103, 使用一个代理 IP 地址和端口配置 FortiGate 设备

病毒和攻击定义升级及注册	病毒防护定义和攻击定义更新

按照如下步骤配置 FortiGate NAT 设备： 1 添加一个新的外部到内部的防火墙策略。

2 使用如下设置配置策略：

源地址	外部 _ 全部
目的地址	前面步骤中添加的虚拟 IP 地址。
任务计划	总是。
服务	任意。
动作	接受。
NAT	选中。

3 单击确定。

使用一个代理 IP 地址和端口配置 FortiGate 设备

按照如下步骤配置内部网络中的 FortiGate 设备 :

1 进入系统 > 更新。

2 选择允许推送更新。

3 选择使用代理推送更新。

4 将 IP 地址设置为添加到虚拟 IP 的外部 IP 地址。

对于例子中的拓扑结构，输入 64.230.123.149。

5 将端口号设置为添加到虚拟 IP 的外部服务端口。

对于这个例子中的拓扑结构，输入 45001。

6 单击应用。

FortiGate 设备将代理推送更新 IP 地址和端口发送给 FDN。现在 FDN 使用这个 IP 地址和端口向内部网络中的 FortiGate 设备发送推送更新。

如果外部 IP 地址或者外部服务端口有所改变，将所做的改变添加到使用代理推送更新的配置中并单击应用，即可更新 FDN 的推送更新信息。

图 4: 推送更新配置举例

7	单击应用。
8	您可以单击刷新以确定推送更新是否正常工作。
	推送更新的状态应当变为可用。

FortiGate-500 安装和配置指南

103

Page 115

Image 115

Fortinet 500 manual 103, 使用一个代理 IP 地址和端口配置 FortiGate 设备

500 specifications

Fortinet 500 is a next-generation firewall (NGFW) that is part of Fortinet's acclaimed FortiGate family, designed to provide advanced security for medium to large enterprises. This appliance is known for its high performance, flexibility, and ability to protect networks from a variety of cyber threats through its robust features and technologies.

One of the main features of the Fortinet 500 is its integrated security capabilities. It combines multiple security functions into a single device, allowing organizations to manage everything from intrusion prevention and antivirus to web filtering and application control. This integration leads to simplified management and increased efficiency, as users can address multiple security needs without deploying multiple devices.

The Fortinet 500 runs on the FortiOS operating system, which is known for its simplicity and user-friendliness. FortiOS provides a centralized management interface that allows for the easy configuration and monitoring of security policies across the entire network. Additionally, the Fortinet management tools, such as FortiManager and FortiAnalyzer, enable detailed insights and reporting capabilities, helping organizations stay compliant with their security mandates.

Another characteristic that sets Fortinet 500 apart is its advanced threat intelligence, powered by the FortiGuard Labs. This global threat intelligence system continuously updates the firewall with the latest threat signatures and attack vectors, ensuring that organizations stay ahead of emerging threats. The firewall also employs machine learning and artificial intelligence to detect and mitigate sophisticated attacks in real-time.

Performance is crucial in any security appliance, and the Fortinet 500 does not disappoint. With hardware acceleration and purpose-built security processors, it delivers high throughput levels, enabling organizations to maintain productivity without sacrificing security. This level of performance is particularly beneficial in environments with heavy traffic and bandwidth demands.

In addition to these core features, the Fortinet 500 supports seamless integration with other security solutions within the Fortinet Security Fabric. This comprehensive approach allows for greater visibility and control over the entire security posture of an organization.

Overall, the Fortinet 500 is a powerful NGFW that offers a blend of advanced security features, ease of management, top-notch performance, and robust threat intelligence. Its ability to adapt to the ever-evolving landscape of cybersecurity makes it a valuable asset for businesses seeking to safeguard their digital assets and ensure seamless network operation.

Contents

安装和配置指南 FortiGate-500 安装和配置指南 Iii 准备配置透明模式 NAT/ 路由模式安装高可用性系统状态 Vii 默认防火墙配置 144 Vlan 子接口 145 任务计划内容配置文件 146 添加防火墙策略防火墙策略选项 147 Viii 173 181 219 邮件排除列表 239 在邮件排除列表中添加地址模板添加一个主题标签 240 Xii FortiGate-500 安装和配置指南 2.50 版防病毒保护电子邮件过滤 Web 内容过滤透明模式防火墙虚拟专用网（VLAN） NAT/ 路由模式虚拟专用网络（VPN）网络入侵检测系统（NIDS）安全安装、配置、管理高可用性基于 Web 的管理程序日志和报告命令行接口（CLI）FortiGate 基于 Web 的管理程序和设置向导路由信息协议（RIP） 50 版本的新特点系统管理网络配置防火墙 Firewall 替换信息用户和认证关于 FortiGate 电子邮件过滤功能的完整说明请见 FortiGate 内容保护指南防病毒网页过滤电子邮件过滤文档中的约定关于本手册本指南使用以下约定来描述 CLI 命令的语法。 ·尖括号所围的内容为可替换的关键词例如： Fortinet 的文档 Fortinet 技术文档的注释客户服务和技术支持客户服务和技术支持美国飞塔有限公司本章叙述了以下内容： ·包装中的物品 FortiGate-500 包装中的物品包装中的物品运行环境电源要求·16.75 x 12 x 1.75 英寸 42.7 x 30.5 x 4.5 厘米 ·11 磅 5 公斤 FortiGate 登录连接到基于 Web 的管理程序·IE 4.0 及以上版本， ·一根交叉电缆或以太网集线器，和两根以太网电缆。连接到基于 Web 的管理程序关于如何使用 CLI，请参阅 FortiGate CLI 参考手册。输入 admin 后按两次回车键。将出现以下提示：连接到命令行接口 CLI 按回车键，连接到 CLI。将出现以下提示：出厂默认的 NAT/ 路由模式的网络配置 FortiGate 出厂默认设置管理 IP 出厂默认的透明模式的网络设置如果您将 FortiGate 设备切换到透明模式，它具有表 3 中所列出的设置内容。出厂默认的透明模式网络设置管理员帐号 NAT/ 路由模式和透明模式具有相同的出厂默认的防火墙配置。出厂时默认的防火墙配置严谨型内容配置文件出厂时默认的内容配置文件网页型内容配置文件扫描型内容配置文件扫描型内容配置文件非过滤型内容配置文件规划您的 FortiGate 设备的配置 NAT/ 路由模式网络配置的例子具有多个外部网络连接的 NAT/ 路由模式透明模式网络配置的例子 NAT/ 路由模式下多重互联网连接配置的例子前面板和 LCD FortiGate 系列产品参数最大值列表配置选项配置向导 59 页下一步31 页 NAT/ 路由模式安装。美国飞塔有限公司使用表 10 收集您设置 NAT/ 路由模式配置所需的信息。准备配置 NAT/ 路由模式本章说明了如何进行 FortiGate NAT/Route 路由模式的安装。如果要在透明模 ·将 FortiGate 连接到网络中 ·配置网络 ·完成配置 ·配置举例：到互联网的多重连接 18 页连接到基于 Web 的管理程序。使用安装向导DMZ 和用户定义的接口启动安装向导至此，您已完成 FortiGate 的初始配置。现在可以进入 37 页完成配使用前面板控制按钮和 LCD使用命令行界面重连接到基于 Web 的管理程序配置 NAT/ 路由模式 IP 地址 FortiGate 配置为在 NAT/ 路由模式操作高可用性， FortiGate 连接到网络中·用户定义接口 1 到 8 最多可以连接到 8 个附加的网络上。 FortiGate-500 NAT/ 路由模式连接用户定义接口的连接进入系统网络接口。配置网络完成配置配置 DMZ 接口注册 FortiGate 设备配置接口 1 到设置日期和时间启用防病毒保护要配置自动防病毒和攻击定义更新，请访问第 95 页病毒防护定义和攻击定义更新。配置举例：到互联网的多重连接·基于目的地的路由配置举例 ·策略路由的例子 ·防火墙策略举例到互联网的多重连接的配置的例子配置 Ping 服务器按照以下步骤将网关 1 设置为外部接口的 Ping 服务器，将网关 2 设置为 DMZ 接口的 Ping 服务器。进入系统网络接口。使用 CLI 基于目的地的路由配置举例到互联网的主连接和备份连接负载分配使用基于 Web 的管理程序添加路由进入系统网络路由表。负载分配与主连接、备份连接添加到互联网的主连接和备份连接的默认路由。策略路由的例子添加到 ISP1 的网络的路由。添加到 ISP2 的网络的路由。添加冗余的默认策略将通讯从内部子网路由到不同的外部网络路由到外部网络的服务防火墙策略举例限制到单一互联网连接的访问添加更多的防火墙策略单击新建。根据默认策略配置相应的策略。配置举例：到互联网的多重连接 15 透明模式设置管理员密码：管理用 IP 地址准备配置透明模式·将 FortiGate 连接到网络中 ·透明模式配置的例子使用表 15 收集您设置 NAT/ 路由模式配置所需的信息。进入系统状态。切换到透明模式单击确定。配置透明模式的管理 IP 地址使用命令行接口配置透明模式的默认网关在完成了初始配置之后，您可以在内部网络和互联网以及其他网络之间连接 FortiGate-500 了。 133 页设置系统日期和时间。 FortiGate-500 透明模式连接 ·默认路由和静态路由 ·到外部网络的默认路由的例子 ·到外部目的地址的静态路由的例子 ·到内部目的地址的静态路由的例子透明模式配置的例子静态路由的例子： 11 到外部网络的默认路由通用配置步骤进入系统网络路由。基于 Web 的管理程序配置步骤的例子CLI 配置步骤进入系统网络管理。 ·选择切换到透明模式。 ·在操作模式列表中选择透明。 ·单击确定。 FortiGate 现在已经切换到透明模式。基于 Web 的管理程序配置步骤要使用基于 Web 的管理程序配置基本的 FortiGate 设置和静态路由：进入系统状态。要使用 CLI 配置 FortiGate 基本设置和静态路由： 1 将系统操作模式设置为透明模式。进入系统网络路由。·选择新建添加到 FortiResponse 服务器的静态路由。 ·选择新建添加到外部网络的默认路由。 13 到内部目的地址的静态路由基于 Web 的管理程序的配置步骤举例主动被动 HA 高可用性在主动主动 HA 模式下，主设备使用下面所列出的算法之一在 HA 簇的成员设备中分配网络会话。主动主动 HA 按照以下步骤将 NAT/ 路由模式下的一组 FortiGate 设备配置以 HA 方式工作。 NAT/ 路由模式下的 HA安装和配置 FortiGate 设备配置 HA 接口连接到 FortiGate 设备并登录基于 Web 的管理程序。配置 HA 簇单击应用。现在您已经完成了对 HA 接口的配置，可以进入下一步配置 HA 簇。按照以下步骤配置 HA 簇中的 FortiGate。对于 HA 簇中的每一台 FortiGate 都需重复这些步骤。 14 主动主动 HA 配置举例 HA 簇连接到您的网络 15 HA 网络配置当您连接完 HA 簇之后，可以进行启动 HA 簇操作。按照如下步骤将运行于透明模式的 FortiGate 设备配置成 HA 簇。透明模式下的 HA启动 HA 簇配置 HA 接口和 IP 地址连接到 FortiGate 设备并登录进基于 Web 的管理程序。在将 HA 簇连接到您的网络之前，按照如下步骤为每个 FortiGate 设备配置 HA。 16 主动被动 HA 配置举例 HA 簇连接到您的网络中管理 HA 组进入系统状态监视器。查看 HA 簇成员状态监视簇成员进入系统状态簇成员。进入系统状态会话。监视簇会话查看和管理簇日志消息有关详细信息，请见第 92 页查看病毒和入侵状态。进入日志和报告记录日志。单独管理簇中的设备您可以使用 execute manage ha 命令登录到这个簇中的任何其他附属设备的 CLI。要连接到附属设备，请见第 71 页单独管理簇中的设备。同步簇配置返回到独立模式配置在失效恢复后替换 FortiGate 可以从 FortiGate CLI 使用以下 HA 高级选项：高级 HA 选项FortiGate 设备中选择一个主设备配置加权轮询的权重高级 HA 选项高可用性所有的管理员用户也可以进入系统状态会话查看连接到 FortiGate 设备和通过该设备的活动的通讯会话。如果您使用任何其他管理员帐号登录到基于 Web 的管理程序，您可以进入系统状态以查看包括如下系统设置：·显示 FortiGate 的序列号 ·显示 FortiGate 运行时间 ·显示日志硬盘状态 ·系统状态使用基于 Web 的管理程序升级固件修改 FortiGate 主机名修改 FortiGate 固件升级到新版本的固件使用第 99 页手工更新病毒防护定义和攻击定义中的操作更新病毒防护定义和攻击定义，或者使用 CLI，输入使用 CLI 升级固件进入系统状态。单击固件升级。使用第 99 页手工更新病毒防护定义和攻击定义中的操作更新病毒防护定义和攻击定义。进入系统状态。恢复到一个旧的固件版本使用基于 Web 的管理程序恢复到一个旧版本的固件使用 CLI 恢复到一个旧版本的固件要确认回复的版本的固件已经加载了，输入： FortiGate 将上载升级文件。一旦文件上载完成，将显示如下信息：19 页连接到命令行接口 CLI 。从系统重新启动中安装固件使用 CLI 重新启动系统安装固件99 页手工更新病毒防护定义和攻击定义中描述的步骤更新病毒防护定义和攻击定义，或从 CLI 输入输入以下命令重新启动 FortiGate： ·运行 v3.x 版 Bios 的 FortiGate 设备如果您成功地中断了启动过程，将显示下面的消息之一： ·运行 v2.x 版 Bios 的 FortiGate 设备转到步骤 9。 ·运行 v3.x 版 Bios 的 FortiGate 设备您现在可以恢复您从前的配置。首先要根据需要修改接口的地址。您可以从 CLI 执行如下命令：输入 Y。 ·运行 v3.x 版 Bios 的 FortiGate 设备在安装新版本的固件之前进行测试输入 D。 FortiGate 设备安装新版本的固件映像并重新启动。整个安装过程可能需要几分钟时间才能完成。 Execute ping 本节叙述了如下内容： ·安装备份固件映像 ·切换到备份固件影象 ·切换回默认的固件映像输入 N。 ·运行 v3.x 版 Bios 的 FortiGate 设备安装和使用一个备份了的固件映像安装备份固件映像切换到备份固件影象切换回默认的固件映像手动更新攻击定义库手动更新病毒防护定义库攻击定义库版本的右边，单击更新定义。备份系统设备显示 FortiGate 的序列号显示 FortiGate 运行时间显示日志硬盘状态进入系统状态。选择恢复出厂设置。将系统设置恢复到出厂设置转换到透明模式选择系统设置恢复。系统状态转换到 NAT/ 路由模式重新启动 FortiGate 设备关闭 FortiGate 设备 CPU 和内存状态监视器查看 CPU 和内存状态·查看 CPU 和内存状态 ·查看会话和网络状态 ·查看病毒和入侵状态进入系统状态监视器。会话和网络监视器查看会话和网络状态查看病毒和入侵状态使用病毒和入侵状态显示可以跟踪 FortiGate 病毒防护系统发现的病毒和 Nids 检测到的网络攻击。查看会话列表进入系统状态会话。会话列表病毒和入侵状态监视器连接的源 IP 地址。连接的服务类型或者协议类型。例如 TCP、UDP、ICMP 最后更新企图病毒防护定义和攻击定义更新·注册 FortiGate 设备 ·更新注册信息 ·RMA 之后注册 FortiGate 设备有效期单击更新。 FortiGate 设备将测试它到 FDN 的连接。测试结果显示在系统更新页的顶部：连接到 Forti 响应发布网络·通过 NAT 设备的推送更新 ·通过代理服务器定期更新进入系统更新。单击周期性更新。选择检查和下载更新的时间表：配置周期性更新每小时单击使用后备服务器地址并添加一个 Forti 响应服务器的 IP 地址。配置更新日志添加后备服务器进入日志和报告日志设置。关于推送更新手工更新病毒防护定义和攻击定义配置推送更新按照如下步骤启用推送更新例子：通过一个 NAT 设备的推送更新通过 NAT 设备的推送更新100 网络拓扑结构举例：通过一个 NAT 设备的推送更新 101一般配置步骤 FortiGate NAT 设备上添加端口转发虚拟 IP 进入防火墙虚拟 IP。 102为端口转发虚拟 IP 添加一个防火墙策略使用一个代理 IP 地址和端口配置 FortiGate 设备 103 例如，如果代理服务器的 IP 地址是 64.23.6.89，端口是 8080，您需要输入如下命令：注册 FortiGate 设备通过代理服务器定期更新 104 ·FortiCare 支持合同号，如果您为您要注册的 FortiGate 设备购买了 FortiCare 支持合同。 FortiCare 服务合同105 ·FortiCare 服务合同 ·注册 FortiGate 设备单击完成。 106进入系统更新支持。在产品注册单中输入您的联系信息。 107 更新注册信息找回丢失的 Fortinet 支持密码查看注册的 FortiGate 设备列表进入系统更新支持单击支持登录。注册一个新的 FortiGate 设备添加或修改 FortiCare 支持合同号 108 109 修改您的 Fortinet 支持密码修改您的联系信息或安全提示问题下载病毒防护和攻击定义更新 110 RMA 之后注册 FortiGate 设备下载病毒和攻击定义更新 ·配置网络接口 ·配置虚拟局域网（VLAN） ·配置路由 ·在您的内部网络中提供 Dhcp 服务配置区域添加区域 111 删除区域在区域中添加接口在区域中添加 Vlan 子接口重命名区域修改一个接口的静态 IP 地址配置网络接口查看接口列表启动一个接口 114 为接口添加第二个 IP 地址为接口添加 ping 服务器控制到接口的管理访问修改外部网络接口的 MTU 大小以提高网络性能为接口的连接配置通讯日志115 116 配置虚拟局域网（VLAN）配置管理接口（透明模式） Vlan 网络配置 117 添加 Vlan 子网络接口Vlan 网络典型配置 118 Vlan ID 的规则Vlan IP 地址的规则添加一个 Vlan 子网络接口 ·添加默认路由 ·向路由表添加基于目的的路由 ·添加路由（透明模式） ·配置路由表 ·策略路由配置路由119 单击确定以保存您所做的修改。 FortiGate 会把新的子网络接口添加到您在步骤 4 中选中的网络接口上。向路由表添加基于目的的路由添加默认路由120 输入这个路由的目的 IP 地址和子网掩码。输入这个路由的网关的 IP 地址。添加路由（透明模式）配置路由表 121 122 在您的内部网络中提供 Dhcp 服务策略路由策略路由命令语法关键词 123 124 本章描述了如何配置 FortiGate RIP： 125·RIP 设置 ·为 FortiGate 接口配置 RIP ·添加 RIP 邻居 ·添加 RIP 过滤器 126 RIP 设置单击应用以保存您所做的设置。进入系统 RIP 接口。 FortiGate 接口配置 RIP127 按如下步骤配置 FortiGate 接口的 RIP 单击确定一保存选定接口上的 RIP 配置。 128一个内部接口上的 RIP 配置的例子添加 RIP 邻居进入系统 RIP 邻居。添加 RIP 邻居添加 RIP 过滤器 129 进入系统 RIP 过滤器。添加单一 RIP 过滤器添加一个 RIP 过滤列表 130 添加一个路由过滤器添加一个邻居过滤器131 132 进入系统配置时间。设置系统日期和时间133 ·更改基于基于 Web 的管理程序的选项 ·添加和编辑管理员帐号 ·配置 Snmp ·定制替换信息设置认证超时更改基于基于 Web 的管理程序的选项134 设置系统空闲超时 LCD 控制面板设置 PIN 保护添加和编辑管理员帐号135 选择基于 Web 的管理程序所用的语言 136 进入系统配置 Admin。添加新的管理员帐号编辑管理员帐号 137 配置 SnmpSnmp 监视配置 FortiGate 设备配置 FortiGate 的 Snmp 支持 138 FortiGate 管理信息库（MIB）Snmp 配置的例子 FortiGate 陷阱定制替换信息FortiGate 陷阱 139 140 定制替换信息进入系统配置替换信息。报警邮件消息的片段 Nids 事件 141病毒警报 142 ·地址 ·服务 ·任务计划 ·虚拟 IP ·IP 池 ·IP/MAC 绑定 ·内容配置文件 143 Vlan 子接口默认防火墙配置144 145 任务计划内容配置文件添加防火墙策略146 147 防火墙策略选项源地址目的地址 148 VPN 通道 149 流量控制病毒防护与 Web 过滤器添加透明模式策略配置策略列表记录流通日志 150 禁用一个策略策略匹配的细节更改策略列表中策略的顺序启用和禁用策略按如下步骤添加一个地址进入防火墙地址。启用一个策略添加地址 152 153 编辑地址进入防火墙地址。进入防火墙地址组。删除地址将地址编入地址组 154 添加一个内部地址组。预定义的服务155 FortiGate 预定义服务在表 6 中列出。您可以将这些服务添加到任何策略中。 FortiGate 预定义的服务续服务名称 156 进入防火墙服务定制。访问定制服务157 如果需要创建一个含有不包括在预定义服务列表中的服务的策略，可以添加一个定制的服务。添加服务组服务分组158 进入防火墙服务组。单击新建。进入防火墙任务计划一次性。单击新建。任务计划创建一个一次性任务计划 159 10 添加一次性任务计划任务计划创建周期性任务计划160 进入防火墙任务计划周期性。 161 在策略中添加一个任务计划11 添加周期性任务计划本节讨论了以下内容： ·添加静态 NAT 虚拟 IP ·添加端口转发虚拟 IP ·添加使用虚拟 IP 的策略虚拟 IP添加静态 NAT 虚拟 IP 162 12 添加静态 NAT 虚拟 IP 添加端口转发虚拟 IP163 单击确定以保存虚拟 IP 地址。您现在可以把这个虚拟 IP 地址添加到防火墙的策略中了。 164 添加使用虚拟 IP 的策略 ·添加 IP 池 ·使用固定端口的防火墙策略的 IP 池 ·IP 池和动态 NAT IP 池添加 IP 池 165 166 IP/MAC 绑定使用固定端口的防火墙策略的 IP 池 IP 池和动态 NAT ·查看动态 IP/MAC 列表 ·启用 IP/MAC 地址绑定为穿过防火墙的数据包配置 IP/MAC 绑定为连接到防火墙的数据包配置 IP/MAC 绑定 167 168 添加 IP/MAC 地址查看动态 IP/MAC 列表启用 IP/MAC 地址绑定 15 IP/MAC 设置内容配置文件169 ·默认的内容配置文件 ·添加一个内容配置文件 ·将内容配置文件添加到策略进入防火墙内容配置文件。默认的内容配置文件添加一个内容配置文件 170 16 内容配置文件举例将内容配置文件添加到策略171 启用邮件片段和超大型文件 / 邮件选项。 172 ·设置认证超时 ·添加用户名并配置认证 ·配置 Radius 支持 ·配置 Ldap 支持 ·配置用户组 173 174 设置认证超时添加用户名并配置认证添加用户名和配置认证 175 配置 Radius 支持从内部数据库中删除用户名添加 Radius 服务器输入 Radius 服务器的域名或者 IP 地址。配置 Ldap 支持删除 Radius 服务器 176 进入用户 LDAP。添加 Ldap 服务器删除 Ldap 服务器 177 按以下步骤添加用户组：进入用户用户组。配置用户组添加用户组 178 单击您要删除的用户组右侧的删除。删除用户组179 您不能删除已经被策略、远程网关、PPTP 或 L2TP 配置选用的用户组。按以下步骤删除用户组： 180 181 密钥管理预置密钥的自动 IKE 手工密钥 IPSec VPN手工密钥使用预置密钥或证书的自动互联网密钥交换自动 IKE 进入 VPN IPSec 手工密钥。手工密钥 VPN 的一般配置步骤添加一个手工密钥 VPN 通道 183 自动 IKE VPN 的一般配置步骤自动 IKE IPSec VPN184 进入 VPN Ipsec 第一阶段。为自动 IKE VPN 添加第一阶段配置185 按以下步骤添加第一阶段配置：配置高级选项 186 （可选的） NAT 跨越。 187单击确定以保存第一阶段参数。进入 VPN Ipsec 第二阶段。为自动 IKE VPN 添加第二阶段配置188 按以下方法添加第二阶段配置： 189 190 管理数字证书获得签名的本地证书生成证书请求配置要认证的对象的用于进一步识别的可选信息。 191 本地证书。下载证书请求请求签名的本地证书 192 导入签名的本地证书领取一个签名的本地证书193 导入一个 CA 证书配置加密策略获得一个 CA 证书领取一个 CA 证书 ·添加源地址 ·添加目的地址 ·添加一个加密策略添加源地址添加目的地址 195 196 添加一个加密策略 197 IPSec VPN 集中器25 添加一个加密策略 198 VPN 集中器集线器一般配置步骤 26 添加 VPN 集中器添加一个 VPN 集中器199 按以下顺序排列策略： ·加密策略 ·默认的非加密策略（内部全部外部全部） 200 VPN 辐条一般配置步骤以下步骤创建 VPN 辐条配置：请见第 196 页添加一个加密策略。冗余 IPSec VPN配置冗余 IPSec VPN 201 以下操作用于查看通道状态进入 VPN Ipsec 第二阶段。 VPN 监视和问题解答查看 VPN 通道状态 202 按以下步骤查看拨号连接状态进入 VPN IPSec 拨号。查看拨号 VPN 连接的状态测试 VPN 203 204 本节叙述了以下内容：配置 Pptp205 ·配置 Pptp ·L2TP VPN 配置 206 FortiGate 配置为 Pptp 网关添加用户名和组启用 Pptp 并指定一个地址范围 Pptp 地址范围配置的例子添加一个源地址添加一个地址组 207 安装 Pptp 支持添加一个目的地址添加一个防火墙策略配置 Pptp 的 Windows98 客户端配置 Pptp 拨号网络连接配置 Pptp 拨号连接连接到 Pptp VPN 配置 Windows2000 的 Pptp 客户端 210 配置 WindowsXP 的 Pptp 客户端配置一个 Pptp 拨号网络连接配置 VPN 连接连接到您的 ISP。启动您在上面步骤中刚刚配置的 VPN 连接。输入您的 Pptp VPN 用户名和密码。 L2TP VPN 配置211 11 确定以下选项没有没选中： ·微软网络的文件和打印共享 ·微软网络客户 12 单击确定。 212 FortiGate 配置为 L2TP 网关添加用户和用户组启用 L2TP 并指定地址范围 32 L2TP 地址范围配置的例子添加源地址213 L2TP 客户连接到的网络接口添加一个新的地址组。可以是网络接口、VLAN 子接口或区域。 214 添加一个目的地址配置 Windows2000 客户的 L2TP 配置 L2TP 拨号连接将连接设置为只有我自己可以使用此连接，单击下一步。单击完成。禁用 IPSec连接到 L2TP VPN 215 选择设置。选择挑战握手认证协议 CHAP。配置 WindowsXP 客户的 L2TP配置 L2TP VPN 拨号网络连接 216 双击高级标签。 217 218 219 一般配置步骤 171 页将内容配置文件添加到策略。防病毒扫描220 以下方法用于在 FortiGate 防火墙通讯中扫描病毒 221 文件阻塞33 病毒扫描的内容配置文件的例子添加用于阻塞的文件名样板在防火墙通讯中阻塞文件222 223 隔离被感染的文件隔离被阻塞的文件查看隔离列表下载被隔离的文件隔离列表排序过滤隔离列表从隔离区中删除文件配置文件或电子邮件大小限制阻塞过大的文件和电子邮件对邮件片段免除阻塞配置隔离选项要显示病毒列表，进入病毒防护配置病毒列表。查看病毒列表226 使用以下操作可以显示当前病毒定义库列表中的病毒和蠕虫列表。 231 页使用 Cerberian 网页过滤器。 227个内容配置文件。请见第 139 页定制替换信息。内容阻塞在禁忌词汇列表中添加单词或短语 228 229 阻塞对 URL 的访问使用 FortiGate 网页过滤器在阻塞列表中添加 URL 或者 URL 样板 URL 阻塞列表的例子清除 URL 阻塞列表230 您可以使用向下翻页向上翻页 URL 阻塞列表中翻页浏览。 231 下载 URL 阻塞列表上载 URL 阻塞列表使用 Cerberian 网页过滤器 232 一般配置步骤FortiGate 设备上安装 Cerberian 许可密钥 FortiGate 设备中添加一个 Cerberian 用户关于默认组和策略配置 Cerberian 网页过滤启用 Cerberian URL 过滤 233 进入 Web 过滤器脚本过滤。脚本过滤选择脚本过滤选项 234 进入 Web 过滤器排除 URL。 URL 排除列表URL 排除列表中添加 URL 235 236 ·一般配置步骤 ·电子邮件禁忌词汇列表 ·电子邮件阻塞列表 ·邮件排除列表 ·添加一个主题标签一般配置步骤电子邮件禁忌词汇列表 237 进入邮件过滤器阻塞列表。电子邮件阻塞列表在邮件阻塞列表中添加地址模板 238 进入邮件过滤器排除列表。邮件排除列表在邮件排除列表中添加地址模板 239 单击应用。 FortiGate 设备将在所有不受欢迎的邮件的主题栏中添加这一标签。添加一个主题标签240 按以下方法添加主题标签进入电子邮件过滤配置。过滤日志消息。关于通讯日志的信息，请见第 245 页配置通讯日志。记录日志241 ·查看和管理保存在硬盘上的日志 ·配置报警邮件 242 在远程电脑上记录日志NetIQ WebTrends 服务器上记录日志将日志记录到 FortiGate 硬盘进入日志与报告日志设置。选择在内存中记录日志。将日志记录到系统内存243 进入日志与报告日志设置。 244 过滤日志消息 39 日志过滤配置的例子配置通讯日志245 ·启用通讯日志 ·配置通讯过滤设置 ·添加通讯过滤的条目对防火墙策略启用通讯日志启用通讯日志在网络接口上启用通讯日志 Vlan 子网络接口启用通讯日志 247 添加通讯过滤的条目进入日志和报告日志设置通讯过滤。进入日志与报告记录日志。查看记录到内存的日志248 ·查看日志 ·搜索日志 249 查看和管理保存在硬盘上的日志查看日志搜索日志删除当前日志中的全部消息将日志文件下载到管理员电脑250 251 配置报警邮件删除一个保存了的日志文件添加报警邮件地址进入日志与报告报警邮件配置。测试报警邮件启用报警邮件 252 253 术语表 254 255 Dhcp 256 URL 231 Http 257 Ldap 258 NAT 259 RIP 260 URL 261 262 263 264

使用一个代理 IP 地址和端口配置 FortiGate 设备

1 进入 系统 > 更新。

103

500 specifications

1 进入系统 > 更新。