方正方御FG系列防火墙配置详解

小网御POWER-V 系列防火墙配置IP、端口应射简易文档(适用于对外发布服务)注意事项：1：请确认您的防火墙硬件型号为POWER-V 系列(包括POWER-V 203、303、304、306、404、406、408)2：请您在参照文档开始操作前，确认对防火墙的配置权限。

即拥有USB口电子加密锁。

同时在管理主机上安装过“网御防火墙管理员认证程序”3：确保在配置过程中管理主机与防火墙的连接状态。

4：文档中所使用的拓扑图如下，配置目的为对IP为10.1.5.200的内网“服务器”1.1.1.1的某项服务做IP、或是端口映射。

同时假设分配给防火墙的外网IP为一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。

(出厂默认为12345678)2.1 出现认证程序界面后点击连接。

待出现认证通过的提示后，指示灯会变为绿色。

3.1 在IE浏览器地址栏中输入https://10.1.5.254:88883.2会出现如下图的登录界面。

在默认没有设置过的情况后口令与用户名相同都是administrator2.1 先在菜单中选中“网络配置-网络设备”已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。

2.3 在上图中，主要需要配置的是网络接口的IP地址。

在IP地址输入1.1.1.1、在掩码输入对应的掩码。

这里输入255.255.255.0。

跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。

网络设备的界面中fe2的设备会显示已经启用。

三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。

3.2 名称可以随意。

请注意，必须使用字母开头，并且暂时不支持中文。

在标识为1的行中输入服务器的内网IP即可。

备注是对服务器的说明，可以随意。

3.3 对需要对外发布的服务做定义。

如果是使用常见服务比如HTTP、FTP等服务，防火墙有预定义服务，就不需再做定义。

防火墙的配置在前几篇对防火墙的有关知识和技术作了一个较全面的介绍，本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。

但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。

同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。

首先介绍一些基本的配置原则。

一. 防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。

在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。

其实这也是任何事物的基本原则。

越简单的实现方式，越容易理解和使用。

而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。

但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。

但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。

对于目前的环境我们可以考虑两种方法来设置：1，透明桥接模式这种模式就是把三个网卡的IP地址设置成一个网段，比如NET1设置成10.10.200.101（连接PC机）、NET2设置成10.10.200.102（连接服务器网段）、NET3设置成10.10.200.103（上连路由器的以太口），然后指定每个网卡的有效网络范围（先在对象当中定义好IP范围，然后对每个网卡绑定相应的有效网络）因为是透明桥接模式，所以所有机器的网关均指向10.10.200.1（路由器的以太口）2，混合模式这时防火墙的工作方式是NET1和NET3做透明桥接，NET2和NET3之间做NAT模式（地址映射），NET1和NET3的网络地址保持不变或者NET1和NET3的地址一样（都为10.10.200.101或者10.10.200.103）都无所谓，NET2的网络地址为192.168.0.1，这种模式很重要的一点是每个网卡的有效网络一定要绑对，并且NET3的有效网络要包括NET1的有效网络，既NET3的有效网络只需要把NET2的有效网络抠去就可以了。

（比如NET1的有效网络是10.10.200.1-10.10.200.254；NET2的有效网络是192.168.0.1-192.168.0.254；那么NET3的有效网络是0.0.0.1-192.167.255.255和192.168.1.0-255.255.255.255；主要是因为NET1和NET3之间是透明桥接模式，所以NET3的有效网络只需要把NET2的有效网络抠掉，并且在192.168.0.0这个网段的网关应该是192.168.0.1。

这一步做完以后，然后就要对防火墙做NA T，我们现在要保证192.168.0.0这个网段能够上网，只要把这个网段映射到NET1或者NET3或者是10.10.200.0这个网段的任何一个IP地址（10.10.200.1）除外。

比如假设我们已经把相应的对象定义好了，具体的NA T规则应该是：转换之前转换之后方向源地址目的地址服务源地址目的地址服务OUTGOING：192.168.0.0/24 外网范围ANY 10.10.200.101 外网范围ANY OUTGOING：192.168.0.0/24 外网范围ANY 10.10.200.103 外网范围ANY OUTGOING：192.168.0.0/24 外网范围ANY 见说明1 外网范围ANY 说明1：这里的源地址也可以是10.10.200.0/24这个网段中没有用过的IP地址比如也可以是10.10.200.99。

常见防火墙设置图文说明〓〓〓一、天网防火墙天网防火墙有正式版（收费的版本，服务好，功能强）和试用版（免费，用的人很多，IP编辑高级功能受一些限制）之分，试用版的界面和操作基本都一样，使用试用版的可以参考类似的操作。

安装完后要重起，重启后打开天网防火墙就能起到作用了。

默认的中级状态下，它的作用就基本可以了。

但有时它苛刻的IP规则也带来了很多不便，后面再说。

所以，如果没什么特殊要求的，就设置为默认就OK了，安全级别为中就好。

一、普通应用（默认情况）下面来介绍天网的一些简单设置，如下图一是系统设置界面，大家可以参照来设置：图一下面是IP规则，一般默认就可以了，其实在未经过修改的自定义IP规则是与默认中级的规则一样的。

但如果你想新建新的IP规则也是可以的，这里是默认情况就不多说了。

图二下面是各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。

再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的操作。

图四以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或屏蔽某些端口，或某些IP操作等等，默认下就能起到防火墙的强大作用。

但是防火墙的苛刻要求给某些程序的使用带来麻烦。

以下就介绍开放某些端口的设置方法，大家可以依次类推，完成你想要的相关操作。

二、防火墙开放端口应用如果想开放端口就得新建新的IP规则，所以在说开放端口前，我们来说说怎么新建一个新的IP规则，如下图五，在自定义IP规则里双击进行新规则设置。

图五点击增加规则后就会出现以下图六所示界面，我们把它分成四部分图六1）图六1是新建IP规则的说明部分，你可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。

Q3 FG 防火墙端口映射的配置
A3
步骤：
1.在“防火墙\虚拟IP”中新建一个虚拟IP ，选择相应的“外部接口”，如WAN1；类型选“端口转发”；外部IP 地址输入“0.0.0.0”表示所有的公网IP ；外部服务端口输入相应的端口号；映射到IP 地址输入内部所要
开放的服务器的IP ，映射到端口输入相应的端口号；协议选择相应的协议。

2.在“防火墙\策略”新建一个外到内的策略，来源选外网口，如WAN1；目的选虚拟IP 组中定义好的那个。

FortiGate 端口映射
版本:FG50B-v300-build0568 上海技术部:冯涛 08-07-14
目的:将内部端口映射到外部
登陆防火墙，进入防火墙—〉虚拟IP 如图：
选择新建，名称：自己定义
外部接口：选择你的外网接口
类型选择： 端口转发
外部IP 地址：公网的IP 地址（如果你是动态IP 则写为0.0.0.0） 外部服务端口：写要映射的端口号（如HTTP ：80，FTP ：21）
映射到IP 地址：内网要开放服务的设备IP 地址
映射到端口：写内网端口号（如HTTP ：80，FTP ：21）
协议：根据服务选择TCP 或UDP （通常为TCP ）
如图：
完成后在策略中新建一条从外到内的策略
如图：
1选择外部接口（wan1或external）到内部接口(internal) 2选择所有的地址(all)到虚拟IP地址（例如：test）3选择内容保护表，通常选scan，也可不启用
建立完成。

方正防火墙认证工程师培训-防火墙基础什么是防火墙防火墙（Firewall）是一种具有数据包过滤功能的安全设备，用来防止网络攻击。

它处于计算机网络的边缘位置，负责管理网络进出的流量，根据预设的规则允许或拒绝通过数据包。

防火墙可以使用各种不同的技术，包括包过滤、状态感知防火墙、代理服务器防火墙和网络地址转换（NAT）防火墙。

方正防火墙简介方正科技股份有限公司成立于1992年，是一家国内领先的软件研发公司。

方正防火墙是方正科技公司的核心产品之一，是业内知名的安全设备，拥有多项专利，适用于各种规模的企业网络。

方正防火墙提供了多种功能，包括数据包过滤、网络地址转换、虚拟专用网（VPN）和入侵检测等。

这些功能可以有效地保护企业网络，防止恶意攻击和未经授权的访问。

防火墙的作用防火墙的主要作用是保护网络安全，提高网络的可靠性和可用性。

具体来说，防火墙的作用包括：1.访问控制：根据预设的规则，控制网络进出的数据包。

2.数据包过滤：对进出网络的数据包进行过滤，阻止不安全的数据包进入网络。

3.支持虚拟专用网（VPN）：通过创建虚拟专用网隧道，保护远程用户和分支机构之间的通信安全。

4.防止入侵：对进入网络的数据包进行检测，防止恶意攻击和未经授权的访问。

5.支持网络地址转换（NAT）：将私有网络内的IP地址转换为公网IP地址，实现内部网络与公网的连接。

方正防火墙认证工程师培训方正防火墙认证工程师培训是一项专业的培训活动，旨在培养专业的防火墙工程师。

培训内容主要涉及方正防火墙的基本原理、配置和管理等方面，包括以下内容：1.防火墙的基本原理：介绍防火墙的基本工作原理，以及数据包过滤和网络地址转换等常用功能的实现方法。

2.防火墙的配置和管理：介绍如何配置和管理方正防火墙，包括基本配置、安全配置、日志管理等方面。

3.防火墙安全策略的制定：介绍如何根据企业的实际需求，制定防火墙的安全策略，以保障网络安全。

4.防火墙的故障排除：介绍如何对防火墙的故障进行排除，以保证网络的正常运行。

Fortigate防火墙安全配置规范Fortigate防火墙安全配置规范1.概述1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。

为了提高Fortigate防火墙的安全性而提出的。

1.2. 范围本标准适用于XXXX使用的Fortigate 60防火墙的整体安全配置，针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置2.1. 配置设备名称制定一个全网统一的名称规范，以便管理。

2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。

如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。

2.3. 设置Admin口令缺省情况下，admin的口令为空，需要设置一个口令。

密码长度不少于8个字符，且密码复杂。

2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。

需要设置口令，只允许管理员修改。

密码长度不少于8个字符，且密码复杂。

2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。

用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。

单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。

2.6. 设备管理权限设置为每个设备接口设置访问权限，如下表所示：接口名称允许的访问方式Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线，不提供管理方式Port5 （保留）Port6 （保留）且只允许内网的可信主机管理Fortinet设备。

2.7. 管理会话超时管理会话空闲超时不要太长，缺省5分钟是合适的。

2.8. SNMP设置设置SNMP Community值和TrapHost的IP。