Fortigate-产品介绍与实验拓扑.ppt

产品介绍与实验拓扑 johnson(q2642662476) 设备的物理结构 所有型号都具有: 网络接口 rj45 sfp / xfp (高端型号) 串口标准 rj45 / db9 (9600, 8, n, 1, none) 有些型号具有的特点: 集成的交换接口 lcd usb接口 硬盘 amc 出厂的缺省设置 管理员通过ssh和https通过访问internal接口的ip地址 9 缺省的用户名是 “admin”，密码为空 其他接口的ip有或没有 缺省路由： dns设置为fortinet原始设置 时区: gmt-8 fortigate 100a型号以下具有 有一个缺省nat防火墙策略，从“internal to external”允许所有流量 在internal接口上启用了dhcp服务器 如何管理串口管理 将计算机通过串口线与防火墙的console口相连， 如果计算机不支持串口的话，可以购买usb转串口设备 选择附件超级终端，新建一个连接 端口设置采用“还原为默认值”后的设置即可 如何管理图形界面（1） 用于维护和管理来访问防火墙 基于接口来配置 缺省状态下，只有 “internal”可以通过图形界面和命令行来访问 缺省的帐号是“admin”，密码为空 如何管理图形界面（2） 可以再增加流量图等内容 系统状态 会话与内容层管理信息 菜单项 警告信息 许可证信息 设备面板 如何管理图形界面（3） 帮助点击串口右上角的 如何管理图形界面（3） 拓扑 创建描述连线的详细图片 使用fortigate当前的子网 / fqdn 定义背景图片 fortigate 100a以上才具有该功 能 webui定制化(1)新建授权表 显示和隐藏预览 webui定制化(2)隐藏已有菜单项 隐藏后变成虚的，在使用该内容表的管理员登录后，就看不到该菜单项 webui定制化(3)新建菜单项 点击下侧的+，则会添加菜单项 点击菜单的右侧向下箭头，可以隐藏该菜单或者创建子菜单项 webui定制化(4)新建页面 为子菜单建立页面，该页面上可以添加各种功能模块 webui定制化(5)布局和功能模块 设计布局和内容只适用于自己定制的子菜单项，不能对内置的 菜单项和子菜单项进行修改。 内置的菜单项可以掩藏。 webui定制化(6)保存和效果 保存当前的设置，然后将该保护内容表赋予某管理员 用该管理员帐号登录 初始设置配置接口ip 三种方式: static (e.g. 9 / ) dhcp ppoe 每个接口支持多个二 级ip地址，可以配置 独立的管理权限 初始设置时区与时间 系统管理状态 系统日期 修改时区与时间 时区是非常重要，它是通 过时区来确定升级服务器 的 ntp服务器 6 dhcp 服务器 / 中继 可以在有固定ip的接口上启用 dhcp server 一个接口上可以配置多个dhcp服务器 中继dhcp请求到远程的dhcp服务器 初始设置配置静态路由 缺省网关 用于访问公网，fortigate访问fortiguard和dns servers 基于目的和子网长度的路径判断 可以指定出口和距离 (1-255) 同一目标的多条路由可以并存，但是只有一条是优先的 熟悉命令行（1）结构 通过ssh, telnet, 或者serial console 分支结构 config system interface edit port1 set vdom “root“ set ip 51 branch table parameter 熟悉命令行（2）根命令 配置的命令 config edit next end exit abort 要查看能够使用的命令，请用 “?” 补全命令的输入 请用 熟悉命令行（3）config 可以进行设置 设置wan2的ip: fortigate-60 # config system interface (interface)# edit wan2 (wan2)# set ip 2 48 (wan2)# end fortigate-60 # 熟悉命令行（3）get 显示参数和当前值 (internal)# get name : internal vdom : root cli-conn-status : 0 mode : static dhcp-relay-service : dhcp-relay-ip : dhcp-relay-type : ip : 54 allowaccess : ping https http telnet 熟悉命令行（3）show 显示设置的命令 (internal)# show config system interface edit “internal“ set vdom “root“ set ip 54 set allowaccess ping https http telnet set type physical next end 熟悉命令行（3）execute 执行某些命令，例如: execute factoryreset execute ping execute backup 设置管理员（1） 配置防火墙和帐号 可以通过cli / gui来访问防火墙 帐号是存在本地或者radius server或使用pki 登录和密码是大小敏感的 设置管理员（2） 根据访问权限表来设置管理员的帐号 信任主机可以限制使用该帐号的主机的地址 实验室部署拓扑 internet intranet /24 server network /24 class server gateway firewall fortianalyzer private network 10.0.x.0 /24 student pc 54 获得 192.168.4.（100+x） 9 实验一 设备初始化为出厂设置 1、图形界面中的设置 通过9登 录系统 2、命令行下的配置 execute factoryreset 实验二、设置主机名 设置主机名为userx，x表示在座的号码 图形界面下的配置 命令行下的设置步骤 实验三、熟悉某些命令 设置你的pc的ip地址为 10 网关为9，关闭pc上的防火墙 类的软件 在防火墙的命令行下运行get system status 在防火墙的命令行下运行exec ping 10 试用以下辅助选项 config ? contab 返回上一次命令 向上箭头或者ctrl-p 返回下一个命令 向下箭头或者ctrl-n 返回一行的头部 ctrl-a 返回一行的尾部 ctrl-e 回退一个字符 ctrl-b 前进一个字符 ctrl-f 删除当前的字符 ctrl-d 取消命令和退出 ctrl-c 实验四、配置网络的ip地址 按照实验拓扑连接网 线 设置wan1接口自动获 得ip和网关 设置内网接口ip为 10.0.x.254/24 修改主机的ip地址为 10.0.x.1/24网关为 10.0.x.254 设置dmz接口的ip地址 为192.168.3.(100+x) 实验四、配置网络的ip（续） 在internal接口上设置dhcp为内网pc 分配地址 如右图，在系统/dhcp/internal接口上 创建dhcp服务器 修改主机自动获得ip地址 在主机上运行ipconfig /all 到系统/dhcp/地址租期中查看ip分配 的情况（该分配的ip即使重启设备也 ） 实验五、常用的命令 show system interface get system interface get sy