管理手册 - fortinet...fortigate 版本4.0 mr2 管理手册本文件在2010 年6...

FortiGate™

版本 4.0 MR2

管理手册

本文件在 2010 年 6 月将会更新，以包含 FortiGate 操作系统（FortiOS）4.0 MR2 的更多信息。

更多信息请联系 [email protected]。

mailto:[email protected]

FortiGateFortiGate 管理指南版本 4.0 MR2

2010 年 5 月 7 号 01-420-89802-20100507

2010 全部版权©归飞塔公司所有。若没有飞塔公司的事先书面许可，不能因任何目的以任何形式或

任何方法，包括电子、机械、手工、视觉或其他方法，对包括文本、实例、图表或图解在内的这份

出版物中的任何一部分进行再造、传播或翻译。

注册商标

动态威胁防御系统（DTPS），APSecure，FortiASIC，FortiBIOS，FortiBridge，FortiClient，

FortiGate®，FortiGate 统一威胁管理系统，FortiGuard®，FortiGuard-垃圾邮件过滤，

FortiGuard-反病毒，,FortiGuard-入侵防护, FortiGuard-网页过滤，FortiLog， FortiAnalyzer，

FortiManager，

Fortinet®，FortiOS， FortiPartner， FortiProtect， FortiReporter，FortiResponse， FortiShield，

FortiVoIP，和 FortiWiFi ，是飞塔公司在美国/或其他国家的注册商标。在这里所提到的这些实际的

公司和产品的名称，为各自所有者的注册商标。

目录

FortiGate 安全信息平台版本 4.0 MR2 管理手册电话：01-420-89802-20100507 3 网址：http://docs.fortinet.com/ • feedback

目录

引言 ..................................................................................................... 15

Fortinet 产品 .......................................................................................................... 15

在您开始之前 .......................................................................................................... 16

该指南如何组织 ....................................................................................................... 17

文档约定 .................................................................................................................. 18

IP 地址 ............................................................................................................ 18

警告、注释与建议 ............................................................................................ 18

排版约定 .......................................................................................................... 18

CLI 命令语法 ................................................................................................... 19

注册您的 Fortinet 产品 ........................................................................................... 22

Fortinet 产品终止用户使用权协议.......................................................................... 21

客户服务与技术支持 ............................................................................................... 21

培训 ......................................................................................................................... 22

Fortinet 说明书 ...................................................................................................... 22

工具与说明书 CD ............................................................................................. 22

Fortinet 基础知识 ............................................................................................. 22

Fortinet 技术说明注释 ...................................................................................... 22

基于 web 管理界面 .............................................................................. 23

web 管理界面页面 .................................................................................................. 23

Web 管理界面主菜单 ....................................................................................... 25

使用 web 管理界面列表 ................................................................................... 26

在 web 管理界面列表中增加过滤器 ................................................................. 27

在 web 管理界面列表中使用页面控制 ............................................................. 28

使用栏设置来控制显示栏 ................................................................................. 29

使用带有栏设置的过滤器 ................................................................................. 30

常用 web 管理界面任务 .......................................................................................... 31

连接到 web 管理界面 ....................................................................................... 31

连接到 web 管理界面 ....................................................................................... 32

修改当前设定 ................................................................................................... 32

修改您 FortiGate 管理员密码 ........................................................................... 32

改变 web 管理界面语言 ................................................................................... 33

改变您 FortiGate 设备管理路径 ....................................................................... 33

改变 web 管理界面空闲运行时间 ..................................................................... 34

切换 VDOMs .................................................................................................... 34

从 web 管理界面中连接 FortiGate CLI ............................................................ 34

联系客户支持 ................................................................................................... 34

目录

FortiGate 安全信息平台版本 4.0 MR2 管理手册

4 电话：01-420-89802-20100507 网址：http://docs.fortinet.com/ • feedback

退出 .................................................................................................................. 35

使用 FortiGate 在线帮助 ........................................................................................ 35

搜索在线帮助 ................................................................................................... 36

系统仪表板 ........................................................................................... 39

仪表板概述 .............................................................................................................. 40

添加仪表板 ....................................................................................................... 40

在仪表板中添加窗口 ........................................................................................ 40

VDOM 与全局仪表板 ....................................................................................... 41

系统信息 .................................................................................................................. 42

配置系统时间 ................................................................................................... 43

更改 FortiGate 设备主机名 .............................................................................. 44

更改 FortiGate 固件 ......................................................................................... 45

许可证信息 .............................................................................................................. 45

设备操作 .................................................................................................................. 48

系统资源 .................................................................................................................. 50

查看操作历史 ................................................................................................... 50

警告消息控制平台 ................................................................................................... 51

日志和档案统计 ....................................................................................................... 52

在统计窗口中查看 DLP 存档信息 .................................................................... 54

查看攻击日志 ................................................................................................... 54

CLI 控制平台 ........................................................................................................... 55

最多的会话 .............................................................................................................. 57

最多的病毒 .............................................................................................................. 59

最多的威胁 .............................................................................................................. 59

历史流量 .................................................................................................................. 59

最多的协议利用率 ................................................................................................... 60

DLP 档案利用率 ...................................................................................................... 61

RAID 监测器 ........................................................................................................... 62

最多的应用使用率 ................................................................................................... 64

存储 ......................................................................................................................... 64

P2P 使用 ................................................................................................................ 65

Per-IP 带宽利用率................................................................................................... 65

VoIP 使用 ................................................................................................................ 65

IM 使用率 ................................................................................................................ 65

FortiGuard ............................................................................................................. 66

固件管理条例 ....................................................................................... 67

备份您的配置 .......................................................................................................... 68

通过 web 管理界面备份您的配置 ..................................................................... 68

通过 CLI 备份您的配置文件 ............................................................................. 68

目录


备份您的配置到 USB ....................................................................................... 69

在升级前测试固件 ................................................................................................... 70

升级您的 FortiGate 设备 ........................................................................................ 71

通过 web 管理界面升级到 FortiOS 4.0 ............................................................ 71

通过 CLI 升级到 FortiOS 4.0 ............................................................................ 72

验证升级 .......................................................................................................... 73

恢复到以前的固件镜像 ............................................................................................ 74

通过 web 管理界面降级到以前的固件 ............................................................. 74

验证降级 .......................................................................................................... 75

通过 CLI 降级到以前的固件 ............................................................................. 75

存储您的配置 .......................................................................................................... 77

在 web 管理界面存储您的配置设置 ................................................................. 77

在 CLI 中存储您的配置设置 ............................................................................. 77

使用虚拟域 ........................................................................................... 79

虚拟域概述 .............................................................................................................. 79

VDOMs 和全局设置 ......................................................................................... 80

VDOMs 间的切换 ............................................................................................. 80

全局和 per-VDOM 设置 ................................................................................... 80

VDOM 配置设置 ...................................................................................................... 80

VDOM 许可证 ......................................................................................................... 82

全局 VDOM 资源限制.............................................................................................. 82

每个 VDOM 的全局资源使用率 ........................................................................ 83

系统网络 .............................................................................................. 85

配置接口 .................................................................................................................. 85

交换模式 .......................................................................................................... 89

配置接口设置 ................................................................................................... 89

添加 VLAN 接口 ............................................................................................... 93

添加回路接口 ................................................................................................... 94

为 FortiGate 接口增加 sFlow 代理 ................................................................... 95

配置区域 .................................................................................................................. 97

配置调制解调器接口 ............................................................................................... 99

配置调制调解器设置 ...................................................................................... 100

冗余模式配置 ................................................................................................. 103

独立模式配置 ................................................................................................. 104

为调制解调器添加防火墙策略 ....................................................................... 105

连接和断开调制解调器 .................................................................................. 106

核查调试解调器状态 ...................................................................................... 106

配置网络选项 ........................................................................................................ 107

DNS 设置 ....................................................................................................... 107

目录



配置 FortiGateDNS 服务 ...................................................................................... 108

关于分离 DNS ................................................................................................ 108

配置 FortiGateDNS 服务 ................................................................................ 108

配置 FortiGate 域名数据库 ............................................................................ 110

配置显式网络代理 ................................................................................................. 111

配置显式网络代理设置 .................................................................................. 112

配置缓存通信协议（WCCP）............................................................................... 114

路由表（透明模式） ............................................................................................. 115

系统无线 ............................................................................................. 117

FortiGate 无线网络无线接口 ................................................................................ 117

信道分配 ................................................................................................................ 118

IEEE 802.11a 信道号 ..................................................................................... 118

IEEE 802.11b 信道号 ..................................................................................... 118

IEEE 802.11g 信道号 .................................................................................... 120

无线设置 ................................................................................................................ 121

添加无线接口 ................................................................................................. 122

无线 MAC 过滤 ..................................................................................................... 124

管理 MAC 过滤列表 ....................................................................................... 124

无线监控 ................................................................................................................ 125

非法接入点探测 ..................................................................................................... 126

浏览无线接入点 ............................................................................................. 126

系统动态主机设置协议服务器(DHCP) ............................................... 129

FortiGateDHCP 服务器和中继 ............................................................................. 129

配置 DHCP 服务 ................................................................................................... 130

配置接口作为 DHCP 中继代理 ...................................................................... 130

配置 DHCP 服务器 ........................................................................................ 130

查看地址租借 ........................................................................................................ 132

为特定客户端保留 IP 地址 ............................................................................. 132

系统配置 ............................................................................................ 133

HA ......................................................................................................................... 133

HA 选项 .......................................................................................................... 133

群集成员列表 ................................................................................................. 135

查看 HA 数据页面 .......................................................................................... 136

更改附属主机名和设备优先权 ....................................................................... 136

断开群集单元 ................................................................................................. 137

简单网络管理协议（SNMP） ............................................................................... 138

配置 SNMP .................................................................................................... 138

配置 SNMP 区域 ............................................................................................ 139

目录


Fortinet 管理信息库 ...................................................................................... 140

Fortinet 和 FortiGate 陷阱 .............................................................................. 141

Fortinet 和 FortiGate 域 ................................................................................. 145

替换信息 ................................................................................................................ 151

虚拟域(VDOM) 和普遍替换信息 ................................................................... 151

浏览替换信息列表 .......................................................................................... 151

更改替换信息 ................................................................................................. 152

邮件替换信息 ................................................................................................. 152

HTTP 替换信息 .............................................................................................. 153

网络代理替换信息 .......................................................................................... 154

FTP 替换信息 ................................................................................................ 155

网络新闻传送协议（NNTP）替换信息 .......................................................... 156

警报邮件替换信息 .......................................................................................... 156

垃圾邮件替换信息 .......................................................................................... 157

管理替换信息 ................................................................................................. 157

用户验证替换信息 .......................................................................................... 158

FortiGuard 网络过滤替换信息 ....................................................................... 159

即时通讯（IM）和点对点技术（P2P）替换信息 .......................................... 160

端点网络准入控制（NAC）替换信息 ............................................................ 160

NAC 隔离替换信息 ........................................................................................ 161

流量配额控制替换信息 .................................................................................. 161

安全套接层（SSL ）虚拟私人网络（VPN）替换信息.................................. 161

替换信息关键字 ............................................................................................. 162

操作模式和虚拟域管理入口 .................................................................................. 164

更改操作模式 ................................................................................................. 164

管理入口 ........................................................................................................ 165

系统管理 ............................................................................................ 167

管理员 ................................................................................................................... 167

浏览管理员列表 ............................................................................................. 168

配置管理员账号 ............................................................................................. 169

更改管理员账号密码 ...................................................................................... 170

为管理员配置常规（密码）验证 .................................................................... 170

为管理员配置远程验证 .................................................................................. 171

为管理员配置 PKI 证书验证 ........................................................................... 171

管理资料 ................................................................................................................ 174

查看管理资料列表 .......................................................................................... 178

目录



管理资料页面 ................................................................................................. 178

集中管理 ................................................................................................................ 179

配置修改 ........................................................................................................ 180

设置 ....................................................................................................................... 180

监控管理员 ............................................................................................................ 182

FortiGateIPv6 支持 .............................................................................................. 183

在 FortiGate 设备配置 IPv6 ........................................................................... 183

系统认证 ............................................................................................ 187

本地证书 ................................................................................................................ 188

生成证书请求 ................................................................................................. 188

下载和提交证书请求 ...................................................................................... 189

输入已签署服务器证书 .................................................................................. 189

输入已输出服务器证书和私人密钥 ................................................................ 190

分别输出服务器证书和私有密钥文件 ............................................................ 190

远程证书 ................................................................................................................ 191

输出远程（OCSP）证书 ............................................................................... 191

CA 证书 .......................................................................................................... 192

输出 CA 证书 ................................................................................................. 192

CRL 页面............................................................................................................... 193

输出证书吊销列表 .......................................................................................... 193

系统维护 ............................................................................................ 195

维护综述 ................................................................................................................ 195

配置修改 ................................................................................................................ 196

固件 ....................................................................................................................... 197

备份及还原配置文件 ...................................................................................... 197

FortiGuard ........................................................................................................... 199

FortiGuard 分配网络 ...................................................................................... 199

FortiGuard 服务 ............................................................................................. 199

配置 FortiGate 设备 FDN 及 FortiGuard 订阅服务 ........................................ 200

FDN 连接排错检测 ................................................................................................ 205

更新反病毒和攻击定义 .......................................................................................... 205

启用推送更新 ........................................................................................................ 206

当 FortiGate 设备 IP 地址改变时启用推送更新.............................................. 207

通过 NAT 设备启用推送更新.......................................................................... 207

高级 ....................................................................................................................... 210

创建脚本文件 ................................................................................................. 211

上传脚本文件 ................................................................................................. 211

添加 VDOM 许可证 ............................................................................................... 212

目录


硬盘 ....................................................................................................................... 213

配置 AMC 模块 .................................................................................. 215

自动旁路及恢复 AMC 桥式模块 ............................................................................ 216

启用或禁用 AMC 桥式模块旁路旁路模式 ............................................................. 217

配置冗余磁盘阵列技术（RAID） ....................................................... 219

配置 RAID 阵列 ..................................................................................................... 219

RAID 磁盘配置 ............................................................................................... 219

RAID 级别 ............................................................................................................. 220

重建 RAID 阵列 ..................................................................................................... 222

为什么重建 RAID 阵列？ ............................................................................... 222

如何重建 RAID 阵列 ...................................................................................... 222

路由静态 ............................................................................................ 225

路由概念 ................................................................................................................ 225

如何建立路由表 ............................................................................................. 225

如何做出路由判定 .......................................................................................... 226

多路径路由以及决定最佳路线 ....................................................................... 226

路线优先 ........................................................................................................ 227

黑洞路由 ........................................................................................................ 227

静态路由 ................................................................................................................ 228

使用静态路由 ................................................................................................. 228

默认路由和默认网关 ...................................................................................... 229

添加静态路由至路由表 .................................................................................. 232

等值多路径路由协议（ECMP）路由失败备援及负载均衡 ................................... 233

配置溢出或基于使用 ECMP ........................................................................... 234

从 CLI 中添加权重至静态路由 ....................................................................... 237

策略路由 ................................................................................................................ 239

路由器动态 ......................................................................................... 243

路由信息协议（RIP） ........................................................................................... 243

高级 RIP 选项 ................................................................................................ 244

RIP-启用接口 ................................................................................................. 245

开放式最短路径优先（OSPF） ............................................................................ 247

定义 OSPF 自主系统—概览 .......................................................................... 247

基本 OSPF 设置............................................................................................. 247

高级 OSPF 选项............................................................................................. 249

定义 OSPF 区域............................................................................................. 249

OSPF 网络 ..................................................................................................... 250

OSPF 接口的运行参数 .................................................................................. 250

边界网关协议（BGP） ......................................................................................... 252

目录



多路广播 ................................................................................................................ 253

覆盖接口多路广播设置 .................................................................................. 254

多路广播目标 NAT ................................................................................................ 254

双向转发检测（BFD） ......................................................................................... 255

配置 BFD ....................................................................................................... 255

路由器监控 ......................................................................................... 257

查看路由信息 ........................................................................................................ 257

查找 FortiGate 路由表 .......................................................................................... 259

防火墙 ................................................................................................ 261

策略 ....................................................................................................................... 261

策略 ....................................................................................................................... 262

身份识别防火墙策略 ...................................................................................... 269

中心网络地址转换（NAT）表 ........................................................................ 273

互联网协议第六版(IPv6)策略 ......................................................................... 274

拒绝服务（DoS）策略 ................................................................................... 274

通信协议选择 ................................................................................................. 276

探测策略 ........................................................................................................ 278

地址 ....................................................................................................................... 280

地址列表 ........................................................................................................ 280

地址组 ............................................................................................................ 281

服务器 ................................................................................................................... 283

预定义服务器列表 .......................................................................................... 283

定制服务器 ..................................................................................................... 287

定制化服务器组 ............................................................................................. 288

时间表 ................................................................................................................... 289

循环时间表列表 ..................................................................................................... 289

一次性时间表列表 ................................................................................................. 290

时间表组 ................................................................................................................ 291

流量整形器 ............................................................................................................ 292

共享流量整形器 ............................................................................................. 292

Per-IP 模式流量整形 ...................................................................................... 293

虚拟 IP 地址 ................................................................................................... 294

虚拟 IP、负载均衡虚拟服务器和负载均衡有效服务器限制 ........................... 295

虚拟 IP 地址 ................................................................................................... 295

虚拟域 IP 地址(VIP)组 ................................................................................... 297

IP 地址池 ........................................................................................................ 298

负载均衡功能 ................................................................................................. 299

虚拟服务器 ..................................................................................................... 299

目录


有效服务器 ..................................................................................................... 304

健康检查监控器 ............................................................................................. 305

监控服务器 ..................................................................................................... 306

UTM ................................................................................................... 307

UTM 概述 .............................................................................................................. 307

反病毒 ................................................................................................................... 308

Profile............................................................................................................. 308

文件过滤器 ..................................................................................................... 310

隔离 ................................................................................................................ 313

隔离配置 ........................................................................................................ 313

病毒数据库 ............................................................................................................ 314

IPS 感应器 ..................................................................................................... 315

过滤器 ............................................................................................................ 318

预指定跳过和定制跳过 .................................................................................. 319

拒绝服务（DoS）感应器 ............................................................................... 321

SYN 代理 ....................................................................................................... 322

SYN 界限（使用一个 DoS 感应器防止 SYN 泛滥）...................................... 322

了解异常状况 ................................................................................................. 322

预定义 ............................................................................................................ 323

使用显示过滤器 ............................................................................................. 325

定制 ................................................................................................................ 325

协议解码器 ..................................................................................................... 326

数据包记录 ............................................................................................................ 326

数据包记录配置 ..................................................................................................... 327

网络过滤器 ............................................................................................................ 327

Profile............................................................................................................. 328

网页内容过滤器 ............................................................................................. 330

HTTP 和 FTP 客户端调试 .............................................................................. 331

网址过滤器 ..................................................................................................... 333

跳过 ................................................................................................................ 336

本地类别 ........................................................................................................ 338

本地分类 ........................................................................................................ 339

FortiGuard 配额 ............................................................................................. 340

报告 ................................................................................................................ 340

电子邮件过滤器 ............................................................................................. 341

Profile............................................................................................................. 342

目录



禁忌词汇 ........................................................................................................ 344

IP 地址 ........................................................................................................... 347

电子邮件地址 ................................................................................................. 348

使用通配符和正则表达式 ...................................................................................... 350

数据防漏 ................................................................................................................ 352

感应器 ............................................................................................................ 352

复合规则 ........................................................................................................ 355

规则 ................................................................................................................ 357

DLP 存档 ........................................................................................................ 363

应用程序控制 ........................................................................................................ 364

应用程序控制列表 .......................................................................................... 365

应用程序列表 ................................................................................................. 367

VoIP ...................................................................................................................... 368

Profile............................................................................................................. 368

网际协议安全虚拟私用网络(IPSec VPN)概述 .................................... 369

策略性对路由型虚拟私人网络(VPN).............................................................. 370

自动交换密钥（IKE） ........................................................................................... 371

第一阶段配置 ................................................................................................. 372

第一阶段高级配置设定 .................................................................................. 374

第二阶段配置 ................................................................................................. 377

第二阶段高级配置设定 .................................................................................. 377

人工密钥 ................................................................................................................ 380

新人工密钥配置 ............................................................................................. 381

网页浏览 ........................................................................................................ 383

集中器 ............................................................................................................ 383

监控虚拟私人网络(VPN) ................................................................................ 384

PPTP 虚拟专用网络(VPN) ................................................................ 387

通过使用 FortiGateweb 界面配置 PPTP ............................................................. 387

通过使用 CLI 命令的 PPTP 配置 ......................................................................... 389

安全套接层虚拟专用网络(SSL VPN) .................................................. 391

安全套接层虚拟专用网络(SSL VPN)概述 ............................................................. 391

基本配置步骤 ................................................................................................. 392

配置（Config） .............................................................................................. 393

界面 ................................................................................................................ 394

界面设定 ........................................................................................................ 395

界面小部件 ..................................................................................................... 397

目录


虚拟桌面应用程序控制 .......................................................................................... 398

主机检查 ................................................................................................................ 399

安全套接层虚拟专用网络（SSL VPN）监控器列表 ............................................. 401

广域网（WAN）优化和网络缓存 ....................................................... 403

广域网优化规则 ..................................................................................................... 403

广域网优化对端设备 ............................................................................................. 407

对端设备验证组 ..................................................................................................... 408

广域网优化监控 ..................................................................................................... 409

网页缓存设定 ........................................................................................................ 410

缓存免除列表 ........................................................................................................ 413

用户 ................................................................................................... 415

用户 ....................................................................................................................... 415

本地用户账户 ................................................................................................. 415

即时通讯（IM）用户 ...................................................................................... 417

身份认证设置 ................................................................................................. 418

用户组 ................................................................................................................... 419

防火墙型用户组 ............................................................................................. 420

目录服务型用户组 .......................................................................................... 421

安全套接层虚拟专用网络（SSL VPN）型用户组 .......................................... 421

动态分配用户组的 VPN 客户机 IP 地址 ......................................................... 422

远程 ....................................................................................................................... 422

RADIUS ......................................................................................................... 423

轻量级目录访问协议（LDAP） ..................................................................... 424

TACACS+ ...................................................................................................... 426

目录服务 ................................................................................................................ 427

公钥基础设施（PKI） ........................................................................................... 429

对端设备用户以及对端设备用户组 ................................................................ 430

监控 ....................................................................................................................... 430

防火墙用户监控表 .......................................................................................... 430

即时通讯用户监控表 ...................................................................................... 431

被禁止的用户表 ............................................................................................. 432

终端节点 ............................................................................................ 433

终端节点配置概述 ................................................................................................. 433

网络接入控制(NAC) .............................................................................................. 434

配置节点文件 ................................................................................................. 434

配置应用程序感应器 ...................................................................................... 435

查看应用程序数据库 ...................................................................................... 436

配置 FortiClient 安装下载和高级版本 ............................................................ 436

目录



网络漏洞扫描 ........................................................................................................ 438

配置属性 ........................................................................................................ 438

配置扫描 ........................................................................................................ 438

监控节点 ................................................................................................................ 439

无线控制器 ......................................................................................... 441

配置概述 ................................................................................................................ 441

启动无线控制器 ..................................................................................................... 442

配置 FortiWiFi 作为可管理的接入点.................................................................... 442

配置虚拟无线接入点 ............................................................................................. 442

配置物理接入点 ..................................................................................................... 444

配置无线局域网的 DHCP ...................................................................................... 445

配置用于无线局域网的防火墙策略 ....................................................................... 445

监管无线用户 ........................................................................................................ 445

监管野蛮接入点 ..................................................................................................... 446

日志与报告 ......................................................................................... 449

日志与报告概述 ..................................................................................................... 449

什么是日志? .......................................................................................................... 450

日志类型和分类型 .......................................................................................... 450

示例 ....................................................................................................................... 453

日志信息 ........................................................................................................ 453

记录所有的 FortiGate 通信 ............................................................................ 453

FortiGate 如何储存日志 ....................................................................................... 455

远程存储到 FortiAnalyzer .............................................................................. 455

远程存储到 FortiGuard 分析以及管理服务 ................................................... 457

远程存储到系统日志服务器 ........................................................................... 457

本地存储到内存 ............................................................................................. 458

本地存储到硬盘 ............................................................................................. 458

本地存档 ........................................................................................................ 459

事件日志 ................................................................................................................ 460

告警电子邮件 ........................................................................................................ 461

接入并查看日志信息 ............................................................................................. 462

日志存档 ................................................................................................................ 463

隔离 ....................................................................................................................... 464

报告 ....................................................................................................................... 465

FortiOS 报告 ................................................................................................. 465

SQL 中的专题报告 ......................................................................................... 470

FortiAnalyzer 报告计划 ................................................................................. 470

索引 ................................................................................................... 473

引言该指南如何组织


引言

从为小型业务的 FortiGate®-50 系列到大型企业的 FortiGate-5000 系列，服务的提供者与携带者

——FortiGate 系列结合了 FortiOS™安全操作系统与 FortiASIC™处理器和其他硬件设备，提供的高

性能阵列的安全与网络功能包括：

• 防火墙，VPN 和流量调整

• 入侵预防系统(IPS)

• 反病毒软件/反间谍软件/反恶意软件

• 网络过滤

• 反垃圾邮件

• 应用控制(例如 IM 和 P2P)

• VoIP 支持(H.323，SIP 和 SCCP)

• 2/3 层路由

• 多个冗余的广域网接口选择

FortiGate 装置可对网络、内容和网络罪犯喜欢进行复杂攻击的应用程序级别的威胁，提供经济高效

的全面防护，而不会降低网络的可用性和正常运行时间。FortiGate 平台包含成熟网络的特点，如最

大网络运行时间的高性能（主动/主动，主动/被动）和依赖不同安全策略来分离各种网络的虚拟域功

能。

该部分包含以下内容：

• Fortinet 产品

• 在您开始之前

• 该指南如何组织

• 注册您的 Fortinet 产品

• Fortinet 产品终止用户使用权协议

• 客户服务与技术支持

• 培训

• Fortinet 程序说明书

Fortinet 产品

Fortinet 安全网关组合和互补的产品提供 ASIC 加速性能，集成多威胁保护和能持续更新的深层威胁

智能的强大组合功能。这个独一无二的组合在为不同规模的企业，管理服务供应商和电信运营商提供

灵活多变的扩展路径的同时，还保障了其网络、内容以及应用程序的安全。更多关于 Fortinet 系列产

品的信息请点击 www.fortinet.com/products

http://www.fortinet.com/products

在您开始之前引言



在您开始之前

该 FortiGate4.0 MR2 管理指南为系统管理人员提供了 FortiGate™web 管理界面，FortiOS 选项和如

何使用的详细信息。假设您已经在 FortiGate 安装指南的指导下，为您的机器成功安装了 FortiGate

设备。在该阶段：

• 您可以以管理者身份进入 web 管理界面和 CLI

• FortiGate 设备联合入您的网络

• 已配置操作模式

• 已经设置系统时间，DNS 设置，管理员密码和网络接口

• 固件，FortiGuard 反病毒软件和 FortiGuard 反垃圾邮件软件更新完毕。

在基本安装完成后，你可以使用该文档。它解释了如何使用 web 管理界面来实现：

• 维护 FortiGate 设备，包括如何备份

• 重新配置在安装时已经设置的参数

• 配置高级功能

该指南还包含一些关于 FortiGate 命令行界面（CLI）的信息，但并不包含所有命令。更多关于 CLI

的信息，请参阅―FortiGateCLI 参考书‖。

该书为管理员编写，并非终端用户。

引言该指南如何组织


该指南如何组织

这部分包含该管理指南结构的简要说明，并提供了每一章的概述。第一章为您提供通篇概述，以帮助

您开始使用产品或学习新知识。在这些章节之后，该指南按照 web 管理界面菜单的顺序叙述了 web管理界面功能，然后以一个详细的目录作总结。

该文档的最新版本可在 FortiGate 技术文件网站页面下载。该文档的信息也可在 FortiGate web 管理

界面在线帮助上下载，只是形式稍有不同。

您可用从同样的 FortiGate 网页和 Fortinet 知识基础中更多的了解 FortiOS 产品信息。

该管理指南包含以下章节： Web 管理界面介绍了 FortiGate web 管理界面的功能，讲解了如何与它相连。它还解释了如

何使用 web 管理界面在线帮助。

系统仪表板讲述了系统状态页面与您的 FortiGate 设备的仪表板。您可以总览当前 FortiGate设备系统状态，包含序列号、运行时间、FortiGuard 许可证信息、系统资源利用率、警报信

息和网络统计。您还可以从该页面进入 CLI。该部分还讲述了您可以进行的状态更改，包括

改变设备固件、主机名和系统时间。最后，该部分介绍了除含号码 50 与 60 外，其他所有

FortiGate 型号均带有的布局查看器。固件管理惯例描述升级和管理固件版本。您在升级自己的 FortiGate 固件之前，应当查看该

部分，因为它包含了如何备份当前系统设置于升级失败后如何做的重要信息。使用虚拟域讲述了当有多个虚拟 FortiGate 设备时，如何使用 VDOM 来操作您的 FortiGate

设备，这些虚拟设备为多元网络有效地提供了多个单独的防火墙和路由服务。

系统网络解释了如何在 FortiGate 设备设置物理和虚拟接口以及 DNS 参数。系统 DHCP 服务器解释了如何设置服务器或 DHCP 中继代理。

系统配置包含设置 HA 和虚拟群集，SNMP 和替代消息，以及改变操作模式的步骤。

系统管理引导您使用 FortiGuard 管理服务或 FortiManager 来添加和编辑管理员账户，定义管理员档案和设置核心管理方式，并定义诸如语言、工作时间和网络管理接口的基本管理设

置。系统证书讲述如何操作各种各样 FortiGate 功能的 X.509 安全证书，诸如 IPSec、VPN 和管

理员身份认证。

系统维护详细叙述了如何利用一台管理电脑或 USB 进行备份和储存系统设置，版本控制，提供 FortiGuard 服务与 FortiGuard 分配网络（FDN）更新以及添加许可密钥来增加虚拟域最大数目。

静态路由讲述了如何定义静态路由与创建路由协议。静态路由使得包被传送到确定地址而不

是出厂默认的网关。

动态路由向您介绍了动态路由菜单，包括在动态菜单中的可用菜单和设置。

路由管理讲述了如何翻译路由管理列表。该列表展示了 FortiGate 路由表的条目。

防火墙讲述了防火墙菜单。

UTM 向您讲述了 UTM 菜单，包含反病毒、数据泄露保护和网络过滤。

IPSec VPN 向您介绍了 IPSec VPN 菜单，包含菜单中可获取的菜单和设置信息。 PPTP VPN 讲述如何利用 web 管理界面来为 PPTP 用户定义一系列 IP 地址。

SSL VPN 向您介绍了 SSL VPN 菜单，并提供基本 SSL VPN 设置信息。

用户讲述了如何通过用户认证方式控制网络资源的接入。

WAN 优化与 web 缓存向您介绍了 WAN 优化与 web 缓存菜单，该菜单为您在 WAN 或因特

网上，提高性能与不同位置间的流量安全提供设定。终端介绍了如何在您的网络上使用 FortiGate 终端 NAC 来强制执行 FortiClient 终端安全（企

业版本）。

无线控制器描述了如何设置 FortiGate 设备参数，使它实现无线控制器功能，管理 FortiWiFi

设备的无线访问接入点（AP）性能。

日志和报告向您介绍日志和报告菜单，它包含了报告与日志信息。

文档约定引言



文档约定

net 技术说明书采用如下约定：

IP 地址

为了避免 Fortinet 或其他组织的 IP 地址被公布，Fortinet 技术说明书采用的 IP 地址为虚构的，

并且严格按照该说明书的指导。所使用的地址来自于 RFC1918 定义的为私有网络分配的私有 IP

地址，可在 http://ietf.org/rfc/rfc1918.txt?number-1918 获得。

警告、注释与建议

Fortinet 技术说明书为警告，注释和建议采用如下指示与风格。

警告: 警告您可能获得意外的或者丢失数据，损坏设备等不好后果的命令或进程。

注释：显示有用信息，通常集中于执行某一步时存在供替代的，可选择的捷径。

建议：强调有用的附加信息，经常在工作界面中显示。

排版约定

Fortinet 说明书采用如下排版约定：

http://ietf.org/rfc/rfc1918.txt?number-1918

引言文档约定


表 1: Fortinet 技术说明书中的排版约定

*

命令语法的约定，请参阅第 19 页的“CLI 命令语法”。

CLI 命令语法

当在 CLI 中输入命令时，该指南采用下述约定叙述语法。

括号等用来指出句法中的有效排列。强制标号，如等，表明什么样类型的数据或

字符串是可接受的有效输入。

更多信息，请参阅―FortiGate CLI 参考‖。

表格 2: 命令语法符号

约定描述

方括号 [ ] 一个或一系列不要求的词汇。例如：

[verbose {1 | 2 | 3}]

表明您可以省略或输入 verbose 单词或它的数值。如

verbose3。

约定示例

按钮、菜单、文本框,

字段或复选框标签

从最小的日志，选择通知。

CLI 输入* Config system dns

set primary

end end CLI 输出 FGT-602803030703 # get system settings

comments : (null)

opmode : nat opmode : nat 重点 HTTP 连接并不安全，可能被第三方拦截。

文件内容 Firewall

Authentication

You must authenticate to use this

service.

超级链接访问 Fortinet 技术支持网站 https://support.fortinet.com。

键盘输入为远程 VPN 或用户端输入名称，如 Central-office-1。

导航进入 VPN > IPSEC > Auto Key (IKE).

刊物更多信息请参考 FortiGate 管理指南。

注释: 该链接与最新版本相连。要获得较早版本，请访问

http://docs.fortinet.com/。该链接在文档每页底部均有。

https://support.fortinet.com/http://docs.fortinet.com/

文档约定引言



角括号 < > 数据类型约束的单词。

定义有效输入，角括号内包含一个描述性名称，后面跟随一

下划线（_）和表明数据类型的后缀。例如：

表明你应当为 retries 输入数字，如 5。

数据类型包括：

• ：映射到该参数其他部分的名称，如

policy_A。

• ：映射到该参数其他部分的索引数，如 0 代

表第一个静态路由。

• ：与可能出现变动的通配符匹配的短语

或单词，如*@example.com 来匹配所有邮箱地址的后缀

@example.com。

• ：一个完全合格的域名（FQDN），如

mail.example.com。

• ：邮箱地址，如管理@mail.example.com。

• ：统一资源定位符（URL）和相关协议及主机

名前缀，它们一起形成通用资源标志符（URI），如

http://www.fortinet.com/。

• ：一个 IPv4 地址，如 192.168.1.99。

• ：点分十进制 Ipv4 网络掩码，如

255.255.255.0

• ：一个带小数点的十进制 IPv4 地址与

用空格分开的网络掩码，如 192.168.1.99 255.255.255.0。

• ：一个带小数点的十进制 IPv4 地址和

用―/‖分开的 CIDR-标记的掩码，如 192.168.1.99/24。

• ：一个 IPv6 地址。

• ：一个带小数点的十进制 IPv6 掩码。

• ：Ipv6 地址和由空格分开的网络掩码

• ：字符串不是数据类型，如 P@ssw0rd。包含

空格或特殊字符的字符串必须括在引号中或使用转义序列。

CLI 参考文献。

• ：整数，如 15。

大括号 { } 由竖线或空格限制的一个或一系列单词。您必须至少输入一

个选项，除非该选项被括在方括号[ ]中。由垂直竖线|分开

的选项互相排斥的选项。如：

{enable | disable}

表示你必须输入 enable 或 disable，但不能同时输入。

http://www.fortinet.com/

引言文档约定


由空格分开的选

项相容选项。例如：

{http https ping snmp ssh telnet}

表明你可以以任何顺序输入全部选项，或这些选项的子集，

为用空格分开的列表，如：

ping https ssh

注意：想要改变选项时，你必须重新输入整个列表，如将 snmp

添加到前一个例子中去，你应输入：

ping https snmp ssh

如果在现有选项的基础上，添加选项或删减选项，而不是替

代它，或者如果列表是使用逗号隔开的，那么应特别注意这

些特例

注册您的 Fortinet 产品

在您开始设置参数前，应当先在 Fortinet 技术支持网站 https://support.fortinet.com 上注册您的

Fortinet 产品。很多的 Fortinet 客户服务，如固件升级，技术支持，FortiGuard 反病毒和其他

FortiGuard 服务，都要求进行产品注册。更多信息请参加 Fortinet 基础知识文件―注册常问问题‖。

Fortinet 产品终止用户使用权协议

参见―Fortinet 产品终止用户使用权协议‖。

客户服务与技术支持

Fortinet 技术支持提供的服务是为了保证您在自己的网络上，可以迅速地安装 Fortinet 产品，轻

易地设置产品参数以及可靠地操作产品。

更多关于 Fortinet 提供的技术支持服务的信息，请访问 Fortinet 技术支持网站

https://support.fortinet.com。

通过提供配置文件，网络图表和其他确切信息，您可以显著地节约技术支持解决您问题的时间。

更多关于要求提供的清单信息，请参阅 Fortinet 基础知识文档―FortiGate 故障解决指南-技术支持

要求‖。

https://support.fortinet.com/https://support.fortinet.com/

注册您的 Fortinet 新产品引言



培训

Fortinet 培训服务为我们客户与合作者的需求提供了各种各样的培训项目。请访问 Fortinet 培训

服务网址 http://campus.training.fortinet.com，或者发邮件至 mailto:[email protected]。

Fortinet 说明书

Fortinet 技术说明网址 http://docs.fortinet.com，它提供最新版的 Fortinet 发行物以及附加的类

似技术注释的技术手册。除了 Fortinet 技术说明网站，您还可以在 Fortinet 工具与说明书 CD 与

Fortinet 基础知识中找到 Fortinet 技术说明。

工具与说明书 CD

您可以在随产品运动的 CD 上找到找到关于产品的说明书。CD 上的文件正在运送中。要获得最

新版本的 Fortinet 说明，请访问 Fortinet 技术说明网站 http://docs.fortinet.com。

Fortinet 基础知识

Fortinet 基础知识提供了一些其他的 Fortinet 技术说明，如故障解决和指导文章、范例、FAQs、

技术注释、词汇表等。访问网址 http://kb.fortinet.com。

Fortinet 技术说明注释

请将关于技术说明文档中的错误或遗漏发送至 [email protected]。

http://campus.training.fortinet.com/mailto:[email protected]://docs.fortinet.com/http://docs.fortinet.com/

基于 Web 管理界面 Web 管理界面页面


基于 web 管理界面

这部分描述了您的 FortiGate 设备中用户友好型 web 管理界面管理界面（有时是图形化界面）。

在管理电脑的浏览器上使用 HTTP 或安全的 HTTPS 连接，您就可以与 FortiGate web 管理界面

相连来配置或管理 FortiGate 设备。管理计算机推荐的最小屏幕分辨率为 1280x1024。Web 管理

界面的一些功能只能在最新版最常用的浏览器上显示。带有 web 管理界面的旧版浏览器有时可能

不能正常工作。

对于 HTTP 和 HTTPS web 管理，您可以从任何 FortiGate 界面配置 FortiGate 设备。要与 web

管理界面相连，您需要有一个管理员账户跟密码。Web 管理界面支持多种语言，但是默认语言为

英语。

您可以进入系统>面板> 状态来查看您的 FortiGate 设备状态的详细信息。仪表板展示了诸如当前

FortiOS 固件版本，反病毒和 IPS 定义版本，操作模式，连接界面和系统资源等信息。它还显示

FortiGate 设备是否与 FortiAnalyzer 设备或其他核心管理服务相连。

您可以使用 web 管理界面菜单、列表和配置页面来配置大多数 FortiGate 设置。采用 web 管理界

面修改的配置参数可以立即生效，而不用重置 FortiGate 设备或终止服务。您可以采用在按钮条

里的备份配置按钮随时备份您的配置。按钮条位于 web 管理界面右上方角落里。保存的配置随时

可以恢复。

Web 管理界面还包含详细的上下文相关的在线帮助。在按钮条上选择在线帮助以显示当前 web

管理界面在线帮助页面。

您可以使用 FortiGate 命令行界面（CLI）来配置 FortiGate，该设置你也可以从 web 管理界面与

命令行界面（CLI）中进行配置。系统仪表板提供了到 CLI 控制平台的方便入口，您可以使用到

但无须退出 web 管理界面。

该部分包含如下主题：

web 管理界面页面

常用 web 管理界面任务

使用 FortiGate 在线帮助

web 管理界面页面

Web 管理界面页面包含主菜单、菜单和子菜单。索引如下所示：

系统 > 仪表板 > 仪表板或 UTM > 反病毒 > 概况。

Web 管理界面页面基于 Web 管理界面



当你转到如 UTM > 反病毒 > 概况,时，页面上显示的信息为菜单页面，如配置文件页面。一个

菜单的页面包含必要的配置环境的图标语显示信息。在图 1 中显示了状态页面，该页面顶端为窗

口图标和仪表板图标，以及系统主菜单下的菜单。图 1 中未显示的一个主菜单为当前 VDOM 主

菜单，它只有在 VDOM 启动时才会显示，请参阅第 33 页的―切换 VDOMs‖。

图 1: web 管理界面界面的解释

这个主题包含如下内容：

web 管理界面主菜单

使用 web 管理界面列表

在 web 管理界面列表中增加过滤器

在 web 管理界面列表中使用页面控制

使用控制列显示的列设置

使用带有列设置的过滤器



Web 管理界面主菜单

Web 管理界面界面上主菜单提供 FortiGate 所有主要特性的配置路径（看 24 页图 1）。Web 管理

界面包含如下主菜单：

系统配置系统环境，如网络接口，虚拟域，DHCP 服务，管理员，证书，高效（HA），

系统时间和系统配置。

路由配置 FortiGate 静态和动态路由并查看路由检测器。

防火墙配置防火墙网络保护性能规则，并配置虚拟 IP 地址与地址组。

UTM 配置反病毒和反垃圾邮件保护，网络过滤，入侵保护，数据丢失防护和应用控

制。

VPN 配置 IPSec 和 SSL 虚拟私有网络。PPTP 在 CLI 中进行配置。

用户配置带有要求用户认证的防火墙的用户使用账户。配置外部认证服务器，例如

RADIUS，LDAP，TACACS+和窗口 AD。配置对火墙，IPSec，SSL，IM 和

被禁止用户的检测。

终端配置终端，查看 FortiClient 配置信息以及配置软件检测法。

WAN 优化与缓存配置一个 FortiGate 设备成为无线网络控制器，管理 FortiWiFi 设备无线接入端

（AP）性能。

日志与报告配置日志与警告邮件。查看日志消息与报告。

当前 VDOM，只有当 VDOM 启动时才会在 FortiGate 设备中出现。允许您迅

速的变换 VDOM。要在不同的 VDOM 间切换，您只需从当前 VDOM 旁边的下

拉列表中选择一个新的 VDOM。




使用 web 管理界面列表

许多 web 管理界面界面包含列表。其中包含网络接口列表，防火墙协议列表，管理员列表，用户

列表和其他列表。如果您以管理员身份登录，而该身份允许对列表进行读写操作，那么您通常可

以进行：

在列表中选择创建新的项目。

修改页面上列表中的项目。

从列表中删除项目。若该项不能被删除，则删除图表将不会显示。通常添加到其他配置中

的项目无法删除，为了删除该项目，您必须从其他配置中找到它并将它删除。例如，要删

除已经添加到用户组中的一个用户账号，您必须首先从用户组中删除该用户。

如果您以允许读写操作的管理员身份登录，您可以查看列表中的项目。

更多信息请参阅 173 页―管理概述‖。



在 web 管理界面列表中增加过滤器

您可以添加过滤器来控制 web 管理界面中显示的复杂列表的信息。请看如下 web 管理界面页面

列表示例：

内容列表（查看 57 页―查看当前列表‖）

防火墙协议和 IPv6 规则列表（查看 261 页―规则‖，271 页―DoS 规则‖和 273 页―预测规则‖）

预定义的入侵保护列表（查看 313 页―预定义‖）

防火墙用户监测列表（查看 400 页―防火墙用户检测列表‖）

IPSec VPN 监测（产看 364 页―VPN 监测‖）

已知终端 NAC 列表（查看 409 页―终端监测‖）

日志和报告存取列表（查看 429 页―存取和查看日志信息‖）

过滤器可以有效地减少列表中显示的条目数量，因此，您可以集中于对您重要的信息。

例如，您可以进入系统 > 面板 > 状态，在统计部分中，选择详细信息来查看 FortiGate 设备当

前进程的通信情况。一个繁忙的 FortiGate 设备可以处理成百上千的进程。您可以添加过滤器使

得找到某个特殊部分更容易。例如，您可能正在寻找所有的通讯部分，在防火墙协议允许的条件

下，您可以添加一个规则 ID 过滤器来只显示该 ID 或该系列 ID 的部分。

您可以通过在编辑滤波器窗口中选择过滤器图标来向 web 管理界面添加过滤器。从编辑滤波器窗

口，您可以选择任意栏来进行过滤，并为该栏配置该过滤器。您也可以同时为一栏或多栏添加过

滤器。过滤器图标在未过滤的栏中显示为灰色，过滤后的栏中显示为绿色。

在关闭 web 管理界面页面甚至退出 web 管理界面或重装 FortiGate 设备后，过滤器配置仍然保留

着。

根据每个栏中显示的信息类型不同，存在不同风格的过滤器。在所有的情形中，您可以通过设定

过滤什么，是否显示与过滤器吻合的信息，和是否不显示与滤波器不匹配的信息来配置过滤器。

在防火墙协议，IPv6 规则，预定义签名和日志报告存取列表中，您可以结合过滤器与栏设置来提

供对列表显示信息的更多控制。更多信息请查看 29 页―应用有栏设置的过滤器‖。

注释:过滤器设置存储在 FortiGAte 配置中，且您下次登录时将会保留在添加过滤器的列表中。

包含数字栏的滤波器

如果某栏包含数字（如 IP 地址，防火墙协议 ID 或界面号），您可以通过一个单一的数字或一连

串数字进行过滤。例如，您可以配置一个源地址栏来显示某个单一 IP 地址或某系列 IP 地址的条

目。为了指定某个系列，在起始与终止值用连字符分开，如 25-50。




要查看部分列表，进入系统 >面板 > 状态。在会话旁边的统计部分中，选择详细信息。

包含文本串的滤波器

如果某栏包含文本串（例如名字和日志信息），您可以通过文本串进行过滤。您还可以过滤与文

本串严格相符的信息，包含文本串的信息或者不包含文本串的信息。您还可以指定是否区分大小

写。该文本串可以空的或者很长。该文本串还可以包含特殊符号如等。然而，过滤器会忽

略）。

仅包含特殊条目的栏过滤器

对那些仅包含特殊条目的栏（例如日志安全信息或预定义的签名行为），您可以从列表中选择单

个条目。在这种情形下，您只可以过滤该单一的选择的条目。

常用过滤器

还有其他常用过滤器。您可以根据时间和日期过滤日志信息。您还可以使用等级过滤器来显示不

同安全级别的日志信息。

图 2:一个用来显示所有包含警报、批评、错误或警告日志信息的日志过滤器

在 web 管理界面列表中使用页面控制

Web 管理界面包含页面控制，使得查看包含比一个正常浏览器窗口能显示的条目更多的列表变得

更容易。包含页面控制的 Web 管理界面页面包括：

会话列表（查看 57 页的―查看当前会话列表‖）

路由监测器（查看 257 页―路由监测器‖）


FortiGate 安全信息平台版本 4.0 MR2 管理手册电话：01-420-89802-20100507 29 网址：http://docs.

管理手册 - fortinet...fortigate 版本4.0 mr2 管理手册 本文件在2010 年6...

Documents

管理手册 - fortinet...fortigate 版本4.0 mr2 管理手册本文件在2010 年6...