飞塔配置

飞塔配置安装使用手册FortiGuard产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息，详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。

fortiguard 服务订制包括：1、fortiguard 反病毒服务2、fortiguard 入侵防护（ips）服务3、fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括：1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。

1、虚拟域（VDOMS）----虚拟防火墙配置：（1）首先web 登陆防火墙（真机https://+ip，虚拟机http://+ip），虚拟机用户名：admin，密码：没（空的）。

登陆到管理面板找到虚拟域，默认禁用，点击启用为启动。

（2）然后启动虚拟域后，虚拟重新登陆，用户名和密码不变。

点开VDOM 界面，上面可以新建一个虚拟域（就是新的虚拟防火墙）。

防火墙名和模式，NAT为3层，透明为2层。

3、在左手边系统菜单下面有当前VDOM角色，有全局和VDOM可以选。

2、VDOM 启用后，点击全局配置模式---------网络----接口，可以把接口分配给不同的虚拟域（1）全局点开接口后，选择着需要更改虚拟域的接口，选择上方编辑（2）点开端口编辑，能配置端口IP和相应管理协议还可以设置端口监控，web 代理、分片等。

附加IP地址就是例如一个公网24位的地址，运营商给了10个可以用IP：10.10.10.1 -10地址模式上填写：10.10.10.1 ，剩余10.10.10.2-10就可以通过附加IP地址填写。

3、除了对现有接口进行编辑，也能新建接口，新建接口后能选择接口类型，（根据深信服上端口配置，均为3层口，这次配置具体端口是什么类型，需要客户确认）其余配置和编辑端口时一样。

4、需要对虚拟防火墙进行路由、策略配置需要寻找当前VDOM角色：静态路由配置，配置完静态路由后，能点开当前路由查看路由表：5、防火墙object 虚地址（为外网访问内网服务器做的端口转换）6、policy 这边所做的就是NAT 和其他放通的策略。

可以完成参照深信服防火墙的策略来做。

7、全局模式下，配置HA（1）集群设置：群名和密码，主备要完全一致，启动会话交接（就是主挂了的时候，被会直接把会话复制过去，然后起来运行）（2）主备设置，设备优先级默认128，优先级高的，设备为主，记得勾选储备管理端口集群成员(这样就能对集群的设备进行单个管理)(3)选择端口作为心跳线，例如选择PORT4口,然后把心跳线对接，同步配置就可以。

FortiGate飞塔防火墙简明配置指南说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。

防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin，密码为空登陆到web管理页面后默认的语言为英文，可以改为中文在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使用选择com1，设置如下图输入回车即可连接，如没有显示则断电重启防火墙即可连接后会提示login，输入帐号、密码进入防火墙查看接口IP：show system interface配置接口IP：config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二：配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal，IP，192.168.1.1 访问方式，https ping http telnet本例中外网接口是wan1，IP，192.168.100.1访问方式，https ping步骤三：配置路由在路由----静态中写一条出网路由，本例中网关是192.168.100.254步骤四：配置策略在防火墙----策略中写一条出网策略，即internal到wan1并勾选NAT即可。

Fortigate IP/MAC绑定设置方法一、逐条IP/MAC地址绑定设置1、首先进入命令模式，用telnet 命令进入防火墙，如：telnet 192.168.1.99(这指防火墙的Internal口IP地址)，并输入用户名和口令。

2、进入防火墙的命令操作界面后，按下图的方式和命令进行绑定。

第一个红框中命令解释如下：Config firewall ipmacbinding setting 进入MAC地址功能开启界面Set bindthroughfw enable 允许绑定的IP穿透防火墙Set bindtofw enable 充许绑定IP到达防火墙Set undefinedhost block或allow 没有绑定的全部阻止End 退出保存的意思第二个红框中的意思在接口上启用绑定功能:Config system interface 进入接口配置界面Edit internal（这里填具体端口）进入接口Set ipmac enable 开启IP/MAC地址绑定功能End 退出保存3、具体绑定操作：上图各个命令解释：Config firewall ipmacbinding table 进入绑定界面Edit 1 输入编辑行号（每一个行代表一个IP/MAC地址的绑定）Set ip 192.168.1.5 指定IP地址Set mac 00:0c:29:34:95:60 指定MAC地址（需要用‘：’隔开）Set name ‘test’指定名称Set status enable 开启状态End 退出保存Show firewall ipmacbinding table 1 查看编号为1的IP/MAC绑定情况到此，一个IP/MAC绑定就完成了。

注：当有多个绑定的时候，每编辑完一个，都要“end”，然后“edit 2、edit 3……edit N”一直到全部写完为此；输入edit 1命令进行创建表1并进入到表1的命令行界面（表此数字是依次增加的，一个表只能绑定一个IP、MAC，继续绑定第二个IP时需要输入edit 2）二、FG防火墙批量绑定方法：1、前两步功能开启和穿透设定，同逐条IP/MAC地址绑定一样，请参照1-2步操作。

3分钟搞定飞塔50B防火墙配置飞塔防火墙的默认管理IP地址为192.168.1.99（internal口），可以将电脑与其internal 口进行连接，https://192.168.1.99就可以登录了，默认用户名为admin，密码为空。

该指导会完成以下功能的描述，其他功能需自己慢慢体会。

一．配置界面改中文二．配置PPPoE和固定IP三．封端口四．禁止P2P，在线视频五．升级防火墙系统软件六．配置文件的备份和回复七．恢复初始设置八．恢复密码如下图，初始配置界面是英文，通过选择System——Admin——Settings——Display setting——language——Simplified Chinese——Apply二、PPPoE和固定IP设置如下图，设置网络——接口——wan1——编辑这里先配置用户名和密码，拨号成功后会获得IP地址，网关等，注意PPPoE拨号不用写路由。

其他保持默认。

如果选择固定IP就用自定义。

防火墙策略防火墙策略里面有很多选项，这里就不一一讲解了，只说我们会用到的方面。

防火墙是有一个默认的策略在里面，all到all的全部都放通。

这里可以对策略进行配置，做到精确匹配。

这里可以配置每个主机的地址，调用在策略上方便管理。

封端口在服务——定制——新建这里我新建了一个服务是封17991端口流量整形器可以做共享和每IP的流量控制。

具体可以自行操作。

虚拟IP的设置：虚拟IP主要的作用是把内网主机的端口，映射到外网IP的端口地址，典型应用主要在总部，总部将内部主机17991，3000端口等映射出外网，让营业部的通信平台进行连接。

保护内容表防护墙的保护内容表的内容是在UTM中进行设备，然后在这里统一调用的。

所以我们要现在UTM功能区里做好内容。

这里是保护内容表里可以关联的UTM内容下面看一下UTM如何设置比较重要的是应用控制这个选项：这里我新建了一个策略1，内容是禁止P2P，media和game新建应用条目可以做选择。

设置FortiDB基本配置说明：本文档针对出厂的FortiDB基本配置进行说明。

建议所有FortiDB设备在进行简单配置后再开始部署。

环境介绍：本文使用FortiDB1000B做演示。

本文使用的系统版本为4.0。

步骤一：FortiDB工作原理FortiDB采用主动连接方式以终端用户的身份访问数据库，获取需要的相关信息。

工作条件：1，FortiDB与数据库服务器通过IP路由可达2，FortiDB拥有访问数据库用户级别的账号和密码，权限为只读。

可以将FortiDB 理解为数据库上的一个普通只读用户。

FortiDB的部署不会对现有数据库和网络环境有影响。

步骤二：语言设置FortiDB管理页面语言根据浏览器的语言设置而定。

以英文为例：在IE的工具—Internet选项—语言中点击添加，选择英语，然后将它置顶步骤三：访问设备出厂设备默认的访问方式是：https、ping、ssh；接口，port1；IP，192.168.1.99；console访问方式：每秒位数9600；数据位8；奇偶校验无；停止位1；数据流控制无。

管理员登陆地址：https://192.168.1.99/登陆帐号：admin 密码：fortidb1!$在命令行下恢复出厂设置的方法：execute factoryreset步骤四：网络设置登陆到FortiDB后点击左侧Appliance菜单。

在Network中设置接口IP和静态路由。

FortiDB有四个千兆电口，只要任一接口IP与数据库服务器IP可访问即可。

举例说明：在Interfaces中编辑一个接口，写好IP和访问方式在Routing中点击添加，写好默认网关和接口步骤五：FortiDB支持的数据库类型目前FortiDB可以实现数据库漏洞扫描（VA）和数据库安全审计(MA)两大功能，FortiDB支持的数据版本如下图：。

FortiAP 介绍FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。

每个FortiAP无线控制器将通过的流量集成到FortiGate平台，提供了一个单独的控制台来管理有线和无线网络通信。

FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。

采用最新的802.11n为基础的无线芯片技术，提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。

FortiAP与FortiGate设备的controller（控制器）连接，可以提供强大完整的内容保护功能的无线部署空间。

FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率，从而进一步简化了部署和管理.FortiAP 外观与连接这里我们用FortiAP 210B来做示例，FortiAP 210B 是可持续性使用的商务级802.11n解决方案，提供达300Mbps 的总吞吐率，可满足苛刻使用要求的应用场所。

FortiAP 210B应用了单射频双频段（2.4GHz和5GHz）的2x2 MIMO 技术。

FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能，具有两根内部天线，支持IEEE 802.11a、b、g和n无线标准.这是FortiAP 210B正面的样子.FortiAP 210B连接的方式很简单，只要一根网线的一端连接设备的ETH接口，另一端连接交换机或飞塔防火墙,设备带独立的12V、1。

5A电源，如果防火墙或交换机支持PoE接口（自带48V电源)，也可以直接通过网线供电，不需要连接独立的电源，这样在布线安装时会方便很多。

FortiAP 访问和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETＨ接口的默认地址是192。

168.1。

2,用户名为admin，密码为空。

飞塔网关配置教程一、固件升级由于设备出厂固件版本较低，需要升级最新版本的固件，固件下载请到企业QQ的企业微云部门文件“IT技术支持部>飞塔>固件”目录下下载，根据设备型号来导入，这里我以FWF-50E这个设备来演示。

1.1、设备默认管理IP为“192.168.1.99”，默认账号：admin，无密码。

（必须使用谷歌浏览器和IE8以上的浏览器）1.2、进入主界面，点击“Upload”1.3、上传从企业微云中下载的固件1.4、点击“Upgrade”进行固件更新1.5、固件更新中，需要等待大概5分钟左右。

二、配置修改为了简化设备的配置，我们已经做好设备的配置模板，配置文件下载请到企业QQ的企业微云部门文件“IT技术支持部>飞塔>配置”目录下下载。

在修改配置之前，需要准备以下事项：1、安装Notepad++文本编辑器2、向区总申请SSLVpn账号3、向区总申请网段2.1、用Notepad++打开配置文件，定位到第九行，选中hostname，全部替换为你申请的SSLVpn账号2.2、定位到第96行，选中需要更改的网段，如下图，全部替换为你申请的网段公网IP和掩码。

（PPPOE跳过这一步，最后使用图形化界面配置PPPOE账号密码）2.4、定位到3906行，将网关地址更改为当地的网关。

（PPPOE 网络环境跳过）修改完后保存。

三、导入配置文件3.1、通过WEB进入设备的配置界面，在主界面单击Restore。

3.2、选择刚才修改过的配置文件3.3、点击OK进行配置恢复3.4、恢复配置这一阶段可能会需要5分钟，耐心等待。

3.5、设备启动完成后，会自动获取到你申请的网段的IP，如果不能自动弹出登录界面，请查看本地电脑获取到的网关地址，用网关地址进入设备登录界面。

恢复完配置的账号是：admin，密码是：Fortinet1234#。

四、无线AP管理4.1、如果当地有飞塔AP，请禁用FWF-50E设备自带的WIFI 功能，双击“本地WIFI射频”的配置文件，点击“禁用”4.2、如果外置AP已经接入到网络内，会在FortiAP管理中出现，选中需要激活的AP，单击“准许”，网页会自动刷新，等待1-2分钟左右，AP的状态变成绿色的就可以了。

Fortinet飞塔产品的配置说明文档200aFortinet飞塔产品的配置说明文档如何重发布特定的路由如下配置可以实现的功能是：只把静态路由里面是192.168.0.0/16重发布OSPF 里面，其它的所有静态路由不发布到OSPF。

以下所有命令只能在CLI下面配置，不能在GUI配置。

步骤一：新建一个access-list：config router access-listedit "static2ospf"config ruleedit 1set prefix 192.168.0.0 255.255.0.0set exact-match disablenextendnextend步骤二：新建一个route-map：config router route-mapedit "static2ospf"config ruleedit 1set match-ip-address "static2ospf"nextendnextend步骤三：配置动态路由协议并在重发布相关路由选项里面只重发布静态路由并引用上面定义的route-map：config router ospfset abr-type ciscoconfig areaedit 0.0.0.0nextendset default-metric 1config networkedit 1set prefix 172.16.0.0 255.255.0.0nextendconfig redistribute "connected"endconfig redistribute "static"set status enableset routemap "static2ospf"endconfig redistribute "rip"endconfig redistribute "bgp"endset restart-mode graceful-restartset router-id 172.16.1.1end设置FortiGate 静态路由和策略路由本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。

FortiGate飞塔防火墙简明配置指南说明：本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。

要求：FortiGate® 网络安全平台，支持的系统版本为FortiOS v3.0及更高。

步骤一：访问防火墙连线：通过PC与防火墙直连需要交叉线（internal接口可以用直通线），也可用直通线经过交换机与防火墙连接。

防火墙出厂接口配置：Internal或port1：192.168.1.99/24，访问方式：https、ping把PC的IP设为同一网段后（例192.168.1.10/24），即可以在浏览器中访问防火墙https://192.168.1.99防火墙的出厂帐户为admin，密码为空登陆到web管理页面后默认的语言为英文，可以改为中文在system----admin----settings中，将Idle TimeOut（超时时间）改为480分钟，Language 为simplified chinses （简体中文）。

如果连不上防火墙或不知道接口IP，可以通过console访问，并配置IP连线：PC的com1（九针口）与防火墙的console（RJ45）通过console线连接，有些型号的防火墙console是九针口，这时需要console转RJ45的转接头超级终端设置：所有程序----附件----通讯----超级终端连接时使用选择com1，设置如下图输入回车即可连接，如没有显示则断电重启防火墙即可连接后会提示login，输入帐号、密码进入防火墙查看接口IP：show system interface配置接口IP：config system interfaceedit port1或internal 编辑接口set ip 192.168.1.1 255.255.255.0 配置IPset allowaccess ping https http telnet 配置访问方式set status upend配置好后就可以通过网线连接并访问防火墙步骤二：配置接口在系统管理----网络中编辑接口配置IP和访问方式本例中内网接口是internal，IP，192.168.1.1 访问方式，https ping http telnet本例中外网接口是wan1，IP，192.168.100.1访问方式，https ping步骤三：配置路由在路由----静态中写一条出网路由，本例中网关是192.168.100.254步骤四：配置策略在防火墙----策略中写一条出网策略，即internal到wan1并勾选NAT即可。

FORTINET 飞塔防火墙配置SSL VPN 1．SSL VPN功能介绍1．1 SSL VPN功能介绍FortiGate SSL VPN功能使用SSL和代理技术使授权用户得到安全的可靠的Web 客户端，服务器端应用或者其他文件资源共享等等服务。

FortiGate SSL VPN只能工作在NAT模式下面，透明模式不支持SSL VPN功能。

FortiGate SSL VPN提供如下2种工作模式：A、Web模式，远程用户使用浏览器就可以通过这种模式的SSL VPN访问公司内部资源，只限于HTTP/HTTPS,FTP,SMB/CIFS,Telnet,VNC,RDP服务;B、隧道模式，防火墙会虚拟出一个“ssl.root”接口出来，所有使用SSL隧道模式的流量都相当于进出此SSL VPN接口，远程用户需要安装一个SSL VPN的客户端软件，支持所有的应用。

1．2 典型拓扑结构如下，1．3 SSL VPN支持的认证协议有：本地认证Radius认证Tacacs+认证LDAP认证PKI证书认证Windows AD认证1．4 SSL VPN 和 IPSEC VPN比较SSL VPN IPSEC VPN主要针对漫游用户主要用于站点直接基于Web应用基于IP层的安全协议主要应用于2点直接VPN连接主要应用于多点，构建VPN网络有浏览器就可以使用需要安装特定的IPSEC VPN客户端软件基于用户的访问控制策略主要是基于站点的访问控制策略没有备份功能具有隧道备份和连接备份功能2．Web模式配置Web模式配置大概需要如下几个步骤：启用SSL VPN;新建SSL VPN用户新建SSL VPN用户组建立SSL VPN策略下面我们具体介绍一下Web模式的详细配置。

2．1启用SSL VPN打开Web浏览器登陆防火墙，进入虚拟专网---->SSL---->设置，勾上“启动SSL-VPN”，其他配置根据需要修改或使用默认配置就可以了，如下图：2．2新建SSL VPN用户进入设置用户---->本地，点击“新建”按钮新建一个本地用户，用户类型我们同时可以支持本地用户，Radius用户，Tacacs+用户，LDAP用户等等，这里我们只使用本地用户举例，如下图：2．3 新建SSL VPN界面进入 SSL 界面设置，新建SSL VPN 界面，输入名称及选中web访问ssl vpn时所需的应用确认。

飞塔配置教程飞塔⽹关配置教程⼀、固件升级由于设备出⼚固件版本较低，需要升级最新版本的固件，固件下载请到企业QQ的企业微云部门⽂件“IT技术⽀持部>飞塔>固件”⽬录下下载，根据设备型号来导⼊，这⾥我以FWF-50E这个设备来演⽰。

1.1、设备默认管理IP为“192.168.1.99”，默认账号：admin，⽆密码。

（必须使⽤⾕歌浏览器和IE8以上的浏览器）1.2、进⼊主界⾯，点击“Upload”1.3、上传从企业微云中下载的固件1.4、点击“Upgrade”进⾏固件更新1.5、固件更新中，需要等待⼤概5分钟左右。

⼆、配置修改为了简化设备的配置，我们已经做好设备的配置模板，配置⽂件下载请到企业QQ的企业微云部门⽂件“IT技术⽀持部>飞塔>配置”⽬录下下载。

在修改配置之前，需要准备以下事项：1、安装Notepad++⽂本编辑器2、向区总申请SSLVpn账号3、向区总申请⽹段2.1、⽤Notepad++打开配置⽂件，定位到第九⾏，选中hostname，全部替换为你申请的SSLVpn账号2.2、定位到第96⾏，选中需要更改的⽹段，如下图，全部替换为你申请的⽹段公⽹IP和掩码。

（PPPOE跳过这⼀步，最后使⽤图形化界⾯配置PPPOE账号密码）2.4、定位到3906⾏，将⽹关地址更改为当地的⽹关。

（PPPOE ⽹络环境跳过）修改完后保存。

三、导⼊配置⽂件3.1、通过WEB进⼊设备的配置界⾯，在主界⾯单击Restore。

3.2、选择刚才修改过的配置⽂件3.3、点击OK进⾏配置恢复3.4、恢复配置这⼀阶段可能会需要5分钟，耐⼼等待。

3.5、设备启动完成后，会⾃动获取到你申请的⽹段的IP，如果不能⾃动弹出登录界⾯，请查看本地电脑获取到的⽹关地址，⽤⽹关地址进⼊设备登录界⾯。

恢复完配置的账号是：admin，密码是：Fortinet1234#。

四、⽆线AP管理4.1、如果当地有飞塔AP，请禁⽤FWF-50E设备⾃带的WIFI 功能，双击“本地WIFI射频”的配置⽂件，点击“禁⽤”4.2、如果外置AP已经接⼊到⽹络内，会在FortiAP管理中出现，选中需要激活的AP，单击“准许”，⽹页会⾃动刷新，等待1-2分钟左右，AP的状态变成绿⾊的就可以了。