收藏
下载资源 加入VIP免费专享

FortiGate配置实例图解.ppt

上传人:laozhun 文档编号:2242432 上传时间:2023-02-05 格式:PPT 页数:57 大小:2.09MB
返回 下载 相关 举报
FortiGate配置实例图解.ppt_第1页
第1页 / 共57页
FortiGate配置实例图解.ppt_第2页
第2页 / 共57页
FortiGate配置实例图解.ppt_第3页
第3页 / 共57页
FortiGate配置实例图解.ppt_第4页
第4页 / 共57页
FortiGate配置实例图解.ppt_第5页
第5页 / 共57页
点击查看更多>>
资源描述

《FortiGate配置实例图解.ppt》由会员分享,可在线阅读,更多相关《FortiGate配置实例图解.ppt(57页珍藏版)》请在三一办公上搜索。

1、FortiGate配置实例讲解,2006,共享上网,共享上网,PPPoE,DHCP,静态,PPPoE,配置过程实例故障排除,配置过程,登录防火墙用双绞线将PC机的网卡与防火墙内网口连通将本地PC的IP地址设置正确防火墙的默认地址是192.168.1.99默认用户名是admin,密码为空接口配置系统管理-网络-接口选择接口的地址模式为PPPoE配置用户名和密码选择从服务器中重新得到网关配置MTU为1492,实例,实例,网络环境:某公司有20台计算机,现使用192.168.1.X/255.255.255.0网段,网关为192.168.1.1,宽带线路为ADSL拨号。要求:内部的所有计算机共享宽带线

2、路,通过FG防火墙实现Internet接入。配置:系统管理-网络-接口外网接口参数配置选择接口地址模式为PPPoE输入用户名和密码MTU设置为1492内网接口参数配置选择接口地址模式为自定义在IP地址/掩码栏中输入192.168.1.1/255.255.255.0,外网接口参数配置:,内网接口参数配置:,故障排除,不能登录防火墙检查是否使用https登录检查本地PC机的IP地址设置是否正确检查是否能Ping通防火墙必要时用Console线登录防火墙查看系统信息不能上网检查外网口是否已拨号成功检查本地PC机的IP地址、掩码、网关、DNS设置是否正确拨号不成功检查线路连接是否正确检查ADSL帐号是

3、否正确必要时使用PC机直接连接ADSL线路进行拨号,DHCP,配置过程系统管理-网络-接口选择接口的地址模式式为DHCP选择从服务器中重新得到网关设置内网接口IP地址建立从内网到外网的策略故障排除不能上网检查外网口是否已成功获得公网合法IP地址检查本地PC机的IP地址、掩码、网关、DNS设置是否正确检查策略设置是否正确不能获得公网地址检查线路连接是否正确使用PC机直接连接公网线路进行测试,静态IP,配置过程实例故障排除,配置过程,系统管理-网络-接口外网接口参数配置选择接口地址模式为自定义输入内网的IP地址和网络掩码内网接口参数配置选择接口地址模式为自定义输入内网的IP地址和网络掩码系统管理-

4、路由-静态:修改默认路由的网关系统管理-防火墙-策略:添加开放从内网到外网的策略,实例,网络环境:某公司内网有30台计算机,使用192.168.1.X/255.255.255.0网段,网关为192.168.1.1宽带线路为固定IP的光纤接入IP地址:222.1.2.3掩码:255.255.255.0网关:222.1.2.1DNS:222.2.2.2要求:内部的所有计算机共享宽带线路,通过FG防火墙实现Internet接入。,配置:,系统管理-网络-接口(接口参数配置)外网接口参数配置选择接口地址模式为自定义在IP地址/掩码栏中输入222.1.2.3/255.255.255.0内网接口参数配置选

5、择接口地址模式为自定义在IP地址/掩码栏中输入192.168.1.1/255.255.255.0系统管理-路由-静态(路由配置)修改默认路由的网关为222.1.2.1在设备中选择连接公网的接口系统管理-防火墙-策略(策略配置)系统默认已有一条没有任何限制的策略可用,外网接口参数配置:,表态路由配置:,策略配置:,故障排除,检查本地PC机的IP地址、掩码、网关、DNS设置是否正确检查公网线路连接是否正确检查防火墙的外网指示灯工作是否正常检查防火墙内、外网络接参数设置是否正确检查防火墙策略设置是否正确策略的优先级别调整是否正确源接口为内网端口LAN或Internal目的接口为WAN1或Extern

6、al,如有多WAN口请检查是否与实际连接线路的接口对应源地址、目的地址为ALL(默认定义为所有地址0.0.0.0)时间表为always(默认定义为任意时间段)服务为ANY(默认定义为所有服务)模式为ACCEPT(默认定义为允许通过)NAT选项为启用状态保护内容表的选项是否过于严格,策 略,过滤策略,控制QQ、MSN,地址/端口控制,控制QQ、MSN,配置过程防火墙-入侵检测系统-特征在IM下面选择QQ或MSN进行编辑勾选启用选项动作中选择丢弃防火墙-保护内容表选择新建进行新保护内容表编辑在内容表名称中输入QQ、MSN(可自定义)在入侵防护系统下勾选IPS特征的启用选项防火墙-策略选择新建进行新

7、的策略编辑保护内容表中选择QQ、MSN(在保护内容表中定义的名称)其它参数与共享上网的策略相同,控制QQ、MSN,QQ屏蔽配置:,实例,控制QQ、MSN,故障排除IPS特征中的动作是否为丢弃保护内容表中IPS特征是否为启用状态策略中是否使用了正确的保护内容表策略的优先位置是否调整正确,地址/端口控制,配置过程实例故障排除,配置过程,防火墙-地址-新建输入自定义的地址名称输入要控制的IP地址范围防火墙-服务-定制在名称中输入自定义的服务名称在协议中选择协议类型在源端口中输入要控制的源端口范围在目的端口中输入要控制的目的端口范围在组标签页中新建一个组任取一个组的名称在可用服务中选择要控制的服务名称

8、并添加到成员中防火墙-策略-新建源接口选择内网接口名称源地址选择自定义的地址名称目的地址选择ALL其它参数由用户自行定义,实例,网络环境:某公司内部有20台计算机使用FG60实现宽带共享接入Internet财务部使用192.168.1.1-126的地址段要求:禁止财务部上网浏览网页并禁止冲击波等病毒使用的端口135,实例,配置:防火墙-地址-新建在地址名称中输入CW(可自定义)在IP地址范围中输入192.168.1.1-126防火墙-服务-定制在名称中输入135(可自定义)在协议中选择TCP在源端口中使用默认值0-65535在目的端口中输入135-139在组标签页中新建一个组组的名称中输入Te

9、st-Group在可用服务中选择135和HTTP并添加到成员中,实例,地址配置:,端口定制:,实例,定义组:,实例,防火墙-策略-新建源接口选择内网接口名称源地址选择自定义的地址名称CW目的接口选择连接宽带的外网接口名称目的地址选择ALL服务选择自定义的服务组的名称Test-Group模式选择DENY其它参数使用默认值即可,实例,策略配置:,故障排除,地址范围是否定义正确协议类型选择是否正确端口是否定义正确是否将要控制的服务添加到组中策略中的源地址和目的地址是否选择正确策略中的服务是否选择正确策略中的模式是否选择正确,备份与负载均衡,备份与负载均衡,配置过程,实例,故障排除,配置过程,接口配置

10、(操作步骤见共享上网部分)若要对服务进行分流控制,则要在防火墙菜单中服务下面定制服务若要针对内部网络的IP地址进行分流控制,则要在防火墙菜单中地址下面定义地址段策略配置建立从内网到WAN1的策略源接口选择希望从WAN1出去的接口源地址名选择自定义的希望从WAN1出去的地址名称目的接口选择WAN1,目的地址名选择ALL(所有)其它选项同共享上网设置建立从内网到WAN2的策略源端口选择希望从WAN2出去的接口源地址名选择自定义的希望从WAN2出去的地址名称目的接口选择WAN2,目的地址名选择ALL(所有)其它选项同共享上网设置,配置过程,策略路由配置建立从内网到WAN1的策略路由进入接口选择希望从

11、WAN1出去的接口名称源地址/掩码填入希望从WAN1出去的地址段目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可目的端口填入希望从WAN1接口出去的服务端口范围或者不写流出接口选择WAN1网关地址填入公网网关,或使用0.0.0.0(ADSL)建立从内网到WAN2的策略路由进入接口选择希望从WAN2出去的接口名称源地址/掩码填入希望从WAN2出去的地址段目的地址/掩码使用默认的0.0.0.0/0.0.0.0即可目的端口填入希望从WAN2接口出去的服务端口范围或者不写流出接口选择WAN2网关地址填入公网网关,或使用0.0.0.0(ADSL),实例,网络环境:某公司内部共有40台计算机,并

12、申请了两条有固定IP的宽带线路市场部使用192.168.1.1-62的地址段技术部使用192.168.1.65-126的地址段财务部使用192.168.1.129-254的地址段内部网络的掩码为255.255.255.0,网关为192.168.1.1宽带线路1:IP:192.168.253.147掩码:255.255.255.0网关:192.168.253.1宽带线路2:IP:192.168.10.147掩码:255.255.255.0网关:192.168.10.1,实例,实例,要求:财务部同时使用两条宽带线路,其中一条做备份;市场、技术部门各使用一条宽带线路,实现数据分流,以保证带宽利用,实

13、例,接口配置(操作步骤见共享上网部分,只是要在配置时将PING服务器打开,并输入一个有效的公网IP地址),配置:,配置:,定义要控制的地址段防火墙-地址-新建地址名称中输入自定义的名称(市场部)IP地址范围中输入192.168.1.0/255.255.255.192按上面操作步骤再建一个192.168.1.64/255.255.255.192和192.168.1.128/255.255.255.128的地址段,分别叫技术部和财务部添加默认路由防火墙-策略路由-新建在目的IP中使用默认值0.0.0.0,网关中填写192.168.253.1,设备选择WAN1再建一条网关中填写192.168.10.

14、1,设备选择WAN2,实例,实例,财务部地址段定义:,市场部地址段定义:,技术部地址段定义:,实例,第一条默认路由:,第二条默认路由:,配置:,添加策略路由防火墙-策略路由-新建流出接口为WAN1的策略路由进入接口中选择Internal源地址/掩码中输入192.168.1.0/255.255.255.192目的地址/掩码使用默认值0.0.0.0/0.0.0.0流出接口选择WAN1目的端口使用默认值0按上述操作步骤再建立一条源地址为192.168.1.128/255.255.255.128的策略路由,流出接口同样选择WAN1流出接口为WAN2的策略路由进入接口中选择Internal源地址/掩码中

15、输入192.168.1.64/255.255.255.192目的地址/掩码使用默认值0.0.0.0/0.0.0.0流出接口选择WAN2目的端口使用默认值0按上述操作步骤再建立一条源地址为192.168.1.128/255.255.255.128的策略路由,流出接口同样选择WAN2,实例,WAN1的策略路由配置:,实例,WAN2的策略路由配置:,实例,策略路由配置完成:,配置:,添加策略防火墙-策略-新建添加从内网到WAN1的控制策略源接口选择内网接口Internal源地址名选择自定义市场部目的接口选择WAN1,目的地址名选择ALL(所有)其它选项同共享上网设置按以上步骤再添加一条源地址为财务部

16、的策略添加从内网到WAN2的控制策略源接口选择内网接口Internal源地址名选择自定义的技术部目的接口选择WAN2,目的地址名选择ALL(所有)其它选项同共享上网设置按以上步骤再添加一条源地址为财务部的策略,实例,策略配置:,故障排除,默认路由是否正确到两个外网口的默认路由是否都已建立两个外网的网关是否都设置正确注:如是ADSL拨号上网,则不需要建立静态路由策略路由是否正确进入接口是否选择正确源地址和掩码是否填写正确流出接口是否选择正确策略控制是否正确是否两条出口的策略都已建立源接口和地址名称是否选择正确目的接口和地址名称是否选择正确NAT选项是否已启用默认路由、策略路由与策略的配置是否一至

17、需要将时防火墙重新启动注:不具动态负载均衡,端口映射,端口映射,实例,配置过程,故障排除,配置过程,防火墙-虚拟IP-新建填写名称(自定义)选择外部接口选择映射类型输入外部IP地址、外部服务端口输入内部IP地址、内部服务端口选择协议建立从外网到内部虚拟IP的策略,实例,网络环境:已有防火墙产品为FortiGate60通过宽带接入实现公司内部共享上网公网地址是222.1.2.1公司内部有一台服务器对内提供WEB服务服务器IP地址为192.168.1.2要求:要求通过FG60使服务器能够对外也能提供WEB服务,实例,配置:防火墙-虚拟IP-新建在名称中填写WEB-SERVER(可自定义)选择外部接

18、口为当前连接公网的接口WAN1或external选择端口转发单选项外部IP地址输入222.1.2.1(如是ADSL可不填,使用默认的0.0.0.0)外部服务端口填写80或其它映射到IP地址输入192.168.1.2映射到端口中填入80或其它端口防火墙-策略-新建源接口选择外网接口WAN1或external,地址选择ALL目的接口选择内网接口Internal,地址选择WEB-SERVER(在虚拟IP中定义的名称)保证模式为ACCEPT,其它选项使用默认值即可,实例,创建虚拟IP:,实例,创建策略:,故障排除,外部IP地址是否填写正确(如有的话)外网接口是否选择正确访问公网地址时是否使用了防火墙中定义的外部服务端口内部IP地址是否填写正确内部端口是否与服务器中定义的一至服务器的IP地址和网关是否设置正确检查策略中的接口和地址是否配置正确,Thanks,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号