Fortinet FortiGate 300 инструкция обслуживания
- Просмотреть online или скачать инструкцию
- 282 страниц
- 4.6 mb
Идти на страницу of
Похожие руководства по эксплуатации
-
Network Card
Fortinet 60M
77 страниц 1.65 mb -
Network Card
Fortinet 3600
2 страниц 0.8 mb -
Network Card
Fortinet 400
308 страниц 4.86 mb -
Network Card
Fortinet FortiLog-400
124 страниц 2.28 mb -
Network Card
Fortinet FortiGate 60B
66 страниц 1.82 mb -
Network Card
Fortinet FortiGate 310B-LENC
2 страниц 0.53 mb -
Network Card
Fortinet FortiGate 310B
62 страниц 1.78 mb -
Network Card
Fortinet FortiMail 3.0 MR4
368 страниц 1.77 mb
Хорошее руководство по эксплуатации
Законодательство обязывает продавца передать покупателю, вместе с товаром, руководство по эксплуатации Fortinet FortiGate 300. Отсутствие инструкции либо неправильная информация, переданная потребителю, составляют основание для рекламации в связи с несоответствием устройства с договором. В законодательстве допускается предоставлении руководства в другой, чем бумажная форме, что, в последнее время, часто используется, предоставляя графическую или электронную форму инструкции Fortinet FortiGate 300 или обучающее видео для пользователей. Условием остается четкая и понятная форма.
Что такое руководство?
Слово происходит от латинского "instructio", тоесть привести в порядок. Следовательно в инструкции Fortinet FortiGate 300 можно найти описание этапов поведения. Цель инструкции заключается в облегчении запуска, использования оборудования либо выполнения определенной деятельности. Инструкция является набором информации о предмете/услуге, подсказкой.
К сожалению немного пользователей находит время для чтения инструкций Fortinet FortiGate 300, и хорошая инструкция позволяет не только узнать ряд дополнительных функций приобретенного устройства, но и позволяет избежать возникновения большинства поломок.
Из чего должно состоять идеальное руководство по эксплуатации?
Прежде всего в инструкции Fortinet FortiGate 300 должна находится:
- информация относительно технических данных устройства Fortinet FortiGate 300
- название производителя и год производства оборудования Fortinet FortiGate 300
- правила обслуживания, настройки и ухода за оборудованием Fortinet FortiGate 300
- знаки безопасности и сертификаты, подтверждающие соответствие стандартам
Почему мы не читаем инструкций?
Как правило из-за нехватки времени и уверенности в отдельных функциональностях приобретенных устройств. К сожалению само подсоединение и запуск Fortinet FortiGate 300 это слишком мало. Инструкция заключает ряд отдельных указаний, касающихся функциональности, принципов безопасности, способов ухода (даже то, какие средства стоит использовать), возможных поломок Fortinet FortiGate 300 и способов решения проблем, возникающих во время использования. И наконец то, в инструкции можно найти адресные данные сайта Fortinet, в случае отсутствия эффективности предлагаемых решений. Сейчас очень большой популярностью пользуются инструкции в форме интересных анимаций или видео материалов, которое лучше, чем брошюра воспринимаются пользователем. Такой вид инструкции позволяет пользователю просмотреть весь фильм, не пропуская спецификацию и сложные технические описания Fortinet FortiGate 300, как это часто бывает в случае бумажной версии.
Почему стоит читать инструкции?
Прежде всего здесь мы найдем ответы касательно конструкции, возможностей устройства Fortinet FortiGate 300, использования отдельных аксессуаров и ряд информации, позволяющей вполне использовать все функции и упрощения.
После удачной покупки оборудования/устройства стоит посвятить несколько минут для ознакомления с каждой частью инструкции Fortinet FortiGate 300. Сейчас их старательно готовят или переводят, чтобы они были не только понятными для пользователя, но и чтобы выполняли свою основную информационно-поддерживающую функцию.
Содержание руководства
-
Страница 1
FortiGate ! 300 Installation ! and Configuration ! Guide Esc Enter FortiG ate 用户手册 第一卷 2.50 版 2003 年 7 月 21 日 安装和配置指南 FortiGate 300[...]
-
Страница 2
© Copyrig ht 2003 美国飞塔有限公司版权所有 。 本手册中所包含 的任何文字、例子、图 表和插图,未经美国 飞塔有限公司的 许可,不得因任 何用途以电子、机械、 人工、光学或其它任 何手段翻印、传 播或发布。 Forti Gate-30 0 安装和配置指 南 2.50 版 2003 年 7 月 21 ?[...]
-
Страница 3
目录 Fort iGate-3 00 安装和配置指南 iii 目 录 简介 ................................... ................................ 1 防病毒保护 ........... ........ ........ ......... ........ ......... ........ ...... 1 Web 内容过滤 ...... ........ ......... ........ ......... ........ ........ ......... 2 电子邮件过滤 ...........[...]
-
Страница 4
目录 iv 美国飞塔有限公司 FortiGa te 出厂默认设置 ............. ........ ......... ........ ........ ........ 20 出厂默认的 NAT/ 路由模式的网络配置 .............. ........ ......... ........ .. 20 出厂默认的透明模式 的网络设置 .......... ......... ........ ......... ........ .. 21 出厂时默认的防火?[...]
-
Страница 5
目录 Fort iGate-3 00 安装和配置指南 v 使用安装 向 导 ........... ......... ........ ......... ........ ......... ........ .. 43 切 换到透明模式 ............. ........ ......... ........ ......... ........ ..... 44 启动安装 向 导 ......... ......... ........ ......... ........ ......... ........ .. 44 重 连接到 基于[...]
-
Страница 6
目录 vi 美国飞塔有限公司 管理 HA 组 ......... ........ ......... ........ ......... ........ ........ ........ 6 4 查看 HA 簇成员状态 ............. ........ ......... ........ ......... ........ .. 65 监视簇成员 ........... ......... ........ ......... ........ ......... ........ .. 65 监视簇 会 话 ........... ........[...]
-
Страница 7
目录 Fort iGate-3 00 安装和配置指南 vii 病毒和 攻击 定 义升级 及注册 ............................ .................. 91 病毒防护定 义 和 攻击 定 义 更新 .............. ......... ........ ......... ........ .. 91 连接到 Forti 响应 发布网络 ...... ........ ......... ........ ......... ........ .. 92 配置 ?[...]
-
Страница 8
目录 viii 美国飞塔有限公司 配置路由 .......... ........ ......... ........ ......... ........ ........ ....... 113 添加 默认路由 ......... ......... ........ ......... ........ ......... ........ . 113 向 路由表 添加 基于目 的的路由 ......... ......... ........ ......... ........ .... 114 添加 路由 (透明模?[...]
-
Страница 9
目录 Fort iGate-3 00 安装和配置指南 ix 配置 策略 列表 ...... ........ ......... ........ ......... ........ ........ ....... 143 策略匹 配的 细节 .......... ......... ........ ......... ........ ........ ....... 144 更 改策略 列表中 策略 的 顺 序 ......... ........ ......... ........ ........ ....... 14 4 启用和[...]
-
Страница 10
目录 x 美国飞塔有限公司 配置 LDAP 支持 ......... ......... ........ ......... ........ ......... ........ . 170 添加 LDAP 服务 器 .... ........ ........ ......... ........ ......... ........ .... 171 删除 LDAP 服务 器 .... ........ ........ ......... ........ ......... ........ .... 171 配置用户 组 ........... ........ [...]
-
Страница 11
目录 Fort iGate-3 00 安装和配置指南 xi L2TP VP N 配置 ........ ........ ........ ......... ........ ......... ........ .... 205 把 FortiGa te 配置 为 L2TP 网关 ...... ........ ......... ........ ........ ....... 206 配置 Windows2 000 客户的 L2TP ........ ......... ........ ......... ........ .... 208 配置 WindowsX P 客户?[...]
-
Страница 12
目录 xii 美国飞塔有限公司 网页内容过滤 ........................................ ................. 231 一 般 配置 步骤 ...... ........ ......... ........ ......... ........ ........ ....... 231 内容 阻塞 ....... ........ ......... ........ ......... ........ ......... ........ . 232 在 禁忌词汇 列表中 添加单词 ?[...]
-
Страница 13
目录 Fort iGate-3 00 安装和配置指南 xiii 配置报 警 邮件 ........... ......... ........ ......... ........ ......... ........ . 255 添加 报 警 邮件 地址 ........... ........ ......... ........ ......... ........ .... 255 测 试 报 警 邮件 ....... ........ ........ ......... ........ ......... ........ .... 256 启用报 ?[...]
-
Страница 14
目录 xiv 美国飞塔有限公司[...]
-
Страница 15
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 1 简介 FortiGa te 防病毒防火墙支 持 应 用 层 服务的基于网络 的部 署 ,包 括 防病毒保护和全 内容扫描过滤。 FortiGate 防病毒防火墙 增强了 网络 的安全性, 避免了 网络 资源 的误用 和 滥 用,可以 ?[...]
-
Страница 16
2 美国飞塔有限公司 Web 内容过滤 简介 ICSA LA BS 认证 了 FortiGat es 的以 下功 能: · 100% 检测到 The Wi ld List(www. wildlist .org) 中列 举 的所有病毒。 · 检测 PKZip 格 式 压缩 文件中的病毒。 · 检测以 UUENC ODE 格 式 编码 的 EMAIL 中的病毒。 · 检测以 MIME 格 式 编码 的 EMAIL ?[...]
-
Страница 17
简介 网络入侵检测系统 ( NIDS ) Fort iGate-3 00 安装和配置指南 3 您可以使用以 下 选项 灵活 地 配置 FortiGate 安全 策略 : ·控制 所有 进 入和 输 出的网络 流通 , ·控制加密 的 VP N 流通 , ·应 用防病毒保护 和 WEB 内容过滤, ·阻塞 或 允 许 对 全部 策略 选项的访?[...]
-
Страница 18
4 美国飞塔有限公司 虚拟专用网络 ( VPN ) 简介 虚拟专用网络 ( VPN ) 使用 FortiGat e 虚拟专用网 ( VPN ) , 可 为 您在 办 公网络和 分 散 的 办 公 室 网 络、从 远 程安全 通讯 系统 登陆 到公司网的用户 或 旅 行者 之 间 提 供 一个安全的网络连接。 FortiGa te VPN ?[...]
-
Страница 19
简介 安全安装、配置、管理 Fort iGate-3 00 安装和配置指南 5 基于 Web 的管理程序 从任何一个装有 IE 流 览 器 的电 脑上 以 HTTP 或安全 HTTPS 方 式连接到基于 Web 的 管理程序, 即 可 对 FortiGates 设备 进 行配置和管理。基于 Web 的管 理程序支持多 种 语 言 。您可以从任[...]
-
Страница 20
6 美国飞塔有限公司 2.50 版本的新特点 简介 日志和报告 FortiGa te 支持 记 录各 种类别 的 流通 和配置 修改 。您可 将日志设置如 下 : · 报告连接到防火 墙接口的 通讯 , · 报告 被 使用的网络服务, · 报告 被 防火墙 策略 允 许的 通讯 , · 报告 被 防火墙 策略 [...]
-
Страница 21
简介 2.50 版本的新特点 Fort iGate-3 00 安装和配置指南 7 路由信息 协议 ( RIP ) · 新的 RIP v1 和 v2 功 能。 详情 请 见 第 119 页 “ RIP 配置 ” 。 简 单 网络管理 协议 ( SNMP ) · 支持 SNMP v1 和 v2 。 · 支持 RFC 1213 和 R FC 2665 。 ·监视 全部的 FortiGate 配置和 功 能。 · ?[...]
-
Страница 22
8 美国飞塔有限公司 2.50 版本的新特点 简介 VPN 关于 FortiGat eVPN 功 能的 详 细 说明请 见 Fort iGate VP N 指南 。新的特性包 括 : · 第一 阶 段 · AES 加密 · 证 书 · 高 级 选项,包 括拨 号 组 、 对等 、 Peer, XAUT H, NAT 跨越 , DPD · 第 二阶 段 · AES 加密 ·加密策略 选 择[...]
-
Страница 23
简介 2.50 版本的新特点 Fort iGate-3 00 安装和配置指南 9 日志和报告 关于 FortiGat e 日志 记 录的 详 细 说明请 见 For tiGate 日志和 消 息参 考 指南 。 · 使用 CSV 格 式将日志 记 录到 远 程 主 机 · 日志 消 息 级 别 : 紧急 、 警 报、 危急 、错误、 警 告、 注意、信息 ?[...]
-
Страница 24
10 美国飞塔有限公司 关于本手册 简介 关于本手册 安装和配置 向 导描 述了 如何安装和配置 FortiGate-300 。本手册包含以 下 内容: · 开始 描 述了 拆 包,安置,和启动 FortiGat e 。 · NAT/ 路由 模式安装 描 述了 如果您 希望 FortiGate 运 行于 NA T/ 路由模式, 应当 如何[...]
-
Страница 25
简介 Forti net 的文档 Fort iGate-3 00 安装和配置指南 11 要 执 行 restore config < 文件 名 _ 字 符串 > 您 应当输 入 restore config myfile.bak <xxx_ 字 符串 > 表 示 一个 ASCII 字 符串 关 键 词 。 <xxx_ 整数 > 表 示 一个 整数 关 键 词 。 <xxx_ip> 表 示 一个 IP 地址 关 ?[...]
-
Страница 26
12 美国飞塔有限公司 Fort inet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或 任何 Fortinet 技术文档中发现 了 错误或疏漏之处, 欢迎 您将有 关信息发送到 techdoc@f ortinet.c om 。[...]
-
Страница 27
简介 客户服务和技术支持 Fort iGate-3 00 安装和配置指南 13 客户服务和技术 支持 请访问 我 们的技术 支持网 站 ,以获取防 病毒保护和网络 攻击 定 义 更新、 固 件更新、 产品文档更新,技 术支持信息,以及其 他 资源 。网 址 : http:// support. fortinet. com 。 您 也 ?[...]
-
Страница 28
14 美国飞塔有限公司 客户服务和技术支持 简介[...]
-
Страница 29
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 15 开始 本 章 描 述了 有关 拆 包、安装及如 何启动 FortiGate 防病毒防火墙的内容。 一 旦 完 成 此章 内容,您可 按 如 下 章 节进 行配置 : · 如果 要 在 NAT/ 路由 模式 下运 行 FortiG ate, 请参 阅 第 29 ?[...]
-
Страница 30
16 美国飞塔有限公司 包装中的物品 开始 包装中的物品 FortiGa te-300 包装中含有以 下 物品: · FortiGat e-300 防病毒防火墙 · 一根 黄色 交 叉 连接以 太 网电 缆 · 一根 灰色普 通 以 太 网电 缆 · 一根 串 行 通 信电 缆 · FortiGat e-300 快 速 入 门 手册 · 一根电 源线 · ?[...]
-
Страница 31
开始 启动 Fort iGate-3 00 安装和配置指南 17 重量 · 7.3 磅 (3.3 公 斤 ) 电 源要 求 ·功 率需求 : 100 W ( 最大 ) ·交流输 入电 压 : 100 至 250 VAC ·交流输 入电 流 : 1.5 A · 频 率 : 47 至 63 Hz 运 行 环境 · 工 作 温 度 : 32 至 104 华氏 度 (0 至 40 摄氏 度 ) · 保 存 温 度 : [...]
-
Страница 32
18 美国飞塔有限公司 连接到基于 Web 的管理程序 开始 连接到基于 Web 的管 理程序 当 初 始启动 FortiG ate 时,可 按 如 下步骤 连接到基于 Web 的管理程序 。在基于 Web 的管理程序中所 做 的配置 修改 , 无需 重 启动防火墙或中 断 服务 即 可 生 效 。 欲 连接到基于 W[...]
-
Страница 33
开始 连接到命令行接口 (CLI) Fort iGate-3 00 安装和配置指南 19 连接到命令行接 口 (CLI) 除了 基于 Web 的管理程序,您可使用 CLI 来 安装和设置 FortiGate 。在 CL I 中所 做 的配置 修改 , 无需 重 启动 防火墙或中 断 服务 即 可 生 效 。 欲 连接到 CLI 上 ,您 需 具备如 下?[...]
-
Страница 34
20 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 FortiGate 出厂默认设置 FortiGa te 设备出厂时 已 经 根据默认的配置 方 式 进 行 了 设置 。 这 一默认设置 允 许您 连接到 FortiGa te 并 根据您的网络配置 FortiGate 设备。 要 将 FortiGat e 设备配置 为 在您的网络中工 作 ,?[...]
-
Страница 35
开始 Fort iGate 出厂默认设置 Fort iGate-3 00 安装和配置指南 21 出厂默认的透明模式的网络设置 如果您将 FortiGate 设备 切 换到透明模式,它具有 表 3 中所列出 的设置内容。 出厂时默认的防火墙配置 NAT/ 路由模式和透明模式具 有 相 同 的出厂默认的防火墙 配置。 a. 当[...]
-
Страница 36
22 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 出厂时默认的内容配置文件 您可以使用内容配 置文件 对 防火墙 策略 所 控制 的 通讯 内容 应 用不 同级 别 的保护设 置 方 式。您可以使用 内容配置文件设置以 下 项目: · HTTP, FTP, IMA P, POP3, 和 SMTP 网络 通讯 的防[...]
-
Страница 37
开始 Fort iGate 出厂默认设置 Fort iGate-3 00 安装和配置指南 23 扫描型内容配置文件 使用扫描型内容配 置文件可以 对 HTTP 、 FTP 、 IMAP 、 POP3 和 SMTP 通讯 的内容 应 用 防病毒扫描。 同 时, 隔离功 能 也 被 启用 了 , 并 适 用于所有 类 型的服务。在 FortiGate 设备中装?[...]
-
Страница 38
24 美国飞塔有限公司 规划您的 Forti Gate 设备的配置 开始 非过滤型内容配置文 件 如果您不 希望 对通讯 内容 施 加 任 何内容保护,可以选 择 非过滤型内容配置 文件。您 可以在 控制 无须 保护的 通讯 类 型的防火墙 策略 上添加 这 一内容配置 文件,例如 两 个高[...]
-
Страница 39
开始 规划您的 Fort iGate 设备的配置 Fort iGate-3 00 安装和配置指南 25 您所选 择 的 操作 模式 决 定 了 FortiGa te 的配置 方 式。 For tiGate 有 两种 配置 方 式: NAT/ 路由模式 (默认) ,或 者透明模式。 NAT/ 路由模式 在 NAT/ 模式, FortiGate 在网络中 是 可 见 的。 此 时它[...]
-
Страница 40
26 美国飞塔有限公司 规划您的 Forti Gate 设备的配置 开始 除 此 之外,安全 策略 的配置基本 上等同 于 NAT/ 路由模式 下 的 单互 联 网连接的配置 方 式。您 需 要创建控制 从内部的 私 有网络到外部的公 共 网络 ( 通 常 是互联 网)的 通讯 的 NAT 模式 策略 。 图 5:[...]
-
Страница 41
开始 Fort iGate 系列产品参 数最大值 列表 Fort iGate-3 00 安装和配置指南 27 配置 向 导 如果您将 FortiGate 设备设置 为 以 NAT/ 路由模式 (默认) 运 行,设置 向 导会提 醒 您 添加 管理 员密码 ,内部网络的接口 地址 。设置 向 导 还 会提 醒 您 为 外部网络接口选 择 静[...]
-
Страница 42
28 美国飞塔有限公司 下 一 步 开始 下 一 步 至 此 , FortiGa te 已 启动 并 正常 运 行,您可 继续 配置如 下 设置 : · 如果 要 在 NAT/ 路由模式 下运 行 Fort iGate, 请参 阅 第 29 页 “ NAT/ 路由 模式 安装 ” 。 · 如果 要 在 透明 模式 下运 行 Forti Gate ,请参 阅 第 43 页[...]
-
Страница 43
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 29 NAT/ 路由 模式安装 本 章 说明 了 如何 进 行 Fort iGate NA T/Route( 路由 ) 模 式的安装。如果 要 在 透明模 式 下 安装 FortiGat e ,请参 阅 第 43 页 “ 透明模式安装 ” 。如 果您 要 在 HA 模式 下 安装 两 ?[...]
-
Страница 44
30 美国飞塔有限公司 准 备配置 NAT/ 路由模式 NA T/ 路由 模式安装 NAT/ 路由模式高 级 设置 使用 表 11 收 集 您设置 NAT/ 路由 模式配置所 需 的 信息。 DMZ 接口 如在安装时 进 行配 置,可使用 表 12 记 录 FortiGate DMZ 接口的 IP 地址 和子网 掩 码 。 . 外部接口 ( 手工设置[...]
-
Страница 45
NAT/ 路由 模式安装 使用安装 向 导 Fort iGate-3 00 安装和配置指南 31 使用安装 向 导 您可以从基于 We b 的管理程序中使 用安装 向 导 来 建立 FortiGate 初 始配置。 欲 连接 到基于 Web 的管理程 序,请参 阅 第 18 页 “ 连接到基于 Web 的 管理程序 ” 。 启动安装 向 导 为 [...]
-
Страница 46
32 美国飞塔有限公司 使用命令行 界面 NAT/ 路由 模式安装 6 在 输 入 完最后 一 位 子网 掩 码地址后按回 车 。 7 按 退 出( Esc ) 返回主 菜 单 。 8 如 需 要 , 重复 如 上步骤 来 设置外部接口,外部 缺省 网 关,以及 DMZ/HA 接口。 您 已 完成 FortiGat e 初 始 配置。?[...]
-
Страница 47
NAT/ 路由 模式安装 将 F ortiGat e 连接到网络中 Fort iGate-3 00 安装和配置指南 33 5 确 认 地址是 正确 的。 输 入: get system interface CLI 列出 每 个 FortiGate 网络接口的 IP 地址 ,网络 掩 码 和 其它设置信息。 6 设置 主 DNS 服务 器 的 IP 地址 。 输 入 set system dns primary <IP [...]
-
Страница 48
34 美国飞塔有限公司 配置网络 NAT/ 路由 模式安装 图 7: F ortiGa te-300 NA T/ 路由模式连接 配置网络 如果在 NAT/ 路由模式 下运 行 Forti Gate, 您 需 要 将网络设置 为 将所有 Inter net 流 通 路由到它们所连 接到的 FortiGate 接口的 IP 地址上 。 对 于内部网 , 需 将所有连接到[...]
-
Страница 49
NAT/ 路由 模式安装 完成 配置 Fort iGate-3 00 安装和配置指南 35 配置 DMZ/HA 接口 如果您 要 设置 DMZ 网络, 就需 要改 变 DMZ/HA 接口的 IP 地址 。 按 如 下步骤 用基于 Web 的管理程序配 置 DMZ/HA 接口 : 1 登 录到 基于 Web 的管理程序。 2 进 入 系统 > 网络 > 接口 。 3 ?[...]
-
Страница 50
36 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 要 配置自动防病毒 和 攻击 定 义 更新, 请访问 第 91 页 “ 病毒防护定 义 和 攻击 定 义 更新 ” 。 配置 举 例:到 互联 网的多 重 连接 本 节 描 述了 FortiGat e 设备使用多 重 连接 到 互?[...]
-
Страница 51
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-3 00 安装和配置指南 37 图 8: 到 互联 网的多 重 连接的配置的例子 配置 Ping 服务 器 按 照 以 下步骤 将网关 1 设置 为 外部接口的 Ping 服务 器 ,将 网关 2 设置 为 DMZ/HA 接 口的 Ping 服务 器 。 1 进 入 系[...]
-
Страница 52
38 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 使用 CLI 1 将 ping 服务 器添加 到外部接口。 set system interface external config detectserver 1.1.1.1 gwdetect enable 2 将 ping 服务 器添加 到 DMZ/H A 接口。 set system interface dmz/ha config detectserver 2.2.2.1 gwdetect e[...]
-
Страница 53
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-3 00 安装和配置指南 39 第一 条 路由将所有的到 100.100.100.0 的 通讯 定 向 到外部接口 上 IP 为 1.1.1.1 的网 关 1 。如果 这 条 路由不 通 ,到 100.1 00.100.0 的网络的 通讯 将 被重 定 向 到 DMZ/HA 接口 上 IP 地[...]
-
Страница 54
40 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 4 单击 新 建 以 添加 到 ISP2 的网络的路由。 · 目的 IP: 0.0.0.0 · 掩 码 : 0.0.0 .0 · 网关 #1: 1.1.1.1 · 网关 #2: 2.2.2.1 · 设备 #1: dmz/ha · 设备 #2: 外部 ·单击 确 定。 5 将路由表中的路由 排 序,?[...]
-
Страница 55
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-3 00 安装和配置指南 41 只 有您 已 经定 义了 类似 于在 前面 章 节 中描 述 的目的路由之 后 ,在 这些 例子中描 述 的 策略 路由 才 能 正常 工 作 。 · 将 通讯 从内部子网路由 到不 同 的外部网络 · ?[...]
-
Страница 56
42 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 按 以 下步骤添加冗 余 的默认 策略 : 1 进 入 防火墙 > 策略 > 内部 -> 外部 。 2 单击 新 建 。 3 根据默认 策略 配置 相 应 的 策略 。 4 单击 确 定以保 存 您所 做 的 修改 。 添加 ?[...]
-
Страница 57
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 43 透明模式安装 本 章 说明 了 如何 进 行透明模式的安装。如果 要 在 FortiGate NAT/ 路由模式 下 安装 FortiGa te ,请 参 阅 第 29 页 “ NAT/ 路由 模式 安装 ” 如果您 要 在 HA 模式 下 安装 两 个或多个 Fort[...]
-
Страница 58
44 美国飞塔有限公司 使用 前面板控制按钮 和 LCD 透明模式安装 切 换到透明模式 当 首 次 连接到 FortiGate 时,它 被预 设在 NAT/ 路由模式 下运 行。 欲 切 换 为 透明模 式 需 使用基于 Web 的 管理程序 : 1 进 入 系统 > 状态 。 2 单击 更 改 以 切 换到透明模式。 3 在[...]
-
Страница 59
透明模式安装 使用命令行接口 Fort iGate-3 00 安装和配置指南 45 5 按回 车 并 设置内部子网 掩 码 。 6 在 输 入 完最后 一 位 子网 掩 码地址后按回 车 。 7 按 退 出( Esc ) 返回主 菜 单 。 8 如 需 要 , 重复 如 上步骤 来 设置 缺省 网关。 使用命令行接口 除了 使用?[...]
-
Страница 60
46 美国飞塔有限公司 完成 配置 透明模式安装 完成 配置 根据用本 节 内容 来 完成 FortiGate 的 初 始配置。 设置日 期 和时 间 为了 有 效 的安 排 日程和 记 录日志, FortiGate 的日 期 和时 间 必 须 精 确 。 您可手 动 设置时 间 ,或 通 过配置 FortiGate 来 自动 与 网?[...]
-
Страница 61
透明模式安装 将 Fort iGate 连接到网络中 Fort iGate-3 00 安装和配置指南 47 FortiGa te-300 有 三 个 1 0/100 Ba seTX 接口: · 内部接口,用于 连接到您的内部网络 , · 外部接口 , 用于连接到 互联 网, · DMZ/HA 接口 , 用于连接到其他网络。 按 以 下方 式连接 运 行于透明模式?[...]
-
Страница 62
48 美国飞塔有限公司 透明模式配置的例子 透明模式安装 透明模式配置的 例子 运 行于透明模式的 FortiGate 也需 要 一个基本配 置,以 成为 IP 网络中的 一个 结 点。 至 少 , FortiGate 必 须 配置一个 IP 地址 和子网 掩 码 。它们可 以用 来 对 FortiGat e 进 行管理访问,[...]
-
Страница 63
透明模式安装 透明模式配置的例子 Fort iGate-3 00 安装和配置指南 49 图 10: 到外部网络的默认路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 配置 FortiGat e 的管理 IP 地址 和网络 掩 码 。 3 配置到外部网络的 默认路由。[...]
-
Страница 64
50 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序配置 步骤 的例子 使用基于 Web 的管理程序配置基本 的透明模式设置和默 认路由: 1 进 入 系统 > 状态 。 · 选 择切 换到透明模式。 · 在 操作 模式列表中选 择 透明。 ·单击 确 定。 For[...]
-
Страница 65
透明模式安装 透明模式配置的例子 Fort iGate-3 00 安装和配置指南 51 图 11: 到外部 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 配置 FortiGat e 的管理 IP 地址 和网络 掩 码 。 3 配置到 FortiRe sponse 服务 器 的 静态 路由。 4 配置到外部网络的 默认[...]
-
Страница 66
52 美国飞塔有限公司 透明模式配置的例子 透明模式安装 2 进 入 系统 > 网络 > 管理 。 ·修改 管理 IP 地址 和网络 掩 码 : IP: 192.1 68.1.1 掩 码 : 255.255.2 55.0 ·单击 应 用。 3 进 入 系统 > 网络 > 路由 。 · 选 择 新 建 添加 到 Fo rtiRespon se 服务 器 的 静态 路由?[...]
-
Страница 67
透明模式安装 透明模式配置的例子 Fort iGate-3 00 安装和配置指南 53 图 12: 到内部目的 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 切 换到透明模式。 2 配置 FortiGat e 的管理 IP 地址 和网络 掩 码 。 3 配置到内部网络中 的管理工 作 站 的 静态 路由。 4 配置到外部?[...]
-
Страница 68
54 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序的配置 步骤举 例 要 使用基于 Web 的管理程序 配置 FortiGat e 基本设置、 静态 路 由和默认路由: 1 进 入 系统 > 状态 。 · 选 择切 换到透明模式。 · 在 操作 模式列表中选 择 透明模 式?[...]
-
Страница 69
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 55 高可用性 Fortine t 通 过使用 冗余 的 硬 件 设备和 FortiG ate 聚 合协议 ( FGCP ) 实 现高可用性 ( HA )的目标。 HA 簇 中的 FortiGate 设备全部使用 完 全 相 同 的安全 策略 , 并 共享 同样 的设置内容?[...]
-
Страница 70
56 美国飞塔有限公司 主 动 - 主 动 HA 高可用性 主 FortiGat e 设备 通 过 FortiGa te HA 接口 向 附 属 设备发送会 话 信息。在 同 一个 HA 簇 中的所有设备 共 同 维 护 所有的会 话 信息。如 果 主 FortiGat e 设备 失效了 , 附 属 设备 会 互 相 协 商选出一个新的 主 设备。新[...]
-
Страница 71
高可用性 NAT/ 路由模式 下 的 HA Fort iGate-3 00 安装和配置指南 57 在 失效恢复期间 , HA 组 会 通 知 附 近 的网络 设备,以使得 整 个网 络可以 迅 速地转 换 到新的 数 据路 径 中 。新的 主 设备 还 会将 HA 簇 中发 生 的 变 动 通 知 管理 员 。它会在它自 己 的 事 件?[...]
-
Страница 72
58 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 7 单击应 用。 现在您 已 经 完成了对 HA 接口的 配置,可以 进 入 下 一 步 “ 配置 HA 簇 ” 。 配置 HA 簇 按 照 以 下步骤 配置 HA 簇 中的 FortiGate 。 对 于 HA 簇 中的 每 一 台 FortiGa te 都 需 重 复 这些 步骤 。 1 连[...]
-
Страница 73
高可用性 NAT/ 路由模式 下 的 HA Fort iGate-3 00 安装和配置指南 59 8 在 端 口 监视器 的选项中,选 择要监视 的的 FortiGate 网络接口的 名 称 。 监视 FortiGat e 接口可以 确 认它们 是 否 已 经连接 到他们的网络 上并 且 工 作 正常 。如果 一个 被监视 的接 口 失效 或者从[...]
-
Страница 74
60 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 还 有,您 必 须 将 这 一 HA 簇 中所有的 HA 接 口连接到 同 一 交 换机或 集线 器上 。您 还需 要 将一 台 管理 员 电 脑 连接 到 这 个 交 换机或 集线器上 。 这 个 簇 中的设 备将一 直 进 行 HA 状 态通讯 以 确 保[...]
-
Страница 75
高可用性 透明模式 下 的 HA Fort iGate-3 00 安装和配置指南 61 启动 HA 簇 将 HA 簇 中的全部 FortiGate 设备 都 配置 为 HA 并 且 将 这 个 簇 连接 起 来 之 后 ,可以使 用以 下操作 启动 HA 簇 。 1 为簇 中的所有 HA 设备 加 电。 在设备启动过程中 ,它们将 协 商以选出 主簇[...]
-
Страница 76
62 美国飞塔有限公司 透明模式 下 的 HA 高可用性 5 根据 需 要修改 IP 地址 和子网 掩 码 。 6 可以选 择 配置其他 接口的管理访问 方 式。 7 单击应 用。 现在您 已 经 完成了对 HA 接口的 配置,可以 进 入 下 一 步 “ 配置 HA 簇 ” 。 配置 HA 簇 在将 HA 簇 连接到您的[...]
-
Страница 77
高可用性 透明模式 下 的 HA Fort iGate-3 00 安装和配置指南 63 8 在 端 口 监视器 的选项中,选 择要监视 的的 FortiGate 网络 端 口。 监视 FortiGat e 接口可以 确 认它们 是 否 已 经连接 到他们的网络 上并 且 工 作 正常 。如果 一个 被监视 的接 口 失效 或者从它的网络 ?[...]
-
Страница 78
64 美国飞塔有限公司 管理 HA 组 高可用性 还 有,您 必 须 将 这 一 HA 簇 中所有的 HA 接 口连接到 同 一 交 换机或 集线 器上 。 此 外 还 需 要 将一 台 管理 员 电 脑 连接 到 这 个 交 换机或 集线器上 。 建议 使用 交 换机以提高网络的性能。 无 论 将 FortiGa te 设备[...]
-
Страница 79
高可用性 管理 HA 组 Fort iGate-3 00 安装和配置指南 65 本 节 描 述了 以 下 内容: · 查看 HA 簇成员状态 · 监视簇成员 · 监视簇 会 话 · 查看 和管理 簇 日志 消 息 · 单独 管理 簇 中的设备 · 同步簇 配置 · 返回 到 独立 模式配置 · 在 失效恢复后替 换 FortiGate 查看 HA[...]
-
Страница 80
66 美国飞塔有限公司 管理 HA 组 高可用性 图 17: 簇 会 话数 和网络 显示 的例子 4 选 择 病毒和入侵。 显示 出 每 个 簇成员 的病毒和入侵 状态 。 主 设备的 识别 标志 是 本 地 ,其他设备根据 他们 的序列号列出。 显示 的内容 还 包 括当 前 每 小 时检测到的病毒 [...]
-
Страница 81
高可用性 管理 HA 组 Fort iGate-3 00 安装和配置指南 67 2 进 入 日志和报告 > 记 录日 志。 显示主 设备 通讯 日志、 事 件日志、 攻击 日志、病毒防护日志 、网页过滤日志和电 子邮 件日志。 右 上 角 的 下 拉 列表 控制 着 要显示 的日志 类别 。 主 设备的 识别 标?[...]
-
Страница 82
68 美国飞塔有限公司 管理 HA 组 高可用性 同步簇 配置 当运 行于 簇 模式的时 候 , 为了 达 到 较 好 的 效 果, 必 须确 保 簇 中的全部设备的配置始 终 同步 。您可以在 主 设备 上对 配置 做 修改 , 然 后 在 HA 簇 中的 每 个 附 属 设备 上 使用 execute ha synchronize ?[...]
-
Страница 83
高可用性 高 级 HA 选项 Fort iGate-3 00 安装和配置指南 69 一 旦 重 新配置或者更换 了 新的 FortiGate 设备, 需 要改 变 它的 HA 配置以 与 原来 失 效 的 FortiGat e 的配置 相 匹 配。 然 后把 它 重 新连接到网 络中。 这 个 FortiGate 将自动 地加 入 HA 组 中。 高 级 HA 选项 可[...]
-
Страница 84
70 美国飞塔有限公司 高 级 HA 选项 高可用性 这 个命令有以 下 结 果: · 第一个连接由 主 设备处 理 ·下面 的 三 个连接由第一 个 附 属 设备处理 · 在 下面 的 三 个连接由第 二 个 附 属 设备 处理 附 属 设备将 比 主 设备处理更多的连接, 而 两 个 附 属 设备处?[...]
-
Страница 85
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 71 系统 状态 您可以连接到基于 Web 的管 理程序 进 入系统 > 状态 以 查看 您的 FortiGat e 设备的 当前状态 。 显示 的 状态 信息包 括当 前 的 固 件版本, 当前 的病毒防护定 义 和 攻击 定 义 以 及 Fo[...]
-
Страница 86
72 美国飞塔有限公司 修改 Forti Gate 主 机 名 系统 状态 修改 FortiGate 主 机 名 FortiGa te 设备的 主 机 名显示 在系统 > 状态 页和 Fort iGate CL I 提 示 符 中。 主 机 名 也 被 用 做 SNMP 系统 名 ( 见 第 131 页 “ 配置 SNMP ” ) 。 默认的 主 机 名是 FortiGate- 300 。 按 如 ?[...]
-
Страница 87
系统 状态 修改 Fort iGate 固 件 Fort iGate-3 00 安装和配置指南 73 2 使用 admin 管理 员帐 号 登 录到基于 Web 的管理程 序。 3 进 入 系统 > 状态 。 4 单击 固 件 升级 。 5 输 入 固 件 升级 文件的文件 名 ,或者 单击 浏 览 然 后 定 位那 个 文件。 6 单击 确 定。 FortiGa te [...]
-
Страница 88
74 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 9 要 确 认病毒防护定 义 和 攻击 定 义是 否 已 经 被 更新 , 输 入以 下 命令 显示 病毒防护 引 擎 、 病毒和 攻击 定 义 的版本, 合同 有 效期 和 最 新更新信息。 get system objver 恢复 到一个 旧 的 固 件版本 按 ?[...]
-
Страница 89
系统 状态 修改 Fort iGate 固 件 Fort iGate-3 00 安装和配置指南 75 您可以在 进 行 这 一 操作 之 前先进 行: · 使用命令 execute backup config 备 份 FortiGate 设备的配置。 · 使用命令 execute backup nidsuserdefsig 备 份 NIDS 用户定 义 的特 征 。 · 备 份 网页内容和电子邮 件过滤列?[...]
-
Страница 90
76 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 10 使用 第 95 页 “ 手工更新病毒防护定 义 和 攻击 定 义 ” 中描 述 的 步骤 更新病毒防 护 定 义 和 攻击 定 义 ,或从 CLI 输 入 execute updatecenter updatenow 11 要 确 认病毒防护定 义 和 攻击 定 义是 否 已 经 被 更新 ?[...]
-
Страница 91
系统 状态 修改 Fort iGate 固 件 Fort iGate-3 00 安装和配置指南 77 6 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : ·运 行 v2.x 版 BIOS 的 F ortiGate 设备 Press Any Key To Download [...]
-
Страница 92
78 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 , 并 会出现 类似 以 下消 息: ·运 行 v2.x 版 BIOS 的 Forti Gate 设备 Do You Want To Save The Image? [Y/n] 输 入 Y 。 ·运 行 v3.x[...]
-
Страница 93
系统 状态 修改 Fort iGate 固 件 Fort iGate-3 00 安装和配置指南 79 4 确 认 FortiGat e 的内部接口和 TFTP 服务 器 连接到内部网络 上 。 确 认您可以从 FortiGate 连接 到 TFTP 服务 器上 。具 体 方 法 是 使用以 下 命令 ping 运 行 TFPT 服务的电 脑 。例如,如 果 TFTP 服务 器 的 IP ?[...]
-
Страница 94
80 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 , 并 会出现 类似 以 下消 息: ·运 行 v2.x 版 BIOS 的 Forti Gate 设备 Do You Want To[...]
-
Страница 95
系统 状态 修改 Fort iGate 固 件 Fort iGate-3 00 安装和配置指南 81 5 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : Press any key to enter configuration menu..... ...... 6 立 刻 按 任?[...]
-
Страница 96
82 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 2 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : Press any key to enter configuration menu..... ...... 3 立 刻 按 任意 键 中 ?[...]
-
Страница 97
系统 状态 手动更新病毒防护定 义库 Fort iGate-3 00 安装和配置指南 83 如果您 成功地 中 断 了 启动 过程,将 显示下面 的 消 息之 一: [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default. [Q]: Quit menu and continue to boot with default firmwa[...]
-
Страница 98
84 美国飞塔有限公司 显示 Forti Gate 的序列号 系统 状态 5 单击 确 定 将 攻击 定 义库 文件 上载 到 FortiGate 。 FortiGa te 将更新新的 攻击 定 义库 , 整 个过程将持 续 约 1 分 钟 。 6 进 入 系统 > 状态 查 看攻击 定 义库 的信息 , 确 认它 已 经 被 更新 了 。 显示 Fo[...]
-
Страница 99
系统 状态 将系统设置 恢复 到出厂设置 Fort iGate-3 00 安装和配置指南 85 2 选 择 系统设置 恢复 。 3 输 入系统设置文件 的 名 称 和路 径 ,或者 单击 浏 览 然 后 在 浏 览 器 中定 位 文件。 4 单击 确 定 将系统设置文件 恢复 到 FortiGa te 上 。 FortiGa te 将 上载 系统设?[...]
-
Страница 100
86 美国飞塔有限公司 转 换到 NAT/ 路由模式 系统 状态 转 换到 NAT/ 路由模式 使用如 下操作 可以 将 FortiGa te 设备从透明模式 转 换到 NAT/ 路由模式。 当 FortiGa te 设备 改 到 NAT/ 路由模式式之 后 ,它的配置将 被 设置 为 NAT/ 路由模式的 默认 配置。 1 进 入 系统 > ?[...]
-
Страница 101
系统 状态 系统 状态 Fort iGate-3 00 安装和配置指南 87 您可以设置一个自 动更新时 间间隔 每 过 一段时 间 就 更新 当前 的 显示 。 这 个时 间间隔 可以从 5 秒 到 30 秒 。您 还 可以手工 刷 新 显示 的内容。 · 查看 CPU 和内 存状态 · 查看 会 话 和网络 状态 · 查看 ?[...]
-
Страница 102
88 美国飞塔有限公司 系统 状态 系统 状态 查看 会 话 和网络 状态 使用会 话 和网络 状态显示 可以 跟踪 FortiGate 设备 正 在处理的网络会 话并查看 可用 网络 带宽 上 的会 话数 量 。 另 外 通 过 对 比 CPU 、内 存 使用 率 和网络、会 话状态 ,您 可以 知 道 系统 资[...]
-
Страница 103
系统 状态 会 话 列表 Fort iGate-3 00 安装和配置指南 89 2 单击 病毒和入侵。 显示 病毒和入侵 状态 。 显示 的内容包 括 以 条 形 图 方 式 显示 的 每 小 时检测到 的病毒和入 侵 数量 ,以及过 去 20 小 时内的 病毒和入侵 数量 统 计 曲 线 。 3 设置自动 刷 新的时 间?[...]
-
Страница 104
90 美国飞塔有限公司 会 话 列表 系统 状态 会 话 列表中的 每 一行 显示了 以 下 信息: 图 4: 会 话 列表 举 例 协议 连接的服务 类 型或者 协议 类 型。例如 TCP 、 UDP 、 ICMP 源 IP 连接的 源 IP 地址 。 源端 口 连接的 源端 口。 目的 IP 连接的目的 IP 地址 。 目的 端 [...]
-
Страница 105
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 91 病毒和 攻击 定 义升级 及注册 您可以将 FortiGate 设备配置 为 连接到 Fo rti 响应 发布网络 (FDN) 并 自动更新病毒 防护定 义 和 攻击 定 义 ,以及病毒防护 引 擎 。您 可以使用以 下 更新选项: · 从 F[...]
-
Страница 106
92 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 本 节 描 述了 以 下 内容: · 连接到 Forti 响应 发布网络 · 配置 周期 性更新 · 配置更新日志 · 添加后 备服 务 器 · 手工更新病毒防 护定 义 和 攻击 定 义 · 配置 推 送更新 · [...]
-
Страница 107
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-3 00 安装和配置指南 93 配置 周期 性更新 您可以将 FortiGate 设备配置 为 根据您指定的时 间 表, 每 小 时、 每 天 、 每 周 检 查并 下载 病毒防护定 义 和 攻击 定 义 的更新。 1 进 入 系统 >[...]
-
Страница 108
94 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 图 1: 配置病毒防护和 攻击 定 义 自动更新 配置更新日志 使用如 下步骤 配置 FortiGate 日 记记 录可以在 FortiGat e 设备更新病毒防护 和 攻击 定 义 的时 候 记 录日志 消 息。更新?[...]
-
Страница 109
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-3 00 安装和配置指南 95 3 单击应 用。 FortiGa te 设备将测 试 到 这 个 后 备服务 器 的连接。 如果 Forti 响应 发布网络的 修改是 正确 的, FortiGat e 设备 应当 可以连接到 后 备服务 器 。 如果 Fo[...]
-
Страница 110
96 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 不 建议 将启用 推 送更新 作为 唯 一的获取更新的 方 式。 FortiG ate 设备可能 无法收 到 推 送更新。 同样 , 当 FortiGa te 设备接 收 到一个更新 通 报的的时 候 ,它 只 尝 试 一 ?[...]
-
Страница 111
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-3 00 安装和配置指南 97 图 2: 网络 拓扑结 构 举 例: 通 过一个 NAT 设备的 推 送更新 一 般 配置 步骤 使用以 下步骤 配置 FortiGate NAT 设备和内部网 络中的 FortiG ate 设备,使得 内部 网络中的 Fo[...]
-
Страница 112
98 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 按 照 如 下步骤 配置 FortiGate N AT 设备: 1 进 入 防火墙 > 虚拟 IP 。 2 单击 新 建 。 3 为 虚拟 IP 地址添加 一个 名 称 。 4 选 择 FDN 连接到的外部接口 。 对 于例子中的 拓扑 结[...]
-
Страница 113
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-3 00 安装和配置指南 99 按 照 如 下步骤 配置 FortiGate N AT 设备: 1 添加 一个新的外部 到内部的防火墙 策略 。 2 使用如 下 设置配置 策略 : 3 单击 确 定。 使用一个 代 理 IP 地址 和 端 口配?[...]
-
Страница 114
100 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 通 过 代 理服务 器 定 期 更新 如果您的 FortiGate 设备 必 须 通 过一 个 代 理服务 器 才 能连接到 互联 网 ,您可以使用 set system autoupdate tunneling 命 令使得 Forti Gate 设备 可 以使用 这 个 代 理 ?[...]
-
Страница 115
病毒和 攻击 定 义升级 及注册 注册 Fort iGate 设备 Fort iGate-3 00 安装和配置指南 101 很 快 您将可以获得 如 下 服务: · 访问 Fortine t 用户文档 · 访问 Fortine t 知识 库 ·下载固 件 升级 所有注册信息 存 储 在 Fortinet 客户支持 数 据 库 中。 这些 信息用 来确 保您所注?[...]
-
Страница 116
102 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 1 进 入 系统 > 更新 > 支持。 2 在产品注册 单 中 输 入您的 联 系信 息。 图 5: 注册 FortiG ate 设备 ( 联 系信息和安全提 示 问 题 ) 3 提 供 一个安全提 示 问 题 和 这 个问 题 的 答 案 。 4 [...]
-
Страница 117
病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-3 00 安装和配置指南 103 更新注册信息 您可以在任何时 间 使用您 的 Fortine t 支持用户 名 和 密码 登 录到 Fortinet 支持网 站 以 查看 和更新您的 Fortinet 支持信息。 本 节 描 述了 以 下 内容: · 找回丢失 的 Fortinet[...]
-
Страница 118
104 美国飞塔有限公司 更新注册信息 病毒和 攻击 定 义升级 及注册 图 7: 注册的 FortiG ate 设备列表 举 例 注册一个新的 FortiGate 设备 1 进 入 系统 > 更新 > 支持 单击 支持 登 录。 2 输 入您的 Fortinet 支持用户 名 和 密码 。 3 单击 登 录。 4 单击添加 注册。 5 选 ?[...]
-
Страница 119
病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-3 00 安装和配置指南 105 修改 您的 Fortinet 支持 密码 1 进 入 系统 > 更新 > 支持 并单击 支持 登 录。 2 输 入您的 Fortinet 支持用户 名 和 密码 。 3 单击 登 录。 4 单击 我 的配置文件。 5 单击修改密码 。 6 输 ?[...]
-
Страница 120
106 美国飞塔有限公司 RMA 之 后 注册 Fo rtiGate 设备 病毒和 攻击 定 义升级 及注册 图 8: 下载 病毒和 攻击 定 义 更新 关于如何安装 下载 的文件的 详 细 信息,请 见 第 83 页 “ 手动更新病毒防护 定 义库 ” 和 第 83 页 “ 手动更新 攻击 定 义库 ” 。 RMA 之 后 注册 F[...]
-
Страница 121
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 107 网络配置 进 入 系统 > 网络 可以 对 FortiG ate 网络设置 做 以 下修改 : · 配置网络接口 · 添加 DNS 服务 器 IP 地址 · 配置路由 · 在您的内部网络 中提 供 DHCP 服务 配置网络接口 按 照 以 下步骤 ?[...]
-
Страница 122
108 美国飞塔有限公司 配置网络接口 网络配置 查看 接口列表 按 照 如 下步骤查看 接口列 表。 1 进 入 系统 > 接口。 将 显示 接口列表。 接口列表 显示了 FortiGate 所有接口的以 下状态 信息: · 接口的 IP 地址 · 接口的网络 掩 码 · 接口的管理访问 配置 · 接口?[...]
-
Страница 123
网络配置 配置网络接口 Fort iGate-3 00 安装和配置指南 109 为 接口 添加 ping 服务 器 如果您 希望 FortiGate 设备 确 认连接到一个网络接口的 网络中的 下 一个路由 器 到 这 个接口的连接 是 否 有 效 ,可以 为 这 个接口 添加 一个 ping 服务 器 。路由 失效功 能 需 要添 [...]
-
Страница 124
110 美国飞塔有限公司 配置网络接口 网络配置 图 1: 配置内部接口 使用 静态 IP 地址 配置外部网络接口 1 进 入 系统 > 网络 > 接口 。 2 选 择对应 的 外部网络接 口, 单击 修改 。 3 将 地址 模式 改为 指定 。 4 根据 需 要修改 IP 地址 和 子网 掩 码 。 5 单击 确 ?[...]
-
Страница 125
网络配置 配置网络接口 Fort iGate-3 00 安装和配置指南 111 为 以 太 网点 对 点传 输协议 ( PPPoE )配置外部网络接口 以 下步骤 可以将外 部网络接口配置 为 使用以 太 网点 对 点传 输协议 ( PPPoE ) 。如 果 您的 ISP 使用 PPPoE 为 外部网络接口 分 配 IP 地址 , 就需 ?[...]
-
Страница 126
112 美国飞塔有限公司 配置网络接口 网络配置 将 DMZ/HA 接口配置 为 DMZ 模式 按 照 如 下步骤 可以将 DMZ/HA 接口配置 为 连接 到 DMZ 网络。 当 您将 DMZ/H A 接口配置 为 DMZ 模式的时 候 ,您可以 创建 用 于连接 DMZ 网络和内 部网络、 DMZ 网络和外部网络的 防火墙 策略 ?[...]
-
Страница 127
网络配置 添加 DNS 服务 器 IP 地址 Fort iGate-3 00 安装和配置指南 113 5 单击 应 用 以保 存 您所 做 的 修改 。 图 2: 配置管理接口 添加 DNS 服务 器 IP 地址 包 括 发送报 警 邮件和 URL 阻塞 在内的多 数 FortiGate 功 能 都 需 要 使用 DNS 服务 。 以 下操作 用 来 设置 DNS 服务[...]
-
Страница 128
114 美国飞塔有限公司 配置路由 网络配置 1 进 入 系统 > 网络 > 路由 表 。 2 单击 新 建 。 3 将 源 IP 地址 和 子网 掩 码 设置 为 0.0.0. 0 。 4 将 目的 IP 地址 和 子网 掩 码 设置 为 0.0.0.0 。 5 将 网关 1 的 IP 地址 设置 为 发送到 互联 网的 数 据 要 使用的路由网 ?[...]
-
Страница 129
网络配置 配置路由 Fort iGate-3 00 安装和配置指南 115 添加 路由 (透明模式) 以 下操作 用于 FortiGate 在透明模式 运 行时 添加 路由: 1 进 入 系统 > 网络 > 路由 。 2 单击 新 建 以 添加 新的路由。 3 输 入 这 个路由的 目的 IP 地址 和 子网 掩 码 。 4 输 入 这 个?[...]
-
Страница 130
116 美国飞塔有限公司 在您的内部网络中提 供 DHCP 服务 网络配置 您可以使用 策略 路由 创建 一个路 由 策略数 据 库 (RPDB) ,从一 组 路由规 则 中 为通讯 找 出 适 当 的路由。 要为通 讯 选 择 一个路由, FortiGate 从 头 搜索 RP DB 寻 找与通讯匹 配 的路由 策略 。 搜[...]
-
Страница 131
网络配置 在您的内部网络中提 供 DHCP 服务 Fort iGate-3 00 安装和配置指南 117 4 单击 应 用 。 5 把 网络 上 的电 脑 的 IP 地址 设置配置 为 通 过 DHCP 自动获取 IP 地址 。 图 4: DHCP 设置的例子 查看 动 态 IP 列表 如果您 已 经配置 了 FortiG ate 上 的 DHCP 服务 器 ,您可以 ?[...]
-
Страница 132
118 美国飞塔有限公司 在您的内部网络中提 供 DHCP 服务 网络配置[...]
-
Страница 133
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 119 RIP 配置 FortiGa te 路由信息 协议 ( RIP ) 实 现支持 RIP 版本 1 ( RFC10 58 所定 义 )和 RIP 版本 2 ( 也称做 RIP2 , RFC2453 所定 义 )。 RIP2 启用 了 RIP 消 息从 而 能 够承 载 更多信 息和支持简 单 的认[...]
-
Страница 134
120 美国飞塔有限公司 RIP 设置 RIP 配置 RIP 设置 配置 RIP 设置以启用基本的 RI P 功 能和 度 量 ,以及配置 RIP 计 时 器 。 1 进 入 系统 >RIP> 设置。 2 单击 启用 RIP 服务 器 以将 FortiG ate 设备配置 为 一个 RIP 服务 器 。 3 单击 启用 广 告默认 值 以使得 Fort iGate 设备[...]
-
Страница 135
RIP 配置 为 FortiG ate 接口配置 RIP Fort iGate-3 00 安装和配置指南 121 图 1: 配置 RIP 设置 为 FortiGate 接口配置 RIP 您可以 为 每 个 FortiGate 接口 创建 一个 单独 的配置。 这 样 一 来 您 就 可以 为 您的 FortiGa te 设备的 每 个接口 上 所连接的网络定 制 专用 的 RIP 。例如: ?[...]
-
Страница 136
122 美国飞塔有限公司 为 Forti Gate 接口配置 RIP RIP 配置 4 单击 确 定一保 存 选定接口 上 的 RIP 配置。 图 2: 一个内部接口 上 的 RIP 配置的例子 RIP1 发送 本接口可以将 RI P1 路由 广 播发送到 此 网络 上 的其他路由 器 。路由信息 是 目的 端 口 为 520 的 UDP 数 据包。 R[...]
-
Страница 137
RIP 配置 添加 RIP 邻居 Fort iGate-3 00 安装和配置指南 123 添加 RIP 邻居 添加 RIP 邻居 可以定 义 用于 交 换路由信息的 邻 近 的路由 器 。将 邻居添加 到非 广 播网 络中。 当 您 添加邻居 的时 候 , Forti Gate 设备 与邻居 直 接 交 换信息, 而 不 是 依 赖 于 广 播路 由?[...]
-
Страница 138
124 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置 本 节 叙 述了 如 下 内容: · 添加单 一 RIP 过滤 器 · 添加 一个 RIP 过滤列表 · 添加 一个 邻居 过滤 器 · 添加 一个路由过滤 器 添加单 一 RIP 过滤 器 添加单 一 RIP 过滤 器 可以过滤 单 一过滤。 您可以 对邻居 过滤 ?[...]
-
Страница 139
RIP 配置 添加 RIP 过滤 器 Fort iGate-3 00 安装和配置指南 125 7 单击 确 定以将路由 前 缀 添加 到 这 个过滤 器 。 8 重复步骤 5 到 7 将路由 前 缀 添加 到 这 个过 滤 器 。 添加 一个 邻居 过滤 器 您可以将一个 RI P 过滤 器 或者 RIP 过滤 器 列表设置 为邻居 过滤 器 。 1 ?[...]
-
Страница 140
126 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置[...]
-
Страница 141
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 127 系统配置 进 入 系统 > 配置 可以 对 FortiG ate 系统配置 做 以 下改 动: · 设置系统日 期 和时 间 · 更 改 基于基于 Web 的管理程序的选项 · 添加 和 编辑 管理 员帐 号 · 配置 SNMP · 定 制替 换信?[...]
-
Страница 142
128 美国飞塔有限公司 更 改 基于基于 Web 的管理程序的选项 系统配置 图 1: 日 期 和时 间 设置的例子 更 改 基于基于 Web 的管理程序的选 项 在 系统 > 配置 > 选项页,您可以: · 设置系统 空闲 超 时。 · 设置认证 超 时。 · 选 择 基于 Web 的管理程序所用 的 语[...]
-
Страница 143
系统配置 添加 和 编辑 管理 员帐 号 Fort iGate-3 00 安装和配置指南 129 选 择 基于 Web 的管理程序所用的 语 言 1 在 语 言 列表中选 择 基于 Web 的管理程序使用的 语 言 。 2 单击应 用。 您可以选 择 英 文、简 体 中 文、日文、 韩 文或 繁 体 中文。 为 LCD 控制面板 设?[...]
-
Страница 144
130 美国飞塔有限公司 添加 和 编辑 管理 员帐 号 系统配置 2 单击 新 建 以 添加 新的管理 员帐 号。 3 输 入管理 员帐 号 登 录时所 用的 用户 名 。 用户 名 的 长 度 不能 少 于 6 个字 符 。用户 名 可以包 括数 字( 0-9 ) , 大 写 或者 小 写 字 母 ( A-Z,a-z ) , ?[...]
-
Страница 145
系统配置 配置 SNMP Fort iGate-3 00 安装和配置指南 131 10 如果 要删除 某 个管理 员帐 号,选中 要删除 的 帐 号 然 后单击 删除 。 配置 SNMP 为 FortiGat e 配置的 SNMP 可以 允 许 运 行在 FortiGat e 上 的 SNMP 代 理报告系统信息 和发送 陷阱 。 FortiGate 中的 SN MP 代 理支持 SNMP ?[...]
-
Страница 146
132 美国飞塔有限公司 配置 SNMP 系统配置 4 单击应 用。 图 2: SNMP 配置的例子 FortiGate 管理信息 库 ( MIB ) FortiGa te SNMP 代 理支 持 Fort iGate 私 有 M IB 也 支持标 准 的 RFC 1213 和 RFC 2665 MI B 。 表 1 中列出 了 FortiGate MIB 。您可以从 Fortinet 技术支持获得 这些 MIB 文件。 要[...]
-
Страница 147
系统配置 定 制替 换信息 Fort iGate-3 00 安装和配置指南 133 FortiGate 陷阱 FortiGa te SNMP 代 理 最 多可以 向 三 个 SNMP 陷阱 接 收 器 发送 陷阱消 息。 这些 陷阱 接 收 器 必 须 是 在您的网络中 的 并 且已 经配置 为 可接 收 从 FortiG ate 发出的 陷阱消 息。 为 了 使 这些 S[...]
-
Страница 148
134 美国飞塔有限公司 定 制替 换信息 系统配置 本 节 描 述了 以 下 内容: · 定 制替 换信息 · 定 制 报 警 邮件 图 3: 替 换信息的例子 定 制替 换信息 替 换信息列表中的 每 个 替 换信息由不 同 的 几 个部 分组成 。您可以 利 用 这些 部 分 的 组 合创建 您自 己 ?[...]
-
Страница 149
系统配置 定 制替 换信息 Fort iGate-3 00 安装和配置指南 135 定 制 报 警 邮件 定 制 报 警 邮件可以 控制 发送 给 系统管理 员 的报 警 邮件的内容 。 1 进 入 系统 > 配置 > 替 换信息。 2 对 于您 要 定 制 的报 警 邮件 信息, 单击修改 。 3 在 消 息设置 对话 框 , [...]
-
Страница 150
136 美国飞塔有限公司 定 制替 换信息 系统配置 阻塞 事 件 用于文件 阻塞 报 警 邮件 消 息 片 段开始 <**BLOCK_ALERT**> 允 许的标 签 %%FILE %% %%PROTOCOL% % 被阻塞 的文件所用的服务。 %%SOURCE_IP%% 接 收 被阻塞 的文件时的 源 IP 地址 。 对 于电子邮件, 这 个 IP 地址是 ?[...]
-
Страница 151
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 137 防火墙配置 防火墙 策略控制 着 所有 通 过 FortiGate 设备的 通讯 。防火墙 策略是 Forti Gate 设备 用 来决 定如何处理 一个连接请 求 的一系列指令 。 当 防火墙 收 到一个 数 据包内的连接请 求 时,[...]
-
Страница 152
138 美国飞塔有限公司 默认防火墙配置 防火墙配置 默认防火墙配置 防火墙 策略控制 接口之 间 的连接。默认 情况 下 ,您内 部网络中的用户可以 通 过 FortiGa te 设备连接到 互联 网。防火墙 阻塞 其他所有的连接 。防火墙 被 配置 为 用一 条 默 认 策略匹 配从内部[...]
-
Страница 153
防火墙配置 添加 防火墙 策略 Fort iGate-3 00 安装和配置指南 139 内容配置文件 内容配置文件可以 添加 到 策略 中以 应 用 对 网页、文件传 输 和电子邮 件服务的防病毒 保护、网页内容过 滤和电子邮件过滤。 FortiG ate 设备包 括了 以 下 默认的内容配置文 件: · 严?[...]
-
Страница 154
140 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 图 5: 添加 NAT/ 路由 策略 防火墙 策略 选项 本 节 叙 述了 您可以在防火 墙 策略 中设置的选项 。 源地址 选 择与数 据包 源地址匹 配的 地址 或 地址组 。在 您 把 这 个 地址添加 到 策略 之 前 , 必 须 先把 它 ?[...]
-
Страница 155
防火墙配置 添加 防火墙 策略 Fort iGate-3 00 安装和配置指南 141 任务 计 划 选 择 任务 计 划可以 控制策略 生 效 和用于 匹 配连 接的时 间 , 见 第 152 页 “ 任务 计 划 ” 。 服务 选 择 一个服务 与数 据包的服务 ( 端 口) 相 对应 。您可以从 大量 的 预 定 义 服?[...]
-
Страница 156
142 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 流量控制 流量控制功 能 控制 可以使用的 带宽 并 设置 被策略 处理的 数 据 流 的 优 先 权。在 大量 的 数 据 通 过 FortiGat e 时, 流量控制 可以 控制 哪 个 策略 具有更高 的 优 先 权。例如, 为 网 页服务 器 设[...]
-
Страница 157
防火墙配置 配置 策略 列表 Fort iGate-3 00 安装和配置指南 143 图 6: 添加 透明模式 策略 记 录 流通 日志 选 择记 录 流通 日志可以在 策略 处 理一个连接的时 候 向 日志 写 入一 条消 息。关于 记 录 日志的 详 细 信息请 见 第 245 页 “ 日志和报告 ” 。 注释 可以选 ?[...]
-
Страница 158
144 美国飞塔有限公司 配置 策略 列表 防火墙配置 本 节 讨 论 了 以 下 内容: · 策略匹 配的 细节 · 更 改策略 列表中 策略 的 顺 序 · 启用和 禁 用 策略 策略匹 配的 细节 当 FortiGat e 从网络接口 上 收 到一个连接 请 求 时,它 首 先要 选 择 一个 策略 列表,在 ?[...]
-
Страница 159
防火墙配置 地址 Fort iGate-3 00 安装和配置指南 145 启用一个 策略 启用一个 被禁 用 了 的 策略 可以使防火墙 继续 用 这 个 策略匹 配连接: 1 进 入 防火墙 > 策略 。 2 选 择 含有 要 启用的 策略 的 策略 列表的标 签 。 3 选中 要 启用的 策略 的选中 标志。 地址 ?[...]
-
Страница 160
146 美国飞塔有限公司 地址 防火墙配置 5 输 入 这 个 IP 地址 。 这 个 IP 地址 可以 是 : ·单 个电 脑 的 IP 地址 (例如, 192.45. 46.45 ) 。 · 一个子网的 地址 (例如 ,一个 C 类 子网 192.168 .1.0 ) 。 · 0.0.0.0 来 表 示 全部可能的 IP 地址 。 6 输 入子网 掩 码 。 子网[...]
-
Страница 161
防火墙配置 地址 Fort iGate-3 00 安装和配置指南 147 删除地址 删除 一个 地址 可以 把 此 地址 移 出 地址 列表。一 旦 地址被删除了 , 这 个 地址 就 不能 再 添加 到 策略 中。 要删除 一个 已 经 添加 到 策略 的 地址 , 必 须 先把 它从 那 个 策略 中 删除 。 1 进 入[...]
-
Страница 162
148 美国飞塔有限公司 服务 防火墙配置 图 8: 添加 一个内部 地址组 。 服务 使用服务可以 控制 防火墙接 受 或者 拒绝 的 流通 类 型。 可以 为 一个 策略添加 任何 预 定 义 的服务。 也 可以 创建 您自 己 定 制 的服务 然 后把 服务 添加 到服务 组 中 去 本 节 叙 ?[...]
-
Страница 163
防火墙配置 服务 Fort iGate-3 00 安装和配置指南 149 ESP 封 装安全有 效载 荷 。 这 个服务用于自动 密钥交 换的 VPN 通道 和手工 密钥 VPN 通道 ,以传 输加 密 的 数 据。自动 密钥交 换 VPN 通道 在使用 IKE 建立 连接之 后 使用 ESP 传 输数 据。 50 AOL AOL 即 时 消 息 协议 ?[...]
-
Страница 164
150 美国飞塔有限公司 服务 防火墙配置 访问定 制 服务 如果 需 要创建 一个含有不 包 括 在 预 定 义 服务列表中的服务的 策略 ,可以 添加 一个定 制 的服务。 1 进 入 防火墙 > 服务 > 定 制 。 2 单击 新 建 。 3 输 入服务的 名 字 。 当 您 添加 一个新的 策略 ?[...]
-
Страница 165
防火墙配置 服务 Fort iGate-3 00 安装和配置指南 151 5 通 过 输 入 最 高 端 口号 和 最低端 口号 , 为 这 个 协议 指定一个 源端 口和一个目的 端 口 号的范 围 。如果服 务 仅 使用一个 端 口, 就 在 最 高和 最低端 口号 上输 入 相 同 的 数 字。 6 如果 这 个服务有多[...]
-
Страница 166
152 美国飞塔有限公司 任务 计 划 防火墙配置 任务 计 划 任务 计 划用 来 控制策略 生 效 和 无 效 的时 间 。可以 创建 一 次 性 的任务 计 划和 周期 性的 任务 计 划。您可以使用一 次 性的任务 计 划 创建策略 , 这 个 策略 只 在任务 计 划指定的时 间 段内有 效 [...]
-
Страница 167
防火墙配置 任务 计 划 Fort iGate-3 00 安装和配置指南 153 图 10: 添加 一 次 性任务 计 划任务 计 划 创建周期 性任务 计 划 可以 创建 一个 周期 性的任务 计 划在 每 天 的特定时 间 或者 每 周 的特定 天 数 里激 活 策略 或者取 消对策略 的 激 活 。 例如,您可能 需 ?[...]
-
Страница 168
154 美国飞塔有限公司 任务 计 划 防火墙配置 图 11: 添加周期 性任务 计 划 在 策略 中 添加 一个任务 计 划 在 创建 一个任务 计 划之 后 ,您可 以 把 它 添加 到 策略 中,以 控制策略 生 效 的时 间 。在 创建策略 的时 候 , 可以在 策略 中 添加 新的任务 计 划,?[...]
-
Страница 169
防火墙配置 虚拟 IP Fort iGate-3 00 安装和配置指南 155 虚拟 IP NAT 模式的安全 策略 可以 对 较 不 安全的网络 隐藏较 安全的网络中的 地址 。 要 允 许从 一个 较 不安全的网络连接 到一个 较 安全的网络 中的 某 个 地址上 ,您 必 须 创建 一个从 较 不安全的网络中的 [...]
-
Страница 170
156 美国飞塔有限公司 虚拟 IP 防火墙配置 8 单击 确 定 以保 存 虚拟 IP 地址 。 您现在可以 把 这 个虚拟 IP 地址添加 到防火墙的 策略 中 了 。 图 12: 添加静态 NAT 虚拟 IP 添加端 口 转 发虚拟 IP 1 进 入 防火墙 > 虚拟 IP 。 2 单击 新 建 以 添加 新的虚拟 IP 。 3 输 ?[...]
-
Страница 171
防火墙配置 虚拟 IP Fort iGate-3 00 安装和配置指南 157 7 输 入 为端 口 转 发配置的 外部的服务 端 口号 。 外部设备 端 口号 必 须 与数 据包 要转 发到的目的 地址 的 端 口号 相 匹 配。例如,如果 虚拟 IP 地址 提 供了 一个从 互联 网到您内部网络 或者 DMZ 网络 上 的[...]
-
Страница 172
158 美国飞塔有限公司 IP 池 防火墙配置 2 选 择要添加 的 策略 的 类 型 : ·源 接口 必 须 匹 配于外部 接口列表中选中的接 口。 · 目的 区 域必 须 匹 配于 映 射 到的 IP 地址 所在网络 相 连接的接口。 3 使用以 下 信息配置 策略 。 4 单击 确 定 以保 存 这 个 策略[...]
-
Страница 173
防火墙配置 IP 池 Fort iGate-3 00 安装和配置指南 159 2 选 择要添加 IP 池的 网络接口 。 3 单击 新 建 以将新的 IP 池 添加 到选中的网络接口 。 4 输 入 这 个 IP 池的 地址 范 围 的 起 点 IP 地址 和 终 点 IP 地址 。 这 个 起 点 IP 和 终 点 IP 须 用 来 定 义 IP 池的 IP 地址 ?[...]
-
Страница 174
160 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 IP/MAC 绑 定 IP/MAC 绑 定可以保护 FortiGate 和您的网络不 受 IP 欺骗 的 攻击 。 IP 欺骗 攻击是 一 台 主 机 企 图使用 另 一 台受 信任的 主 机的 IP 地址 连接到 FortiGate 或者 通 过 FortiGa te 。 这 个电 脑 的 IP 地址 可以 轻 易[...]
-
Страница 175
防火墙配置 IP/M AC 绑 定 Fort iGate-3 00 安装和配置指南 161 例如,如果 IP 地址为 1.1.1 .1 和 MAC 地址为 12:34:56 :78:90:a b:cd 的 IP/MA C 地 址对 已 经 添加 到 IP/MAC 地址绑 定列表 了 : · 一个 IP 地址为 1.1.1.1 , MAC 地址为 12:3 4:56:78: 90:ab:cd 的 数 据包 将 被 允 许到 策略 列表?[...]
-
Страница 176
162 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 4 为 新的 IP/MAC 地址 绑 定 对输 入一个 名 字。 这 个 名 字可以包含 数 字( 0-9 ), 大 写 或者 小 写 字 母 ( A-Z , a-z ) ,以及特 殊 字 符 - 和 _ 。不 允 许使用其它特 殊 字 符 和 空 格符 。 5 选 择 启用以启用 这 ?[...]
-
Страница 177
防火墙配置 内容配置文件 Fort iGate-3 00 安装和配置指南 163 内容配置文件 使用内容配置文件 可以 对 防火墙 策略控制 的内 容 通讯应 用不 同 的保 护设置。您可以 使用内容配置文件 完成 以 下 任务: ·为 HTTP, FTP, POP3 , SMTP, 和 IMAP 策略 配置防病毒保护 ·为 HTTP 策?[...]
-
Страница 178
164 美国飞塔有限公司 内容配置文件 防火墙配置 5 启用网页过滤选项 。 6 启用电子邮件过滤 保护选项。 7 启用邮件 片 段和 超大 型文件 / 邮件选项。 8 单击 确 定。 防病毒扫描 扫描网页, FTP 和邮件 通讯 中的病毒和 蠕虫 。请 见 第 2 24 页 “ 防 病毒扫描 ” 。 ?[...]
-
Страница 179
防火墙配置 内容配置文件 Fort iGate-3 00 安装和配置指南 165 图 16: 内容配置文件 举 例 将内容配置文件 添加 到 策略 您可以将内容配置 文件 添加 到一个 策略 , 这 个 策略 的动 作 可以 是 接 受 或 拒绝 、服务 类 型可以 是 任意、 HTTP 、 FTP 、 IMAP 、 POP3 、 SM TP 或[...]
-
Страница 180
166 美国飞塔有限公司 内容配置文件 防火墙配置[...]
-
Страница 181
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 167 用户 与 认证 FortiGa te 支持使用 FortiGate 用户 数 据 库 、 RADIUS 服务 器 和 LDAP 服务 器 的用户 认证。您可以 把 用户 名添加 到 FortiGate 用户 数 据 库 中, 然 后为 用户设置一个 密码 以 允 许用户使[...]
-
Страница 182
168 美国飞塔有限公司 设置认证 超 时 用户 与 认证 设置认证 超 时 按 以 下步骤 设置认证 超 时: 1 进 入 系统 > 配置 > 选项 。 2 设置 认证 超 时 以 控制 在用户 再 次 认证以取得 对 防火 墙的访问权之 前 ,防 火墙能 够 保 持 空闲 的时 间 。 默认的认证 超 [...]
-
Страница 183
用户 与 认证 配置 RADI US 支持 Fort iGate-3 00 安装和配置指南 169 图 17: 添加 用户 名 从内部 数 据 库 中 删除 用户 名 您不能 删除 已 经 添加 到用户 组 的用户 名 。在 删除 用户之 前 必 须 将它们从所 添加 到的 用户 组 中 删除 。 1 进 入 用户 > 本 地 。 2 对 于 ?[...]
-
Страница 184
170 美国飞塔有限公司 配置 LDAP 支持 用户 与 认证 3 输 入 RADIUS 服务 器 的 名 称 。 您可以 输 入任何 名 称 。 此 用户 名 可以包 括数 字( 0-9 ) , 大 写 和 小 写 字 母 ( A-Z,a-z ) , 以及特 殊 字 符 - 和 _ 。不能使用 其它特 殊 字 符 和 空 格符 。 4 输 入 RADIUS ?[...]
-
Страница 185
用户 与 认证 配置 LDAP 支持 Fort iGate-3 00 安装和配置指南 171 添加 LDAP 服务 器 按 以 下步骤 配置 Forti Gate 设备的 LDAP 认证: 1 进 入 用户 > LDAP 。 2 单击 新 建 以 添加 新的 LDAP 服务 器 。 3 输 入 LDAP 服务 器 的 名 称 。 您可以 输 入任何 名 称 。 此 用户 名 可以?[...]
-
Страница 186
172 美国飞塔有限公司 配置用户 组 用户 与 认证 3 单击 确 定 。 配置用户 组 要 启用认证,您 必 须 在一 个或多个用户 组 中 添加 用户 名 和 / 或 RADIUS 服务 器 。 当 您 需 要 认证时,可以选 择 一个用 户 组 。您可以 对 以 下 情况 选 择 一个 用户 组 : · 需 要 [...]
-
Страница 187
用户 与 认证 配置用户 组 Fort iGate-3 00 安装和配置指南 173 图 20: 添加 用户 组 3 输 入一个用于 识别 此 用户 组 的 组名 。 这 个 组名 可以 是数 字( 0-9 ) , 大 写 和 小 写 字 母 ( A-Z,a-z ) ,以及特 殊 字 符 - 和 _ 。不 能使用其它特 殊 字 符 和 空 格符 。 4 要?[...]
-
Страница 188
174 美国飞塔有限公司 配置用户 组 用户 与 认证[...]
-
Страница 189
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 175 IPSec VPN 虚拟专用网络 ( VPN ) 是 一个 拓 展 的 私 有网络,它由 穿 过 共享 或公 共 网络,例如 互 联 网,的连接 组成 。例如, 某 公司有 两 个 办 公 室 分 别 在 两 个不 同 的 城市 , 每 个 都[...]
-
Страница 190
176 美国飞塔有限公司 手工 密钥 IPSec VPN IPSe c VPN IPSec 提 供了 两种 控制密钥交 换 和管理的 方 法 :手工 密钥 和 IKE 自动 密钥 管理。 · “ 手工 密钥 ” · “ 使用 预 置 密钥 或证 书 的自动 互联 网 密钥 交 换 ( 自动 IKE) ” 手工 密钥 当 选 择了 手工 密钥 之 后 ?[...]
-
Страница 191
IPSe c VPN 手工 密钥 IPSe c VPN Fort iGate-3 00 安装和配置指南 177 本 地 和 远端 的 加密 和认证 密钥 必 须 匹 配 ; 并 且 彼 此 的 SPI 值 也 必 须 互为 镜 像 。 当 您 输 入 了 这些 值 之 后 , 无须再 协 商认证和 加密 算法即 可发 起 VPN 通道 。 只 要 您 正确 、 完 整地[...]
-
Страница 192
178 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 9 从列表中选 择 一个认证 算法 。 在 通道 的 两 端 需 要 使用 相 同 的认证 算法 。 10 输 入认证 密钥 。 每两 个字 符 的 组合 表 示 十 六 进制 格 式中的一个 字 节 。在 通道 的 两 端 需 要 使用 相 同 的认 证 密钥 [...]
-
Страница 193
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-3 00 安装和配置指南 179 为 自动 IKE VPN 添加 第一 阶 段配置 当 您 添加 第一 阶 段配置的时 候 ,您 需 要 定 义 Forti Gate 设备和 VPN 远端 (网关或 客户)用于 彼 此 认证以 建立 IPSe c VPN 通道 的有关 条 件。 第一 阶 段配置和第 二阶 [...]
-
Страница 194
180 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 8 输 入 密钥 寿 命。 指定在第一 阶 段 密钥 的有 效期 。 密钥 有 效期是 在第一 阶 段 加密密钥 过 期 之 前 以 秒 为单 位 计 算 的时 间 。 当密钥 过 期 之 后 , 无须 中 断 服务 就 可以 生 成 一个新的 密钥 。 P1 提[...]
-
Страница 195
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-3 00 安装和配置指南 181 4 (可选的) NAT 跨越 。 5 (可选的)配置 端 点 失效 检测。 使用 这些 设置可以 监视 VPN 双 方 的连接 状态 。 DPD 允 许 清 除 已 经 失效 的连接 并建立 新的 VPN 通道 。不 是 所有的 销 售 商 都 支持 DP D 。 [...]
-
Страница 196
182 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 图 21: 添加 第一 阶 段配置 为 自动 IKE VPN 添加 第 二阶 段配置 添加 第 二阶 段配置以指定 在本 地 VPN 端 点( Forti gate 设备)和 远 程 VPN 端 点 ( VPN 网关或客户 端 )之 间创建 和 维 护 VPN 通道 所用的参 数 。 按 以 ?[...]
-
Страница 197
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-3 00 安装和配置指南 183 5 配置 P2 提 议 。 可以 为 第 二阶 段的提 议最 多选 择 三 个 加密 和认证 算法 组合 。 VPN 通道 的 两 端 必 须 使用 相 同 的 P2 提 议 设置。 6 (可选的)启用 重 放 检测 。 重 放 检测可以保护 VPN 通道 以 ?[...]
-
Страница 198
184 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 22: 添加 第 二阶 段配置 管理 数 字证 书 在一个 IPSec 通讯 会 话 的参 与 双 方建立 一个 加密 的 VPN 通道 之 前 , 数 字证 书 可以用 来 保证参 与 双 方是 可信的 。 Fortine t 使用手工 操作 获得 证 书 。 这 包 括 从?[...]
-
Страница 199
IPSe c VPN 管理 数 字证 书 Fort iGate-3 00 安装和配置指南 185 2 单击 生 成 。 3 输 入一个证 书名 称 。 输 入的 名 称 。 这 个 名 称 可以含有 数 字( 0-9 ), 大 写 和 小 写 字 母 ( A-Z , a- z ) ,以及特 殊 字 符 - 和 _ 。不能使用其它特 殊 字 符 或者 空 格符 。 4 配[...]
-
Страница 200
186 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 23: 添加 本 地 证 书 下载 证 书 请 求 您可以使用如 下操 作 将证 书 请 求 从 FortiGate 设备 下载 到管理 员 电 脑 。 按 照 如 下步骤下载 证 书 请 求 : 1 进 入 VPN > 本 地 证 书 。 2 单击下载 以将本 地 证 书下载 ?[...]
-
Страница 201
IPSe c VPN 管理 数 字证 书 Fort iGate-3 00 安装和配置指南 187 4 申 请一个 签名了 的本 地 证 书 。 按 照 CA 网页服务 器 的指 令 进 行如 下操作 : · 将一个 base6 4 编码 的 PKCS#10 认证请 求 添加 到 CA 网页服务 器 , · 将证 书 请 求 粘贴 到 CA 网页服务 器 , · 在 CA 网页[...]
-
Страница 202
188 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 单击 确 定。 在本 地 证 书 列表中将 显示签名 的本 地 证 书 ,其 状态为 OK 。 获得一个 CA 证 书 VPN 双 方为了 让 对方 认证自 己 , 必 须 从 同 一个 证 书 授 权获得 CA 证 书 。 CA 认证 为 VPN 双 方 提 供了 坚 定他们?[...]
-
Страница 203
IPSe c VPN 配置 加密策略 Fort iGate-3 00 安装和配置指南 189 尽 管 加密策略同 时 控制进 入和发出的连 接,它 必 须 被 配置 成为 一个 向 外的 策略 。一 个 向 外的 策略 具有一个内部网络 的 源地址 和一个外部 网络 上 的目的 地址 。 源地址 标 识 VPN 在内部网络中 ?[...]
-
Страница 204
190 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 输 入 互联 网 上 的一个 VPN 客户 端 或 是远 程 VPN 网关 后 边 的一个网络的 地址名 , IP 地址 和网络 掩 码 。 5 单击 确 定以保 存 目的 地址 。 添加 一个 加密策略 1 进 入 防火墙 > 策略 。 2 选 择 您 要添加策略 的[...]
-
Страница 205
IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-3 00 安装和配置指南 191 图 25: 添加 一个 加密策略 IPSec VPN 集 中 器 在一个 星 型配置的 网络中,所有的 VP N 通道 都终结 在一个 起 集线器作 用的 端 点 上 。 其他的 端 点 就象 辐条 一 样 连接到 这 个 集线器上 。 这 个 集线器 的[...]
-
Страница 206
192 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN 如果 VPN 端 点 是 一个 辐条 ,它 需 要 一个 通道 以将它连接到 集线器 ( 但 是 不连接到 其他 辐条 )。 它 还需 要控制 它到其他 辐条 的 加密 连接 策略 和到其他网络,例如 互联 网的 非 加密 连接的 策略 。 · VPN[...]
-
Страница 207
IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-3 00 安装和配置指南 193 请 见 第 190 页 “ 添加 一个 加密策略 ” 。 5 按 以 下顺 序 排 列 策略 : ·加密策略 · 默认的非 加密策 略 (内部 _ 全部 -> 外部 _ 全部) 添加 一个 VPN 集 中 器 按 以 下步骤添加 一个 VPN 集 中 器 配置:[...]
-
Страница 208
194 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN VPN 辐条 一 般 配置 步骤 一个 实 现 辐条功 能的 远 程 VPN 端 点 需 要 以 下 配置: · 一个到 集线 器 的 通道 (自动 IK E 第一 阶 段和第 二阶 段配置或 手工 密钥 配置) 。 · 本 地 VPN 辐条 的 源地址 。 · 每 个 远 ?[...]
-
Страница 209
IPSe c VPN 冗余 IPSe c VPN Fort iGate-3 00 安装和配置指南 195 请 见 第 190 页 “ 添加 一个 加密策略 ” 。 6 按 照 如 下顺 序 排 列 策略 : ·向 外 加密策略 ·向 内 加密策略 · 默认的非 加密策 略 (内部 _ 全部 -> 外部 _ 全部) 冗余 IPSec VPN 为了 保证一个 IPSe c VPN 通道 ?[...]
-
Страница 210
196 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN 按 如 下步骤 配置 IPSec 冗余 : 1 最 多可以 为 三 个 VPN 连接 添加 第一 阶 段参 数 。 除了 网关 名 和 IP 地址 以外, 为 每 个 VPN 连接 输 入一 样 的 数值 。 确 保 远 程 VPN 端 点( 远 程网关)有 静态 IP 地址 。 ?[...]
-
Страница 211
IPSe c VPN VPN 监视 和问 题解答 Fort iGate-3 00 安装和配置指南 197 图 27: 自动 IKE 密钥通道状态 查看拨 号 VPN 连接的 状态 您可以使用 拨 号 监 视器查看拨 号 VPN 的连接 状态 。 拨 号 监视器 列出 了远 程 网关和 每 个网关 上 处于 活 动 状态 的 VPN 通道 。 监视器上 还 ?[...]
-
Страница 212
198 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN[...]
-
Страница 213
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 199 PPTP 和 L2TP VPN 您可以使用点 对 点 隧 道协 议 ( PPTP )和第 二层 隧 道协议 ( L2TP )在 运 行 Windwo s 操作 系统的 远 程客户电 脑 和您的内部网络之 间建立 一个虚拟专用网络 ( VPN )。 PPTP 和 L2TP [...]
-
Страница 214
200 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 图 29: Windo ws 客户和 FortiG ate 之 间 的 PPTP VPN 把 FortiGate 配置 为 PPTP 网关 按 照 以 下步骤 将 FortiGate 设备配置问 PPTP 网关: 添加 用户 名 和 组 按 以 下步骤为 每 个 PPT P 客户 端添加 一个用户: 1 进 入 用户 > 本 地 。 [...]
-
Страница 215
PPTP 和 L2TP VPN 配置 PPTP Fort iGate-3 00 安装和配置指南 201 图 30: PPTP 地址 范 围 配置的例子 添加 一个 源地址 对 PPTP 地址 范 围 中的 每 个 地址添加 一个 源地址 。 1 进 入 防火墙 > 地址 。 2 选 择 PPTP 客户 要 连接到的接口。 3 单击 新 建 以 添加 一个 地址 。 4 为 P[...]
-
Страница 216
202 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 添加 一个目的 地址 添加 一个 PPTP 用户可以连接到的 地址 。 1 进 入 防火墙 > 地址 。 2 选 择 一个内部接口 或者 DMZ 接口。 ( 对 于不 同 型号的的 FortiGate , 方 法 一 些 差 别 。 ) 3 单击 新 建 以 添加 新的 地址 。 4 ?[...]
-
Страница 217
PPTP 和 L2TP VPN 配置 PPTP Fort iGate-3 00 安装和配置指南 203 配置 PPTP 拨 号连接 1 进 入 我 的电 脑 > 拨 号 网络 > 配置 。 2 双 击 新 建拨 号连接 。 3 为 连接 起 一个 名 字 , 然 后单击 下 一 步 。 4 输 入 要 连接到的 FortiGate 的 主 机 名 或者 IP 地址 , 然 后单击 ?[...]
-
Страница 218
204 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 2 输 入您的 PPTP VPN 用户 名 和 密码 。 3 单击 连接 。 4 在连接 窗 口, 输 入您用 来 连接到您的 拨 号网络连接的 用户 名 和 密码 。 这 个用户 名 和 密码 不 同 于您的 VPN 用户 名 和 密码 。 配置 WindowsXP 的 PPTP 客户 端 [...]
-
Страница 219
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-3 00 安装和配置指南 205 12 单击 确 定 。 连接到 PPTP VPN 1 连接到您的 ISP 。 2 启动您在 上面步骤 中 刚刚 配置的 VPN 连接。 3 输 入您的 PPTP VPN 用户 名 和 密码 。 4 单击 连接 。 5 在 连接 窗 口, 输 入您用 来 连接到您的 拨 号网络?[...]
-
Страница 220
206 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 把 FortiGate 配置 为 L2TP 网关 按 以 下步骤 将 Fort iGate 设备配置 为 L2TP 网关: 添加 用户和用户 组 为 每 个 L2TP 客户 端添加 一个用户: 1 进 入 用户 > 本 地 。 2 添加并 配置 L2TP 用户。 请 见 第 168 页 “ 添加 用户 [...]
-
Страница 221
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-3 00 安装和配置指南 207 添加源地址 对 L2TP 地址 范 围 中的 每 个 地址添加 一个 源地址 。 1 进 入 防火墙 > 地址 。 2 选 择 L2TP 客户 要 连接到的接口。 3 单击 新 建 以 添加 一个 地址 。 4 为 L2TP 地址 范 围 内的一个 地址输 入 ?[...]
-
Страница 222
208 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 3 单击 新 建 以 添加 新的 策略 。 4 将 源地址 设置 为与 L2TP 地址 范 围 匹 配的 组 。 5 将目的 地址 设置 为 L2TP 用户可以连接到的 地址 。 6 将服务设置 为与 L2TP VPN 通道 内的 通讯匹 配的 类 型。 例如,如果 PPTP ?[...]
-
Страница 223
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-3 00 安装和配置指南 209 7 使用注册表 编辑器 (regedit ) 在注册表中定 位 以 下主 键 : HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasman Parameters 8 为 这 个 键 添加 以 下 键 值 : Value Name: ProhibitIpSec Data Type: REG_DWORD Value: 1 9 保 存 您所 做[...]
-
Страница 224
210 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 3 选 择 常 规 以 进 行 常 规设置。 4 选 择 需 要数 据 加密 。 5 单击 高 级 以配置高 级 设置 。 6 选 择 设置 。 7 选 择 挑战 握 手认证 协议 (CHAP) 。 8 确 认 没 有选中其它设置。 9 选 择 网络 属 性页。 10 确 认以 下[...]
-
Страница 225
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-3 00 安装和配置指南 211 连接到 L2TP VPN 1 连接到您的 ISP 。 2 启动您在 前面步骤 中 创建 的 拨 号连接。 3 输 入您的 L2TP VPN 用户 名 和 密码 。 4 单击 连接 。 5 在连接 窗 口, 输 入您的 拨 号网络连接的用户 名 和 密码 。 这 个用户[...]
-
Страница 226
212 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N[...]
-
Страница 227
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 213 网络入侵检测系统 (NIDS) FortiGa te NIDS 是 一个 实 时的网络入侵 探 测 器 ,它 使用 攻击 定 义库 来 检测和 阻 止 各 种 各 样 的可 疑 的网络 数 据 流 和基于网络的 直 接 攻击 。 此 外, 当 发 生 ?[...]
-
Страница 228
214 美国飞塔有限公司 检测 攻击 网络入侵检测系统 (NI DS) 3 单击 应 用 以保 存 您所 做 的 修改 。[...]
-
Страница 229
网络入侵检测系统 (NI DS) 检测 攻击 Fort iGate-3 00 安装和配置指南 215 验 证 校验 和的配置 校验 和 验 证测 试通 过 FortiGa te 的文件, 确 保他 们在传送过程中 没 有 被 篡 改 。 NIDS 可以在 IP 、 TCP 、 UDP 和 ICMP 数 据 流上进 行 校验 和检 查 。如果 要进 行 最大 限 度 [...]
-
Страница 230
216 美国飞塔有限公司 检测 攻击 网络入侵检测系统 (NI DS) 3 打 开网页 浏 览 器并输 入以 下 URL : http://www.fortinet.com/ids/ID< 攻击 ID> 记 住 要 包 括 这 个 攻击 ID 。 例如, 要查看 ssh CRC32 overf low /bin/sh 攻击 ( ID1 01646338 )的 Fortine t 攻击分 析 网页,使用如 下 URL [...]
-
Страница 231
网络入侵检测系统 (NI DS) NIDS 攻击预 防 Fort iGate-3 00 安装和配置指南 217 添加 用户定 义 的特 征 您可以在一个文本 文件中 创建 用户定 义 特 征 列表 然 后 将它从管理 员 电 脑 中 上载 到 FortiGa te 设备。 关于如何 编 写 用户定 义 的 攻击 特 征 的 详 细 信息 ,请 ?[...]
-
Страница 232
218 美国飞塔有限公司 NIDS 攻击预 防 网络入侵检测系统 (NIDS) · 启用 NIDS 攻击预 防 · 启用 NIDS 攻击预 防特 征 · 设置特 征临界值 · 配置 握 手 溢 出特 征值 启用 NIDS 攻击预 防 1 进 入 NIDS > 预 防。 2 单击 左 上 角 的启用。 启用 NIDS 攻击预 防特 征 NIDS 预 防模 块[...]
-
Страница 233
网络入侵检测系统 (NI DS) NIDS 攻击预 防 Fort iGate-3 00 安装和配置指南 219 设置特 征临界值 您可以 表 6 中列出的 NIDS 攻击预 防特 征 的默认的 临界值 。 临界值 取 决 于 攻击 的 类 型。 对 于 淹 没 攻击 , 临界值是 每 秒 接 收 到的包 的 最大数 目。 对 于 溢 出 攻?[...]
-
Страница 234
220 美国飞塔有限公司 记 录 NIDS 攻击 日志 网络入侵检测系统 ( NIDS) 配置 握 手 溢 出特 征值 您可以设置 对握 手 溢 出特 征进 行检测的 临界值 、 队 列 长 度 和有 效期 。 1 进 入 NIDS > 预 防。 2 单击握 手 淹 没 特 征 旁 边 的 修改 。 3 输 入 临界值 。 4 输 入 ?[...]
-
Страница 235
网络入侵检测系统 (NI DS) 记 录 NIDS 攻击 日志 Fort iGate-3 00 安装和配置指南 221 减少 NIDS 攻击 日志 消 息和报 警 邮件的 数量 入侵 企 图可能产 生 大量 的 攻击消 息。 为 了帮助 您从 无 关的 警 报中 找 到 真 正 有用的信 息, FortiGate 设备提 供了减少 没 必 要 的 消[...]
-
Страница 236
222 美国飞塔有限公司 记 录 NIDS 攻击 日志 网络入侵检测系统 ( NIDS)[...]
-
Страница 237
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 223 防病毒保护 在防火墙 策略 中启用 了 防病毒保 护 功 能。 当 您启用一个防火墙 策略 中的防病毒保护 功 能时,您可以选 择 一个内容配置文件 来决 定防病毒保护的 程 度 。内容配置文件 可以 控[...]
-
Страница 238
224 美国飞塔有限公司 防病毒扫描 防病毒保护 6 配置 FortiGat e 设备在 阻塞 或 删除 被感染 的文件时发送 的报 警 邮件,请 见 日志和 消 息 参 考 指南 中的 “ 配置报 警 邮件 ” 。 防病毒扫描 病毒扫描可以从启 用 了 防病毒保护 功 能 的内容 流 中 截 取 大 多 数 [...]
-
Страница 239
防病毒保护 文件 阻塞 Fort iGate-3 00 安装和配置指南 225 图 37: 病毒扫描的内容配置文件的例子 文件 阻塞 启用文件 阻塞删除 所有的文件以 阻 止 潜 在的 威胁 , 并对计 算 机病毒 攻击 提 供最好 的 保护。 只 有出现防 病毒扫描 功 能不能发 现的新病毒的时 候 才 ?[...]
-
Страница 240
226 美国飞塔有限公司 隔离 防病毒保护 默认 情况 下 , 当阻塞功 能启用时, FortiGate 按 照 以 下 文件 名样板阻塞 文件: · 可 执 行文件 (*.bat, * .com, 和 *.e xe) · 压缩 或 存 档文件 (*.gz, *.ra r, *.tar, *.tg z, 和 *.zip) · 动 态 链 接 库 文件 (*.dll) · HTML 应 用程序 (*.hta) ·[...]
-
Страница 241
防病毒保护 隔离 Fort iGate-3 00 安装和配置指南 227 在 FortiGat e 设备中, 被隔离 的文 件的文件 名显示 在 隔离 列表 里 。列 表 显示 每 个 被 隔离 的文件的 状态 、 副 本 数 和时 间 信息。您可 以根据 这些 条 件 对 列表 进 行 排 序和过滤。 您 也 可以从 这 个列表[...]
-
Страница 242
228 美国飞塔有限公司 隔离 防病毒保护 隔离 列表 排 序 您可以根据 状态 ( 感染 或 阻塞 ) 、服务 (IMAP, POP3 , SMTP, F TP, 或 HTTP) , 文件 名 的字 母 顺 序、 隔离 日 期 、 剩 余 时 间 (TTL ) 或 副 本 数 将 隔离 列表 排 序。 1 进 入 病毒防护 > 隔离 。 2 在列表 排 序?[...]
-
Страница 243
防病毒保护 阻塞 过 大 的文件和电子邮件 Fort iGate-3 00 安装和配置指南 229 2 单击下载 以 原 始 格 式 下载被隔离 的文件 。 配置 隔离 选项 您可以指定 FortiGate 设备 是 否 隔离被感染 的文件、 被阻塞 的文件或 两 者 都 隔离 。 您可以指定从网页 、 FTP 和电子邮件 ?[...]
-
Страница 244
230 美国飞塔有限公司 查看 病毒列表 防病毒保护 按 以 下方 法 将 Fort iGate 设备配置 为 传 递 邮件 片 段: 1 在内容配置文件中 启用邮件 片 段传 递 。 2 在防火墙 策略 中选 种 病毒防护和网 页过滤。例如, 要 传 递 由内 部网络用户到外部网 络 的邮件 片 段,选 [...]
-
Страница 245
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 231 网页内容过滤 在防火墙 策略 中可以启用网页内 容过滤 功 能。您在一 个防火墙 策略 中启用 了 防病毒 和网页过滤 功 能 后 ,可以选 择 一 个内容配置文件以 控制对 HTTP 通讯 的网页过滤 方 式。[...]
-
Страница 246
232 美国飞塔有限公司 内容 阻塞 网页内容过滤 4 配置 当 FortiGa te 设备 阻塞 不 受欢迎 的内容或不 受欢迎 的 URL 的时 候 用户 收 到的信息。 请 见 第 133 页 “ 定 制替 换信息 ” 。 5 配置 FortiGat e 设备在 阻塞 或 删除 一个 受 感染 的文件的时 候 发送一 封 报 警 邮[...]
-
Страница 247
网页内容过滤 阻塞对 URL 的访问 Fort iGate-3 00 安装和配置指南 233 图 38: 禁忌词汇 列表 举 例 阻塞对 URL 的访 问 您可以使用 FortiGate 网页过滤 功 能或 Cerbe rian 网页过滤 器阻塞 不 受欢迎 的内 容。 · 使用 FortiGa te 网页过滤 器 · 使用 Cerberi an 网页过滤 器 使用 FortiGate[...]
-
Страница 248
234 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 3 输 入 要阻塞 的 U RL 。 输 入一个 顶 级 URL 或者 IP 地址 可以 阻塞对 一个 站 点 上 所有网页的访问。 例如, www.badsite.com 或者 122.133.144.155 阻塞了对 这 个 站 点 上 所有网页的访问 。 输 入一个 顶 级 URL 后 面[...]
-
Страница 249
网页内容过滤 阻塞对 URL 的访问 Fort iGate-3 00 安装和配置指南 235 下载 URL 阻塞 列表 您可以将 URL 阻塞 列表备 份 , 方 法 是 将它 下载 到管理 员 电 脑上 保 存为 文本文件。 1 进 入 Web 过滤 器 > URL 阻塞 。 2 选 择 下载 URL 阻塞 列表 。 FortiGa te 将 把 URL 阻塞 列表[...]
-
Страница 250
236 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 如果您 为 您的 FortiGate 设备 购买 了 Cerberian 网页过滤 功 能, 按 照 以 下步骤为 FortiGa te 设备配置 Cerberian 网页过滤 器 。 一 般 配置 步骤 要 使用 Cerberi an 网页过滤 器 ,您 需 要 : 1 安装 Cerberia n 网页过滤 ?[...]
-
Страница 251
网页内容过滤 阻塞对 URL 的访问 Fort iGate-3 00 安装和配置指南 237 配置 Cerberian 网页过滤 您在 FortiGat e 设备中 添加了 Cerberian 网页过滤用户之 后 ,可 以将用户 添加 到 Cerberi an 网页过滤服务 器 的用户 组 中。 然 后 您可以 创建策 略并 将 策略应 用到 这 个用户 组 ?[...]
-
Страница 252
238 美国飞塔有限公司 脚 本过滤 网页内容过滤 脚 本过滤 使用以 下方 法 可以 将 FortiGa te 配置 为 从网页中 删除脚 本。您 可以将 FortiG ate 配 置 为阻塞 java 小 程序、 cookies 和 Active X 。 · 启用 脚 本过滤 · 选 择脚 本过滤选项 启用 脚 本过滤 1 进 入 防火墙 > 内?[...]
-
Страница 253
网页内容过滤 URL 排除 列表 Fort iGate-3 00 安装和配置指南 239 URL 排除 列表 在 URL 排除 列表中 添加 的 URL 是为了避免 正常 的 数 据 流被 内容过滤或 URL 过滤 功 能 意外 地阻塞 掉 。例如,如果内容过滤 被 设置 为阻塞 含有关于 色 情 描 写 的 词汇而 一个 著 名 的 ?[...]
-
Страница 254
240 美国飞塔有限公司 URL 排除 列表 网页内容过滤[...]
-
Страница 255
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 241 电子邮件过滤 防火墙 策略 中可以 使用电子邮件过滤。 当 您在一个防火墙 策略 中启用 了 病 毒防护和 网页过滤,您可以 选 择 一个内容配置文 件用 来 控制 电子邮件过滤 功 能如何 处理邮件 ([...]
-
Страница 256
242 美国飞塔有限公司 电子邮件 阻塞 列表 电子邮件过滤 您可以用 西 方 字 符 集 、简 体 中文 、 繁 体 中文、日文、或 韩 文字 符 集 使用多 种 语 言 在 列表中 添加禁忌词 汇 。 在 禁忌词汇 列表中 添加单词 或 短语 1 进 入 Web 过滤 器 > 内容 阻塞 。 2 单击 新[...]
-
Страница 257
电子邮件过滤 邮件 排除 列表 Fort iGate-3 00 安装和配置指南 243 3 输 入一个 阻塞 模 板 。 ·要 标 记 来 自一个特定 地址 的所有邮件 , 只需 输 入 这 个邮件的 地址 。例如, sender@abccompany.com 。 ·要 标 记 从特定 域 来 的邮件, 输 入 域 名 。例如, abccompany.com 。 ?[...]
-
Страница 258
244 美国飞塔有限公司 添加 一个 主题 标 签 电子邮件过滤 添加 一个 主题 标 签 当 FortiGat e 设备从一个不 受欢迎 的 地址 收 到电子邮件 、或 收 到含有邮件 禁忌词汇 列表中的 词汇 的邮 件的时 候 , FortiGate 设备将在 主题 中 添加 一个标 签并 将 消 息 发送到 邮?[...]
-
Страница 259
Forti Gate-30 0 安装和配置指南 2. 50 版 Fort iGate-3 00 安装和配置指南 245 日志和报告 您可以将 FortiGate 设备配置 为记 录网络的各 种活 动,从 常 规配置的 改 变 和 通讯 会 话 直 到 紧急事 件。您 还 可以将 FortiGate 设备配置 为 发送 警 报邮 件 消 息以提 醒 系统管 理 ?[...]
-
Страница 260
246 美国飞塔有限公司 记 录日志 日志和报告 在 远 程电 脑上记 录日志 以 下操作 用于将 FortiGat e 配置 为 将日志 消 息 记 录到一 台 远 程电 脑上 。 这台 远 程电 脑 必 须 配置 为 一个系统日志服务 器 。 1 进 入 日志 与 报告 > 日志 设置 。 2 选 择 记 录日志到 [...]
-
Страница 261
日志和报告 记 录日志 Fort iGate-3 00 安装和配置指南 247 以 下操作 设置日志 的 记 录 方 式 为记 录到 硬盘 : 1 进 入 日志 与 报告 > 日志设置 。 2 选 择 记 录到本 地 。 3 输 入一个日志文件 的 最大值 ( 以 兆 字 节为单 位 ) 。 当 日志文件的 大小 达 到 这 一 最[...]
-
Страница 262
248 美国飞塔有限公司 过滤日志 消 息 日志和报告 过滤日志 消 息 您可以选 择记 录 哪 种 日志和在 每种 日志中 记 录 哪 类 消 息。 1 进 入 日志和报告 > 日志设置 。 2 选 择 配置 策略 设置您在 第 245 页 “ 记 录日志 ” 选 择 的日志 记 录 位 置。 3 选 择 您 希?[...]
-
Страница 263
日志和报告 配置 通讯 日志 Fort iGate-3 00 安装和配置指南 249 图 43: 日志过滤配置的例子 配置 通讯 日志 您可以将 FortiGate 设备配置 为记 录以 下 连接的 通讯 日志 消 息: · 任意接口 · 任意防火墙 策略 FortiGa te 设备可以根据任 何 源地址 、目的 地址 或服务 类 型 ?[...]
-
Страница 264
250 美国飞塔有限公司 配置 通讯 日志 日志和报告 启用 通讯 日志 您可以 对 任何接口 和任何防火墙 策略 启 用日志 记 录。 在网络接口 上 启用 通讯 日志 如果您 对 某 个网络接口启 用 了通讯 日志 记 录, 所有到 此 接口和 通 过 此 接口 的网络连 接将 被记 录 ?[...]
-
Страница 265
日志和报告 配置 通讯 日志 Fort iGate-3 00 安装和配置指南 251 图 44: 通讯 过滤列表的例子 添加通讯 过滤的 条 目 在 通讯 过滤列表中 添加条 目可以过滤 通讯 日志 记 录的 消 息。如果您不在 通讯 过滤列 表中 添加 任何 条 目, Fort iGate 记 录所有的 通讯 日志 消 息?[...]
-
Страница 266
252 美国飞塔有限公司 查看记 录到内 存 的日志 日志和报告 图 45: 新 通讯地址条 目的例子 查看记 录到 内 存 的日志 如果 FortiGat e 被 配置 为 在内 存 中 记 录日志。您可以使用基于 Web 的 管理程序 来 查 看 、 搜索 和 清 除 日志中的 消 息。本 节 讨 论 了 : · 查[...]
-
Страница 267
日志和报告 查看 和管理保 存 在 硬盘上 的日志 Fort iGate-3 00 安装和配置指南 253 5 选 择 或 可以 搜索与 某 个或 多个 给 定 条 件 匹 配的 消 息。 6 选 择 以 下 一个或多个 搜索 条 件: 7 单击 确 定 开始 搜索 基于 Web 的管理程序 会 显示 出 符 合 给 定 搜索 条 件?[...]
-
Страница 268
254 美国飞塔有限公司 查看 和管理保 存 在 硬盘上 的日志 日志和报告 2 选 择 事 件日志、 攻击 日 志、防病毒日志、 网页过滤日志或电子 邮件过滤日志。 3 对要查看 的日志文 件, 单击查看 。 4 单击 在您 正 在 查看 的日志文件中 搜索消 息。 5 选 择 与 可以 搜?[...]
-
Страница 269
日志和报告 配置报 警 邮件 Fort iGate-3 00 安装和配置指南 255 删除 一个保 存了 的日志文件 按 照 如 下步骤操作 可以 删除 一个保 存了 的日志文件: 1 进 入 日志和报告 > 记 录日 志。 2 选 择流量 日志, 事 件日志 , 攻击 日志,病毒防 护日志,网页过滤日 志,[...]
-
Страница 270
256 美国飞塔有限公司 配置报 警 邮件 日志和报告 6 在 邮件发送到 一 栏 最 多可以 输 入 三 个目的 地址 。 这 个 地址是 FortiG ate 将报 警 邮件 实 际 发送到的 电子邮件 地址 。 7 单击 应 用 以保 存 您的报 警 邮件设定。 测 试 报 警 邮件 您可以 通 过发送测 试 邮[...]
-
Страница 271
Fort iGate-3 00 安装和配置指南 257 FortiGa te-300 安装和配置指南 2.50 版 术语表 连接: 两台 电 脑 之 间 、 应 用程序之 间 、 进 程之 间 或者其 他 诸 如 此类 的 对 象 之 间 的物理 上 或 逻 辑上 的 联 系,或 者 两 者 都 有的 联 系。 DMZ, 非 军 事 区 : 用 来 提 供互?[...]
-
Страница 272
258 美国飞塔有限公司 术 语 表 MTU , 最大 传 输单 元 : 一 个网络可以传 输 的 数 据包的 最 大 物理 尺寸 ,以字 节为单 位 。任何 大 于 MTU 的 数 据包在 发送之 前 都 会 被分成 较 小 的 数 据包 。理 想情况 下 ,网络 中的 MTU 应当等 于从您的电 脑 到目的 地 之[...]
-
Страница 273
Fort iGate-3 00 安装和配置指南 259 FortiGa te-300 安装和配置指南 2.50 版 索引 A ActiveX 238 从网页中 删除 238 admin 级 别 访问 管理 员帐 号 129 安装 向 导 31, 43 启动 31, 44 B 病毒定 义 更新 95 病毒定 义 更新 手动 83 下载 106 自动 91 病毒防护 概 述 223 病毒防护更新 任务 计 划 9[...]
-
Страница 274
260 美国飞塔有限公司 索引 策略 列表 配置 143 从内容和 URL 阻塞 中 排除 URL 239 cookies 阻塞 238 测 试 报 警 邮件 256 超 时 防火墙认证 128 IPSec V PN 196, 197 基于 Web 的管理程序 128 空闲 128 重 新启动 86 操作 模式 转 换 85, 86 D DHCP 内部网络 116 内部网络设置 117 外部接口 110 [...]
-
Страница 275
索引 Fort iGate-3 00 安装和配置指南 261 Forti 响应 发布网络 FDN 92 服务 组 添加 151 服务 148 策略 选项 141 定 制 150 服务 名 称 148 预 定 义 148 用户定 义 150 组 151 服务 名 称 通讯 过滤 显示 250 服务 组 151 G 高可用性 介 绍 4 关 闭 86 固 定 端 口 141 过 大 的文件和电子邮件 [...]
-
Страница 276
262 美国飞塔有限公司 索引 IKE 257 IMAP 149, 257 IP 配置 验 证 校验 和 215 IP/MAC 绑 定 160 动 态 IP/MAC 列表 16 0 启用 162 添加 161 允 许 流通 161 阻塞流通 161 静态 IP/MAC 列表 160 IP 池 添加 158 IP 地址 从 CLI 配置 45 IP 地址 IP/MAC 绑 定 160 P 地址 使用 前面板控制按钮 和 LCD 31, 44 IP[...]
-
Страница 277
索引 Fort iGate-3 00 安装和配置指南 263 L L2TP 172, 257 配置 205 配置网关 206 配置 Windows XP 客户 端 209 起 点 IP 206 启用 206 网络配置 205 终 点 IP 地址 206 L2TP 网关 配置 206 记 录日志 通讯 日志 248 LCD 和 按 键 配置 IP 地址 31, 44 LDAP 配置 举 例 171 LDAP 服务 器 添加 服务 器地址 [...]
-
Страница 278
264 美国飞塔有限公司 索引 P PAT 156 排除 范 围 DHCP 116 PING 管理访问 109, 11 2 POP3 149, 258 匹 配 策略 144 PPPoE 外部接口 111 PPTP 172, 258 配置网关 200 配置 Window s 2000 客户 端 203 配置 Window s 98 客户 端 202 配置 Windows XP 客户 端 204 起 点 IP 200 启用 200 网络配置 200 终 点 IP 地址 2[...]
-
Страница 279
索引 Fort iGate-3 00 安装和配置指南 265 时 间 日志 搜索 253, 25 4 设置 127 事 件日志 查看 252 扫描 防病毒 224 SMTP 150 定 义 258 配置报 警 邮件 255 SNMP 定 义 258 接 受 团 体 131 联 系信息 131 MIBs 132 配置 131 配置 举 例 132 陷阱 133 陷阱 接 收 器 IP 地址 132 陷阱 团 体 132 系统 ?[...]
-
Страница 280
266 美国飞塔有限公司 索引 WebTren ds 在 NetIQ W ebTrend s 服务 器上记 录日志 246 维 护 日志 253 Windows 2000 L2TP 配置 208 连接到 L2TP VP N 209 连接到 PPTP VP N 203 为 PPTP 配置 203 Windows 98 连接到 PPTP VP N 203 PPTP 配置 202 Windows XP 连接到 L2TP VP N 211 连接到 PPTP VP N 204, 205 为 PPTP 配置 204[...]
-
Страница 281
索引 Fort iGate-3 00 安装和配置指南 267 与 NTP 服务 器同步 127 硬盘 记 录日志 246 状态 84 硬盘 满 报 警 邮件 256 域 DHCP 116 运 行 环境 17 允 许 流通 IP/MAC 绑 定 161 有 效期 DHCP 116 允 许 向 内 加密策略 141 允 许 向 外 加密策略 141 语 言 基于 Web 的管理程序 129 验 证 校验 ?[...]
-
Страница 282
268 美国飞塔有限公司 索引[...]