Networker备份实施文档
完成时间:2010-12-21
目录
一、环境描述 (5)
1.1、主机系统描述 (5)
1.2、备份系统描述 (5)
1.3、Networker模块 (6)
1.4、网络拓扑 (7)
二、安装准备 (8)
2.1、Networker版本与兼容性 (8)
2.1.1、networker7.6兼容性 (8)
2.1.2、Networker module for oracle 5.0兼容性 (9)
2.2、操作系统一般要求 (9)
2.2.1、Windows一般要求 (9)
2.2.2、unix一般要求 (10)
2.2.3、语言支持 (10)
2.3、TCP/IP要求 (10)
2.4、客户端软件要求 (11)
2.4.1、位置和空间要求 (11)
2.4.2、linux环境需求 (12)
2.5、服务器端软件安装要求 (12)
2.5.1、一般要求 (12)
2.5.2、RedHat平台要求 (12)
2.5.3、位置和空间要求 (13)
2.5.4、必须的linux软件发行版 (14)
2.5.5、Networker服务器内存和存储要求 (14)
2.5.6、Networker控制台(NMC)服务器需求 (14)
三、安装Networker软件 (16)
3.1、安装LINUX服务器端 (16)
3.1.1、安装软件包 (16)
3.1.2、配置NMC控制台 (17)
3.1.3、启动Networker守护进程 (17)
3.1.4、启动NetWorker Console 守护程序 (18)
3.1.5、安装过程中修改和生成的文件 (18)
3.2、安装LINUX客户端 (19)
3.2.1、安装软件包 (19)
3.2.2、启动Networker守护进程 (20)
3.3、安装Windows客户端 (21)
3.3.1、安装client软件 (21)
3.3.2、Networker客户端服务 (25)
3.4、卸载Networker (26)
3.4.1、linux下卸载Networker (26)
3.4.2、Windows下卸载Networker (26)
四、使用Networker (28)
4.1、启动控制台 (28)
4.2、配置Networker资源 (33)
4.2.1、配置卷标签模板 (33)
4.2.2、配置池 (34)
4.2.3、配置文件备份设备 (35)
4.2.4、配置服务器带库备份设备 (38)
4.2.5、配置存储节点带库备份设备 (42)
4.3、配置文件备份任务 (49)
4.3.1、配置备份组 (49)
4.3.2、配置时间表 (51)
4.3.3、配置策略 (53)
4.3.4、配置客户机 (53)
4.4、启动并监视备份任务 (54)
4.5、文件恢复 (56)
4.5.1、Windows下的文件恢复(图形界面) (56)
4.5.2、linux下的文件恢复(命令行方式) (59)
4.6、Networker注册 (61)
五、Networker日常管理与维护 (64)
5.1、检查备份任务完成状态 (64)
5.2、检查备份卷使用空间 (65)
5.3、Networker活动日志 (65)
5.4、networker进程介绍及服务重启 (66)
5.5、磁带机配置及操作方法 (68)
一、环境描述
1.1、主机系统描述
Networker服务器管理员用户名密码:administrator/networker
1.2、备份系统描述
1.3、Networker模块
1.4、网络拓扑
二、安装准备
2.1、Networker版本与兼容性2.1.1、networker7.6兼容性
linux系统
Windows系统
2.1.2、Networker module for oracle 5.0兼容性
支持在当前环境下安装Networker7.6和NMO5.0
2.2、操作系统一般要求
2.2.1、Windows一般要求
以下是NetWorker for Windows 软件安装的一般要求:
◆请不要在Windows 计算机名称中包含下划线字符( _ )。
◆如果NetWorker 软件安装在文件分配表(FAT) 分区中,请不要禁用长名称支持。
◆Microsoft Windows Installer 2.0 (msiexec.exe) 随NetWorker 7.3 版软件提供。如果目标计算机使用的是Windows Installer 的早期版本,将更新此版本,并且在安装或更新NetWorker 软件期间需要重新引导系统。有关如何确定Windows Installer版本以及如何更新版本(如果需要)的说明,请参阅Microsoft Windows 文档。
◆InstallShield 要求必须将整个安装程序放在内存中,即使只计划安装一个NetWorker软件组件也是如此。
◆确保已安装最新的Microsoft Windows 更新或关键的增补程序。
2.2.2、unix一般要求
适用于NetWorker UNIX 软件安装:
◆请确保安装了最新的操作系统修补程序。
◆确保与NetWorker 软件一起使用的磁带设备的块大小模式已设置为“可变”。否则,数据恢复可能失败。设置设备区块大小的步骤因操作系统而异。有关在操作系统中设置磁带设备块大小的信息,请参阅相应操作系统的文档资料。
2.2.3、语言支持
要查看非英语数据,请确保操作系统已安装所需的语言支持软件,并且已启用相应的语言环境。
2.3、TCP/IP要求
以下是TCP/IP 网络通信要求:
◆所有NetWorker 服务器、存储节点和客户端主机都必须安装、配置TCP/IP 并使用TCP/IP 联网。
◆必须将NetWorker 服务器主机名添加到网络的域名系统(DNS) 数据库,或者添加到位于以下目录的本地hosts 文件中:
? 在Microsoft Windows 上:
%SystemRoot%\system32\drivers\etc
? 在UNIX 上:
/etc/hosts
注意:如果使用DNS,则必须正确配置反向查找。
◆所有的Linux、UNIX 和AIX 平台都需要本地主机/etc/hosts 文件中的::1 条目以运行NetWorker 软件。该条目的格式必须为“::1 本地主机别名”
◆如果NetWorker 服务器主机是一个动态主机配置协议(DHCP) 客户端,则它必须具有保留的地址。
◆TCP/IP 主机名必须与计算机名称相同。不要在计算机名称中包含下划线字符(_)。
◆如果使用具有动态地址的DHCP,则DHCP 必须与DNS 同步。
◆NetWorker 服务器的TCP/IP 主机名和计算机的名称必须相同。
2.4、客户端软件要求
2.4.1、位置和空间要求
NetWorker ClientPak 的默认位置和空间要求
2.4.2、linux环境需求
要在Linux 客户端系统上安装NetWorker 软件,必须满足以下要求。
2.5、服务器端软件安装要求
2.5.1、一般要求
以下路径名和目录是安装所必需的:
◆对于服务器上的目录(通常为/nsr),要求其空间足以存放NetWorker 资源、客户端、服务器索引和媒体数据库。
◆至少一个存储设备的系统路径名,由NetWorker 服务器用于备份文件和恢复文件。
◆如果有磁带设备正用于备份数据,则应使用该设备的有效路径名。该磁带设备必须为非倒带设备。
2.5.2、RedHat平台要求
在Red Hat 和SuSE Linux 平台上,需要在安装和运行NetWorker 软件之前安装兼容库(例如,/usr/lib/libstdc++.so.5)。包含此库的软件包名称可能因Red Hat 和SuSE 平台而异。
◆对于Red Hat 4 和5,该软件包名称为compat-libstdc++-33-3.2.3.-47.3。
同时,在Red Hat 5 上,需要禁用强制访问控制体系结构SELinux。默认情况下,SELinux 是启用的。
要禁用Red Hat 5 上的SELinux,请执行以下操作:
1. 请运行“系统配置安全级别”。
2. 在显示的窗口中,选择“SELinux 选项卡”。
3. 选择“禁用SELinux”。
2.5.3、位置和空间要求
linux下安装Networker服务器端的位置和空间要求
2.5.4、必须的linux软件发行版
2.5.5、Networker服务器内存和存储要求
2.5.6、Networker控制台(NMC)服务器需求
要管理NetWorker 服务器,必须在数据区中的一台计算机上安装Console 服务器软件。只需在一台计算机上安装NetWorker Console 服务器软件,即可管理多台NetWorker 服务器。安装Console 服务器软件的一般要求包括以下内容:
◆网络已安装NetWorker 服务器、客户端和存储节点,并获得相关许可。NetWorker License Manager 软件是可选的。
◆Java Runtime Environment (JRE),用于:
? 支持命令行报告功能。
? 下载Console 客户端软件并显示用户界面。
注意:NetWorker 的64 位版本需要32 位的JRE。
◆设置具有有限权限的用户/ 组,供NMC 用来运行Web 服务器。该用户必须为非root 用户。例如,Solaris、Linux 和AIX 操作系统具有一个默认的用户/ 组[nobody/nobody] 可供使用。
三、安装Networker软件
3.1、安装LINUX服务器端
3.1.1、安装软件包
LINUX环境下,要在指定为NetWorker 服务器的计算机上安装NetWorker 服务器,安装以下软件包:
请执行以下操作:
1. 以root用户登录到NetWorker Linux 主机。
2. 转到包含NetWorker 软件的目录。
3. 键入相应的命令:
rpm -ivh lgtoclnt-7.6-1.i686.rpm
依次安装所需的软件包。
在安装clnt软件包中,会安装HomeBase Agent 。HomeBase Agent用于收集其所在主机的操
作系统平台的配置信息,此信息叫做配置文件。RedHat5.4不被HomeBase Agent所支持,可不必安装HomeBase Agent。
3.1.2、配置NMC控制台
在nmc软件包安装完成后,请运行此配置脚本,以在/opt/lgtonmc 目录中安装lgtonmc 软件包:
/opt/lgtonmc/bin/nmc_config
1. 指定具有有限权限的用户/ 组,供NMC 用来运行Web 服务器。该用户必须为非root 用户。例如,Linux 操作系统具有一个默认的用户/ 组[nobody/nobody] 可供使用。
2. 对于Web 服务器端口号,请使用默认端口号(9000) 或自定义端口号。介于1024和49151 之间的任何端口号均有效。
3. 对于Console 服务器,请使用默认端口号(9001) 或自定义端口号。介于1024 和49151 之间的任何端口号均有效。
注意:请不要使用已使用的端口号。端口2638 为NetWorker Console 软件保留,用于使用表格格式数据流(TDS) 协议与数据库进行通信。9002 端口是EMC Backup Advisor 产品的首选端口。
4. 指定要用于lgtonmc 数据库的目录(例如/export/home/lgto_gstdb)。
5. 指定NetWorker 二进制文件的位置(例如/usr/sbin)。
3.1.3、启动Networker守护进程
启动后,NetWorker 软件会在根磁盘分区上创建/nsr 目录。要更改nsr 目录的默认位置,
请在启动NetWorker 守护程序前进行。完成安装过程后,必须启动NetWorker 守护程序:◆键入以下命令以启动NetWorker 守护程序:
/etc/init.d/networker start
◆键入以下命令以确定是否启动了NetWorker 守护程序:
ps -ef | grep nsr
注意:仅当启用一个或多个设备之后,NetWorker 守护程序nsrmmd 才会启动。仅在启用库之后,才会在Server 中启动nsrmmgd 和nsrlcpd 守护程序。
3.1.4、启动NetWorker Console 守护程序
/etc/init.d/gst start
NetWorker Console 守护程序包括:
? gstd
? dbsrv9
? httpd(2 个或更多进程)
3.1.5、安装过程中修改和生成的文件
在安装过程中,NetWorker 软件会修改以下系统文件。要保留当前配置的副本,请保存以下原始文件:
◆/etc/rpc
◆/etc/syslog.conf
◆/etc/ld.so.conf
在安装过程中,会添加以下文件:
◆/etc/init.d/networker
◆/etc/init.d/rc3.d/S95networker
◆/etc/init.d/rc5.d/S95networker
◆/etc/init.d/rc0.d/K05networker
3.2、安装LINUX客户端
3.2.1、安装软件包
LINUX环境下,要在指定为NetWorker客户端的计算机上安装NetWorker 软件,安装以下软件包:
请执行以下操作:
1. 以root用户登录到NetWorker Linux 主机。
2. 转到包含NetWorker 软件的目录。
3. 键入相应的命令:
rpm -ivh lgtoclnt-7.6-1.i686.rpm
依次安装所需的软件包。
在安装clnt软件包中,会安装HomeBase Agent 。HomeBase Agent用于收集其所在主机的操作系统平台的配置信息,此信息叫做配置文件。RedHat5.4不被HomeBase Agent所支持,可不必安装HomeBase Agent。
3.2.2、启动Networker守护进程
启动后,NetWorker 软件会在根磁盘分区上创建/nsr 目录。要更改nsr 目录的默认位置,请在启动NetWorker 守护程序前进行。完成安装过程后,必须启动NetWorker 守护程序:◆键入以下命令以启动NetWorker 守护程序:
/etc/init.d/networker start
◆键入以下命令以确定是否启动了NetWorker 守护程序:
ps -ef | grep nsr
注意:仅当启用一个或多个设备之后,NetWorker 守护程序nsrmmd 才会启动。仅在启用库之后,才会在Server 中启动nsrmmgd 和nsrlcpd 守护程序。
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
fortigate 简易设置手册 一、更加语言设置: 1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入: https://192.168.1.99进入设置界面,如下图: 2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置), 进入如下图:在红框标注的位置进行语言选择。 二、工作模式的设置:
Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式; 要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。 三、网络接口的设置: 在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。 点击编辑按钮,进入如下图所示: 在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式: 1、采用静态IP的方式:如下图: 在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中,指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。 在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。如下图:
2、如采用ADSL拨号的方式,如下图: 当你选中PPOE就会出现如下图所示的界面: 在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
F o r t i g a t e3.0M R4中文配置向导 目录 介绍(关于这篇文章介绍)-------------------------------------------------------------------------------------3 Fortigate 60防火墙介绍---------------------------------------------------------------------------------------4其他systex安全产品---------------------------------------------------------------------------------------4 SOHU&中小型网络拓扑结构-------------------------------------------------------------------------------5注:文中的IP地址以实际操作时配置的地址为准。不必照搬。 准备工作 1.修改自己电脑IP 2.进入防火墙界面 3.修改防火墙密码(以及忘记密码如何操作) 4. 配置防火墙的内网IP地址----------------------------------------------------------------------------------9目的:把防火墙的IP修改成自己想要的IP 配置局域网共享上网----------------------------------------------------------------------------------------10目的:使局域网的PC都能通过防火墙连接到Internet 设置ADSL用户名和密码拨号上网 设置固定IP上网 设置动态分配IP上网 配置双WAN共享上网---------------------------------------------------------------------------------------14目的:使用2根宽带线路连接到Internet 设置WAN2 设置WAN2 ADSL用户名和密码拨号上网 设置WAN2 固定IP上网 设置WAN2动态分配IP上网 配置特定人员从指定WAN口上网------------------------------------------------------------------------17目的:使特定人员从指定的WAN口上网 设置步骤 配置WEB服务器映射---------------------------------------------------------------------------------------19目的 设置虚拟服务器 设置地址映射 设置开放端口 配置过滤---------------------------------------------------------------------------------------------------------26目的 设置URL(网站地址)过滤
飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见https://www.doczj.com/doc/707004791.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。 fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、fortiguard 入侵防护(ips)服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括: 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能: 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。
第1章第2章2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章3.1 3.2 录 FORTINET 配置步骤配置步骤...... 2 FORTINET 防火墙日常操作和维护命令 (29) 防火墙配置......29 防火墙日常检查 (29) 防火墙的会话表:(系统管理-状态-会话)......29 检查防火墙的CPU、内存和网络的使用率......31 其他检查 (31) 异常处理……31 使用中技巧……32 FORTGATE 防火墙配置维护及升级步骤…… 33 FORTIGATE 防火墙配置维护......33 FORTIGATE 防火墙版本升级 (33) 第1章Fortinet 配置步骤章 1.1.1.1 Fortigate 防火墙基本配置 Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理IP 地址,缺省的基本管理地址为P1 口192.168.1.99,P2 口192.168.100.99。但是由于P1 口和P2 口都是光纤接口,因此需要使用Console 口和命令行进行初始配置,为了配置方便起见,建议将P5 口配置一个管理地址,由于P5 口是铜缆以太端口,可以直接用笔记本和交叉线连接访问。之后通过https 方式登陆到防火墙Internal 接口,就可以访问到配置界面 1. 系统管理”菜单 1.1 “状态”子菜单1.1.1 “状态”界面 “状态”菜单显示防火墙设备当前的重要系统信息,包括系统的运行时间、版本号、OS 产品序列号、端口IP 地址和状态以及系统资源情况。如果CPU 或内存的占用率持续超过80%,则往往意味着有异常的网络流量(病毒或网络攻击)存在。 1.1.2 “会话”显示界面 Fortigate 是基于“状态检测”的防火墙,系统会保持所有的当前网络“会话”(sessions)。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的IP”和“源/目的端口”的过滤,可以了解更特定的会话信息。例如,下图是对源IP 为10.3.1.1 的会话的过滤显示 通过“过滤器”显示会话,常常有助于发现异常的网络流量。1.2 “网络”子菜单1.2.1 网络接口 如上图,“接口”显示了防火墙设备的所有物理接口和VLAN 接口(如果有的话),显示IP 地址、访问选项和接口状态。“访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如:对于“PORT1”,我们可以以“HTTPS,TELNET”访问,并且可以PING 这个端口。点击最右边的“编辑”图标,可以更改端口的配置。 如上图,“地址模式”有三类: a.如果使用静态IP 地址,选择“自定义”;b.如果由DHCP 服务器分配IP,选择“DHCP”;c.如果这个接口连接一个xDSL 设备,则选择“PPPoE”。在“管理访问”的选项中选择所希望的管理方式。最后点击OK,使配置生效。 “区”是指可以把多个接口放在一个区里,针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中,没有使用“区”。1.2.2 DNS 如上图,在这里配置防火墙本身使用的DNS 服务器,此DNS 与内部网络中PC 和SERVER 上指定的DNS 没有关系。 1.3 DHCP 如上图,所有的防火墙端口都会显示出来。端口可以1)不提供DHCP 服务;2)作为DHCP 服务器;3)提供DHCP 中继服务。在本例中,External 端口为所有的IPSEC VPN 拨
FortiAP 介绍 FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。 FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。FortiAP与FortiGate 设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。 FortiAP 外观与连接 这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO 技术。FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准。 这是FortiAP 210B正面的样子。
FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1.5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。 FortiAP 访问 和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192.168.1.2,用户名为admin,密码为空。笔记本电脑IP设为同网段的192.168.1.8,打开火狐浏览器,输入http://192.168.1.2进行访问。 输入用户名admin,密码不填,直接点击登录; 可以看到FortiAP 210B的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个AP时为了不引起冲突,又能访问每个IP,建议修改默认的192.168.1.2 IP地址。
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
I N S T A L L G U I D E FortiGate-1000A and FortiGate-1000AFA2 FortiOS 3.0 MR4 https://www.doczj.com/doc/707004791.html,
FortiGate-1000A and FortiGate-1000AFA2 Install Guide FortiOS 3.0 MR4 15 February 2007 01-30004-0284-20070215 ? Copyright 2007 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc. Trademarks Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, and FortiWiFi are trademarks of Fortinet, Inc. in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. Regulatory compliance FCC Class A Part 15 CSA/CUS Risk of Explosion if Battery is replaced by an Incorrect Type.
HA配置步骤 步骤1、配置设备1的HA 进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置200(主机高于从机);组名:SYQ-300D/密码:123456;勾选"启用会话交接"。 模式:单机模式、主动-被动、主动-主动。修改单机模式为HA模式的时候,需要确保所有接口的"IP地址模式"处于"自定义"的方式,不能有启用PPPOE和DHCP的方式。 如果无法在命令行下配置A-P、A-A模式,命令行会提示: "The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode." 步骤2、配置设备2的HA 进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置100;组名:SYQ-300D/密码:123456;勾选"启用会话交接"。
步骤3、组建HA a)连接心跳线,FGT-主的port2、port4,连接到 FGT-从的port2、port4; b)防火墙开始协商建立HA集群,此时会暂时失去和防火墙到连接,这是因为在HA协商过程中会改变防火墙接口到MAC地址。可以通过更新电脑的arp表来恢复连接,命令为arp -d。c)连接业务口链路。 d)组建好HA后,两台防火墙配置同步,具有相同的配置,通过访问主防火墙来进行业务配置,如IP地址,策略等,更新的配置会自动同步。 步骤4、查看HA集群 进入菜单" 系统管理--配置--高可用性",就可以看到HA的建立情况。
纳智捷汽车生活馆 IT主管日常操作指导 目录 一、设备维护 (02) 二、网络设备密码重置步骤 (20) 三、飞塔限速设置 (05) 四、飞塔SSLVPN设置及应用 (07) 五、服务需求 (15) 六、安装调试流程 (16) 七、备机服务流程 (17) 八、安装及测试 (18) 九、注意事项 (19)
一、设备维护 1、登录防火墙 内网登录防火墙,可在浏览器中https://172.31.X.254 或 https://192.168.X.254(注:登录地址中的X代表当前生活馆的X值),从外网登录可输当前生活馆的WAN1口的外网IP 地址(例如:https://117.40.91.123)进入界面输入用户名密码即可对防火墙进行管理和配置。 2、登录交换机 从内网登录交换机,在浏览器输入交换机的管理地址即可。 http://172.31.X.253\252\251\250 (注:同样登录地址中的X代表当前生活馆的X值) 3、登录无线AP 从内网登录无线AP,在浏览器输入无线AP的管理地址即可。 员工区http://172.31.X.241 客户区 http://192.168.X.241 (注:同样登录地址中的X代表当前生活馆的X值) 二、网络设备密码重置步骤 2.1 防火墙Fortigate-80C重置密码 1,连上串口并配置好; 2,给设备加电启动; 3,启动完30秒内从串口登陆系统,用户名为:maintainer; 4,密码:bcpb+序列号(区分大小写);注意:有些序列号之间有-字符,需要输入.如序列号为FGT-100XXXXXXX,则密码为bcpbFGT-100XXXXXXX.不然无法登陆. 5,在命令行下执行如下系列命令重新配置“admin”的密码:
飞塔防火墙f o r t i g a t e 的s h o w命令显示相关 配置 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
FortiGate产品安装及快速配置 Fortinet公司是全球网络安全行业领导者,FortiGate正是这家公司的旗舰产品。FortiGate拥有强大的网络和安全功能,服务于全球数万家客户,产品型号也是业界覆盖最广的,从几十兆产品到几百G产品,能够满足不同规模用户的使用需求。对于大企业和运营商客户来说,IT人员能力强,资源多,对于设备的配置自然不在话下。但是对于规模不大的中小企业来说,IT人员的运维能力可能就没有那么强了。 大家印象中传统的企业级设备配置安装都比较麻烦,友好性远不如家用路由器。因此很多用户也希望他们购买的企业级产品能够像家用级设备一样简单配置。FortiGate就是一款这样的产品。我们以FortiGate-90D-POE设备为演示,来为大家介绍一下FortiGate产品的安装、配置。后续我们还会有设备功能的使用介绍。 图1:FortiGate-90D-POE包装 图2:FortiGate-90D-POE和配件
如上图所示,FortiGate-90D-POE内置了电源,光盘,手册,RJ45网线和一根USB 管理数据线。PC可以通过USB管理数据线,使用FortiExplorer软件实现设备的快速配置。稍后我们会有讲解。 图3:FortiGate-90D-POE前面板和后面板 如图3,前面板的左侧接口是用于调试的console口,中间四个灯为电源,状态等指示灯,右侧的双排指示灯是WAN口和交换口的状态指示灯,红色的ABCD四个灯标示了POE供电的四个接口。后面板的左侧为电源接口,螺丝钉为固定地线用,避免在漏电的情况下用户触电。螺丝钉下面的接口为USB2.0小接口,用于手机连接设备进行配置。再往右两个为USB管理口。后面板上的16个接口中,最右面两个为WAN口,其余14个为交换接口,红色标示的ABCD接口为POE供电口。 FortiGate管理方式 图4:接口示意图
手把手学配置FortiGate设备FortiGate Cookbook FortiOS 4.0 MR3
目录 介绍 (1) 有关本书中使用的IP地址 (3) 关于FortiGate设备 (3) 管理界面 (5) 基于Web的管理器 (5) CLI 命令行界面管理 (5) FortiExplorer (6) FortiGate产品注册 (6) 更多信息 (7) 飞塔知识库(Knowledge Base) (7) 培训 (7) 技术文档 (7) 客户服务与技术支持 (8) FortiGate新设备的安装与初始化 (9) 将运行于NAT/路由模式的FortiGate设备连接到互联网 (10) 面临的问题 (10) 解决方法 (11) 结果 (13) 一步完成私有网络到互联网的连接 (14) 面临的问题 (14) 解决方法 (15) 结果 (16) 如果这样的配置运行不通怎么办? (17) 使用FortiGate配置向导一步完成更改内网地址 (20) 面临的问题 (20) 解决方法 (20) 结果 (22) NAT/路由模式安装的故障诊断与排除 (23) 面临的问题 (23) 解决方法 (23) 不更改网络配置部署FortiGate设备(透明模式) (26)
解决方法 (27) 结果 (30) 透明模式安装的故障诊断与排除 (31) 面临的问题 (31) 解决方法 (32) 当前固件版本验证与升级 (36) 面临的问题 (36) 解决方法 (36) 结果 (39) FortiGuard服务连接及故障诊断与排除 (41) 面临的问题 (41) 解决方法 (42) 在FortiGate设备中建立管理帐户 (48) 面临的问题 (48) 解决方法 (48) 结果 (49) FortiGate设备高级安装与设置 (51) 将FortiGate设备连接到两个ISP保证冗余的互联网连接 (52) 面临的问题 (52) 解决方法 (53) 结果 (60) 使用调制解调器建立到互联网的冗余连接 (63) 面临的问题 (63) 解决方法 (64) 结果 (70) 使用基于使用率的ECMP在冗余链路间分配会话 (70) 面临的问题 (70) 解决方法 (71) 结果 (73) 保护DMZ网络中的web服务器 (74) 面临的问题 (74) 解决方法 (75) 结果 (81) 在不更改网络设置的情况下配置FortiGate设备保护邮件服务器(透明模式) (86)
Fortinet产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见 https://www.doczj.com/doc/707004791.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低 的运行成本考虑设计。
fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、 fortiguard 入侵防护(ips)服务 3、 fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。 forticlient的功能包括: 1、建立与远程网络的vpn连接
2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到 几个用户的计算机。 FortiMail fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的 邮件威胁。
1.FortiGate-200A fortigate-200a设备包装盒中部件: 1 fortigate-200a防火墙设备 2 一根橙色以太网交叉线缆(fortinet 部件号:cc300248) 3 一根灰色以太网普通线缆(fortinet 部件号:cc300249) 4 一根rj-45到db-9串连线缆(fortinet 部件号:cc300302) 5 两个19英寸大小的安装架 6 一根电源线 7 fortigate-200a设备快速启动指南册页 8 fortinet技术手册cd一张 图1:fortigate-200a设备部件 安装 fortigate-200a可以固定在标准的19英寸的机架上。需要占据机架1u的垂直空间。fortigate-200a 设备也可作为独立的器件放置在任何水平的表面。 表1:技术参数
尺寸:16.8×10×1.75英尺(42×25.4×4.5厘米) 重量:7.3磅(3.3千克) 功率:最大功率:50w 工作需求: ac输入电压:100至240vac ac输入电流:1.6a 频率:50至60hz 工作温度:32至104华氏度(0至40度摄氏度) 工作环境: 放置温度:-13至158华氏度(-25至70摄氏度) 湿度:5至95%(非冷凝) 2.启动FortiGate设备 1. 确定fortigate设备背面的电源开关是关闭的。 2. 将电源线与位于fortigate设备背面的电源接口连接。 3. 将电源线连接到电源插座。 4. 闭合电源开关。 数秒后, led 显示system staring(系统启动)。
系统启动后,led显示menu (主菜单)。 fortigate设备开始运行,led指示灯亮起。fortigate设备启动过程中led状态指示灯闪烁并在设备启动后保持亮着状态。 表6:led显示 关闭fortigate设备 请在闭合电源开关之前,关掉fortigate操作系统,以免造成硬件损伤。 关闭fortigate设备 1. 访问基于web的管理器,进入系统] 状态] 系统状态, 选择关闭系统,然后点击“确认”关闭系统;或者在命令行接口(cli)中,输入execute shutdown 2. 关闭电源开关。 3. 将电缆线从电源连接处拔掉。
上海华盖科技发展有限公司 地址:上海市北工业园区 江场三路153号5层(ZIP:200436) 电话:(021)56775656 传真:(021)56036333 FORTIGATE HQIP 简单操作文档 Fortigate-100A 3.00,build0474,061228 技术部 王俊 2007-12-7 目的:飞塔防火墙出现问题时用于设备硬件状态的一种手段 前期准备:首先下载思科TFTP 服务器模拟器 地址:https://www.doczj.com/doc/707004791.html,/soft/33433.htm 然后去https://www.doczj.com/doc/707004791.html,/fortinet/aht/ 去下载做HQIP 所需的文件 注:文件后缀名*.img HQIP 文件要放到TFTP 服务器的根目录下 那么现在可以正式开始了 第一步:打开TFTP 服务器 图-1 标题栏的地址是192.168.1.96 这个地址是本机的地方 即:把基本模拟成TFTP 服务器 这个地址要是192.168.1.0网段 即和FORTIGA TE 的内网口地址一个网段,先把它晾这里。 第二步:打开超级终端 开始----程序---附件---通讯—超级终端
上海华盖科技发展有限公司 地址:上海市北工业园区 江场三路153号5层(ZIP:200436) 电话:(021)56775656 传真:(021)56036333 图-2 这里的名字可以随便填 图-3 这里选COM 1口
上海华盖科技发展有限公司 地址:上海市北工业园区 江场三路153号5层(ZIP:200436) 电话:(021)56775656 传真:(021)56036333 图-4 这里点以下还原为默认值 图-5 随后就正式进入超级终端界面了 这是可以帮FORTIGA TE 通电了~通电后出现以下界面
飞塔防火墙f o r t i g a t e的s h o w命令显示相关配 置 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static