管理帐号的权限在“访问内容表”中设定。点击右边“带锁”的图标可以增加或修改LOGIN密码。如上图,系统默认的“访问内容表”设定了调用此表的用户帐号的权限,若要修改特定权限,只须增加或去掉相应的“勾”即可。如上图,编辑用户帐号,可以指定信任主机(只允许来自信任主机的用户使用此帐号LOGIN),如果信任主机是“0.0.0.0/0.0.0.0”,则允许任何源地址的主机用此帐号LOGIN。2.“路由”菜单2.1路由配置2.1.1静态路由如上图,Fortigate防火墙支持“透明模式(桥接)”和“路由/NAT”模式,在中石油项目使用的是路由模式。我们要在防火墙上设置静态路由。如本例中所示:默认路由0.0.0.0/0指向ISP的路由设备210.78.134.126;静态路由10.0.0.0/8指向内网的路由器10.3.18.254。点击“新建”可以增加新的静态路由。Fortigate防火墙也支持动态路由协议:RIP、RIP2、OSPF。如上图,显示了防火墙上当前的所有路由条目。1.1.1.2防火墙和VPN配置1.防火墙配置在做防火墙的配置时,首先要定义“地址/地址组”、“服务/服务组”,然后把它们应用到防火墙策略中。1.1地址和地址组如上图,首先需要定义“地址”,可以是一台主机的地址或者是一个地址段。如上图,给一个“地址名称”并设置相应的IP地址段即可定义一个“地址”。如上图,多个“地址”可以放到一个“地址组”中。如上图,定义一个“地址组”,首先要输入一个“组名”,然后可以在已经定义的“地址”中选择需要的地址加入这个组。1.2服务和服务组如上图,“服务”指的是防火墙要控制的网络流量(协议),Fortigate已经预定义了很多常用的网络服务的“协议或TCP/UDP端口”。如上图,用户可以根据自己的需要“定制服务”。在上面的定制服务条目中,有“回收桶”的表示这个“服务”没有被任何“服务组”或“防火墙策略”调用,可以直接删除。如果“服务”已经被调用,则需要先停止相关调用,才能删除。如上图,这里显示了一个自定义的“对TCP8080端口的服务”。如上图,多个“服务”可以加入到一个“服务组”中,在被防火墙策略调用的时候直接使用“服务组”。如上图,“服务组”的配置与“地址组“类似。1.3虚拟IP映射“虚拟IP”是指把外网的一个公网地址映射到内网的一个私有地址,外部网络对公网地址的访问被转发到内网中绑定私有地址的主机上。我们可以配置防火墙策略来对这种访问进行控制,保护内网中的主机。如上图,显示了当前所有的虚拟IP映射。如上图,这个例子是把防火墙external端口上的一个公网地址210.78.134.66映射到内网中的主机192.168.254.66。防火墙能够通过ARP查询找到适当的映射的内网端口,并把网络流量转发过去。静态NAT是实现内/外IP地址一对一映射,如果选择“端口转发”可以实现把一个外部公网地址不同的TCP/UDP端口,映射到内网的多个主机上。例如:把210.78.134.66的HTTP端口(tcp80)映射到192.168.254.66tcp80;把210.78.134.66的telnet端口(tcp23)映射到192.168.1.66的tcp23。第2章Fortinet防火墙日常操作和维护命令当用户发现防火墙出现异常情况如:出口访问速度慢、登录防火墙管理慢,某些服务访问不正常时,可以通过一下步骤检查2.1防火墙配置若用户出现访问某些服务不正常,首先检查防火墙配置,确认是否出现配置限制的问题注意:用户应该在每次配置后,备份配置并记录每次修改的配置细节。保证出现问题时

1 / 34
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功