FortiGate配置实例图解

FortiGate配置实例讲解2006共享上网共享上网PPPoEDHCP静态PPPoE配置过程实例故障排除配置过程登录防火墙用双绞线将PC机的网卡与防火墙内网口连通将本地PC的IP地址设置正确防火墙的默认地址是默认用户名是admin，密码为空接口配置系统管理-->网络-->接口选择接口的地址模式为PPPoE配置用户名和密码选择从效劳器中重新得到网关配置MTU为1492实例部门1Pc-1Pc-2Pc-n…-3部门nPc-1Pc-2Pc-n…92-54InternetADSLFortiGateServer...实例网络环境：某公司有20台计算机，现使用网段，网关为，宽带线路为ADSL拨号。要求：内部的所有计算机共享宽带线路，通过FG防火墙实现Internet接入。配置：系统管理-->网络-->接口外网接口参数配置选择接口地址模式为PPPoE输入用户名和密码MTU设置为1492内网接口参数配置选择接口地址模式为自定义在IP地址/掩码栏中输入外网接口参数配置:内网接口参数配置:故障排除不能登录防火墙检查是否使用s登录检查本地PC机的IP地址设置是否正确检查是否能Ping通防火墙必要时用Console线登录防火墙查看系统信息不能上网检查外网口是否已拨号成功检查本地PC机的IP地址、掩码、网关、DNS设置是否正确拨号不成功检查线路连接是否正确检查ADSL帐号是否正确必要时使用PC机直接连接ADSL线路进行拨号DHCP配置过程系统管理-->网络-->接口选择接口的地址模式式为DHCP选择从效劳器中重新得到网关设置内网接口IP地址建立从内网到外网的策略故障排除不能上网检查外网口是否已成功获得公网合法IP地址检查本地PC机的IP地址、掩码、网关、DNS设置是否正确检查策略设置是否正确不能获得公网地址检查线路连接是否正确使用PC机直接连接公网线路进行测试静态IP配置过程实例故障排除配置过程系统管理-->网络-->接口外网接口参数配置选择接口地址模式为自定义输入内网的IP地址和网络掩码内网接口参数配置选择接口地址模式为自定义输入内网的IP地址和网络掩码系统管理-->路由-->静态：修改默认路由的网关系统管理-->防火墙-->策略：添加开放从内网到外网的策略实例网络环境：某公司内网有30台计算机，使用网段，网关为宽带线路为固定IP的光纤接入IP地址：掩码：网关：DNS：要求：内部的所有计算机共享宽带线路，通过FG防火墙实现Internet接入。配置：系统管理-->网络-->接口〔接口参数配置〕外网接口参数配置选择接口地址模式为自定义在IP地址/掩码栏中输入内网接口参数配置选择接口地址模式为自定义在IP地址/掩码栏中输入系统管理-->路由-->静态〔路由配置〕修改默认路由的网关为在设备中选择连接公网的接口系统管理-->防火墙-->策略〔策略配置〕系统默认已有一条没有任何限制的策略可用外网接口参数配置:表态路由配置:策略配置:故障排除检查本地PC机的IP地址、掩码、网关、DNS设置是否正确检查公网线路连接是否正确检查防火墙的外网指示灯工作是否正常检查防火墙内、外网络接参数设置是否正确检查防火墙策略设置是否正确策略的优先级别调整是否正确源接口为内网端口LAN或Internal目的接口为WAN1或External，如有多WAN口请检查是否与实际连接线路的接口对应源地址、目的地址为ALL〔默认定义为所有地址〕时间表为always〔默认定义为任意时间段〕效劳为ANY〔默认定义为所有效劳〕模式为ACCEPT〔默认定义为允许通过〕NAT选项为启用状态保护内容表的选项是否过于严格策略过滤策略控制QQ、MSN地址/端口控制控制QQ、MSN配置过程防火墙-->入侵检测系统-->特征在IM下面选择QQ或MSN进行编辑勾选启用选项动作中选择丢弃防火墙-->保护内容表选择新建进行新保护内容表编辑在内容表名称中输入QQ、MSN〔可自定义〕在入侵防护系统下勾选IPS特征的启用选项防火墙-->策略选择新建进行新的策略编辑保护内容表中选择QQ、MSN〔在保护内容表中定义的名称〕其它参数与共享上网的策略相同控制QQ、MSNQQ屏蔽配置:实例Pc-1Pc-2Pc-n…部门1Pc-1Pc-2Pc-n…部门n...InternetFortiGateQQ、MSN控制QQ、MSN故障排除IPS特征中的动作是否为丢弃保护内容表中IPS特征是否为启用状态策略中是否使用了正确的保护内容表策略的优先位置是否调整正确地址/端口控制配置过程实例故障排除配置过程防火墙-->地址-->新建输入自定义的地址名称输入要控制的IP地址范围防火墙-->效劳-->定制在名称中输入自定义的效劳名称在协议中选择协议类型在源端口中输入要控制的源端口范围在目的端口中输入要控制的目的端口范围在组标签页中新建一个组任取一个组的名称在可用效劳中选择要控制的效劳名称并添加到成员中防火墙-->策略-->新建源接口选择内网接口名称源地址选择自定义的地址名称目的地址选择ALL其它参数由用户自行定义实例网络环境：某公司内部有20台计算机使用FG60实现宽带共享接入Internet财务部使用的地址段要求：禁止财务部上网浏览网页并禁止冲击波等病毒使用的端口135实例配置：防火墙-->地址-->新建在地址名称中输入CW〔可自定义〕在IP地址范围中输入192.168.1.[1-126]防火墙-->效劳-->定制在名称中输入135(可自定义〕在协议中选择TCP在源端口中使用默认值0-65535在目的端口中输入135-139在组标签页中新建一个组组的名称中输入Test-Group在可用效劳中选择135和HTTP并添加到成员中实例地址配置:端口定制:实例定义组:实例防火墙-->策略-->新建源接口选择内网接口名称源地址选择自定义的地址名称CW目的接口选择连接宽带的外网接口名称目的地址选择ALL效劳选择自定义的效劳组的名称Test-Group模式选择DENY其它参数使用默认值即可实例策略配置:故障排除地址范围是否认义正确协议类型选择是否正确端口是否认义正确是否将要控制的效劳添加到组中策略中的源地址和目的地址是否选择正确策略中的效劳是否选择正确策略中的模式是否选择正确备份与负载均衡备份与负载均衡配置过程实例故障排除配置过程接口配置〔操作步骤见共享上网局部〕假设要对效劳进行分流控制，那么要在防火墙菜单中效劳下面定制效劳假设要针对内部网络的IP地址进行分流控制，那么要在防火墙菜单中地址下面定义地址段策略配置建立从内网到WAN1的策略源接口选择希望从WAN1出去的接口源地址名选择自定义的希望从WAN1出去的地址名称目的接口选择WAN1，目的地址名选择ALL〔所有〕其它选项同共享上网设置建立从内网到WAN2的策略源端口选择希望从WAN2出去的接口源地址名选择自定义的希望从WAN2出去的地址名称目的接口选择WAN2，目的地址名选择ALL〔所有〕其它选项同共享上网设置配置过程策略路由配置建立从内网到WAN1的策略路由进入接口选择希望从WAN1出去的接口名称源地址/掩码填入希望从WAN1出去的地址段目的地址/掩码使用默认的即可目的端口填入希望从WAN1接口出去的效劳端口范围或者不写流出接口选择WAN1网关地址填入公网网关，或使用〔ADSL〕建立从内网到WAN2的策略路由进入接口选择希望从WAN2出去的接口名称源地址/掩码填入希望从WAN2出去的地址段目的地址/掩码使用默认的即可目的端口填入希望从WAN2接口出去的效劳端口范围或者不写流出接口选择WAN2网关地址填入公网网关，或使用〔ADSL〕实例网络环境：某公司内部共有40台计算机，并申请了两条有固定IP的宽带线路市场部使用的地址段技术部使用的地址段财务部使用的地址段内部网络的掩码为，网关为宽带线路1：IP：掩码：网关：宽带线路2：IP：掩码：网关：实例Pc-1Pc-2Pc-n…市场部-3Pc-1Pc-2Pc-n…技术部4-27Pc-1Pc-2Pc-n…财务部28-54宽带2宽带14747FortiGate实例要求：财务部同时使用两条宽带线路，其中一条做备份；市场、技术部门各使用一条宽带线路，实现数据分流，以保证带宽利用实例接口配置〔操作步骤见共享上网局部，只是要在配置时将PING效劳器翻开，并输入一个有效的公网IP地址〕配置：配置：定义要控制的地址段防火墙-->地址-->新建地址名称中输入自定义的名称〔市场部〕IP地址范围中输入按上面操作步骤再建一个和的地址段,分别叫技术部和财务部添加默认路由防火墙-->策略路由-->新建在目的IP中使用默认值，网关中填写，设备选择WAN1再建一条网关中填写，设备选择WAN2实例实例财务部地址段定义:市场部地址段定义:技术部地址段定义:实例第一条默认路由:第二条默认路由:配置：添加策略路由防火墙-->策略路由-->新建流出接口为WAN1的策略路由进入接口中选择Internal源地址/掩码中输入目的地址/掩码使用默认值流出接口选择WAN1目的端口使用默认值0按上述操作步骤再建立一条源地址为的策略路由，流出接口同样选择WAN1流出接口为WAN2的策略路由进入接口中选择Internal源地址/掩码中输入目的地址/掩码使用默认值流出接口选择WAN2目的端口使用默认值0按上述操作步骤再建立一条源地址为的策略路由，流出接口同样选择WAN2实例WAN1的策略路由配置：实例WAN2的策略路由配置：实例策略路由配置完成：配置：添加策略防火墙-->策略-->新建添加从内网到WAN1的控制策略源接口选择内网接口Internal源地址名选择自定义市场部目的接口选择WAN1，目的地址名选择ALL〔所有〕其它选项同共享上网设置按以上步骤再添加一条源地址为财务部的策略添加从内网到WAN2的控制策略源接口选择内网接口Internal源地址名选择自定义的技术部目的接口选择WAN2，目的地址名选择ALL〔所有〕其它选项同共享上网设置按以上步骤再添加一条源地址为财务部的策略实例策略配置：故障排除默认路由是否正确到两个外网口的默认路由是否都已建立两个外网的网关是否都设置正确注：如是ADSL拨号上网，那么不需要建立静态路由策略路由是否正确进入接口是否选择正确源地址和掩码是否填写正确流出接口是否选择正确策略控制是否正确是否两条出口的策略都已建立源接口和地址名称是否选择正确目的接口和地址名称是否选择正确NAT选项是否已启用默认路由、策略路由与策略的配置是否一至需要将时防火墙重新启动注：不具动态负载均衡端口映射端口映射实例配置过程故障排除配置过程防火墙-->虚拟IP-->新建填写名称〔自定义〕选择外部接口选择映射类型输入外部IP地址、外部效劳端口输入内部IP地址、内部效劳端口选择协议建立从外网到内部虚拟IP的策略实例网络环境：已有防火墙产品为FortiGate60通过宽带接入实现公司内部共享上网公网地址是公司内部有一台效劳器对内提供WEB效劳效劳器IP地址为要求：要求通过FG60使效劳器能够对外也能提供WEB效劳实例配置：防火墙-->虚拟IP-->新建在名称中填写WEB-SERVER〔可自定义〕选择外部接口为当前连接公网的接口WAN1或external选择端口转发单项选择项外部IP地址输入(如是ADSL可不填，使用默认的〕外部效劳端口填写80或其它映射到IP地址输入映射到端口中填入80或其它端口防