Manuel d'utilisation / d'entretien du produit 1000 du fabricant Fortinet
Aller à la page of 286
FortiGate ! 1000 Installation ! and Configuration ! Guide Esc Enter INTERNAL EXTERNAL 1 2 3 4 / HA FortiG ate 用户手册 第一卷 2.50 版 2003 年 7 月 21 日 安装和配置指南 FortiGate-1000.
© Copyrig ht 2003 美国飞塔有限公司版权所有 。 本手册中所包含 的任何文字、例子、图 表和插图,未经美国 飞塔有限公司的 许可,不得因任 何用途以电子、机械、 人工、光学或其它任 何手段翻印、传 播或发布。 For tiGate- 1000 安装和配置指南 2.
目录 Fort iGate-1 000 安装和配置指南 iii 目 录 简介 ................................... ................................ 1 防病毒保护 ........... ........ ........ ......... ........ ......... ........ ...... 1 Web 内容过滤 .....
目录 iv 美国飞塔有限公司 FortiGa te 出厂默认设置 ............. ........ ......... ........ ........ ........ 20 出厂默认的 NAT/ 路由模式的网络配置 .............. ........ ......... ........ .. 20 出厂默认的透明模式 的网络设置 .
目录 Fort iGate-1 000 安装和配置指南 v 使用安装 向 导 ........... ......... ........ ......... ........ ......... ........ .. 45 切 换到透明模式 ............. ........ ......... ........ ......... ........ ..... 46 启动安装 向 导 .
目录 vi 美国飞塔有限公司 管理 HA 组 ......... ........ ......... ........ ......... ........ ........ ........ 6 6 查看 HA 簇成员状态 ............. ........ ......... ........ ......... ........ .. 67 监视簇成员 ........... ..
目录 Fort iGate-1 000 安装和配置指南 vii 病毒和 攻击 定 义升级 及注册 ............................ .................. 93 病毒防护定 义 和 攻击 定 义 更新 .............. ......... ........ ......... ........ .. 93 连接到 Forti 响应 发布网络 .
目录 viii 美国飞塔有限公司 配置虚拟 局域 网( VLAN ) .... ......... ........ ......... ........ ........ ....... 115 VLAN 网络配置 ...... ........ ........ ......... ........ ......... ........ .... 115 添加 VLAN 子网络接口 .
目录 Fort iGate-1 000 安装和配置指南 ix 防火墙配置 ............................. .............................. 141 默认防火墙配置 ............ ......... ........ ......... ........ ........ ....... 142 接口 ......... ........ .
目录 x 美国飞塔有限公司 内容配置文件 ........... ......... ........ ......... ........ ......... ........ . 167 默认的内容配置文件 ............ ........ ......... ........ ......... ........ . 168 添加 一个内容配置文 件 .
目录 Fort iGate-1 000 安装和配置指南 xi VPN 监视 和问 题解答 ........... ........ ......... ........ ......... ........ .... 200 查看 VPN 通道状态 ........... ........ ......... ........ ......... ........ .... 200 查看拨 号 VPN 连接的 状态 .
目录 xii 美国飞塔有限公司 隔离 ........ ......... ........ ........ ......... ........ ......... ........ .... 230 隔离被感染 的文件 ........ ......... ........ ......... ........ ........ ....... 231 隔离被阻塞 的文件 ....
目录 Fort iGate-1 000 安装和配置指南 xiii 配置 通讯 日志 ...... ........ ......... ........ ......... ........ ........ ....... 253 启用 通讯 日志 .... ........ ......... ........ ......... ........ ........ ....... 254 配置 通讯 过滤设置 .
目录 xiv 美国飞塔有限公司.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 1 简介 FortiGa te 防病毒防火墙支 持 应 用 层 服务的基于网络 的部 署 ,包 括 防病毒.
2 美国飞塔有限公司 Web 内容过滤 简介 如果 FortiGat e 设备内配有 硬盘 , 可以将 被感染 或 被阻 塞 的文件 隔离 。 FortiGate 管理 员 可以 下载被隔离 的.
简介 防火墙 Fort iGate-1 000 安装和配置指南 3 防火墙 ICSA 认证的 Fo rtiGate 防火墙可以在 互联 网 这 个 充满敌 意的 环境 中保护您的电 脑 网络。 ISCA 已 对 FortiGa te 防火墙 4.
4 美国飞塔有限公司 网络入侵检测系统 ( NIDS ) 简介 网络入侵检测系 统 ( NIDS ) FortiGa te 网络入侵 侦 测系 统 (NIDS) 是 一 种实 时网络入侵 探 测 器 .
简介 高可用性 Fort iGate-1 000 安装和配置指南 5 高可用性 高可用性 (HA) 提 供 两 个或多个 FortiGat e 之 间 的 失效恢复 机 制 。 Fortinet 通 过 冗余硬 件 实 .
6 美国飞塔有限公司 安全安装、配置、管理 简介 图 1: FortiG ate 基于 We b 的管理程序 和设置 向 导 命令行接口 ( CLI ) 您可以将管理 员计 算 机的 串 .
简介 2.50 版本的新特点 Fort iGate-1 000 安装和配置指南 7 日志可 被 传送到 远 程系统日志服务 器 或以 WebTrends 增强 日志 格 式传 输 到 远 程 WebTren ds NetIQ.
8 美国飞塔有限公司 2.50 版本的新特点 简介 HA ·主 动 - 主 动模式的 HA 使用 了交 换机, 并 且 具有选 择 时 间 表的能 力 · 透明模式的 HA · HA 簇 的 A/V.
简介 2.50 版本的新特点 Fort iGate-1 000 安装和配置指南 9 NIDS 关于 FortiGat e NIDS 功 能的 完整 说明,请 见 FortiG ate NIDS 指南 。新特性包 括 : ·攻击 检测特.
10 美国飞塔有限公司 关于本手册 简介 关于本手册 安装和配置 向 导描 述了 如何安装和配置 FortiGate-2000 C 。本手册包含以 下 内容: · 开始 描 述了 拆.
简介 Forti net 的文档 Fort iGate-1 000 安装和配置指南 11 要 执 行 restore config < 文件 名 _ 字 符串 > 您 应当 输 入 restore config myfile.
12 美国飞塔有限公司 Fort inet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或 任何 Fortinet 技术文档中发现 了 错误或疏漏之处, 欢迎 您将有 关信息发送到 techdoc@f ortinet.
简介 客户服务和技术支持 Fort iGate-1 000 安装和配置指南 13 客户服务和技术 支持 请访问 我 们的技术 支持网 站 ,以获取防 病毒保护和网络 攻击 定 义 更新、 固 件更新、 产品文档更新,技 术支持信息,以及其 他 资源 。网 址 : http:// support.
14 美国飞塔有限公司 客户服务和技术支持 简介.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 15 开始 本 章 描 述了 有关 拆 包、安装及如 何启动 FortiGate 防病毒防火墙的内容。 .
16 美国飞塔有限公司 包装中的物品 开始 包装中的物品 FortiGa te-1000 包装中含有以 下 物品: · FortiGat e-1000 防病毒防火墙 · 两 根 黄色 交 叉 连接以 太 .
开始 启动 Fort iGate-1 000 安装和配置指南 17 尺寸 · 16.75 x 12 x 1.75 英寸 (42.7 x 30.5 x 4.5 厘米 ) 重量 · 17.5 磅 (8 公 斤 ) 电 源要 求 ·功 率需求 : 285 W ( 最大.
18 美国飞塔有限公司 连接到基于 Web 的管理程序 开始 连接到基于 Web 的管 理程序 当 初 始启动 FortiG ate 时,可 按 如 下步骤 连接到基于 Web 的管理程序.
开始 连接到命令行接口 (CLI) Fort iGate-1 000 安装和配置指南 19 连接到命令行接 口 (CLI) 除了 基于 Web 的管理程序,您可使用 CLI 来 安装和设置 FortiGate 。.
20 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 FortiGate 出厂默认设置 FortiGa te 设备出厂时 已 经 根据默认的配置 方 式 进 行 了 设置 。 这 一默认设.
开始 Fort iGate 出厂默认设置 Fort iGate-1 000 安装和配置指南 21 出厂默认的透明模式的网络设置 如果您将 FortiGate 设备 切 换到透明模式,它具有 表 3 中所.
22 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 出厂时默认的内容配置文件 您可以使用内容配 置文件 对 防火墙 策略 所 控制 的 通讯 内容 应 用不 .
开始 Fort iGate 出厂默认设置 Fort iGate-1 000 安装和配置指南 23 严谨型内容配置文件 使用严谨的内容配 置文件可以 对 UHTTP, FTP, IMAP, PO P3, 和 SMTP 等通讯 的.
24 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 网页型内容配置文件 使用网页型内容配 置文件可以 对 HTTP 通讯 的内容 应 用防病毒扫描和网页内容 .
开始 规划您的 Fort iGate 设备的配置 Fort iGate-1 000 安装和配置指南 25 规划您的 FortiGate 设备的配置 在开始配置 FortiGate 之 前 ,您 需 要计 划一 下 如何将.
26 美国飞塔有限公司 规划您的 Forti Gate 设备的配置 开始 具有多个外部网络连接的 NAT/ 路由模式 在 NAT/ 路由模式 下 ,您可以 为 FortiGate 设备配置到外.
开始 规划您的 Fort iGate 设备的配置 Fort iGate-1 000 安装和配置指南 27 您可以将 6 个网段连 接到 FortiGat e 设备 上 ,以 控制 这些 网段之 间 的 数 据 流通 .
28 美国飞塔有限公司 Fort iGate 系列产品参 数最大值 列表 开始 FortiGate 系列产品参 数最大值 列表 表 9: Fort iGate 参 数最大值 列表 FortiG ate 产品型号 50 60 .
开始 下 一 步 Fort iGate-1 000 安装和配置指南 29 下 一 步 至 此 , FortiGa te 已 启动 并 正常 运 行,您可 继续 配置如 下 设置 : · 如果 要 在 NAT/ 路由模.
30 美国飞塔有限公司 下 一 步 开始.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 31 NAT/ 路由 模式安装 本 章 说明 了 如何 进 行 Fort iGate NA T/Route( 路由 ) 模 式的安装.
32 美国飞塔有限公司 使用安装 向 导 NAT/ 路由 模式安装 使用安装 向 导 您可以从基于 We b 的管理程序中使 用安装 向 导 来 建立 FortiGate 初 始配置。 欲.
NAT/ 路由 模式安装 使用 前面板控制按钮 和 LCD Fort iGate-1 000 安装和配置指南 33 使用 前面板控制按钮 和 LCD 除 安装 向 导外, 也 可使用 第 31 页 表 10 .
34 美国飞塔有限公司 将 Forti Gate 连接到网络中 NAT/ 路由 模式安装 3 将外部网络接口的 IP 地址 和网络 掩 码 设置 为 您在 第 31 页 表 10 中 记 录的外部 I.
NAT/ 路由 模式安装 配置网络 Fort iGate-1 000 安装和配置指南 35 FortiGa te-2000C 有 4 个 10 /100Base- TX 接口: · 接口 1 和 3 可以将 两 个网络连接到 FortiGate-200 0C.
36 美国飞塔有限公司 完成 配置 NAT/ 路由 模式安装 一 旦 FortiGat e 连接 好 ,可 通 过从内部网的电 脑 连接到 Internet 来确 保其 运 行 是 否 正常 。您 应.
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-1 000 安装和配置指南 37 注册 FortiGate 设备 在 购买 和安装 了 一 个新的 FortiGate 设备之 后 ,您可以 进 入 系统 > 更新 > 支持 来 注册您的设备,或 者使用网页 浏 览 器 连接到 http://s upport.
38 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 图 8: 到 互联 网的多 重 连接的配置的例子 配置 Ping 服务 器 按 照 以 下步.
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-1 000 安装和配置指南 39 使用 CLI 1 将 ping 服务 器添加 到外部接口。 set system interface external config detectserver 1.1.1.1 gwdetect enable 2 将 ping 服务 器添加 到接口 3 。 set system interface port3 config detectserver 2.
40 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 第一 条 路由将所有的到 100.100.100.0 的 通讯 定 向 到外部接口 上 IP 为 1.1.1.1 的 网关 1 。如果 这 条 路由不 通 ,到 100.
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-1 000 安装和配置指南 41 4 单击 新 建 以 添加 到 ISP2 的网络的路由。 · 目的 IP: 0.0.0.0 · 掩 码 : 0.0.0 .0 · 网关 #1: 1.1.1.1 · 网关 #2: 2.
42 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 只 有您 已 经定 义了 类似 于在 前面 章 节 中描 述 的目的路由之 后 ,在.
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-1 000 安装和配置指南 43 按 以 下步骤添加冗 余 的默认 策略 : 1 进 入 防火墙 > 地址 .
44 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 45 透明模式安装 本 章 说明 了 如何 进 行透明模式的安装。如果 要 在 FortiGate NAT/ 路.
46 美国飞塔有限公司 使用 前面板控制按钮 和 LCD 透明模式安装 切 换到透明模式 当 首 次 连接到 FortiGate 时,它 被预 设在 NAT/ 路由模式 下运 行。 欲 .
透明模式安装 使用命令行接口 Fort iGate-1 000 安装和配置指南 47 5 按回 车 并 设置内部子网 掩 码 。 6 在 输 入 完最后 一 位 子网 掩 码地址后按回 车 。.
48 美国飞塔有限公司 完成 配置 透明模式安装 完成 配置 根据用本 节 内容 来 完成 FortiGate 的 初 始配置。 设置日 期 和时 间 为了 有 效 的安 排 日程.
透明模式安装 将 Fort iGate 连接到网络中 Fort iGate-1 000 安装和配置指南 49 FortiGa te-2000C 有 两 个 千兆 接口: · 内部接口,用于 连接到您的内部网络 , ·.
50 美国飞塔有限公司 透明模式配置的例子 透明模式安装 透明模式配置的 例子 运 行于透明模式的 FortiGate 也需 要 一个基本配 置,以 成为 IP 网络中的 .
透明模式安装 透明模式配置的例子 Fort iGate-1 000 安装和配置指南 51 图 10: 到外部网络的默认路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 配.
52 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序配置 步骤 的例子 使用基于 Web 的管理程序配置基本 的透明模式设置和默 .
透明模式安装 透明模式配置的例子 Fort iGate-1 000 安装和配置指南 53 图 11: 到外部 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 .
54 美国飞塔有限公司 透明模式配置的例子 透明模式安装 2 进 入 系统 > 网络 > 管理 。 ·修改 管理 IP 地址 和网络 掩 码 : IP: 192.
透明模式安装 透明模式配置的例子 Fort iGate-1 000 安装和配置指南 55 图 12: 到内部目的 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 切 换到透明模式.
56 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序的配置 步骤举 例 要 使用基于 Web 的管理程序 配置 FortiGat e 基本设置、 静.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 57 高可用性 Fortine t 通 过使用 冗余 的 硬 件 设备和 FortiG ate 聚 合 协议 ( FGCP ) 实 .
58 美国飞塔有限公司 主 动 - 主 动 HA 高可用性 主 FortiGat e 设备 通 过 FortiGa te HA 接口 向 附 属 设备发送会 话 信息。在 同 一个 HA 簇 中的所有设备 共 .
高可用性 NAT/ 路由模式 下 的 HA Fort iGate-1 000 安装和配置指南 59 在 失效恢复期间 , HA 组 会 通 知 附 近 的网络 设备,以使得 整 个网 络可以 迅 速地.
60 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 7 单击应 用。 现在您 已 经 完成了对 HA 接口的 配置,可以 进 入 下 一 步 “ 配置 HA 簇 ” 。 配.
高可用性 NAT/ 路由模式 下 的 HA Fort iGate-1 000 安装和配置指南 61 8 在 端 口 监视器 的选项中,选 择要监视 的的 FortiGate 网络接口的 名 称 。 监视 FortiGat.
62 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 还 有,您 必 须 将 这 一 HA 簇 中所有的 HA 接 口连接到 同 一 交 换机或 集线 器上 。您 还需 要 .
高可用性 透明模式 下 的 HA Fort iGate-1 000 安装和配置指南 63 启动 HA 簇 将 HA 簇 中的全部 FortiGate 设备 都 配置 为 HA 并 且 将 这 个 簇 连接 起 来 之 后 .
64 美国飞塔有限公司 透明模式 下 的 HA 高可用性 5 根据 需 要修改 IP 地址 和子网 掩 码 。 6 可以选 择 配置其他 接口的管理访问 方 式。 7 单击应 用。.
高可用性 透明模式 下 的 HA Fort iGate-1 000 安装和配置指南 65 8 在 端 口 监视器 的选项中,选 择要监视 的的 FortiGate 网络 端 口。 监视 FortiGat e 接口可以.
66 美国飞塔有限公司 管理 HA 组 高可用性 还 有,您 必 须 将 这 一 HA 簇 中所有的 HA 接 口连接到 同 一 交 换机或 集线 器上 。 此 外 还 需 要 将一 台 .
高可用性 管理 HA 组 Fort iGate-1 000 安装和配置指南 67 本 节 描 述了 以 下 内容: · 查看 HA 簇成员状态 · 监视簇成员 · 监视簇 会 话 · 查看 和管理 簇 .
68 美国飞塔有限公司 管理 HA 组 高可用性 图 17: 簇 会 话数 和网络 显示 的例子 4 选 择 病毒和入侵。 显示 出 每 个 簇成员 的病毒和入侵 状态 。 主 设.
高可用性 管理 HA 组 Fort iGate-1 000 安装和配置指南 69 2 进 入 日志和报告 > 记 录日 志。 显示主 设备 通讯 日志、 事 件日志、 攻击 日志、病毒防护日.
70 美国飞塔有限公司 管理 HA 组 高可用性 同步簇 配置 当运 行于 簇 模式的时 候 , 为了 达 到 较 好 的 效 果, 必 须确 保 簇 中的全部设备的配置始 .
高可用性 高 级 HA 选项 Fort iGate-1 000 安装和配置指南 71 一 旦 重 新配置或者更换 了 新的 FortiGate 设备, 需 要改 变 它的 HA 配置以 与 原来 失 效 的 Fort.
72 美国飞塔有限公司 高 级 HA 选项 高可用性 这 个命令有以 下 结 果: · 第一个连接由 主 设备处 理 ·下面 的 三 个连接由第一 个 附 属 设备处理 · .
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 73 系统 状态 您可以连接到基于 Web 的管 理程序 进 入系统 > 状态 以 查看 您的 Forti.
74 美国飞塔有限公司 修改 Forti Gate 主 机 名 系统 状态 修改 FortiGate 主 机 名 FortiGa te 设备的 主 机 名显示 在系统 > 状态 页和 Fort iGate CL I 提 示 符 中.
系统 状态 修改 Fort iGate 固 件 Fort iGate-1 000 安装和配置指南 75 2 使用 admin 管理 员帐 号 登 录到基于 Web 的管理程 序。 3 进 入 系统 > 状态 。 4 单击 .
76 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 9 要 确 认病毒防护定 义 和 攻击 定 义是 否 已 经 被 更新 , 输 入以 下 命令 显示 病毒防护 引 擎 .
系统 状态 修改 Fort iGate 固 件 Fort iGate-1 000 安装和配置指南 77 您可以在 进 行 这 一 操作 之 前先进 行: · 使用命令 execute backup config 备 份 FortiGate 设.
78 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 10 使用 第 97 页 “ 手工更新病毒防护定 义 和 攻击 定 义 ” 中描 述 的 步骤 更新病毒防护 定 义 和.
系统 状态 修改 Fort iGate 固 件 Fort iGate-1 000 安装和配置指南 79 6 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : ·运 行 v2.
80 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 , 并 会出现 类似 以 下消 息: ·运 行 v2.
系统 状态 修改 Fort iGate 固 件 Fort iGate-1 000 安装和配置指南 81 4 确 认 FortiGat e 的接口 3 和 TFTP 服务 器 连接到内部 网络 上 。 确 认您可以从 FortiGate 连.
82 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 , 并 会出现 类似 以 下消 息: ·运 行 v2.
系统 状态 修改 Fort iGate 固 件 Fort iGate-1 000 安装和配置指南 83 5 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : Press any key to enter configuration menu.
84 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 2 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : Press any key to enter configuration menu.
系统 状态 手动更新病毒防护定 义库 Fort iGate-1 000 安装和配置指南 85 如果您 成功地 中 断 了 启动 过程,将 显示下面 的 消 息之 一: [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default.
86 美国飞塔有限公司 显示 Forti Gate 的序列号 系统 状态 5 单击 确 定 将 攻击 定 义库 文件 上载 到 FortiGate 。 FortiGa te 将更新新的 攻击 定 义库 , 整 个.
系统 状态 将系统设置 恢复 到出厂设置 Fort iGate-1 000 安装和配置指南 87 2 选 择 系统设置 恢复 。 3 输 入系统设置文件 的 名 称 和路 径 ,或者 单击 浏.
88 美国飞塔有限公司 转 换到 NAT/ 路由模式 系统 状态 转 换到 NAT/ 路由模式 使用如 下操作 可以 将 FortiGa te 设备从透明模式 转 换到 NAT/ 路由模式。 当 .
系统 状态 系统 状态 Fort iGate-1 000 安装和配置指南 89 您可以设置一个自 动更新时 间间隔 每 过 一段时 间 就 更新 当前 的 显示 。 这 个时 间间隔 可以.
90 美国飞塔有限公司 系统 状态 系统 状态 查看 会 话 和网络 状态 使用会 话 和网络 状态显示 可以 跟踪 FortiGate 设备 正 在处理的网络会 话并查看 可.
系统 状态 会 话 列表 Fort iGate-1 000 安装和配置指南 91 2 单击 病毒和入侵。 显示 病毒和入侵 状态 。 显示 的内容包 括 以 条 形 图 方 式 显示 的 每 小 .
92 美国飞塔有限公司 会 话 列表 系统 状态 会 话 列表中的 每 一行 显示了 以 下 信息: 图 4: 会 话 列表 举 例 协议 连接的服务 类 型或者 协议类 型。.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 93 病毒和 攻击 定 义升级 及注册 您可以将 FortiGate 设备配置 为 连接到 Fo rti 响应 发.
94 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 本 节 描 述了 以 下 内容: · 连接到 Forti 响应 发布网络 · 配置.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-1 000 安装和配置指南 95 配置 周期 性更新 您可以将 FortiGate 设备配置 为 根据.
96 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 图 1: 配置病毒防护和 攻击 定 义 自动更新 配置更新日志 使用如.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-1 000 安装和配置指南 97 3 单击应 用。 FortiGa te 设备将测 试 到 这 个 后 备服.
98 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 不 建 议 将启用 推 送更新 作为 唯 一的获取更新的 方 式。 Forti.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-1 000 安装和配置指南 99 图 2: 网络 拓扑结 构 举 例: 通 过一个 NAT 设备的 推 .
100 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 按 照 如 下步骤 配置 FortiGate N AT 设备: 1 进 入 防火墙 > 虚.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-1 000 安装和配置指南 101 按 照 如 下步骤 配置 FortiGate N AT 设备: 1 添加 一个.
102 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 通 过 代 理服务 器 定 期 更新 如果您的 FortiGate 设备 必 须 通 过一 个 代 理服.
病毒和 攻击 定 义升级 及注册 注册 Fort iGate 设备 Fort iGate-1 000 安装和配置指南 103 很 快 您将可以获得 如 下 服务: · 访问 Fortine t 用户文档 · 访问 For.
104 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 1 进 入 系统 > 更新 > 支持。 2 在产品注册 单 中 输 入您的 联 系信 息。 图.
病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-1 000 安装和配置指南 105 更新注册信息 您可以在任何时 间 使用您 的 Fortine t 支持用户 名 和 密码 .
106 美国飞塔有限公司 更新注册信息 病毒和 攻击 定 义升级 及注册 图 7: 注册的 FortiG ate 设备列表 举 例 注册一个新的 FortiGate 设备 1 进 入 系统 > 更.
病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-1 000 安装和配置指南 107 修改 您的 Fortinet 支持 密码 1 进 入 系统 > 更新 > 支持 并单击 支持 .
108 美国飞塔有限公司 RMA 之 后 注册 Fo rtiGate 设备 病毒和 攻击 定 义升级 及注册 图 8: 下载 病毒和 攻击 定 义 更新 关于如何安装 下载 的文件的 详 细 .
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 109 网络配置 进 入 系统 > 网络 可以 对 FortiG ate 网络 做 如 下 设置: · 配置 区域 .
110 美国飞塔有限公司 配置 区域 网络配置 4 您可以选 择阻塞区 域 内部 通讯功 能以 阻塞 在 同 一 区域 中的 两 个网络 接口之 间 的 通讯 。 5 单击 确.
网络配置 配置网络接口 Fort iGate-1 000 安装和配置指南 111 配置网络接口 按 照 以 下步骤 配置 FortiGate 的网络接口: · 查看 接口列表 · 启动一个接口 · .
112 美国飞塔有限公司 配置网络接口 网络配置 4 单击 确 定以保 存 您所 做 的 修改 。 如果您 修改了 你 用 来 连接 到 FortiGa te 设备 进 行管理 操作 的.
网络配置 配置网络接口 Fort iGate-1 000 安装和配置指南 113 配置 对 一个连接到 互联 网 的接口的管理访问 方 式将 允 许从 互联 网中的任何 地 方 对 这 .
114 美国飞塔有限公司 配置网络接口 网络配置 4 设置 MTU 尺寸 。 可以将 最大 的 数 据包 尺寸 设定在 68 字 节 到 1500 字 节 之 间 。默认的 MTU 尺寸 是 15.
网络配置 配置虚拟 局域 网( VL AN ) Fort iGate-1 000 安装和配置指南 115 5 单击 应 用 以保 存 您所 做 的 修改 。 配置虚拟 局域 网( VLAN ) 使用 VLAN 技.
116 美国飞塔有限公司 配置虚拟 局域 网( VLA N ) 网络配置 图 9: VLAN 网络 典 型配置 添加 VLAN 子网络接口 每 个 VLAN 子网络接口的 VLAN I D 必 须 和服从 IEEE 802.
网络配置 配置虚拟 局域 网( VL AN ) Fort iGate-1 000 安装和配置指南 117 VLAN ID 的规 则 添加 到 同 一物理接口的 两 个 VLAN 子接口不能 有 相 同 的 VLAN ID .
118 美国飞塔有限公司 配置路由 网络配置 图 10: 添加 VLAN 子接口 9 单击 确 定 以保 存 您所 做 的 修改 。 . FortiGa te 会 把 新的子网络接口 添加 到您在 .
网络配置 配置路由 Fort iGate-1 000 安装和配置指南 119 1 进 入 系统 > 网络 > 路由 表 。 2 单击 新 建 。 3 将 源 IP 地址 和 子网 掩 码 设置 为 0.0.0. 0 。 4 将 目的 IP 地址 和 子网 掩 码 设置 为 0.
120 美国飞塔有限公司 配置路由 网络配置 添加 路由 (透明模式) 以 下操作 用于 FortiGate 在透明模式 运 行时 添加 路由: 1 进 入 系统 > 网络 > 路.
网络配置 在您的内部网络中提 供 DHCP 服务 Fort iGate-1 000 安装和配置指南 121 策略 路由 策略 路由 拓 展 了 目的路由的 功 能。您可 以使用 策略 路由根.
122 美国飞塔有限公司 在您的内部网络中提 供 DHCP 服务 网络配置 exclusionrange {< 起 点 i p 1 - 终 点 ip 1 > | none} [{< 起 点 ip 2 - 终 点 ip 2 >| none}] [{&.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 123 RIP 配置 FortiGa te 路由信息 协议 ( RIP ) 实 现支持 RIP 版本 1 ( RFC10 58 所定 义 ).
124 美国飞塔有限公司 RIP 设置 RIP 配置 RIP 设置 配置 RIP 设置以启用基本的 RI P 功 能和 度 量 ,以及配置 RIP 计 时 器 。 1 进 入 系统 >RIP> 设置。 2 .
RIP 配置 为 FortiG ate 接口配置 RIP Fort iGate-1 000 安装和配置指南 125 图 1: 配置 RIP 设置 为 FortiGate 接口配置 RIP 您可以 为 每 个 FortiGate 接口 和 VLAN 子网络.
126 美国飞塔有限公司 为 Forti Gate 接口配置 RIP RIP 配置 4 单击 确 定一保 存 选定接口 上 的 RIP 配置。 图 2: 一个内部接口 上 的 RIP 配置的例子 RIP1 发送 .
RIP 配置 添加 RIP 邻居 Fort iGate-1 000 安装和配置指南 127 添加 RIP 邻居 添加 RIP 邻居 可以定 义 用于 交 换路由信息的 邻 近 的路由 器 。将 邻居添加 到非.
128 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置 本 节 叙 述了 如 下 内容: · 添加单 一 RIP 过滤 器 · 添加 一个 RIP 过滤列表 · 添加 一个 邻居 过滤 器 .
RIP 配置 添加 RIP 过滤 器 Fort iGate-1 000 安装和配置指南 129 7 单击 确 定以将路由 前 缀 添加 到 这 个过滤 器 。 8 重复步骤 5 到 7 将路由 前 缀 添加 到 .
130 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 131 系统配置 进 入 系统 > 配置 可以 对 FortiG ate 系统配置 做 以 下改 动: · 设置.
132 美国飞塔有限公司 更 改 基于基于 Web 的管理程序的选项 系统配置 图 1: 日 期 和时 间 设置的例子 更 改 基于基于 Web 的管理程序的选 项 在 系统 >.
系统配置 添加 和 编辑 管理 员帐 号 Fort iGate-1 000 安装和配置指南 133 选 择 基于 Web 的管理程序所用的 语 言 1 在 语 言 列表中选 择 基于 Web 的管理程.
134 美国飞塔有限公司 添加 和 编辑 管理 员帐 号 系统配置 添加 新的管理 员帐 号 使用 admin 帐 号 按 照 以 下步骤 可以在 FortiGate 中 添加 新的管理 员.
系统配置 配置 SNMP Fort iGate-1 000 安装和配置指南 135 7 ( 可选的) 输 入 受 信任 主 机的的 IP 地址 和 网络 掩 码 ,从 而 允 许 这 个管 理 员 用 来 访 问.
136 美国飞塔有限公司 配置 SNMP 系统配置 4 单击应 用。 图 2: SNMP 配置的例子 FortiGate 管理信息 库 ( MIB ) FortiGa te SNMP 代 理支 持 Fort iGate 私 有 M IB 也 .
系统配置 定 制替 换信息 Fort iGate-1 000 安装和配置指南 137 FortiGate 陷阱 FortiGa te SNMP 代 理 最 多可以 向 三 个 SNMP 陷阱 接 收 器 发送 陷阱消 息。 这些 .
138 美国飞塔有限公司 定 制替 换信息 系统配置 本 节 描 述了 以 下 内容: · 定 制替 换信息 · 定 制 报 警 邮件 图 3: 替 换信息的例子 定 制替 换信息.
系统配置 定 制替 换信息 Fort iGate-1 000 安装和配置指南 139 定 制 报 警 邮件 定 制 报 警 邮件可以 控制 发送 给 系统管理 员 的报 警 邮件的内容 。 1 进.
140 美国飞塔有限公司 定 制替 换信息 系统配置 阻塞 事 件 用于文件 阻塞 报 警 邮件 消 息 片 段开始 <**BLOCK_ALERT**> 允 许的标 签 %%FILE %% %%PROTOCOL% %.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 141 防火墙配置 防火墙 策略控制 着 所有 通 过 FortiGate 设备的 通讯 。防火墙 策略是 .
142 美国飞塔有限公司 默认防火墙配置 防火墙配置 默认防火墙配置 防火墙 策略控制 接口之 间 的连接。默认 情况 下 ,您内 部网络中的用户可以 通 .
防火墙配置 默认防火墙配置 Fort iGate-1 000 安装和配置指南 143 要 在 区域 中 添加策略 ,您 必 须 使用以 下步骤 将 区域添加 到防火墙网 格 : 1 将 区.
144 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 内容配置文件 内容配置文件可以 添加 到 策略 中以 应 用 对 网页、文件传 输 和电子邮 件服务的.
防火墙配置 添加 防火墙 策略 Fort iGate-1 000 安装和配置指南 145 图 5: 添加 NAT/ 路由 策略 防火墙 策略 选项 本 节 叙 述了 您可以在防火 墙 策略 中设置.
146 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 任务 计 划 选 择 任务 计 划可以 控制策略 生 效 和用于 匹 配连 接的时 间 , 见 第 157 页 “ 任务 .
防火墙配置 添加 防火墙 策略 Fort iGate-1 000 安装和配置指南 147 流量控制 流量控制功 能 控制 可以使用的 带宽 并 设置 被策略 处理的 数 据 流 的 优 先.
148 美国飞塔有限公司 配置 策略 列表 防火墙配置 图 6: 添加 透明模式 策略 记 录 流通 日志 选 择记 录 流通 日志可以在 策略 处 理一个连接的时 候 向.
防火墙配置 配置 策略 列表 Fort iGate-1 000 安装和配置指南 149 本 节 讨 论 了 以 下 内容: · 策略匹 配的 细节 · 更 改策略 列表中 策略 的 顺 序 · 启用.
150 美国飞塔有限公司 地址 防火墙配置 启用一个 策略 启用一个 被禁 用 了 的 策略 可以使防火墙 继续 用 这 个 策略匹 配连接: 1 进 入 防火墙 > 策.
防火墙配置 地址 Fort iGate-1 000 安装和配置指南 151 5 输 入 这 个 IP 地址 。 这 个 IP 地址 可以 是 : ·单 个电 脑 的 IP 地址 (例如, 192.45. 46.45 ) 。 · 一个子网的 地址 (例如 ,一个 C 类 子网 192.
152 美国飞塔有限公司 地址 防火墙配置 删除地址 删除 一个 地址 可以 把 此 地址 移 出 地址 列表。一 旦 地址被删除了 , 这 个 地址 就 不能 再 添加 .
防火墙配置 服务 Fort iGate-1 000 安装和配置指南 153 图 8: 添加 一个内部 地址组 。 服务 使用服务可以 控制 防火墙接 受 或者 拒绝 的 流通 类 型。 可以 .
154 美国飞塔有限公司 服务 防火墙配置 ESP 封 装安全有 效载 荷 。 这 个服务用于自动 密钥交 换的 VPN 通道 和手工 密钥 VPN 通道 ,以传 输 加 密 的 数 .
防火墙配置 服务 Fort iGate-1 000 安装和配置指南 155 访问定 制 服务 如果 需 要创建 一个含有不 包 括 在 预 定 义 服务列表中的服务的 策略 ,可以 添加 .
156 美国飞塔有限公司 服务 防火墙配置 5 通 过 输 入 最 高 端 口号 和 最低端 口号 , 为 这 个 协议 指定一个 源端 口和一个目的 端 口 号的范 围 。如.
防火墙配置 任务 计 划 Fort iGate-1 000 安装和配置指南 157 任务 计 划 任务 计 划用 来 控制策略 生 效 和 无 效 的时 间 。可以 创建 一 次 性 的任务 计 .
158 美国飞塔有限公司 任务 计 划 防火墙配置 图 10: 添加 一 次 性任务 计 划任务 计 划 创建周期 性任务 计 划 可以 创建 一个 周期 性的任务 计 划在 .
防火墙配置 任务 计 划 Fort iGate-1 000 安装和配置指南 159 图 11: 添加周期 性任务 计 划 在 策略 中 添加 一个任务 计 划 在 创建 一个任务 计 划之 后 ,.
160 美国飞塔有限公司 虚拟 IP 防火墙配置 虚拟 IP NAT 模式的安全 策略 可以 对 较 不 安全的网络 隐藏较 安全的网络中的 地址 。 要 允 许从 一个 较 不.
防火墙配置 虚拟 IP Fort iGate-1 000 安装和配置指南 161 8 单击 确 定 以保 存 虚拟 IP 地址 。 您现在可以 把 这 个虚拟 IP 地址添加 到防火墙的 策略 中 了 .
162 美国飞塔有限公司 虚拟 IP 防火墙配置 8 在 映 射 IP 地址 一 栏 中, 需 要 输 入在目的网络 上 的 真 实 IP 地址 。 例如, 真 实 IP 地址 可以 是 位 .
防火墙配置 IP 池 Fort iGate-1 000 安装和配置指南 163 4 单击 确 定 以保 存 这 个 策略 。 IP 池 一个 IP 池( 也称做 动 态 IP 池) 是 一个 添加 到防火墙网.
164 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 图 14: 添加 一个 IP 池 使用 固 定 端 口的防火墙 策略 的 IP 池 如果一个 NAT 防火墙 策略转 换连接 所使用.
防火墙配置 IP/M AC 绑 定 Fort iGate-1 000 安装和配置指南 165 IP/MAC 绑 定可以 应 用于连接到防火墙的 数 据包或 者 穿 过防火墙的 数 据包。 本 节 讨 论 了 .
166 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 所有能 正常 连接到 防火墙的 数 据包 都 将 首 先 在 IP/MAC 绑 定列表中 查找匹 配的 IP/MAC 地址对 。 例如,如果 IP 地址为 1.
防火墙配置 内容配置文件 Fort iGate-1 000 安装和配置指南 167 4 配置 IP/MAC 地址绑 定如何处理在 IP/MAC 地址 列表中 没 有定 义 IP 和 MAC 地址 的 数 据 包: .
168 美国飞塔有限公司 内容配置文件 防火墙配置 默认的内容配置文件 FortiGa te 设备具有以 下 四种 默认的内 容配置文件,它们 位 于防火 墙 > 内容配.
防火墙配置 内容配置文件 Fort iGate-1 000 安装和配置指南 169 7 启用邮件 片 段和 超大 型文件 / 邮件选项。 8 单击 确 定。 图 16: 内容配置文件 举 例 将内.
170 美国飞塔有限公司 内容配置文件 防火墙配置 2 单击 包含 了 您 要添加 内容配置文件的 那 个 策略 的 策略 列表。 例如, 要 内部网络 用户从网 站 .
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 171 用户 与 认证 FortiGa te 支持使用 FortiGate 用户 数 据 库 、 RADIUS 服务 器 和 LDAP 服务.
172 美国飞塔有限公司 设置认证 超 时 用户 与 认证 设置认证 超 时 按 以 下步骤 设置认证 超 时: 1 进 入 系统 > 配置 > 选项 。 2 设置 认证 超 时 .
用户 与 认证 配置 RADI US 支持 Fort iGate-1 000 安装和配置指南 173 图 17: 添加 用户 名 从内部 数 据 库 中 删除 用户 名 您不能 删除 已 经 添加 到用户 组 .
174 美国飞塔有限公司 配置 LDAP 支持 用户 与 认证 3 输 入 RADIUS 服务 器 的 名 称 。 您可以 输 入任何 名 称 。 此 用户 名 可以包 括数 字( 0-9 ) , 大.
用户 与 认证 配置 LDAP 支持 Fort iGate-1 000 安装和配置指南 175 添加 LDAP 服务 器 按 以 下步骤 配置 Forti Gate 设备的 LDAP 认证: 1 进 入 用户 > LDAP 。 2 单.
176 美国飞塔有限公司 配置用户 组 用户 与 认证 3 单击 确 定 。 配置用户 组 要 启用认证,您 必 须 在一 个或多个用户 组 中 添加 用户 名 和 / 或 RADIU.
用户 与 认证 配置用户 组 Fort iGate-1 000 安装和配置指南 177 图 20: 添加 用户 组 3 输 入一个用于 识别 此 用户 组 的 组名 。 这 个 组名 可以 是数 字( 0.
178 美国飞塔有限公司 配置用户 组 用户 与 认证.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 179 IPSec VPN 虚拟专用网络 ( VPN ) 是 一个 拓 展 的 私 有网络,它由 穿 过 共享 或公.
180 美国飞塔有限公司 手工 密钥 IPSec VPN IPSe c VPN IPSec 提 供了 两种 控制密钥交 换 和管理的 方法 :手工 密钥 和 IKE 自动 密钥 管理。 · “ 手工 密钥 .
IPSe c VPN 手工 密钥 IPSe c VPN Fort iGate-1 000 安装和配置指南 181 本 地 和 远端 的 加密 和认证 密钥 必 须 匹 配 ; 并 且 彼 此 的 SPI 值 也 必 须 互为 镜 像.
182 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 9 从列表中选 择 一个认证 算法 。 在 通道 的 两 端 需 要 使用 相 同 的认证 算法 。 10 输 入认证 密钥 .
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-1 000 安装和配置指南 183 为 自动 IKE VPN 添加 第一 阶 段配置 当 您 添加 第一 阶 段配置的时 候 ,您 需 要 定 义 Forti Ga.
184 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 8 输 入 密钥 寿 命。 指定在第一 阶 段 密钥 的有 效期 。 密钥 有 效期是 在第一 阶 段 加密密钥 过 期 .
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-1 000 安装和配置指南 185 4 (可选的) NAT 跨越 。 5 (可选的)配置 端 点 失效 检测。 使用 这些 设置可以 监视 VPN 双 .
186 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 图 21: 添加 第一 阶 段配置 为 自动 IKE VPN 添加 第 二阶 段配置 添加 第 二阶 段配置以指定 在本 地 VPN 端.
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-1 000 安装和配置指南 187 5 配置 P2 提 议 。 可以 为 第 二阶 段的提 议 最 多选 择 三 个 加密 和认证 算法 组合 。 VPN .
188 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 22: 添加 第 二阶 段配置 管理 数 字证 书 在一个 IPSec 通讯 会 话 的参 与 双 方 建立 一个 加密 的 VPN .
IPSe c VPN 管理 数 字证 书 Fort iGate-1 000 安装和配置指南 189 2 单击 生 成 。 3 输 入一个证 书名 称 。 输 入的 名 称 。 这 个 名 称 可以含有 数 字( 0-9 .
190 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 23: 添加 本 地 证 书 下载 证 书 请 求 您可以使用如 下操 作 将证 书 请 求 从 FortiGate 设备 下载 到管.
IPSe c VPN 管理 数 字证 书 Fort iGate-1 000 安装和配置指南 191 4 申 请一个 签名了 的本 地 证 书 。 按 照 CA 网页服务 器 的指 令 进 行如 下操作 : · 将一.
192 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 单击 确 定。 在本 地 证 书 列表中将 显示签名 的本 地 证 书 ,其 状态为 OK 。 获得一个 CA 证 书 VPN 双 .
IPSe c VPN 配置 加密策略 Fort iGate-1 000 安装和配置指南 193 尽 管 加密策略同 时 控制进 入和发出的连 接,它 必 须 被 配置 成为 一个 向 外的 策略 。一 .
194 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 输 入 互联 网 上 的一个 VPN 客户 端 或 是远 程 VPN 网关 后 边 的一个网络的 地址名 , IP 地址 和网络 掩.
IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-1 000 安装和配置指南 195 图 25: 添加 一个 加密策略 IPSec VPN 集 中 器 在一个 星 型配置的 网络中,所有的 VP N 通道 都 .
196 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN 如果 VPN 端 点 是 一个 辐条 ,它 需 要 一个 通道 以将它连接到 集线器 ( 但 是 不连接到 其他 辐条 ).
IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-1 000 安装和配置指南 197 请 见 第 194 页 “ 添加 一个 加密策略 ” 。 5 按 以 下顺 序 排 列 策略 : ·加密策略 · 默认.
198 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN VPN 辐条 一 般 配置 步骤 一个 实 现 辐条功 能的 远 程 VPN 端 点 需 要 以 下 配置: · 一个到 集线 器 .
IPSe c VPN 冗余 IPSe c VPN Fort iGate-1 000 安装和配置指南 199 请 见 第 194 页 “ 添加 一个 加密策略 ” 。 6 按 照 如 下顺 序 排 列 策略 : ·向 外 加密策略 ·.
200 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN 按 如 下步骤 配置 IPSec 冗余 : 1 最 多可以 为 三 个 VPN 连接 添加 第一 阶 段参 数 。 除了 网关 名 .
IPSe c VPN VPN 监视 和问 题解答 Fort iGate-1 000 安装和配置指南 201 图 27: 自动 IKE 密钥通道状态 查看拨 号 VPN 连接的 状态 您可以使用 拨 号 监 视器查看拨 .
202 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 203 PPTP 和 L2TP VPN 您可以使用点 对 点 隧 道 协议 ( PPTP )和第 二层 隧 道 协议 ( L2T.
204 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 图 29: Windo ws 客户和 FortiG ate 之 间 的 PPTP VPN 把 FortiGate 配置 为 PPTP 网关 按 照 以 下步骤 将 FortiGate 设备配.
PPTP 和 L2TP VPN 配置 PPTP Fort iGate-1 000 安装和配置指南 205 图 30: PPTP 地址 范 围 配置的例子 添加 一个 源地址 对 PPTP 地址 范 围 中的 每 个 地址添加 一个 .
206 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 6 单击 确 定以 添加 这 个 地址组 。 添加 一个目的 地址 添加 一个 PPTP 用户可以连接到的 地址 。 1 进 入 .
PPTP 和 L2TP VPN 配置 PPTP Fort iGate-1 000 安装和配置指南 207 9 重 新启动电 脑 。 配置 PPTP 拨 号连接 1 进 入 我 的电 脑 > 拨 号 网络 > 配置 。 2 双 击 新.
208 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 连接到 PPTP VPN 1 启动您在 上面步骤 中 刚刚 建立 的 拨 号连接。 2 输 入您的 PPTP VPN 用户 名 和 密码 。 3 .
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-1 000 安装和配置指南 209 11 确 定以 下 选项 没 有 没 选中 : · 微 软 网络的文件和 打 印 共享 · 微 软 网络客户 12 单.
210 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 图 31: Windo ws 客户和 FortiG ate 之 间 的 L2TP VPN 把 FortiGate 配置 为 L2TP 网关 按 以 下步骤 将 Fort iGate 设备.
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-1 000 安装和配置指南 211 图 32: L2TP 地址 范 围 配置的例子 6 把 L2TP 地址 范 围 中的 地址添加 到外部 区域地址 列表 。.
212 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 3 输 入一个用于 识别 地址组 的 组名 称 。 这 个 名 称 可以包含 数 字 (0-9), 大 写 或 小 写 字 母 (A- Z.
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-1 000 安装和配置指南 213 4 在 目的 地址 一 栏 , 输 入您 要 连接的 FortiGate 的 地址 , 单击 下 一 步 。 5 将连接设置 .
214 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 4 在连接 窗 口, 输 入您的 拨 号网络连接的用户 名 和 密码 。 这 个用户 名 和 密码 不 同 于您的 L2T.
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-1 000 安装和配置指南 215 禁 用 IPSec 1 选 择 网络 标 签 。 2 选 择互联 网( TCP/IP ) 协议属 性。 3 双 击 高 级 标 签 。.
216 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 217 网络入侵检测系统 (NIDS) FortiGa te NIDS 是 一个 实 时的网络入侵 探 测 器 ,它 使用 .
218 美国飞塔有限公司 检测 攻击 网络入侵检测系统 (NI DS) 3 单击 应 用 以保 存 您所 做 的 修改 。.
网络入侵检测系统 (NI DS) 检测 攻击 Fort iGate-1 000 安装和配置指南 219 验 证 校验 和的配置 校验 和 验 证测 试通 过 FortiGa te 的文件, 确 保他 们在传送.
220 美国飞塔有限公司 检测 攻击 网络入侵检测系统 (NI DS) 3 打 开网页 浏 览 器并 输 入以 下 URL : http://www.fortinet.com/ids/ID< 攻击 ID> 记 住 要 包 括 .
网络入侵检测系统 (NI DS) NIDS 攻击预 防 Fort iGate-1 000 安装和配置指南 221 添加 用户定 义 的特 征 您可以在一个文本 文件中 创建 用户定 义 特 征 列表 .
222 美国飞塔有限公司 NIDS 攻击预 防 网络入侵检测系统 (NIDS) · 启用 NIDS 攻击预 防 · 启用 NIDS 攻击预 防特 征 · 设置特 征临界值 · 配置 握 手 溢 出特 .
网络入侵检测系统 (NI DS) NIDS 攻击预 防 Fort iGate-1 000 安装和配置指南 223 设置特 征临界值 您可以 表 7 中列出的 NIDS 攻击预 防特 征 的默认的 临界值 。 .
224 美国飞塔有限公司 记 录 NIDS 攻击 日志 网络入侵检测系统 ( NIDS) 配置 握 手 溢 出特 征值 您可以设置 对握 手 溢 出特 征进 行检测的 临界值 、 队 .
网络入侵检测系统 (NI DS) 记 录 NIDS 攻击 日志 Fort iGate-1 000 安装和配置指南 225 减少 NIDS 攻击 日志 消 息和报 警 邮件的 数量 入侵 企 图可能产 生 大量 .
226 美国飞塔有限公司 记 录 NIDS 攻击 日志 网络入侵检测系统 ( NIDS).
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 227 防病毒保护 在防火墙 策略 中启用 了 防病毒保 护 功 能。 当 您启用一个防火墙 .
228 美国飞塔有限公司 防病毒扫描 防病毒保护 6 配置 FortiGat e 设备在 阻塞 或 删除 被感染 的文件时发送 的报 警 邮件,请 见 日志和 消 息 参 考 指南 .
防病毒保护 文件 阻塞 Fort iGate-1 000 安装和配置指南 229 图 37: 病毒扫描的内容配置文件的例子 文件 阻塞 启用文件 阻塞删除 所有的文件以 阻 止 潜 在.
230 美国飞塔有限公司 隔离 防病毒保护 默认 情况 下 , 当阻塞功 能启用时, FortiGate 按 照 以 下 文件 名样板阻塞 文件: · 可 执 行文件 (*.bat, * .com, 和 *.e xe) · 压缩 或 存 档文件 (*.gz, *.ra r, *.
防病毒保护 隔离 Fort iGate-1 000 安装和配置指南 231 在 FortiGat e 设备中, 被隔离 的文 件的文件 名显示 在 隔离 列表 里 。列 表 显示 每 个 被 隔离 的文.
232 美国飞塔有限公司 隔离 防病毒保护 隔离 列表 排 序 您可以根据 状态 ( 感染 或 阻塞 ) 、服务 (IMAP, POP3, S MTP, FTP, 或 HTTP), 文件 名 的字 母 顺 序.
防病毒保护 阻塞 过 大 的文件和电子邮件 Fort iGate-1 000 安装和配置指南 233 2 单击下载 以 原 始 格 式 下载被隔离 的文件 。 配置 隔离 选项 您可以指定.
234 美国飞塔有限公司 查看 病毒列表 防病毒保护 按 以 下 方法 将 FortiGate 设备配置 为 传 递 邮件 片 段: 1 在内容配置文件中 启用邮件 片 段传 递 。 .
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 235 网页内容过滤 在防火墙 策略 中可以启用网页内 容过滤 功 能。您在一 个防火墙 .
236 美国飞塔有限公司 内容 阻塞 网页内容过滤 4 配置 当 FortiGa te 设备 阻塞 不 受欢迎 的内容或不 受欢迎 的 URL 的时 候 用户 收 到的信息。 请 见 第 13.
网页内容过滤 阻塞对 URL 的访问 Fort iGate-1 000 安装和配置指南 237 图 38: 禁忌词汇 列表 举 例 阻塞对 URL 的访 问 您可以使用 FortiGate 网页过滤 功 能或 Cer.
238 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 3 输 入 要阻塞 的 U RL 。 输 入一个 顶 级 URL 或者 IP 地址 可以 阻塞对 一个 站 点 上 所有网页的访问。 例如, www.badsite.com 或者 122.133.144.
网页内容过滤 阻塞对 URL 的访问 Fort iGate-1 000 安装和配置指南 239 下载 URL 阻塞 列表 您可以将 URL 阻塞 列表备 份 , 方法 是 将它 下载 到管理 员 电 脑.
240 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 如果您 为 您的 FortiGate 设备 购买 了 Cerberian 网页过滤 功 能, 按 照 以 下步骤为 FortiGa te 设备配.
网页内容过滤 阻塞对 URL 的访问 Fort iGate-1 000 安装和配置指南 241 配置 Cerberian 网页过滤 您在 FortiGat e 设备中 添加了 Cerberian 网页过滤用户之 后 ,可 以.
242 美国飞塔有限公司 脚 本过滤 网页内容过滤 脚 本过滤 使用以 下 方法 可以将 FortiGate 配置 为 从网页中 删除脚 本。您可以将 FortiGate 配 置 为阻塞 ja.
网页内容过滤 URL 排除 列表 Fort iGate-1 000 安装和配置指南 243 URL 排除 列表 在 URL 排除 列表中 添加 的 URL 是为了避免 正常 的 数 据 流被 内容过滤或 URL .
244 美国飞塔有限公司 URL 排除 列表 网页内容过滤.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 245 电子邮件过滤 防火墙 策略 中可以 使用电子邮件过滤。 当 您在一个防火墙 策略 .
246 美国飞塔有限公司 电子邮件 阻塞 列表 电子邮件过滤 您可以用 西方 字 符 集 、简 体 中文、 繁 体 中文、 日文、或 韩 文字 符 集 使用多 种 语 言 .
电子邮件过滤 邮件 排除 列表 Fort iGate-1 000 安装和配置指南 247 3 输 入一个 阻塞 模 板 。 ·要 标 记 来 自一个特定 地址 的所有邮件 , 只需输 入 这 个邮件的 地址 。例如, sender@abccompany.com 。 ·要 标 记 从特定 域 来 的邮件, 输 入 域名 。例如, abccompany.
248 美国飞塔有限公司 添加 一个 主题 标 签 电子邮件过滤 添加 一个 主题 标 签 当 FortiGat e 设备从一个不 受欢迎 的 地址 收 到电子邮件 、或 收 到含.
FortiG ate-100 0 安装和配置指南 2. 50 版 Fort iGate-1 000 安装和配置指南 249 日志和报告 您可以将 FortiGate 设备配置 为记 录网络的各 种活 动,从 常 规配置的.
250 美国飞塔有限公司 记 录日志 日志和报告 在 远 程电 脑上记 录日志 以 下操作 用于将 FortiGat e 配置 为 将日志 消 息 记 录到一 台 远 程电 脑上 。 .
日志和报告 记 录日志 Fort iGate-1 000 安装和配置指南 251 以 下操作 设置日志 的 记 录 方 式 为记 录到 硬盘 : 1 进 入 日志 与 报告 > 日志设置 。 2 选.
252 美国飞塔有限公司 过滤日志 消 息 日志和报告 过滤日志 消 息 您可以选 择记 录 哪 种 日志和在 每种 日志中 记 录 哪 类 消 息。 1 进 入 日志和报.
日志和报告 配置 通讯 日志 Fort iGate-1 000 安装和配置指南 253 图 43: 日志过滤配置的例子 配置 通讯 日志 您可以将 FortiGate 设备配置 为记 录以 下 连接的.
254 美国飞塔有限公司 配置 通讯 日志 日志和报告 启用 通讯 日志 您可以 对 任何接口 、 VLAN 子接口和防火墙 策略 启 用日志 记 录。 在网络接口 上 启.
日志和报告 配置 通讯 日志 Fort iGate-1 000 安装和配置指南 255 3 单击应 用。 图 44: 通讯 过滤列表的例子 添加通讯 过滤的 条 目 在 通讯 过滤列表中 添加.
256 美国飞塔有限公司 查看记 录到内 存 的日志 日志和报告 图 45: 新 通讯地址条 目的例子 查看记 录到 内 存 的日志 如果 FortiGat e 被 配置 为 在内 存 .
日志和报告 查看 和管理保 存 在 硬盘上 的日志 Fort iGate-1 000 安装和配置指南 257 5 选 择 或 可以 搜索与 某 个或 多个 给 定 条 件 匹 配的 消 息。 6 选 .
258 美国飞塔有限公司 查看 和管理保 存 在 硬盘上 的日志 日志和报告 2 选 择 事 件日志、 攻击 日 志、防病毒日志、 网页过滤日志或电子 邮件过滤日.
日志和报告 配置报 警 邮件 Fort iGate-1 000 安装和配置指南 259 删除 一个保 存了 的日志文件 按 照 如 下步骤操作 可以 删除 一个保 存了 的日志文件: 1 .
260 美国飞塔有限公司 配置报 警 邮件 日志和报告 6 在 邮件发送到 一 栏 最 多可以 输 入 三 个目的 地址 。 这 个 地址是 FortiG ate 将报 警 邮件 实 际 .
Fort iGate-1 000 安装和配置指南 261 FortiGa te-1000 安装和配置指南 2.50 版 术语表 连接: 两台 电 脑 之 间 、 应 用 程序之 间 、 进 程之 间 或者其 他 诸 如 .
262 美国飞塔有限公司 术 语 表 MTU , 最大 传 输 单 元 : 一 个网络可以传 输 的 数 据包的 最 大 物理 尺寸 ,以字 节为单 位 。任何 大 于 MTU 的 数 据.
Fort iGate-1 000 安装和配置指南 263 FortiG ate-100 0 安装和配置指南 2.50 版 索引 A ActiveX 242 从网页中 删除 242 admin 级 别 访问 管理 员帐 号 133 安装 向 导 32, 45.
264 美国飞塔有限公司 索引 策略 列表 配置 148 重 命 名区域 110 从内容和 URL 阻塞 中 排除 URL 243 cookies 阻塞 242 测 试 报 警 邮件 260 超 时 防火墙认证 132 .
索引 Fort iGate-1 000 安装和配置指南 265 服务 组 156 G 高可用性 介 绍 5 关 闭 88 固 定 端 口 146 过 大 的文件和电子邮件 阻塞 233 固 件 安装 78 从 CLI 升级 75.
266 美国飞塔有限公司 索引 IP 池 添加 163 IP 地址 从 CLI 配置 47 IP 地址 IP/MAC 绑 定 164 P 地址 使用 前面板控制按钮 和 LCD 33, 46 IP 欺骗 164 IPSec 26 1 176 IPSec V.
索引 Fort iGate-1 000 安装和配置指南 267 LDAP 服务 器 添加 服务 器地址 175 删除 175 连接 到基于 Web 的管理程序 18 到您的网络 34 到网络 48 邻居 RIP 127 流量.
268 美国飞塔有限公司 索引 Q 清 除 通讯 会 话 91 URL 阻塞 列表 238 启动 17 起 点 IP L2TP 210 PPTP 204 启动时 间 显示 86 启用 策略 150 权限 管理 员帐 号 135 区.
索引 Fort iGate-1 000 安装和配置指南 269 搜索 日志 257 保 存 到 FortiGa te 硬盘 的日志 257 记 录到内 存 的日志 256 受 信 主 机 管理 员帐 号 134, 13 5 使用基于.
270 美国飞塔有限公司 索引 网络入侵 侦 测系统 217 网络 掩 码 添加地址 151 网页 内容 阻塞 236, 24 5 网页过滤 概 述 245 网页内容过滤 ActiveX 242 cookies 242 .
索引 Fort iGate-1 000 安装和配置指南 271 自动 攻击 定 义 更新 93 自动 IKE 180 介 绍 180 预 置 密钥 180 AutoIKE 证 书 180 终 点 IP 地址 PPTP 204 终 点 IP 地址 L2TP 21.
272 美国飞塔有限公司 索引.
Un point important après l'achat de l'appareil (ou même avant l'achat) est de lire le manuel d'utilisation. Nous devons le faire pour quelques raisons simples:
Si vous n'avez pas encore acheté Fortinet 1000 c'est un bon moment pour vous familiariser avec les données de base sur le produit. Consulter d'abord les pages initiales du manuel d'utilisation, que vous trouverez ci-dessus. Vous devriez y trouver les données techniques les plus importants du Fortinet 1000 - de cette manière, vous pouvez vérifier si l'équipement répond à vos besoins. Explorant les pages suivantes du manuel d'utilisation Fortinet 1000, vous apprendrez toutes les caractéristiques du produit et des informations sur son fonctionnement. Les informations sur le Fortinet 1000 va certainement vous aider à prendre une décision concernant l'achat.
Dans une situation où vous avez déjà le Fortinet 1000, mais vous avez pas encore lu le manuel d'utilisation, vous devez le faire pour les raisons décrites ci-dessus,. Vous saurez alors si vous avez correctement utilisé les fonctions disponibles, et si vous avez commis des erreurs qui peuvent réduire la durée de vie du Fortinet 1000.
Cependant, l'un des rôles les plus importants pour l'utilisateur joués par les manuels d'utilisateur est d'aider à résoudre les problèmes concernant le Fortinet 1000. Presque toujours, vous y trouverez Troubleshooting, soit les pannes et les défaillances les plus fréquentes de l'apparei Fortinet 1000 ainsi que les instructions sur la façon de les résoudre. Même si vous ne parvenez pas à résoudre le problème, le manuel d‘utilisation va vous montrer le chemin d'une nouvelle procédure – le contact avec le centre de service à la clientèle ou le service le plus proche.
