Fortinet 500 инструкция обслуживания

FortiGate ! 500 Installation ! and Configuration ! Guide Esc Enter HA DMZ INTERNAL EXTERNAL 1 2 3 4 5 6 7 8 FortiG ate 用户手册 第一卷 2.50 版 2003 年 7 月 21 日 安装和配置指南 FortiGate 500[...]

© Copyrig ht 2003 美国飞塔有限公司版权所有 。 本手册中所包含 的任何文字、例子、图 表和插图，未经美国 飞塔有限公司的 许可，不得因任 何用途以电子、机械、 人工、光学或其它任 何手段翻印、传 播或发布。 Forti Gate-50 0 安装和配置指 南 2.50 版 2003 年 7 月 21 ?[...]

目录 Fort iGate-5 00 安装和配置指南 iii 目 录 简介 ................................... ................................ 1 防病毒保护 ........... ........ ........ ......... ........ ......... ........ ...... 1 Web 内容过滤 ...... ........ ......... ........ ......... ........ ........ ......... 2 电子邮件过滤 ...........[...]

目录 iv 美国飞塔有限公司 FortiGa te 出厂默认设置 ............. ........ ......... ........ ........ ........ 20 出厂默认的 NAT/ 路由模式的网络配置 .............. ........ ......... ........ .. 20 出厂默认的透明模式 的网络设置 .......... ......... ........ ......... ........ .. 21 出厂时默认的防火?[...]

目录 Fort iGate-5 00 安装和配置指南 v 使用安装 向 导 ........... ......... ........ ......... ........ ......... ........ .. 47 切 换到透明模式 ............. ........ ......... ........ ......... ........ ..... 48 启动安装 向 导 ......... ......... ........ ......... ........ ......... ........ .. 48 重 连接到 基于[...]

目录 vi 美国飞塔有限公司 管理 HA 组 ......... ........ ......... ........ ......... ........ ........ ........ 6 8 查看 HA 簇成员状态 ............. ........ ......... ........ ......... ........ .. 69 监视簇成员 ........... ......... ........ ......... ........ ......... ........ .. 69 监视簇 会 话 ........... ........[...]

目录 Fort iGate-5 00 安装和配置指南 vii 病毒和 攻击 定 义升级 及注册 ............................ .................. 95 病毒防护定 义 和 攻击 定 义 更新 .............. ......... ........ ......... ........ .. 95 连接到 Forti 响应 发布网络 ...... ........ ......... ........ ......... ........ .. 96 配置 ?[...]

目录 viii 美国飞塔有限公司 配置路由 .......... ........ ......... ........ ......... ........ ........ ....... 119 添加 默认路由 ......... ......... ........ ......... ........ ......... ........ . 120 向 路由表 添加 基于目 的的路由 ......... ......... ........ ......... ........ .... 120 添加 路由 （透明模?[...]

目录 Fort iGate-5 00 安装和配置指南 ix 配置 策略 列表 ...... ........ ......... ........ ......... ........ ........ ....... 150 策略匹 配的 细节 .......... ......... ........ ......... ........ ........ ....... 151 更 改策略 列表中 策略 的 顺 序 ......... ........ ......... ........ ........ ....... 15 1 启用和[...]

目录 x 美国飞塔有限公司 配置 LDAP 支持 .... ........ ......... ........ ......... ........ ........ ....... 176 添加 LDAP 服务 器 .... ........ ........ ......... ........ ......... ........ .... 177 删除 LDAP 服务 器 .... ........ ........ ......... ........ ......... ........ .... 177 配置用户 组 ........... ........ [...]

目录 Fort iGate-5 00 安装和配置指南 xi L2TP VP N 配置 ........ ........ ........ ......... ........ ......... ........ .... 211 把 FortiGa te 配置 为 L2TP 网关 ...... ........ ......... ........ ........ ....... 212 配置 Windows2 000 客户的 L2TP ........ ......... ........ ......... ........ .... 214 配置 WindowsX P 客户?[...]

目录 xii 美国飞塔有限公司 邮件 排除 列表 ...... ........ ......... ........ ......... ........ ........ ....... 239 在邮件 排除 列表中 添加地址 模 板 .......... ......... ........ ......... ........ . 239 添加 一个 主题 标 签 ....... ......... ........ ......... ........ ......... ........ . 240 日志和报告[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 1 简介 FortiGa te 防病毒防火墙支 持 应 用 层 服务的基于网络 的部 署 ，包 括 防病毒保护和全 内容扫描过滤。 FortiGate 防病毒防火墙 增强了 网络 的安全性， 避免了 网络 资源 的误用 和 滥 用，可以 ?[...]

2 美国飞塔有限公司 Web 内容过滤 简介 如果 FortiGat e 设备内配有 硬盘 ， 可以将 被感染 或 被阻 塞 的文件 隔离 。 FortiGate 管理 员 可以 下载被隔离 的文件， 然 后对 它们 进 行病毒扫描， 杀 毒， 再 将它们发送 给原 来 的接 收 者。您 也 可以将 FortiGate 设备配置 [...]

简介 防火墙 Fort iGate-5 00 安装和配置指南 3 防火墙 ICSA 认证的 Fo rtiGate 防火墙可以在 互联 网 这 个 充满敌 意的 环境 中保护您的电 脑 网络。 ISCA 已 对 FortiGa te 防火墙 4.0 版本 授予 了 证 书 ， 确 保 了 FortiG ates 可以 成功 保护 企业 网络不 受来 自公 共 或其它非?[...]

4 美国飞塔有限公司 网络入侵检测系统 （ NIDS ） 简介 网络入侵检测系 统 （ NIDS ） FortiGa te 网络入侵 侦 测系 统 (NIDS) 是 一 种 实 时网络入侵 探 测 器 ，它能 对 外 界 各 种 可 疑 的网络 活 动 进 行 识别 及 采 取行动。 NIDS 通 过 攻击 特 征来识别 超 过 1000 种 的[...]

简介 高可用性 Fort iGate-5 00 安装和配置指南 5 高可用性 高可用性 (HA) 提 供 两 个或多个 FortiGat e 之 间 的 失效恢复 机 制 。 Fortinet 通 过 冗余硬 件 实 现 HA 功 能， 匹 配在 NAT/ 路由模式 运 行 下 的 FortiGate 。您可以将 FortiGa tes 配置 为主 动 - 被 动 (A-P) 模式 或 主 ?[...]

6 美国飞塔有限公司 安全安装、配置、管理 简介 图 1: FortiG ate 基于 We b 的管理程序 和设置 向 导 命令行接口 （ CLI ） 您可以将管理 员计 算 机的 串 行 通讯 接口连接到 FortiGate 的 RS-23 2 串 行 控制 台 接 口 上 ，从 而 访问 Forti Gate 命令行 控制界面 （ CLI ） 。或?[...]

简介 2.50 版本的新特点 Fort iGate-5 00 安装和配置指南 7 日志可 被 传送到 远 程系统日志服务 器 或以 WebTrends 增强 日志 格 式传 输 到 远 程 WebTren ds NetIQ 安全报告中 心 和防火墙服务 器上 。 某 些 型号的防火 墙可将日志 存 储 在 可选 择 的内置 硬盘上 。如 果 没 ?[...]

8 美国飞塔有限公司 2.50 版本的新特点 简介 HA ·主 动 - 主 动模式的 HA 使用 了交 换机， 并 且 具有选 择 时 间 表的能 力 · 透明模式的 HA · HA 簇 的 A/V 更新 · HA 功 能的配置 同步 详情 请 见 第 59 页 “ 高可用性 ” 。 替 换信息 您可以定 制 FortiGate 设备发送的以 ?[...]

简介 2.50 版本的新特点 Fort iGate-5 00 安装和配置指南 9 NIDS 关于 FortiGat e NIDS 功 能的 完整 说明，请 见 FortiG ate NIDS 指南 。新特性包 括 ： ·攻击 检测特 征 分组 · 用户定 义 的 攻击预 防 方 式 · 在多个接口 监视 攻击 ·监视 VLAN 子接口的 攻击 · 用户定 义 的 攻击 ?[...]

10 美国飞塔有限公司 关于本手册 简介 关于本手册 安装和配置 向 导描 述 了 如何安装和配置 FortiGate-500 。本手册包含以 下 内容： · 开始 描 述 了 拆 包，安置，和启动 FortiGate 。 · NAT/ 路由 模式安装 描 述 了 如果您 希望 FortiGate 运 行于 NAT/ 路由模式， 应当 如?[...]

简介 Forti net 的文档 Fort iGate-5 00 安装和配置指南 11 要执 行 restore config < 文件 名 _ 字 符串 > 您 应当 输 入 restore config myfile.bak <xxx_ 字 符串 > 表 示 一个 ASCII 字 符串 关 键词 。 <xxx_ 整数 > 表 示 一个 整数 关 键词 。 <xxx_ip> 表 示 一个 IP 地址 关 键[...]

12 美国飞塔有限公司 Fort inet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或 任何 Fortinet 技术文档中发现 了 错误或疏漏之处， 欢迎 您将有 关信息发送到 techdoc@f ortinet.c om 。[...]

简介 客户服务和技术支持 Fort iGate-5 00 安装和配置指南 13 客户服务和技术 支持 请访问 我 们的技术 支持网 站 ，以获取防 病毒保护和网络 攻击 定 义 更新、 固 件更新、 产品文档更新，技 术支持信息，以及其 他 资源 。网 址 ： http:// support. fortinet. com 。 您 也 ?[...]

14 美国飞塔有限公司 客户服务和技术支持 简介[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 15 开始 本 章 描 述 了 有关 拆 包、安装及如何启动 FortiGat e 防病毒防火墙 的内容。 一 旦 完 成 此章 内容，您可 按 如 下 章 节进 行配置 : · 如果 要 在 NAT/ 路由 模式 下运 行 For tiGate, 请参 阅 第 31 [...]

16 美国飞塔有限公司 包装中的物品 开始 包装中的物品 FortiGa te-500 包装中含有以 下 物品： · FortiGat e-500 防病毒防火墙 · 一根 黄色 交 叉 连接以 太 网电 缆 · 一根 灰色普 通 以 太 网电 缆 · 一根 串 行 通 信电 缆 · FortiGat e-500 快 速 入 门 手册 · 一根电 源线 · ?[...]

开始 启动 Fort iGate-5 00 安装和配置指南 17 尺寸 · 16.75 x 12 x 1.75 英 寸 (42 .7 x 30. 5 x 4.5 厘米 ) 重量 · 11 磅 (5 公 斤 ) 电 源 要求 ·功 率需求 ： 180 W ( 最大 ) ·交流 输 入电 压 ： 100 至 240 VAC ·交流 输 入电 流 ： 4 A · 频 率 ： 47 至 63 Hz 运 行 环境 · 工 作 温 度 ： 32 ?[...]

18 美国飞塔有限公司 连接到基于 Web 的管理程序 开始 连接到基于 Web 的管 理程序 当 初 始启动 FortiG ate 时，可 按 如 下步骤 连接到基于 Web 的管理程序 。在基于 Web 的管理程序中所 做 的配置 修改 ， 无需 重 启动防火墙或中 断 服务 即 可 生 效 。 欲 连接到基于 W[...]

开始 连接到命令行接口 (CLI) Fort iGate-5 00 安装和配置指南 19 连接到命令行接 口 (CLI) 除了 基于 Web 的管理程序，您可使用 CLI 来 安装和设置 FortiGate 。在 CL I 中所 做 的配置 修改 ， 无需 重 启动 防火墙或中 断 服务 即 可 生 效 。 欲 连接到 CLI 上 ，您 需 具备如 下?[...]

20 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 FortiGate 出厂默认设置 FortiGa te 设备出厂时 已 经 根据默认的配置 方 式 进 行 了 设置 。 这 一默认设置 允 许您 连接到 FortiGa te 并 根据您的网络配置 FortiGate 设备。 要 将 FortiGat e 设备配置 为 在您的网络中工 作 ，?[...]

开始 Fort iGate 出厂默认设置 Fort iGate-5 00 安装和配置指南 21 出厂默认的透明模式的网络设置 如果您将 FortiGate 设备 切 换到透明模式，它具有 表 3 中所列出 的设置内容。 HA 接口 IP: 0.0.0 .0 网络 掩 码 ： 0.0.0.0 管理访问： Ping 接口 1 IP: 0.0.0 .0 网络 掩 码 ： 0.0.0.0 管理[...]

22 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 出厂时默认的防火墙配置 NAT/ 路由模式和透明模式具 有 相 同 的出厂默认的防火墙 配置。 管理访问 Intern al HTTPS, Pi ng Extern al Ping DMZ HTTPS, Pi ng 接口 1 Ping 接口 2 Ping 接口 3 Ping 接口 4 Ping 接口 5 Ping 接口 6 Ping 接口 7 Ping[...]

开始 Fort iGate 出厂默认设置 Fort iGate-5 00 安装和配置指南 23 出厂时默认的内容配置文件 您可以使用内容配 置文件 对 防火墙 策略 所 控制 的 通讯 内容 应 用不 同级 别 的保护设 置 方 式。您可以使用 内容配置文件设置以 下 项目： · HTTP, FTP, IMA P, POP3, 和 SMTP 网络 [...]

24 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 扫描型内容配置文件 使用扫描型内容配 置文件可以 对 HTTP 、 FTP 、 IMAP 、 POP3 和 SMTP 通讯 的内容 应 用 防病毒扫描。 同 时， 隔离功 能 也 被 启用 了 ， 并 适 用于所有 类 型的服务。在 FortiGate 设备中装备 了 一个[...]

开始 规划您的 Fort iGate 设备的配置 Fort iGate-5 00 安装和配置指南 25 非过滤型内容配置文 件 如果您不 希望 对通讯 内容 施 加 任 何内容保护，可以选 择 非过滤型内容配置 文件。您 可以在 控制 无须 保护的 通讯 类 型的防火墙 策略 上添加 这 一内容配置 文件，例?[...]

26 美国飞塔有限公司 规划您的 Forti Gate 设备的配置 开始 您所选 择 的 操作 模式 决 定 了 FortiGa te 的配置 方 式。 For tiGate 有 两种 配置 方 式： NAT/ 路由模式 （默认） ，或者透明模式。 NAT/ 路由模式 在 NAT/ 模式， FortiGate 在网络中 是 可 见 的。 此 时它 类似 于路[...]

开始 规划您的 Fort iGate 设备的配置 Fort iGate-5 00 安装和配置指南 27 您 必 须 将路由配置 为 支持 到 互联 网的 冗余 连接。 当 到外部网 络的 某 个连接 失效 时， 路由可以自动 地 将 所有连接 重 定 向 到其他可用 的外部网络连接 上 。 除 此 之外，安全 策略 的配?[...]

28 美国飞塔有限公司 Fort iGate 系列产品参 数最大值 列表 开始 配置选项 选 择了 透明模式或 NAT/ 路由模式 操作 之 后 ，您可以 继续 完成 您的配置 计 划， 并 开 始配置 FortiGa te 设备。 您可以使用基于 Web 的管理程序 上 的设置 向 导， 控制按钮 和 LCD 或命令行 界?[...]

开始 下 一 步 Fort iGate-5 00 安装和配置指南 29 下 一 步 至 此 ， FortiGa te 已 启动 并 正常 运 行，您可 继续 配置如 下 设置 ： · 如果 要 在 NAT/ 路由模式 下运 行 FortiGa te, 请参 阅 第 31 页 “ NAT/ 路由 模式 安装 ” 。 · 如果 要 在 透明 模式 下运 行 Forti Gate ，请参 ?[...]

30 美国飞塔有限公司 下 一 步 开始[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 31 NAT/ 路由 模式安装 本 章 说明 了 如何 进 行 Fort iGate NA T/Route( 路由 ) 模 式的安装。如果 要 在 透明模 式 下 安装 FortiGat e ，请参 阅 第 47 页 “ 透明模式安装 ” 。如果您 要 在 HA 模式 下 安装 两 ?[...]

32 美国飞塔有限公司 使用安装 向 导 NAT/ 路由 模式安装 DMZ 和用户定 义 的接口 如果您 希望 在安装 时 进 行配置，可使用 表 11 记 录 Fort iGate DM Z 接口的 IP 地 址 和子网 掩 码 。 HA 接口的配置 工 作 在 HA 安装过程中 完成 。 . 使用安装 向 导 您可以从基于 We b 的管[...]

NAT/ 路由 模式安装 使用 前面板控制按钮 和 LCD Fort iGate-5 00 安装和配置指南 33 2 根据 第 31 页 表 10 中所获得的信 息 进 行设置，选 “ 下 一 步 ” 按顺 序 逐 步完 成 安装 向 导的 若干 页 面 。 3 确 保您的 输 入 无 误 后按完成按钮 结束 。 重 连接到 基于 Web 的管?[...]

34 美国飞塔有限公司 使用命令行 界面 NAT/ 路由 模式安装 将 FortiGate 配置 为 在 NAT/ 路由模式 操作 使用您在 第 31 页 表 10 中 收 集 的信息 完成 以 下操作 。 配置 NAT/ 路由模式 IP 地址 1 如果您 还没 有 登 录， 首 先 登 录到 CLI 。 2 将内部网络接口的 IP 地址 和网络[...]

NAT/ 路由 模式安装 将 F ortiGat e 连接到网络中 Fort iGate-5 00 安装和配置指南 35 9 设置到默认路由的 默认网关的 IP 地址 。 set system route number < 路由 编 号 _ 整数 > dst 0.0.0.0 0.0.0.0 gw1 < 网关 IP 地址 > 例如 set system route number 0 dst 0.0.0.0 0.0.0.0 gw1 204.23.1.2 将 FortiGate ?[...]

36 美国飞塔有限公司 将 Forti Gate 连接到网络中 NAT/ 路由 模式安装 图 7: F ortiGa te-500 NA T/ 路由模式连接 用户定 义 接口的连接 按 以 下方 式连接 Fo rtiGate- 500 的用户定 义 接口 ： 1 将用户定 义 接口连 接到您所 要 连接的网 络的 交 换机或 集线器上 。 2 对 所有您 已[...]

NAT/ 路由 模式安装 配置网络 Fort iGate-5 00 安装和配置指南 37 图 8: FortiG ate-5 00 用户定 义 接口连接的例子 配置网络 如果在 NAT/ 路由模式 下运 行 Forti Gate, 您 需要 将网络设置 为 将所有 Inter net 流 通 路由到它们所连 接到的 FortiGate 接口的 IP 地址上 。 一 旦 FortiGat e ?[...]

38 美国飞塔有限公司 完成 配置 NAT/ 路由 模式安装 4 根据 需要 改 变 IP 地址 和子网 掩 码 。 5 单击 应 用 。 配置接口 1 到 8 按 照 如 下步骤 配置 8 个用户自定 义 接口： 1 登 录到 基于 Web 的管理程序 . 2 进 入 系统 > 网络 > 接口 。 3 选 择 一个用户定 义 接口 [...]

NAT/ 路由 模式安装 配置 举 例：到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 39 要 配置自动防病毒 和 攻击 定 义 更新， 请访问 第 95 页 “ 病毒防护定 义 和 攻击 定 义 更新 ” 。 配置 举 例：到 互联 网的多 重 连接 本 节 描 述 了 FortiGat e 设备使用多 重 ?[...]

40 美国飞塔有限公司 配置 举 例：到 互联 网的多 重 连接 NAT/ 路由 模式安装 图 9: 到 互联 网的多 重 连接的配置的例子 配置 Ping 服务 器 按 照 以 下步骤 将网关 1 设置 为 外部接口的 Ping 服务 器 ，将 网关 2 设置 为 DMZ 接口 的 Ping 服务 器 。 1 进 入 系统 > 网络 [...]

NAT/ 路由 模式安装 配置 举 例：到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 41 使用 CLI 1 将 ping 服务 器添加 到外部接口。 set system interface external config detectserver 1.1.1.1 gwdetect enable 2 Add a p ing serv er to the DMZ int erface. set system interface dmz config detectserver 2.2.2.1 gwdet[...]

42 美国飞塔有限公司 配置 举 例：到 互联 网的多 重 连接 NAT/ 路由 模式安装 第一 条 路由将所有的到 100.100.100.0 的 通讯 定 向 到外部接口 上 IP 为 1.1.1.1 的网 关 1 。如果 这 条 路由不 通 ，到 100.1 00.100.0 的网络的 通讯 将 被重 定 向 到 DMZ 接口 上 IP 地址为 2.2.2.1 ?[...]

NAT/ 路由 模式安装 配置 举 例：到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 43 4 单击 新 建 以 添加 到 ISP2 的网络的路由。 · 目的 IP: 0.0.0.0 · 掩 码 : 0.0.0 .0 · 网关 #1: 1.1.1.1 · 网关 #2: 2.2.2.1 · 设备 #1: dmz · 设备 #2: 外部 ·单击 确 定。 5 将路由表中的路由 ?[...]

44 美国飞塔有限公司 配置 举 例：到 互联 网的多 重 连接 NAT/ 路由 模式安装 只 有您 已 经定 义了 类似 于在 前面 章 节 中描 述 的目的路由之 后 ，在 这 些 例子 中描 述 的 策略 路由 才 能 正常 工 作 。 · 将 通讯 从内部子网路由 到不 同 的外部网络 · 路由到外[...]

NAT/ 路由 模式安装 配置 举 例：到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 45 按 以 下步骤添加冗 余 的默认 策略 ： 1 进 入 防火墙 > 策略 > 内部 ->DMZ 。 2 单击 新 建 。 3 根据默认 策略 配置 相 应 的 策略 。 4 单击 确 定以保 存 您所 做 的 修改 。 [...]

46 美国飞塔有限公司 配置 举 例：到 互联 网的多 重 连接 NAT/ 路由 模式安装[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 47 透明模式安装 本 章 说明 了 如何 进 行透明模式的安装。如果 要 在 FortiGate NAT/ 路由模式 下 安装 FortiGa te ，请 参 阅 第 31 页 “ NAT/ 路由 模式安装 ” 如果您 要 在 HA 模式 下 安装 两 个或多个 Forti[...]

48 美国飞塔有限公司 使用 前面板控制按钮 和 LCD 透明模式安装 切 换到透明模式 当 首 次 连接到 FortiGate 时，它 被预 设在 NAT/ 路由模式 下运 行。 欲 切 换 为 透明模 式 需 使用基于 Web 的 管理程序 : 1 进 入 系统 > 状态 。 2 单击 更 改 以 切 换到透明模式。 3 在[...]

透明模式安装 使用命令行接口 Fort iGate-5 00 安装和配置指南 49 5 按回 车 并 设置内部子网 掩 码 。 6 在 输 入 完最后 一 位 子网 掩 码地址后按回 车 。 7 按 退 出（ Esc ） 返回主 菜 单 。 8 如 需要 ， 重复 如 上步骤 来 设置 缺省 网关。 使用命令行接口 除了 使用?[...]

50 美国飞塔有限公司 完成 配置 透明模式安装 完成 配置 根据用本 节 内容 来 完成 FortiGate 的 初 始配置。 设置日 期 和时 间 为了 有 效 的安 排 日程和 记 录日志， FortiGate 的日 期 和时 间 必 须 精 确 。 您可手动 设置时 间 ，或 通 过配置 FortiGate 来 自动 与 网络[...]

透明模式安装 将 Fort iGate 连接到网络中 Fort iGate-5 00 安装和配置指南 51 FortiGa te-500 有 十 二 个 1 0/100 Bas eTX 接口： · 内部接口，用于 连接到您的内部网络 ， · 外部接口 , 用于连接到 您的公 共 交 换机或 集线器 和 互联 网， · DMZ 接口 , 用于连接到其他网络， · HA[...]

52 美国飞塔有限公司 透明模式配置的例子 透明模式安装 透明模式配置的 例子 运 行于透明模式的 FortiGate 也需要 一个基本配 置，以 成为 IP 网络中的 一个 结 点。 至少 ， FortiG ate 必 须 配置一个 IP 地址 和子网 掩 码 。它们可以用 来 对 FortiGate 进 行管理访问， ?[...]

透明模式安装 透明模式配置的例子 Fort iGate-5 00 安装和配置指南 53 图 11: 到外部网络的默认路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 配置 FortiGat e 的管理 IP 地址 和网络 掩 码 。 3 配置到外部网络的 默认路由。[...]

54 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序配置 步骤 的例子 使用基于 Web 的管理程序配置基本 的透明模式设置和默 认路由： 1 进 入 系统 > 状态 。 · 选 择切 换到透明模式。 · 在 操作 模式列表中选 择 透明。 ·单击 确 定。 For[...]

透明模式安装 透明模式配置的例子 Fort iGate-5 00 安装和配置指南 55 图 12: 到外部 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 配置 FortiGat e 的管理 IP 地址 和网络 掩 码 。 3 配置到 FortiRe sponse 服务 器 的 静态 路由。 4 配置到外部网络的 默认[...]

56 美国飞塔有限公司 透明模式配置的例子 透明模式安装 2 进 入 系统 > 网络 > 管理 。 ·修改 管理 IP 地址 和网络 掩 码 ： IP: 192.1 68.1.1 掩 码 : 255.255.2 55.0 ·单击 应 用。 3 进 入 系统 > 网络 > 路由 。 · 选 择 新 建 添加 到 Fo rtiRespon se 服务 器 的 静态 路由?[...]

透明模式安装 透明模式配置的例子 Fort iGate-5 00 安装和配置指南 57 图 13: 到内部目的 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 切 换到透明模式。 2 配置 FortiGat e 的管理 IP 地址 和网络 掩 码 。 3 配置到内部网络中 的管理工 作 站 的 静态 路由。 4 配置到外部?[...]

58 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序的配置 步骤举 例 要 使用基于 Web 的管理程序 配置 FortiGat e 基本设置、 静态 路 由和默认路由： 1 进 入 系统 > 状态 。 · 选 择切 换到透明模式。 · 在 操作 模式列表中选 择 透明模 式?[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 59 高可用性 Fortine t 通 过使用 冗余 的 硬 件 设备和 FortiG ate 聚 合 协议 （ FGCP ） 实 现高可用性 （ HA ）的目标。 HA 簇 中的 FortiGate 设备全部使用 完 全 相 同 的安全 策略 ， 并 共享 同样 的设置内容[...]

60 美国飞塔有限公司 主 动 - 主 动 HA 高可用性 主 FortiGat e 设备 通 过 FortiGa te HA 接口 向 附 属 设备发送会 话 信息。在 同 一个 HA 簇 中的所有设备 共 同 维 护 所有的会 话 信息。如 果 主 FortiGat e 设备 失效了 ， 附 属 设备 会 互 相协 商选出一个新的 主 设备 。新[...]

高可用性 NAT/ 路由模式 下 的 HA Fort iGate-5 00 安装和配置指南 61 在 失效恢复期间 ， HA 组 会 通 知 附 近 的网络 设备，以使得 整 个网 络可以 迅 速地转 换 到新的 数 据路 径 中 。新的 主 设备 还 会将 HA 簇 中发 生 的 变 动 通 知 管理 员 。它会在它自 己 的 事 件?[...]

62 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 6 单击应 用。 现在您 已 经 完成了对 HA 接口的 配置，可以 进 入 下 一 步 “ 配置 HA 簇 ” 。 配置 HA 簇 按 照 以 下步骤 配置 HA 簇 中的 FortiGate 。 对 于 HA 簇 中的 每 一 台 FortiGa te 都 需 重 复 这 些步骤 。 1 连[...]

高可用性 NAT/ 路由模式 下 的 HA Fort iGate-5 00 安装和配置指南 63 8 在 端 口 监视器 的选项中，选 择 要 监视 的的 FortiGate 网络接口的 名 称 。 监视 FortiGat e 接口可以 确 认它们 是 否 已 经连接 到他们的网络 上并 且 工 作 正常 。如果 一个 被监视 的接 口 失效 或者?[...]

64 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 无 论 您将 FortiGat e 设备配置 为主 动 - 主 动 HA 模式 或 主 动 - 被 动 HA 模式，所 需 的 网络设备和配置的 步骤 都十 分 相似 。 以 下操作 用于 把 FortiGat e 连接到您的网络 上 ： 1 将 每 一 台 FortiGat e 的内部网络[...]

高可用性 透明模式 下 的 HA Fort iGate-5 00 安装和配置指南 65 启动 HA 簇 将 HA 簇 中的全部 FortiGate 设备 都 配置 为 HA 并 且 将 这 个 簇 连接 起 来 之 后 ，可以使 用以 下操作 启动 HA 簇 。 1 为簇 中的所有 HA 设备 加 电。 在设备启动过程中 ，它们将 协 商以选出 主簇[...]

66 美国飞塔有限公司 透明模式 下 的 HA 高可用性 4 根据 需要 修改 IP 地址 和子网 掩 码 。 5 可以选 择 配置其他 接口的管理访问 方 式。 6 单击应 用。 现在您 已 经 完成了对 HA 接口的 配置，可以 进 入 下 一 步 “ 配置 HA 簇 ” 。 配置 HA 簇 在将 HA 簇 连接到您的[...]

高可用性 透明模式 下 的 HA Fort iGate-5 00 安装和配置指南 67 8 在 端 口 监视器 的选项中，选 择 要 监视 的的 FortiGate 网络 端 口。 监视 FortiGat e 接口可以 确 认它们 是 否 已 经连接 到他们的网络 上并 且 工 作 正常 。如果 一个 被监视 的接 口 失效 或者从它的网络 [...]

68 美国飞塔有限公司 管理 HA 组 高可用性 无 论 将 FortiGa te 设备配置 为主 动 - 主 动模式 HA 或者 主 动 - 被 动模式 HA ，网络设 备连接和 下面 的 操 作步骤 都 完 全 相 同 。 以 下操作 用于 把 FortiGat e 连接到您的网络 上 ： 1 将 每 一 台 FortiGat e 的内部网络接口 都[...]

高可用性 管理 HA 组 Fort iGate-5 00 安装和配置指南 69 查看 HA 簇成员状态 按 以 下步骤查看 HA 簇成员 的 状态 ： 1 连接到 HA 簇 中， 登 录基于 Web 的管理程序。 2 进 入 系统 > 状态 > 簇成员 。 基于 Web 的管理程序 显示了 这 个 HA 簇 中的 FortiGat e 设备的序列号。 ?[...]

70 美国飞塔有限公司 管理 HA 组 高可用性 图 18: 簇 会 话数 和网络 显示 的例子 4 选 择 病毒和入侵。 显示 出 每 个 簇成员 的病毒和入侵 状态 。 主 设备的 识别 标志 是 本 地 ，其他设备根据 他们 的序列号列出。 显示 的内容 还 包 括当 前 每 小 时检测到的病毒 [...]

高可用性 管理 HA 组 Fort iGate-5 00 安装和配置指南 71 2 进 入 日志和报告 > 记 录日 志。 显示主 设备 通讯 日志、 事 件日志、 攻击 日志、病毒防护日志 、网页过滤日志和电 子邮 件日志。 右 上 角 的 下 拉 列表 控制 着 要 显示 的日志 类别 。 主 设备的 识别 标?[...]

72 美国飞塔有限公司 管理 HA 组 高可用性 同步簇 配置 当运 行于 簇 模式的时 候 ， 为了 达 到 较 好 的 效 果， 必 须确 保 簇 中的全部设备的配置始 终 同步 。您可以在 主 设备 上对 配置 做 修改 ， 然 后 在 HA 簇 中的 每 个 附 属 设备 上 使用 execute ha synchronize ?[...]

高可用性 高 级 HA 选项 Fort iGate-5 00 安装和配置指南 73 一 旦 重 新配置或者更换 了 新的 FortiGate 设备， 需要 改 变 它的 HA 配置以 与 原来 失 效 的 FortiGat e 的配置 相 匹 配。 然 后把 它 重 新连接到网 络中。 这 个 FortiGate 将自动 地加 入 HA 组 中。 高 级 HA 选项 可[...]

74 美国飞塔有限公司 高 级 HA 选项 高可用性 这 个命令有以 下 结 果： · 第一个连接由 主 设备处 理 ·下面 的 三 个连接由第一 个 附 属 设备处理 · 在 下面 的 三 个连接由第 二 个 附 属 设备 处理 附 属 设备将 比 主 设备处理更多的连接， 而 两 个 附 属 设备处?[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 75 系统 状态 您可以连接到基于 Web 的管 理程序 进 入系统 > 状态 以 查看 您的 FortiGat e 设备的 当前状态 。 显示 的 状态 信息包 括当 前 的 固 件版本， 当前 的病毒防护定 义 和 攻击 定 义 以 及 Fo[...]

76 美国飞塔有限公司 修改 Forti Gate 主 机 名 系统 状态 修改 FortiGate 主 机 名 FortiGa te 设备的 主 机 名显示 在系统 > 状态 页和 Fort iGate CL I 提 示 符 中。 主 机 名 也 被 用 做 SNMP 系统 名 （ 见 第 137 页 “ 配置 SNMP ” ） 。 默认的 主 机 名是 FortiGate- 500 。 按 如 ?[...]

系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 77 2 使用 admin 管理 员帐 号 登 录到基于 Web 的管理程 序。 3 进 入 系统 > 状态 。 4 单击 固 件 升级 。 5 输 入 固 件 升级 文件的文件 名 ，或者 单击 浏 览 然 后 定 位那 个 文件。 6 单击 确 定。 FortiGa te [...]

78 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 9 要确 认病毒防护定 义 和 攻击 定 义是 否 已 经 被 更新 ， 输 入以 下 命令 显示 病毒防护 引 擎 、 病毒和 攻击 定 义 的版本， 合同 有 效期 和 最 新更新信息。 get system objver 恢复 到一个 旧 的 固 件版本 按 照[...]

系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 79 您可以在 进 行 这 一 操作 之 前先进 行： · 使用命令 execute backup config 备 份 FortiGate 设备的配置。 · 使用命令 execute backup nidsuserdefsig 备 份 NIDS 用户定 义 的特 征 。 · 备 份 网页内容和电子邮 件过滤列?[...]

80 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 10 使用 第 99 页 “ 手工更新病毒防护定 义 和 攻击 定 义 ” 中描 述 的 步骤 更新病毒防护 定 义 和 攻击 定 义 ，或从 CLI 输 入 execute updatecenter updatenow 11 要确 认病毒防护定 义 和 攻击 定 义是 否 已 经 被 更新 ，[...]

系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 81 6 输 入以 下 命令 重 新启动 FortiGate ： execute reboot 在 FortiGat e 设备启动过程中，将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 ： ·运 行 v2.x 版 BIOS 的 F ortiGate 设备 Press Any Key To Download [...]

82 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 ， 并 会出现 类似 以 下消 息： ·运 行 v2.x 版 BIOS 的 Forti Gate 设备 Do You Want To Save The Image? [Y/n] 输 入 Y 。 ·运 行 v3.x[...]

系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 83 4 确 认 FortiGat e 的内部接口和 TFTP 服务 器 连接到内部网络 上 。 确 认您可以从 FortiGate 连接 到 TFTP 服务 器上 。具 体 方 法 是 使用以 下 命令 ping 运 行 TFPT 服务的电 脑 。例如，如 果 TFTP 服务 器 的 IP ?[...]

84 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 ， 并 会出现 类似 以 下消 息： ·运 行 v2.x 版 BIOS 的 Forti Gate 设备 Do You Want To[...]

系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 85 5 输 入以 下 命令 重 新启动 FortiGate ： execute reboot 在 FortiGat e 设备启动过程中，将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 ： Press any key to enter configuration menu..... ...... 6 立 刻 按 任?[...]

86 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 2 输 入以 下 命令 重 新启动 FortiGate ： execute reboot 在 FortiGat e 设备启动过程中，将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 ： Press any key to enter configuration menu..... ...... 3 立 刻 按 任意 键 中 ?[...]

系统 状态 手动更新病毒防护定 义库 Fort iGate-5 00 安装和配置指南 87 如果您 成功地 中 断 了 启动 过程，将 显示下面 的 消 息之 一： [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot with default firmwa[...]

88 美国飞塔有限公司 显示 Forti Gate 的序列号 系统 状态 5 单击 确 定 将 攻击 定 义库 文件 上载 到 FortiGate 。 FortiGa te 将更新新的 攻击 定 义库 ， 整 个过程将持 续 约 1 分 钟 。 6 进 入 系统 > 状态 查 看攻击 定 义库 的信息 ， 确 认它 已 经 被 更新 了 。 显示 Fo[...]

系统 状态 将系统设置 恢复 到出厂设置 Fort iGate-5 00 安装和配置指南 89 2 选 择 系统设置 恢复 。 3 输 入系统设置文件 的 名 称 和路 径 ，或者 单击 浏 览 然 后 在 浏 览 器 中定 位 文件。 4 单击 确 定 将系统设置文件 恢复 到 FortiGa te 上 。 FortiGa te 将 上载 系统设?[...]

90 美国飞塔有限公司 转 换到 NAT/ 路由模式 系统 状态 转 换到 NAT/ 路由模式 使用如 下操作 可以 将 FortiGa te 设备从透明模式 转 换到 NAT/ 路由模式。 当 FortiGa te 设备 改 到 NAT/ 路由模式式之 后 ，它的配置将 被 设置 为 NAT/ 路由模式的 默认 配置。 1 进 入 系统 > ?[...]

系统 状态 系统 状态 Fort iGate-5 00 安装和配置指南 91 您可以设置一个自 动更新时 间间隔 每 过 一段时 间 就 更新 当前 的 显示 。 这 个时 间间隔 可以从 5 秒 到 30 秒 。您 还 可以手工 刷 新 显示 的内容。 · 查看 CPU 和内 存状态 · 查看 会 话 和网络 状态 · 查看 ?[...]

92 美国飞塔有限公司 系统 状态 系统 状态 查看 会 话 和网络 状态 使用会 话 和网络 状态显示 可以 跟踪 FortiGate 设备 正 在处理的网络会 话并查看 可用 网络 带宽 上 的会 话数 量 。 另 外 通 过 对 比 CPU 、内 存 使用 率 和网络、会 话状态 ，您 可以 知 道 系统 资[...]

系统 状态 会 话 列表 Fort iGate-5 00 安装和配置指南 93 2 单击 病毒和入侵。 显示 病毒和入侵 状态 。 显示 的内容包 括 以 条 形 图 方 式 显示 的 每 小 时检测到 的病毒和入 侵 数量 ，以及过 去 20 小 时内的 病毒和入侵 数量 统 计 曲 线 。 3 设置自动 刷 新的时 间?[...]

94 美国飞塔有限公司 会 话 列表 系统 状态 会 话 列表中的 每 一行 显示了 以 下 信息： 图 4: 会 话 列表 举 例 协议 连接的服务 类 型或者 协议类 型。例如 TCP 、 UDP 、 ICMP 源 IP 连接的 源 IP 地址 。 源端 口 连接的 源端 口。 目的 IP 连接的目的 IP 地址 。 目的 端 ?[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 95 病毒和 攻击 定 义升级 及注册 您可以将 FortiGate 设备配置 为 连接到 Fo rti 响应 发布网络 (FDN) 并 自动更新病毒 防护定 义 和 攻击 定 义 ，以及病毒防护 引 擎 。您 可以使用以 下 更新选项： · 从 F[...]

96 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 本 节 描 述 了 以 下 内容： · 连接到 Forti 响应 发布网络 · 配置 周期 性更新 · 配置更新日志 · 添加后 备服 务 器 · 手工更新病毒防 护定 义 和 攻击 定 义 · 配置 推 送更新 ·[...]

病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 97 配置 周期 性更新 您可以将 FortiGate 设备配置 为 根据您指定的时 间 表， 每 小 时、 每 天 、 每 周 检 查并 下载 病毒防护定 义 和 攻击 定 义 的更新。 1 进 入 系统 >[...]

98 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 图 1: 配置病毒防护和 攻击 定 义 自动更新 配置更新日志 使用如 下步骤 配置 FortiGate 日 记记 录可以在 FortiGat e 设备更新病毒防护 和 攻击 定 义 的时 候 记 录日志 消 息。更新?[...]

病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 99 3 单击应 用。 FortiGa te 设备将测 试 到 这 个 后 备服务 器 的连接。 如果 Forti 响应 发布网络的 修改是 正确 的， FortiGat e 设备 应当 可以连接到 后 备服务 器 。 如果 Fo[...]

100 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 不 建 议 将启用 推 送更新 作为 唯 一的获取更新的 方 式。 FortiGate 设备可能 无法收 到 推 送更新。 同样 ， 当 FortiGa te 设备接 收 到一个更新 通 报的的时 候 ，它 只 尝 试 一 [...]

病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 101 图 2: 网络 拓扑结 构举 例： 通 过一个 NAT 设备的 推 送更新 一 般 配置 步骤 使用以 下步骤 配置 FortiGate NAT 设备和内部网 络中的 FortiG ate 设备，使得 内部 网络中的 Fo[...]

102 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 按 照 如 下步骤 配置 FortiGate N AT 设备： 1 进 入 防火墙 > 虚拟 IP 。 2 单击 新 建 。 3 为 虚拟 IP 地址添加 一个 名 称 。 4 选 择 FDN 连接到的外部接口 。 对 于例子中的 拓扑 ?[...]

病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 103 按 照 如 下步骤 配置 FortiGate N AT 设备： 1 添加 一个新的外部 到内部的防火墙 策略 。 2 使用如 下 设置配置 策略 ： 3 单击 确 定。 使用一个 代 理 IP 地址 和 端 口配?[...]

104 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 通 过 代 理服务 器 定 期 更新 如果您的 FortiGate 设备 必 须 通 过一 个 代 理服务 器 才 能连接到 互联 网 ，您可以使用 set system autoupdate tunneling 命 令使得 Forti Gate 设备 可 以使用 这 个 代 理 ?[...]

病毒和 攻击 定 义升级 及注册 注册 Fort iGate 设备 Fort iGate-5 00 安装和配置指南 105 很 快 您将可以获得 如 下 服务： · 访问 Fortine t 用户文档 · 访问 Fortine t 知识 库 ·下载固 件 升级 所有注册信息 存 储 在 Fortinet 客户支持 数 据 库 中。 这 些 信息用 来确 保您所注?[...]

106 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 1 进 入 系统 > 更新 > 支持。 2 在产品注册 单 中 输 入您的 联 系信 息。 图 5: 注册 FortiG ate 设备 （ 联 系信息和安全提 示 问 题 ） 3 提 供 一个安全提 示 问 题 和 这 个问 题 的 答案 。 4 ?[...]

病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-5 00 安装和配置指南 107 更新注册信息 您可以在任何时 间 使用您 的 Fortine t 支持用户 名 和 密码 登 录到 Fortinet 支持网 站 以 查看 和更新您的 Fortinet 支持信息。 本 节 描 述 了 以 下 内容： · 找回丢失 的 Fortine[...]

108 美国飞塔有限公司 更新注册信息 病毒和 攻击 定 义升级 及注册 图 7: 注册的 FortiG ate 设备列表 举 例 注册一个新的 FortiGate 设备 1 进 入 系统 > 更新 > 支持 单击 支持 登 录。 2 输 入您的 Fortinet 支持用户 名 和 密码 。 3 单击 登 录。 4 单击添加 注册。 5 选 ?[...]

病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-5 00 安装和配置指南 109 修改 您的 Fortinet 支持 密码 1 进 入 系统 > 更新 > 支持 并单击 支持 登 录。 2 输 入您的 Fortinet 支持用户 名 和 密码 。 3 单击 登 录。 4 单击 我 的配置文件。 5 单击修改密码 。 6 输 ?[...]

110 美国飞塔有限公司 RMA 之 后 注册 Fo rtiGate 设备 病毒和 攻击 定 义升级 及注册 图 8: 下载 病毒和 攻击 定 义 更新 关于如何安装 下载 的文件的 详 细 信息，请 见 第 87 页 “ 手动更新病毒防护 定 义库 ” 和 第 87 页 “ 手动更新 攻击 定 义库 ” 。 RMA 之 后 注册 F[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 111 网络配置 进 入 系统 > 网络 可以 对 FortiG ate 网络 做 如 下 设置： · 配置 区域 · 配置网络接口 · 配置虚拟 局域 网（ VLAN ） · 配置路由 · 在您的内部网络 中提 供 DHCP 服务 配置 区域 在 NAT/ 路?[...]

112 美国飞塔有限公司 配置 区域 网络配置 4 您可以选 择阻塞区 域 内部 通讯功 能以 阻塞 在 同 一 区域 中的 两 个网络 接口之 间 的 通讯 。 5 单击 确 定以 添加区域 。 这 个 区域 现在将 显示 在防火墙 策略 网 格 中。 在 区域 中 添加 接口 您可以在一个 区域 中[...]

网络配置 配置网络接口 Fort iGate-5 00 安装和配置指南 113 配置网络接口 按 照 以 下步骤 配置 FortiGate 的网络接口： · 查看 接口列表 · 启动一个接口 · 修改 一个接口的 静态 IP 地址 · 为 接口 添加 第 二 个 IP 地址 · 为 接口 添加 ping 服务 器 · 控制 到接口的管理访[...]

114 美国飞塔有限公司 配置网络接口 网络配置 4 单击 确 定以保 存 您所 做 的 修改 。 如果您 修改了 你 用 来 连接 到 FortiGa te 设备 进 行管理 操作 的接口的 IP 地址 ，您 必 须 使用新的 IP 地址重 新连接到基于 Web 的管理程序 。 为 接口 添加 第 二 个 IP 地址 您可?[...]

网络配置 配置网络接口 Fort iGate-5 00 安装和配置指南 115 配置 对 一个连接到 互联 网 的接口的管理访问 方 式将 允 许从 互联 网中的任何 地方对 这 个 FortiGa te 设备 进 行 远 程管理。 允 许 来 自 互联 网的 对 您的 FortiGate 设备的 远 程管理可 能会 危 及您的设备的[...]

116 美国飞塔有限公司 配置虚拟 局域 网（ VLA N ） 网络配置 4 设置 MTU 尺寸 。 可以将 最大 的 数 据包 尺寸 设定在 68 字 节 到 1500 字 节 之 间 。默认的 MTU 尺寸 是 1500 字 节 。您可以 试 着减 小 MT U 的 尺寸 以 找 到网络性能 最 高的 时 对应 的 MTU 尺寸 。 配置管理[...]

网络配置 配置虚拟 局域 网（ VL AN ） Fort iGate-5 00 安装和配置指南 117 在标 准 的 VLAN 配置 里 ，一 组 物理网络可以连 接到一个服从 IEEE 802. 1Q 标 准 的路 由 器 。 这 个路由 器被 配置 为 可以在它从 网络 上 接 收 到的 数 据包 上添加 VLAN ID ，可以 把 这 些数 据包?[...]

118 美国飞塔有限公司 配置虚拟 局域 网（ VLA N ） 网络配置 您可以将 VLAN 子网络接口 添加 到物理接口 上 。您可以在 每 个 FortiGate 设备 上添 加超 过 1000 个 VLAN 子接口。 VLAN ID 的规 则 添加 到 同 一物理接口的 两 个 VLAN 子接口不能 有 相 同 的 VLAN ID 。 然 而 ，您[...]

网络配置 配置路由 Fort iGate-5 00 安装和配置指南 119 图 10: 添加 VLAN 子接口 9 单击 确 定 以保 存 您所 做 的 修改 。 . FortiGa te 会 把 新的子网络接口 添加 到您在 步骤 4 中选 中的网络接口 上 。 配置路由 本 节 描 述 了 如何配置 FortiGate 的路由。您可以将路由配置 ?[...]

120 美国飞塔有限公司 配置路由 网络配置 添加 默认路由 以 下操作 将 为 外部网络接 口 向 外发出的 数 据设 定一个默认的路由。 1 进 入 系统 > 网络 > 路由 表 。 2 单击 新 建 。 3 将 源 IP 地址 和 子网 掩 码 设置 为 0.0.0. 0 。 4 将 目的 IP 地址 和 子网 掩 码 ?[...]

网络配置 配置路由 Fort iGate-5 00 安装和配置指南 121 添加 路由 （透明模式） 以 下操作 用于 FortiGate 在透明模式 运 行时 添加 路由： 1 进 入 系统 > 网络 > 路由 。 2 单击 新 建 以 添加 新的路由。 3 输 入 这 个路由的 目的 IP 地址 和 子网 掩 码 。 4 输 入 这 个?[...]

122 美国飞塔有限公司 在您的内部网络中提 供 DHCP 服务 网络配置 策略 路由 策略 路由 拓 展 了 目的路由的 功 能。您可 以使用 策略 路由根据 以 下 内容路由 通讯 ： ·源地址 · 协议 、服务 类 型或 端 口范 围 ·进 入的或 源 接口 您可以使用 策略 路由 创建 一个?[...]

网络配置 在您的内部网络中提 供 DHCP 服务 Fort iGate-5 00 安装和配置指南 123 exclusionrange {< 起 点 i p 1 - 终 点 ip 1 > | none} [{< 起 点 ip 2 - 终 点 ip 2 >| none}] [{< 起 点 ip 3 - 终 点 ip 3 > | none}] [{< 起 点 ip 4 - 终 点 ip 4 > | none}] 最 多可以 输 入 4 个 IP 地址排?[...]

124 美国飞塔有限公司 在您的内部网络中提 供 DHCP 服务 网络配置[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 125 RIP 配置 FortiGa te 路由信息 协议 （ RIP ） 实 现支持 RIP 版本 1 （ RFC10 58 所定 义 ）和 RIP 版本 2 （ 也称做 RIP2 ， RFC2453 所定 义 ）。 RIP2 启用 了 RIP 消 息从 而 能 够承 载 更多信 息和支持简 单 的认[...]

126 美国飞塔有限公司 RIP 设置 RIP 配置 RIP 设置 配置 RIP 设置以启用基本的 RI P 功 能和 度 量 ，以及配置 RIP 计 时 器 。 1 进 入 系统 >RIP> 设置。 2 单击 启用 RIP 服务 器 以将 FortiG ate 设备配置 为 一个 RIP 服务 器 。 3 单击 启用 广 告默认 值 以使得 Fort iGate 设备[...]

RIP 配置 为 FortiG ate 接口配置 RIP Fort iGate-5 00 安装和配置指南 127 图 1: 配置 RIP 设置 为 FortiGate 接口配置 RIP 您可以 为 每 个 FortiGate 接口 和 VLAN 子网络接口 创建 一个 单独 的配置。 这 样 一 来 您 就 可以 为 您的 Forti Gate 设备的 每 个接口和 VLAN 子网络接口 上 所连[...]

128 美国飞塔有限公司 为 Forti Gate 接口配置 RIP RIP 配置 4 单击 确 定一保 存 选定接口 上 的 RIP 配置。 图 2: 一个内部接口 上 的 RIP 配置的例子 RIP1 发送 本接口可以将 RI P1 路由 广 播发送到 此 网络 上 的其他路由 器 。路由信息 是 目的 端 口 为 520 的 UDP 数 据包。 R[...]

RIP 配置 添加 RIP 邻居 Fort iGate-5 00 安装和配置指南 129 添加 RIP 邻居 添加 RIP 邻居 可以定 义 用于 交 换路由信息的 邻 近 的路由 器 。将 邻居添加 到非 广 播网 络中。 当 您 添加邻居 的时 候 ， Forti Gate 设备 与邻居 直 接 交 换信息， 而 不 是 依 赖 于 广 播路 由?[...]

130 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置 本 节 叙 述 了 如 下 内容： · 添加单 一 RIP 过滤 器 · 添加 一个 RIP 过滤列表 · 添加 一个 邻居 过滤 器 · 添加 一个路由过滤 器 添加单 一 RIP 过滤 器 添加单 一 RIP 过滤 器 可以过滤 单 一过滤。 您可以 对邻居 过滤 ?[...]

RIP 配置 添加 RIP 过滤 器 Fort iGate-5 00 安装和配置指南 131 7 单击 确 定以将路由 前 缀 添加 到 这 个过滤 器 。 8 重复步骤 5 到 7 将路由 前 缀 添加 到 这 个过 滤 器 。 添加 一个 邻居 过滤 器 您可以将一个 RI P 过滤 器 或者 RIP 过滤 器 列表设置 为邻居 过滤 器 。 1 ?[...]

132 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 133 系统配置 进 入 系统 > 配置 可以 对 FortiG ate 系统配置 做 以 下改 动： · 设置系统日 期 和时 间 · 更 改 基于基于 Web 的管理程序的选项 · 添加 和 编辑 管理 员帐 号 · 配置 SNMP · 定 制替 换信?[...]

134 美国飞塔有限公司 更 改 基于基于 Web 的管理程序的选项 系统配置 图 1: 日 期 和时 间 设置的例子 更 改 基于基于 Web 的管理程序的选 项 在 系统 > 配置 > 选项页，您可以： · 设置系统 空闲 超 时。 · 设置认证 超 时。 · 选 择 基于 Web 的管理程序所用 的 语[...]

系统配置 添加 和 编辑 管理 员帐 号 Fort iGate-5 00 安装和配置指南 135 选 择 基于 Web 的管理程序所用的 语 言 1 在 语 言 列表中选 择 基于 Web 的管理程序使用的 语 言 。 2 单击应 用。 您可以选 择 英 文、简 体 中 文、日文、 韩 文或 繁 体 中文。 为 LCD 控制面板 设?[...]

136 美国飞塔有限公司 添加 和 编辑 管理 员帐 号 系统配置 添加 新的管理 员帐 号 使用 admin 帐 号 按 照 以 下步骤 可以在 FortiGate 中 添加 新的管理 员帐 号和设定他们 的权限： 1 进 入 系统 > 配置 > Admin 。 2 单击 新 建 以 添加 新的管理 员帐 号。 3 输 入管理 [...]

系统配置 配置 SNMP Fort iGate-5 00 安装和配置指南 137 7 ( 可选的） 输 入 受 信任 主 机的的 IP 地址 和 网络 掩 码 ，从 而 允 许 这 个管 理 员 用 来 访 问基于 Web 的管理程 序。 如果您 希望 管理 员 可以从任何 地方 访问 FortiGate ， 就 把 受 信任 主 机的 IP 地址 设置 ?[...]

138 美国飞塔有限公司 配置 SNMP 系统配置 4 单击应 用。 图 2: SNMP 配置的例子 FortiGate 管理信息 库 （ MIB ） FortiGa te SNMP 代 理支 持 Fort iGate 私 有 M IB 也 支持标 准 的 RFC 1213 和 RFC 2665 MI B 。 表 1 中列出 了 FortiGate MIB 。您可以从 Fortine t 技术支持获得 这 些 MIB 文件。 ?[...]

系统配置 定 制替 换信息 Fort iGate-5 00 安装和配置指南 139 FortiGate 陷阱 FortiGa te SNMP 代 理 最 多可以 向 三 个 SNMP 陷阱 接 收 器 发送 陷阱消 息。 这 些陷 阱 接 收 器 必 须 是 在您的网络中 的 并 且已 经配置 为 可接 收 从 FortiG ate 发出的 陷阱消 息。 为 了 使 这 些[...]

140 美国飞塔有限公司 定 制替 换信息 系统配置 本 节 描 述 了 以 下 内容： · 定 制替 换信息 · 定 制 报 警 邮件 图 3: 替 换信息的例子 定 制替 换信息 替 换信息列表中的 每 个 替 换信息由不 同 的 几 个部 分组成 。您可以 利 用 这 些 部 分 的 组 合创建 您自 己[...]

系统配置 定 制替 换信息 Fort iGate-5 00 安装和配置指南 141 定 制 报 警 邮件 定 制 报 警 邮件可以 控制 发送 给 系统管理 员 的报 警 邮件的内容 。 1 进 入 系统 > 配置 > 替 换信息。 2 对 于您 要 定 制 的报 警 邮件 信息， 单击修改 。 3 在 消 息设置 对话 框 ， [...]

142 美国飞塔有限公司 定 制替 换信息 系统配置 阻塞 事 件 用于文件 阻塞 报 警 邮件 消 息 片 段开始 <**BLOCK_ALERT**> 允 许的标 签 %%FILE %% %%PROTOCOL%% 被阻塞 的文件所用的服务。 %%SOURCE_IP%% 接 收 被阻塞 的文件时的 源 IP 地址 。 对 于电子邮件， 这 个 IP 地址是 ?[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 143 防火墙配置 防火墙 策略控制 着 所有 通 过 FortiGate 设备的 通讯 。防火墙 策略是 Forti Gate 设备 用 来 决 定如何处理一个连 接请 求 的一系列指令。 当 防火墙 收 到一个 数 据包内的连 接请 求 时?[...]

144 美国飞塔有限公司 默认防火墙配置 防火墙配置 默认防火墙配置 防火墙 策略控制 接口之 间 的连接。默认 情况 下 ，您内 部网络中的用户可以 通 过 FortiGa te 设备连接到 互联 网。防火墙 阻塞 其他所有的连接 。防火墙 被 配置 为 用一 条 默 认 策略匹 配从内部[...]

防火墙配置 默认防火墙配置 Fort iGate-5 00 安装和配置指南 145 要 在 区域 中 添加策略 ，您 必 须 使用以 下步骤 将 区域添加 到防火墙网 格 ： 1 将 区域添加 到 FortiGate 配置 。 请 见 第 111 页 “ 添加区域 ” 。 2 将接口和 VLAN 子网络接口 添加 到 这 个 区域 。 请 见[...]

146 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 内容配置文件 内容配置文件可以 添加 到 策略 中以 应 用 对 网页、文件传 输 和电子邮 件服务的防病毒 保护、网页内容过 滤和电子邮件过滤。 FortiG ate 设备包 括了 以 下 默认的内容配置文 件： · 严谨 : 对 HTTP,[...]

防火墙配置 添加 防火墙 策略 Fort iGate-5 00 安装和配置指南 147 图 5: 添加 NAT/ 路由 策略 防火墙 策略 选项 本 节 叙 述 了 您可以在防火墙 策略 中设置的选项。 源地址 选 择与数 据包 源地址匹 配的 地址 或 地址组 。在 您 把 这 个 地址添加 到 策略 之 前 ， 必 须 ?[...]

148 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 任务 计 划 选 择 任务 计 划可以 控制策略 生 效 和用于 匹 配连 接的时 间 ， 见 第 159 页 “ 任务 计 划 ” 。 服务 选 择 一个服务 与数 据包的服务 （ 端 口） 相 对应 。您可以从 大量 的 预 定 义 服务中选 择 ?[...]

防火墙配置 添加 防火墙 策略 Fort iGate-5 00 安装和配置指南 149 流量控制 流量控制功 能 控制 可以使用的 带宽 并 设置 被策略 处理的 数 据 流 的 优 先 权。在 大量 的 数 据 通 过 FortiGat e 时， 流量控制 可以 控制 哪 个 策略 具有更高 的 优 先 权。例如， 为 网 页?[...]

150 美国飞塔有限公司 配置 策略 列表 防火墙配置 图 6: 添加 透明模式 策略 记 录 流通 日志 选 择记 录 流通 日志可以在 策略 处 理一个连接的时 候 向 日志 写 入一 条消 息。关于 记 录 日志的 详 细 信息请 见 第 241 页 “ 日志和报告 ” 。 注释 可以选 择添加 一?[...]

防火墙配置 配置 策略 列表 Fort iGate-5 00 安装和配置指南 151 本 节 讨 论 了 以 下 内容： · 策略匹 配的 细节 · 更 改策略 列表中 策略 的 顺 序 · 启用和 禁 用 策略 策略匹 配的 细节 当 FortiGat e 从网络接口 上 收 到一个连接 请 求 时，它 首 先 要 选 择 一个 策略 ?[...]

152 美国飞塔有限公司 地址 防火墙配置 启用一个 策略 启用一个 被禁 用 了 的 策略 可以使防火墙 继续 用 这 个 策略匹 配连接： 1 进 入 防火墙 > 策略 。 2 选 择 含有 要 启用的 策略 的 策略 列表的标 签 。 3 选中 要 启用的 策略 的选中 标志。 地址 所有的 策?[...]

防火墙配置 地址 Fort iGate-5 00 安装和配置指南 153 5 输 入 这 个 IP 地址 。 这 个 IP 地址 可以 是 ： ·单 个电 脑 的 IP 地址 （例如， 192.45. 46.45 ） 。 · 一个子网的 地址 （例如 ，一个 C 类 子网 192.168 .1.0 ） 。 · 0.0.0.0 来 表 示 全部可能的 IP 地址 。 6 输 入子网 掩 ?[...]

154 美国飞塔有限公司 地址 防火墙配置 删除地址 删除 一个 地址 可以 把 此 地址 移 出 地址 列表。一 旦 地址被删除了 ， 这 个 地址 就 不能 再 添加 到 策略 中。 要 删除 一个 已 经 添加 到 策略 的 地址 ， 必 须 先把 它从 那 个 策略 中 删除 。 1 进 入 防火墙 &[...]

防火墙配置 服务 Fort iGate-5 00 安装和配置指南 155 图 8: 添加 一个内部 地址组 。 服务 使用服务可以 控制 防火墙接 受 或者 拒绝 的 流通 类 型。 可以 为 一个 策略添加 任何 预 定 义 的服务。 也 可以 创建 您自 己 定 制 的服务 然 后把 服务 添加 到服务 组 中 去 ?[...]

156 美国飞塔有限公司 服务 防火墙配置 ESP 封 装安全有 效载 荷 。 这 个服务用于自动 密钥交 换的 VPN 通道 和手工 密钥 VPN 通道 ，以传 输 加 密 的 数 据。自动 密钥交 换 VPN 通道 在使用 IKE 建立 连接之 后 使用 ESP 传 输 数 据。 50 AOL AOL 即 时 消 息 协议 。 tcp 51 90[...]

防火墙配置 服务 Fort iGate-5 00 安装和配置指南 157 访问定 制 服务 如果 需要 创建 一个含有不包 括 在 预 定 义 服务列表中的服务的 策略 ，可以 添加 一个定 制 的服务。 1 进 入 防火墙 > 服务 > 定 制 。 2 单击 新 建 。 3 输 入服务的 名 字 。 当 您 添加 一个新[...]

158 美国飞塔有限公司 服务 防火墙配置 5 通 过 输 入 最 高 端 口号 和 最低端 口号 ， 为 这 个 协议 指定一个 源端 口和一个目的 端 口 号的范 围 。如果服 务 仅 使用一个 端 口， 就 在 最 高和 最低端 口号 上 输 入 相 同 的 数 字。 6 如果 这 个服务有多于一个 ?[...]

防火墙配置 任务 计 划 Fort iGate-5 00 安装和配置指南 159 任务 计 划 任务 计 划用 来 控制策略 生 效 和 无 效 的时 间 。可以 创建 一 次 性 的任务 计 划和 周期 性的 任务 计 划。您可以使用一 次 性的任务 计 划 创建策略 ， 这 个 策略 只 在任务 计 划指定的时 间 ?[...]

160 美国飞塔有限公司 任务 计 划 防火墙配置 图 10: 添加 一 次 性任务 计 划任务 计 划 创建周期 性任务 计 划 可以 创建 一个 周期 性的任务 计 划在 每 天 的特定时 间 或者 每 周 的特定 天 数 里激 活 策略 或者取 消对策略 的 激 活 。 例如，您可能 需要 创建 一?[...]

防火墙配置 任务 计 划 Fort iGate-5 00 安装和配置指南 161 图 11: 添加周期 性任务 计 划 在 策略 中 添加 一个任务 计 划 在 创建 一个任务 计 划之 后 ，您可 以 把 它 添加 到 策略 中，以 控制策略 生 效 的时 间 。在 创建策略 的时 候 ， 可以在 策略 中 添加 新的任?[...]

162 美国飞塔有限公司 虚拟 IP 防火墙配置 虚拟 IP NAT 模式的安全 策略 可以 对 较 不 安全的网络 隐藏较 安全的网络中的 地址 。 要允 许从 一个 较 不安全的网络连接 到一个 较 安全的网络 中的 某 个 地址上 ，您 必 须 创建 一个从 较 不安全的网络中的 地址 到 较[...]

防火墙配置 虚拟 IP Fort iGate-5 00 安装和配置指南 163 8 单击 确 定 以保 存 虚拟 IP 地址 。 您现在可以 把 这 个虚拟 IP 地址添加 到防火墙的 策略 中 了 。 图 12: 添加静态 NAT 虚拟 IP 添加端 口 转 发虚拟 IP 1 进 入 防火墙 > 虚拟 IP 。 2 单击 新 建 以 添加 新的虚拟 IP[...]

164 美国飞塔有限公司 虚拟 IP 防火墙配置 8 在 映 射 IP 地址 一 栏 中， 需要输 入在目的网络 上 的 真 实 IP 地址 。 例如， 真 实 IP 地址 可以 是 位 于您的内 部网络中的 Web 服务 器 的 地址 。 9 把 映 射 到 端 口 设置 为转 发 数 据包时 要给 它们 添加 的 端 口号?[...]

防火墙配置 IP 池 Fort iGate-5 00 安装和配置指南 165 4 单击 确 定 以保 存 这 个 策略 。 IP 池 一个 IP 池（ 也称做 动 态 IP 池） 是 一个 添加 到防火墙网络接口 的 IP 地址 范 围 。如 果您 为 一个接口 添加了 IP 池， 当 配置一个其 目的 地址 设 为 此 接口的 策略 时可?[...]

166 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 图 14: 添加 一个 IP 池 使用 固 定 端 口的防火墙 策略 的 IP 池 如果一个 NAT 防火墙 策略转 换连接 所使用的 数 据报的 源端 口， 有 些 网络配置 就无法 正常 工 作 。 NAT 通 过 转 换 源端 口 来 跟踪 特定服务的连 接。?[...]

防火墙配置 IP/M AC 绑 定 Fort iGate-5 00 安装和配置指南 167 IP/MAC 绑 定可以 应 用于连接到防火墙的 数 据包或 者 穿 过防火墙的 数 据包。 本 节 讨 论 了 以 下 内容： · 为穿 过防火墙的 数 据包配置 IP/MAC 绑 定 · 为 连接到防火墙的 数 据 包配置 IP/MA C 绑 定 · 添加 IP[...]

168 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 所有能 正常 连接到 防火墙的 数 据包 都 将 首 先 在 IP/MAC 绑 定列表中 查找匹 配的 IP/MAC 地址对 。 例如，如果 IP 地址为 1.1.1 .1 和 MAC 地址为 12:34:56 :78:90:a b:cd 的 IP/MA C 地 址对 已 经 添加 到 IP/MAC 地址绑 定列表 了 ： [...]

防火墙配置 内容配置文件 Fort iGate-5 00 安装和配置指南 169 4 配置 IP/MAC 地址绑 定如何处理在 IP/MAC 地址 列表中 没 有定 义 IP 和 MAC 地址 的 数 据 包： 选 择 允 许 流通 可以 允 许所 有具有不在 IP/MAC 地址 列表中的 IP/MAC 地址对 的 数 据包 通 过。 选 择阻塞流通 可?[...]

170 美国飞塔有限公司 内容配置文件 防火墙配置 默认的内容配置文件 FortiGa te 设备具有以 下 四种 默认的内 容配置文件，它们 位 于防火 墙 > 内容配置文 件。 您 可以使用现有的内容 配置文件或者 创建 您自 己 的： 添加 一个内容配置文件 如果默认的内容配 置[...]

防火墙配置 内容配置文件 Fort iGate-5 00 安装和配置指南 171 7 启用邮件 片 段和 超大 型文件 / 邮件选项。 8 单击 确 定。 图 16: 内容配置文件 举 例 将内容配置文件 添加 到 策略 您可以将内容配置 文件 添加 到一个 策略 ， 这 个 策略 的动 作 可以 是 接 受 或 拒绝 ?[...]

172 美国飞塔有限公司 内容配置文件 防火墙配置 2 单击 包含 了 您 要 添加 内容配置文件的 那 个 策略 的 策略 列表。 例如， 要 内部网络 用户从网 站 上下载 的文件启用网络保护， 选 择 一个内部到外部 的 策 略 。 3 单击 新 建 以 添加 一个新的 策略 ，或选 择 [...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 173 用户 与 认证 FortiGa te 支持使用 FortiGate 用户 数 据 库 、 RADIUS 服务 器 和 LDAP 服务 器 的用户 认证。您可以 把 用户 名添加 到 FortiGate 用户 数 据 库 中， 然 后为 用户设置一个 密码 以 允 许用户使[...]

174 美国飞塔有限公司 设置认证 超 时 用户 与 认证 设置认证 超 时 按 以 下步骤 设置认证 超 时： 1 进 入 系统 > 配置 > 选项 。 2 设置 认证 超 时 以 控制 在用户 再 次 认证以取得 对 防火 墙的访问权之 前 ，防 火墙能 够 保 持 空闲 的时 间 。 默认的认证 超 [...]

用户 与 认证 配置 RADI US 支持 Fort iGate-5 00 安装和配置指南 175 图 17: 添加 用户 名 从内部 数 据 库 中 删除 用户 名 您不能 删除 已 经 添加 到用户 组 的用户 名 。在 删除 用户之 前 必 须 将它们从所 添加 到的 用户 组 中 删除 。 1 进 入 用户 > 本 地 。 2 对 于 ?[...]

176 美国飞塔有限公司 配置 LDAP 支持 用户 与 认证 3 输 入 RADIUS 服务 器 的 名 称 。 您可以 输 入任何 名 称 。 此 用户 名 可以包 括数 字（ 0-9 ） ， 大 写 和 小 写 字 母 （ A-Z,a-z ） ， 以及特 殊 字 符 - 和 _ 。不能使用 其它特 殊 字 符 和 空 格符 。 4 输 入 RADIUS ?[...]

用户 与 认证 配置 LDAP 支持 Fort iGate-5 00 安装和配置指南 177 添加 LDAP 服务 器 按 以 下步骤 配置 Forti Gate 设备的 LDAP 认证： 1 进 入 用户 > LDAP 。 2 单击 新 建 以 添加 新的 LDAP 服务 器 。 3 输 入 LDAP 服务 器 的 名 称 。 您可以 输 入任何 名 称 。 此 用户 名 可以?[...]

178 美国飞塔有限公司 配置用户 组 用户 与 认证 3 单击 确 定 。 配置用户 组 要 启用认证，您 必 须 在一 个或多个用户 组 中 添加 用户 名 和 / 或 RADIUS 服务 器 。 当 您 需要 认证时，可 以选 择 一个用户 组 。您可以 对 以 下 情况 选 择 一个用户 组 ： · 需要 认[...]

用户 与 认证 配置用户 组 Fort iGate-5 00 安装和配置指南 179 图 20: 添加 用户 组 3 输 入一个用于 识别 此 用户 组 的 组名 。 这 个 组名 可以 是数 字（ 0-9 ） ， 大 写 和 小 写 字 母 （ A-Z,a-z ） ，以及特 殊 字 符 - 和 _ 。不 能使用其它特 殊 字 符 和 空 格符 。 4 要 [...]

180 美国飞塔有限公司 配置用户 组 用户 与 认证[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 181 IPSec VPN 虚拟专用网络 （ VPN ） 是 一个 拓 展 的 私 有网络，它由 穿 过 共享 或公 共 网络，例如 互 联 网，的连接 组成 。例如， 某 公司有 两 个 办 公 室 分 别 在 两 个不 同 的 城市 ， 每 个 都[...]

182 美国飞塔有限公司 手工 密钥 IPSec VPN IPSe c VPN IPSec 提 供了 两种 控制密钥交 换 和管理的 方 法 ：手工 密钥 和 IKE 自动 密钥 管理。 · “ 手工 密钥 ” · “ 使用 预 置 密钥 或证 书 的自动 互联 网 密钥交 换 ( 自动 IKE) ” 手工 密钥 当 选 择了 手工 密钥 之 后 ，[...]

IPSe c VPN 手工 密钥 IPSe c VPN Fort iGate-5 00 安装和配置指南 183 本 地 和 远端 的 加密 和认证 密钥 必 须 匹 配 ； 并 且 彼 此 的 SPI 值 也 必 须 互为 镜 像 。 当 您 输 入 了 这 些值 之 后 ， 无须再协 商 认证和 加密 算法即 可发 起 VP N 通道 。 只要 您 正确 、 完 整地[...]

184 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 9 从列表中选 择 一个认证 算法 。 在 通道 的 两 端 需要 使用 相 同 的认 证 算法 。 10 输 入认证 密钥 。 每两 个字 符 的 组合 表 示 十 六 进制 格 式中的一个 字 节 。在 通道 的 两 端 需要 使用 相 同 的认 证 密钥 ?[...]

IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-5 00 安装和配置指南 185 为 自动 IKE VPN 添加 第一 阶 段配置 当 您 添加 第一 阶 段配置的时 候 ，您 需要 定 义 FortiGat e 设备和 VPN 远端 （网关或 客户）用于 彼 此 认证以 建立 IPSe c VPN 通道 的有关 条 件。 第一 阶 段配置和第 二阶 ?[...]

186 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 8 输 入 密钥 寿 命。 指定在第一 阶 段 密钥 的有 效期 。 密钥 有 效期是 在第一 阶 段 加密密钥 过 期 之 前 以 秒 为单 位 计 算 的时 间 。 当密钥 过 期 之 后 ， 无须 中 断 服务 就 可以 生 成 一个新的 密钥 。 P1 提[...]

IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-5 00 安装和配置指南 187 4 （可选的） NAT 跨越 。 5 （可选的）配置 端 点 失效 检测。 使用 这 些 设置可以 监视 VPN 双 方 的连接 状态 。 DPD 允 许 清 除 已 经 失效 的连接 并建立 新的 VPN 通道 。不 是 所有的 销 售 商 都 支持 DP D 。[...]

188 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 图 21: 添加 第一 阶 段配置 为 自动 IKE VPN 添加 第 二阶 段配置 添加 第 二阶 段配置以指定 在本 地 VPN 端 点（ Fortiga te 设备）和 远 程 VPN 端 点 （ VPN 网关或客户 端 ）之 间创建 和 维 护 VPN 通道 所用的参 数 。 按 以 ?[...]

IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-5 00 安装和配置指南 189 5 配置 P2 提 议 。 可以 为 第 二阶 段的提 议 最 多选 择 三 个 加密 和认证 算法 组合 。 VPN 通道 的 两 端 必 须 使用 相 同 的 P2 提 议 设置。 6 （可选的）启用 重 放 检测 。 重 放 检测可以保护 VPN 通道 以 ?[...]

190 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 22: 添加 第 二阶 段配置 管理 数 字证 书 在一个 IPSec 通讯 会 话 的参 与 双 方建立 一个 加密 的 VPN 通道 之 前 ， 数 字证 书 可以用 来 保证参 与 双 方是 可信的 。 Fortine t 使用手工 操作 获得 证 书 。 这 包 括 从?[...]

IPSe c VPN 管理 数 字证 书 Fort iGate-5 00 安装和配置指南 191 2 单击 生 成 。 3 输 入一个证 书名 称 。 输 入的 名 称 。 这 个 名 称 可以含有 数 字（ 0-9 ）， 大 写 和 小 写 字 母 （ A-Z ， a-z ） ，以及特 殊 字 符 - 和 _ 。不能使用其它特 殊 字 符 或者 空 格符 。 4 配?[...]

192 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 23: 添加 本 地 证 书 下载 证 书 请 求 您可以使用如 下操 作 将证 书 请 求 从 FortiGate 设备 下载 到管理 员 电 脑 。 按 照 如 下步骤下载 证 书 请 求 ： 1 进 入 VPN > 本 地 证 书 。 2 单击下载 以将本 地 证 书下载 ?[...]

IPSe c VPN 管理 数 字证 书 Fort iGate-5 00 安装和配置指南 193 4 申 请一个 签名了 的本 地 证 书 。 按 照 CA 网页服务 器 的指 令 进 行如 下操作 ： · 将一个 base6 4 编码 的 PKCS#10 认证请 求 添加 到 CA 网页服务 器 ， · 将证 书 请 求 粘贴 到 CA 网页服务 器 ， · 在 CA 网页[...]

194 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 单击 确 定。 在本 地 证 书 列表中将 显示签名 的本 地 证 书 ，其 状态为 OK 。 获得一个 CA 证 书 VPN 双 方为了 让 对方 认证自 己 ， 必 须 从 同 一个 证 书 授 权获得 CA 证 书 。 CA 认证 为 VPN 双 方 提 供了 坚 定他们?[...]

IPSe c VPN 配置 加密策略 Fort iGate-5 00 安装和配置指南 195 尽 管 加密策略同 时 控制进 入和发出的连 接，它 必 须 被 配置 成为 一个 向 外的 策略 。一 个 向 外的 策略 具有一个内部网络 的 源地址 和一个外部 网络 上 的目的 地址 。 源地址 标 识 VPN 在内部网络中 ?[...]

196 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 输 入 互联 网 上 的一个 VPN 客户 端 或 是远 程 VPN 网关 后边 的一个网络的 地址名 ， IP 地址 和网络 掩 码 。 5 单击 确 定以保 存 目的 地址 。 添加 一个 加密策略 1 进 入 防火墙 > 策略 。 2 使用 策略 网 格 选 择 ?[...]

IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-5 00 安装和配置指南 197 图 25: 添加 一个 加密策略 IPSec VPN 集 中 器 在一个 星 型配置的 网络中，所有的 VP N 通道 都终结 在一个 起 集线器作 用的 端 点 上 。 其他的 端 点 就象 辐条 一 样 连接到 这 个 集线器上 。 这 个 集线器 的[...]

198 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN 如果 VPN 端 点 是 一个 辐条 ，它 需要 一个 通道 以将它连接到 集线器 （ 但 是 不连接到 其他 辐条 ）。 它 还需要 控制 它到其他 辐条 的 加密 连接 策略 和到其他网络，例如 互联 网的 非 加密 连接的 策略 。 · VPN [...]

IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-5 00 安装和配置指南 199 请 见 第 196 页 “ 添加 一个 加密策略 ” 。 5 按 以 下顺 序 排 列 策略 ： ·加密策略 · 默认的非 加密策 略 （内部 _ 全部 -> 外部 _ 全部） 添加 一个 VPN 集 中 器 按 以 下步骤添加 一个 VPN 集 中 器 配置：[...]

200 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN VPN 辐条 一 般 配置 步骤 一个 实 现 辐条功 能的 远 程 VPN 端 点 需要 以 下 配置： · 一个到 集线 器 的 通道 （自动 IK E 第一 阶 段和第 二阶 段配置或 手工 密钥 配置） 。 · 本 地 VPN 辐条 的 源地址 。 · 每 个 远 程[...]

IPSe c VPN 冗余 IPSe c VPN Fort iGate-5 00 安装和配置指南 201 请 见 第 196 页 “ 添加 一个 加密策略 ” 。 6 按 照 如 下顺 序 排 列 策略 ： ·向 外 加密策略 ·向 内 加密策略 · 默认的非 加密策 略 （内部 _ 全部 -> 外部 _ 全部） 冗余 IPSec VPN 为了 保证一个 IPSe c VPN 通道 ?[...]

202 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN 按 如 下步骤 配置 IPSec 冗余 ： 1 最 多可以 为 三 个 VPN 连接 添加 第一 阶 段参 数 。 除了 网关 名 和 IP 地址 以外， 为 每 个 VPN 连接 输 入一 样 的 数值 。 确 保 远 程 VPN 端 点（ 远 程网关）有 静态 IP 地址 。 ?[...]

IPSe c VPN VPN 监视 和问 题解答 Fort iGate-5 00 安装和配置指南 203 图 27: 自动 IKE 密钥通道状态 查看拨 号 VPN 连接的 状态 您可以使用 拨 号 监 视器查看拨 号 VPN 的连接 状态 。 拨 号 监视器 列出 了远 程 网关和 每 个网关 上 处于 活 动 状态 的 VPN 通道 。 监视器上 还 ?[...]

204 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 205 PPTP 和 L2TP VPN 您可以使用点 对 点 隧 道 协议 （ PPTP ）和第 二层 隧 道 协议 （ L2TP ）在 运 行 Wind wos 操作 系统的 远 程客户电 脑 和您的内部网络之 间建立 一个虚拟专用网络 （ VPN ）。 PPTP 和 L2TP[...]

206 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 图 29: Windo ws 客户和 FortiG ate 之 间 的 PPTP VPN 把 FortiGate 配置 为 PPTP 网关 按 照 以 下步骤 将 FortiGate 设备配置问 PPTP 网关： 添加 用户 名 和 组 按 以 下步骤为 每 个 PPT P 客户 端添加 一个用户： 1 进 入 用户 > 本 地 。 [...]

PPTP 和 L2TP VPN 配置 PPTP Fort iGate-5 00 安装和配置指南 207 图 30: PPTP 地址 范 围 配置的例子 添加 一个 源地址 对 PPTP 地址 范 围 中的 每 个 地址添加 一个 源地址 。 1 进 入 防火墙 > 地址 。 2 选 择 PPTP 客户 要 连接到的接口。 可以 是 接口、 VLAN 子接口或 区域 。 3 ?[...]

208 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 6 单击 确 定以 添加 这 个 地址组 。 添加 一个目的 地址 添加 一个 PPTP 用户可以连接到的 地址 。 1 进 入 防火墙 > 地址 。 2 选 择 一个内部接口 或者 DMZ 接口。 ( 对 于不 同 型号的的 FortiGate ， 方 法 一 些 差 别 。 ) [...]

PPTP 和 L2TP VPN 配置 PPTP Fort iGate-5 00 安装和配置指南 209 9 重 新启动电 脑 。 配置 PPTP 拨 号连接 1 进 入 我 的电 脑 > 拨 号 网络 > 配置 。 2 双 击 新 建拨 号连接 。 3 为 连接 起 一个 名 字 ， 然 后单击 下 一 步 。 4 输 入 要 连接到的 FortiGate 的 主 机 名 或者 IP [...]

210 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 连接到 PPTP VPN 1 启动您在 上面步骤 中 刚刚 建立 的 拨 号连接。 2 输 入您的 PPTP VPN 用户 名 和 密码 。 3 单击 连接 。 4 在连接 窗 口， 输 入您用 来 连接到您的 拨 号网络连接的 用户 名 和 密码 。 这 个用户 名 和 密码[...]

PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 211 11 确 定以 下 选项 没 有 没 选中 ： · 微 软 网络的文件和 打 印 共享 · 微 软 网络客户 12 单击 确 定 。 连接到 PPTP VPN 1 连接到您的 ISP 。 2 启动您在 上面步骤 中 刚刚 配置的 VPN 连接。 3 输 入您的 PPTP VPN ?[...]

212 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 图 31: Windo ws 客户和 FortiG ate 之 间 的 L2TP VPN 把 FortiGate 配置 为 L2TP 网关 按 以 下步骤 将 Fort iGate 设备配置 为 L2TP 网关： 添加 用户和用户 组 为 每 个 L2TP 客户 端添加 一个用户： 1 进 入 用户 > 本 地 。 2 添加并 ?[...]

PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 213 图 32: L2TP 地址 范 围 配置的例子 6 把 L2TP 地址 范 围 中的 地址添加 到外部 区域地址 列表 。 这 些地址 可以 放 进 一个外部 地址 组 里 。 7 在连接到目的 区域 中 添加 L2TP 用户可以连接的网络 地址 。 这 ?[...]

214 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 3 输 入一个用于 识别 地址组 的 组名 称 。 这 个 名 称 可以包含 数 字 (0-9), 大 写 或 小 写 字 母 (A- Z, a-z), 以及特 殊 字 符 - 和 _ 。 不能包含其他字 符 和 空 格 。 4 要 添加地址组 ，在 可用 地址 列表中选 择 一个[...]

PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 215 4 在 目的 地址 一 栏 ， 输 入您 要 连接的 FortiGate 的 地址 ， 单击 下 一 步 。 5 将连接设置 为 只 有 我 自 己 可以使用 此 连接 ， 单击 下 一 步 。 6 单击 完成 。 7 在连接 窗 口， 单击 属 性 。 8 选 择 安?[...]

216 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 4 在连接 窗 口， 输 入您的 拨 号网络连接的用户 名 和 密码 。 这 个用户 名 和 密码 不 同 于您的 L2TP VPN 用户 名 和 密码 。 配置 WindowsXP 客户的 L2TP 按 照 以 下步骤 配置 运 行 WindowsXP 系统的电 脑 使得它能 够 连?[...]

PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 217 禁 用 IPSec 1 选 择 网络 标 签 。 2 选 择互联 网（ TCP/IP ） 协议属 性。 3 双 击 高 级 标 签 。 4 进 入 选项标 签 ，选 择 IP 安全 属 性。 5 确 认 不使用 IPSec 被 选中 了 。 6 单击 确 定 关 闭 连接 属 性 对话 ?[...]

218 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 219 防病毒保护 在防火墙 策略 中启用 了 防病毒保 护 功 能。 当 您启用一个防火墙 策略 中的防病毒保护 功 能时，您可以选 择 一个内容配置文件 来 决 定防病毒保护的 程 度 。内容配置文件 可以 ?[...]

220 美国飞塔有限公司 防病毒扫描 防病毒保护 6 配置 FortiGat e 设备在 阻塞 或 删除 被感染 的文件时发送 的报 警 邮件，请 见 日志和 消 息 参 考 指南 中的 “ 配置报 警 邮件 ” 。 防病毒扫描 病毒扫描可以从启 用 了 防病毒保护 功 能 的内容 流 中 截 取 大 多 数 [...]

防病毒保护 文件 阻塞 Fort iGate-5 00 安装和配置指南 221 图 33: 病毒扫描的内容配置文件的例子 文件 阻塞 启用文件 阻塞删除 所有的文件以 阻 止 潜 在的 威胁 ， 并对计 算 机病毒 攻击 提 供最好 的 保护。 只 有出现防 病毒扫描 功 能不能发 现的新病毒的时 候 才 ?[...]

222 美国飞塔有限公司 隔离 防病毒保护 默认 情况 下 ， 当阻塞功 能启用时， FortiGate 按 照 以 下 文件 名样板阻塞 文件： · 可 执 行文件 (*.bat, * .com, 和 *.e xe) · 压缩 或 存 档文件 (*.gz, *.ra r, *.tar, *.tg z, 和 *.zip) · 动 态 链 接 库 文件 (*.dll) · HTML 应 用程序 (*.hta) ·[...]

防病毒保护 隔离 Fort iGate-5 00 安装和配置指南 223 在 FortiGat e 设备中， 被隔离 的文 件的文件 名显示 在 隔离 列表 里 。列 表 显示 每 个 被 隔离 的文件的 状态 、 副 本 数 和时 间 信息。您可 以根据 这 些条 件 对 列表 进 行 排 序和过滤。 您 也 可以从 这 个列表[...]

224 美国飞塔有限公司 隔离 防病毒保护 隔离 列表 排 序 您可以根据 状态 （ 感染 或 阻塞 ） 、服务 (IMAP, POP3, S MTP, FTP, 或 HTTP), 文件 名 的字 母 顺 序、 隔离 日 期 、 剩 余 时 间 (TTL ) 或 副 本 数 将 隔离 列表 排 序。 1 进 入 病毒防护 > 隔离 。 2 在列表 排 序中[...]

防病毒保护 阻塞 过 大 的文件和电子邮件 Fort iGate-5 00 安装和配置指南 225 2 单击下载 以 原 始 格 式 下载被隔离 的文件 。 配置 隔离 选项 您可以指定 FortiGate 设备 是 否 隔离被感染 的文件、 被阻塞 的文件或 两 者 都 隔离 。 您可以指定从网页 、 FTP 和电子邮件 ?[...]

226 美国飞塔有限公司 查看 病毒列表 防病毒保护 按 以 下方 法 将 Fort iGate 设备配置 为 传 递 邮件 片 段： 1 在内容配置文件中 启用邮件 片 段传 递 。 2 在防火墙 策略 中选 种 病毒防护和网 页过滤。例如， 要 传 递 由内 部网络用户到外部网 络 的邮件 片 段，选 [...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 227 网页内容过滤 在防火墙 策略 中可以启用网页内 容过滤 功 能。您在一 个防火墙 策略 中启用 了 防病毒 和网页过滤 功 能 后 ，可以选 择 一 个内容配置文件以 控制对 HTTP 通讯 的网页过滤 方 式。[...]

228 美国飞塔有限公司 内容 阻塞 网页内容过滤 4 配置 当 FortiGa te 设备 阻塞 不 受欢迎 的内容或不 受欢迎 的 URL 的时 候 用户 收 到的信息。 请 见 第 139 页 “ 定 制替 换信息 ” 。 5 配置 FortiGat e 设备在 阻塞 或 删除 一个 受 感染 的文件的时 候 发送一 封 报 警 邮[...]

网页内容过滤 阻塞对 URL 的访问 Fort iGate-5 00 安装和配置指南 229 图 34: 禁忌词汇 列表 举 例 阻塞对 URL 的访 问 您可以使用 FortiGate 网页过滤 功 能或 Cerbe rian 网页过滤 器阻塞 不 受欢迎 的内 容。 · 使用 FortiGa te 网页过滤 器 · 使用 Cerberi an 网页过滤 器 使用 FortiGate[...]

230 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 3 输 入 要 阻塞 的 URL 。 输 入一个 顶 级 URL 或者 IP 地址 可以 阻塞对 一个 站 点 上 所有网页的访问。 例如， www.badsite.com 或者 122.133.144.155 阻塞了对 这 个 站 点 上 所有网页的访问 。 输 入一个 顶 级 URL 后 面[...]

网页内容过滤 阻塞对 URL 的访问 Fort iGate-5 00 安装和配置指南 231 下载 URL 阻塞 列表 您可以将 URL 阻塞 列表备 份 ， 方 法 是 将它 下载 到管理 员 电 脑上 保 存为 文本文件。 1 进 入 Web 过滤 器 > URL 阻塞 。 2 选 择 下载 URL 阻塞 列表 。 FortiGa te 将 把 URL 阻塞 列表[...]

232 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 如果您 为 您的 FortiGate 设备 购买 了 Cerberian 网页过滤 功 能， 按 照 以 下步骤为 FortiGa te 设备配置 Cerberian 网页过滤 器 。 一 般 配置 步骤 要 使用 Cerberi an 网页过滤 器 ，您 需要 ： 1 安装 Cerberia n 网页过滤 器[...]

网页内容过滤 阻塞对 URL 的访问 Fort iGate-5 00 安装和配置指南 233 配置 Cerberian 网页过滤 您在 FortiGat e 设备中 添加了 Cerberian 网页过滤用户之 后 ，可 以将用户 添加 到 Cerberi an 网页过滤服务 器 的用户 组 中。 然 后 您可以 创建策 略并 将 策略应 用到 这 个用户 组 ?[...]

234 美国飞塔有限公司 脚 本过滤 网页内容过滤 脚 本过滤 使用以 下方 法 可以 将 FortiGa te 配置 为 从网页中 删除脚 本。您 可以将 FortiG ate 配 置 为阻塞 java 小 程序、 cookies 和 Active X 。 · 启用 脚 本过滤 · 选 择脚 本过滤选项 启用 脚 本过滤 1 进 入 防火墙 > 内?[...]

网页内容过滤 URL 排除 列表 Fort iGate-5 00 安装和配置指南 235 URL 排除 列表 在 URL 排除 列表中 添加 的 URL 是为了避免 正常 的 数 据 流被 内容过滤或 URL 过滤 功 能 意外 地阻塞 掉 。例如，如果内容过滤 被 设置 为阻塞 含有关于 色 情 描 写 的 词汇而 一个 著 名 的 ?[...]

236 美国飞塔有限公司 URL 排除 列表 网页内容过滤[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 237 电子邮件过滤 防火墙 策略 中可以 使用电子邮件过滤。 当 您在一个防火墙 策略 中启用 了 病 毒防护和 网页过滤，您可以 选 择 一个内容配置文 件用 来 控制 电子邮件过滤 功 能如何 处理邮件 （[...]

238 美国飞塔有限公司 电子邮件 阻塞 列表 电子邮件过滤 您可以用 西 方 字 符 集 、简 体 中文 、 繁 体 中文、日文、或 韩 文字 符 集 使用多 种 语 言 在 列表中 添加禁忌词 汇 。 在 禁忌词汇 列表中 添加单词 或 短语 1 进 入 Web 过滤 器 > 内容 阻塞 。 2 单击 新[...]

电子邮件过滤 邮件 排除 列表 Fort iGate-5 00 安装和配置指南 239 3 输 入一个 阻塞 模 板 。 · 要 标 记 来 自一个特定 地址 的所有邮件， 只需 输 入 这 个邮件的 地址 。例如 ， sender@abccompany.com 。 · 要 标 记 从特定 域 来 的邮件， 输 入 域名 。例如， abccompany.com 。 [...]

240 美国飞塔有限公司 添加 一个 主题 标 签 电子邮件过滤 添加 一个 主题 标 签 当 FortiGat e 设备从一个不 受欢迎 的 地址 收 到电子邮件 、或 收 到含有邮件 禁忌词汇 列表中的 词汇 的邮 件的时 候 ， FortiGate 设备将在 主题 中 添加 一个标 签并 将 消 息 发送到 邮?[...]

Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 241 日志和报告 您可以将 FortiGate 设备配置 为记 录网络的各 种活 动，从 常 规配置的 改 变 和 通讯 会 话 直 到 紧急事 件。您 还 可以将 FortiGate 设备配置 为 发送 警 报邮 件 消 息以提 醒 系统管 理 ?[...]

242 美国飞塔有限公司 记 录日志 日志和报告 在 远 程电 脑上记 录日志 以 下操作 用于将 FortiGat e 配置 为 将日志 消 息 记 录到一 台 远 程电 脑上 。 这台 远 程电 脑 必 须 配置 为 一个系统日志服务 器 。 1 进 入 日志 与 报告 > 日志 设置 。 2 选 择 记 录日志到 [...]

日志和报告 记 录日志 Fort iGate-5 00 安装和配置指南 243 以 下操作 设置日志 的 记 录 方 式 为记 录到 硬盘 ： 1 进 入 日志 与 报告 > 日志设置 。 2 选 择 记 录到本 地 。 3 输 入一个日志文件 的 最大值 ( 以 兆 字 节为单 位 ） 。 当 日志文件的 大小 达 到 这 一 最[...]

244 美国飞塔有限公司 过滤日志 消 息 日志和报告 过滤日志 消 息 您可以选 择记 录 哪 种 日志和在 每种 日志中 记 录 哪 类 消 息。 1 进 入 日志和报告 > 日志设置 。 2 选 择 配置 策略 设置您在 第 241 页 “ 记 录日志 ” 选 择 的日志 记 录 位 置。 3 选 择 您 希?[...]

日志和报告 配置 通讯 日志 Fort iGate-5 00 安装和配置指南 245 图 39: 日志过滤配置的例子 配置 通讯 日志 您可以将 FortiGate 设备配置 为记 录以 下 连接的 通讯 日志 消 息： · 任意接口 · 任意 VLAN 子网络接口 · 任意防火墙 策略 FortiGa te 设备可以根据任 何 源地址 、?[...]

246 美国飞塔有限公司 配置 通讯 日志 日志和报告 启用 通讯 日志 您可以 对 任何接口 、 VLAN 子接口和防火墙 策略 启 用日志 记 录。 在网络接口 上 启用 通讯 日志 如果您 对 某 个网络接口启 用 了通讯 日志 记 录， 所有到 此 接口和 通 过 此 接口 的网络连 接将 [...]

日志和报告 配置 通讯 日志 Fort iGate-5 00 安装和配置指南 247 3 单击应 用。 图 40: 通讯 过滤列表的例子 添加通讯 过滤的 条 目 在 通讯 过滤列表中 添加条 目可以过滤 通讯 日志 记 录的 消 息。如果您不在 通讯 过滤列 表中 添加 任何 条 目， Fort iGate 记 录所有的 通[...]

248 美国飞塔有限公司 查看记 录到内 存 的日志 日志和报告 图 41: 新 通讯地址条 目的例子 查看记 录到 内 存 的日志 如果 FortiGat e 被 配置 为 在内 存 中 记 录日志。您可以使用基于 Web 的 管理程序 来 查 看 、 搜索 和 清 除 日志中的 消 息。本 节 讨 论 了 ： · 查[...]

日志和报告 查看 和管理保 存 在 硬盘上 的日志 Fort iGate-5 00 安装和配置指南 249 5 选 择 或 可以 搜索与 某 个或 多个 给 定 条 件 匹 配的 消 息。 6 选 择 以 下 一个或多个 搜索 条 件： 7 单击 确 定 开始 搜索 基于 Web 的管理程序 会 显示 出 符 合 给 定 搜索 条 件?[...]

250 美国飞塔有限公司 查看 和管理保 存 在 硬盘上 的日志 日志和报告 2 选 择 事 件日志、 攻击 日 志、防病毒日志、 网页过滤日志或电子 邮件过滤日志。 3 对 要 查看 的日志文件， 单击查看 。 4 单击 在您 正 在 查看 的日志文 件中 搜索消 息。 5 选 择 与 可以 ?[...]

日志和报告 配置报 警 邮件 Fort iGate-5 00 安装和配置指南 251 删除 一个保 存了 的日志文件 按 照 如 下步骤操作 可以 删除 一个保 存了 的日志文件： 1 进 入 日志和报告 > 记 录日 志。 2 选 择流量 日志， 事 件日志 ， 攻击 日志，病毒防 护日志，网页过滤日 志，[...]

252 美国飞塔有限公司 配置报 警 邮件 日志和报告 6 在 邮件发送到 一 栏 最 多可以 输 入 三 个目的 地址 。 这 个 地址是 FortiG ate 将报 警 邮件 实 际 发送到的 电子邮件 地址 。 7 单击 应 用 以保 存 您的报 警 邮件设定。 测 试 报 警 邮件 您可以 通 过发送测 试 邮[...]

Fort iGate-5 00 安装和配置指南 253 FortiGa te-500 安装和配置指南 2.50 版 术语表 连接： 两台 电 脑 之 间 、 应 用 程序之 间 、 进 程之 间 或者其 他 诸 如 此类 的 对 象 之 间 的物理 上 或 逻 辑上 的 联 系，或 者 两 者 都 有的 联 系。 DMZ, 非 军 事 区 ： 用 来 提 供互?[...]

254 美国飞塔有限公司 术 语 表 MTU ， 最大 传 输 单 元 ： 一 个网络可以传 输 的 数 据包的 最 大 物理 尺寸 ，以字 节为单 位 。任何 大 于 MTU 的 数 据包在 发送之 前 都 会 被分成 较 小 的 数 据包 。理 想情况 下 ，网络 中的 MTU 应当等 于从您的电 脑 到目的 地 ?[...]

Fort iGate-5 00 安装和配置指南 255 FortiGa te-500 安装和配置指南 2.50 版 索引 A ActiveX 234 从网页中 删除 234 admin 级 别 访问 管理 员帐 号 135 安装 向 导 32, 47 启动 32, 48 B 病毒定 义 更新 99 病毒定 义 更新 手动 87 下载 110 自动 95 病毒防护 概 述 219 病毒防护更新 任务 计 划 9[...]

256 美国飞塔有限公司 索引 从内容和 URL 阻塞 中 排除 URL 235 connect ion user-de fined in terface 36 cookies 阻塞 234 测 试 报 警 邮件 252 超 时 防火墙认证 134 IPSec V PN 202, 203 基于 Web 的管理程序 134 空闲 134 重 新启动 90 操作 模式 转 换 89, 90 D DHCP 内部网络 122 带宽 保证 149 最大 [...]

索引 Fort iGate-5 00 安装和配置指南 257 服务 组 158 G 高可用性 介 绍 5 关 闭 90 固 定 端 口 148 过 大 的文件和电子邮件 阻塞 225 固 件 安装 80 从 CLI 升级 77 重 新安装 当前 版本 80 恢复 到 旧 的版本 80 升级 76 使用 CLI 升级 78 使用基于 WEB 的管理程序 升级 76 使用基于 Web [...]

258 美国飞塔有限公司 索引 IPSec V PN 远 程网关 178 用户 组 认证 178 超 时 202, 20 3 禁 用 215, 21 7 手工 密钥 182 预 置 密钥 182 自动 IKE 182 证 书 182 状态 202 IPSec V PN 通道 测 试 203 J Java 小 程序 23 4 从网页中 删除 234 脚 本 从网页中 删除 234 脚 本过滤 234 设置 举 例 234 拒绝[...]

索引 Fort iGate-5 00 安装和配置指南 259 路由 配置 119 配置路由表 121 添加 到路由表 120 添加静态 路由 120 路由表 254 配置 121 添加 到路由表 ( 透明模式 ) 121 添加 路由 120 添加 路由 ( 通 明模式 ) 121 添加 默认 120 添加 默认路由 120 路由 器 下 一个 跳跃 114 M MAC 地址 253 IP/[...]

260 美国飞塔有限公司 索引 RADIUS 服务 器 删除 176 添加 服务 器地址 175 蠕虫 防护 226 蠕虫 列表 显示 226 任务 计 划 一 次 性 160 RIP 过滤 器 129 接口配置 127 邻居 129 配置 125 设置 126 日 期 和时 间 设置 例子 134 入侵 企 图 报 警 邮件 252 日 期 设置 133 任务 计 划 159 创?[...]

索引 Fort iGate-5 00 安装和配置指南 261 通讯 过滤 245 记 录日志 245 配置全 局 设置 246 通讯策略 149 通讯 过滤 包 247 端 口号 247 会 话 247 解析 IP 246 类 型 247 日志设置 246 添加条 目 247 显示 247 服务 名 称 247 通讯 日志 244 U URL 添加 到 URL 排除 列表 235 添加 到 URL 阻塞 列?[...]

262 美国飞塔有限公司 索引 虚拟 IP 162 虚拟 IP 端 口 转 发 162 虚拟 IP 端 口 转 发 163 向 内 NAT 加密策略 148 系统 名 称 SNMP 137 系统配置 133 系统日 期 和时 间 设置 133 系统设置 备 份 88 恢复 88 恢复 到出厂 状态 89 系统 位 置 SNMP 137 系统 状态 75, 12 5 系统 状态监视器 90,[...]

索引 Fort iGate-5 00 安装和配置指南 263 阻塞流通 IP/MAC 绑 定 167, 168 记 录日志选项 243 状态 查看拨 号连接 状态 203 查看 VPN 通道状态 202 IPSec V PN 通道 202 静态 IP/MAC 列表 166 子网 地址 定 义 254 子网 掩 码 管理 员帐 号 136, 137[...]

264 美国飞塔有限公司 索引[...]