FortiGate技术培训讲议(Basic setup).ppt

FortiGate培训讲义 FortiGate培训讲义 共享上网 共享上网 PPPoE DHCP 静态 PPPoE 配置过程实例故障排除 配置过程 登录防火墙用双绞线将PC机的网卡与防火墙内网口连通将本地PC的IP地址设置正确防火墙的默认地址是192 168 1 99默认用户名是admin 密码为空接口配置系统管理 网络 接口选择接口的地址模式为PPPoE配置用户名和密码选择从服务器中重新得到网关配置MTU为1492 实例 网络环境 某公司有20台计算机 现使用192 168 1 X 255 255 255 0网段 网关为192 168 1 1 宽带线路为ADSL拨号 要求 内部的所有计算机共享宽带线路 通过FG防火墙实现Internet接入 配置 系统管理 网络 接口外网接口参数配置选择接口地址模式为PPPoE输入用户名和密码MTU设置为1492内网接口参数配置选择接口地址模式为自定义在IP地址 掩码栏中输入192 168 1 1 255 255 255 0 外网接口参数配置 内网接口参数配置 故障排除 不能登录防火墙检查是否使用https登录检查本地PC机的IP地址设置是否正确检查是否能Ping通防火墙必要时用Console线登录防火墙查看系统信息不能上网检查外网口是否已拨号成功检查本地PC机的IP地址 掩码 网关 DNS设置是否正确拨号不成功检查线路连接是否正确检查ADSL帐号是否正确必要时使用PC机直接连接ADSL线路进行拨号 DHCP 配置过程系统管理 网络 接口选择接口的地址模式式为DHCP选择从服务器中重新得到网关设置内网接口IP地址建立从内网到外网的策略故障排除不能上网检查外网口是否已成功获得公网合法IP地址检查本地PC机的IP地址 掩码 网关 DNS设置是否正确检查策略设置是否正确不能获得公网地址检查线路连接是否正确使用PC机直接连接公网线路进行测试 静态IP 配置过程实例故障排除 配置过程 系统管理 网络 接口外网接口参数配置选择接口地址模式为自定义输入内网的IP地址和网络掩码内网接口参数配置选择接口地址模式为自定义输入内网的IP地址和网络掩码系统管理 路由 静态 修改默认路由的网关系统管理 防火墙 策略 添加开放从内网到外网的策略 实例 网络环境 某公司内网有30台计算机 使用192 168 1 X 255 255 255 0网段 网关为192 168 1 1宽带线路为固定IP的光纤接入IP地址 222 1 2 3掩码 255 255 255 0网关 222 1 2 1DNS 222 2 2 2要求 内部的所有计算机共享宽带线路 通过FG防火墙实现Internet接入 配置 系统管理 网络 接口 接口参数配置 外网接口参数配置选择接口地址模式为自定义在IP地址 掩码栏中输入222 1 2 3 255 255 255 0内网接口参数配置选择接口地址模式为自定义在IP地址 掩码栏中输入192 168 1 1 255 255 255 0系统管理 路由 静态 路由配置 修改默认路由的网关为222 1 2 1在设备中选择连接公网的接口系统管理 防火墙 策略 策略配置 系统默认已有一条没有任何限制的策略可用 外网接口参数配置 表态路由配置 策略配置 故障排除 检查本地PC机的IP地址 掩码 网关 DNS设置是否正确检查公网线路连接是否正确检查防火墙的外网指示灯工作是否正常检查防火墙内 外网络接参数设置是否正确检查防火墙策略设置是否正确策略的优先级别调整是否正确源接口为内网端口LAN或Internal目的接口为WAN1或External 如有多WAN口请检查是否与实际连接线路的接口对应源地址 目的地址为ALL 默认定义为所有地址0 0 0 0 时间表为always 默认定义为任意时间段 服务为ANY 默认定义为所有服务 模式为ACCEPT 默认定义为允许通过 NAT选项为启用状态保护内容表的选项是否过于严格 策略 过滤策略 控制QQ MSN 地址 端口控制 控制QQ MSN 配置过程防火墙 入侵检测系统 特征在IM下面选择QQ或MSN进行编辑勾选启用选项动作中选择丢弃防火墙 保护内容表选择新建进行新保护内容表编辑在内容表名称中输入QQ MSN 可自定义 在入侵防护系统下勾选IPS特征的启用选项防火墙 策略选择新建进行新的策略编辑保护内容表中选择QQ MSN 在保护内容表中定义的名称 其它参数与共享上网的策略相同 控制QQ MSN QQ屏蔽配置 控制QQ MSN 故障排除IPS特征中的动作是否为丢弃保护内容表中IPS特征是否为启用状态策略中是否使用了正确的保护内容表策略的优先位置是否调整正确 地址 端口控制 配置过程实例故障排除 配置过程 防火墙 地址 新建输入自定义的地址名称输入要控制的IP地址范围防火墙 服务 定制在名称中输入自定义的服务名称在协议中选择协议类型在源端口中输入要控制的源端口范围在目的端口中输入要控制的目的端口范围在组标签页中新建一个组任取一个组的名称在可用服务中选择要控制的服务名称并添加到成员中防火墙 策略 新建源接口选择内网接口名称源地址选择自定义的地址名称目的地址选择ALL其它参数由用户自行定义 实例 网络环境 某公司内部有20台计算机使用FG60实现宽带共享接入Internet财务部使用192 168 1 1 126的地址段要求 禁止财务部上网浏览网页并禁止冲击波等病毒使用的端口135 实例 配置 防火墙 地址 新建在地址名称中输入CW 可自定义 在IP地址范围中输入192 168 1 1 126 防火墙 服务 定制在名称中输入135 可自定义 在协议中选择TCP在源端口中使用默认值0 65535在目的端口中输入135 139在组标签页中新建一个组组的名称中输入Test Group在可用服务中选择135和HTTP并添加到成员中 实例 地址配置 端口定制 实例 定义组 实例 防火墙 策略 新建源接口选择内网接口名称源地址选择自定义的地址名称CW目的接口选择连接宽带的外网接口名称目的地址选择ALL服务选择自定义的服务组的名称Test Group模式选择DENY其它参数使用默认值即可 实例 策略配置 故障排除 地址范围是否定义正确协议类型选择是否正确端口是否定义正确是否将要控制的服务添加到组中策略中的源地址和目的地址是否选择正确策略中的服务是否选择正确策略中的模式是否选择正确 备份与负载均衡 备份与负载均衡 配置过程 实例 故障排除 配置过程 接口配置 操作步骤见共享上网部分 若要对服务进行分流控制 则要在防火墙菜单中服务下面定制服务若要针对内部网络的IP地址进行分流控制 则要在防火墙菜单中地址下面定义地址段策略配置建立从内网到WAN1的策略源接口选择希望从WAN1出去的接口源地址名选择自定义的希望从WAN1出去的地址名称目的接口选择WAN1 目的地址名选择ALL 所有 其它选项同共享上网设置建立从内网到WAN2的策略源端口选择希望从WAN2出去的接口源地址名选择自定义的希望从WAN2出去的地址名称目的接口选择WAN2 目的地址名选择ALL 所有 其它选项同共享上网设置 配置过程 策略路由配置建立从内网到WAN1的策略路由进入接口选择希望从WAN1出去的接口名称源地址 掩码填入希望从WAN1出去的地址段目的地址 掩码使用默认的0 0 0 0 0 0 0 0即可目的端口填入希望从WAN1接口出去的服务端口范围或者不写流出接口选择WAN1网关地址填入公网网关 或使用0 0 0 0 ADSL 建立从内网到WAN2的策略路由进入接口选择希望从WAN2出去的接口名称源地址 掩码填入希望从WAN2出去的地址段目的地址 掩码使用默认的0 0 0 0 0 0 0 0即可目的端口填入希望从WAN2接口出去的服务端口范围或者不写流出接口选择WAN2网关地址填入公网网关 或使用0 0 0 0 ADSL 实例 网络环境 某公司内部共有40台计算机 并申请了两条有固定IP的宽带线路市场部使用192 168 1 1 62的地址段技术部使用192 168 1 65 126的地址段财务部使用192 168 1 129 254的地址段内部网络的掩码为255 255 255 0 网关为192 168 1 1宽带线路1 IP 192 168 253 147掩码 255 255 255 0网关 192 168 253 1宽带线路2 IP 192 168 10 147掩码 255 255 255 0网关 192 168 10 1 要求 财务部同时使用两条宽带线路 其中一条做备份 市场 技术部门各使用一条宽带线路 实现数据分流 以保证带宽利用 接口配置 操作步骤见共享上网部分 只是要在配置时将PING服务器打开 并输入一个有效的公网IP地址 配置 配置 定义要控制的地址段防火墙 地址 新建地址名称中输入自定义的名称 市场部 IP地址范围中输入192 168 1 0 255 255 255 192按上面操作步骤再建一个192 168 1 64 255 255 255 192和192 168 1 128 255 255 255 128的地址段 分别叫技术部和财务部添加默认路由防火墙 策略路由 新建在目的IP中使用默认值0 0 0 0 网关中填写192 168 253 1 设备选择WAN1再建一条网关中填写192 168 10 1 设备选择WAN2 实例 实例 财务部地址段定义 市场部地址段定义 技术部地址段定义 实例 第一条默认路由 第二条默认路由 配置 添加策略路由防火墙 策略路由 新建流出接口为WAN1的策略路由进入接口中选择Internal源地址 掩码中输入192 168 1 0 255 255 255 192目的地址 掩码使用默认值0 0 0 0 0 0 0 0流出接口选择WAN1目的端口使用默认值0按上述操作步骤再建立一条源地址为192 168 1 128 255 255 255 128的策略路由 流出接口同样选择WAN1流出接口为WAN2的策略路由进入接口中选择Internal源地址 掩码中输入192 168 1 64 255 255 255 192目的地址 掩码使用默认值0 0 0 0 0 0 0 0流出接口选择WAN2目的端口使用默认值0按上述操作步骤再建立一条源地址为192 168 1 128 255 255 255 128的策略路由 流出接口同样选择WAN2 实例 WAN1的策略路由配置 实例 WAN2的策略路由配置 实例 策略路由配置完成 配置 添加策略防火墙 策略 新建添加从内网到WAN1的控制策略源接口选择内网接口Internal源地址名选择自定义市场部目的接口选择WAN1 目的地址名选择ALL 所有 其它选项同共享上网设置按以上步骤再添加一条源地址为财务部的策略添加从内网到WAN2的控制策略源接口选择内网接口Internal源地址名选择自定义的技术部目的接口选择WAN2 目的地址名选择ALL 所有 其它选项同共享上网设置按以上步骤再添加一条源地址为财务部的策略 实例 策略配置 故障排除 默认路由是否正确到两个外网口的默认路由是否都已建立两个外网的网关是否都设置正确注 如是ADSL拨号上网 则不需要建立静态路由策略路由是否正确进入接口是否选择正确源地址和掩码是否填写正确流出接口是否选择正确策略控制是否正确是否两条出口的策略都已建立源接口和地址名称是否选择正确目的接口和地址名称是否选择正确NAT选项是否已启用默认路由 策略路由与策略的配置是否一致注 需要将防火墙重新启动不具动态负载均衡 端口映射 端口映射 实例 配置过程 故障排除 配置过程 防火墙 虚拟IP 新建填写名称 自定义 选择外部接口选择映射类型输入外部IP地址 外部服务端口输入内部IP地址 内部服务端口选择协议建立从外网到内部虚拟IP的策略 实例 网络环境 已有防火墙产品为FortiGate60通过宽带接入实现公司内部共享上网公网地址是222 1 2 1公司内部有一台服务器对内提供WEB服务服务器IP地址为192 168 1 2要求 要求通过FG60使服务器能够对外也能提供WEB服务 实例 配置 防火墙 虚拟IP 新建在名称中填写WEB SERVER 可自定义 选择外部接口为当前连接公网的接口WAN1或external选择端口转发单选项外部IP地址输入222 1 2 1 如是ADSL可不填 使用默认的0 0 0 0 外部服务端口填写80或其它映射到IP地址输入192 168 1 2映射到端口