手把手学配置fortigate设备

《手把手学配置fortigate设备》由会员分享，可在线阅读，更多相关《手把手学配置fortigate设备（684页珍藏版）》请在金锄头文库上搜索。

1、F5：sRTinET手把手学配置FortiGate设备9FortiGate新设备的安装与初始化大多数的用户购买FortiGate设备的目的是希望能够建立私有网络与互联网之 间的安全连接。且多数情况下，用户希望FortiGate设备可以在对互联网的访问连接 中隐藏私有网络中的IP地址。本章描述的内容是：如何安装FortiGate设备实现私有 网络IP地址的隐藏，也称为NAT/路由模式部署；以及如何进行NAT/路由模式安装 下的故障诊断与排除。此外，本章还描述了基本的FortiGate设备透明模式部署方法。运行于透明模式 下的FortiGate设备在不需要网络进行任何更改的情况下提供安全服务。本章

2、还介 绍了在FortiGate设备安装完成后的一些基本的操作程序，包括检查固件版本和升级 固件、FortiGuard服务连接校验。本章包括以下基本的安全与配置举例：将运行于NAT/路由模式的FortiGate设备连接到互联网 一步完成私有网络到互联网的连接使用FortiGate配置向导一步完成内网地址更改 NAT/路由模式安装的故障诊断与排除不更改网络配置部署FortiGate设备（透明模式）透明模式安装的故障诊断与排除当前固件版本验证与升级 FortiGuard服务连接及故障诊断与排除 在FortiGate设备中建立管理员帐户将运行于NAT/路甶模式的FortiGate设备连接到互联网面临的

3、问题如何配置新的FortiGate设备，使其安全的将私有网络连接到互联网。 FortiGate设备在保护私有网络免受互联网威胁的同时,保证私有网络中的任何用户 能够自由的连接访问互联网。FortiGate Unitin NAT/Route modeF5：5RTinETF5：;RTinEr解决方法通常情况下,FortiGate设备是安装作为私有网络和互联网之间的网关或路由器。 FortiGate设备运行于NAT/路由模式，可以隐藏私网访问互联网的地址。1将FortiGate设备的WAN1接口连接到互联网服务提供商（ISP )的设备接口。3将ISP设备、FortiGate设备、内网中的PC设备接通

4、电源。4. 从一台PC连接到FortiGate设备基于Web的管理器。你可以配置PC使用DHCP方式获取其IP地址，然后访问https:/192.168-1.99。 你也可以对PC配置一个192.168.1.0/255.255.255.0子网中的静态IP。5使用admin登录，没有密码。6. 进入系统管理 网络接口并点击编辑”wan1接口与更改以下设置：5地址模式设置自动IP/掩码设置172.20.120.14/255.255.255.07.编辑内部接口并更改以下设置:地址模式设置自动IP/掩码设置172.20.120.14/255.255.255.08.进入路由静态静态路由，点击新建设置以下

5、默认路由：目标IP/掩码0.0.0.0./ 0.0.0.0设备接口wan1网关172.20.120.2条默认路由总是目标IP/掩码为./ 0.0.0.0。通常情况你只有一条默认路由。 如果静态路由列表中已经包含了默认的路由，你可以编辑或删除后添加新的路由。9. 进入系统管理网络DNS ,并添加首选与第二DNS服务器。10. 进入Plicy策略 策略，并点击新建添加以下安全策略，允许私有网络用户访问互联网。源接口 /区域Internal 内网源地址All目标接口 /区域Wan1目标地址All时间alwaysFSIERTinET服务ANY动作ACCEPT11点击启动NAT与使用目标接口地址。12.

6、点击OK确认保存安全策略。一些型号的FortiGate设备，以上的安全策略是默认的配置。如果你正好使用的是该 型号的设备，在你将FortiGate设备连接到内网PC后，就可以访问互联网了。结果在你用于连接到FortiGate内部接口的PC上，打开网页浏览器和浏览任何互联网 网站。你也应该能够使用FTP或任何其他协议或连接方法连接到互联网。进入Plicy策略 策略，查看安全策略的计数栏，你可以校验所添加的安 全策略是否应用于所处理的流量。进入Plicy监视器 会话状态，查看FortiGate设备正在处理的会话。多数会话源地址应该在192.168.1.0地址网络。多数会话的源NAT IP地址应该是

7、172.20.120.14 (或添加到WAN1接口的IP地址X策略ID应该是1，这是默认的允3将ISP设备、FortiGate设备、内网中的PC设备接通电源。7F5：sRTinEr许用户在内部网络连接到互联网的安全策略。进入Policy监视器 策略状态中，你还可以查看到每条策略处理的活动会话图。 因暂时这里只有一条策略，图中只有一个条目。你可以选中策略1的栏目条根据源 地址、目标地址、目标端口 /服务，查看会话。会话中顶部的栏目是一个工具条，你可以下拉查看当前会话的详细信息。其他栏 目工具可以用于显示会话历史、流量历史，以及基于每个IP的带宽使用率情况。如果你可以从内网中访问web网络，那么你

8、的配置是成功的。如果不能访问，查 看配置诊断故障。一步芫成私有网络到互联网的连接 面临的问题如何用尽量少的步骤启动并运行FortiGate设备，提供私有网络到互联网的连接。解决方法如果你的互联网服务提供商（ISP )使用DHCP自动提供互联网连接，唯一需要 配置ForiGate设备的步骤就是使设备启动运行并允许从私有网络到互联网的连接。 将FortiGate设备连接到你的私有网络与ISP网络，配置内部网络中的一台PC使用 DHCP自动获取地址，启动FortiGate设备，并配置设备使用DHCP连接到互联网。如果FortiGate设备默认的没有配置DHCP与安全策略，那么一步配置法不适合 该设备

9、型号。一些适用于小企业/ SOHO的FortiGate和FortiWiFi产品型号中均已 经完成了以上的默认配置。1将FortiGate设备的WAN1接口连接到网口（互联网服务商提供的网络接口）2将内部网络连接到FortiGate设备的内部接口。所有的PC应该获取地址段为192.168丄0/255.255.255.0的地址。5.在内部网络的一台PC上开启一个浏览器并访问https:/192.168.1-99。6输入admin ,登录到FortiGate设备的管理接口，密码字段为空。7. 进入系统管理网络接口，并点击编辑wan1接口。8. 设置地址模式为DHCP ,并选中从服务器中重新得到网关与

10、改变内部 DNS”。9. 点击OK保存配置更改。如果你ISP使用PPPoE或自动获取IP地址，你可以配置wan1使用这些选项。结果11F5：sRTinEr网网站。你也应该能够使用FTP或任何其他协议或连接方法连接到互联网。 进入Policy监视器 会话状态，查看FortiGate设备正在处理的会话。多数会话源地址应该在192.168丄0地址网络。多数会话的源NAT IP地址应该 是172.20.120.14 (或添加到WAN1接口的IP地址X策略ID应该是1 ,这是默认的 允许用户在内部网络连接到互联网的安全策略。进入Policy监视器 策略状态中，你还可以查看到每条策略处理的活动会话 图。因

11、暂时这里只有一条策略，图中只有一个条目。你可以选中策略1的栏目条根 据源地址、目标地址、目标端口 /服务，查看会话。会话中顶部的栏目是一个工具条，你可以下拉查看当前会话的详细信息。其他 栏目工具可以用于显示会话历史、流量历史，以及基于每个IP的带宽使用率情况。如果这样的配置运行不通怎幺办？使用以下步骤：1确认FortiGate设备的WAN1接口是否从ISP获得IP地址。通过基于Web管理器， 进入系统管理 网络 接口 wan1。F5：sRTinEr确认地址模式是设置为DHCP ,设置显示与以下例图相似，显示wanl接口已 经从ISP获取到IP地址，_个或多个DNS服务器IP地址，以及_个默认的

12、网关。如果IP地址疑似不正确或丟失，点击重新获取，重新从ISP获取新的IP配置 信息。如果你不以这样的方式获取到正确的IP地址，FortiGate设备就不能与ISP的DNS服务器通信。请确定获取默认网关与覆盖内部DNS选项已开启。如果你的ISP不是通过DHCP 提供DNS服务器的，你可以进入系统管理网络DNS ,手动添加一个或多个DNS 服务器IP地址，以便FortiGate设备使用。这些添加的IP地址也会被FortiGate设备 DHCP服务器使用，用以对内部网络的PC提供IP配置。如果你的ISP不是通过DHCP提供默认网关，你可以进入路由 静态 静态路由， 手动添加从FortiGate设备

13、WAN1接口到ISP默认网关的默认路由。2如果内部网络是配置从FortiGate设备服务器获取IP地址，进入系统管理网 络口日卩服务器，点击编辑设置内部接口的DHCP服务器。使用系统DNS设置校验DHCP服务器配置。进入系统管理 监视器DHCP状态F5：sRTinEr监测，查看配置了从FortiGate设备DHCP服务器获取地址的内网PC的信息。内 网的每台PC应只有一个IP地址条目，且是通过DHCP获取的地址。查看内网中PC的网络配置，以确定其从FortiGate设备DHCP服务器获取了正确 的IP配置。如果它们没有获取到IP ,那便可能是内网的PC不能与FortiGate设备 的内部接口进

14、行通信。查看PC的网络配置，并校验物理上的连接是良好的后， 重新获取IP。使用系统DNS设置的DHCP服务器选项是对应基于web管理器中系统管理 网 络口化页面，提供DNS IP地址。如果FortiGate接口的改变内部DNS”选项 被选中，那么内部PC机的IP地址就是由ISP的DNS服务器提供的，而不是 FortiGate设备的DHCP服务器提供的。如果PC在从ISP获取DNS IP地址之前向FortiGate设备发出了 DHCP请求，那么 FortiGate设备将从基于web管理器的DNS IP地址页面发出DNS IP地址。为了 确定PC获取到了正确的DNS服务器IP地址，你可以更新PC的

15、DHCP地址获取请求。19F5：;RTinEr使用FortiGate配置向导一步芫成更改内网地址 面临的问题使用尽可能少的步骤快速更改内部网络以及与之连接的所有设备的子网地址。FortiGate Unitin NAT/Route mode解决方法使用FortiGate的安装向导更改FortiGate内部IP地址以及更改通过FortiGate设 备DHCP服务器提供网络地址的内网中的计算机设备的地址。内部网络中的设备可 以通过重申DHCP而重新获取新的IP地址。如果你有两个不同的内部网络且允许内 网之间进行的通信，你可能需要更改内部网络地址。F5：;RTinEr置允许内部网络与互联网之间的通信。如果你已经添加了自定义的安全策略，可能 不希望使用默认的配置向导。但是，如果你还没有添加很多的安全策略的话，你可 以采用这样方便的配置方案