Radware_AppDirector配置手册
Radware AD配置指导书
+
Table of Contents 目录
第1章概述 (4)
1.1 Radware典型组网 (4)
1.2 网络地址规划 (5)
第2章连接设备 (6)
2.1 通过console线连接 (6)
2.2 通过WEB页面连接 (7)
2.3 将WSD升级到AppDirector (8)
第3章数据配置 (10)
3.1 网络配置 (10)
3.1.1 VLAN 配置 (10)
3.1.2 配置IP地址 (12)
3.1.3 Routing Table (13)
3.2 业务配置 (14)
3.2.1 Farm 管理 (14)
3.2.2 服务器管理 (16)
3.2.3 L4 Policy管理 (16)
3.2.4 L7 Policy管理 (18)
3.3 系统配置 (20)
3.3.1 NAT配置 (20)
3.3.2 双机配置 (20)
3.3.3 系统备份和恢复 (24)
3.3.4 健康检查 (26)
3.3.5 用户名和密码管理 (29)
+
Radware AD配置指导书关键词:
摘要:
缩略语清单:
+
第1章概述
本文以系统应用Radware的典型组网方案为参考,指导现场工程师完成radware的配置任务
1.1 Radware典型组网
上图为应用系统典型组网图。其中Radware的组网方式为推荐的单臂方式,既Radware 和服务器都挂在核心交换机下面,服务器的数目不再局限于Radware的端口数目。
图中共有两套Radware,Usdp和Vxml在Trust区共用一套Radware,Portal在DMZ区,单独使用一套Radware,如果Radware数量有限只有一套,也可以将Usdp、Portal和Vmxl 共用一套Radware,如果Radware设备足够,亦可各个组件单独使用一套Radware。
在该组网图中Usdp和Vxml的IP地址可以为同一网段,只需要在Vxml服务器的Serviceurl.ini中将Usdp的地址配成Usdp对外提供的Virtual Server IP(192.168.230.150,见下表),可保证Vxml的请求能够通过Radware均衡的分担到Usdp上面而不会直接通过内网直接访问。
+
说明:
关于Vlan,在Radware配置里,Vlan不是必须的。WSD/AD默认的端口
是路由口,所以在单臂和双臂组网方式里面,是不需要划分VLAN的。
只有在同一个网段有2个以上物理接口的时候才必须配置Vlan。
如果配置Vlan的时候,如果改动的端口正好是通过WEB访问的,则
WEB管理介面会无法访问,地址也Ping不通。比如,如果用户通过端
口1 (IP地址是192.168.1.1)登录WEB,增加一个Vlan100002,并
且将端口1加入这个Vlan,则用户将会无法访问192.168.1.1。万一出现
这种情况,按如下访问解决:
通过Console登录进来,使用net ip set 192.168.1.1 -i 3 命令将IP地
址转到端口3上(当然也可以是其他未使用Vlan的端口),然后再通过
net ip set 192.168.1.1 -i 100002命令将这个IP设置到vlan100002,这
时管理界面又可以继续登录了。
Radware可以在同一个物理接口上配置多个不同网段的IP地址。但不同
在设备上配置2个同网段的地址。。
1.2 网络地址规划
以上面组网图为例,对服务器地址进行规划:
1.Radware的地址规划
2.核心交换机的地址规划
3.Vxml地址规划
其中Vxml的Virtual IP地址表示对外提供服务的虚拟IP地址,即192.168.230.149,这时候Radware会自动根据分配策略自动分配到某个服务器上。
而Vxml-1、Vxml-2等则是具体的Vxml服务器,他们通过NAT地址访问外部,外部可以通过他们各自的Virtual IP地址来访问具体服务器。
+
4.同理,Usdp也是类似于Vxml服务器
5.位于DMZ区的Portal的地址规划
6.数据库地址
第2章连接设备
2.1 通过console线连接
使用WINDOWS的超级终端,设置参数如下:+
每秒位数:19200
数据位:8
奇偶校验位:无
停止位:1
:None
数据流控制
在“>”提示符下,输入login命令,输入用户名密码即可登录,默认的用户名密码均为radware,登录成功后提示符变为“#”,如果Console显示中存在乱码,请输入如下命令#manage terminal grid-mode set disable
说明:
“>”需要特别说明一下。”>”如果前面没有字符,则是在BootRom
状态下面,可以进行系统软件和配置的维护;如果是”WSD>”或”
AppDirector”,则系统处于工作状态下。
2.2 通过WEB页面连接
启动WEB管理之前需要配置一个IP地址,该IP地址用于管理维护Radware,例如可以选取第一个电口,通过上面介绍的串口连接后输入以下命令:net ip-interface create 192.168.101.1 255.255.255.0 1
+
192.168.101.1与255.255.255.0分别是IP地址与掩码,1为设备物理端口的编号,注意同一端口上不能增加相同网段的IP地址。
再输入以下命令启动WEB管理:manage web status set enable。
启动IE浏览器(建议IE6.0),在地址栏输入http://192.168.101.1,此时会提示输入用户名/密码,输入用户名密码(默认radware/radware)后即可进入WEB管理界面。
2.3 将WSD升级到AppDirector
由于商务的原因,目前有些设备发货时是WSD版本,为了统一版本号和方便管理,我们建议使用AppDirector版本。所以,如果收到的是WSD设备,需要升级为AppDirector。在升级前,请先取得设备的MAC地址。因为大版本的软件升级过程需要密码,密码是通过MAC 生成的。请将密码发给Radware工程师,他们将负责生成密码和发送相应软件。
说明:
在命令行下面,也可以通过”sys license”或” device-info”命令得到相关信
息。最好将这两行命令的输出同时记录下来发给Radware工程师。这样,
Radware工程师就知道使用的平台类型,方便发送相关的软件版本。
进入Device->Device Information
最下面一行可以看到Base MAC Address,这就是设备的MAC地址。
+
+
得到密码和升级软件后,可以进行升级操作了。
说明:
不同的硬件平台,使用的软件版本是不同的。硬件平台分为AS1/2/3/4/5。软件版本名称里面都会有一个硬件平台名称。比如: appdirector-as2-1_03_04.tar ,表示AS2平台的1.03.04的AppDirector 软件。
升级的时候,必须使用.tar 文件升级,如果是.zip 文件,请先解压缩,得到.tar 文件再升级。
升级的过程中,系统可能会重启2次,请使用console 观察并记录升级的全过程。
进入File->Software Update
输入密码和软件版本号以及指定升级软件的位置。点击Set 进行升级。升级过程中,有进度条显示升级的过程,完成后系统会提示重启。
+
第3章 数据配置
数据配置主要包括网络配置、业务配置和系统配置三部分
3.1 网络配置
网络配置主要包括VLAN 的划分和IP 地址的定义。
3.1.1 VLAN 配置
进入Device->VLAN Table
点击create 添加一个新的vlan
Interface number 必需是1000开头,后2位随意,根据前面的规划,选择100002 Protocol 选择:IP Type 选择switch
需要添加内部vlan 和外部vlan 两个vlan
说明:
在彩铃配置中,通常情况下,Vlan不需要配置,仅供参考
在vlan中添加相应端口
+
VLAN Interface:选择前面建立的VLAN号100002
Port/Vlan index:选择绑定在该VLAN中的物理端口3.1.2 配置IP地址
1.进入Router->IP Router->interface Parameters
2.点击creat,并添加下表:
+
IP Address:输入实际IP地址,此处配置的是外部VLAN地址,同时还需要添加配置内部VLAN地址
Network mansk:输入子网掩码
If Number:选择对应的物理端口,此处对应的外部vlan的端口是端口2
其他保持默认配置即可。
点击Set即可完成。
说明:
Radware AppDirector配完IP后,如果需要在此基础上修改IP地址,则
只能先将该IP删掉再添加,不能直接修改。如果是修改子网掩码和物理
接口,则可以直接修改。
3.1.3 Routing Table
打开“Router>Routing Table”,点击“Create”,可以配置路由
+
N ext hop 填写网关地址,例图中填写的是核心交换机外部VLAN的地址,同时还需要添加内部VLAN地址。
Interface index:对应的物理端口,例图中是对应外部VLAN的端口号
点击“Set”图标保存配置
说明:
Radware AppDirector在配置路由时,只有在端口up的情况下,才能配
置。
例如:
端口1上的IP地址为192.168.1.1,掩码为255.255.255.0
如要配置一条缺省路由,下一跳为192.168.1.254,则只能当端口1 up,
才能配置该路由。
3.2 业务配置
3.2.1 Farm 管理
点击进入AppDirector >Farms>Farm Table
+
需要注意的几个参数:
Aging time:会话表的老化时间, 单位是秒,建议配置成600。
Dispatch Method:负载均衡算法,建议采用Least Number of Users:最少用户连接数Connectivity check method:选择HTTP Page
Sessions Mode:
如果是usdp,建议选择server Per Sesion,即不需要会话保持。由于usdp提供的均是soap连接,因此不需要会话保持。
如果是portal,建议选择Entry Per Session,表示4层会话表模式,记录用户源IP,,源端口,目标IP和目标端口.。对于同一源IP地址,负载均衡算法只执行第一次请求,同一用户后续请求,无论新开多少会话,都去到相同的服务器,但每个新的会话,都会记录在Client table中。
如果是vxml,由于UI可能通过同一个IP地址来访问vxml,因此需要采用cookie的会话保持策略,具体配置在3.2.4章节介绍。而L7 Policy配置项的优先级高于Sessions Mode,因此如果配置了L7 Policy,则此处的Sessions Mode配置项将不再生效。
说明:
对于使用了Cookie Persistence的Farm, Aging time可以不必设置为600
秒,可以使用默认的60秒。因为这时主要看Cookie Persistence table里
面的超时时间,这个值需要设置和应用的Cookie超时时间一致。通常是
半小时,也就是1800秒。
+
3.2.2 服务器管理
进入到AppDirector > Servers > Application Servers >Table
选择相应的Fram,填入usdp的实际ip地址,如图10.1.1.160,并填入服务器名称usdp_1。
其它usdp服务器类似添加
同理,将其它vxml和portal服务器类似一一添加。
3.2.3 L4 Policy管理
进入AppDirector > Layer 4 Farm Selection >Layer 4 Policy Table> Create
+
+
Virtual Server : 配置对外提供服务的IP 地址,该前面规划填入192.168.230.150 port 根据现场情况配置,此处填入8080 Fram Name :选择前面建好的usdp 这个fram 。
portal 服务器上一般启用了80和443两个端口,因此在添加portal 的L4 Policy 时候,需要添加两个L4 Policy 表,它们的Virtual IP 和Fram 是相同的,port 和L4 Policy name 不同。
AppDirector > Layer 7 Sever Persistency > Text Match > Create
进入
+
Farm Name:选择vxml
Application Port:选择实际的端口
L4 Protocol:选择TCP
Lookup mode:选择Cookie
Persistency Identifier:填入JSESSIONID。(resin应用会话ID的COOKIE NAME,如VXML业务应用会话ID,则在UI与VXML SERVER之间交互的COOKIE中都会包含一个JSESSIONID字段,该字段的内容即SESSIONID。配置了该字段后,radware会据此取出COOKIE中的SESSIONID存入SESSIONID TABLE中做为本次会话的唯一标识)Inactivity Timeout:改成600秒
其余均保持默认。
说明:
对于使用了Cookie Persistence的Farm, Aging time可以不必设置为600
秒,可以使用默认的60秒。因为这时主要看Cookie Persistence table里
面的超时时间,这个值需要设置和应用的Cookie超时时间一致。通常是
半小时,也就是1800秒。
+
+
3.3 系统配置
3.3.1 NAT 配置
首先修改NAT 全局参数,进入AppDirector →NAT →Server NAT →
Global Parameters
将Server NAT 修改成enable ,这样每个farm 里面的所有服务器均转换成引用这个farm 的vitural ip 地址而访问外部Vlan 。
说明:
对于服务器需要使用VIP 访问外网的情况,才需要配置Server NAT ,一般情况下是不需要配置的。
3.3.2 双机配置
1.进入AppDirector →Redundancy → Global Parameters
fortigate 简易设置手册
fortigate 简易设置手册 一、更加语言设置: 1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入: https://192.168.1.99进入设置界面,如下图: 2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置), 进入如下图:在红框标注的位置进行语言选择。 二、工作模式的设置:
Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式; 要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。 三、网络接口的设置: 在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。 点击编辑按钮,进入如下图所示: 在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式: 1、采用静态IP的方式:如下图: 在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中,指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。 在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。如下图:
2、如采用ADSL拨号的方式,如下图: 当你选中PPOE就会出现如下图所示的界面: 在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.
飞塔防火墙fortigate的show命令显示相关配置
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
Fortigate60安装手册
F o r t i g a t e3.0M R4中文配置向导 目录 介绍(关于这篇文章介绍)-------------------------------------------------------------------------------------3 Fortigate 60防火墙介绍---------------------------------------------------------------------------------------4其他systex安全产品---------------------------------------------------------------------------------------4 SOHU&中小型网络拓扑结构-------------------------------------------------------------------------------5注:文中的IP地址以实际操作时配置的地址为准。不必照搬。 准备工作 1.修改自己电脑IP 2.进入防火墙界面 3.修改防火墙密码(以及忘记密码如何操作) 4. 配置防火墙的内网IP地址----------------------------------------------------------------------------------9目的:把防火墙的IP修改成自己想要的IP 配置局域网共享上网----------------------------------------------------------------------------------------10目的:使局域网的PC都能通过防火墙连接到Internet 设置ADSL用户名和密码拨号上网 设置固定IP上网 设置动态分配IP上网 配置双WAN共享上网---------------------------------------------------------------------------------------14目的:使用2根宽带线路连接到Internet 设置WAN2 设置WAN2 ADSL用户名和密码拨号上网 设置WAN2 固定IP上网 设置WAN2动态分配IP上网 配置特定人员从指定WAN口上网------------------------------------------------------------------------17目的:使特定人员从指定的WAN口上网 设置步骤 配置WEB服务器映射---------------------------------------------------------------------------------------19目的 设置虚拟服务器 设置地址映射 设置开放端口 配置过滤---------------------------------------------------------------------------------------------------------26目的 设置URL(网站地址)过滤
飞塔配置安装使用手册
飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见https://www.360docs.net/doc/8c1614231.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。 fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、fortiguard 入侵防护(ips)服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括: 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能: 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。
飞塔无线配置1
FortiAP 介绍 FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。 FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。FortiAP与FortiGate 设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。 FortiAP 外观与连接 这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO 技术。FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准。 这是FortiAP 210B正面的样子。
FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1.5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。 FortiAP 访问 和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192.168.1.2,用户名为admin,密码为空。笔记本电脑IP设为同网段的192.168.1.8,打开火狐浏览器,输入http://192.168.1.2进行访问。 输入用户名admin,密码不填,直接点击登录; 可以看到FortiAP 210B的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个AP时为了不引起冲突,又能访问每个IP,建议修改默认的192.168.1.2 IP地址。
飞塔 FortiGate-1000A安装使用手册
I N S T A L L G U I D E FortiGate-1000A and FortiGate-1000AFA2 FortiOS 3.0 MR4 https://www.360docs.net/doc/8c1614231.html,
FortiGate-1000A and FortiGate-1000AFA2 Install Guide FortiOS 3.0 MR4 15 February 2007 01-30004-0284-20070215 ? Copyright 2007 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc. Trademarks Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, and FortiWiFi are trademarks of Fortinet, Inc. in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. Regulatory compliance FCC Class A Part 15 CSA/CUS Risk of Explosion if Battery is replaced by an Incorrect Type.
FortiGate 防火墙常用配置命令
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置 get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1
FortiGate (1) # set dst 10.0.0.0 255.0.0.0 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加ip池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
飞塔防火墙fortigate的show命令显示相关配置精编版
飞塔防火墙f o r t i g a t e 的s h o w命令显示相关 配置 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
1,Fortinet FortiGate产品安装及快速配置
FortiGate产品安装及快速配置 Fortinet公司是全球网络安全行业领导者,FortiGate正是这家公司的旗舰产品。FortiGate拥有强大的网络和安全功能,服务于全球数万家客户,产品型号也是业界覆盖最广的,从几十兆产品到几百G产品,能够满足不同规模用户的使用需求。对于大企业和运营商客户来说,IT人员能力强,资源多,对于设备的配置自然不在话下。但是对于规模不大的中小企业来说,IT人员的运维能力可能就没有那么强了。 大家印象中传统的企业级设备配置安装都比较麻烦,友好性远不如家用路由器。因此很多用户也希望他们购买的企业级产品能够像家用级设备一样简单配置。FortiGate就是一款这样的产品。我们以FortiGate-90D-POE设备为演示,来为大家介绍一下FortiGate产品的安装、配置。后续我们还会有设备功能的使用介绍。 图1:FortiGate-90D-POE包装 图2:FortiGate-90D-POE和配件
如上图所示,FortiGate-90D-POE内置了电源,光盘,手册,RJ45网线和一根USB 管理数据线。PC可以通过USB管理数据线,使用FortiExplorer软件实现设备的快速配置。稍后我们会有讲解。 图3:FortiGate-90D-POE前面板和后面板 如图3,前面板的左侧接口是用于调试的console口,中间四个灯为电源,状态等指示灯,右侧的双排指示灯是WAN口和交换口的状态指示灯,红色的ABCD四个灯标示了POE供电的四个接口。后面板的左侧为电源接口,螺丝钉为固定地线用,避免在漏电的情况下用户触电。螺丝钉下面的接口为USB2.0小接口,用于手机连接设备进行配置。再往右两个为USB管理口。后面板上的16个接口中,最右面两个为WAN口,其余14个为交换接口,红色标示的ABCD接口为POE供电口。 FortiGate管理方式 图4:接口示意图
Fortinet 飞塔防火墙操作管理员手册V4.3
手把手学配置FortiGate设备FortiGate Cookbook FortiOS 4.0 MR3
目录 介绍 (1) 有关本书中使用的IP地址 (3) 关于FortiGate设备 (3) 管理界面 (5) 基于Web的管理器 (5) CLI 命令行界面管理 (5) FortiExplorer (6) FortiGate产品注册 (6) 更多信息 (7) 飞塔知识库(Knowledge Base) (7) 培训 (7) 技术文档 (7) 客户服务与技术支持 (8) FortiGate新设备的安装与初始化 (9) 将运行于NAT/路由模式的FortiGate设备连接到互联网 (10) 面临的问题 (10) 解决方法 (11) 结果 (13) 一步完成私有网络到互联网的连接 (14) 面临的问题 (14) 解决方法 (15) 结果 (16) 如果这样的配置运行不通怎么办? (17) 使用FortiGate配置向导一步完成更改内网地址 (20) 面临的问题 (20) 解决方法 (20) 结果 (22) NAT/路由模式安装的故障诊断与排除 (23) 面临的问题 (23) 解决方法 (23) 不更改网络配置部署FortiGate设备(透明模式) (26)
解决方法 (27) 结果 (30) 透明模式安装的故障诊断与排除 (31) 面临的问题 (31) 解决方法 (32) 当前固件版本验证与升级 (36) 面临的问题 (36) 解决方法 (36) 结果 (39) FortiGuard服务连接及故障诊断与排除 (41) 面临的问题 (41) 解决方法 (42) 在FortiGate设备中建立管理帐户 (48) 面临的问题 (48) 解决方法 (48) 结果 (49) FortiGate设备高级安装与设置 (51) 将FortiGate设备连接到两个ISP保证冗余的互联网连接 (52) 面临的问题 (52) 解决方法 (53) 结果 (60) 使用调制解调器建立到互联网的冗余连接 (63) 面临的问题 (63) 解决方法 (64) 结果 (70) 使用基于使用率的ECMP在冗余链路间分配会话 (70) 面临的问题 (70) 解决方法 (71) 结果 (73) 保护DMZ网络中的web服务器 (74) 面临的问题 (74) 解决方法 (75) 结果 (81) 在不更改网络设置的情况下配置FortiGate设备保护邮件服务器(透明模式) (86)
fortinet飞塔防火墙配置
Fortinet产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见 https://www.360docs.net/doc/8c1614231.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低 的运行成本考虑设计。
fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、 fortiguard 入侵防护(ips)服务 3、 fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。 forticlient的功能包括: 1、建立与远程网络的vpn连接
2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到 几个用户的计算机。 FortiMail fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的 邮件威胁。
fortigate 200简易使用手册
1.FortiGate-200A fortigate-200a设备包装盒中部件: 1 fortigate-200a防火墙设备 2 一根橙色以太网交叉线缆(fortinet 部件号:cc300248) 3 一根灰色以太网普通线缆(fortinet 部件号:cc300249) 4 一根rj-45到db-9串连线缆(fortinet 部件号:cc300302) 5 两个19英寸大小的安装架 6 一根电源线 7 fortigate-200a设备快速启动指南册页 8 fortinet技术手册cd一张 图1:fortigate-200a设备部件 安装 fortigate-200a可以固定在标准的19英寸的机架上。需要占据机架1u的垂直空间。fortigate-200a 设备也可作为独立的器件放置在任何水平的表面。 表1:技术参数
尺寸:16.8×10×1.75英尺(42×25.4×4.5厘米) 重量:7.3磅(3.3千克) 功率:最大功率:50w 工作需求: ac输入电压:100至240vac ac输入电流:1.6a 频率:50至60hz 工作温度:32至104华氏度(0至40度摄氏度) 工作环境: 放置温度:-13至158华氏度(-25至70摄氏度) 湿度:5至95%(非冷凝) 2.启动FortiGate设备 1. 确定fortigate设备背面的电源开关是关闭的。 2. 将电源线与位于fortigate设备背面的电源接口连接。 3. 将电源线连接到电源插座。 4. 闭合电源开关。 数秒后, led 显示system staring(系统启动)。
系统启动后,led显示menu (主菜单)。 fortigate设备开始运行,led指示灯亮起。fortigate设备启动过程中led状态指示灯闪烁并在设备启动后保持亮着状态。 表6:led显示 关闭fortigate设备 请在闭合电源开关之前,关掉fortigate操作系统,以免造成硬件损伤。 关闭fortigate设备 1. 访问基于web的管理器,进入系统] 状态] 系统状态, 选择关闭系统,然后点击“确认”关闭系统;或者在命令行接口(cli)中,输入execute shutdown 2. 关闭电源开关。 3. 将电缆线从电源连接处拔掉。
飞塔防火墙fortigate的show命令显示相关配置审批稿
飞塔防火墙f o r t i g a t e的s h o w命令显示相关配 置 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
FortiGate飞塔防火墙 简明配置指南
FortiGate飞塔防火墙简明配置指南 说明:本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。 要求:FortiGate? 网络安全平台,支持的系统版本为FortiOS v3.0及更高。 步骤一:访问防火墙 连线:通过PC与防火墙直连需要交叉线(internal接口可以用直通线),也可用直通线经过交换机与防火墙连接。防火墙出厂接口配置:Internal或port1:192.168.1.99/24,访问方式:https、ping 把PC的IP设为同一网段后(例192.168.1.10/24),即可以在浏览器中访问防火墙https://192.168.1.99 防火墙的出厂帐户为admin,密码为空 登陆到web管理页面后默认的语言为英文,可以改为中文 在system----admin----settings中,将Idle TimeOut(超时时间)改为480分钟,Language 为simplified chinses (简体中文)。 如果连不上防火墙或不知道接口IP,可以通过console访问,并配置IP 连线:PC的com1(九针口)与防火墙的console(RJ45)通过console线连接,有些型号的防火墙console是九针口,这时需要console转RJ45的转接头 超级终端设置:所有程序----附件----通讯----超级终端 连接时使用选择com1,设置如下图 输入回车即可连接,如没有显示则断电重启防火墙即可
连接后会提示login,输入帐号、密码进入防火墙 查看接口IP:show system interface 配置接口IP: config system interface edit port1或internal 编辑接口 set ip 192.168.1.1 255.255.255.0 配置IP set allowaccess ping https http telnet 配置访问方式 set status up end 配置好后就可以通过网线连接并访问防火墙 步骤二:配置接口 在系统管理----网络中编辑接口配置IP和访问方式 本例中内网接口是internal,IP,192.168.1.1 访问方式,https ping http telnet 本例中外网接口是wan1,IP,192.168.100.1访问方式,https ping
飞塔web配置手册
设置FortiWeb基本配置 说明: 本文档针对出厂的FortiWeb基本配置进行说明。建议所有FortiWeb设备在进行简单配置后再开始部署。本文的后半部分介绍网页防篡改功能。 环境介绍: 本文使用FortiWeb1000B做演示。本文使用的系统版本为4.0.。 步骤一:访问设备 出厂设备默认的访问方式是:https、ping、ssh;接口,port1;IP,192.168.1.99; console访问方式:每秒位数9600;数据位8;奇偶校验无;停止位1;数据流控制无。 管理员登陆地址:https://192.168.1.99 登陆帐号:admin 密码为空 在命令行下恢复出厂设置的方法:execute factoryreset 步骤二:系统设置 在system—admin—settings中设置语言和超时时间 在系统—网络—接口中设置接口IP和访问方式 在系统—网络—DNS中配置DNS地址
在系统—配置—操作中设置模式 在系统—管理—管理员中设置管理员密码 点击按钮设置密码 在系统--维护—系统时间中设置时间 在路由—静态中设置路由 步骤三:网页防篡改设置 网页防篡改功能可以防止静态网页被恶意修改。它的原理是将所有静态页面备份到FortiWeb的硬盘中,并定期检查Web服务器上页面状态,当网页被恶意修改时,FortiWeb用备份页面还原,保护网站安全。 在网页防篡改中点击新建: 主机名/IP地址:输入Web服务器IP 连接类型:支持FTP,SSH和Windows共享 超过此大小的文件不做监控:默认为10M,可根据实际情况调整 不做监控的文件类型:可以规定某些较大的视频或压缩文件不做监控 文件有改动时自动恢复到改动前内容:建议勾选。开启次功能后监控文件有任何改动都会恢复到原始状态,管理员需要通过FortiWeb的上传工具更新页面。
3分钟搞定飞塔50B防火墙配置
3分钟搞定飞塔50B防火墙配置 飞塔防火墙的默认管理IP地址为192.168.1.99(internal口),可以将电脑与其internal 口进行连接,https://192.168.1.99就可以登录了,默认用户名为admin,密码为空。 该指导会完成以下功能的描述,其他功能需自己慢慢体会。 一.配置界面改中文 二.配置PPPoE和固定IP 三.封端口 四.禁止P2P,在线视频 五.升级防火墙系统软件 六.配置文件的备份和回复 七.恢复初始设置 八.恢复密码 如下图,初始配置界面是英文,通过选择System——Admin——Settings——Display setting——language——Simplified Chinese——Apply
二、PPPoE和固定IP设置 如下图,设置网络——接口——wan1——编辑
这里先配置用户名和密码,拨号成功后会获得IP地址,网关等,注意PPPoE拨号不用写路由。其他保持默认。 如果选择固定IP就用自定义。 防火墙策略
防火墙策略里面有很多选项,这里就不一一讲解了,只说我们会用到的方面。防火墙是有一个默认的策略在里面,all到all的全部都放通。 这里可以对策略进行配置,做到精确匹配。
这里可以配置每个主机的地址,调用在策略上方便管理。封端口 在服务——定制——新建 这里我新建了一个服务是封17991端口
流量整形器可以做共享和每IP的流量控制。具体可以自行操作。 虚拟IP的设置: 虚拟IP主要的作用是把内网主机的端口,映射到外网IP的端口地址,典型应用主要在总部,总部将内部主机17991,3000端口等映射出外网,让营业部的通信平台进行连接。 保护内容表 防护墙的保护内容表的内容是在UTM中进行设备,然后在这里统一调用的。所以我们要现在UTM功能区里做好内容。
飞塔AD域验证配置手册
FORTINET设置FortiGate目录服务认证 银兴技术支持QQ2642662476 说明: 本文档针对所有FortiGate设备的目录服务配置进行说明。目录服务指FortiGate从AD服务器上取得域用户信息,当用户登录到域时该用户信息会传到FortiGate,从而允许用户访问互联网。即可以实现单点认证功能。当用户不在域时FortiGate则不允许该用户上网。 环境介绍: 本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。 AD服务器IP :192.168.100.21 DNS:192.168.100.21 用户电脑IP:192.168.100.22 DNS:192.168.100.21 步骤一:在AD上安装FSAE软件 在AD上安装FSAE_Setup_3.5.041.exe。提示的内容一般不需要更改,一直点击下一步直到安装完成。接着会提示安装DC Agent,继续安装,点击下一步直到安装完成。 (点击放大) 点击configure FSAE,界面如上图: 在Authentication选项下勾选Require authenticated Password: 输入认证密码,该密码必须与下一步目录服务中的密码一致 点击Apply或Save&close保存 步骤二:配置目录服务 在防火墙中配置:设置用户----目录服务,点击新建 FortiClient AD:输入一个名称 FSAE Collector IP/名称:AD服务器的IP 密码:输入密码,与上一步中密码一致点击OK (点击放大)
然后防火墙就会收集到AD服务器上的目录信息,展开可以查看 (点击放大) 步骤三:配置用户组 在设置用户----用户组中点击新建 名称:输入一个名称 类别:选目录服务 成员:可用的用户组 组员:选择哪些用户组需要认证,即哪些用户可以上网 (点击放大) 步骤四:配置策略 在防火墙----策略中编辑出网策略,勾选启用基于用户认证的策略,点击添加(点击放大)