187 | Fortinet 1000 instruction

IPSec VPN	自动 IKE IPSec VPN

5 配置 P2 提议。

可以为第二阶段的提议最多选择三个加密和认证算法组合。 VPN 通道的两端必须使用相同的 P2 提议设置。

6 （可选的）启用重放检测。

重放检测可以保护 VPN 通道以抵御重放攻击。

注意：如果您已经为 P2 提议选择了无认证，则不用选择重放检测。

7 （可选的）启用向前保密（PFS）。

PFS 通过在密钥过期时启动一个新的 Diffie-Hellman 交换提高了安全性。

8 选择 DH 组。

VPN 双方必须使用相同的 DH 组设置。

9 输入密钥有效期。

密钥有效期限制第二阶段的密钥在一定时间内，或者千字节的数据被 VPN 通道处理过之后过期，或者两者都有。如果您选择两者都是，则直到经过了指定的时间并且处理了指定量的数据之后，密钥才会过期。

当密钥过期之后，无须中断服务就可以生成一个新的密钥。P2 提议中的密钥有效期可以从 120 秒到 172800 秒或者从 5120 千字节到 99999 千字节。

10（可选的）启用自动密钥保持激活。

启用自动密钥保持激活可以在没有数据传输的时候也保持 VPN 通道的有效。

11（可选的）是否指定一个集中器。

如果您希望通道成为星型 VPN 配置的一部分，选择集中器。如果您使用了这个操作，第 197 页 “ 添加一个 VPN 集中器” 可以为集中器添加通道。下次您打开通道，集中器栏会显示您添加到通道的集中器的名字。

12 单击确定保存自动密钥 VPN 通道。

FortiGate-1000 安装和配置指南

187

Image 201

Fortinet 1000 manual 187

Contents

安装和配置指南 FortiGate-1000 安装和配置指南 Iii 准备配置透明模式 NAT/ 路由模式安装高可用性系统状态 Vii Viii 123 141 内容配置文件 167 默认的内容配置文件 168 添加一个内容配置文件将内容配置文件添加到策略 169 171 一般配置步骤 227 防病毒扫描 228 文件阻塞 229 在防火墙通讯中阻塞文件 230 添加用于阻塞的文件名样板 VPN 监视和问题解答 200 查看 VPN 通道状态查看拨号 VPN 连接的状态 201 测试 VPN Xii 235 Xiii Xiv FortiGate-1000 安装和配置指南 2.50 版防病毒保护电子邮件过滤 Web 内容过滤虚拟专用网（VLAN）防火墙NAT/ 路由模式透明模式虚拟专用网络（VPN）网络入侵检测系统（NIDS）高可用性安全安装、配置、管理基于 Web 的管理程序命令行接口（CLI）日志和报告FortiGate 基于 Web 的管理程序和设置向导系统管理 50 版本的新特点网络配置路由信息协议（RIP）替换信息防火墙 Firewall用户和认证网页过滤防病毒电子邮件过滤关于 FortiGate 电子邮件过滤功能的完整说明请见 FortiGate 内容保护指南关于本手册文档中的约定本指南使用以下约定来描述 CLI 命令的语法。 ·尖括号所围的内容为可替换的关键词例如： Fortinet 的文档 Fortinet 技术文档的注释客户服务和技术支持客户服务和技术支持美国飞塔有限公司本章叙述了以下内容： ·包装中的物品 FortiGate-1000 包装中的物品包装中的物品电源要求运行环境·16.75 x 12 x 1.75 英寸 42.7 x 30.5 x 4.5 厘米 ·17.5 磅 8 公斤 ·IE 4.0 及以上版本， ·一根交叉电缆或以太网集线器，和两根以太网电缆。连接到基于 Web 的管理程序连接到基于 Web 的管理程序 FortiGate 登录连接到命令行接口 CLI 输入 admin 后按两次回车键。将出现以下提示：按回车键，连接到 CLI。将出现以下提示：关于如何使用 CLI，请参阅 FortiGate CLI 参考手册。出厂默认的 NAT/ 路由模式的网络配置 FortiGate 出厂默认设置出厂默认的 NAT/ 路由模式网络配置管理员帐号内部接口出厂时默认的防火墙配置出厂默认的透明模式的网络设置如果您将 FortiGate 设备切换到透明模式，它具有表 3 中所列出的设置内容。 NAT/ 路由模式和透明模式具有相同的出厂默认的防火墙配置。出厂默认防火墙设置续防火墙策出厂时默认的内容配置文件扫描型内容配置文件严谨型内容配置文件严谨型内容配置文件扫描型内容配置文件网页型内容配置文件网页型内容配置文件非过滤型内容配置文件 NAT/ 路由模式网络配置的例子规划您的 FortiGate 设备的配置透明模式具有多个外部网络连接的 NAT/ 路由模式NAT/ 路由模式下多重互联网连接配置的例子透明模式网络配置的例子配置选项配置向导前面板和 LCD FortiGate 系列产品参数最大值列表 ·如果要在 HA 模式下运行 FortiGate, 请参阅第 57 页下一步美国飞塔有限公司准备配置 NAT/ 路由模式 ·将 FortiGate 连接到网络中 ·配置网络 ·完成配置 ·配置举例：到互联网的多重连接使用表 10 收集您设置 NAT/ 路由模式配置所需的信息。启动安装向导使用安装向导重连接到基于 Web 的管理程序 18 页连接到基于 Web 的管理程序。使用命令行界面使用前面板控制按钮和 LCDFortiGate 配置为在 NAT/ 路由模式操作配置 NAT/ 路由模式 IP 地址 FortiGate 连接到网络中将外部网络接口的 IP 地址和网络掩码设置为您在第 31 页表 10 中记录的外部 IP 地址和网络掩码。输入：还可以选择是否输入辅助 DNS 服务器 IP 地址，输入 set system dns secondary IP 地址 FortiGate-2000C NAT/ 路由模式连接配置网络配置接口 1、2 和完成配置配置接口 4/HA 设置日期和时间注册 FortiGate 设备配置举例：到互联网的多重连接配置防病毒和攻击定义更新 102 页注册 FortiGate 设备。按照以下步骤将网关 1 设置为外部接口的 Ping 服务器，将网关 2 设置为接口 3 的 Ping 服务器。配置 Ping 服务器进入系统网络接口。到互联网的多重连接的配置的例子到互联网的主连接和备份连接基于目的地的路由配置举例负载分配使用 CLI 使用基于 Web 的管理程序添加路由进入系统网络路由表。负载分配与主连接、备份连接添加到 ISP1 的网络的路由。策略路由的例子添加到 ISP2 的网络的路由。添加到互联网的主连接和备份连接的默认路由。路由到外部网络的服务将通讯从内部子网路由到不同的外部网络防火墙策略举例添加冗余的默认策略限制到单一互联网连接的访问添加更多的防火墙策略配置举例：到互联网的多重连接 ·将 FortiGate 连接到网络中 ·透明模式配置的例子准备配置透明模式使用表 14 收集您设置 NAT/ 路由模式配置所需的信息。 14 透明模式设置管理员密码：管理用 IP 地址切换到透明模式进入系统状态。单击确定。使用命令行接口配置透明模式的管理 IP 地址配置透明模式的默认网关在完成了初始配置之后，您可以在内部网络和互联网以及其他网络之间连接 FortiGate-2000C 了。 131 页设置系统日期和时间。在任何配置方式中连接它们。 FortiGate-2000C 有两个千兆接口：按以下方式连接运行于透明模式的 FortiGate 可以选择将接口 1、2、3 和 4/HA 连接到您的其他网络的交换机或集线器上。透明模式配置的例子 ·默认路由和静态路由 ·到外部网络的默认路由的例子 ·到外部目的地址的静态路由的例子 ·到内部目的地址的静态路由的例子静态路由的例子： 10 到外部网络的默认路由通用配置步骤 CLI 配置步骤基于 Web 的管理程序配置步骤的例子进入系统网络管理。进入系统网络路由。 11 到外部地址的静态路由基于 Web 的管理程序配置步骤 ·选择新建添加到 FortiResponse 服务器的静态路由。进入系统网络路由。·选择新建添加到外部网络的默认路由。要使用 CLI 配置 FortiGate 基本设置和静态路由： 1 将系统操作模式设置为透明模式。 12 到内部目的地址的静态路由进入系统状态。基于 Web 的管理程序的配置步骤举例主动被动 HA 高可用性在主动主动 HA 模式下，主设备使用下面所列出的算法之一在 HA 簇的成员设备中分配网络会话。主动主动 HA 安装和配置 FortiGate 设备 NAT/ 路由模式下的 HA配置 HA 接口按照以下步骤将 NAT/ 路由模式下的一组 FortiGate 设备配置以 HA 方式工作。进入系统配置 HA 。配置 HA 簇59 页配 HA 接口。 HA 簇连接到您的网络加权循环13 主动主动 HA 配置举例 14 HA 网络配置当您连接完 HA 簇之后，可以进行启动 HA 簇操作。启动 HA 簇透明模式下的 HA配置 HA 接口和 IP 地址按照如下步骤将运行于透明模式的 FortiGate 设备配置成 HA 簇。进入系统配置 HA。 63 页配HA 接口和 IP 地址。 15 主动被动 HA 配置举例 HA 簇连接到您的网络中管理 HA 组监视簇成员查看 HA 簇成员状态进入系统状态簇成员。进入系统状态监视器。查看和管理簇日志消息监视簇会话有关详细信息，请见第 90 页查看病毒和入侵状态。进入系统状态会话。单独管理簇中的设备进入日志和报告记录日志。您可以使用 execute manage ha 命令登录到这个簇中的任何其他附属设备的 CLI。返回到独立模式配置同步簇配置在失效恢复后替换 FortiGate 要连接到附属设备，请见第 69 页单独管理簇中的设备。 FortiGate 设备中选择一个主设备高级 HA 选项配置加权轮询的权重可以从 FortiGate CLI 使用以下 HA 高级选项：高级 HA 选项高可用性 ·显示 FortiGate 的序列号 ·显示 FortiGate 运行时间 ·显示日志硬盘状态如果您使用任何其他管理员帐号登录到基于 Web 的管理程序，您可以进入系统状态以查看包括如下系统设置：·系统状态所有的管理员用户也可以进入系统状态会话查看连接到 FortiGate 设备和通过该设备的活动的通讯会话。修改 FortiGate 固件修改 FortiGate 主机名升级到新版本的固件使用基于 Web 的管理程序升级固件进入系统状态。单击固件升级。使用 CLI 升级固件使用第 97 页手工更新病毒防护定义和攻击定义中的操作更新病毒防护定义和攻击定义。使用第 97 页手工更新病毒防护定义和攻击定义中的操作更新病毒防护定义和攻击定义，或者使用 CLI，输入使用基于 Web 的管理程序恢复到一个旧版本的固件恢复到一个旧的固件版本使用 CLI 恢复到一个旧版本的固件进入系统状态。 19 页 FortiGate 将上载升级文件。一旦文件上载完成，将显示如下信息：连接到命令行接口 CLI 。要确认回复的版本的固件已经加载了，输入： 97 页手工更新病毒防护定义和攻击定义中描述的步骤更新病毒防护使用 CLI 重新启动系统安装固件定义和攻击定义，或从 CLI 输入从系统重新启动中安装固件如果您成功地中断了启动过程，将显示下面的消息之一： ·运行 v2.x 版 Bios 的 FortiGate 设备 ·运行 v3.x 版 Bios 的 FortiGate 设备转到步骤 9。 ·运行 v3.x 版 Bios 的 FortiGate 设备输入以下命令重新启动 FortiGate：在安装新版本的固件之前进行测试输入 Y。 ·运行 v3.x 版 Bios 的 FortiGate 设备输入 D。 FortiGate 设备安装新版本的固件映像并重新启动。整个安装过程可能需要几分钟时间才能完成。您现在可以恢复您从前的配置。首先要根据需要修改接口的地址。您可以从 CLI 执行如下命令： Execute ping 安装和使用一个备份了的固件映像输入 N。 ·运行 v3.x 版 Bios 的 FortiGate 设备安装备份固件映像本节叙述了如下内容： ·安装备份固件映像 ·切换到备份固件影象 ·切换回默认的固件映像切换到备份固件影象切换回默认的固件映像手动更新病毒防护定义库手动更新攻击定义库攻击定义库版本的右边，单击更新定义。显示 FortiGate 运行时间显示 FortiGate 的序列号显示日志硬盘状态备份系统设备转换到透明模式将系统设置恢复到出厂设置选择系统设置恢复。进入系统状态。选择恢复出厂设置。重新启动 FortiGate 设备转换到 NAT/ 路由模式关闭 FortiGate 设备系统状态 ·查看 CPU 和内存状态 ·查看会话和网络状态 ·查看病毒和入侵状态查看 CPU 和内存状态进入系统状态监视器。 CPU 和内存状态监视器查看病毒和入侵状态查看会话和网络状态使用病毒和入侵状态显示可以跟踪 FortiGate 病毒防护系统发现的病毒和 Nids 检测到的网络攻击。会话和网络监视器会话列表查看会话列表进入系统状态会话。病毒和入侵状态监视器连接的源 IP 地址。连接的服务类型或者协议类型。例如 TCP、UDP、ICMP ·注册 FortiGate 设备 ·更新注册信息 ·RMA 之后注册 FortiGate 设备病毒防护定义和攻击定义更新有效期最后更新企图 ·通过 NAT 设备的推送更新 ·通过代理服务器定期更新连接到 Forti 响应发布网络进入系统更新。单击更新。 FortiGate 设备将测试它到 FDN 的连接。测试结果显示在系统更新页的顶部：配置周期性更新单击周期性更新。选择检查和下载更新的时间表：每小时添加后备服务器配置更新日志进入日志和报告日志设置。单击使用后备服务器地址并添加一个 Forti 响应服务器的 IP 地址。配置推送更新手工更新病毒防护定义和攻击定义按照如下步骤启用推送更新关于推送更新例子：通过一个 NAT 设备的推送更新通过 NAT 设备的推送更新一般配置步骤 FortiGate NAT 设备上添加端口转发虚拟 IP网络拓扑结构举例：通过一个 NAT 设备的推送更新 100 进入防火墙虚拟 IP。为端口转发虚拟 IP 添加一个防火墙策略使用一个代理 IP 地址和端口配置 FortiGate 设备 101 通过代理服务器定期更新注册 FortiGate 设备102 例如，如果代理服务器的 IP 地址是 64.23.6.89，端口是 8080，您需要输入如下命令： 103 FortiCare 服务合同·FortiCare 服务合同 ·注册 FortiGate 设备 ·FortiCare 支持合同号，如果您为您要注册的 FortiGate 设备购买了 FortiCare 支持合同。进入系统更新支持。 104在产品注册单中输入您的联系信息。单击完成。找回丢失的 Fortinet 支持密码更新注册信息查看注册的 FortiGate 设备列表 105 添加或修改 FortiCare 支持合同号注册一个新的 FortiGate 设备106 进入系统更新支持单击支持登录。修改您的联系信息或安全提示问题修改您的 Fortinet 支持密码下载病毒防护和攻击定义更新 107 RMA 之后注册 FortiGate 设备 108下载病毒和攻击定义更新添加区域配置区域109 ·配置网络接口 ·配置虚拟局域网（VLAN） ·配置路由 ·在您的内部网络中提供 Dhcp 服务在区域中添加 Vlan 子接口在区域中添加接口重命名区域删除区域查看接口列表配置网络接口启动一个接口修改一个接口的静态 IP 地址为接口添加 ping 服务器为接口添加第二个 IP 地址控制到接口的管理访问 112 为接口的连接配置通讯日志修改外部网络接口的 MTU 大小以提高网络性能113 将接口 4/HA 配置为防火墙接口将接口 4/ha 配置为 HA 模式配置管理接口（透明模式） 114 Vlan 网络配置配置虚拟局域网（VLAN）115 ·VLAN 网络配置 ·添加 Vlan 子网络接口添加 Vlan 子网络接口 116Vlan 网络典型配置 Vlan IP 地址的规则 Vlan ID 的规则添加一个 Vlan 子网络接口 117 添加默认路由配置路由118 ·策略路由 119 向路由表添加基于目的的路由配置路由表添加路由（透明模式）120 输入这个路由的目的 IP 地址和子网掩码。输入这个路由的网关的 IP 地址。策略路由在您的内部网络中提供 Dhcp 服务策略路由命令语法 121 设置 system dhcpserver 命令语法续关键词 122 123 本章描述了如何配置 FortiGate RIP：·RIP 设置 ·为 FortiGate 接口配置 RIP ·添加 RIP 邻居 ·添加 RIP 过滤器 124 RIP 设置配置 RIP 设置以启用基本的 RIP 功能和度量，以及配置 RIP 计时器。进入系统 RIP 设置。 125 FortiGate 接口配置 RIP按如下步骤配置 FortiGate 接口的 RIP 进入系统 RIP 接口。 126 单击确定一保存选定接口上的 RIP 配置。一个内部接口上的 RIP 配置的例子添加 RIP 过滤器添加 RIP 邻居127 添加 RIP 邻居进入系统 RIP 邻居。添加一个 RIP 过滤列表添加单一 RIP 过滤器128 进入系统 RIP 过滤器。添加一个邻居过滤器添加一个路由过滤器129 130 131 设置系统日期和时间·更改基于基于 Web 的管理程序的选项 ·添加和编辑管理员帐号 ·配置 Snmp ·定制替换信息进入系统配置时间。 132 更改基于基于 Web 的管理程序的选项设置系统空闲超时设置认证超时 133 添加和编辑管理员帐号选择基于 Web 的管理程序所用的语言 LCD 控制面板设置 PIN 保护添加新的管理员帐号进入系统配置 Admin。编辑管理员帐号 134 Snmp 监视配置 FortiGate 设备配置 Snmp配置 FortiGate 的 Snmp 支持 135 FortiGate 管理信息库（MIB） 136Snmp 配置的例子 FortiGate 陷阱定制替换信息137 FortiGate 陷阱定制替换信息 138进入系统配置替换信息。 139 报警邮件消息的片段 Nids 事件病毒警报 140 ·地址 ·服务 ·任务计划 ·虚拟 IP ·IP 池 ·IP/MAC 绑定 ·内容配置文件 141 默认防火墙配置 Vlan 子接口142 143 任务计划要在区域中添加策略，您必须使用以下步骤将区域添加到防火墙网格：将区域添加到 FortiGate 配置。 150 页地址。添加防火墙策略内容配置文件144 源地址防火墙策略选项目的地址 145 146 VPN 通道流量控制 147病毒防护与 Web 过滤器记录流通日志配置策略列表148 添加透明模式策略更改策略列表中策略的顺序策略匹配的细节启用和禁用策略禁用一个策略添加地址启用一个策略150 按如下步骤添加一个地址进入防火墙地址。编辑地址 151进入防火墙地址。将地址编入地址组删除地址152 进入防火墙地址组。 153 预定义的服务FortiGate 预定义服务在表 6 中列出。您可以将这些服务添加到任何策略中。添加一个内部地址组。 FortiGate 预定义的服务续服务名称 154 155 访问定制服务如果需要创建一个含有不包括在预定义服务列表中的服务的策略，可以添加一个定制的服务。进入防火墙服务定制。 156 服务分组进入防火墙服务组。单击新建。添加服务组创建一个一次性任务计划任务计划157 进入防火墙任务计划一次性。单击新建。 158 创建周期性任务计划进入防火墙任务计划周期性。 10 添加一次性任务计划任务计划在策略中添加一个任务计划 15911 添加周期性任务计划添加静态 NAT 虚拟 IP 虚拟 IP160 本节讨论了以下内容： ·添加静态 NAT 虚拟 IP ·添加端口转发虚拟 IP ·添加使用虚拟 IP 的策略 161 添加端口转发虚拟 IP单击确定以保存虚拟 IP 地址。您现在可以把这个虚拟 IP 地址添加到防火墙的策略中了。 12 添加静态 NAT 虚拟 IP 162 添加使用虚拟 IP 的策略添加 IP 池 IP 池163 ·添加 IP 池 ·使用固定端口的防火墙策略的 IP 池 ·IP 池和动态 NAT 使用固定端口的防火墙策略的 IP 池 IP/MAC 绑定IP 池和动态 NAT 164 为连接到防火墙的数据包配置 IP/MAC 绑定为穿过防火墙的数据包配置 IP/MAC 绑定165 ·查看动态 IP/MAC 列表 ·启用 IP/MAC 地址绑定查看动态 IP/MAC 列表添加 IP/MAC 地址启用 IP/MAC 地址绑定 166 167 内容配置文件·默认的内容配置文件 ·添加一个内容配置文件 ·将内容配置文件添加到策略 15 IP/MAC 设置添加一个内容配置文件默认的内容配置文件168 进入防火墙内容配置文件。 169 将内容配置文件添加到策略启用邮件片段和超大型文件 / 邮件选项。 16 内容配置文件举例 170 ·设置认证超时 ·添加用户名并配置认证 ·配置 Radius 支持 ·配置 Ldap 支持 ·配置用户组 171 添加用户名并配置认证设置认证超时添加用户名和配置认证 172 从内部数据库中删除用户名配置 Radius 支持添加 Radius 服务器 173 删除 Radius 服务器配置 Ldap 支持174 输入 Radius 服务器的域名或者 IP 地址。删除 Ldap 服务器添加 Ldap 服务器175 进入用户 LDAP。添加用户组配置用户组176 按以下步骤添加用户组：进入用户用户组。 177 删除用户组您不能删除已经被策略、远程网关、PPTP 或 L2TP 配置选用的用户组。按以下步骤删除用户组：单击您要删除的用户组右侧的删除。 178 179 密钥管理手工密钥手工密钥 IPSec VPN使用预置密钥或证书的自动互联网密钥交换自动 IKE 预置密钥的自动 IKE 添加一个手工密钥 VPN 通道手工密钥 VPN 的一般配置步骤181 进入 VPN IPSec 手工密钥。自动 IKE IPSec VPN 自动 IKE VPN 的一般配置步骤182 183 为自动 IKE VPN 添加第一阶段配置按以下步骤添加第一阶段配置：进入 VPN Ipsec 第一阶段。配置高级选项 184 185 （可选的） NAT 跨越。单击确定以保存第一阶段参数。 186 为自动 IKE VPN 添加第二阶段配置按以下方法添加第二阶段配置：进入 VPN Ipsec 第二阶段。 187 获得签名的本地证书管理数字证书生成证书请求 188 配置要认证的对象的用于进一步识别的可选信息。 189 请求签名的本地证书下载证书请求190 本地证书。领取一个签名的本地证书导入签名的本地证书191 获得一个 CA 证书配置加密策略领取一个 CA 证书导入一个 CA 证书添加目的地址添加源地址193 ·添加源地址 ·添加目的地址 ·添加一个加密策略 194 添加一个加密策略 IPSec VPN 集中器 19525 添加一个加密策略 196 VPN 集中器集线器一般配置步骤 197 添加一个 VPN 集中器按以下顺序排列策略： ·加密策略 ·默认的非加密策略（内部全部外部全部） 26 添加 VPN 集中器 VPN 辐条一般配置步骤 198以下步骤创建 VPN 辐条配置：配置冗余 IPSec VPN 冗余 IPSec VPN199 请见第 194 页添加一个加密策略。查看 VPN 通道状态 VPN 监视和问题解答200 以下操作用于查看通道状态进入 VPN Ipsec 第二阶段。测试 VPN 查看拨号 VPN 连接的状态201 按以下步骤查看拨号连接状态进入 VPN IPSec 拨号。 202 203 配置 Pptp·配置 Pptp ·L2TP VPN 配置本节叙述了以下内容：添加用户名和组 FortiGate 配置为 Pptp 网关启用 Pptp 并指定一个地址范围 204 添加一个地址组添加一个源地址205 Pptp 地址范围配置的例子添加一个防火墙策略添加一个目的地址配置 Pptp 的 Windows98 客户端安装 Pptp 支持连接到 Pptp VPN 配置 Pptp 拨号连接配置 Windows2000 的 Pptp 客户端配置 Pptp 拨号网络连接配置一个 Pptp 拨号网络连接配置 WindowsXP 的 Pptp 客户端配置 VPN 连接 208 209 L2TP VPN 配置11 确定以下选项没有没选中： ·微软网络的文件和打印共享 ·微软网络客户 12 单击确定。连接到您的 ISP。启动您在上面步骤中刚刚配置的 VPN 连接。输入您的 Pptp VPN 用户名和密码。添加用户和用户组 FortiGate 配置为 L2TP 网关启用 L2TP 并指定地址范围 210 211 添加源地址L2TP 客户连接到的网络接口添加一个新的地址组。可以是网络接口、VLAN 子接口或区域。 32 L2TP 地址范围配置的例子配置 Windows2000 客户的 L2TP 添加一个目的地址配置 L2TP 拨号连接 212 连接到 L2TP VPN 禁用 IPSec213 将连接设置为只有我自己可以使用此连接，单击下一步。单击完成。配置 L2TP VPN 拨号网络连接配置 WindowsXP 客户的 L2TP214 选择设置。选择挑战握手认证协议 CHAP。双击高级标签。 215 216 选择要监视的网络接口检测攻击禁用 Nids 217 218 查看攻击特征列表验证校验和的配置查看攻击描述 219 启用和禁用 Nids 攻击特征 220进入 Nids 检测特征列表。添加用户定义的特征 Nids 攻击预防下载用户定义攻击特征列表 221 启用 Nids 攻击预防特征启用 Nids 攻击预防222 进入 Nids 预防。 223 设置特征临界值按以下步骤设置预防特征的临界值：进入 Nids 预防。配置握手溢出特征值记录 Nids 攻击日志将攻击消息记录到攻击日志 224 自动减少消息减少 Nids 攻击日志消息和报警邮件的数量手工减少信息 225 226 227 一般配置步骤 228 防病毒扫描以下方法用于在 FortiGate 防火墙通讯中扫描病毒 169 页将内容配置文件添加到策略。文件阻塞 22937 病毒扫描的内容配置文件的例子在防火墙通讯中阻塞文件添加用于阻塞的文件名样板230 隔离被阻塞的文件隔离被感染的文件查看隔离列表 231 过滤隔离列表隔离列表排序从隔离区中删除文件下载被隔离的文件对邮件片段免除阻塞阻塞过大的文件和电子邮件配置隔离选项配置文件或电子邮件大小限制 234 查看病毒列表使用以下操作可以显示当前病毒定义库列表中的病毒和蠕虫列表。要显示病毒列表，进入病毒防护配置病毒列表。 235 239 页使用 Cerberian 网页过滤器。个内容配置文件。在禁忌词汇列表中添加单词或短语内容阻塞236 请见第 137 页定制替换信息。使用 FortiGate 网页过滤器阻塞对 URL 的访问在阻塞列表中添加 URL 或者 URL 样板 237 238 清除 URL 阻塞列表您可以使用向下翻页向上翻页 URL 阻塞列表中翻页浏览。 URL 阻塞列表的例子上载 URL 阻塞列表下载 URL 阻塞列表使用 Cerberian 网页过滤器 239 FortiGate 设备上安装 Cerberian 许可密钥一般配置步骤FortiGate 设备中添加一个 Cerberian 用户 240 启用 Cerberian URL 过滤配置 Cerberian 网页过滤241 关于默认组和策略选择脚本过滤选项脚本过滤242 进入 Web 过滤器脚本过滤。 URL 排除列表中添加 URL URL 排除列表243 进入 Web 过滤器排除 URL。 244 电子邮件禁忌词汇列表一般配置步骤245 ·一般配置步骤 ·电子邮件禁忌词汇列表 ·电子邮件阻塞列表 ·邮件排除列表 ·添加一个主题标签在邮件阻塞列表中添加地址模板电子邮件阻塞列表246 进入邮件过滤器阻塞列表。在邮件排除列表中添加地址模板邮件排除列表247 进入邮件过滤器排除列表。 248 添加一个主题标签按以下方法添加主题标签进入电子邮件过滤配置。单击应用。 FortiGate 设备将在所有不受欢迎的邮件的主题栏中添加这一标签。 249 记录日志·查看和管理保存在硬盘上的日志 ·配置报警邮件过滤日志消息。关于通讯日志的信息，请见第 253 页配置通讯日志。 NetIQ WebTrends 服务器上记录日志在远程电脑上记录日志将日志记录到 FortiGate 硬盘 250 251 将日志记录到系统内存进入日志与报告日志设置。进入日志与报告日志设置。选择在内存中记录日志。 252 过滤日志消息 253 配置通讯日志·启用通讯日志 ·配置通讯过滤设置 ·添加通讯过滤的条目 43 日志过滤配置的例子在网络接口上启用通讯日志启用通讯日志Vlan 子网络接口启用通讯日志对防火墙策略启用通讯日志添加通讯过滤的条目 255进入日志和报告日志设置通讯过滤。 256 查看记录到内存的日志·查看日志 ·搜索日志进入日志与报告记录日志。查看日志查看和管理保存在硬盘上的日志搜索日志 257 将日志文件下载到管理员电脑删除当前日志中的全部消息258 删除一个保存了的日志文件配置报警邮件添加报警邮件地址 259 启用报警邮件测试报警邮件260 进入日志与报告报警邮件配置。 261 术语表 262 263 Dhcp 264 URL 239 Http 265 266 NAT 267 RIP 268 TCP 269 270 271 272