FortinetメーカーFortiGate 500の使用説明書/サービス説明書
ページ先へ移動 of 276
FortiGate ! 500 Installation ! and Configuration ! Guide Esc Enter HA DMZ INTERNAL EXTERNAL 1 2 3 4 5 6 7 8 FortiG ate 用户手册 第一卷 2.50 版 2003 年 7 月 21 日 安装和配置指南 Forti.
© Copyrig ht 2003 美国飞塔有限公司版权所有 。 本手册中所包含 的任何文字、例子、图 表和插图,未经美国 飞塔有限公司的 许可,不得因任 何用途以电子、机械、 人工、光学或其它任 何手段翻印、传 播或发布。 Forti Gate-50 0 安装和配置指 南 2.
目录 Fort iGate-5 00 安装和配置指南 iii 目 录 简介 ................................... ................................ 1 防病毒保护 ........... ........ ........ ......... ........ ......... ........ ...... 1 Web 内容过滤 ......
目录 iv 美国飞塔有限公司 FortiGa te 出厂默认设置 ............. ........ ......... ........ ........ ........ 20 出厂默认的 NAT/ 路由模式的网络配置 .............. ........ ......... ........ .. 20 出厂默认的透明模式 的网络设置 .
目录 Fort iGate-5 00 安装和配置指南 v 使用安装 向 导 ........... ......... ........ ......... ........ ......... ........ .. 47 切 换到透明模式 ............. ........ ......... ........ ......... ........ ..... 48 启动安装 向 导 .
目录 vi 美国飞塔有限公司 管理 HA 组 ......... ........ ......... ........ ......... ........ ........ ........ 6 8 查看 HA 簇成员状态 ............. ........ ......... ........ ......... ........ .. 69 监视簇成员 ........... ..
目录 Fort iGate-5 00 安装和配置指南 vii 病毒和 攻击 定 义升级 及注册 ............................ .................. 95 病毒防护定 义 和 攻击 定 义 更新 .............. ......... ........ ......... ........ .. 95 连接到 Forti 响应 发布网络 .
目录 viii 美国飞塔有限公司 配置路由 .......... ........ ......... ........ ......... ........ ........ ....... 119 添加 默认路由 ......... ......... ........ ......... ........ ......... ........ . 120 向 路由表 添加 基于目 的的路由 .
目录 Fort iGate-5 00 安装和配置指南 ix 配置 策略 列表 ...... ........ ......... ........ ......... ........ ........ ....... 150 策略匹 配的 细节 .......... ......... ........ ......... ........ ........ ....... 151 更 改策略 列表中 策略 的 顺 序 .
目录 x 美国飞塔有限公司 配置 LDAP 支持 ......... ......... ........ ......... ........ ......... ........ . 176 添加 LDAP 服务 器 .... ........ ........ ......... ........ ......... ........ .... 177 删除 LDAP 服务 器 .... ....
目录 Fort iGate-5 00 安装和配置指南 xi L2TP VP N 配置 ........ ........ ........ ......... ........ ......... ........ .... 211 把 FortiGa te 配置 为 L2TP 网关 ...... ........ ......... ........ ........ ....... 212 配置 Windows2 000 客户的 L2TP .
目录 xii 美国飞塔有限公司 邮件 排除 列表 ...... ........ ......... ........ ......... ........ ........ ....... 239 在邮件 排除 列表中 添加地址 模 板 .......... ......... ........ ......... ........ . 239 添加 一个 主题 标 签 .
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 1 简介 FortiGa te 防病毒防火墙支 持 应 用 层 服务的基于网络 的部 署 ,包 括 防病毒保.
2 美国飞塔有限公司 Web 内容过滤 简介 如果 FortiGat e 设备内配有 硬盘 , 可以将 被感染 或 被阻 塞 的文件 隔离 。 FortiGate 管理 员 可以 下载被隔离 的.
简介 防火墙 Fort iGate-5 00 安装和配置指南 3 防火墙 ICSA 认证的 Fo rtiGate 防火墙可以在 互联 网 这 个 充满敌 意的 环境 中保护您的电 脑 网络。 ISCA 已 对 FortiGa te 防火墙 4.
4 美国飞塔有限公司 网络入侵检测系统 ( NIDS ) 简介 网络入侵检测系 统 ( NIDS ) FortiGa te 网络入侵 侦 测系 统 (NIDS) 是 一 种 实 时网络入侵 探 测 器.
简介 高可用性 Fort iGate-5 00 安装和配置指南 5 高可用性 高可用性 (HA) 提 供 两 个或多个 FortiGat e 之 间 的 失效恢复 机 制 。 Fortinet 通 过 冗余硬 件 实 .
6 美国飞塔有限公司 安全安装、配置、管理 简介 图 1: FortiG ate 基于 We b 的管理程序 和设置 向 导 命令行接口 ( CLI ) 您可以将管理 员计 算 机的 串 .
简介 2.50 版本的新特点 Fort iGate-5 00 安装和配置指南 7 日志可 被 传送到 远 程系统日志服务 器 或以 WebTrends 增强 日志 格 式传 输 到 远 程 WebTren ds NetIQ .
8 美国飞塔有限公司 2.50 版本的新特点 简介 HA ·主 动 - 主 动模式的 HA 使用 了交 换机, 并 且 具有选 择 时 间 表的能 力 · 透明模式的 HA · HA 簇 的 A/V.
简介 2.50 版本的新特点 Fort iGate-5 00 安装和配置指南 9 NIDS 关于 FortiGat e NIDS 功 能的 完整 说明,请 见 FortiG ate NIDS 指南 。新特性包 括 : ·攻击 检测特 .
10 美国飞塔有限公司 关于本手册 简介 关于本手册 安装和配置 向 导描 述 了 如何安装和配置 FortiGate-500 。本手册包含以 下 内容: · 开始 描 述 了 拆 .
简介 Forti net 的文档 Fort iGate-5 00 安装和配置指南 11 要执 行 restore config < 文件 名 _ 字 符串 > 您 应当 输 入 restore config myfile.
12 美国飞塔有限公司 Fort inet 的文档 简介 Fortinet 技术文档的注释 如果您在本文档或 任何 Fortinet 技术文档中发现 了 错误或疏漏之处, 欢迎 您将有 关信息发送到 techdoc@f ortinet.
简介 客户服务和技术支持 Fort iGate-5 00 安装和配置指南 13 客户服务和技术 支持 请访问 我 们的技术 支持网 站 ,以获取防 病毒保护和网络 攻击 定 义 更新、 固 件更新、 产品文档更新,技 术支持信息,以及其 他 资源 。网 址 : http:// support.
14 美国飞塔有限公司 客户服务和技术支持 简介.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 15 开始 本 章 描 述 了 有关 拆 包、安装及如何启动 FortiGat e 防病毒防火墙 的内容。 .
16 美国飞塔有限公司 包装中的物品 开始 包装中的物品 FortiGa te-500 包装中含有以 下 物品: · FortiGat e-500 防病毒防火墙 · 一根 黄色 交 叉 连接以 太 网.
开始 启动 Fort iGate-5 00 安装和配置指南 17 尺寸 · 16.75 x 12 x 1.75 英 寸 (42 .7 x 30. 5 x 4.5 厘米 ) 重量 · 11 磅 (5 公 斤 ) 电 源 要求 ·功 率需求 : 180 W ( 最大.
18 美国飞塔有限公司 连接到基于 Web 的管理程序 开始 连接到基于 Web 的管 理程序 当 初 始启动 FortiG ate 时,可 按 如 下步骤 连接到基于 Web 的管理程序.
开始 连接到命令行接口 (CLI) Fort iGate-5 00 安装和配置指南 19 连接到命令行接 口 (CLI) 除了 基于 Web 的管理程序,您可使用 CLI 来 安装和设置 FortiGate 。在.
20 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 FortiGate 出厂默认设置 FortiGa te 设备出厂时 已 经 根据默认的配置 方 式 进 行 了 设置 。 这 一默认设.
开始 Fort iGate 出厂默认设置 Fort iGate-5 00 安装和配置指南 21 出厂默认的透明模式的网络设置 如果您将 FortiGate 设备 切 换到透明模式,它具有 表 3 中所列出 的设置内容。 HA 接口 IP: 0.0.0 .0 网络 掩 码 : 0.
22 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 出厂时默认的防火墙配置 NAT/ 路由模式和透明模式具 有 相 同 的出厂默认的防火墙 配置。 管理访问 In.
开始 Fort iGate 出厂默认设置 Fort iGate-5 00 安装和配置指南 23 出厂时默认的内容配置文件 您可以使用内容配 置文件 对 防火墙 策略 所 控制 的 通讯 内容 .
24 美国飞塔有限公司 Fort iGate 出厂默认设置 开始 扫描型内容配置文件 使用扫描型内容配 置文件可以 对 HTTP 、 FTP 、 IMAP 、 POP3 和 SMTP 通讯 的内容 应 .
开始 规划您的 Fort iGate 设备的配置 Fort iGate-5 00 安装和配置指南 25 非过滤型内容配置文 件 如果您不 希望 对通讯 内容 施 加 任 何内容保护,可以选 择.
26 美国飞塔有限公司 规划您的 Forti Gate 设备的配置 开始 您所选 择 的 操作 模式 决 定 了 FortiGa te 的配置 方 式。 For tiGate 有 两种 配置 方 式: NAT/ 路.
开始 规划您的 Fort iGate 设备的配置 Fort iGate-5 00 安装和配置指南 27 您 必 须 将路由配置 为 支持 到 互联 网的 冗余 连接。 当 到外部网 络的 某 个连接 .
28 美国飞塔有限公司 Fort iGate 系列产品参 数最大值 列表 开始 配置选项 选 择了 透明模式或 NAT/ 路由模式 操作 之 后 ,您可以 继续 完成 您的配置 计 .
开始 下 一 步 Fort iGate-5 00 安装和配置指南 29 下 一 步 至 此 , FortiGa te 已 启动 并 正常 运 行,您可 继续 配置如 下 设置 : · 如果 要 在 NAT/ 路由模.
30 美国飞塔有限公司 下 一 步 开始.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 31 NAT/ 路由 模式安装 本 章 说明 了 如何 进 行 Fort iGate NA T/Route( 路由 ) 模 式的安装。.
32 美国飞塔有限公司 使用安装 向 导 NAT/ 路由 模式安装 DMZ 和用户定 义 的接口 如果您 希望 在安装 时 进 行配置,可使用 表 11 记 录 Fort iGate DM Z 接口的 IP 地 址 和子网 掩 码 。 HA 接口的配置 工 作 在 HA 安装过程中 完成 。 .
NAT/ 路由 模式安装 使用 前面板控制按钮 和 LCD Fort iGate-5 00 安装和配置指南 33 2 根据 第 31 页 表 10 中所获得的信息 进 行 设置,选 “ 下 一 步 ” 按顺 .
34 美国飞塔有限公司 使用命令行 界面 NAT/ 路由 模式安装 将 FortiGate 配置 为 在 NAT/ 路由模式 操作 使用您在 第 31 页 表 10 中 收 集 的信息 完成 以 下操.
NAT/ 路由 模式安装 将 F ortiGat e 连接到网络中 Fort iGate-5 00 安装和配置指南 35 9 设置到默认路由的 默认网关的 IP 地址 。 set system route number < 路由 编 号 _ 整数 > dst 0.0.0.0 0.0.0.0 gw1 < 网关 IP 地址 > 例如 set system route number 0 dst 0.
36 美国飞塔有限公司 将 Forti Gate 连接到网络中 NAT/ 路由 模式安装 图 7: F ortiGa te-500 NA T/ 路由模式连接 用户定 义 接口的连接 按 以 下方 式连接 Fo rtiGate.
NAT/ 路由 模式安装 配置网络 Fort iGate-5 00 安装和配置指南 37 图 8: FortiG ate-5 00 用户定 义 接口连接的例子 配置网络 如果在 NAT/ 路由模式 下运 行 Forti Gate.
38 美国飞塔有限公司 完成 配置 NAT/ 路由 模式安装 4 根据 需要 改 变 IP 地址 和子网 掩 码 。 5 单击 应 用 。 配置接口 1 到 8 按 照 如 下步骤 配置 8 个用户自定 义 接口: 1 登 录到 基于 Web 的管理程序 .
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 39 要 配置自动防病毒 和 攻击 定 义 更新, 请访问 第 95 页 “ 病.
40 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 图 9: 到 互联 网的多 重 连接的配置的例子 配置 Ping 服务 器 按 照 以 下步.
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 41 使用 CLI 1 将 ping 服务 器添加 到外部接口。 set system interface external config detectserver 1.1.1.1 gwdetect enable 2 Add a p ing serv er to the DMZ int erface.
42 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 第一 条 路由将所有的到 100.100.100.0 的 通讯 定 向 到外部接口 上 IP 为 1.1.1.1 的网 关 1 。如果 这 条 路由不 通 ,到 100.
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 43 4 单击 新 建 以 添加 到 ISP2 的网络的路由。 · 目的 IP: 0.0.0.0 · 掩 码 : 0.0.0 .0 · 网关 #1: 1.1.1.1 · 网关 #2: 2.
44 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装 只 有您 已 经定 义了 类似 于在 前面 章 节 中描 述 的目的路由之 后 ,在.
NAT/ 路由 模式安装 配置 举 例:到 互联 网的多 重 连接 Fort iGate-5 00 安装和配置指南 45 按 以 下步骤添加冗 余 的默认 策略 : 1 进 入 防火墙 > 策略 &.
46 美国飞塔有限公司 配置 举 例:到 互联 网的多 重 连接 NAT/ 路由 模式安装.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 47 透明模式安装 本 章 说明 了 如何 进 行透明模式的安装。如果 要 在 FortiGate NAT/ 路.
48 美国飞塔有限公司 使用 前面板控制按钮 和 LCD 透明模式安装 切 换到透明模式 当 首 次 连接到 FortiGate 时,它 被预 设在 NAT/ 路由模式 下运 行。 欲 .
透明模式安装 使用命令行接口 Fort iGate-5 00 安装和配置指南 49 5 按回 车 并 设置内部子网 掩 码 。 6 在 输 入 完最后 一 位 子网 掩 码地址后按回 车 。 .
50 美国飞塔有限公司 完成 配置 透明模式安装 完成 配置 根据用本 节 内容 来 完成 FortiGate 的 初 始配置。 设置日 期 和时 间 为了 有 效 的安 排 日程.
透明模式安装 将 Fort iGate 连接到网络中 Fort iGate-5 00 安装和配置指南 51 FortiGa te-500 有 十 二 个 1 0/100 Bas eTX 接口: · 内部接口,用于 连接到您的内部网.
52 美国飞塔有限公司 透明模式配置的例子 透明模式安装 透明模式配置的 例子 运 行于透明模式的 FortiGate 也需要 一个基本配 置,以 成为 IP 网络中的 .
透明模式安装 透明模式配置的例子 Fort iGate-5 00 安装和配置指南 53 图 11: 到外部网络的默认路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 配置.
54 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序配置 步骤 的例子 使用基于 Web 的管理程序配置基本 的透明模式设置和默 .
透明模式安装 透明模式配置的例子 Fort iGate-5 00 安装和配置指南 55 图 12: 到外部 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 设置 为 透明模式。 2 .
56 美国飞塔有限公司 透明模式配置的例子 透明模式安装 2 进 入 系统 > 网络 > 管理 。 ·修改 管理 IP 地址 和网络 掩 码 : IP: 192.
透明模式安装 透明模式配置的例子 Fort iGate-5 00 安装和配置指南 57 图 13: 到内部目的 地址 的 静态 路由 通 用配置 步骤 1 将 FortiGat e 切 换到透明模式。.
58 美国飞塔有限公司 透明模式配置的例子 透明模式安装 基于 Web 的管理程序的配置 步骤举 例 要 使用基于 Web 的管理程序 配置 FortiGat e 基本设置、 静.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 59 高可用性 Fortine t 通 过使用 冗余 的 硬 件 设备和 FortiG ate 聚 合 协议 ( FGCP ) 实 .
60 美国飞塔有限公司 主 动 - 主 动 HA 高可用性 主 FortiGat e 设备 通 过 FortiGa te HA 接口 向 附 属 设备发送会 话 信息。在 同 一个 HA 簇 中的所有设备 共 .
高可用性 NAT/ 路由模式 下 的 HA Fort iGate-5 00 安装和配置指南 61 在 失效恢复期间 , HA 组 会 通 知 附 近 的网络 设备,以使得 整 个网 络可以 迅 速地转.
62 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 6 单击应 用。 现在您 已 经 完成了对 HA 接口的 配置,可以 进 入 下 一 步 “ 配置 HA 簇 ” 。 配.
高可用性 NAT/ 路由模式 下 的 HA Fort iGate-5 00 安装和配置指南 63 8 在 端 口 监视器 的选项中,选 择 要 监视 的的 FortiGate 网络接口的 名 称 。 监视 FortiGa.
64 美国飞塔有限公司 NAT/ 路由模式 下 的 HA 高可用性 无 论 您将 FortiGat e 设备配置 为主 动 - 主 动 HA 模式 或 主 动 - 被 动 HA 模式,所 需 的 网络设备.
高可用性 透明模式 下 的 HA Fort iGate-5 00 安装和配置指南 65 启动 HA 簇 将 HA 簇 中的全部 FortiGate 设备 都 配置 为 HA 并 且 将 这 个 簇 连接 起 来 之 后 .
66 美国飞塔有限公司 透明模式 下 的 HA 高可用性 4 根据 需要 修改 IP 地址 和子网 掩 码 。 5 可以选 择 配置其他 接口的管理访问 方 式。 6 单击应 用。.
高可用性 透明模式 下 的 HA Fort iGate-5 00 安装和配置指南 67 8 在 端 口 监视器 的选项中,选 择 要 监视 的的 FortiGate 网络 端 口。 监视 FortiGat e 接口可.
68 美国飞塔有限公司 管理 HA 组 高可用性 无 论 将 FortiGa te 设备配置 为主 动 - 主 动模式 HA 或者 主 动 - 被 动模式 HA ,网络设 备连接和 下面 的 操 作.
高可用性 管理 HA 组 Fort iGate-5 00 安装和配置指南 69 查看 HA 簇成员状态 按 以 下步骤查看 HA 簇成员 的 状态 : 1 连接到 HA 簇 中, 登 录基于 Web 的管理.
70 美国飞塔有限公司 管理 HA 组 高可用性 图 18: 簇 会 话数 和网络 显示 的例子 4 选 择 病毒和入侵。 显示 出 每 个 簇成员 的病毒和入侵 状态 。 主 设.
高可用性 管理 HA 组 Fort iGate-5 00 安装和配置指南 71 2 进 入 日志和报告 > 记 录日 志。 显示主 设备 通讯 日志、 事 件日志、 攻击 日志、病毒防护日.
72 美国飞塔有限公司 管理 HA 组 高可用性 同步簇 配置 当运 行于 簇 模式的时 候 , 为了 达 到 较 好 的 效 果, 必 须确 保 簇 中的全部设备的配置始 .
高可用性 高 级 HA 选项 Fort iGate-5 00 安装和配置指南 73 一 旦 重 新配置或者更换 了 新的 FortiGate 设备, 需要 改 变 它的 HA 配置以 与 原来 失 效 的 Forti.
74 美国飞塔有限公司 高 级 HA 选项 高可用性 这 个命令有以 下 结 果: · 第一个连接由 主 设备处 理 ·下面 的 三 个连接由第一 个 附 属 设备处理 · .
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 75 系统 状态 您可以连接到基于 Web 的管 理程序 进 入系统 > 状态 以 查看 您的 FortiGa.
76 美国飞塔有限公司 修改 Forti Gate 主 机 名 系统 状态 修改 FortiGate 主 机 名 FortiGa te 设备的 主 机 名显示 在系统 > 状态 页和 Fort iGate CL I 提 示 符 中.
系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 77 2 使用 admin 管理 员帐 号 登 录到基于 Web 的管理程 序。 3 进 入 系统 > 状态 。 4 单击 固.
78 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 9 要确 认病毒防护定 义 和 攻击 定 义是 否 已 经 被 更新 , 输 入以 下 命令 显示 病毒防护 引 擎 .
系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 79 您可以在 进 行 这 一 操作 之 前先进 行: · 使用命令 execute backup config 备 份 FortiGate 设备.
80 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 10 使用 第 99 页 “ 手工更新病毒防护定 义 和 攻击 定 义 ” 中描 述 的 步骤 更新病毒防护 定 义 和.
系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 81 6 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : ·运 行 v2.
82 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 , 并 会出现 类似 以 下消 息: ·运 行 v2.
系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 83 4 确 认 FortiGat e 的内部接口和 TFTP 服务 器 连接到内部网络 上 。 确 认您可以从 FortiGate 连.
84 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 11 输 入 固 件文件的 名 称然 后回 车 。 输 入 固 件文件的 名 称然 后回 车 。 TFPT 服务 器 会 把固 件的 映像 文件 上载 到 FortiGat e 上 , 并 会出现 类似 以 下消 息: ·运 行 v2.
系统 状态 修改 Fort iGate 固 件 Fort iGate-5 00 安装和配置指南 85 5 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : Press any key to enter configuration menu.
86 美国飞塔有限公司 修改 Forti Gate 固 件 系统 状态 2 输 入以 下 命令 重 新启动 FortiGate : execute reboot 在 FortiGat e 设备启动过程中,将 显示 一系列的系统启 动信息。 当下面 信息之一 显示 的时 候 : Press any key to enter configuration menu.
系统 状态 手动更新病毒防护定 义库 Fort iGate-5 00 安装和配置指南 87 如果您 成功地 中 断 了 启动 过程,将 显示下面 的 消 息之 一: [G]: Get firmware image from TFTP server. [F]: Format boot device. [B]: Boot with backup firmware and set as default.
88 美国飞塔有限公司 显示 Forti Gate 的序列号 系统 状态 5 单击 确 定 将 攻击 定 义库 文件 上载 到 FortiGate 。 FortiGa te 将更新新的 攻击 定 义库 , 整 个.
系统 状态 将系统设置 恢复 到出厂设置 Fort iGate-5 00 安装和配置指南 89 2 选 择 系统设置 恢复 。 3 输 入系统设置文件 的 名 称 和路 径 ,或者 单击 浏 .
90 美国飞塔有限公司 转 换到 NAT/ 路由模式 系统 状态 转 换到 NAT/ 路由模式 使用如 下操作 可以 将 FortiGa te 设备从透明模式 转 换到 NAT/ 路由模式。 当 .
系统 状态 系统 状态 Fort iGate-5 00 安装和配置指南 91 您可以设置一个自 动更新时 间间隔 每 过 一段时 间 就 更新 当前 的 显示 。 这 个时 间间隔 可以.
92 美国飞塔有限公司 系统 状态 系统 状态 查看 会 话 和网络 状态 使用会 话 和网络 状态显示 可以 跟踪 FortiGate 设备 正 在处理的网络会 话并查看 可.
系统 状态 会 话 列表 Fort iGate-5 00 安装和配置指南 93 2 单击 病毒和入侵。 显示 病毒和入侵 状态 。 显示 的内容包 括 以 条 形 图 方 式 显示 的 每 小 .
94 美国飞塔有限公司 会 话 列表 系统 状态 会 话 列表中的 每 一行 显示了 以 下 信息: 图 4: 会 话 列表 举 例 协议 连接的服务 类 型或者 协议类 型。.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 95 病毒和 攻击 定 义升级 及注册 您可以将 FortiGate 设备配置 为 连接到 Fo rti 响应 发布.
96 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 本 节 描 述 了 以 下 内容: · 连接到 Forti 响应 发布网络 · 配.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 97 配置 周期 性更新 您可以将 FortiGate 设备配置 为 根据.
98 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 图 1: 配置病毒防护和 攻击 定 义 自动更新 配置更新日志 使用如.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 99 3 单击应 用。 FortiGa te 设备将测 试 到 这 个 后 备服务.
100 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 不 建 议 将启用 推 送更新 作为 唯 一的获取更新的 方 式。 Fort.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 101 图 2: 网络 拓扑结 构举 例: 通 过一个 NAT 设备的 推 .
102 美国飞塔有限公司 病毒防护定 义 和 攻击 定 义 更新 病毒和 攻击 定 义升级 及注册 按 照 如 下步骤 配置 FortiGate N AT 设备: 1 进 入 防火墙 > 虚.
病毒和 攻击 定 义升级 及注册 病毒防护定 义 和 攻击 定 义 更新 Fort iGate-5 00 安装和配置指南 103 按 照 如 下步骤 配置 FortiGate N AT 设备: 1 添加 一个.
104 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 通 过 代 理服务 器 定 期 更新 如果您的 FortiGate 设备 必 须 通 过一 个 代 理服.
病毒和 攻击 定 义升级 及注册 注册 Fort iGate 设备 Fort iGate-5 00 安装和配置指南 105 很 快 您将可以获得 如 下 服务: · 访问 Fortine t 用户文档 · 访问 Fort.
106 美国飞塔有限公司 注册 Forti Gate 设备 病毒和 攻击 定 义升级 及注册 1 进 入 系统 > 更新 > 支持。 2 在产品注册 单 中 输 入您的 联 系信 息。 图.
病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-5 00 安装和配置指南 107 更新注册信息 您可以在任何时 间 使用您 的 Fortine t 支持用户 名 和 密码 .
108 美国飞塔有限公司 更新注册信息 病毒和 攻击 定 义升级 及注册 图 7: 注册的 FortiG ate 设备列表 举 例 注册一个新的 FortiGate 设备 1 进 入 系统 > 更.
病毒和 攻击 定 义升级 及注册 更新注册信息 Fort iGate-5 00 安装和配置指南 109 修改 您的 Fortinet 支持 密码 1 进 入 系统 > 更新 > 支持 并单击 支持 登.
110 美国飞塔有限公司 RMA 之 后 注册 Fo rtiGate 设备 病毒和 攻击 定 义升级 及注册 图 8: 下载 病毒和 攻击 定 义 更新 关于如何安装 下载 的文件的 详 细 .
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 111 网络配置 进 入 系统 > 网络 可以 对 FortiG ate 网络 做 如 下 设置: · 配置 区域 ·.
112 美国飞塔有限公司 配置 区域 网络配置 4 您可以选 择阻塞区 域 内部 通讯功 能以 阻塞 在 同 一 区域 中的 两 个网络 接口之 间 的 通讯 。 5 单击 确.
网络配置 配置网络接口 Fort iGate-5 00 安装和配置指南 113 配置网络接口 按 照 以 下步骤 配置 FortiGate 的网络接口: · 查看 接口列表 · 启动一个接口 · .
114 美国飞塔有限公司 配置网络接口 网络配置 4 单击 确 定以保 存 您所 做 的 修改 。 如果您 修改了 你 用 来 连接 到 FortiGa te 设备 进 行管理 操作 的.
网络配置 配置网络接口 Fort iGate-5 00 安装和配置指南 115 配置 对 一个连接到 互联 网 的接口的管理访问 方 式将 允 许从 互联 网中的任何 地方对 这 个 .
116 美国飞塔有限公司 配置虚拟 局域 网( VLA N ) 网络配置 4 设置 MTU 尺寸 。 可以将 最大 的 数 据包 尺寸 设定在 68 字 节 到 1500 字 节 之 间 。默认的.
网络配置 配置虚拟 局域 网( VL AN ) Fort iGate-5 00 安装和配置指南 117 在标 准 的 VLAN 配置 里 ,一 组 物理网络可以连 接到一个服从 IEEE 802.
118 美国飞塔有限公司 配置虚拟 局域 网( VLA N ) 网络配置 您可以将 VLAN 子网络接口 添加 到物理接口 上 。您可以在 每 个 FortiGate 设备 上添 加超 过 1.
网络配置 配置路由 Fort iGate-5 00 安装和配置指南 119 图 10: 添加 VLAN 子接口 9 单击 确 定 以保 存 您所 做 的 修改 。 .
120 美国飞塔有限公司 配置路由 网络配置 添加 默认路由 以 下操作 将 为 外部网络接 口 向 外发出的 数 据设 定一个默认的路由。 1 进 入 系统 > 网络 > 路由 表 。 2 单击 新 建 。 3 将 源 IP 地址 和 子网 掩 码 设置 为 0.
网络配置 配置路由 Fort iGate-5 00 安装和配置指南 121 添加 路由 (透明模式) 以 下操作 用于 FortiGate 在透明模式 运 行时 添加 路由: 1 进 入 系统 > .
122 美国飞塔有限公司 在您的内部网络中提 供 DHCP 服务 网络配置 策略 路由 策略 路由 拓 展 了 目的路由的 功 能。您可 以使用 策略 路由根据 以 下 内.
网络配置 在您的内部网络中提 供 DHCP 服务 Fort iGate-5 00 安装和配置指南 123 exclusionrange {< 起 点 i p 1 - 终 点 ip 1 > | none} [{< 起 点 ip 2 - 终 点 ip 2 >.
124 美国飞塔有限公司 在您的内部网络中提 供 DHCP 服务 网络配置.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 125 RIP 配置 FortiGa te 路由信息 协议 ( RIP ) 实 现支持 RIP 版本 1 ( RFC10 58 所定 义 ).
126 美国飞塔有限公司 RIP 设置 RIP 配置 RIP 设置 配置 RIP 设置以启用基本的 RI P 功 能和 度 量 ,以及配置 RIP 计 时 器 。 1 进 入 系统 >RIP> 设置。 2 .
RIP 配置 为 FortiG ate 接口配置 RIP Fort iGate-5 00 安装和配置指南 127 图 1: 配置 RIP 设置 为 FortiGate 接口配置 RIP 您可以 为 每 个 FortiGate 接口 和 VLAN 子网络.
128 美国飞塔有限公司 为 Forti Gate 接口配置 RIP RIP 配置 4 单击 确 定一保 存 选定接口 上 的 RIP 配置。 图 2: 一个内部接口 上 的 RIP 配置的例子 RIP1 发送 .
RIP 配置 添加 RIP 邻居 Fort iGate-5 00 安装和配置指南 129 添加 RIP 邻居 添加 RIP 邻居 可以定 义 用于 交 换路由信息的 邻 近 的路由 器 。将 邻居添加 到非 .
130 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置 本 节 叙 述 了 如 下 内容: · 添加单 一 RIP 过滤 器 · 添加 一个 RIP 过滤列表 · 添加 一个 邻居 过滤 器.
RIP 配置 添加 RIP 过滤 器 Fort iGate-5 00 安装和配置指南 131 7 单击 确 定以将路由 前 缀 添加 到 这 个过滤 器 。 8 重复步骤 5 到 7 将路由 前 缀 添加 到 这.
132 美国飞塔有限公司 添加 RIP 过滤 器 RIP 配置.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 133 系统配置 进 入 系统 > 配置 可以 对 FortiG ate 系统配置 做 以 下改 动: · 设置系.
134 美国飞塔有限公司 更 改 基于基于 Web 的管理程序的选项 系统配置 图 1: 日 期 和时 间 设置的例子 更 改 基于基于 Web 的管理程序的选 项 在 系统 >.
系统配置 添加 和 编辑 管理 员帐 号 Fort iGate-5 00 安装和配置指南 135 选 择 基于 Web 的管理程序所用的 语 言 1 在 语 言 列表中选 择 基于 Web 的管理程序.
136 美国飞塔有限公司 添加 和 编辑 管理 员帐 号 系统配置 添加 新的管理 员帐 号 使用 admin 帐 号 按 照 以 下步骤 可以在 FortiGate 中 添加 新的管理 员.
系统配置 配置 SNMP Fort iGate-5 00 安装和配置指南 137 7 ( 可选的) 输 入 受 信任 主 机的的 IP 地址 和 网络 掩 码 ,从 而 允 许 这 个管 理 员 用 来 访 问.
138 美国飞塔有限公司 配置 SNMP 系统配置 4 单击应 用。 图 2: SNMP 配置的例子 FortiGate 管理信息 库 ( MIB ) FortiGa te SNMP 代 理支 持 Fort iGate 私 有 M IB 也 .
系统配置 定 制替 换信息 Fort iGate-5 00 安装和配置指南 139 FortiGate 陷阱 FortiGa te SNMP 代 理 最 多可以 向 三 个 SNMP 陷阱 接 收 器 发送 陷阱消 息。 这 些.
140 美国飞塔有限公司 定 制替 换信息 系统配置 本 节 描 述 了 以 下 内容: · 定 制替 换信息 · 定 制 报 警 邮件 图 3: 替 换信息的例子 定 制替 换信.
系统配置 定 制替 换信息 Fort iGate-5 00 安装和配置指南 141 定 制 报 警 邮件 定 制 报 警 邮件可以 控制 发送 给 系统管理 员 的报 警 邮件的内容 。 1 进 .
142 美国飞塔有限公司 定 制替 换信息 系统配置 阻塞 事 件 用于文件 阻塞 报 警 邮件 消 息 片 段开始 <**BLOCK_ALERT**> 允 许的标 签 %%FILE %% %%PROTOCOL%% .
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 143 防火墙配置 防火墙 策略控制 着 所有 通 过 FortiGate 设备的 通讯 。防火墙 策略是 Fo.
144 美国飞塔有限公司 默认防火墙配置 防火墙配置 默认防火墙配置 防火墙 策略控制 接口之 间 的连接。默认 情况 下 ,您内 部网络中的用户可以 通 .
防火墙配置 默认防火墙配置 Fort iGate-5 00 安装和配置指南 145 要 在 区域 中 添加策略 ,您 必 须 使用以 下步骤 将 区域添加 到防火墙网 格 : 1 将 区域.
146 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 内容配置文件 内容配置文件可以 添加 到 策略 中以 应 用 对 网页、文件传 输 和电子邮 件服务的.
防火墙配置 添加 防火墙 策略 Fort iGate-5 00 安装和配置指南 147 图 5: 添加 NAT/ 路由 策略 防火墙 策略 选项 本 节 叙 述 了 您可以在防火墙 策略 中设置的.
148 美国飞塔有限公司 添加 防火墙 策略 防火墙配置 任务 计 划 选 择 任务 计 划可以 控制策略 生 效 和用于 匹 配连 接的时 间 , 见 第 159 页 “ 任务 .
防火墙配置 添加 防火墙 策略 Fort iGate-5 00 安装和配置指南 149 流量控制 流量控制功 能 控制 可以使用的 带宽 并 设置 被策略 处理的 数 据 流 的 优 先 .
150 美国飞塔有限公司 配置 策略 列表 防火墙配置 图 6: 添加 透明模式 策略 记 录 流通 日志 选 择记 录 流通 日志可以在 策略 处 理一个连接的时 候 向.
防火墙配置 配置 策略 列表 Fort iGate-5 00 安装和配置指南 151 本 节 讨 论 了 以 下 内容: · 策略匹 配的 细节 · 更 改策略 列表中 策略 的 顺 序 · 启用.
152 美国飞塔有限公司 地址 防火墙配置 启用一个 策略 启用一个 被禁 用 了 的 策略 可以使防火墙 继续 用 这 个 策略匹 配连接: 1 进 入 防火墙 > 策.
防火墙配置 地址 Fort iGate-5 00 安装和配置指南 153 5 输 入 这 个 IP 地址 。 这 个 IP 地址 可以 是 : ·单 个电 脑 的 IP 地址 (例如, 192.45. 46.45 ) 。 · 一个子网的 地址 (例如 ,一个 C 类 子网 192.
154 美国飞塔有限公司 地址 防火墙配置 删除地址 删除 一个 地址 可以 把 此 地址 移 出 地址 列表。一 旦 地址被删除了 , 这 个 地址 就 不能 再 添加 .
防火墙配置 服务 Fort iGate-5 00 安装和配置指南 155 图 8: 添加 一个内部 地址组 。 服务 使用服务可以 控制 防火墙接 受 或者 拒绝 的 流通 类 型。 可以 .
156 美国飞塔有限公司 服务 防火墙配置 ESP 封 装安全有 效载 荷 。 这 个服务用于自动 密钥交 换的 VPN 通道 和手工 密钥 VPN 通道 ,以传 输 加 密 的 数 .
防火墙配置 服务 Fort iGate-5 00 安装和配置指南 157 访问定 制 服务 如果 需要 创建 一个含有不包 括 在 预 定 义 服务列表中的服务的 策略 ,可以 添加 .
158 美国飞塔有限公司 服务 防火墙配置 5 通 过 输 入 最 高 端 口号 和 最低端 口号 , 为 这 个 协议 指定一个 源端 口和一个目的 端 口 号的范 围 。如.
防火墙配置 任务 计 划 Fort iGate-5 00 安装和配置指南 159 任务 计 划 任务 计 划用 来 控制策略 生 效 和 无 效 的时 间 。可以 创建 一 次 性 的任务 计 划.
160 美国飞塔有限公司 任务 计 划 防火墙配置 图 10: 添加 一 次 性任务 计 划任务 计 划 创建周期 性任务 计 划 可以 创建 一个 周期 性的任务 计 划在 .
防火墙配置 任务 计 划 Fort iGate-5 00 安装和配置指南 161 图 11: 添加周期 性任务 计 划 在 策略 中 添加 一个任务 计 划 在 创建 一个任务 计 划之 后 ,您.
162 美国飞塔有限公司 虚拟 IP 防火墙配置 虚拟 IP NAT 模式的安全 策略 可以 对 较 不 安全的网络 隐藏较 安全的网络中的 地址 。 要允 许从 一个 较 不.
防火墙配置 虚拟 IP Fort iGate-5 00 安装和配置指南 163 8 单击 确 定 以保 存 虚拟 IP 地址 。 您现在可以 把 这 个虚拟 IP 地址添加 到防火墙的 策略 中 了 .
164 美国飞塔有限公司 虚拟 IP 防火墙配置 8 在 映 射 IP 地址 一 栏 中, 需要输 入在目的网络 上 的 真 实 IP 地址 。 例如, 真 实 IP 地址 可以 是 位 于.
防火墙配置 IP 池 Fort iGate-5 00 安装和配置指南 165 4 单击 确 定 以保 存 这 个 策略 。 IP 池 一个 IP 池( 也称做 动 态 IP 池) 是 一个 添加 到防火墙网络.
166 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 图 14: 添加 一个 IP 池 使用 固 定 端 口的防火墙 策略 的 IP 池 如果一个 NAT 防火墙 策略转 换连接 所使用.
防火墙配置 IP/M AC 绑 定 Fort iGate-5 00 安装和配置指南 167 IP/MAC 绑 定可以 应 用于连接到防火墙的 数 据包或 者 穿 过防火墙的 数 据包。 本 节 讨 论 了 .
168 美国飞塔有限公司 IP/M AC 绑 定 防火墙配置 所有能 正常 连接到 防火墙的 数 据包 都 将 首 先 在 IP/MAC 绑 定列表中 查找匹 配的 IP/MAC 地址对 。 例如,如果 IP 地址为 1.
防火墙配置 内容配置文件 Fort iGate-5 00 安装和配置指南 169 4 配置 IP/MAC 地址绑 定如何处理在 IP/MAC 地址 列表中 没 有定 义 IP 和 MAC 地址 的 数 据 包: .
170 美国飞塔有限公司 内容配置文件 防火墙配置 默认的内容配置文件 FortiGa te 设备具有以 下 四种 默认的内 容配置文件,它们 位 于防火 墙 > 内容配.
防火墙配置 内容配置文件 Fort iGate-5 00 安装和配置指南 171 7 启用邮件 片 段和 超大 型文件 / 邮件选项。 8 单击 确 定。 图 16: 内容配置文件 举 例 将内.
172 美国飞塔有限公司 内容配置文件 防火墙配置 2 单击 包含 了 您 要 添加 内容配置文件的 那 个 策略 的 策略 列表。 例如, 要 内部网络 用户从网 站.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 173 用户 与 认证 FortiGa te 支持使用 FortiGate 用户 数 据 库 、 RADIUS 服务 器 和 LDAP 服务 .
174 美国飞塔有限公司 设置认证 超 时 用户 与 认证 设置认证 超 时 按 以 下步骤 设置认证 超 时: 1 进 入 系统 > 配置 > 选项 。 2 设置 认证 超 时 .
用户 与 认证 配置 RADI US 支持 Fort iGate-5 00 安装和配置指南 175 图 17: 添加 用户 名 从内部 数 据 库 中 删除 用户 名 您不能 删除 已 经 添加 到用户 组 .
176 美国飞塔有限公司 配置 LDAP 支持 用户 与 认证 3 输 入 RADIUS 服务 器 的 名 称 。 您可以 输 入任何 名 称 。 此 用户 名 可以包 括数 字( 0-9 ) , 大.
用户 与 认证 配置 LDAP 支持 Fort iGate-5 00 安装和配置指南 177 添加 LDAP 服务 器 按 以 下步骤 配置 Forti Gate 设备的 LDAP 认证: 1 进 入 用户 > LDAP 。 2 单.
178 美国飞塔有限公司 配置用户 组 用户 与 认证 3 单击 确 定 。 配置用户 组 要 启用认证,您 必 须 在一 个或多个用户 组 中 添加 用户 名 和 / 或 RADIU.
用户 与 认证 配置用户 组 Fort iGate-5 00 安装和配置指南 179 图 20: 添加 用户 组 3 输 入一个用于 识别 此 用户 组 的 组名 。 这 个 组名 可以 是数 字( 0-.
180 美国飞塔有限公司 配置用户 组 用户 与 认证.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 181 IPSec VPN 虚拟专用网络 ( VPN ) 是 一个 拓 展 的 私 有网络,它由 穿 过 共享 或公 .
182 美国飞塔有限公司 手工 密钥 IPSec VPN IPSe c VPN IPSec 提 供了 两种 控制密钥交 换 和管理的 方 法 :手工 密钥 和 IKE 自动 密钥 管理。 · “ 手工 密钥 .
IPSe c VPN 手工 密钥 IPSe c VPN Fort iGate-5 00 安装和配置指南 183 本 地 和 远端 的 加密 和认证 密钥 必 须 匹 配 ; 并 且 彼 此 的 SPI 值 也 必 须 互为 镜 像 .
184 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 9 从列表中选 择 一个认证 算法 。 在 通道 的 两 端 需要 使用 相 同 的认 证 算法 。 10 输 入认证 密钥 .
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-5 00 安装和配置指南 185 为 自动 IKE VPN 添加 第一 阶 段配置 当 您 添加 第一 阶 段配置的时 候 ,您 需要 定 义 FortiGat e.
186 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 8 输 入 密钥 寿 命。 指定在第一 阶 段 密钥 的有 效期 。 密钥 有 效期是 在第一 阶 段 加密密钥 过 期 .
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-5 00 安装和配置指南 187 4 (可选的) NAT 跨越 。 5 (可选的)配置 端 点 失效 检测。 使用 这 些 设置可以 监视 VPN 双 .
188 美国飞塔有限公司 自动 IK E IPSec V PN IPSec VPN 图 21: 添加 第一 阶 段配置 为 自动 IKE VPN 添加 第 二阶 段配置 添加 第 二阶 段配置以指定 在本 地 VPN 端.
IPSe c VPN 自动 IKE IP Sec VPN Fort iGate-5 00 安装和配置指南 189 5 配置 P2 提 议 。 可以 为 第 二阶 段的提 议 最 多选 择 三 个 加密 和认证 算法 组合 。 VPN 通.
190 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 22: 添加 第 二阶 段配置 管理 数 字证 书 在一个 IPSec 通讯 会 话 的参 与 双 方建立 一个 加密 的 VPN .
IPSe c VPN 管理 数 字证 书 Fort iGate-5 00 安装和配置指南 191 2 单击 生 成 。 3 输 入一个证 书名 称 。 输 入的 名 称 。 这 个 名 称 可以含有 数 字( 0-9 ).
192 美国飞塔有限公司 管理 数 字证 书 IPSe c VPN 图 23: 添加 本 地 证 书 下载 证 书 请 求 您可以使用如 下操 作 将证 书 请 求 从 FortiGate 设备 下载 到管.
IPSe c VPN 管理 数 字证 书 Fort iGate-5 00 安装和配置指南 193 4 申 请一个 签名了 的本 地 证 书 。 按 照 CA 网页服务 器 的指 令 进 行如 下操作 : · 将一个.
194 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 单击 确 定。 在本 地 证 书 列表中将 显示签名 的本 地 证 书 ,其 状态为 OK 。 获得一个 CA 证 书 VPN 双 .
IPSe c VPN 配置 加密策略 Fort iGate-5 00 安装和配置指南 195 尽 管 加密策略同 时 控制进 入和发出的连 接,它 必 须 被 配置 成为 一个 向 外的 策略 。一 .
196 美国飞塔有限公司 配置 加密策略 IPSe c VPN 4 输 入 互联 网 上 的一个 VPN 客户 端 或 是远 程 VPN 网关 后边 的一个网络的 地址名 , IP 地址 和网络 掩 .
IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-5 00 安装和配置指南 197 图 25: 添加 一个 加密策略 IPSec VPN 集 中 器 在一个 星 型配置的 网络中,所有的 VP N 通道 都终.
198 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN 如果 VPN 端 点 是 一个 辐条 ,它 需要 一个 通道 以将它连接到 集线器 ( 但 是 不连接到 其他 辐条 ).
IPSe c VPN IPSe c VPN 集 中 器 Fort iGate-5 00 安装和配置指南 199 请 见 第 196 页 “ 添加 一个 加密策略 ” 。 5 按 以 下顺 序 排 列 策略 : ·加密策略 · 默认.
200 美国飞塔有限公司 IPSe c VPN 集 中 器 IP Sec VPN VPN 辐条 一 般 配置 步骤 一个 实 现 辐条功 能的 远 程 VPN 端 点 需要 以 下 配置: · 一个到 集线 器 的.
IPSe c VPN 冗余 IPSe c VPN Fort iGate-5 00 安装和配置指南 201 请 见 第 196 页 “ 添加 一个 加密策略 ” 。 6 按 照 如 下顺 序 排 列 策略 : ·向 外 加密策略 ·.
202 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN 按 如 下步骤 配置 IPSec 冗余 : 1 最 多可以 为 三 个 VPN 连接 添加 第一 阶 段参 数 。 除了 网关 名 .
IPSe c VPN VPN 监视 和问 题解答 Fort iGate-5 00 安装和配置指南 203 图 27: 自动 IKE 密钥通道状态 查看拨 号 VPN 连接的 状态 您可以使用 拨 号 监 视器查看拨 .
204 美国飞塔有限公司 VPN 监视 和问 题解答 IP Sec VPN.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 205 PPTP 和 L2TP VPN 您可以使用点 对 点 隧 道 协议 ( PPTP )和第 二层 隧 道 协议 ( L2TP .
206 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 图 29: Windo ws 客户和 FortiG ate 之 间 的 PPTP VPN 把 FortiGate 配置 为 PPTP 网关 按 照 以 下步骤 将 FortiGate 设备配.
PPTP 和 L2TP VPN 配置 PPTP Fort iGate-5 00 安装和配置指南 207 图 30: PPTP 地址 范 围 配置的例子 添加 一个 源地址 对 PPTP 地址 范 围 中的 每 个 地址添加 一个 .
208 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 6 单击 确 定以 添加 这 个 地址组 。 添加 一个目的 地址 添加 一个 PPTP 用户可以连接到的 地址 。 1 进 入 .
PPTP 和 L2TP VPN 配置 PPTP Fort iGate-5 00 安装和配置指南 209 9 重 新启动电 脑 。 配置 PPTP 拨 号连接 1 进 入 我 的电 脑 > 拨 号 网络 > 配置 。 2 双 击 新 .
210 美国飞塔有限公司 配置 PPTP PPTP 和 L2TP VPN 连接到 PPTP VPN 1 启动您在 上面步骤 中 刚刚 建立 的 拨 号连接。 2 输 入您的 PPTP VPN 用户 名 和 密码 。 3 .
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 211 11 确 定以 下 选项 没 有 没 选中 : · 微 软 网络的文件和 打 印 共享 · 微 软 网络客户 12 单.
212 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 图 31: Windo ws 客户和 FortiG ate 之 间 的 L2TP VPN 把 FortiGate 配置 为 L2TP 网关 按 以 下步骤 将 Fort iGate 设备.
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 213 图 32: L2TP 地址 范 围 配置的例子 6 把 L2TP 地址 范 围 中的 地址添加 到外部 区域地址 列表 。 .
214 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 3 输 入一个用于 识别 地址组 的 组名 称 。 这 个 名 称 可以包含 数 字 (0-9), 大 写 或 小 写 字 母 (A- Z.
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 215 4 在 目的 地址 一 栏 , 输 入您 要 连接的 FortiGate 的 地址 , 单击 下 一 步 。 5 将连接设置 .
216 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N 4 在连接 窗 口, 输 入您的 拨 号网络连接的用户 名 和 密码 。 这 个用户 名 和 密码 不 同 于您的 L2T.
PPTP 和 L2TP VPN L2TP VPN 配置 Fort iGate-5 00 安装和配置指南 217 禁 用 IPSec 1 选 择 网络 标 签 。 2 选 择互联 网( TCP/IP ) 协议属 性。 3 双 击 高 级 标 签 。 .
218 美国飞塔有限公司 L2TP VPN 配置 PP TP 和 L2TP VP N.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 219 防病毒保护 在防火墙 策略 中启用 了 防病毒保 护 功 能。 当 您启用一个防火墙 策.
220 美国飞塔有限公司 防病毒扫描 防病毒保护 6 配置 FortiGat e 设备在 阻塞 或 删除 被感染 的文件时发送 的报 警 邮件,请 见 日志和 消 息 参 考 指南 .
防病毒保护 文件 阻塞 Fort iGate-5 00 安装和配置指南 221 图 33: 病毒扫描的内容配置文件的例子 文件 阻塞 启用文件 阻塞删除 所有的文件以 阻 止 潜 在的.
222 美国飞塔有限公司 隔离 防病毒保护 默认 情况 下 , 当阻塞功 能启用时, FortiGate 按 照 以 下 文件 名样板阻塞 文件: · 可 执 行文件 (*.bat, * .com, 和 *.e xe) · 压缩 或 存 档文件 (*.gz, *.ra r, *.
防病毒保护 隔离 Fort iGate-5 00 安装和配置指南 223 在 FortiGat e 设备中, 被隔离 的文 件的文件 名显示 在 隔离 列表 里 。列 表 显示 每 个 被 隔离 的文.
224 美国飞塔有限公司 隔离 防病毒保护 隔离 列表 排 序 您可以根据 状态 ( 感染 或 阻塞 ) 、服务 (IMAP, POP3, S MTP, FTP, 或 HTTP), 文件 名 的字 母 顺 序.
防病毒保护 阻塞 过 大 的文件和电子邮件 Fort iGate-5 00 安装和配置指南 225 2 单击下载 以 原 始 格 式 下载被隔离 的文件 。 配置 隔离 选项 您可以指定 .
226 美国飞塔有限公司 查看 病毒列表 防病毒保护 按 以 下方 法 将 Fort iGate 设备配置 为 传 递 邮件 片 段: 1 在内容配置文件中 启用邮件 片 段传 递 。.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 227 网页内容过滤 在防火墙 策略 中可以启用网页内 容过滤 功 能。您在一 个防火墙 策.
228 美国飞塔有限公司 内容 阻塞 网页内容过滤 4 配置 当 FortiGa te 设备 阻塞 不 受欢迎 的内容或不 受欢迎 的 URL 的时 候 用户 收 到的信息。 请 见 第 13.
网页内容过滤 阻塞对 URL 的访问 Fort iGate-5 00 安装和配置指南 229 图 34: 禁忌词汇 列表 举 例 阻塞对 URL 的访 问 您可以使用 FortiGate 网页过滤 功 能或 Cerb.
230 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 3 输 入 要 阻塞 的 URL 。 输 入一个 顶 级 URL 或者 IP 地址 可以 阻塞对 一个 站 点 上 所有网页的访问。 例如, www.badsite.com 或者 122.133.144.
网页内容过滤 阻塞对 URL 的访问 Fort iGate-5 00 安装和配置指南 231 下载 URL 阻塞 列表 您可以将 URL 阻塞 列表备 份 , 方 法 是 将它 下载 到管理 员 电 脑.
232 美国飞塔有限公司 阻塞对 URL 的访问 网页内容过滤 如果您 为 您的 FortiGate 设备 购买 了 Cerberian 网页过滤 功 能, 按 照 以 下步骤为 FortiGa te 设备配.
网页内容过滤 阻塞对 URL 的访问 Fort iGate-5 00 安装和配置指南 233 配置 Cerberian 网页过滤 您在 FortiGat e 设备中 添加了 Cerberian 网页过滤用户之 后 ,可 以.
234 美国飞塔有限公司 脚 本过滤 网页内容过滤 脚 本过滤 使用以 下方 法 可以 将 FortiGa te 配置 为 从网页中 删除脚 本。您 可以将 FortiG ate 配 置 为阻.
网页内容过滤 URL 排除 列表 Fort iGate-5 00 安装和配置指南 235 URL 排除 列表 在 URL 排除 列表中 添加 的 URL 是为了避免 正常 的 数 据 流被 内容过滤或 URL .
236 美国飞塔有限公司 URL 排除 列表 网页内容过滤.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 237 电子邮件过滤 防火墙 策略 中可以 使用电子邮件过滤。 当 您在一个防火墙 策略 中.
238 美国飞塔有限公司 电子邮件 阻塞 列表 电子邮件过滤 您可以用 西 方 字 符 集 、简 体 中文 、 繁 体 中文、日文、或 韩 文字 符 集 使用多 种 语 言.
电子邮件过滤 邮件 排除 列表 Fort iGate-5 00 安装和配置指南 239 3 输 入一个 阻塞 模 板 。 · 要 标 记 来 自一个特定 地址 的所有邮件, 只需 输 入 这 个邮件的 地址 。例如 , sender@abccompany.com 。 · 要 标 记 从特定 域 来 的邮件, 输 入 域名 。例如, abccompany.
240 美国飞塔有限公司 添加 一个 主题 标 签 电子邮件过滤 添加 一个 主题 标 签 当 FortiGat e 设备从一个不 受欢迎 的 地址 收 到电子邮件 、或 收 到含.
Forti Gate-50 0 安装和配置指南 2. 50 版 Fort iGate-5 00 安装和配置指南 241 日志和报告 您可以将 FortiGate 设备配置 为记 录网络的各 种活 动,从 常 规配置的 .
242 美国飞塔有限公司 记 录日志 日志和报告 在 远 程电 脑上记 录日志 以 下操作 用于将 FortiGat e 配置 为 将日志 消 息 记 录到一 台 远 程电 脑上 。 .
日志和报告 记 录日志 Fort iGate-5 00 安装和配置指南 243 以 下操作 设置日志 的 记 录 方 式 为记 录到 硬盘 : 1 进 入 日志 与 报告 > 日志设置 。 2 选 .
244 美国飞塔有限公司 过滤日志 消 息 日志和报告 过滤日志 消 息 您可以选 择记 录 哪 种 日志和在 每种 日志中 记 录 哪 类 消 息。 1 进 入 日志和报.
日志和报告 配置 通讯 日志 Fort iGate-5 00 安装和配置指南 245 图 39: 日志过滤配置的例子 配置 通讯 日志 您可以将 FortiGate 设备配置 为记 录以 下 连接的 .
246 美国飞塔有限公司 配置 通讯 日志 日志和报告 启用 通讯 日志 您可以 对 任何接口 、 VLAN 子接口和防火墙 策略 启 用日志 记 录。 在网络接口 上 启.
日志和报告 配置 通讯 日志 Fort iGate-5 00 安装和配置指南 247 3 单击应 用。 图 40: 通讯 过滤列表的例子 添加通讯 过滤的 条 目 在 通讯 过滤列表中 添加.
248 美国飞塔有限公司 查看记 录到内 存 的日志 日志和报告 图 41: 新 通讯地址条 目的例子 查看记 录到 内 存 的日志 如果 FortiGat e 被 配置 为 在内 存 .
日志和报告 查看 和管理保 存 在 硬盘上 的日志 Fort iGate-5 00 安装和配置指南 249 5 选 择 或 可以 搜索与 某 个或 多个 给 定 条 件 匹 配的 消 息。 6 选 .
250 美国飞塔有限公司 查看 和管理保 存 在 硬盘上 的日志 日志和报告 2 选 择 事 件日志、 攻击 日 志、防病毒日志、 网页过滤日志或电子 邮件过滤日.
日志和报告 配置报 警 邮件 Fort iGate-5 00 安装和配置指南 251 删除 一个保 存了 的日志文件 按 照 如 下步骤操作 可以 删除 一个保 存了 的日志文件: 1 .
252 美国飞塔有限公司 配置报 警 邮件 日志和报告 6 在 邮件发送到 一 栏 最 多可以 输 入 三 个目的 地址 。 这 个 地址是 FortiG ate 将报 警 邮件 实 际 .
Fort iGate-5 00 安装和配置指南 253 FortiGa te-500 安装和配置指南 2.50 版 术语表 连接: 两台 电 脑 之 间 、 应 用 程序之 间 、 进 程之 间 或者其 他 诸 如 .
254 美国飞塔有限公司 术 语 表 MTU , 最大 传 输 单 元 : 一 个网络可以传 输 的 数 据包的 最 大 物理 尺寸 ,以字 节为单 位 。任何 大 于 MTU 的 数 据.
Fort iGate-5 00 安装和配置指南 255 FortiGa te-500 安装和配置指南 2.50 版 索引 A ActiveX 234 从网页中 删除 234 admin 级 别 访问 管理 员帐 号 135 安装 向 导 32, 47 .
256 美国飞塔有限公司 索引 从内容和 URL 阻塞 中 排除 URL 235 connect ion user-de fined in terface 36 cookies 阻塞 234 测 试 报 警 邮件 252 超 时 防火墙认证 134 IPSec V.
索引 Fort iGate-5 00 安装和配置指南 257 服务 组 158 G 高可用性 介 绍 5 关 闭 90 固 定 端 口 148 过 大 的文件和电子邮件 阻塞 225 固 件 安装 80 从 CLI 升级 77 .
258 美国飞塔有限公司 索引 IPSec V PN 远 程网关 178 用户 组 认证 178 超 时 202, 20 3 禁 用 215, 21 7 手工 密钥 182 预 置 密钥 182 自动 IKE 182 证 书 182 状态 202 IP.
索引 Fort iGate-5 00 安装和配置指南 259 路由 配置 119 配置路由表 121 添加 到路由表 120 添加静态 路由 120 路由表 254 配置 121 添加 到路由表 ( 透明模式 ) 121.
260 美国飞塔有限公司 索引 RADIUS 服务 器 删除 176 添加 服务 器地址 175 蠕虫 防护 226 蠕虫 列表 显示 226 任务 计 划 一 次 性 160 RIP 过滤 器 129 接口配置 1.
索引 Fort iGate-5 00 安装和配置指南 261 通讯 过滤 245 记 录日志 245 配置全 局 设置 246 通讯策略 149 通讯 过滤 包 247 端 口号 247 会 话 247 解析 IP 246 类 型 24.
262 美国飞塔有限公司 索引 虚拟 IP 162 虚拟 IP 端 口 转 发 162 虚拟 IP 端 口 转 发 163 向 内 NAT 加密策略 148 系统 名 称 SNMP 137 系统配置 133 系统日 期 和时.
索引 Fort iGate-5 00 安装和配置指南 263 阻塞流通 IP/MAC 绑 定 167, 168 记 录日志选项 243 状态 查看拨 号连接 状态 203 查看 VPN 通道状态 202 IPSec V PN 通道 202 .
264 美国飞塔有限公司 索引.
デバイスFortinet FortiGate 500の購入後に(又は購入する前であっても)重要なポイントは、説明書をよく読むことです。その単純な理由はいくつかあります:
Fortinet FortiGate 500をまだ購入していないなら、この製品の基本情報を理解する良い機会です。まずは上にある説明書の最初のページをご覧ください。そこにはFortinet FortiGate 500の技術情報の概要が記載されているはずです。デバイスがあなたのニーズを満たすかどうかは、ここで確認しましょう。Fortinet FortiGate 500の取扱説明書の次のページをよく読むことにより、製品の全機能やその取り扱いに関する情報を知ることができます。Fortinet FortiGate 500で得られた情報は、きっとあなたの購入の決断を手助けしてくれることでしょう。
Fortinet FortiGate 500を既にお持ちだが、まだ読んでいない場合は、上記の理由によりそれを行うべきです。そうすることにより機能を適切に使用しているか、又はFortinet FortiGate 500の不適切な取り扱いによりその寿命を短くする危険を犯していないかどうかを知ることができます。
ですが、ユーザガイドが果たす重要な役割の一つは、Fortinet FortiGate 500に関する問題の解決を支援することです。そこにはほとんどの場合、トラブルシューティング、すなわちFortinet FortiGate 500デバイスで最もよく起こりうる故障・不良とそれらの対処法についてのアドバイスを見つけることができるはずです。たとえ問題を解決できなかった場合でも、説明書にはカスタマー・サービスセンター又は最寄りのサービスセンターへの問い合わせ先等、次の対処法についての指示があるはずです。
