FortiGate最常见配置

FortiGate培训讲义2005.09.23FortiGate培训讲义共享上网共享上网PPPoEDHCP静态PPPoE•配置过程•实例•故障排除配置过程•登录防火墙–用双绞线将PC机的网卡与防火墙内网口连通–将本地PC的IP地址设置正确–防火墙的默认地址是192.168.1.99–默认用户名是admin，密码为空•接口配置–系统管理--网络--接口–选择接口的地址模式为PPPoE–配置用户名和密码–选择从服务器中重新得到网关–配置MTU为1492实例•网络环境：某公司有20台计算机，现使用192.168.0.x/24网段，网关为192.168.1.1，宽带线路为ADSL拨号。•要求：内部的所有计算机共享宽带线路，通过FG防火墙实现Internet接入。•配置：–系统管理--网络--接口–外网接口参数配置•选择接口地址模式为PPPoE•输入用户名和密码•MTU设置为1492–内网接口参数配置•选择接口地址模式为自定义•在IP地址/掩码栏中输入192.168.1.1/255.255.255.0外网接口参数配置:内网接口参数配置:故障排除•不能登录防火墙–检查是否使用https登录–检查本地PC机的IP地址设置是否正确–检查是否能Ping通防火墙–必要时用Console线登录防火墙查看系统信息•不能上网–检查外网口是否已拨号成功–检查本地PC机的IP地址、掩码、网关、DNS设置是否正确•拨号不成功–检查线路连接是否正确–检查ADSL帐号是否正确–必要时使用PC机直接连接ADSL线路进行拨号DHCP•配置过程–系统管理--网络--接口–选择接口的地址模式式为DHCP–选择从服务器中重新得到网关–设置内网接口IP地址–建立从内网到外网的策略•故障排除–不能上网•检查外网口是否已成功获得公网合法IP地址•检查本地PC机的IP地址、掩码、网关、DNS设置是否正确•检查策略设置是否正确–不能获得公网地址•检查线路连接是否正确•使用PC机直接连接公网线路进行测试静态IP•配置过程•实例•故障排除配置过程•系统管理--网络--接口–外网接口参数配置•选择接口地址模式为自定义•输入内网的IP地址和网络掩码–内网接口参数配置•选择接口地址模式为自定义•输入内网的IP地址和网络掩码•系统管理--路由--静态：修改默认路由的网关•系统管理--防火墙--策略：添加开放从内网到外网的策略实例•网络环境：–某公司内网有30台计算机，使用192.168.1.x/24网段，网关为192.168.1.1–宽带线路为固定IP的光纤接入•IP地址：222.1.2.3•掩码：255.255.255.0•网关：222.1.2.1•DNS：222.2.2.2•要求：内部的所有计算机共享宽带线路，通过FG防火墙实现Internet接入。配置：•系统管理--网络--接口（接口参数配置）–外网接口参数配置•选择接口地址模式为自定义•在IP地址/掩码栏中输入222.1.2.3/255.255.255.0–内网接口参数配置•选择接口地址模式为自定义•在IP地址/掩码栏中输入192.168.1.1/255.255.255.0•系统管理--路由--静态（路由配置）–修改默认路由的网关为222.1.2.1–在设备中选择连接公网的接口•系统管理--防火墙--策略（策略配置）–系统默认已有一条没有任何限制的策略可用外网接口参数配置:表态路由配置:策略配置:故障排除•检查本地PC机的IP地址、掩码、网关、DNS设置是否正确•检查公网线路连接是否正确•检查防火墙的外网指示灯工作是否正常•检查防火墙内、外网络接参数设置是否正确•检查防火墙策略设置是否正确–策略的优先级别调整是否正确–源接口为内网端口LAN或Internal–目的接口为WAN1或External，如有多WAN口请检查是否与实际连接线路的接口对应–源地址、目的地址为ALL（默认定义为所有地址0.0.0.0）–时间表为always（默认定义为任意时间段）–服务为ANY（默认定义为所有服务）–模式为ACCEPT（默认定义为允许通过）–NAT选项为启用状态–保护内容表的选项是否过于严格策略过滤策略控制QQ、MSN地址/端口控制控制QQ、MSN•配置过程–防火墙--入侵检测系统--特征•在IM下面选择QQ或MSN进行编辑•勾选启用选项•动作中选择丢弃–防火墙--保护内容表•选择新建进行新保护内容表编辑•在内容表名称中输入QQ、MSN（可自定义）•在入侵防护系统下勾选IPS特征的启用选项–防火墙--策略•选择新建进行新的策略编辑•保护内容表中选择QQ、MSN（在保护内容表中定义的名称）•其它参数与共享上网的策略相同控制QQ、MSNQQ屏蔽配置:控制QQ、MSN•故障排除–IPS特征中的动作是否为丢弃–保护内容表中IPS特征是否为启用状态–策略中是否使用了正确的保护内容表–策略的优先位置是否调整正确地址/端口控制•配置过程•实例•故障排除配置过程•防火墙--地址--新建–输入自定义的地址名称–输入要控制的IP地址范围•防火墙--服务--定制–在名称中输入自定义的服务名称–在协议中选择协议类型–在源端口中输入要控制的源端口范围–在目的端口中输入要控制的目的端口范围–在组标签页中新建一个组–任取一个组的名称–在可用服务中选择要控制的服务名称并添加到成员中•防火墙--策略--新建–源接口选择内网接口名称–源地址选择自定义的地址名称–目的地址选择ALL–其它参数由用户自行定义实例•网络环境：–某公司内部有20台计算机–使用FG60实现宽带共享接入Internet–财务部使用192.168.1-126的地址段•要求：禁止财务部上网浏览网页并禁止冲击波等病毒使用的端口135实例•配置：–防火墙--地址--新建•在地址名称中输入CW（可自定义）•在IP地址范围中输入192.168.1.[1-126]–防火墙--服务--定制•在名称中输入135(可自定义）•在协议中选择TCP•在源端口中使用默认值0-65535•在目的端口中输入135-139•在组标签页中新建一个组•组的名称中输入Test-Group•在可用服务中选择135和HTTP并添加到成员中实例地址配置:端口定制:实例定义组:实例–防火墙--策略--新建•源接口选择内网接口名称•源地址选择自定义的地址名称CW•目的接口选择连接宽带的外网接口名称•目的地址选择ALL•服务选择自定义的服务组的名称Test-Group•模式选择DENY•其它参数使用默认值即可实例策略配置:故障排除•地址范围是否定义正确•协议类型选择是否正确•端口是否定义正确•是否将要控制的服务添加到组中•策略中的源地址和目的地址是否选择正确•策略中的服务是否选择正确•策略中的模式是否选择正确备份与负载均衡备份与负载均衡配置过程实例故障排除配置过程•接口配置（操作步骤见共享上网部分）•若要对服务进行分流控制，则要在防火墙菜单中服务下面定制服务•若要针对内部网络的IP地址进行分流控制，则要在防火墙菜单中地址下面定义地址段•策略配置–建立从内网到WAN1的策略•源接口选择希望从WAN1出去的接口•源地址名选择自定义的希望从WAN1出去的地址名称•目的接口选择WAN1，目的地址名选择ALL（所有）•其它选项同共享上网设置–建立从内网到WAN2的策略•源端口选择希望从WAN2出去的接口•源地址名选择自定义的希望从WAN2出去的地址名称•目的接口选择WAN2，目的地址名选择ALL（所有）•其它选项同共享上网设置配置过程•策略路由配置–建立从内网到WAN1的策略路由•进入接口选择希望从WAN1出去的接口名称•源地址选/掩码填入希望从WAN1出去的地址段•目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可•目的端口填入希望从WAN1接口出去的服务端口范围或者不写•流出接口选择WAN1•网关地址填入公网网关，或使用0.0.0.0（ADSL）–建立从内网到WAN2的策略路由•进入接口选择希望从WAN2出去的接口名称•源地址选/掩码填入希望从WAN2出去的地址段•目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可•目的端口填入希望从WAN2接口出去的服务端口范围或者不写•流出接口选择WAN2•网关地址填入公网网关，或使用0.0.0.0（ADSL）实例•网络环境：某公司内部共有40台计算机，并申请了两条有固定IP的宽带线路–市场部、技术部等使用192.168.1.129-254的地址段–财务部使用192.168.0.1-126的地址段–内部网络的掩码为255.255.255.0，网关为192.168.1.1–宽带线路1：•IP：192.168.253.147•掩码：255.255.255.0•网关：192.168.253.1–宽带线路2：•IP：192.168.10.147•掩码：255.255.255.0•网关：192.168.10.1实例•要求：–财务部单独使用一条宽带线路，市场、技术等其他部门共同使用另一条宽带线路，实现数据分流，以保证带宽利用实例•接口配置（操作步骤见共享上网部分，只是要在配置时将PING服务器打开，并输入一个有效的公网IP地址）配置：配置：•定义要控制的地址段–防火墙--地址--新建–地址名称中输入自定义的名称（CW）–IP地址范围中输入192.168.1.[1-126]–按上面操作步骤再建一个129-253的地址段（Other)•添加默认路由–防火墙--策略路由--新建–在目的IP中使用默认值0.0.0.0，网关中填写192.168.253.1，设备选择WAN1–再建一条网关中填写192.168.10.1，设备选择WAN2实例实例财务地址段定义:其他地址段定义:实例第一条默认路由:第二条默认路由:配置：•添加策略路由–防火墙--策略路由--新建–进入接口中选择Internal–源地址/掩码中输入192.168.1.0/255.255.255.128–目的地址/掩码使用默认值0.0.0.0/0.0.0.0–流出接口选择WAN1–目的端口使用默认值0–按上述操作步骤再建一条源地址为192.168.1.128/25的策略路由，流出接口选择WAN2•添加策略–防火墙--策略--新建–添加从内网到WAN1的控制策略–添加从内网到WAN1的控制策略实例双WAN口的策略路由配置：实例故障排除•默认路由是否正确–到两个外网口的默认路由是否都已建立–两个外网的网关是否都设置正确–注：如是ADSL拨号上网，则不需要建立静态路由•策略路由是否正确–进入接口是否选择正确–源地址和掩码是否填写正确–流出接口是否选择正确•策略控制是否正确–是否两条出口的策略都已建立–源接口和地址名称是否选择正确–目的接口和地址名称是否选择正确–NAT选项是否已启用•默认路由、策略路由与策略的配置是否一至•注：不具动态负载均衡端口映射端口映射实例配置过程故障排除配置过程•防火墙--虚拟IP--新建•填写名称（自定义）•选择外部接口•选择映射类型•输入外部IP地址、外部服务端口•输入内部IP地址、内部服务端口•选择协议•建立从外网到内部虚拟IP的策略实例•网络环境：–已有防火墙产品为FortiGate60–通过宽带接入实现公司内部共享上网–公网地址是222.1.2.1–公司内部有一台服务器对内提供WEB服务–服务器IP地址为192.168.1.2•要求：要求通过FG60使服务器能够对外也能提供WEB服务实例•配置：–防火墙--虚拟IP--新建•在名称中填写WEB-SERVER（可自定义）•选择外部接口为当前连接公网的接口WAN1或external•选择端口转发单选项•外部IP地址输入222.1.2.1(如是ADSL可不填，使用默认的0.0.0.0）•外部服务端口填写80或其它•映射到IP地址输入192.168.1.2•映射到端口中填入80或其它端口–防火墙--策略--新建•源接口选择外网接口WAN1或external，地址选择ALL•目的接口选择内网接口Int