关键特性列表

FortiOSV4MR1更新Sep2009关键特性列表

FOS4.1类别更新系统无线控制简化的FortiCare和FortiGuard服务注册与更新集成基本的DNS服务器严格密码选项SNMPv3加密和认证报警信息窗口改进替换信息组IPv6IPv6扩展(DNS)IPv6病毒扫描和管理访问

IPv6动态路由网络网关负载均衡的接口状态检测

VDOMVDOM独立的仪表板每个VDOM都可以设置多个FortiAnalyzer及SyslogVDOM独立的替换信息防火墙时间表组流量控制增强关键特性列表

FOS4.1类别更新VPNIKEv2IKE

configurationmethodSSL-VPN增强Web过滤“安全搜索”特性Web内容过滤/免屏蔽列表合并DLPDLP支持多国语言

用户认证&NAC终端控制改进日志与报表更可靠的Syslog日志保存为SQL格式增强的应用控制统计数据基于SQL日志的报表DLP存档日志简化及优化

系统简化的FortiCare和FortiGuard服务注册与更新出厂时如果没有注册，则当任何admin(super_adminprofile)登录时，将看到提示信息及注册表格服务到期前30天Admin将看到提示窗口，以及添加服务表格可通过命令行关闭该功能

configsysglobalsetregistration-notificationdisableend5适用范围除FG30B和FortiWiFi外的所有FortiGate设备都可作为无线网络控制器，管理FortisWiFi设备的Wifi（AP）功能。

只支持FortiWifi。所有设备都必须使用FortiOS4.0MR1。目前不支持FortiWiFi80CMNotelimitationwithFWF80C特性创建虚拟AP，与多个物理AP关联。

Wifi客户端可以在多个物理AP间漫游，扩展了无限网络的覆盖范围。防火墙策略在虚拟wifi组和其它接口间建立。此模式下，FortiWifi只具有纯粹的AP功能。6无线控制功能APBoot-up(AC自动发现&Image下载)AP能够自动发现控制器的位置，并建立加密控制通道信号管理所有被管理的AP定期向控制器报告控制器动态平衡每个AP的信号强度，以获得最佳性能和覆盖率WLAN自修复–当发现有故障AP时，调整AP的设置非法AP检测和定位L2漫游不支持WirelessDistributionSystem(WDS),无线桥或网,L3漫游,负载均衡,多个控制器间的自动备份。7无线控制集成基本的DNS服务器基于单个Vdom，支持透明及NAT模式支持IPv4&IPv6所有FortiGate型号的接口上都可以设置DNSrelay（NAT模式），并可包括DNS查询服务：recursive—首先查找本地数据库，如果未找到，则向外查询。non-recursive—只查找本地数据库。根据测试，之前已经查询过的记录也不转发。8集成基本的DNS服务器集成基本的DNS服务器密码策略可以强制以下密码的严格程度：管理员账号IPSec预共享密钥密码强度选项：最小长度需要的字符密码过期选项11SNMP3增强仅支持CLI，新增对RFC3414的支持snmpEngineIDFortinet前缀0x8000304404字符串通过命令行定义，最大24个字符configsystemsnmp

sysinfosetengine-id"0x8000304404123456"setstatusenableendUSM用snmpEngineID标识SNMPv3实体12SNMP3增强用户认证及加密设置configsystemsnmpuseredit"fortisnmp3"//用户名

setsecurity-levelauth-priv//既认证又加密

setauth-protomd5//认证算法

setauth-pwd12345678//认证密钥，至少8位

setpriv-protodes//加密算法

setpriv-pwd87654321//加密密钥，至少8位

nextendtanjie@tanjie-ubuntu:~$snmpwalk-v3-ufortisnmp3-cpublic-lauthPriv-amd5-A12345678-xdes-X876543219SNMPv2-MIB::sysDescr.0=STRING:SNMPv2-MIB::sysObjectID.0=OID:SNMPv2-SMI::enterprises.12303DISMAN-EVENT-MIB::sysUpTimeInstance=Timeticks:(1092173)3:02:01.73SNMPv2-MIB::sysContact.0=STRING:SNMPv2-MIB::sysName.0=STRING:FGT60B390751341713SNMPv3增强报警消息窗口改进15确认该消息替换信息组需求：每个VDOM使用不同的替换信息问题：复制所有替换信息会影响性能（内存和Flash的无谓消耗）解决方法：支持全局及每个VDOM的替换信息缺省状态下，所有的VDOM都继承全局设置管理员可以设置特定的信息16替换信息组configsystemreplacemsg-groupedit"default"setcomment"default"confighttpedit"url-block"setbuffer"ROOTURL"setheaderhttpsetformathtmlnextendnextendconfigfirewallprofileedit"scan"setreplacemsg-group"default"endIPv6IPv6新特性IPv6新特性透明模式管理访问DNS服务UTM防病毒HTTPisOKURL过滤（FortiGuard、本地分类）IPS特征&应用控制（DoS策略&Sniff策略）Noconfigfirewallinterface-policy6configfirewallsniff-interface-policy6动态路由RIPngBGPOSPF619IPv6DNSIPv6管理IPv6HTTPAVIPv6动态路由BGPconfigrouterbgp

configaggregate-address6

confignetwork6

configredistribute6OSPFconfigrouterospf6RIPNGconfigrouterripngfec0::147:16c/119-wan1fec0::147:72/119-wan1fec0::146:72/119-wan2dstfec2::226:0/119

gatewayfec2::146:75dst

::/0

gatewayfec0::18:101fec0::18:16c/119-wan2Router1Router2网络网关冗余和负载均衡扩展现有的策略路由：基于源(V4.0)基于权重

基于使用率基于权重下一跳的权重设置基于使用率路由选择基于网关上的流量当前版本有问题，根据上行流量，且无法人为定义优先级25configrouterstaticedit1setdst/24setgwy

setdevport1setweight100nextedit2setdst/24setgwy

setdevport2setweight200endconfigsysteminterfaceeditport1setspillover-threshold1000nexteditport2setspillover-threshold2000end基于源基于源基于权重基于权重VDOM每个VDOM的仪表板VDOM管理员登录后将看到该VDOM独立的仪表板。除许可信息、报警信息窗口、病毒排名、攻击排名外的所有窗口部件都可以在VDOM的仪表板中使用。多个FortiAnalyzer&Syslog需求：MSSP可能需要为不同客户分配不同的FortiAnalyzer首先设置全局的FortiAnalyzer或Syslog缺省情况下，全局设置会自动应用到所有VDOM新选项：在每个VDOM里，可以设置自己的FAZ/Syslogconfigvdomeditroot

configlogfortianalyzeroverride-settingsetoverrideenablesetstatusenablesetserver防火墙时间表组类似于地址组、服务组流量控制当前的流量整形器

–被用户共享。例如：基于每条策略基于引用该流量整形器的所有策略新的流量整形器–每IP独享每IP最大带宽限制可指定给特定IP地址或范围独立于原有的流量整形器NP2接口不支持，必须关闭fast-path每IP的流量控制configfirewallshaperper-ip-shaperedit"perip"setbps20//maximumbandwidthinKB/sec(0-2097000)configiplistedit1setend55setstartnextendnextendconfigfirewallpolicyedit1setper-ip-shaper"perip"end流量控制新的配额限制及记账–共享及独享的流量整形器都可以使用：流量配额–每小时|天|周|月|…超限后被隔离产生记账日志流量配额VPN概述(RFC4306)提高安全性、简化的体系结构、增强了对远程用户的支持。支持IP地址分配和EAP，以使用不同的认证方法和远程访问环境。IKEv2大量减少了建立SA所需的信息交互次数，与IKEv1主模式相比，将更加节约带宽。与IKEv1野蛮模式相比，更加安全和灵活。IKEv2与v1不兼容SAsinIKEv2中的SA被成为ChildSA，在VPN隧道的生命期中的任何时候都可以被独立地创建、修改和删除。仅支持IPSec接口模式FortiGateHA不支持IKEv2的状态保持。40IKEv2IKEv2IKEv2IKEConfigurationMethod概要基于<draft-dukes-ike-mode-cfg-02>支持IPsecVPN的自动设置替代DHCPoverIPSec的一种方法（有些客户端不支持DHCPoverIPSec）只支持接口模式IPSecFortiGate可以作为IKEConfigurationMethod服务器或客户端只支持命令行配置43FortiGate设置IPSec阶段一configvpn

ipsecphase1-interfaceedit"testvpn"settypedynamicsetinterface"wan1"

setdhgrp2//cisco

vpnclient不支持DHgroup5setproposal3des-sha1setmodeaggressivesetmode-cfgenablesetauthusrgrp"test1"setipv4-start-ipsetipv4-end-ip3setipv4-netmasksetpsksecret123456nextendFortiGate设置IPSec阶段二configvpn

ipsecphase2-interfaceedit"tovpn"setphase1name"testvpn"setproposal3des-sha1aes128-sha1

setdhgrp2nextendCiscoVPNClient设置预共享密钥结果其它VPN增强DH-2048(Group14)SHA256比SHA1和MD5更安全48SSLVPN扩展一次性登录(SSO)双因子认证主机检查扩展第三方软件控制（应用/版本），例如AV等。虚拟桌面扩展控制虚拟桌面的权限，如应用控制、媒体访问、数据传输、打印等密码更新RADIUS&LDAP49一次性登录（SSO）Web模式的书签可以包含自动登录Web服务器的用户名和密码。50Automatic–使用用户的SSLVPN用户名密码或自定义的用户名密码。Static–还可以自定义其它字段。Static测试不成功。SSOMR1支持一次登陆，经过测试发现只有automatic方式支持，Static方式不支持。IIS

webSSO登陆FortiGate管理界面在51B上创建一个管理员，用户名/口令和SSL登陆的一致SSO登陆FortiGate管理界面（续1）在web

portal中SSO中选择AutomaticSSO登陆FortiGate管理界面（续2）测试结果，直接点击链接，不用再输入用户名和密码SSO访问web在IIS服务的PC上创建用户，用户名/口令和SSL登陆的一致，设置IIS通过用户名/密码才能访问SSO访问web（续1）在web

portal中SSO中选择AutomaticSSO访问web（续2）测试结果，直接点击链接，不用再输入用户名和密码地址池可使用防火墙的地址对象Tunnel模式下现在可以使用多个地址范围58客户端检查OS检查只支持CLI，增加了对WindowsVista的支持configvpn

sslwebportaledit<portal_name>setos-checkenableconfigos-check-list{windows-2000|windows-xp|windows-vista}setaction{allow|check-up-to-date|deny}setlatest-patch-level{disable|0-255}settolerance{tolerance_num}end客户端安全检查改名为主机检查只要安装了任何被Windows安全中心认可或管理员预定义的AV/FW软件，都可以通过主机检查。59虚拟桌面增强增加了更多的选项

双因子认证用户名+数字证书，适用于管理员（HTTPS）和SSLVPN访问。防火墙认证不支持双因子Build185SSLVPN无法登陆60虚拟桌面应用控制创建应用程序列表，控制用户能在虚拟桌面上运行的应用程序。61使用<digestIT2004>等工具获取应用的MD5值虚拟桌面应用控制用md5工具算出应用程序的MD5值虚拟桌面应用控制（续1）创建应用控制列表，将计算出的MD5值填到下面，name任意，再在portal的virtualDesktop中引用创建的应用控制列表。虚拟桌面应用控制（续2）Web内容过滤SafeSearch客户需求学校或家庭用户往往希望部署Web过滤策略，限制学生访问不良的Web内容。使用搜索引擎的图像搜索，用户往往可以绕过Web过滤策略（虽然仍有一定限制）。当启用这一功能，HTTPproxy将拦截发往搜索引擎的请求，重写URL，以强制使用SafeSearch。

66SafeSearch–关闭SafeSearch–开启SafeSearch–开启Web内容过滤增强Web过滤列表整合Web内容阻止和免屏蔽列表被整合到一起。Web内容头过滤仅支持CLI使用正则表达式匹配内容头例如：.*image.*匹配图像内容类型70MR1将Web过滤的内容阻止列表和免除列表合并在一起。上面的配置中访问新浪的网页将会被阻止，但是如果访问新浪网站，但内容有关姚明的，可以免除。配置访问新浪的网页被拒绝如果网页中有姚明的内容，将被允许结果DLPDLP支持国际字符74configfirewallprofileedittestutf8sethttp-post-langgb2312ces-gbkend用户认证&NAC终端控制增强概要检测终端PC上的软件（安装/运行），决定允许或阻止终端PC。

终端上必须安装了FortiClient。可以根据类别、厂商、应用名称创建多个应用检测列表。FortiGuard防病毒服务提供所有应用的特征。终端控制增强通过检测后会增加一条用户认证记录FortiClient特征库更新不受终端控制影响终端控制增强78应用类别AdultAnti-MalwareSoftwareAuthenticationandAuthorizationDatabaseDocumentViewerEmailEncryption,PKIFirewallsGamblingGamesHackingInstallersInstantMessagingInternetBrowserJavaFilesManagementSoftwareMediaPlayersNeverBlock应用类别OfficeOperatingsystemOthersP2PFileSharingPotentiallyUnwantedSoftwareProprietaryProxyAvoidanceRemoteAccessScreenSaversScriptsSoftwareDevelopmentSystemAuditSystemUtilitiesTelephony,Conferencing,FaxTemp.InternetFilesWeb&DesktopPublishing终端控制增强其它防火墙策略中的HTTPbasic认证使用一个浏览器中内置的对话框替代HTML表单

对于某些移动设备不能使用HTML表单时，可以使用这项功能。configusersettingsetauth-http-basicenableend80其它SCEP扩展(Top3#892)自动更新CRL过期自动更新自动导入CA证书SCEP自动获取CA证书SCEP自动获取本地证书SCEP自动更新CRL日志与报告86V4.0MR1日志与报告日志扩展日志优化SQL数据库（本地硬盘）可靠的Syslog报告扩展基于SQL日志的报告仪表板小工具改进

SQL日志优化日志的可伸缩性是关键V4.0有很多新的功能，就会带来更多的日志类型更高性能的硬件=更多的日志量（例如流量日志）压力下的日志处理和存储能力FortiOS4.0MR1:日志优化/缩减内部优化–二进制日志生成词典方式减少FortiOS在生成日志时的负载优化日志消息大小存储能力传输能力FortiAnlzyer处理日志的能力87日志优化目标优化带宽（FAZ处理速率）优化FG处理能力优化FortiAnalyzer存储日志信息示例2009-02-1214:23:44log_id=0143047001type=eventsubtype=his-performancepri=informationvd=rootaction=perf-statscpu=0mem=24total_session=56msg="Performancestatistics”注意

每个‘name’部分是固定的，顺序也是固定的

部分‘values’也是固定的，例如type,subtype,action等88日志输出目标文本（完整）二进制（紧凑）内存-Y硬盘Y–uploadtoFAMSY–downloadviaCLIY–uploadtoFAZY–downloadviaGUI,CLI,orFTPSQL数据库Y*-FortiAnalyzer-YSyslogY-FAMSY-89*存储为数据库格式，不是纯文本SQL日志数据库SQL日志支持带有硬盘的型号使用TEXT格式（未缩减）记录到标准的SQL数据库基于SQLite增加基于SQL日志的报告图表使用一般SQL查询语言（可定制化）可定期刷新图表数据根据FG型号性能的不同，表的大小会受到限制90SQL报告需要FortiGate记录本地日志访问报表->内容摘要页面下最多可以显示8个小器件更新计划–每日/每周可以按刷新按钮立即更新91SQL报告创建报告时，需要3个组件：Dataset=SQL查询(SELECT)Chart=数据格式

Summary/Report=显示哪些图表？何时生成？有4种类型的图标：柱状/线状/饼状/表格92例1：柱状图93configreportchartedit"perday-summary”setdataset"traffic-per-day-summary”setgraph-typebar

configx-seriessetdatabind"field(1)”setis-categorynosetscale-formatYYYY/MMM/DDsetscale-number-of-step14setscale-step1end

configy-seriessetdatabind"field(1)+field(2)”endsettitle"PerdayTrafficSummary”nextendChartLayout&DataMappingconfigreportdatasetedit"traffic-per-day-summary”

setquery"selectstrftime(\'%s\',datetime(strftime(\'%s\',datetime((timestamp/86400)*86400,\'unixepoch\',\'UTC\')),\'unixepoch\',\'utc\'),\'localtime\')asperday,sum(sent),sum(rcvd)fromtraffic_loggroupbyperdayorderbyperday

desc”configfieldedit1settypeintegernextendnextendDataSet例2：饼状图94configreportchartedit"top-attack-proto-last24h-pie”setdataset"top-attack-proto-last24h”setgraph-typepiesetstylemanualconfigcategory-seriessetdatabind"field(1)”endconfigvalue-seriessetdatabind"field(2)”endsettitle"Top5AttackProtocol”nextendconfigreportdatasetedit"traffic-per-day-summary”

setquery"selectstrftime(\'%s\',datetime(strftime(\'%s\',datetime((timestamp/86400)*86400,\'unixepoch\',\'UTC\')),\'unixepoch\',\'utc\'),\'localtime\')asperday,sum(sent),sum(rcvd)fromtraffic_loggroupbyperdayorderbyperday

desc”configfieldedit1settypeintegernextendnextendChartLayout&DataMappingDataSet语法简介使用getreportdatabaseschema命令可获得SQL表的结构CREATETABLEantivirus_log("oid"INTEGERPRIMARYKEYAUTOINCREMENT,"policyid"INTEGER,"serial"INTEGER,"dir"TEXT,"filefilter"TEXT,"filetype"TEXT,……"virus"TEXT,"ref"TEXT,"url"TEXT,"endpoint"TEXT,"profile"TEXT,……)语法简介创建数据集configreportdatasetedit"top-virus-last24h"setquery"selectvirus,count(*)as

totalnumfrom

antivirus_log

wheretimestamp>=F_TIMESTAMP(\'now\',\'hour\',\'-23\')andvirus!=\'\'groupbyvirusorderby

totalnum

desc

limit20"endcount：计数count(column_name)函数返回指定列的值的数目count(*)函数返回表中的记录数as：表示为from：从某个表where：条件groupby：对结果分组orderby：排序（ASC/DESC：升序/降序）limit：数量限制语法简介输出结果示例virustotalnumAlbania.506.A30Green_Caterpillar.1575.A23Burger.382.A22…………语法简介创建报表configreportchartedit"top-virus-last24h"setcomments"Top20Virus"