Краткое содержание страницы № 1
FortiGate 500
FortiGate 500
Installation and
安装和配置指南
Configuration Guide
INTERNAL EXTERNAL DMZ HA 1 2 3 4 5 6 7 8
Esc Enter
FortiGate 用户手册 第一卷
2.50版
2003年 7月 21日��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
Краткое содержание страницы № 2
© Copyright 2003 美国飞塔有限公司版权所有。 本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司的 许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传 播或发布。 FortiGate-500 安装和配置指南 2.50版 2003年 7月 21日 注册商标 本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。 服从规范 FCC Class A Part 15 CSA/CUS 注意:如果更换的电池型号错误,有可能会导致爆炸。请根据使用说明中的 规定处理用过的电池。 请访问 http://www.fortinet.com以获取技术支持。 请将在本文档或任何 Fortinet技术文档中发现的错误信息或疏漏之处发送 到 techdoc@fortinet.com。�����������������������������������������������������������������������������������������������������������������������������������������������
Краткое содержание страницы № 3
目录 目 录 简介 ................................................................... 1 防病毒保护................................................................... 1 Web 内容过滤................................................................. 2 电子邮件过滤................................................................. 2 防火墙....................................................................... 3 NAT/路由模式 .............................................................. 3 透明模式........................................
Краткое содержание страницы № 4
目录 FortiGate出厂默认设置 ...................................................... 20 出厂默认的 NAT/路由模式的网络配置......................................... 20 出厂默认的透明模式的网络设置.............................................. 21 出厂时默认的防火墙配置.................................................... 22 出厂时默认的内容配置文件.................................................. 23 严谨型内容配置文件........................................................ 23 扫描型内容配置文件........................................................ 24 网页型内容配置文件...............
Краткое содержание страницы № 5
目录 使用安装向导................................................................ 47 切换到透明模式............................................................ 48 启动安装向导.............................................................. 48 重连接到 基于Web的管理程序............................................... 48 使用前面板控制按钮和 LCD.................................................... 48 使用命令行接口.............................................................. 49 切换到透明模式............................................................ 49
Краткое содержание страницы № 6
目录 管理HA组................................................................... 68 查看HA簇成员状态......................................................... 69 监视簇成员................................................................ 69 监视簇会话................................................................ 70 查看和管理簇日志消息...................................................... 70 单独管理簇中的设备........................................................ 71 同步簇配置...............................................................
Краткое содержание страницы № 7
目录 病毒和攻击定义升级及注册 .............................................. 95 病毒防护定义和攻击定义更新.................................................. 95 连接到 Forti响应发布网络.................................................. 96 配置周期性更新............................................................ 97 配置更新日志.............................................................. 98 添加后备服务器............................................................ 98 手工更新病毒防护定义和攻击定义............................................ 99 配置推送更新...............
Краткое содержание страницы № 8
目录 配置路由................................................................... 119 添加默认路由............................................................. 120 向路由表添加基于目的的路由............................................... 120 添加路由(透明模式)..................................................... 121 配置路由表............................................................... 121 策略路由................................................................. 122 在您的内部网络中提供DHCP服务.............................................. 122 RI
Краткое содержание страницы № 9
目录 配置策略列表............................................................... 150 策略匹配的细节........................................................... 151 更改策略列表中策略的顺序................................................. 151 启用和禁用策略........................................................... 151 地址....................................................................... 152 添加地址................................................................. 152 编辑地址...........................................................
Краткое содержание страницы № 10
目录 配置 LDAP支持 ............................................................. 176 添加LDAP服务器.......................................................... 177 删除LDAP服务器.......................................................... 177 配置用户组................................................................. 178 添加用户组............................................................... 178 删除用户组............................................................... 179 IPSec VPN ..............................................
Краткое содержание страницы № 11
目录 L2TP VPN 配置.............................................................. 211 把FortiGate配置为L2TP网关.............................................. 212 配置Windows2000客户的L2TP .............................................. 214 配置WindowsXP客户的L2TP ................................................ 216 防病毒保护 ........................................................... 219 一般配置步骤............................................................... 219 防病毒扫描........................................................
Краткое содержание страницы № 12
目录 邮件排除列表............................................................... 239 在邮件排除列表中添加地址模板............................................. 239 添加一个主题标签........................................................... 240 日志和报告 ........................................................... 241 记录日志................................................................... 241 在远程电脑上记录日志..................................................... 242 在 NetIQ WebTrends服务器上记录日志 ...................................... 242 将日志记
Краткое содержание страницы № 13
FortiGate-500 安装和配置指南 2.50版 简介 FortiGate防病毒防火墙支持应用层服务的基于网络的部署,包括防病毒保护和全 内容扫描过滤。FortiGate防病毒防火墙增强了网络的安全性,避免了网络资源的误用 和滥用,可以帮助您更好地使用通讯资源而不会降低网络的性能。FortiGate防病毒防 火墙获得了ICSA防火墙认证,IP安全认证和防病毒服务认证。 FortiGate防病毒防火墙是一个易于管理的安全设备,它提供了一套完整的功能, 包括: ·应用层服务,例如病毒防护和内容过滤, ·网络曾服务,例如防火墙、入侵检测、VPN,以及流量控制等。 FortiGate采用了先进的行为加速(Accelerated Behavior)和内容分析系统技术 TM (ABACAS ),突破了芯片设计、网络通信、安全防御及内容分析等诸多难点。公司所 独有的,基于 ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动在 网络边界布署的防护关键应用程序,对您的网络进行最有效的安全保护。FortiGate 系列对现有的一些解决方案,如以主机为基础的防病毒保护进行补充,并在大力
Краткое содержание страницы № 14
Web 内容过滤 简介 如果FortiGate设备内配有硬盘,可以将被感染或被阻塞的文件隔离。FortiGate 管理员可以下载被隔离的文件,然后对它们进行病毒扫描,杀毒,再将它们发送给原 来的接收者。您也可以将FortiGate设备配置为每过一段时间就自动删除被隔离的文 件。 当FortiGate设备从内容流中检测到病毒并将它删除的时候,它可以向系统管理员 发送一封报警邮件。 ICSA LABS认证了 FortiGates的以下功能: ·100%检测到 The Wild List(www.wildlist.org) 中列举的所有病毒。 ·检测PKZip格式压缩文件中的病毒。 ·检测以UUENCODE格式编码的 EMAIL中的病毒。 ·检测以MIME格式编码的 EMAIL中的病毒。 ·在扫描同时对所有动作进行日志记录。 Web 内容过滤 FortiGate Web内容过滤可设置为扫描URL和 WEB网页内容中的全部HTTP内容协 议数据流。如果在 URL阻塞列表中找到与 URL匹配的条目 , 或在网页中发现了内容阻 塞列表中的词或短语, FortiGate 将阻塞此页。被阻塞的网页会被
Краткое содержание страницы № 15
简介 防火墙 防火墙 ICSA认证的FortiGate防火墙可以在互联网这个充满敌意的环境中保护您的电脑 网络。ISCA已对FortiGate防火墙 4.0版本授予了证书,确保了 FortiGates可以成功 保护企业网络不受来自公共或其它非信任网络的各种威胁。 在完成 FortiGate的基本安装后,防火墙可设置为允许用户从受保护内部网络访问 Internet,并同时封锁从 Internet到内部网的访问。您可对防火墙进行设置,使其对 从内部网到 Internet的访问,和从 Internet到内部往的访问加以控制。 您可以使用以下选项灵活地配置FortiGate 安全策略 : ·控制所有进入和输出的网络流通, ·控制加密的 VPN流通, ·应用防病毒保护和 WEB内容过滤, ·阻塞或允许对全部策略选项的访问, ·根据单个策略进行控制, ·接受或拒绝出入单个地址的流通, ·单独或成组地控制标准的和用户定义的网络服务, ·要求用户在获取访问之 前进行用户认证, ·包含了流通控制用以设置每条策略的访问优先权和带宽保证或带宽限制, ·包含日志用以逐个追记某策略下的网络连接, ·包含网络地址
Краткое содержание страницы № 16
网络入侵检测系统(NIDS) 简介 网络入侵检测系统(NIDS) FortiGate网络入侵侦测系统 (NIDS) 是一种实时网络入侵探测器,它能对外界各 种可疑的网络活动进行识别及采取行动。NIDS通过攻击特征来识别超过 1000种的攻 击。您可以启用或禁止 NIDS对某一类型的攻击进行检测。还可以自行编写攻击特征从 而生成用户自定义的攻击类型检测。 NIDS可以防止探测、大部分常见的拒绝服务攻击和基于数据包的攻击。您可以启 用或禁用预防攻击的特征,和定制攻击检测的灵敏度和其他参数。 为通知系统管理员有攻击,NIDS将此攻击及一切可疑流通记录到攻击日志中,并 根据设置发送报警EMAIL。 Fortinet可定期更新攻击数据库。您可下载并手动安装攻击数据库。也可设置 FortiGate 自动查询和下载更新的IDS 数据库。 虚拟专用网络(VPN) 使用FortiGate虚拟专用网(VPN), 可为您在办公网络和分散的办公室网络、从 远程安全通讯系统登陆到公司网的用户或旅行者 之间提供一个安全的网络连接。服务 供应商还可以使用 FortiGate设备为他们的客户提供 VPN服务。 For
Краткое содержание страницы № 17
简介 高可用性 高可用性 高可用性 (HA) 提供两个或多个FortiGate之间的 失效恢复机制。Fortinet通过 冗余硬件实现 HA功能,匹配在 NAT/路由模式运行下的 FortiGate。您可以将 FortiGates配置为主动 -被动 (A-P) 模式或主动 -主动 (A-A)HA模式。 A-P模式和A-A 模式的 HA均使用类似的高可用性冗余硬件配置。高可用性软件保 证了当 HA组中一个 FortiGate失效,所有功能及已建的防火墙连接仍能维持现状。 安全安装、配置、管理 安装过程即快捷又简单。 初次启动 FortiGates时,它已经配置为使用默认的IP 地址及安全策略配置。为了使 FortiGate开始保护您的网络,只需连接到基于 Web的 管理程序,设置操作模式并使用安装向导来配置您网络的 FortiGate IP 地址。在此基 础上,可用基于 Web的管理程序来进行更进一步的配置以满足您更多的需要。 您也可使用 FortiGate面板上的控制按钮和 LCD对其进行基本配置。 基于Web的管理程序 从任何一个装有 IE流览器的电脑上以 HTTP或安全HTT
Краткое содержание страницы № 18
安全安装、配置、管理 简介 图 1: FortiGate 基于 Web的管理程序 和设置向导 命令行接口(CLI) 您可以将管理员计算机的串行通讯接口连接到 FortiGate的 RS-232串行控制台接 口上,从而访问 FortiGate命令行控制界面(CLI)。或者也可以使用 Telnet或者安 全的SSH连接方式从任何与 FortiGate连接的网络,包括互联网,中访问 CLI界面。 CLI具有和 基于 Web的管理程序相同的管理和监视功能。另外,您可以使用 CLI 进行一些高级配置工作,这是 基于Web的管理程序无法实现的。安装和配置指南 中 包含了有关基本 CLI命令和高级 CLI命令的信息。您可以在 FortiGate CLI参考指南 中找到关于如何连接到 CLI和如何使用FortiGate CLI的更加完整和详细的说明。 日志和报告 FortiGate 支持记录各种类别的流通和配置修改。您可将日志设置如下: ·报告连接到防火墙接口的通讯, ·报告被使用的网络服务, ·报告被防火墙策略允许的通讯, ·报告被防火墙策略拒绝的通讯, ·报告配置改变和其它一些管理事件,如 IPS
Краткое содержание страницы № 19
简介 2.50版本的新特点 日志可被传送到远程系统日志服务器或以 WebTrends增强日志格式传输到远程 WebTrends NetIQ安全报告中心和防火墙服务器上。某些型号的防火墙可将日志存储在 可选择的内置硬盘上。如果没有安装硬盘,您可配置 FortiGate日志和报告,把最近 的事件记录到共享系统内存中去。 2.50版本的新特点 本节主要描述了 Forti0S v2.50中的一些新的特征: 系统管理 ·改善了FortiGate系统健康状态监视图象功能,包括 CPU及内存的使用率,会话数 量,网络带宽使用率,以及检测到的病毒和入侵的数量,详细内容请见 第 90 页 “ 系统状态” 。 ·修订了防病毒和攻击定义更新功能,使其连接到新版本的 Fortinet响应发布网络。 现在可以以小时为单位进行定期更新,并且,系统 >更新页面显示关于更新状态的 更多的详细信息。详情请见 第 95 页 “ 病毒防护定义和攻击定义更新” 。 ·可以从基于 Web的管理程序直接连接到 Fortinet技术支持网页的页面。您可以注册 您的FortiGate设备并获得访问其他技术支持资源的权利。详情
Краткое содержание страницы № 20
2.50版本的新特点 简介 HA ·主动 -主动模式的 HA 使用了交换机,并且具有选择时间表的能力 ·透明模式的 HA ·HA簇的A/V 更新 ·HA功能的配置同步 详情请见 第 59 页 “ 高可用性” 。 替换信息 您可以定制FortiGate设备发送的以下替换信息: ·当检测到病毒时, ·当有文件被阻塞时, ·当一个碎片文件被阻塞时, ·发送警报邮件时。 详情请见 第 139 页 “ 定制替换信息” 。 防火墙 Firewall ·防火墙的默认配置有一些改动,详情请见 第 144 页 “ 默认防火墙配置” 。 ·在所有接口上添加了虚拟 IP。详情请见 第 162 页 “ 虚拟 IP” 。 ·为防火墙策略添加了内容配置文件,可以组合有关阻塞、扫描、隔离、网页内容阻塞 和电子邮件过滤的有关配置信息。详情请见 第 169 页 “ 内容配置文件” 。 用户和认证 ·LDAP认证。详情请见 第 176 页 “ 配置 LDAP支持” 。 VPN 关于FortiGateVPN功能的详细说明请见 FortiGate VPN 指南。新的特性包括: ·第一阶段 ·AES 加密 ·
