本文档提供了FortiNet防火墙的详细配置指南,包括全球与中国技术论坛链接、技术资料网站、最新版本信息、Flash卡容量、特征码容量、不同升级方式的特点、公共网络IP转换能力、系列产品的特性、软件检测技术、虚拟系统概念、日志分析工具、动态检测防火墙功能等,并介绍了基于角色的账户管理、地址对象定义、会话保存时间、日志生成报告方法等内容。
1. 全球技术论坛:http://support.fortinet.com/forumFortiNet
2. 中国技术论坛:http://bbs.fortinet.com.cnFortiNet
3. 技术资料网站:http://kc.forticare.comFortiNet
4. 最新版本:FortiOS V2.80 build317(MR7)FortiOS
5. 防火墙的Flash卡容量是64M,存储OS、AV/IDS特征代码、配置文件。FortiNet
6. 特征码容量一般为2M。FortiNet全球AV/IDS升级服务器有9台。AV
7. 命令行方式升级OS时会自动格式化Flash卡。但原有配置会丢失。
此升级方式最为安全。
8. 方式升级OS时可保存原有配置文件、但如是较大版本的升级会出现因文件系统格式不同就可能异常。WebUI
9. 转换时一个公网IP一般可支持内网约2-3万名用户的转换请求、起始转换端口:10000或32768(OS版本不同此端口可能会有变化)。PAT
10. 外网接口是非固定的时,在进行地址映射或端口转发时,外部IP地址可维护为:0.0.0.0。
11. 系列产品采用新的硬件体系架构,使VPN和AV性能有提高、接口数量增多。A
12. 软件检测IDS技术。FortiMail是专用反垃圾邮件设备、FortiGuard提供Web分类过滤、垃圾邮件过滤、流量整形等功能。注册产品可免费使用FortiGuard一个月。Blade IDS
13. 虚拟系统提供将一台物理防火墙虚拟为多个逻辑防火墙来应用。
14. 是OEM Eiq Network厂商的图形界面日志分析软件。FortiReporter的日志分析能力很强,但实时性较弱(日志压缩传送最短需半小时,日志加工需1小时)。FortiReporter
15. 设备提供日志分析、海量数据库库存储等功能。FortiLog
16. 是提供AV/IDS等集中升级产品。FortiPortect System
17. 是提供动态检测防火墙功能,如防火墙停止工作,此设备会自动将数据转发。但要求防火墙应用是透明模式的。FortiBridge
18. 可支持透明模式的VPN应用和参与OSPF动态路由。FortiNetOS V2.80
19. 支持DHCP中继代理、DPD(隧道检测保护技术:可检测隧道是否存活或正常)FortiNetOS V2.80 VPN
20. 以上产品都支持HA功能,FortiNet200以上产品支持机架和自配日志硬盘。FortiNet60
21. 管理时波特率:9600,但FortiNet300的波特率:115200。FortiNet Console
22. 时可设置IP/MAC,实现某台主机DHCP时自动分配某个固定IP。原V2.50版本的IP/MAC绑定功能可在CLI下配置。FortiNet DHCP
23. 低端设备支持端口DNS请求转发功能。FortiNet
24. 接口支持DDNS功能,可通过域名管理防火墙,同时解决双动态VPN隧道建立问题。FortiNet支持网域科技(ph001.oray.net)和时代互连(ip.todayisp.com)两家公司的DDNS技术。此防火墙已内置相应客户端程序。FortiNet
25. 日志存储至硬盘时可定时将其上传到某台日志服务器。(日志转发功能)
26. 静态路由可通过“管理距离”值的设定来实现浮动路由(链路备份)。取消原有配置路由时的双网关功能。当目的地址、目的掩码和管理距离都设置相同时,最后一条静态路由生效。“管理距离”值越小越优先。注意要将“PING服务器”启用。
策略路由可实现链路流量的负载均衡,策略路由优先于所有路由。
27. 透明模式下支持OSPF的策略配置(透传OSPF信息):FortiNetOS V2.80
IP—IP;IP—224.0.0.5;IP—224.0.0.6
28. 路由模式下配置参与OSPF需CLI:Config Router Ospf等命令完成。FortiNetOS V2.80
29. 基于角色的帐户管理最多支持12个。FortiNetOS V2.80
30. 地址对象定义:FortiNetOS V2.80
可指定IP地址范围192.168.5.* ,即表示IP为192.168.5.0--192.168.5.255主机范围
可指定IP地址范围192.168.5.[5-10],即表示IP为192.168.5.5--192.168.5.10共5台主机。
Fortigate-300 # show firewall address
config firewall address
edit "all"
next
edit "jiaohl"
set type iprange
set end_ip 192.168.5.10
set start_ip 192.168.5.5
next
end
31. 对于TCP会话默认保存3600秒、UDP会话默认保存120秒。FortiNetOS V2.80
对于TCP会话可通过协议端口单独进行TTL时间设置。
32. 将日志快速生成报告方法:备份日志文件、New Profile配置、生成。FortiReporter
33. 过滤--内容过滤时“通配符”模式是不匹配大小写的。而“正则表达式”模式则会精确匹配大小写的。同时两者的配置语法也不同。Web
34. 过滤时白名单应排序在黑名单的前面。Spam
FortiNet推荐黑名单列表:cbl.abuseat.org、bl.spamcop.net、list.dsbl.org、dnsbl.sorbs.net。
发送查询请求时是按英文字母的升序发出的且四个服务器请求是同时发送的。
国外常用的RBL服务器地址:
relays.ordb.org、dnsbl.njabl.org、bl.spamcop.net、sbl.spamhaus.org、dun.dnsrbl.net、dnsbl.sorbs.net
国内CBL/CDL/CBL+/CBL-的配置参数:
|
名称
|
地址
|
测试地址
|
返回状态码
|
|
CBL
|
cbl.anti-spam.org.cn
|
2.0.0.127.cbl.anti-spam.org.cn.
|
127.0.8.2
|
|
CDL
|
cdl.anti-spam.org.cn
|
0.0.0.240.cdl.anti-spam.org.cn.
|
127.0.8.4
|
|
CBL+
|
cblplus.anti-spam.org.cn
|
2.0.0.127.cblplus.anti-spam.org.cn.
|
127.0.8.6
|
|
CBL-
|
cblless.anti-spam.org.cn
|
2.0.0.127.cblless.anti-spam.org.cn.
|
127.0.8.5
|
35. 如何使用cbl.abuseat.org服务器查询68.120.112.81地址是否是垃圾邮件服务器:
返回值:127.0.0.2和127.0.0.10。现国内CBL服务器返回值防火墙暂不识别。
C:/>nslookup
Default Server: ns1.boxup.com
Address: 202.103.176.22
> cbl.abuseat.org
Server: ns1.boxup.com
Address: 202.103.176.22
Name: cbl.abuseat.org
Address: 216.168.17.20
> 81.112.120.68.cbl.abuseat.org
Server: ns1.boxup.com
Address: 202.103.176.22
Name: 81.112.120.68.cbl.abuseat.org
Address: 127.0.0.2
36. 配置需结合内容表和策略实现。支持TCP/UDP源/目的会话的检测。比如可以拒绝内网感染病毒的客户端发起的大量会话请求。IPS
使用IPS可实现阻断MSN、BT、Edonkey、Skype等软件通讯。
37. 配置“连接用户”VPN策略时,此策略的位置可以随意。
38. 配置PPTP/L2TP VPN策略时,此策略是从外网口到内网口建立的。启用此VPN时,所有接口都会启用相关服务,即从任何接口都可接受拨入的。
配置相应策略时无需选“ENCRYPT”方式,同时无需选“授权认证”。不支持DHCP。
L2TP客户端接入方式默认是支持DHCP的,所以需修改注册表。
39. 配置条件:策略相同、配置相同、设备型号相同、FortiOS版本相同。HA
“设备优先级”值越高的会协商为主设备。AP模式下升级主设备OS时设备会同时得到升级。同时支持32台设备HA。
40. 防火墙管理员密码恢复方法:FortiNet
Console连接
用户名:maintainer
密码:bcpb(防火墙序列号)
例如:bcpbAPS3012801011130
管理员密码恢复过程:
Fortigate-300 # config system admin
(admin)# edit admin
(admin)# set password 123456
(admin)# next
(admin)# end
扫一扫
1239
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
