fortios升级说明手册 -...

FortiOS升级说明手册

Version 3.0 MR6

www.fortinet.com

http://www.fortinet.com/�

目录

FortiOS升级说明手册......................................................................................................................1 目录 ..................................................................................................................................................2 介绍 ................................................................................................................................................11

关于本手册.............................................................................................................................11 Fortinet公司技术文档 ............................................................................................................11

技术文档CD ...................................................................................................................11 Fortinet 知识库 ..............................................................................................................12 Fortinet 技术文档的建议与意见 ..................................................................................12

客户服务与技术支持.............................................................................................................12 设备注册.................................................................................................................................12

FortiOS 3.0MR6 功能增强与更改.................................................................................................13 新增功能与功能更改概览.....................................................................................................13 新增功能与更改功能.............................................................................................................15

FortiOS Carrier3.0MR4 ..................................................................................................15 从MMS信息中删除屏蔽内容................................................................................15 动态内容表扩展.....................................................................................................16 对MM1 信息重获扫描的控制...............................................................................17 GTP-U通道内的IPS检测 .......................................................................................17

FortiOS Carrier3.0 MR3 .................................................................................................17 MMS大宗垃圾邮件检测 .......................................................................................17 MMS通知时间 .......................................................................................................18 基于MSISDN的IP过滤与日志记录 ......................................................................18 SIP功能的加强 .......................................................................................................18 多协议标签交换（MPLS）IPS流量检测.............................................................19

CLI命令更改 ..................................................................................................................20 FortiGate-60B与FortiWiFi-60B设备的PC卡 .................................................................20 Modem冗余支持 ............................................................................................................20 系统设置.........................................................................................................................21

系统面板.................................................................................................................21 接口栏设置.............................................................................................................23 只读超级管理员（read_only super_admin）的访问内容设置 ...........................24 软交换接口模式.....................................................................................................24 基于web的管理器中支持IPv6...............................................................................24 管理证书.................................................................................................................25 FortiGuard-FortiManager协议................................................................................25 FortiGuard分析与管理服务 ...................................................................................25

AMC硬盘 .......................................................................................................................26 AMC模块支持........................................................................................................27

端口转发虚拟IP的SSL卸载 ..........................................................................................27 虚拟域（VDOM） ........................................................................................................28

基于web的管理器中VDOM配置的增强 ..............................................................28 防火墙.............................................................................................................................29

在策略中设置多项验证.........................................................................................29 基于验证的路由.....................................................................................................29 端口转发虚拟IP中的HTTP多路技术 ...................................................................29 对虚拟IP添加HTTP多路技术 ...............................................................................30 对服务器负载平衡设置监控度查看监控 .............................................................30 媒体网关控制协议（MGCP：Media Gateway Control Protocol）预定义服务.30

VPN.................................................................................................................................31 IPSec默认网关配置 ...............................................................................................31 SSL VPN功能加强 .................................................................................................31

用户.................................................................................................................................32 TACACS+支持 .......................................................................................................32 FSAE功能的加强 ...................................................................................................32

反病毒.............................................................................................................................33 多个反病毒数据库.................................................................................................33 反病毒文件过滤器.................................................................................................33

入侵保护.........................................................................................................................34 IPS传感器 ...............................................................................................................34 DoS传感器..............................................................................................................36

IM，P2P与VoIP .............................................................................................................37 在FortiGate设备中配置接口作为PPTP客户端.....................................................37 基于HTTP代理控制MSN ......................................................................................38

日志与报告.....................................................................................................................38 远程日志记录.........................................................................................................38 特征与异常的日志记录.........................................................................................38 日志信息更改.........................................................................................................38 内容存档.................................................................................................................39 报告.........................................................................................................................39

两台FortiGate单机设备之间的TCP会话同步 ..............................................................39 配置会话同步.........................................................................................................40

SNMP MIB .....................................................................................................................40 高可用性（HA：High Availability） ...........................................................................41

设置无故数据包的发送间隔 .................................................................................41 HA远程IP监控 .......................................................................................................41 配置HA远程IP监控 ...............................................................................................42

公知信息.................................................................................................................................43 FortiOS 3.0MR5 功能增强与更改.................................................................................................44

新增功能与功能更改概览.....................................................................................................44 新增功能与更改功能.............................................................................................................45

FortiGate-224B设备 .......................................................................................................45 FortiGate-60B与FortiWiFi-60B......................................................................................46 AMC模块 .......................................................................................................................46 基于web的管理器 ..........................................................................................................46

系统设置.........................................................................................................................47 系统面板.................................................................................................................47 管理员设置.............................................................................................................48 DDNS所解决的问题 ..............................................................................................48 DHCP地址租用 ......................................................................................................49 PKI功能的加强 ......................................................................................................49 接口别名设置.........................................................................................................49 维护.........................................................................................................................49 SNMP......................................................................................................................49 FortiGuard管理服务 ...............................................................................................50

FortiManger连接更改 ....................................................................................................51 VDOM ............................................................................................................................51 路由.................................................................................................................................51 CLI命令更改 ..................................................................................................................51 FortiUSB密钥 .................................................................................................................52 防火墙.............................................................................................................................52 VPN.................................................................................................................................53

IPv6 IPSec...............................................................................................................53 用户.................................................................................................................................54 垃圾邮件过滤.................................................................................................................54 日志与报告.....................................................................................................................55

日志信息修改.........................................................................................................55 使用本地硬盘上传日志文件 .................................................................................55 FortiAnalyzer设备许可证信息显示 ......................................................................55 报告的更改.............................................................................................................55 报警邮件.................................................................................................................56 FortiGuard分析服务 ...............................................................................................56

公知信息.................................................................................................................................56 系统设置.........................................................................................................................56 即时消息（IM）............................................................................................................57 P2P ..................................................................................................................................57 日志与报告.....................................................................................................................57 HA（高可用性） ...........................................................................................................57

FortiOS 3.0MR4 功能增强与更改.................................................................................................58 新增功能与功能更改.............................................................................................................58

系统设置.........................................................................................................................58 网络接口.................................................................................................................59 访问控制列表.........................................................................................................60 拓扑结构.................................................................................................................60 多个DHCP服务器的IP-MAC绑定 ........................................................................61 硬盘健康状态监控（HDD） ................................................................................62 命令行接口.............................................................................................................62 FortiGuard-web过滤与反垃圾邮件服务 ...............................................................62 VDOM ....................................................................................................................63

路由.................................................................................................................................63 防火墙.............................................................................................................................63

策略.........................................................................................................................64 VPN.........................................................................................................................64

入侵防护.........................................................................................................................65 Web过滤 .........................................................................................................................66 IM、P2P与VoIP .............................................................................................................66 日志与报告.....................................................................................................................66

报告配置.................................................................................................................67 高可用性（HA） ...........................................................................................................67

公知信息.................................................................................................................................68 基于web的管理器 ..........................................................................................................68 系统设置.........................................................................................................................68 虚拟域.............................................................................................................................68 高可用性（HA） ...........................................................................................................69 防火墙.............................................................................................................................69 VPN.................................................................................................................................69 反病毒.............................................................................................................................69 IPS...................................................................................................................................70 Web过滤 .........................................................................................................................70 即时消息（IM）............................................................................................................70 P2P ..................................................................................................................................71 日志与报告.....................................................................................................................71

FortiOS 3.0MR3 功能增强与更改.................................................................................................72 新增功能与功能更改.............................................................................................................72

FortiOS3.0MR3 中CLI操作的更改 ...............................................................................73 系统设置.........................................................................................................................73

CLI控制台 ..............................................................................................................75 在FortiOS 3.0MR3 中创建列表.............................................................................76 FortiGate-5050 与FortiGate-5140 设备的机架管理..............................................76

防火墙.............................................................................................................................76 策略.........................................................................................................................77 内容保护列表.........................................................................................................78 FortiClient检测防火墙策略 ...................................................................................78 RADIUS..................................................................................................................78

VPN.................................................................................................................................79 SSL-VPN ................................................................................................................79

反病毒.............................................................................................................................79 反垃圾邮件.....................................................................................................................80 IM/P2P ............................................................................................................................80 日志与报告.....................................................................................................................80

内容存档.................................................................................................................80 HA...................................................................................................................................80

公知信息.................................................................................................................................81

基于web的管理器 ..........................................................................................................81 虚拟域.............................................................................................................................81 路由.................................................................................................................................81 防火墙.............................................................................................................................81 即时消息.........................................................................................................................82 P2P ..................................................................................................................................83 IPS...................................................................................................................................83 日志与报告.....................................................................................................................83 解决方法.........................................................................................................................84

FortiOS 3.0 MR2 功能增强与更改................................................................................................85 升级说明.................................................................................................................................85

LCD显示更改.................................................................................................................85 FortiGuard状态显示图标 ...............................................................................................86 FortiUSB支持 .................................................................................................................86 常规升级说明.................................................................................................................86 新增功能与功能的更改.................................................................................................87 系统设置.........................................................................................................................87 路由.................................................................................................................................88 防火墙.............................................................................................................................89 VPN.................................................................................................................................90 用户.................................................................................................................................90 Web过滤 .........................................................................................................................90 日志与报告.....................................................................................................................90

报告配置.................................................................................................................91 报告访问.................................................................................................................91

HA...................................................................................................................................91 SNMP MIB与陷阱更改 .................................................................................................91

公知信息.................................................................................................................................91 基于web的管理器 ..........................................................................................................91 系统设置.........................................................................................................................92 系统设置（FortiWiFi-60A/AM） .................................................................................92 防火墙.............................................................................................................................93 高可用性（HA） ...........................................................................................................93 VPN.................................................................................................................................93 即时信息与P2P ..............................................................................................................94 IPS...................................................................................................................................94 Web过滤 .........................................................................................................................94 虚拟域.............................................................................................................................94 反垃圾邮件.....................................................................................................................95 日志与报告.....................................................................................................................95

升级说明.........................................................................................................................................96 配置文件备份.........................................................................................................................96 安装向导.................................................................................................................................96 FortiLog设备名称的更改 ......................................................................................................96

LCD显示信息更改.................................................................................................................96 基于web管理器更改 ..............................................................................................................97 基于web管理器的功能变化 ..................................................................................................98 CLI命令的更改 ......................................................................................................................98 FortiUSB支持 .........................................................................................................................98 公知信息.................................................................................................................................99

系统设置.........................................................................................................................99 防火墙...........................................................................................................................101 高可用性（HA） .........................................................................................................101 反病毒...........................................................................................................................102 反垃圾邮件...................................................................................................................102 VPN...............................................................................................................................102 即时消息通信...............................................................................................................103 P2P ................................................................................................................................104 网页过滤.......................................................................................................................104 FortiFuard web过滤 ......................................................................................................105 虚拟域...........................................................................................................................105 日志与报告...................................................................................................................105

FortiOS 3.0 新增功能与功能的更改 ...........................................................................................106 系统设置...............................................................................................................................106

状态...............................................................................................................................106 会话...............................................................................................................................107 网络...............................................................................................................................107 配置...............................................................................................................................107 管理员...........................................................................................................................107 维护...............................................................................................................................107 虚拟域...........................................................................................................................109 路由表...........................................................................................................................109

静态路由...............................................................................................................110 动态路由...............................................................................................................110 监控器...................................................................................................................110

防火墙...........................................................................................................................110 策略....................................................................................................................... 111 地址....................................................................................................................... 111 服务....................................................................................................................... 111 虚拟IP................................................................................................................... 111 内容保护列表....................................................................................................... 111

VPN............................................................................................................................... 111 IPSec.....................................................................................................................112 SSL.........................................................................................................................112 证书.......................................................................................................................112

用户...............................................................................................................................112 LDAP ....................................................................................................................112 Windows AD.........................................................................................................113

用户组...................................................................................................................113 反病毒防护...................................................................................................................113

文件模式...............................................................................................................113 隔离.......................................................................................................................113 配置.......................................................................................................................114

入侵防护（IPS） .........................................................................................................114 特征.......................................................................................................................114 异常.......................................................................................................................114 协议解码器...........................................................................................................114

Web过滤 .......................................................................................................................115 内容屏蔽...............................................................................................................115 URL过滤...............................................................................................................115 Web过滤 ...............................................................................................................115

反垃圾邮件（之前名为“垃圾邮件过滤”） .............................................................115 禁忌词汇...............................................................................................................116 黑/白名单.............................................................................................................116

IM/P2P ..........................................................................................................................117 统计表...................................................................................................................117 用户.......................................................................................................................117

日志与报告...................................................................................................................117 日志配置...............................................................................................................118 日志访问...............................................................................................................118 报告.......................................................................................................................119

HA.................................................................................................................................119 升级HA群集 .........................................................................................................119

SNMP MIB与陷阱 .......................................................................................................120 SNMP陷阱............................................................................................................120 MIB文件名称 .......................................................................................................120

管理固件版本...............................................................................................................................121 备份配置...............................................................................................................................121

使用基于web的管理器备份配置 ................................................................................121 使用CLI备份配置文件 ................................................................................................122

升级FortiGate设备 ...............................................................................................................122 升级到FortiOS3.0.........................................................................................................122

使用基于web的管理器升级 ................................................................................122 使用CLI升级 ........................................................................................................123 校验升级...............................................................................................................124

返回到FortiOS2.80MR11.....................................................................................................124 备份FortiOS3.0 配置....................................................................................................124

将配置备份到PC..................................................................................................124 备份到FortiUSB Key............................................................................................125

使用基于web的管理器恢复到FortiOS2.80MR11 ......................................................125 使用基于web的管理器恢复到FortiOS2.80MR11 ..............................................125

校验恢复.......................................................................................................................126

使用CLI恢复到FortiOS2.80MR11 ..............................................................................126 使用CLI恢复到FortiOS2.80MR11 ......................................................................126

恢复配置...............................................................................................................................127 使用基于web的管理器恢复配置设置 ........................................................................127

从FortiOS3.0MR1 升级到FortiOS3.0MR2..........................................................................128 备份配置.......................................................................................................................128

使用基于web的管理器备份当前配置 ................................................................128 使用CLI备份当前配置 ........................................................................................128 使用FortiUSB Key备份当前配置文件................................................................129

升级到FortiOS3.0MR2.................................................................................................129 使用基于web的管理器升级 ................................................................................129 使用CLI升级 ........................................................................................................129

恢复到FortiOS3.0MR1.........................................................................................................130 备份配置.......................................................................................................................130

将FortiOS3.0MR2 的配置文件备份到PC...........................................................131 将当前配置备份到FortiUSB Key........................................................................131

恢复到FortiOS3.0MR1.................................................................................................131 使用基于web的管理器恢复到FortiOS3.0 MR1 .................................................131 使用CLI恢复到FortiOS3.0MR1 ..........................................................................131

恢复FortiOS3.0MR1 配置............................................................................................132 使用基于web的管理器恢复配置设置 ................................................................132 使用CLI恢复FortiOS 3.0MR1 的配置设置 ........................................................133 使用FortiUSB恢复设置 .......................................................................................133

有关FortiOS2.80MR11 的升级............................................................................................134 从FortiOS2.80MR11 升级到FortiOS 3.0MR1.............................................................134

IPS组 .....................................................................................................................134 VPN防火墙策略...................................................................................................134 PING发生器 .........................................................................................................134 未被使用的IPSec VPN.........................................................................................135 FortiGuard web过滤替代信息字符串 .................................................................135 Web过滤与垃圾邮件过滤列表............................................................................135 Active X, Cookie, 与Java Apple过滤 ..................................................................135 没有配置“设备设置”的静态路由 ...................................................................135

有关从FortiOS2.80MR11 升级到FortiOS 3.0MR2.............................................................136 日志过滤更改...............................................................................................................136 VDOM许可 ..................................................................................................................136 VDOM配置中IPSec手工密钥 .....................................................................................136 报警邮件替代信息.......................................................................................................136 报警邮件过滤...............................................................................................................137 区域中的防火墙策略...................................................................................................137

有关从FortiOS2.80MR11 升级到FortiOS3.0MR4..............................................................137 管理用户.......................................................................................................................137 策略路由.......................................................................................................................137 WLAN接口下的VLAN................................................................................................137

日志硬盘设置...............................................................................................................137 IPSec DPD设置 ............................................................................................................138 IPSec VIP......................................................................................................................138 IPS预定义特征 .............................................................................................................138

有关从FortiOS2.80MR11 升级到FortiOS3.0MR5..............................................................138 有关从FortiOS2.80MR11 升级到FortiOS3.0MR6..............................................................139 有关FortiOS3.0 升级............................................................................................................139

有关升级到FortiOS3.0MR2.........................................................................................139 有关FortiOS3.0MR3 升级............................................................................................140 有关FortiOS3.0MR4 升级............................................................................................140 有关FortiOS3.0MR5 升级............................................................................................140

FortiGuard分析服务 .............................................................................................140 FortiGate-50B固件升级（从FortiOS3.0 MR3 升级）........................................140 FortiGate-50B固件升级（从FortiOS3.0 MR4 升级）........................................141 FortiGate-50B固件升级 .......................................................................................141 FortiGate-60 与FortiWiFi-60B固件升级 .............................................................141 VPN PPTP非防火墙用户组.................................................................................141 DDNS服务器 ........................................................................................................142 防火墙IP池 ...........................................................................................................142 Web活动报告 .......................................................................................................142 用户对等...............................................................................................................142 反病毒文件模式...................................................................................................142

有关FortiOS3.0MR6 升级............................................................................................142 FortiManager设备与配置.....................................................................................143 FortiGate-50B升级 ...............................................................................................143 FortiWiFi-50B升级 ...............................................................................................143 FortiGate-60 与FortiWiFi-60B固件升级 .............................................................143 VPN PPTP非防火墙用户组.................................................................................144 反病毒文件模式有关问题的解决 .......................................................................144 有关IPS的设置更改 .............................................................................................144 IM/P2P ..................................................................................................................144 垃圾邮件过滤.......................................................................................................144 Web过滤 ...............................................................................................................145 用户设置...............................................................................................................145

介绍

FortiNet 公司从没有停止对所开发 FortiGate 设备的操作系统（FortiOS）进

行更强大更优化的维护与更新。FortiOS 3.0 是具有更强的灵活性且持久稳定的操

作系统，对网络提供良好的保护，对网络实现更优质的屏蔽与监控功能。升级手册对 FortiOS3.0 操作系统与升级后可能对当前配置造成的问题进行

了说明；同时包括，升级后新增加的功能，对现有系统功能的改进，便于您了解

升级 FortiOS 版本可能对当前的配置产生的影响。本手册的内容还包括对备份当

前配置以及在 FortiGate 设备中安装 FortiOS3.0 系统。本手册还包括 FortiOS 固件发布信息。

关于本手册

本手册包括以下章节：有关 FortiOS 3.0MR6 ---- FortiOS 3.0MR6 中新增的功能以及功能的更改。有关 FortiOS 3.0MR5 ---- FortiOS 3.0MR5 中新增的功能以及功能的更改。有关 FortiOS 3.0MR4 ---- FortiOS 3.0MR4 中新增的功能以及功能的更改。有关 FortiOS 3.0MR3 ---- FortiOS 3.0MR3 中新增的功能以及功能的更改。有关 FortiOS 3.0MR2 ---- FortiOS 3.0MR2 中新增的功能以及功能的更改。 FortiOS 3.0 功能更改 ---- FortiOS v2.80MR11 更新到 FortiOS 3.0 后的功能更

改。 FortiOS 新增功能与功能的更改 ---- FortiOS 3.0 中的功能更改。管理固件版本 ---- 对如何安装 FortiOS 系统以及将系统恢复到

FortiOS2.80MR11 的操作进行了说明，内容包括有关 FortiOS3.0 系统、如何

备份当前配置设置、升级后重新建立连接以及升级成功后的校验。

Fortinet公司技术文档

有关Fortinet公司产品新的消息发布以及产品手册使用说明，可以访问

Fortinet公司技术支持网站 http://kc.forticare.com.

技术文档 CD

有关Fortinet公司产品新的消息发布以及产品手册使用说明，可以访问

Fortinet 公司技术支持网站 http://kc.forticare.com. 访问

http://docs.forticare.com/fgt5k.html.获得有关FortiGate-5000 系列文档。

http://kc.forticare.com/�

http://kc.forticare.com/�

http://docs.forticare.com/fgt5k.html�

Fortinet 知识库

其它有关 Fortinet 技术手册信息都可以从 Fortinet 公司网站

（www.forttinet.com）中的知识库获得。知识库涉及 fortinet 产品故障排除与解释

说明性的文章，FAQ，技术说明等。 FortiGate 设备日志信息参考只能够从 Fortinet 知识库中获得。日志信息参考

就有关 FortiGate 设备生成的日志信息的结构，以及所生成日志所说明的信息。

Fortinet 技术文档的建议与意见

如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处，欢迎您

将有关信息发送到 [email protected] 。

客户服务与技术支持

Fortinet 技术支持将确保您的Fortinet产品在您设置的网络中能够快速启动，

轻松配置并可靠运行。敬请访问Fortinet技术支持网站 http://support.fortinet.com 获知更多Fortinet公

司提供的技术支持服务。

设备注册

通过 FortiGate 设备注册，您可以接收例如产品更新以及技术支持这样的用

户服务。只有通过产品注册才可以获得 FortiGuard 服务，如反病毒与入侵保护升

级、web 过滤与反垃圾邮件服务。安装新的FortiGate设备后，访问 http://support.fortinet.com并点击“产品注册”，

进行设备注册。输入您的联系方式与所购买的 FortiGate 设备序列号进行注册。您可以在注

册栏中同时注册购买的 FortiGate 系列设备，而无需重复输入联系信息。

http://support.fortinet.com/�

http://support.fortinet.com/�

FortiOS 3.0MR6 功能增强与更改

MR6 对现有的功能作了更改以及增强。功能的更改可能会影响当前的系统

配置；例如，IPS 特征与异常配置不同，且需要在新的菜单栏（IPS 感应器与 DoS感应器）中配置。

MR6 中新增功能包括交换软接口，系统面板中新增四个信息显示接口，以

及基于 web 的管理器对 IPv6 的支持。以下内容是对 MR6 的详细说明：

新增功能与功能更改概览新增功能与更改功能公知信息

有关 FortiOS 3.0 MR6 的新增功能与功能更改的信息，您还可以参见以下的

文档： FortiGate 设备管理与使用手册 FortiGate 设备 CLI 使用参考手册 FortiGate 设备 HA 功能概述

注意：参见 FortiOS 3.0 MR6 发布说明中“已解决问题”章节查看 MR6 相对

之前的版本解决了哪些技术缺陷。 FortiOS 3.0 MR6 可以支持 FortiGate-3810A ， FortiGate-3016B 与

FortiGate-3600A 等新型号。

新增功能与功能更改概览

FortiOS MR6 新增功能与功能更改： FortiOS 加载 3.0MR4 — 相对 FortiOS 加载 3.0MR4，主要的功能变化

是有关 IPS 检测。 FortiOS 加载 3.0MR3 — 相对 FortiOS 加载 3.0MR3，新增加的功能包

括 MMS、基于 MSISDN 的 IP 日志记录与 SIP。 CLI 命令更改 — 增加以及更改了很多 CLI 命令；但是本手册中并没有

罗列出这些命令。 FortiGate-60B 与 FortiWiFi-60B 设备的 PC 卡 — 对于 FortiGate-60B 与

FortiWiFi-60B 设备具有新的可用 PC 卡。 Modem冗余支持 — 带有Modem的 FortiGate设备在故障时可以提供冗

余或备份解决方案。系统面板的新内容 — 系统面板中新增了四项内容信息，分别为会话排

行、病毒排行、攻击排行与流量历史纪录。接口栏目设置 — 查看接口设置时，增加了接口信息显示栏。包括 MAC

地址与接口可访问的设置信息。只读超级管理员 — 新的管理访问列表中提供对具有读与写权限管理

员的只读访问。交换软接口 — 交换软接口提供虚拟接口，能够在两个或多个物理接口

或无线接口之间建立桥接。基于 web 的管理器支持 IPv6 — FortiOS MR6在基于web 的管理器中提

供对 IPv6 的支持。管理证书 — “系统>证书”菜单下，可以管理所有证书。 FortiGuard-FortiManager 协议— FortiOS3.0MR6 提供服务于 FortiGuard

中心与 FortiGate 设备以及 FortiGate 设备与 FortiManager 设备之间通信

的更好的协议。 FortiGuard分析与管理服务 — FortiGuard管理服务与FortiGuard分析服

务合并为FortiGuard分析与管理服务。该服务可用于全部FortiGate设备。 AMC 磁盘功能加强 — 加强了 AMC 模块的几项磁盘功能。 AMC 磁盘支持 — 某些 AMC 磁盘只能被一些型号的 FortiGate 设备所

支持。对 SSL 卸载的 web 支持 — 在端口转发虚拟 IP 中可以配置 web SSL 卸

载。虚拟域（VDOM）功能的加强 — 加强了虚拟域功能，包括对每个 VDOM

设置额外的菜单与默认的接口。防火墙策略中多重验证 — 您可以对一项防火墙策略设置启动多个验

证选项。基于验证的路由 — FortiOS 3.0 MR6 提供 RADIUS 服务器，发送用户

验证信息进行路由判断。端口转发虚拟 IP 中的 HTTP 多路技术 — 您可以在端口转发虚拟 IP 中

添加 HTTP 多路设置，配置允许到 web 服务器的多个用户端连接。对服务器负载平衡设置健康度监控 — 在虚拟 IP 的健康度监控菜单中

设置对服务器负载平衡的健康度监控。媒体网关控制协议（MGCP）预定义服务 — 对防火墙策略配置 MGCP

预先定义服务。 IPSec 默认网关 — IPSec 默认网关在 CLI 中包含两个关键字，可以对

IPSec 接口流出的流量定义默认网关。 SSL VPN 更改 — SSL VPN 更改，包括对 Windows Vista 的支持以及其

性能的提高。终端访问控制器访问控制系统（TACACS+:Terminal access controller

access-control system）— 基于 web 的管理器与 CLI 均支持 TACACS+。 FSAE 增强 — FSAE 包括对活动目录 Native 模式的支持，该模式下可

以获取用户与组信息。基于 web 的管理器中可以使用 LADP 可以显示所

述信息。多个反病毒数据库 — 多个数据库配置确保捕捉更多的病毒。反病毒文件过滤器 — 反病毒文件过滤器替代了反病毒文件模式功能。

该项新功能可以基于文件名称模式与文件类型过滤文件。

入侵防护功能的增强 — 入侵防护菜单配置选项更改，包括如何配置特

征与异常；同时增加了两个新的菜单项，分别为 IPS 感应器与 DoS 感应

器。

PPTP 功能 — FortiGate 设备的一个接口可以配置为 PPTP 用户端，与

PPTP 服务器连接。

基于 HTTP 代理控制 MSN — 您可以配置 MSN 即时通信程序保证

FortiGate 设备能够检测 MSN 流量以及任何其他启动的即时通信程序。

远程日志记录 — FortiAnalyzer 设备与 FortiGuard 分析服务器的配置设

置在日志设置页面中的远程日志配置栏中。

特征与异常日志记录 — FortiOS 3.0 MR6 中特征与异常的配置变化影

响其日志记录。

内容存档 — MR6 中某些协议的内容存档发生了变化。

日志信息更改 — MR6 对日志信息配置作了几点修改。

TCP 会话同步 — TCP 会话同步功能通过同步带有外部负载平衡器的

两台单机 FortiGate 设备以平衡对等设备之间的 TCP 会话负载。该功能

增强了网络性能与会话切换保护。配置 TCP 会话同步 — 对虚拟域配置 TCP 会话同步。无故 ARP 数据包的间隔设置- 使用 CLI 命令中的关键字 arps-interval 配

置 HA 群集中发送无故 ARP 数据包的间隔时间。远程 IP 监控 — HA 群集中，您可以远程监控 IP 地址；远程 IP 地址监

控是通过在 FortiGate 设备接口配置能够测试网络连接性的 Ping 服务器

来实现的。 SNMP MIB — MR6 增添了 MIB 协助在连接到 FortiMananger 时管理

FortiOS 以及其应用程序。

新增功能与更改功能

以下叙述是 MR6 相比较之前版本中新增功能的菜单项、功能的更改或两者兼而

涉及。同时还包括一些 MR6 的具体说明。

FortiOS carrier 3.0MR4

FortiOS Carrier3.0MR4 主要是现有功能的更改，包括动态内容表与 MMS。新增功能体现在 MR6 版本中，在 GTP-U 通道中提供 IPS 检测。

从 MMS 信息中删除屏蔽内容

FortiOS Carrier3.0MR4 中，被屏蔽的内容例如病毒，将从信息中删除，

允许病毒提交并公布，保护网络与终端用户。所屏蔽的内容将以用户定制的替换信息所取代。当接收者获取信息时，

该替换的信息将显示并告诉用户所发生的情况。替换信息栏中可以插入信

息，该信息用于触发内容屏蔽并使全部信息被替换为信息含量更高的信息，

保证原始信息能够完全的被公布。

动态内容表扩展

动态内容表包括 FTP、IMAP、POP3、NNTP、VoIP 与 IM 流量以及 IPS数据包检测。您可以访问“用户>动态内容表”配置使用动态内容表的协议。图 1：“用户>动态内容表”下设置动态内容表

除了 IPS 数据包检测， IM 与 VoIP 流量也没有可设置的抑制时间项。 MSISDN 名称更改为“Endpoint”，同时应用于基于 web 的管理器与 CLI。

名称的更改意味着动态内容表可以使用任何类型的 end-point 标识符。用户

菜单中，建立 MSISDN 更改为建立 Endpoint 项。

对 MM1 信息重获扫描的控制

FortiOS 加载允许您撤消对 MM1 重获信息的扫描。如果您启动对所有

的 MMS 协议进行扫描，信息将在被发送的过程中进行扫描，对重获信息的

扫描可以提高性能。

GTP-U 通道内的 IPS 检测

FortiOS Carrier3.0MR4 中，GTP 通道中可以检测 IP 数据包。例如，如

果在端口 2152 中发现一个数据包且数据包是 GTP-U 格式的，GTP 报头将被

删除，数据包将按照常规数据包进行处理。如果通道中检测到一个攻击，可以配置 IPS 根据特征配置丢弃或通过数

据包且生成攻击条目的日志。

FortiOS Carrier3.0 MR3

FortiOS Carrier3.0 MR3 新增三项功能，其中两项是关于 MMS 的，另一

项有关基于 MSISDN 的 IP 过滤与日志记录以及对 SIP 与 MPLS IPS 流量检

测功能的加强。

MMS 大宗垃圾邮件检测

MMS1 与 MMS4 信息将被检测以识别是否有大宗的垃圾邮件发送。您

可以进入“防火墙>内容保护列表”的 MMS 大宗反垃圾邮件检测选项中，

配置 MMS 大宗反垃圾邮件检测。图 2：内容保护列表下的 MMS 大宗反垃圾邮件检测

MMS 通知时间

进入“防火墙>保护内容表”，可以配置在每天的特定时间传输通知信息。

您可以配置开始与结束时间，以及可选项“速率限制”，控制信息传送的速

率。如果设定开始的时间置后于结束的时间。结束时间将被作为默认次一天

的设定时间点为准。图 3：设置 MMS 通知信息的传输时间

基于 MSISDN 的 IP 过滤与日志记录

动态内容列表中，提供将应用 RADIUS 的接口与 MSISDN 屏蔽列表结

合的功能，应用该功能可以实现将与分配到 MSISDN 黑名单中 IP 地址有关

的所有 IP 会话全部屏蔽。

SIP 功能的加强

FortiOS Carrier3.0MR3 中更改并提高了 SIP 功能。使用 CLI 命令 config firewall profile 中的关键字 config sip 与 config simple 配置 sip。

以下列表是 FortiOS Carrier3.0 MR3 中 SIP 功能改进与更改的说明。表 1：SIP 功能改进说明

SIP 速率限制 SIP 内容列表中可以配置限制除 INVITE 与 REGISTER请求之外的 SUBSCRIBE 、 NOTIFY 、 REFER 、 UPDATE、 OPTIONS、 MESSAGE ACK、 PRACK与 INFO 请求的速率。当每个类型的请求达到限制的速率时，额外的请求将

被丢弃，如需要可以一并生成超出速率限制的日志信

息。

SIP 信号冗余该功能允许两个 MGC 与一个具体的载体通信时在冗

余模式下共同工作。从载体的角度来看，一对 MGC 共

享相同的虚拟 IP 地址；但是，根据优先级设置，其中

一个配置作为主，另一个作为辅。 FortiGate 设备通过监控主 MGC 与载体之间交换的 SIP信号信息跟踪主 MGC 的健康度。如果在配置的间隔时

间段内没有发现主 MGC 与载体之间的信息， MGC 便

被认定为健康度不良并自动将流量切换到辅助 MGC。 SIP 高可用性 SIP 状态性切换通过复制主动-被动 HA 模式中群集成

员之间的 SIP 呼叫状态，从而支持 SIP 呼叫级别的高可

用性。这样便保证发生 HA 切换时不会丢弃正在进行

的呼叫；尽管发生 HA 切换操作，呼叫与其通信的 RTP流量将继续。切换时间内建立的呼叫（call）可能会丢

失信号信息；但是，对等方在这种情况下将重试信号

信息，并允许呼叫建立完成。 SIPRTP 呼叫

无用信息收集该功能允许 FortiOS Carrier 保护自己不受 DOS 攻击，

并对那些通过 FortiGate 设备之外的路径的 RTP 呼叫提

供稳定的支持。RTP 流量通过 FortiGate 设备时，如在

特定的时间间隔内停止了传输或对 SIP 呼叫实行无故

SIP BYE 检测后，FortiGate 设备将允许删除 RTP 呼叫

状态。 RTP 呼叫被移除后，也就是 RTP 呼叫状态不存在了，

那么任何对 RTP 呼叫发送的信息都将被丢弃。这样对

于不通过 FortiGate 设备的长距离的 RTP 呼叫带来问

题。该功能启动后，配置的内存池里便保存了不在活

动状态下的 RTP 呼叫。如果在设定时间间隔后没有

RTP 流量，一个 RTP 呼叫便被认为是出于非活动状态。

非活动状态的 RTP 呼叫将被保存在内存池内，直至存

储满为止。当内存池存储满后，早被存储的呼叫将

被删除用于存储新的呼叫。内存中与呼叫有关的 RTP信息尽管被认为是非活动状态却也不被丢弃。

多协议标签交换（MPLS）IPS 流量检测

FortiOS Carrier3.0MR3 支持多协议标签交换（MPLS: Multi Protocol Label Switch）协议与对 MPLS 流量的 IPS 检测。您可以使用以下 CLI 命令

句法配置该功能： config system interface edit <interface> set 12forward enable set mpls enable end

FortiOS Carrier 多支持六层标签且只有 IPS能够应用到MPLS数据包。

CLI 命令更改

FortiOS 3.0 MR6 对现有的 CLI 命令作了不少更改，包括添加新的命令。本

手册中列出了更改与新增的命令，您也可以直接查看 FortiGate 设备 CLI 使用参

考手册中的“ 新信息公布”章节，获得更详细的信息内容。

FortiGate-60B 与 FortiWiFi-60B 设备的 PC 卡

以下列表是 FortiGate-60B 与 FortiWiFi-60B 设备在各个国家中使用中每个服

务商支持的 PC 卡。表 2：FortiGate-60B 与 FortiWiFi-60B 设备的 PC 卡国家服务商 PC卡加拿大 Telus Bell

Canada/Sympatico Rogers

ZTE 1X-EVDO Kyocera KPC650 Option Globetrotter Qualcomm 3G GX0202

EMEA O2/Telephonica (United Kingdom) SFR/Vodafone SFR/Vodafone

Sierra Wireless 850 Option GT 3G Quad Lite Option GT 3G+ EMEA

美国 Sprint Sprint Cingular Verizon

Merlin S620 Merlin S720 Sierra Aircard 875 PC5740

Modem 冗余支持

Modem 的“备份运行”或冗余功能可以保证 modem 配置处于被监控状态且

可以 modem 配置恢复到原始状态。配置 FortiGate-60B 可以配置成当蜂窝 Modem或者接口出现故障后，启用基线 Modem，当它们恢复正常后，基线 Modem 也恢

复原始状态。 Modem 的“备份运行”功能类似于高可用性群集，在主设备故障时从属设

备可以接替主设备的功能，成为主设备，而原来的主设备成为从属设备，故障修

复后会回复到主设备的状态。您可以进入“系统>网络>Modem”，配置 modem 的“备份运行”功能。

图 4：在 Modem 页面配置 Modem 的“备份运行”功能

系统设置

系统设置菜单中，对现有功能设置进行了更改以及新增了功能，包括系统面

板的四项信息显示以及管理访问中的 super_admin_readonly（超级管理员只读功

能）。

系统面板

系统面板中增添四项新的信息显示，分别为会话排行、病毒排行、攻击排行

与流量历史纪录。这些信息栏的增加对查看重要信息提供了更直接的方式。在系统面板，您还可以查看安装在那些支持 AMC 安装的 FortiGate 设备中

有关 AMC 的信息。

会话排行以条线图形式显示网络中活动会话的排行。条线图中的会话排行根

据目标 IP 地址分类，并显示各个会话的发生数量。图 5：会话排行

病毒排行信息栏显示的柱状图显示FortiGate设备检测到的病毒威胁的排行。

您可以点击信息栏中的编辑图标对病毒排行榜进行编辑。同时也可以设定刷新病

毒排行的时间间隔和/或显示的病毒条目数量。例如，您可以设定病毒排行榜只

显示检测到多的前五个病毒信息。攻击排行信息栏显示的柱状图显示FortiGate设备检测到的攻击威胁的排行。

同时，也可以访问当前您的网络中实时发生的攻击的信息，以及攻击的历史记录

信息。信息栏中也提供设定刷新攻击排行的时间间隔以及显示的攻击条目数量。

例如，您可以设定攻击排行榜只显示检测到多的前十五个攻击信息。流量历史记录以三种不同的方式显示：近 60 分钟、近 24 小时以及近

30 天。该信息栏中同样显示被监控的接口。通过点击编辑图标，您可以设定被监控的接口，以及刷新流量信息显示。

图 6：流量历史记录显示栏

接口设置所监控的接口。千字节/秒每秒前字节的流量显示。流量级别不同显示范围不同；无论

流量大小，均按流量级别显示。近 60 分钟近 24 小时近 30 天

所监控接口的流量不同时间段的显示。一个图中的三种不同

时间段的显示比多图分散显示更直观。

流入量该信息以图表中细红色线表示。流入量是指进入 FortiGate 设

备设定接口的流量。流出量该信息以图表中深绿色线表示。流出量是指从 FortiGate 设备

设定接口流出的流量。

接口栏设置

进入“系统>网络>接口”，显示可用的接口（与进入“防火墙>策略”或查

看日志文件时显示的接口相同）。该栏目中还显示有关接口的其他信息。图 7：FortiGate-100 设备中进入“系统>网络>接口”所显示的接口信息

类型接口类型，物理接口或交换接口。例如，图 1 显示中的外部

接口是物理接口，总部接口是一交换接口。 VLAN ID 显示与接口连接虚拟访问网络的标识名称。 MTU 大传输单元设置。 MAC 接口的 MAC 地址。模式接口应用的模式。二级 IP 地址接口配置的二级 IP 地址。 IP/掩码接口配置的 IP 地址与掩码。

管理访问所配置的可用访问设置。访问设置可以为 Ping，HTTP，HTTPS，SSH 与 Telnet。

管理状态显示管理访问状态。

只读超级管理员（read_only super_admin）的访问内容设置

进入“系统>管理员”配置管理员是时，可以访问新增的访问内容设置，只

读超级管理员（read_only super_admin）。新增的内容访问设置不在访问控制列表

页面中显示，且不能被删除或更改，类似于超级管理员（super_admin）设置。

只读超级管理员（read_only super_admin）具有所有超级管理员（super_admin）所具有的权限，但多数是只读的。该项管理员设置应用在系统管理员诊断用户配

置且不能做任何更改的情形下。

软交换接口模式

通过新功能软交换可以在所有 FortiGate 设备中创建虚拟接口。该功能在两

个或多个物理接口或无线接口之间创建桥接。应用软交换接口模式配置后不可以用于其他常规接口配置。软交换接口类似

于聚合接口，如同常规接口一样工作。软交换接口没有 IP 地址。您可以对软交换接口创建防火墙策略，但这些接

口不能添加到区域中。只有单机模式下的 FortiGate 设备可以应用软交换接口的功能，应用于 HA

模式或作为 HA 的心跳设备不能应用软交换接口功能。软交换接口不能配置使用 CLI 或基于 web 的管理器。添加软交换接口后，

您可以如同配置任何其他接口一样配置该接口。

基于 web 的管理器中支持 IPv6

基于 web 的管理器中支持 IPv6 的配置，进入“系统>管理员>设置”显示 IPv6菜单。

在 GUI 界面中选中 IPv6 支持选项，显示以下 IPv6 配置选项。路由>静态当您点击“新建”旁边的下拉箭头时显示 IPv6 路由。路由>监控器 IP version 下拉菜单列表中包括 IPv6。基于 web 管理器的 IPv6

配置中没有可用的过滤选项。防火墙 > 策略

>Ipv6 策略防火墙菜单中可以配置 IPv6 策略。该策略项中包括了所有可

用的选项与设置。防火墙>地址；防火墙>地址>地址组

在地址页面中点击“新建”旁边的下拉菜单，显示 IPv6 地址。

同样，在地址组可以应用相同的设置。

VPN>IPSec> 自

动密钥（IKE）在创建 IPSec阶段 1的配置中的高级选项下，您可以配置 IPv6版本。

Comment [H1]: 英文原文有些

问题

管理证书

现在您可以在“系统>证书”项下管理证书。之前是在“VPN>证书”菜单

项下管理的。“系统>证书”项下可以配置本地证书、远程证书、CA 证书与 CRL。

FortiGuard-FortiManager 协议

通过新的 FortiGuard-FortiManager 协议，提供了 FortiGuard 与 FortiManager设备之间以及 FortiGate 设备与 FortiGuard 分析与管理服务之间更好的通信方法。

FortiGate 设备与 FortiGuard 服务之间的通信被称为集中管理服务。 FortiGuard-FortiManager 协议使用 IPv4/TCP 端口 514 运行基于 SSL 之上。

FortiGate 设备与 FortiManager 设备均有专门的系统应用 FortiGuard-FortiManager通信。FortiGate 设备对管理服务发起 SSL 会话。管理服务侦听 TCP 端口 514，FortiGate 设备从 TCP 端口 514 接收返回信息。一些 FortiGuard-FortiManager 协议的功能包括：

管理服务检测 FortiGate 设备的休眠或活动状态。 FortiGate 设备检测管理服务的启动/撤消状态。管理服务告知 FortiGate 设备，有关：

配置更改 AV/IPS 数据库更新防火墙更改

FortiGuard-FortiManager 协议也支持管理服务的被动模式以及解决 FortiGate 设备

应用于 NAT 之后的问题。您可以配置 FortiGate 设备和/或 FortiManager 设备/FortiGuard 分析与管理服务之间

的通信。 FortiGate SNMP 文件升级以支持 FortiGuard-FortiManager 协议的更改。

FortiGuard 分析与管理服务

FortiGuard 管理服务与 FortiGuard 分析服务相结合统一为 FortiGuard 分析与管

理服务。该服务适用于所有运行 FortiOS 3.0MR6 的 FortiGate 设备。 FortiGuard 分析与管理服务可以提供日志记录与报告以及远程管理服务。远程

管理服务允许管理员通过 FortiManager 或 FortiGuard 分析与管理服务管理

FortiGate 设备（或多台 FortiGate 设备）。对 FortiManager 设备或 FortiGuard 分析

与管理服务配置了远程管理后，设备或服务便是指集中管理服务器。之后，您便

可以配置服务器进行固件升级的时间表、自动备份配置或恢复备份的配置文件。

FortiGuard 分析与管理服务提供的远程管理服务与 FortiManager 设备所提供的类

似。

AMC 硬盘

AMC 硬盘可用于日志记录功能，同时 AMC 硬盘的配额可以显示在设备信息

中。AMC 硬盘只有在支持其安插的 FortiGate 设备型号中实现。图 8：FortiGate-3016B 设备的设备信息栏中显示所安装的 FortiGate-ASM-S08

图 9：FortiGate-3016B 设备的设备信息栏中显示所安装的 FortiGate-ASM-FB5

进入“日志&报告>日志设置”可以配置将日志记录到 AMC 硬盘。全部的内

容存档与日志可以配置上传到 FortiAnalyzer 设备。注意：当 FortiGate 设备应用于 HA 群集时，您可以配置记录日志或将日志上

传到 FortiAnalyzer 设备。

AMC 模块支持

FortiOS 3.0 MR6 支持 AMC 可移动模块；但是，在 FortiGate 设备运行中这些

可移动的模块不能被插拔。移除 AMC 模块之前，必须正常关闭 FortiGate 设备。

在不久之后推出的 OS 版本中将支持 FortiGate 设备运行过程中的热插拔 AMC 模

块。

表 3：FortiOS 3.0MR6 所支持的 AMC 模块 AMC 模块 FortiGate设备

Internal Hard Drive (ASM-S08) FortiGate-3016B

FortiGate-3600A

FortiGate-3810A

Single-width 4-port 10Gbps

Ethernet interface (ASM-FB4)

FortiGate-3016B

FortiGate-3600A

FortiGate-3810A

Dual-width 2-port 1

0GbpsEthernet interface

(ADM-XB2)

FortiGate-3810A

Dual-width 8-port 1

GbpsEthernet interface

(ADM-FB8)

FortiGate-3810A

端口转发虚拟 IP 的 SSL 卸载

端口转发虚拟 IP 的 SSL 卸载功能。该功能与 VPN 无关。 SSL 卸载功能通过使用 FortiGate 设备执行 SSL 操作来加速到服务器的 SSL 通

信。进入“防火墙>虚拟 IP”可以启动该功能以及设置接收 SSL 卸载的连接片断。

支持 SSL 3.0，TLS1.0 与 TLS.1.1。 FortiGate 设备型号只有支持 SSL 加速的设备可用 SSL 卸载功能，例如

FortiGate-3600A。 SSL 卸载的运行的两种方式为：

用户端<->FortiGate 设备设置只对用户端到 FortiGate 设备之间的连接应用 SSL卸载。FortiGate 设备与服务器之间的连接将使用纯文本

的通信。这样能够达到佳的性能状态，但是不能应用

在切换路径中没有 SSL 加速器的切换配置中。用户端<->FortiGate 设备

<->服务器设置对两个片段用户端到 FortiGate 设备之间的连接包

括 FortiGate 设备与服务器之间的连接应用 SSL 卸载。

FortiGate 设备与服务器之间的连接可以使用加密通信，

但是握手通信将缩短。该功能的设置并不强于其他选

项，但是仍然在没有 SSL 加速的情况下改善了通信，并

可应用在切换路径中没有 SSL 加速器的切换配置中。如

果服务器已经配置使用了 SSL，该设置将在不要求更改

服务器配置的情况下启动 SSL 加速。

配置 SSL 卸载也要求设置 SSL 证书使用 SSL 卸载。您可以进入“系统>证书”

添加 SSL 证书以及导入所要求的证书。图 10：SSL 加速网络配置

虚拟域（VDOM）

FortiOS 3.0 MR6 中 VDOM 的配置进行了修改，包括对每个 VDOM 增加了菜

单栏与默认 SSL VPN 接口。

基于 web 的管理器中 VDOM 配置的增强

FortiOS MR6 中增强了 VDOM 的配置。功能的增强可能会影响您当前的

VDOM 配置，因为某些 VDOM 设置在升级到 FortiOS 3.0 MR6 时不能被延续。如

果某些配置的 VDOM 设置升级后不能顺延，您需要重新配置这些设置。有关

VDOM 的详细信息，参见 FortiGate 设备 MR6 管理与使用手册。当您登录到全局 VDOM 时，只有三个菜单栏可用于配置，分别为系统、反病

毒与日志&报告。多数菜单需要进入每个 VDOM 设置，提供更多配置选项。在全局 VDOM 中，您可以进入“系统>VDOM”配置以下选项：

添加与删除 VDOM 启动或撤消 VDOM 对虚拟域添加描述性信息更改管理虚拟域使用“进入”图标显示基于 web 的管理器属于虚拟域的接口

MR6 中配置新的 VDOM 时，默认的 SSL 通道策略将自动与 VDOM 建立连接。

只有启动了该默认的策略，通道模式才能正常工作。该策略 ssl<vdom_name>，使

用 ssl<vdom_name>作为源接口且将分配的地址范围作为源地址；根据系统需求配

置目标接口与 IP 地址。被分配 IP 地址范围必须添加到静态路由列表并与 ssl.<vdom_name>接口对应。

升级到 FortiOS 3.0 MR6 后，ssl.<vdom_name>接口将被添加。

防火墙

防火墙菜单中更改了对策略与基于策略路由的配置。这些更改包括在防火墙

策略中设置多个验证以及配置基于验证的策略路由。

在策略中设置多项验证

FortiOS 3.0 MR6，对防火墙策略配置验证时，您可以在多个验证选项范围内

选择多个验证；MR5 中，您只能设置以下验证类型中的其中之一：防火墙、FSAE或 NTLM。现在，您可以三种类型验证同时选定。验证类型说明：

防火墙验证包括本地定义的用户组、LDAP 与 RADIUS 用户。活动目录验证包括进入“用户>用户组”定义的活动目录组，且通过使用 FSAE

的活动目录域名控制器验证。 NTLM 验证包括进入“用户>用户组”定义的活动目录组。AD 组被用于进行

NTLM 验证时验证组的成员。注意：活动目录域名控制器中必须安装 Fortinet 服务器验证扩展（FSAE：Fortinet Server Authentication Extension）才能允许 FortiGate 设备接受活动目录服务器的验

证。从 Fortinet 技术支持网页可以获得 FSAE。

基于验证的路由

您可以设置允许 RADIUS 服务器根据发送的用户验证信息来判断路由。例如，

当策略匹配时，查看用户验证 RADIUS 是否已启动，如果启动，将通过 RADIUS进行验证并接收特殊的属性。如果验证路径选项在策略中已启动，将 RADIUS 属

性与验证路径列表（针对每 VDOM）进行匹配并将会话路由到匹配的接口或下一

跳中继。

端口转发虚拟 IP 中的 HTTP 多路技术

您可以对端口转发虚拟 IP 添加 HTTP 多路技术，分多路传输 web 服务器与

FortiGate 设备之间到达 web 服务器的多个客户端连接。 HTTP 多路技术可以通过

建立多个连接减少服务器花费而改善性能。服务器必须兼容 HTTP/1.1。

如果您使用 HTTP 多路传输技术，您可以设置“保留客户端 IP”，在 X- 转发

-For HTTP 报头中保留用户端的 IP 地址。这样的设置在您要求将日志记录到用户

端的原始 IP 地址的服务器时比较有用。如果不启动该选项，报头将包含 FortiGate设备的 IP 地址。

对虚拟 IP 添加 HTTP 多路技术

1. 进入“防火墙>虚拟 IP”。 2. 点击“新建”。 3. 选择“端口转发”。 4. 选择“HTTP 多路传输”以及可选项“保留客户端 IP”。 5. 如需要配置虚拟 IP。

对服务器负载平衡设置监控度查看监控

“防火墙>虚拟 IP>健康度查看监控”选项中，您可以对虚拟 IP 配置的服务器

负载平衡设置健康度监控。在轮询判断服务器的连接状态时设定所使用的健康度

监控配置。您可以配置三种健康度查看监控类型：

根据您所设置的时间间隔发起健康度查看。如果在超时时间段没有接收到回

复，并且您已配置健康度重试操作，系统将重新执行健康度查看；否则，服务器

被认定为无回复，且负载平衡将停止到达服务器的流量，直到服务器能够回复。健康度查看监控将在健康度查看监控列表中显示。

图 11：健康度查看监控列表

媒体网关控制协议（MGCP：Media Gateway Control Protocol）预定义服务

呼叫代理与媒体网关在分布式 VoIP 系统中可以使用 MGCP 预定义服务。

MGCP 预定义服务与 RFC3435 兼容且可以在通过 FortiGate 设备的情况下被用于

PING 使用 ICMP（ICMP：Internet Control Message Protocol）查

看服务器的状态。 TCP 在指定服务（端口）设置 TCP 连接可以查看服务器的状态

以及测试 TCP 3-way 握手通信状态。 HTTP 通过获得 HTML 页面以及定位指定的字符串查看服务器的

状态。

MGCP 呼叫。图 12：MGCP 设置场景

在 MGCP 配置的场景中，连接到互联网的 MGCP 电话与私网中的 IP 电话进

行通信。FortiGate 设备运行于 NAT/路由模式，且启动了 NAT。您需要在防火墙菜单中配置以下选项允许互联网中的 MGCP 电话与内网中

的 IP 电话通信。 FortiGate 设备外部接口中 MGCP 呼叫代理的虚拟 IP 地址外部到内部接口的策略，以允许 MGCP 电话能够通过 MGCP 呼叫代理发起

连接。设置到虚拟 IP 地址的目标地址。设置到 MGCP 的服务。需要配置以下的策略，允许内部网络中的 IP 电话到互联网中 MGCP 电话的呼叫：

MGCP 呼叫代理到 MGCP 电话。设置到 MGCP 的服务。

VPN

VPN 菜单中更改了 IPS 模式的网关配置以及加强了 SSL VPN 配置功能。

IPSec 默认网关配置

您可以使用以下的两个 CLI 关键字定义从 IPSec 接口流出流量的默认网关。

SSL VPN 功能加强

FortiOS 3.0 MR6 中加强了 SSLVPN 功能，参见以下信息：

default-gw<gw_ip> 如果 IPSec 接口具有不同的默认路由，输入下一跳

路由的 IP 地址。确定设置默认网关的优先级（较低

的数值）高于常规的默认路由。该选项只有在动态

路由下可用。路由列表中不显示创建图标。 default-gw-priority <integer>

确定设置默认网关的优先级（设置值越低优先级越

高）高于常规的默认路由。

SSL VPN 通道模式支持 64-bitWindows 操作系与 Windows Vista 系统。 SSL VPN 通道模式功能的增强。 SSL VPN 验证闲置超时可以设置为 0，那么 SSL VPN 用户会话便不会超时。密钥、sslv3、撤消 SSL 版本 3 加密。使用的命令句法为 config ssl 设置。虚拟 SSL VPN 接口称为 ssl <vdom_name>。对于根 VDOM，该接口叫做

ssl.root。ssl.root 接口出现在防火墙策略列表以及静态路由接口列表。ssl-root接口将被添加到 SSL VPN 配置中，以允许对其他网络的访问，包括加强用

户使用 FortiGate 设备访问互联网的能力。 SSL VPN 通道模式访问需要配置以下防火墙策略：

External>Internal,将动作设置为 SSL 以及 SSL 用户组。 ssl.root>internal, 将动作设置为 Accept（接受）。 Internal>ssl.root, 将动作设置为 Accept（接受）。

同时需要添加新的路由：目标网络-<ssl 通道模式分配的范围>接口 ssl.root

如果您通过 SSLVPN 通道配置互联网访问，必须添加以下的配置： ssl.root>External，将动作设置为 Accept（接受）并启动 NAT。

用户

用户菜单中新增了验证功能。重新安排了用户菜单的结构，添加了

TACACS+。TACACS+添加到“远程服务器验证”菜单中，该菜单中还包括

RADIUS 与 LDAP。

TACACS+支持

TACACS+是终端访问控制器访问控制系统，使用远程验证协议与验证服务

器通信。TACACS+接受用户端的用户名与密码并发送一个请求到验证服务器。

服务器主机判断是否接受或拒绝请求，以及发送回复允许或拒绝用户访问访问。

TACACS+服务器的默认端口是端口 49。 FortiOS 3.0 MR6 中，TACACS+验证也可以用于 RADIUS 与 LDAP 远程验证

中。

FSAE 功能的加强

MR6 中加强了 FSAE 的功能。FSAE 现在支持活动目录的 Native 模式，该

模式中 AD 用户与组信息可以使用 LDAP 获取并在基于 web 的管理器中显示。 FortiOS 3.0 MR6 对登录报头添加了版本信息以区别新与老 FSAE 用户。新

的数据包格式定义新的 AD 用户与用户组格式。当 FortiGate 设备直接从 Windows AD 服务器获取 Windows AD 信息时，

FortiGate 设备将所选的组返回到 FSAE 代理，那么代理可以过滤用户登录信息。

反病毒

反病毒菜单支持多个反病毒数据库与反病毒文件过滤器。

多个反病毒数据库

除了包含实时更新的 Wildlist 反病毒数据库，新下线的 FortiGate 设备还装备

了扩展反病毒数据库，包含那些被认为是不能进行主动传播的病毒。在内容保护

列表中配置使用扩展的反病毒数据库，只需要点击扩展反病毒数据库反病毒选

项。您可以启动该功能使 FortiGate 设备进行非活动病毒进行扫描。扩展反病毒

数据库在以下 FortiGate 设备型号中可用： FortiGate-50B 与 FortiWiFi-50B FortiGate-60B 与 FortiWiFi-60B FortiGate-1000A，FortiGate-1000FA2 与 FortiGate-1000A-LENC FortiGate-3016B，FortiGate-3600A 与 FortiGate-3810A FortiGate-5005FA2

在装备该数据库之前，FortiGate 设备只检测 wild-list 病毒；现在 FortiGate设备可以下载包含所要检测其他病毒全部信息的数据库。

MR6 版本之前，固件镜像所包含的 AV/IPS 库文件可以在每次管理员升级固

件镜像时同时升级。MR6 中并不包含 AV/IPS 库文件，AV/IPS 库文件可以在

Fortinet 技术支持网站下载。

反病毒文件过滤器

FortiOS 3.0 MR6 中，反病毒文件过滤器替换之前版本中的反病毒文件模式。

您可以配置 FortiGate 设备根据文件名称模式与文件类型过滤文件。基于文件名

称的过滤与之前版本中反病毒文件模式过滤操作相同。反病毒文件类型过滤可以

配置根据文件类型过滤文件。表 4 是过滤操作基于的文件类型。进入“反病毒>文件过滤”，您可以创建过滤列表。文件过滤列表包括文件类

型与过滤模式。创建文件过滤列表后，您可以将列表添加到内容保护列表中。表 4：AV 文件过滤器功能支持的文件列表 exe com bat vbs javascript html hta msoffice gzip rar tar lzh upx zip cab bzip2 bzip activemime hlp arj base64 binhex uue fsg aspack genscript shellscript perlscript msc petite sis unknown ignored

对于与所列文件模式或类型匹配的文件，FortiGate 设备提供以下的配置动

作：允许；文件被允许通过。屏蔽；文件将被屏蔽且发送替换信息到用户。如果同时启动文件过滤器与文

件扫描功能，FortiGate 设备屏蔽与启动文件过滤器相匹配的文件，并不对这

些文件启动文件扫描。截取；文件将截取到本地硬盘或 FortiAnalyzer 设备。该选项只在 FortiOS

Carrier 器中可用。 FortiGate 设备同样可以在病毒日志写入信息并可以配置发送告警邮件信息。将文件与启动的文件模式列表相匹配。如果列表中没有与文件相匹配的模式

或类型，将被通过进行反病毒扫描操作（在启动了反病毒扫描选项的情况下）。

实际上，如果文件没被明确屏蔽即被通过。设置为允许的动作后，除非明确的被通过，否则该动作将变成截然相反的动

作，将文件全部屏蔽。在列表末尾，屏蔽动作中添加表示全部的通配符（*.*）。在文件与任何被允许的模式均不匹配时将被屏蔽，允许通过的文件继续接受反病

毒扫描（在启动了反病毒扫描选项的情况下）。

注意：“未知”类型可以是排除列表所列文件类型的任何类型。“忽视”类型

是 FortiGate 设备不进行扫描的流量，主要是流媒体的音频和视频文件。

入侵保护

入侵保护菜单包括两项子菜单，分别是 IPS 传感与 DoS 传感。通过 IPS 传

感器菜单，您可以配置基于内容保护的传感器，该子菜单中有几项是默认的 IPS传感器设置。

如果 FortiGate 设备配置了 VDOM，建议您参考 FortiGate 设备管理与使用手

册，重新配置您在之前 OS 版本配置的 IPS 特征或异常。

IPS 传感器

IPS 传感器菜单中包含单个 IPS 传感器中分组划分的特征，方便在内容保护

列表中进行配置 IPS 选项时进行选择。在单独的 IPS 传感器中可以对具体的流量

类型定义特征，内容保护列表中您可以选择这些传感器处理对应的类型的流量。

例如，IPS 传感器中设定的与所有 web 服务器有关特征可以应用在内容保护列表

中那些 FortiGate 设备保护 web 服务器中从 web 服务器发送或 web 服务器接收的

流量的策略中。您可以进入“入侵保护>IPS 传感器”菜单，配置 IPS 传感器。

图 13：在 IPS 传感器菜单配置特征

FortiOS 3.0 MR6 中的 IPS 传感器提供预先定义的特征，如图 14 所示。这些

预定义的特征类似于内容保护列表中的内容保护项。 FortiGuard 服务将定期更

新这些预定义的特征，包括应对新出现威胁的新的特征。图 14：默认的 IPS 传感器

每项 IPS 传感器均包括两部分，过滤器与跳过项。豁免项总先于过滤项进行

查看。过滤器由很多特征属性组成且在过滤器运行时所有具有这些属性的特征

都将与流量进行匹配。每个过滤器包括很多的特征属性。所有具有这些属性的特征，以及单是这些

属性，在过滤器运行时都将与流量进行匹配。如果 IPS 传感器中定义了多个过滤

器，进行流量检测时每次只与一个过滤器进行匹配。如果发现匹配，将采取适当

的动作且终止其他过滤器的检测。特征跳过可以修改过滤器中设定的特征行为。特征豁免也可以在传感器的过

滤器中添加过滤器中没有设定的特征。使用该功能也可以在 IPS 传感器中添加用

户定义特征。跳过中的特征将首先与网络流量进行匹配。如果没有检测到匹配项，将应用

每项过滤器进行逐项检测。再没有发现匹配特征，IPS 传感器便不干涉网络流量

的传输。通过选择以下的五个特征属性定义过滤器中的特征：

豁免功能可用于达成以下结果：特征跳过可以更改过滤器中已经设定特征的行为。例如，如果您想设置保护

一台 web 服务器，您可以创建过滤器包括并启动有关服务器的所有特征。如

果您想撤消这些特征之一，简单的方法便是创建一项豁免且将特征标记为

未启动。相反，跳过可以添加任何过滤器中不包括的单个特征。这便是在 IPS 传感器

中添加用户定义特征的方法。特征跳过可以根据流量的源与目标地址定义特征生效的方式。豁免配置允许

您设定源与目标地址 IP 地址与掩码。如果地址留为空，默认包括所有地址。

参见 FortiGate 设备 MR6 管理与使用手册有关配置与启动 IPS 传感器的详细

信息。

DoS 传感器

FortiOS 3.0 MR6 中，DoS 传感器可用于配置 FortiGate 设备异常特征保护。

DoS 传感器由多组异常特征组成。这些新的 DoS 传感器替代命令句法中的 config sysgem global local anomaly 命令。

每个 DoS 传感器由多项异常特征配置组成。所有具有这些属性的异常特征，

以及单是这些异常，在 DoS 传感器运行时都将与流量进行匹配。如果 DoS 传感

器列表中定义了多个 DoS 传感器，进行流量检测时每次只与一个多个 DoS 传感

器进行匹配。发现匹配，便采取适当的动作且终止其他过滤器的检测。 DoS 传感器配置包括源与目标 IP 地址以及目标端口。在 FortiGate 设备添加

DoS 传感器应用异常特征配置可以将 FortiGate 设备接受的所有数据包的源与目

标地址以及目标端口添加在异常特征中。地址为 0.0.0.0/0 将与所有地址匹配。端

口设置为 0 表示与任何端口匹配。图 15：DoS 传感器菜单中配置异常特征

严重性对每项特征定义级别以表现其相对的重要性。被定义为“危

急”级别的特征检测那些为危险的攻击。五个级别的严

重性定义，从高到低，分别为危急、高、中、低与消息。对象特征检测到攻击针对的系统种类。协议特征检测到攻击使用的网络协议。 OS 特征检测到容易受到攻击的操作系统。应用程序特征检测到容易受到攻击的应用程序或应用程序套件。

每项 DoS 传感器中提供 12 种可配置的异常特征，TCP、UDP 与 ICMP 协议

各具有四种。您可以配置启动或撤消对每种流量异常进行日志记录，以及配置检

测阀值，与当检测到异常时所对应采取的 IPS 动作。IPS 动作可以设置为通过或

屏蔽。有关配置与启动 DoS 传感器的详细信息，参见 FortiGate 设备 MR6 管理员

使用手册。

IM，P2P 与 VoIP

MR6 中，PPTP、即时程序的配置更改如下。

在 FortiGate 设备中配置接口作为 PPTP 客户端

您可以使用命令 config system interface 配置任何 FortiGate 设备接口作为

PPTP 用户端，且连接到 PPTP 服务器。该配置解决了 FortiOS 3.0 中有关 PPTP的几个问题。

基于 HTTP 代理控制 MSN

可以基于 HTTP 代理配置 MSN 协议。这样的配置允许在所有屏蔽了 MSN的端口上运行该程序，除了端口 80 外向；或在必须通过 HTTP 代理的流量运行

MSN。在该配置之前，FortiGate 设备检测 MSN 流量却不能识别其是 MSN 流量，

便绕过了任何启动的 IM 协议。该功能可以检测到通道内的 MSN 流量并服从启

动的任何 IM 配置。只要 MSN 检测启动，便启动了所述功能；而且，该功能并不处理基于 web

的 MSN 用户端产生的封装流量。

日志与报告

日志与报告菜单中配置功能进行了更改。报告功能中可以将报告上传到

FortiAnalyer 设备。

远程日志记录

启动将日志记录到 FortiAnalyzer 设备或 FortiGuard 分析服务器，访问“日志

与报告>日志访问”菜单查看存储的日志。远程日志记录并不包括 Syslog 服务器

或 Net IQ web trend。在日志设置页面中，有关日志设置配置选择 FortiAnalyzer 与 FortiGuard 分析

服务器的两种方式，二者只能选择设置其一。

特征与异常的日志记录

FortiOS MR6 配置 IPS 特征与异常更改了，相应对 IPS 特征与异常的日志配

置也被更改。在 IPS 传感器与 DoS 传感器菜单中配置特征与异常的日志记录。对于 IPS 特征，您可以在编辑过滤器或添加过滤器的操作中，包括编辑或

编辑用户定义豁免或预定义豁免，启动日志记录。对于异常，在编辑或创建 DoS传感器的日志栏中选择异常便启动了异常日志记录。

日志信息更改

FortiOS 3.0 MR6 中日志信息的配置更改如下：日志信息设置中包括策略 ID 以及用户定义字段。用户定义字段只能使用 CLI

命令进行配置。 FortiOS 内部文件目录中不再包括事件日志信息。设备状态更改写入日志。

AV/IPS 数据库更新中设置更新的子类型字段更改了。报警邮件不再含有日志调节。 MR6 中显示触发禁忌文字日志的文字。 Webtrend 日志信息中添加了规则字段。对于设定了优先级的内容日志被截取了 URL。除了对 webtrend 服务器的事件日志中没有删除用户字段，其他的均被删除

了。内容日志中添加了防火墙会话 ID。之前不符合 ICSA 要求的日志信息，MR6 中都已符合。管理日志，如备份配置文件或升级 AV/IPS，被记录到管理 VDOM。

内容存档

之前，对一些协议启动内容存档时需要额外的配置，现在只有很少几个协议

需要这样的额外配置。所述存在的很少的几个协议为： AIM、ICQ、MSN 与 Yahoo 即时消息程序。 HTTPS

对于内容保护列表中反病毒选项中对于超大文件/信息动作与阀值的协议，

如果您对超大文件或超过您配置阀值的文件或信息设置“通过”动作，FortiGate代理将不会对超大文件的内容进行扫描，同样不会形成文件或信息的副本。这种

情况下，即使您设置全部内容存档，FortiGate 设备只能形成内容存档的摘要。

报告

FortiAnalyzer 3.0 MR6 加强了报告功能，体现在 FortiGate 设备基于 web 的

管理器报告配置菜单中。如果您在 FortiGate 设备基于 web 的管理器中创建

FortiAnalyzer报告，建议查看FortiAnalyzer设备管理与使用手册中有关报告章节，

详细叙述了 MR6 中报告配置的变化。

两台 FortiGate 单机设备之间的 TCP 会话同步

使用 CLI 命令 config system session-sync，您可以配置两台 FortiGate 设备之

间的 TCP 会话同步。会话同步功能是对两台对等 FortiGate 设备之间配置负载平

衡 TCP 会话。负载平衡通过在两台 FortiGate 设备之间分配会话以提高网络性能。

并且，如果对等设备中的一台发生故障，将启动会话切换与活动会话保护以保持

操作继续，不会丢失会话数据。单机间的会话同步与 HA 之间的会话同步相同，但是，不同于 HA，单机会

话同步并不包括配置同步。实际上，两台对等设备的配置通常并不相同，因为许

多负载平衡配置的对等设备的 IP 地址并不相同。同样，不同于 HA 的是，单机

对等之间的负载平衡时通过外部负载平衡端口实现的。FortiGate 设备只执行会话

同步与会话切换。图 16：单机 FGT 设备会话同步网络配置举例

注意：两台单机 FortiGate 设备之间的 TCP 会话同步也称为单机会话同步与非

HA FortiGate 设备会话同步。

配置会话同步

您可以对虚拟域配置会话同步。如果虚拟域配置没有启动，您可以对根虚拟

域配置通话同步。当虚拟域配置启动且您添加了虚拟域，您可以对每个虚拟域配

置同步会话。并不需要对所有的虚拟域配置同步。会话同步是全局配置设置。您必须对两台对等设备配置会话同步。对等设备之间的会话同步需要兼容。

通过 FortiManager 设备，您可以如果配置两台独立的 FortiGate 设备管理对等设

备。

SNMP MIB

添加了新的 MIB 帮助 FortiOS 以及其应用程序启动新的实时监控器

（FortiManager 设备中）时通过 SNMP 获取 FortiGate 设备的参数。

高可用性（HA：High Availability）

MR6 中，FortiGate 设备的两个管理工具基于 web 的管理器与 CLI 中均对有

关 HA 的配置进行更改。更改包括启动无故 ARP 数据包之间设置时间间隔与远

程 IP 监控。有关配置更改的详细信息，参见 FortiGate 设备 HA 概述。

设置无故数据包的发送间隔

使用 config system ha 命令的关键字 arps-interval 设置无故 ARP 数据包发送

的间隔。当一台群集设备成为主设备时（群集设备新启动或当主设备故障时发生

这种情况），主设备立刻发送无故 ARP 数据包通知所连接的网络设备通报主设备

的 IP 地址与 MAC 地址。主设备在 arps-interval 设置的间隔下发送无故 ARP 数

据包。 arps-interval 设置的时间间隔范围为 1 到 20 秒。通常情况下，您不需要更改

该间隔设置。但是，如果您配置的 HA 群集需要花费很长的时间进行主从设备切

换操作以及获得网络信息，您可以设置缩短无故 ARP 数据包发送的间隔。有很多的原因将 arps-interval 间隔时间设置长一些。例如，如果您所配置的

群集具有很多 VLAN 接口与虚拟域，且无故 ARP 数据包是广播形式的，发送无

故 ARP 数据包可能会产生较大网络流量。只要群集仍然能够进行切换操作，您

可以增加 ARP 发送的间隔以减少操作切换产生的大量流量。

HA 远程 IP 监控

HA 远程 IP 监控类似于 HA 端口监控功能。端口监控有助于在主设备接口故

障或失去连接时进行切换。远程 IP 监控功能是在 FortiGate 设备的接口配置 Ping服务器发送 ping 数据包到网络设备的 IP 地址测试连接性。通常情况下，这些网

络设备 IP 地址并不是直接与 FortiGate 设备连接。如果这些远程 IP 地址没有回

复 Ping 服务器，远程 IP 监控将进行切换。 HA 远程 IP 监控在全网 HA 配置中较为有用。全网 HA 配置中，交换机直接

连接到群集设备，但所连接交换机的另一端连接发生故障。例如图 17 所示的例

子中，您可以在端口 2 上配置 ping 服务器以便主设备测试与 192.168.20.20 的连

接性。如果发生链路故障，ping 服务器进行故障检测并帮助群集进行切换以及从

属设备替代主设备进行工作。在新的主设备的端口继续配置 ping 服务器保持与

192.168.20.20 的连接，以便保持内部网络通过群集与互联网的连接。图 17：HA 远程 IP 监控拓扑结构举例

配置 HA 远程 IP 监控

1. 配置 HA 远程监控举例：输入命令 pingserver-moniter-interface 关键字启动端口 2 的 HA 远程 IP 监

控。输入命令 pingserver-failover-threshold关键字设置HA远程 IP监控切换值

为 10。如果一个或多个 ping 服务器发生故障，当所有故障的 ping 服务

器达到或超过设置的阀值，群集将发生切换。您可以使用 ha-priority 命

令设置 ping 服务器的优先级。输入 pingserver-flip-timeout 命令关键字设置翻转超时（flip timeout）为

120 分钟。发生切换之后，如果新的主设备的 HA 远程 IP 监控同样导致

发生切换操作，那么只有在该超时（120 分钟）后才可以发生。也就是

说，每 120 分钟内远程 IP 监控只能导致一次切换。这样便避免了如果远

程 IP 监控判断所有群集设备不能连接到监控的 IP 地址时导致重复的切

换。 config system ha set pingserver-moniter-interface port2 set pingserver-failover-threshold 10 set pingserver-flip-timeout 120 end

2. 输入以下命令对端口 2 添加 ping 服务器以及设置该 ping服务器的 HA 远程 IP监控的优先级。

输入 detectserver 命令关键字添加 ping 服务器以及设置 ping 服务器的 IP地址为 192.168.20.20.。

设置 ha-priority 命令关键设置 ping 服务器的 HA 远程监控优先级为 10，以便该 ping 服务器不能连接到 192.168.20.20 时，HA 远程 IP 监控优先级

能够足够高以达到切换阀值并导致切换动作。 config system interface edit port2 set detectserver 192.168.20.20 set ha-priority 10 end

3. 您也可以使用 config global 命令的关键字 interval 更改 ping 服务器发送 ping数据包的时间间隔以及在使用 failtime 关键字检测故障之前 ping 数据包故障

的次数。 4. 您也可以进行以下操作配置 HA 远程 IP 监控以测试更多 IP 地址：

通过在 pingserver-moniter-interface 添加接口的名称可以在多个接口启动

HA 远程 IP 监控。如果 FortiGate 设备的配置中包括 VLAN 接口、聚合接口以及其他接口类

型，您可以将这些接口的名称添加到 pingserver-monitor-interface 关键字

中配置这些的 HA 远程 IP 监控。在 detectserver 关键字中添加二级 IP 地址，监控每个接口的两个 IP 地址。对任何接口添加二级 IP 地址且每个二级 IP 设置 detectserver 与 ha-priority

监控任何接口的多个 IP 地址以及对每个地址设置不同的 HA 优先级。

公知信息

升级到 FortiOS 3.0MR6 之前，查看 FortiOS 3.0MR6 发布说明有关公知信息。

这些公知信息可能影响当前的配置。


MR5 中对现有的功能作了更改以及增强，以及解决了之前版本中的问题。

FortiOS 3.0MR5 中推出了几项新的功能，例如，FortiGuard 管理服务与接口别名

设置。所完善的功能包括 DDNS。以下内容是对 MR6 的详细说明：

新增功能与功能更改概览新增功能与更改功能公知信息

有关 FortiOS 3.0 MR5 的新增功能与功能更改的信息，您还可以参见以下的

文档： FortiGate 设备管理员使用手册 FortiGate 设备 CLI 使用参考手册 FortiGate 设备 HA 功能概述

注意：参见 FortiOS 3.0 MR5 发布说明中“已解决事宜”章节查看 MR5 中相

对之前的版本解决了哪些技术缺陷。

新增功能与功能更改概览

FortiOS 3.0 MR5 中新增功能与功能更改： FortiGate-224B – FortiGate-224B 设备中包括两种交换模式，并支持 VLAN

trunking。 FortiGate-60B 与 FortiWiFi-60B — FortiGate-60B 与 FortiWiFi-60B 设置支持

PC 卡。 AMC 模块 – 支持 AMC 模块的 FortiGate 设备现在支持 AMC 移除。通用页面导航 – FortiGate 设备的基于 web 的管理器在支持页面导航的菜单

中现在支持通用页面导航功能。系统面板 - 系统面板中增加了可用的用户定义选项。如果您重新排列这些种

类，重新排列将在您退出基于 web 管理器之后被保存。管理员设置 – 管理员设置菜单支持西班牙语显示；以及中央管理栏支持新

功能 FortiGuard 管理服务与 FortiManager 设备的连接。管理访问列表中增加

了管理员可以访问的 VDOM 类型。 DDNS – 影响两个域名的 DDNS 问题现在解决了。 DHCP 地址租用 – DHCP 菜单中增加了新的栏目，提供每个租用 IP 地址的

状态信息。 PKI 功能加强 – MR5 中加强了 PKI 功能，例如多可以对五个组织性设备

字段创建本地证书。接口别名 – 如需要，您可以对每个接口设置别名。例如，端口 4 的名称可

以设置为总部，同时可以在所应用的配置中显示为端口 4（总部）。维护 – 维护菜单中增加了版本控制栏并支持 FortiGuard 管理服务。 SNMP MIB – MR5 中增加了新的 MIB。

FortiGuard 管理服务 – 该服务提供固件升级的远程管理与配置文件备份功

能。 FortiManager 连接更改 – MR5 中更改了 FortiGate 设备与 FortiManager 设备

的通信连接。 VDOM – MR5 中基于 web 的管理器与 CLI 均更改了配置 VDOM 方法。 PIM-SIM 环境下的多播目标 NAT – 新的功能支持多播流量的 NAT 并可以对

流量的源和/或多播目标地址进行 NAT 转换。 CLI 命令的更改 – MR5 中更改并新增了 CLI 命令。第三方 USB 密钥支持 – MR5 中支持具体格式下的第三方 USB 密钥。防火墙侧策略验证功能的加强 – 防火墙策略验证提供基于源 IP 地址与策略

ID 的验证查询。多个防火墙策略现在不止可以配置一项验证。基于每个 VDOM 的保护内容表 – MR5 中，每个 VDOM 均包含默认的内容

保护列表与反病毒文件模式。 SSL-VPN 组级别标签 – MR5 中可以轻松实现多 SSL-VPN 用户组添加多个

标签。 IPv6 IPSec – Ipv6 IPSec 支持 IPSec VPN 中的安全 IPv6 流量。用户 – 用户菜单提供的证书选项可以配置验证设置；您也可以指定允许创

建 FortiGuard 豁免的用户组。反垃圾邮件 – 您可以在反垃圾邮件菜单中重新排列 IP 地址与邮件黑白名单

列表。日志信息更改 – MR5 修改了日志信息。上传日志文件到硬盘 – FortiGate 设备支持将日志文件从硬盘（如果可用）上

传至 FortiAnalyzer 设备。 FortiAnalyzer 设备许可证信息显示 – 连接测试窗口中的许可证信息栏目，

在 FortiGate 设备连接不到 FortiAnalyzer 设备时将显示警告信息。报告配置更改 – 报告菜单中可以设置显示审核查询以及时间选项，设置显

示过去多少天内的报告信息。报警邮件 – 报警邮件可以发送有关 FortiGuard 分析服务过期的警告信息。 FortiGuard 分析服务 – FortiGuard 分析服务集成了新的功能 FortiGuard 管理

服务。FortiGuard 分析服务在升级到 FortiOS 3.0 MR5 后需要重新连接到

FortiGuard 分析服务器。

新增功能与更改功能

以下叙述有关 FortiOS MR5 中加载的新功能与功能更改信息。

FortiGate-224B 设备

FortiGate-224B 设备可以配置两个交换模式，分别为交换模式与防火墙模式。

MR5 中默认的出厂操作模式为防火墙。您可以使用 CLI 在两个操作模式之间切

换。支持 VLAN 主干（802.1q）与安全千兆以太网接口（port25 与 port26）。进

入“交换>端口”可以进行这些端口的安全配置。

FortiGate-60B 与 FortiWiFi-60B

FortiGate-60B 与 FortiWiFi-60B 支持 PC 卡。以下列表所列为每个服务商要

求的 PC 卡类型。服务商 PC 卡（3G）

Telus（加拿大） ZTE 4X-EVDO O2/Telephonica（EMEA）（英国） Sierra Wireless 850Sprint （美国） Merlin S620 Sprint （美国） Merlin S620 Cingular （美国） Sierra Aircard 875 Verizon （美国） PC 5740 Bell Canada/Sympatico （加拿大） Kyocera KPC 650

AMC 模块

FortiOS 3.0 MR5 支持 AMC 的可移除属性。AMC 模块并不是热插拔的。在

插入或移除 AMC 模块之前，您需要关闭 FortiGate 设备。未来的软件版本将致

力发展为热插拔的 AMC 模块。 AMC 模块 FortiGate 设备

Internal Hard Drive (ASM-S08)

FortiGate-3016B FortiGate-3600A FortiGate-3810A

Single-width 4-port 10Gbps Ethernet interface

(ASM-FB4)

FortiGate-3016B FortiGate-3600A FortiGate-3810A

Dual-width 2-port 10GbpsEthernet interface

(ADM-XB2)

FortiGate-3810A

Dual-width 8-port 1 GbpsEthernet interface

(ADM-FB8)

FortiGate-3810A

基于 web 的管理器

基于 web 的管理器菜单中包含通用页面导航。图 18：MR5 中的页面导航

|< 点击转入第一页。

< 点击进入上一页。 n/n 输入所要查看日志信息的页数。例如，输入

5 显示 100 页日志信息中的第 5 页。 > 点击进入下一页。 >| 点击转入后一页。

在列表的描述字段输入注释时，描述字段显示允许的大字符数为 63。基于 web 的管理器与 CLI 中，DNSBL 代替了 RBL 且所有 RBL 的参考都转

入 DNSBL。 MR5 中，基于 web 的管理器与 CLI 均可以查看维护版本信息。也同样显示

升级到 MR5 的补丁版本信息。

系统设置

系统设置菜单中包含新增的功能以及对现有的功能的更改，例如管理员功能

的提高与 PKI 功能的加强。系统设置菜单更改较大，建议升级到 MR5 后，建议查看系统菜单对新增功

能与更改的功能熟悉。

系统面板

您可以自定义报警信息控制台与系统资源显示的种类。例如，当点击报警信

息控制台种类的编辑图标时，您可以设置不显示固件升级与降级的报警信息。日志信息的种类现在包括 FortiGuard 分析服务与 FortiGuard 管理服务日志。您配置的具体类型在退出基于 web 的管理器时将被保存。在统计信息类型中查看当前的会话时，可以使用过期栏目中的过滤器设置。

图 19：FortiGate-100 设备的系统面板

管理员设置

进入“管理员>设置”，语言设置下拉菜单中新增了西班牙语选项。管理员菜

单中 FortiGuard 菜单项更名为集中管理。通过集中管理菜单项可以启动 FortiGate设备到 FortiManager 设备以及 FortiGuard 管理服务的连接。图 20：进入“系统设置>管理员>中央管理”配置连接 FortiManager 设备与

FortiGuard 管理服务

创建管理员时，您可以配置管理员访问的 VDOM 类型。超级管理员

（super_admin）访问内容表是唯一与全局 VDOM 连接的访问控制表。

DDNS 所解决的问题

FortiOS 3.0 MR5 中解决了影响以下域名的 DDNS 问题。 ddnalias.com dyndnd.org

vavic.com hphwebserver.oray.net

DHCP 地址租用

进入“系统>DHCP”页面中的状态栏，可以查看每个租用 IP 地址的状态。

PKI 功能的加强

MR5 中加强了 PKI 的功能，进入“用户>PKI”页面进行配置。您多可以创建五个本地证书具有多个组织性机构（OU：organizational unit）

字段。CLI 配置只支持一个 OU。您可以创建多个 PKI 管理员。用户服务器证书中含有独立的管理服务器证书。只有 HTTPS 管理访问使用 PKI。当接收到不正确的用户证书时，基于 web

的管理器显示登录失败页面。

接口别名设置

进入“系统设置>网络>接口”页面，您可以对任何接口设置别名。别名将

在配置中显示接口时，出现在接口旁边的括弧中。举例说明，如果您将内部接口

命名为 XYN_总部，当该接口应用于防火墙策略时，XYN_总部的名称将显示在

接口旁边的括弧中。图 21：防护墙策略中具有别名显示的接口

您也可以对 SNMP 添加别名，方法类似接口别名设置。详细信息，参见

FortiGate 设备管理与使用手册。

维护

进入“系统设置>维护”，FortiGuard 管理服务功能添加了新的配置项。新增

配置项为修订控制，显示 FortiGate 设备所有修订版本信息。图 22：从修订控制中查看配置修订信息

SNMP

“系统设置>配置>SNMP v1/v2c”支持新的 MIB。ssl vpn mib 支持 rfc2863

（ifMIB）与 rfc4133（entityMIB）。这些 MIB 在 CLI 中可用。 SNMP 的新配置命令属性为 max_vdom, vdom_enable 与 hagroupname。

FortiGuard 管理服务

FortiOS 3.0 MR5 推出了基于订购的 FortiGuard 管理服务，该服务可以提供

类似 FortiManager 设备所提供的功能。享受管理服务之前，需要执行有效的订购。图 23：FortiGuard 服务中心页面显示的 FortiGuard 管理服务

FortiGuard 管理服务提供随需应变的固件升级服务，包括设定时间升级以及

配置文件备份与恢复。进入“系统>管理员>集中管理” 以及进入“系统>维护

>FortiGuard 中心”，均可以启动 FortiGuard 管理服务。 FortiGuard 管理服务同样适用于 HA 群集。您也可以校验 HA 群集中

FortiGate 设备的许可证信息，订购 FortiGuard 管理服务。接收 FortiGuard 管理服

务需要有效的 FortiGate 设备许可证。如果您从 FortiCare 支持网站注册 FortiGuard 分析服务，您也可以在

FortiGuard 分析服务器中查看 FortiGuard 管理服务。运行 FortiManager 3.0 MR5 的 FortiManager 设备同样也支持 FortiGuard 管理

服务。有关 FortiGuard 管理服务的详细信息，参见 FortiGate 设备管理与操作手册。

FortiManger 连接更改

FortiOs 3.0 MR5 中对 FortiGate 设备与 FortiManager 设备的连接进行了轻微

的改动。连接更改的原因在于 FortiGuard 管理服务功能的增加。进入“系统>管理员”配置页面，FortiManager 设备的连接配置集成到了集

中管理配置选项中。通过集中管理选项，可以配置 FortiManager 设备与 FortiGuard管理服务。配置连接到 FortiManager 设备时，只需要获得 FortiManager 设备的 IP地址即可。

FortiGate 设备使用的到 FortiManager 设备的 IPSec 连接，默认情况下没有启

动，必须使用 CLI 启动。

VDOM

VDOM 功能的调整影响了基于 web 管理器与 CLI 对 VDOM 的配置。例如，

MR5 中每个 VDOM 中均配置有保护内容表，包括默认的保护内容项以及反病

毒文件模式。如果您的 FortiGate 设备中配置使用了 VDOM，且准备将 FortiOS 升级到

MR5，请先查看 FortiGate 设备 VLAN 与 VDOM 用户使用手册。

路由

FortiGate 设备的路由菜单中，可以配置支持 PIM-SM 环境下的多播目标地

址 NAT。启动目标地址 NAT 可以转换外部接收的多播目标地址与内部寻址策略

地址相符。通过该功能，用户不需要在转换边界重新分布路由到其网络架构为了

使 RPF（Reverse Path Forwarding 相反路径转发）能够正常工作。用户可以在网

络中从两个登录端接收到相同的反馈并配置独立的路由。

CLI 命令更改

CLI（命令行接口）中配置更改了一些选项。详细信息参见 FortiGate 设备

CLI 配置参考手册中以下配置章节：当使用分批模式安装 FortiManager 设备的配置时，命令 lastlog 可以启动查看

config 与 output 命令。对基于 IPSec VPN 的 IPv6 流量添加了 IPv6 IPSec 命令。添加了 smtp-spam-localoverride 命令，可以启动或撤消对本地定义的黑/白列

表中邮件的豁免 SMTP 校验值。（该关键字属于 firewall profile 命令）命令句法 get chassis status 显示机架设备信息。添加了新命令 ftgd-wf-ovrd-profile。指定用户组配置中被允许创建 FortiGuard

豁免的用户组。添加了新命令 execute enter 用于从全局 VDOM 中进入其他 VDOM。很多

VDOM 的属性从 gloable 转移到了各个 vdom。

在 system interface 中添加了命令 peer-interface 与 forward-domain，用于配置

透明模式下的接口。添加了命令用于加强 IPSec 的错误查看。添加了命令以支持多播服务反射。添加了 upload-destination 命令，将日志文件上传到 FortiAnalyzer 设备。添加了命令选项以撤消 icmp 重新定向。使用 CLI 可以配置支持 FortiGate-60B 与 FortiWiFi-60B 设备的接口模式。添加 dnat 命令用于 PIM-SM 环境下的多播目标地址 NAT。通过 CLI 配置支持多播服务反射。在执行非有效命名或具有非有效关键字的有效命令时，将返回错误信息显

示。

FortiUSB 密钥

所有型号的 FortiGate设备均支持第三方USB的使用。支持型号包括USB 2.0兼容，且可以对 Windows FAT32 文件系统所格式化。当然，FortiGate 设备仍然

支持 FortiUSB 的使用。 USB 密钥，包括 FortiUSB，均提供备份配置存储的空间以及在 FortiGate 设

备重新启动时自动上传当前固件镜像与当前配置。进入“系统>维护>备份与恢

复”页面，可以查看并访问上述功能。 FortiGate 设备接口所支持的所有类型 USB 都可以实现 FortiUSB 提供的功

能。有关 USB 密钥及其功能，参见 FortiGate 设备安装手册。如有意将 FortiGate 设备的操作系统（FortiOS）降级到 MR4，请注意，MR4

以及之前更早的操作系统版本均不支持第三方 USB。

防火墙

“防火墙>策略”页面中，每项防火墙策略均包含日志栏，您可以查看每项

策略的日志设置是否在启动状态。日志栏只有在您在栏目设置列表中被选中时才

会显示。如果日志栏显示绿色向上箭头表示日志记录功能已启动，灰色 X 显示

日志记录没有启动。图 24：显示接口别名的防火墙策略列表

策略菜单支持多个防火墙策略验证。之前，即使对验证启动了多项防火墙策

略，也只有一项防火墙策略可以用于验证。MR5 中，验证查询可以基于源 IP 地

址与策略 ID 的。MR5 之前的版本，验证查询只基于源 IP 地址。配置防火墙策略时，您可以选择“用户验证声明”选项。选定该选项后，验

证声明页面将与替换信息同时显示。用户必须接受声明才可以访问目标网站。您

可以同时使用声明信息与验证；但是对于 SSL-VPN 并不可用。如果您输入一个

URL 地址，经过验证且接受声明信息后，用户将被定向到具体输入的网站；但

是，该功能并不适用于 SSL-VPN 防火墙策略。用户验证声明选项也并不是对于

所有型号的 FortiGate 均可用。进入“防火墙>保护内容表”，FortiGuard 网页过滤选项可以正常屏蔽所有网

站。在虚拟 IP 菜单中可以设定服务器负载平衡，下拉菜单中有三种方式可用，

分别为静态、循环或权重。

VPN

进入“VPN>SSL”，您可以创建多个标签添加到一个组中，且配置 SSL-VPN用户使用添加的标签。通过标签选项与组标签选项可以配置标签。组标签可以对

web、Telnet、FTP 、SMB、VNC 以及 RDP 协议创建。组标签项中配置标签组

时可以创建新的标签。图 25：SSL VPN 组标签

监控器菜单中，用户名显示为经过某项验证的用户。该菜单中同时也能够正

确显示代理 ID 的源与目标地址。对 IPSec VPN 创建手工密钥时，NULL 表示既不允许加密算法也不允许验证

算法。对于运行 Windows Vista 的计算机设备，SSL-VPN 是不可用的。但是，FortiOS

3.0 MR6 中，Vista 用户也可以配置使用 SSl VPN 通道模式。详细信息参见 Fortinet网站知识库板块中“Microsoft Vista 用户配置使用 SSLVPN”一文。

MR5 中，SSL VPN web 应用在访问 web 服务器的情况下也能够正常工作。

IPv6 IPSec

IPv6 IPSec 功能支持 IPSec VPN 中的安全 IPv6 流量。该功能只支持基于路

由/接口的 IPv6 流量，并不支持 FortiAnalyzer IPv6 与 FortiManager IPv6。通过

CLI 也可以配置该功能。支持 IPv6 IPSec 证书验证。对于 IKE 支持：

配置阶段 1 中远程网关的 IPv6 地址。配置阶段 2 使用选择器的 IPv 地址。将配置了 IPv6 选择器的阶段 2 附加在配置了 IPv6 地址的阶段 1，或基于 IPv6

的 IPv6。将配置了 IPv6 选择器的阶段 2 附加在配置了 IPv4 地址的阶段 1，或基于 IPv4



的 IPv4。

对于手工密钥支持：配置两个 IPv6 地址之间的手工连接。

对于 IPSec 支持：加密 IPv6 流量并使用 IPv6 通道模式 ESP 报头封装。加密 IPv6 流量并使用 IPv4 通道模式 ESP 报头封装。加密 IPv4 流量并使用 IPv6 通道模式 ESP 报头封装。继续支持加密 IPv4 流量并使用 IPv4 通道模式 ESP 报头封装。加密 IPv6 ESP 数据包并转发附上的 IPv4 或 IPv6 数据包。

FortiOS 3.0 MR5 中 IPv6 IPSec 存在以下局限：基于 IPv6 的 IPSec 会话不能被 FortiASIC 加速。 FortiOS 不支持证书中的 IPv6 地址。CLI 命令 config user peer 中 cn-type 属

性中并不具有 IPv6 选项，因此不能够使使用 IPv6 地址的证书生效。

FortiAnalyzer 设备与 FortiManager IPSec 连接不能够是 IPv6。支持 RSA 证书中解析 IPv6 地址的 DNS 名称。 FortiOS不支持证书中的 IPv6地址；特别是，config user peer命令中的 cn-type

属性不具有 IPv6 选项，因此不可以使使用 IPv6 地址的证书生效。不支持在阶段 2 选择器中定义多个 IPv6 子网，包括 src-addr-type 与

dst-addr-type 名称。分类后台程序不支持 IPv6。 FortiOS 不支持 IPv6 SNMP。 FortiOS 不支持 IPv6 PPPoE，相应也不支持基于 PPPoE 的 IPv6 IPSec。 FortiOS 不支持 modem 下的 IPv6 PPP，相应也不支持基于 modem 的 IPv6

IPSec。使用 config ipv6 命令中的 ipv6-address 可以对 IPSec 接口设定 IPv6 地址。

这样并允许定义子网，如果 ZebOS 在支持 IPv6 的情况下，设定的子网可能

能够在 ZebOS 中正常工作。基于此，便需要扩展 IPv6 配置以支持定义远程

IPv6 地址。无论 IPSec 使用与否，FortiOS 均不能重组分片 IPv6 数据包。

用户

进入“用户>证书”中的证书选项，可以配置验证设置。同样在创建新的防

火墙策略时，也可以配置证书选项。通过用户菜单，您可以设定允许创建 FortiGuard 豁免的用户组。那么，在

进入“用户>用户组”菜单下便可以启动该功能。

垃圾邮件过滤

在“反垃圾邮件>黑/白名单”中，拖动鼠标可以重新排列 IP 与邮件黑白名

单。该功能首次被应用是在 FortiOS 3.0 MR2 中防火墙策略列表与网页过滤 URL列表。

日志与报告

MR5 中对日志与报告菜单进行了几项修改。

日志信息修改

MR5 中，对日志信息，特别是事件日志信息，进行了更改并添加了新的日

志信息。多数是对事件日志的修改。例如，从防火墙策略产生的事件日志增添了

很多新的细节。详细信息，参见 Fortinet 公司网站的知识库板块中的 FortiGate设备日志信息参考手册。

从 TFTP 服务器上传的日志文件在 MR5 中包含确切的时间并具有了新的名

称。例如，日志文件 tlog_root_20070120_235649，tlog_root 表明该文件是流量日

志文件且日志信息被记录在 root domain 中，上传日期表示的方法为 yyyymmdd（年月日），后六位数字是以 hhmmss（小时分钟秒）格式显示的。

VoIP 产生的日志在“日志与报告>内容存档>VoIP”中显示。内容存档也显

示存档的邮件信息。 MR5 现在可以正确显示中文与日文的 IM 信息。

使用本地硬盘上传日志文件

如果 FortiGate 设备配置了硬盘，您可以设置将日志上传到 FortiAnalyzer 设备的时间表。使用 CLI 启动将日志文件上传到 FortiAnalyzer 设备。上传日志文

件到 FortiAnalyzer 设备时不需要密码且使用 OFTP 将文件转换。详细信息，参见

FortiGate 设备 CLI 使用参考手册。如果您配置使用了 HA 且模式为主动-主动（Active-Active），只有主设备的

日志文件能够上传到硬盘或 FortiAnalyzer 设备。

FortiAnalyzer 设备许可证信息显示

FortiAnalyzer 设备许可证信息在 FortiGate 设备没有连接到的正确的

FortiAnlyzer 设备时将在连接测试窗口显示警告信息。以下是连接测试窗口显示

的警告信息： Note: A higher end FortiAnalyzer unit is recommended for this FortiGate model.（建

议该 FortiGate 设备型号连接到高端 FortiAnalyzer 设备）

报告的更改

报告选项也同样进行了修改。报告中包含了限制审计查询的选项以及时间设

置选项。详细信息，参见 FortiGate 设备管理使用手册。

报警邮件

“日志与报告>日志配置>报警邮件”选项可以发送邮件告知 FortiGuard 分析

服务过期时间。

FortiGuard 分析服务

FortiGuard 分析服务是在 FortiOS 3.0 MR4 中引入的，MR5 中与 FortiGuard管理服务集成。FortiGuard 管理服务是基于订购的，可以提供随需应变的固件升

级以及定时升级服务，包括通过版本控制选项进行配置文件备份与恢复。详细信

息，参见 FortiGate 设备管理与使用手册。如果您在 FortiOS 3.0MR4 中注册了试用合同，升级到 FortiOS 3.0 MR5 后，

需要重新连接到 FortiGuard 分析服务器。使用以下步骤重新连接到 FortiGuard 分

析服务器。重新连接到 FortiGuard 分析服务器 1. 登录基于 web 的管理器。 2. 进入“系统>维护>FortiGuard 中心”。 3. 点击蓝色箭头扩展管理与服务选项。 4. 输入帐号 ID。 5. 点击“应用”。页面刷新，分析服务旁边显示橙色 X。 6. 点击分析服务旁的“升级”。页面刷新，分析服务旁边显示绿色对勾，表示已升级且连接。

公知信息

FortiOS 3.0MR5 解决了很多之前维护版本中遗留的问题。建议查看 FortiOS 3.0 MR5 发布说明中“已解决问题”章节。如果也建议升级到可用的补丁版本。

除非另行注明，以下是 FortiOS 3.0 MR5 延续的问题。

系统设置

系统设置的问题涉及到基于 web 的管理器与 CLI： FortiGate-5001FA2 与 FortiGate-5005 设备不支持 FA2 端口的 SNMP 统计数

据收集。更改管理 VDOM 时，FortiGate 设备与 FortiManager 设备的连接工作正常，

现在存在一个通道中。在一个分区中安装 FortiOS 2.80 固件不能取代第二分区的安装。

即时消息（IM）

即时消息的问题只涉及到基于 web 的管理器：不支持 AIM6.0.28，因为 AIM 日志信息被加密且不能被 FortiGate 设备检测

到。 FortiGate 设备可以屏蔽即时消息用户端登录，但如果即时消息用户使用

HTTP 通道，FortiGate 设备便不能控制 IM 流量。 FortiOS 3.0MR5 所支持的 IM 中存在的问题：

IM 用户版本描述 AIM Triton 6.028.1 用户文本信息内容以文本格式显示在即时消

息内容日志。使用非加密/加密 AIM 版本的用户不能与其他

AIM 用户建立视频连接。 Yahoo！Messenger 8.1.0.209 FortiGate 设备支持 Yahoo！音频聊天，但是不

能显示替换信息。 MSN Live Messenger 8.1.0178.0 MSN 在初始建立通信时使用 SSL，所以

FortiGate 设备不能屏蔽语音聊天与文件传送

信息。

P2P

P2P 问题只涉及到基于 web 管理器： IPS 引擎 1.050 提高了对 Skype 的屏蔽，但是 Skype 协议只能暂时被屏蔽。

日志与报告

日志与报告涉及到基于 web 管理器与 CLI： FortiGate 设备对 P2P 类型与图标类型日志信息使用 im 与 im-all。不支持 SSL-VPN 流量的日志信息记录。从从属设备下载日志文件，这些日志文件是空的。

HA（高可用性）

HA 的问题涉及到基于 web 管理器与 CLI：应用于 HA 主动-被动模式时，且一台从属设备重启或进入未连接状态，主

设备发送正确的陷阱信息。


FortiOS3.0 MR4在MR3的基础上增加的新的功能以及对原有功能进行了改

进。新的功能包括对每个接口增加二级IP地址，提供显示配置拓扑结构图以及对

VoIP电话进行日志记录并可以进行查看。以及编辑系统面板显示的信息栏。 FortiOS3.0MR4中对以下方面功能进行了改进与增强，包括VDOM、路由与

VIP负载均衡。本章包括以下内容：

新增功能与功能更改公知信息

FortiOS3.0MR4 增加了几项新的功能，以及对原有功能修改。以下将做详细

说明。在将系统升级到 FortiOS 3.0MR4 之前，建议阅读本技术文档以及以下所列

技术文档，熟悉增加的新功能以及一些功能的更改。 FortiGate 设备管理与使用手册 FortiGate 设备 CLI 使用参考手册 FortiGate 设备 HA 概述

警告：建议升级到 FortiOS 3.0MR4 补丁。MR4 补丁解决了 FortiOS 3.0 中影响关

键功能的几项公知信息。已解决的公知信息包括： Windows 更新花费时间较长。 FortiGate-3600A 允许在一些端口中通过一项拒绝策略进行某些会话分割。对于 FortiOS 3.0MR4，不能修改 IPS 特征的严重性级别。简化基于 web 管理服务器负载均衡实现基于每项策略的流量计数

注意：参见 FortiOS 3.0MR4 发布说明中有关“已解决的公知信息”章节，获得

更详细的信息。有关 FortiOS3.0MR4 升级的信息，参见“更改固件版本”中的叙

述。

新增功能与功能更改

以下信息只涉及新增加的功能与一些功能的更改。当出现具体的应用时同时

说明程序性信息。

系统设置

MR4 增强了系统面板的功能。您可以在面板中移动各功能区域。类似于

FortiOS3.0MR2 中的防火墙策略，您可以拖动策略移动到面板中的任何位置。将鼠标移动到面板中任何一显示板块名称的旁边，点击出现的箭头，可以折叠或

扩展板块，类似其它菜单中的蓝色箭头功能。您也可以点击每个板块类型右上角

中显示的 X 型，隐藏板块。您也可以点击面板上方“添加内容”将隐藏的板块

返回到面板中。图 15 显示将板块类型系统的系统面板。您可以点击面板上方的刷新图标刷新面板。

图 26：FortiGate-100 设备的系统面板，其中隐藏了 CLI 控制台与许可证信息显

示板块

“重启系统”、“关闭系统”、“重新设置”这些选项都设置在“设备操作”板

块中。当您点击其中任何一个选项，将会弹出可以窗口需要您输入“重新设置

FortiGate 设备”、“关闭设备”以及“重新启动设备”的原因。这些原因的描述

信息都将记录到日志信息，例如以下信息中的黑体字显示： 2006-12-09 15:09:06 log_id=0104032138 type=event subtype=admin pri=critical vd=root user= “admin” ui-GUI (142.50.140.1) action=reboot msg=“User admin rebooted the device from GUI (142.50.140.1). The FortiGate unit was rebooted for testing purpose.” 注意：退出基于 web 的管理器之前进行对面板显示板块的重新排列不能够保存。

调整后面板显示将在每次退出/登录基于 web 的管理器后显示。

网络接口

进入系统>网络接口，您可以对每个接口配置二级 IP 地址，多可以配置

32 个二级地址。一级与二级 IP 地址可以共享同一个 ping 发生器。在对接口配置二级 IP 地址前，您需要：

配置一级 IP 地址启动“手工寻址”模式如果允许系统子网重叠，使用 config system global 命令

默认情况下，IP 地址不能是相同子网的一部分。您需要允许系统子网交叠。

您可以使用 system global 命令配置系统子网交叠。详细信息，参见 FortiGate 设

备 CLI 使用参考手册。

访问控制列表

对管理员配置访问控制列表时，您可以选择在防火墙配置中只允许对某些防

火墙策略配置的访问。当您点击蓝色箭头扩展防火墙策略配置选项时，您可以选

择设置允许管理员对以下配置之一或全部进行访问：策略配置地址配置服务配置时间表配置内容保护文件配置其它配置

拓扑结构

“拓扑结构”是状态菜单中新增的功能。在拓扑功能栏，您可以根据图表结

构查看网络配置。图表显示的网络结构下，您可以快速查看每个接口的连接情况，

和/或 FortiGate 设备到 FortiAnalyzer 设备或到 FortiManager 设备的连接状态；以

及编辑和/或配置网络配置。注意：只有对防火墙具有读写权限的管理员或对系统具有读写权限的管理员才被

允许配置与编辑拓扑结构图。FortiGate 设备需要有 256MB 的 RAM 维持拓扑功

能的操作。点击“编辑”图标后，可以编辑或配置拓扑结构图。

图 27：拓扑结构图的编辑/查看图标

保存(Save) 保存拓扑结构图。对拓扑结构进行修改后，点击“保存”，及时存

储配置更改。添加子网 (Add subnet)

对接口添加防火墙策略。这些连接称为子网。

插入注释 (Insert Text)

对子网添加注释或描述。

删除(Delete) 删除子网连接。用户定制 (Customize)

定义拓扑结构显示背景、线条颜色以及显示图像大小。您可以选

择使用美国地图或世界地图作为背景或自选图像。图 28 为使用世

界地图的背景。拖动(Drag) 拖动结构图中的图示，将其放置在拓扑结构中任何选定的位置。手形工具

(Scroll) 固定拓扑结构图显示比例查看图表。

选择(Select) 选定查看拓扑结构图。刷新(Refresh) 刷新拓扑结构图页面。只有在查看或编辑和/或配置拓扑结构图时，

该图标是可见的。放大(Zoom in) 放大显示拓扑结构图。只有在查看或编辑和/或配置拓扑结构图时，

该图标是可见的。缩小(Zoom out) 缩小显示拓扑结构图。只有在查看或编辑和/或配置拓扑结构图时，

该图标是可见的。

网络配置的复杂性决定拓扑结构图的显示。如图 28 所示，网络管理员配置

FortiGate 设备连接到一台 FortiAnalyzer 设备，并对网络拓扑结构图中的某些连

接添加了注释。图右下方是缩小版的结构图显示。您可以不在使用结构图页面上方图标的情

况下放大或缩小或查看结构图的不同区域。如果您在 VDOM 配置下，拓扑结构图功能不可用。有关 FortiOS3.0MR4 中

VDOM 的详细信息，参见 FortiGate 设备管理与使用手册。图 28：FortiGate-100 的拓扑结构图

多个 DHCP 服务器的 IP-MAC 绑定

设置绑定多个 DHCP 服务器 IP-MAC。FortiOS3.0MR4 在配置两个不同的

DHCP 服务器时也支持 IP-MAC 绑定功能。如果一个 DHCP 用户是多功能型，需

要在所有的 DHCP 用户接口设定 IP-MAC 绑定。您可以在 DHCP 用户要求每次

获得一个具体 IP 地址时应用 IP-MAC 绑定功能。

硬盘健康状态监控（HDD）

硬盘健康状态监控（HDD）功能以自身监控分析与报告（SMART）系统诊

断潜在的硬盘故障。SMART 针对计算机设备硬盘，检测与报告可靠性指标并进

行预警的开放标准监控系统。通过程序性的查询SMART诊断程序，可以对潜在的硬盘故障发出较早的警

告。当第一个故障发生后，生成一个报警控制信息，并在每次故障发生后生成一

个危急日志。 diagnostic解释命令包括两个新的HDD命令： diagnose sys logdisk smart diagnose sye logdisk usage

命令行接口

使用CLI，您可以备份全部配置以及每次配置FortiGate设备时全部默认的设

置值。可以将配置文件保存到FortiUSB或一个TFTP服务器。 execute backup full-config<tftp|usb> filename ip [password]

不均衡的路由是基于每个VDOM设置的，system settings命令可以显示该设

置。 PPTP地址范围中起始与结束IP必须是相同级别的子网的地址。以下所示的

PPTP地址起止范围是无效的： config vpn pptp set status enable set usrgrp test-group set sip 192.168.10.1 set eip192.168.11.250 end

FortiGuard-web 过滤与反垃圾邮件服务

FortiGuard-web过滤与反垃圾邮件服务改进了URL的提交包括反垃圾误报的

正确性。 FortiGuard-web过滤URL提交页面必需输入您的名字、公司与邮件地址才可

以接受进行URL查看。建议您在发送提交内容之前查看所填写信息的正确性。 FortiGuard-web过滤URL提交页面也包含CAPTCHA（Completely Automated

Public Turing）测试，对发送URL提供了更好的安全性。反垃圾邮件误报特征提交页面需要输入邮箱地址，姓名与公司并不是必添

项。同时您必须确认所提交的垃圾邮件特征是垃圾邮件或干净邮件，提高邮件提

交的正确性。反垃圾邮件误报特征提交页面与URL提交服务器是由同一个服务器

托管，且总是可用的。

VDOM

进入“系统设置>状态”，启动VDOM。在系统信息中点击“启动”时，基

于web的管理器自动将您退出登录状态。您再次登录到基于web的管理器，VDOM便启动了，并且进入“系统设置>VDOM”可以配置VDOM。VDOM菜单只有在

启动VDOM后显示。 VDOM菜单下，您可以实现配置、编辑、删除以及切换VDOM的操作。如

需要，您可以对每个VDOM设置管理访问权限。启动VDOM后，某些VDOM只允许对FortiGate设备一部分功能的访问。建议

在您所处的VDOM校验是否能够对您需要配置的FortiGate设备的功能进行访问。

路由

路由功能包括IETF标准化双向转发检测协议（IETF standardized Bi-directional Forwarding Detection）。BFD是高速单机HELLO协议，类似于其它

路由协议，如OSPF。这些协议可以应用于接口、通道、路由或其他网络转发设

备。 BFD需要通过OSPF与BGP来实现。BFD先要进行协议配置，路由协议是根

据配置分配的。协议配置是基于每个VDOM的。对于每个VDOM有一个全局设

置，可以对VDOM的所有接口启动BFD，以及全局计时数值。在每个接口，全局

设置可以被接口中的BFD设置覆盖。BFD需要使用CLI配置，参见FortiGate设备

CLI使用参考手册获得详细信息。路由功能加强还体现在路由重启。路由重启可以使用FortiGate设备重新启动

路由后台程序，将设备重启对流量的影响降到小。该功能应用在HA中当群集

中主设备故障需要从属设备接替主设备的情况下。使用CLI配置路由重启，详细

信息参见FortiGate设备CLI使用参考手册。注意：MR4中BGP路由协议具有MD5密码验证且只在CLI中可用。

防火墙

防火墙菜单增加了新功能基于协议的验证，并加强了VIP负载平衡。进入防

火墙>策略，您可以查看通过防火墙策略的数据包数量。基于每项协议验证功能，使管理员控制验证使用的协议，如HTTP、HTTPS

与Telnet。举例说明，如果对FTP启动了验证，FortiGate设备收到用户发来的FTP请求后会要求输入用户名与密码。对于接下来从同一个用户发送的消息，不管使

用任何传输协议都被允许通过。例如，如果只启动HTTP，那么意味着撤消了

HTTPS、FTP与Telnet，也就是说用户试图发送Telnet连接时，FortiGate设备不会

要求用户输入用户名与密码，只有使用HTTP时才会要求进行验证。对于HTTP验证的另外一项功能是在不断发送的请求可以被重新定向使用HTTPS，该功能可

以在基于web的管理器中进入“用户>验证”，以及在CLI命令global shell命令下实

现。

MR4加强了VIP负载平衡功能。FortiGate设备可以在VIP配置下设置多个不

连续映射IP地址。设置VIP负载平衡，FortiGate设备也可以Ping服务器以此来判

断该服务器是否在使用中。VIP负载平衡设置只能使用CLI实现。在MR4中，当设置匹配的策略时，建议考虑以下因素，因为SSL VPN策略将

对SSL通道模式检索主机IP地址：需要验证的策略必须添加到策略列表中不匹配策略之前。否则，不需要验证

的策略将优先被选。 IPSec VPN通道模式策略必须添加在策略列表中接受或拒绝匹配策略之前。 SSL VPN策略必须添加在策略列表中接受或拒绝匹配策略之前。

策略

防火墙策略列表页面包括与每项防火墙策略对应的会话计数。每项防火墙策

略的计数栏显示次数以及防火墙策略匹配的字节数。计数栏只有在被选中后才生

效。在一个数据包到达防火墙并与策略相匹配时将创建议一条新的策略会话。这

条匹配防火墙策略的第一数据包将记录在新的策略会话计数中。后续的数据包将

不予考虑。当FortiGate防火墙策略重新启动时，以及重新配置或删除防火墙，计数器也

需要重新设置。默认的情况下将启动新的策略会话计数。

VPN

VPN菜单增加了新功能，阶段一与阶段二IPSec阶段1接口；并增强了公共秘

钥架构（PKI）功能。相对FortiOS3.0MR4，建议先升级到FortiOS3.0MR4补丁版。如果您升级到

FortiOS3.0MR4，所有的SSL VPN通道都将删除。MR4补丁可以保持在升级时所

有的SSL VPN通道都是正常的。一级与二级IPSec阶段1是对IPSec接口定义的。该功能允许定义一个VPN，

在一级接口中断时，二级接口可以进行接替；并且在一级接口恢复后，二级接口

自动关闭。上述情况通常发生在当二级接口通过设置调制解调器作于一级IPSec接口的冗余。一级与二级IPSec阶段1接口的功能需要使用CLI实现。

对FortiOS MR4中加强了管理访问IPSec、SSL VPN以及基于web验证的基于

证书验证。以下是MR4中PKI功能增强的体现：所有有效的用户验证必须是非过期且由CA签发的证书。用户证书确认可以包括从CRI获得的证书撤消状态或从在线证书状态协议

（OCSP）服务器获得的证书撤消状态中的其中之一或全部。支持从LDAP或HTTP服务器进行自动CRL升级。在用户证书中可以使用普通名称（CN）执行活动目录（Active Directory）查

询，以判断用户的访问权限。例如，LDAP查询识别是否CN是在正确的设置

组，并是该组成员之一。对HTTPS管理员访问使用用户端服务器证书。登录操作使用用户端验证用户

端证书与配置的管理对等组进行匹配。

支持较大的CRL文件。支持SCEP发送证书请求到一个CA服务器并且获得CA签发的证书，从CA服

务器获取CA证书，或从CA证书获取CRL证书。导入CA与CRL证书时，您可以指定导入证书的地址。您可以指定将CRL证

书导入四个地址，指定CA证书导入两个地址。对于SSL VPN功能，“RDP到主机”选项web模式可以在用户连接到一个服务

器时接受键盘布局设置作为参数。在“RDP到主机”字段，包括以下信息： <IP地址或服务器的FQDN>-m<语言> <语言>可以是以下任何一种： ar-阿拉伯语 fi-芬兰语 it-立陶宛语 pt-br-巴西语 da-丹麦语 fr-法语 lv-拉脱维亚语 ru-俄语 de-德语 fr-比利时式法语 mk-马其顿语 sl-斯洛文尼亚语

en-bg-英语 hr-克罗地亚语 no-挪威语 sv-色当语 en-美式英语 it-意大利语 pl-波兰语 tk-土库曼语 es-西班牙语 ja-日语 pt-葡萄牙语 tr-土耳其语

“用户”菜单中增加了新的栏目，分别为PKI与验证。 “验证”功能之前在“系统设置>管理员>设置”项下进行配置，现在设在

“用户”菜单中，并可以选择您需要验证的协议，包括：HTTP、FTP、HTTPS与Telnet。您也可以启动“将HTTP重新定向到安全通道（HTTPS）”，这之前，您

需要先启动HTTPS。 PKI菜单中，您可以创建与编辑PKI用户。详细信息，参见FortiGate设备管理

与使用手册有关用户菜单中PKI内容。

入侵防护

FortiGate设备能够将IPS信息以邮件形式发送到FortiGuard服务器以检测IPS特征。该功能在“系统设置>维护>FortiGuard中心”或使用CLI命令ips global启动。

FortiGate设备发送以下信息：序列号事件日期与时间报告持续时间网络协议源IP地址与端口，目标IP地址与端口漏洞ID与特征ID 在报告持续的时间段内入侵发生的次数匹配规则的版本ID IPS特征发布版本与引擎版本

MR4中更改了基于web管理器中的IPS菜单。以下是菜单中涉及的更改信息：访问所有预先定义的特征，需要进入“入侵防护>特征>预先定义”。在协议解码器页面，只能对端口数量进行更改。在“预定义页面”您可以配

置并启动数据包日志的动作。预先定义特征的严重性级别设置是建议设置的级别，不可更改。预定义页面中许多栏目中增加了过滤选项。除了名称字段，所有的字段都是

大小写敏感的。在以后发布的版本中，所有的字段都将支持大小写敏感。 IP主机地址与子网地址不限制于IPS预先定义的特征。例如，如果您想排除主

机IP地址172.16.100.100作为源与目标地址，您可以输入172.16.100.100设置

免除。

Web 过滤

MR4中，加强了FortiGuard web过滤跳过功能，新增了“FASE组”，该功能

只在防火墙用户组中可用。

IM、P2P 与 VoIP

从IM/P2P菜单，您可以查看并对VoIP通话设置日志记录。VoIP的应用，通过

互联网实现彼此之间如同电话般的通话，使用IP代替传输的电路传输发送语音数

据包。您可以查看丢弃的VoIP以及连接失败的VoIP通话，使用VoIP连接成功的通话

以及当前VoIP通话总数。您也可以查看活动的VoIP会话，如连接的通话等等。在内容保护文件中，可以启动对VoIP通话进行日志记录。详细信息，参见FortiGate 设备管理与使用手册。

日志与报告

日志与报告菜单中，增加了新的日志系统是基于订购的FortiGuard日志与分

析服务。该日志系统类似于Syslog服务器或Web Trends服务器，从FortiGate设备

设置将日志提交到FortiGuard日志与分析服务。该功能是基于请求的。 FortiGuard日志与分析订购服务只在FortiGate-100或该型号以下的FortiGate

设备中可用。如果您的网络配置使用了VoIP，您可以对VoIP通话设置日志记录。VoIP日志

文件是plog。plog文件记录违规，但不包括已经记录到IM日志文件(ilog)里的简单

协议违规。所有的日志信息，由被允许的VoIP流量产生并发送到内容日志（clog）。VoIP日志也存储在FortiGate设备的系统内存中。

下表显示与每项VoIP日志文件类型有关的日志信息类型。信息类型日志文件 SIP发起通话 clog SIP结束通话 clog SIP被屏蔽 plog SCCP电话注册 clog SCCP通话信息 clog SCCP被屏蔽 plog SIMPLE日志信息 clog SIMPLE屏蔽信息 ilog

报告配置

报告配置菜单包括一个新的CLI命令multi-report，用于启动配置多个

FortiAnalyzer报告。升级到MR4后，报告配置页面，在multi-report命令还没有启

动时，FortiGate设备显示默认的FortiAnalyzer报告。启动multi-report命令后，报

告配置显示的信息与升级到MR4之前的一样。启动“多个报告”后，您可以配置FortiAnalyzer报告、查看引擎状态或任何

生成的报告，以及生成设置的下个阶段的报告的时间。报告配置菜单包括从日志数据信息选择的类别显示，按照以下顺序：

属性自定义页眉与页脚，包括公司名称。该选项是可选的。“属

性”是“用户化”的更名。报告范围选择报告中需要包含的信息项目。报告类型报告所包括的类型。报告格式使用变量处理主机名称或报告排列的顺序。输出选择报告的文件格式。您也可以配置将生成报告发送到的

邮件地址和/或设置上传报告至FTP服务器、SFTP服务器

或SCP服务器。时间表设置FortiAnalyzer设备生成报告的时间频率，如每周或每

月。摘要版面从26种不同的图示显示中选择报告显示的格式。您也可以

选择显示这些摘要的栏目数或编辑和/或移出列表。

高可用性（HA）

FortiOS 3.0MR4固件可以使用FA2加速加强主动-主动HA模式的负载平衡。

FA2加速功能只有在设有FA2接口的FortiGate设备中可用，如

FortiGate-1000AFA2，5001FA2与5005FA2。 HA群集中主设备的功能会受到主动-主动模式的负载平衡的影响。主设备接

收并发送数据包到从属设备需要设备断电再启动的电源系统以及总线带宽来保

证。在一个较繁忙的主动-主动模式HA群集中，主设备可能不能赶得上处理中的

负载。那么，这就可能导致丢包以及主设备发送心跳数据包延迟。 FortiOS MR4主动-主动HA模式使FA2设备将FA2接口接到的数据包发送到

从属设备。这种情况下，每个新的会话的第一个数据包仍然由主设备接收，并且

主设备使用其负载平衡时间表来决定群集设备处理话该会话。有关所有会话的信

息将由从属设备处理并发送到FA2设备。然后，所有的设备在不使用主设备CPU或总线的情况下直接将信息发送到从属设备。这样设置的结果减小对主设备的负

担，并维持一个快速稳定的主动-主动HA群集。 FA2 FortiGate设备组成群集应用于主动-主动模式，利用FA2加速连接到繁

忙的网络，连接非加速的网络到相对不很繁忙的网络，这样的的连接不需要特殊

的FortiOS配置。主动-主动HA负载平衡中FA2加速对任何主动-主动HA配置均支

持。

公知信息

FortiOS3.0MR3中的公知信息将延续在FortiOS3.0MR4中，除非另有注明。建

议升级到FortiOS3.0MR4补丁，补丁的发布解决了Forti3.0MR4中影响主要功能的

几项公知信息。


FortiGate-100A与FortiGate-200A改版1中基于web的管理器不时地会显示“交

换模式”按钮。“交换模式”功能在序列号以FG100A2905或FG200A2905起始的FortiGate-100A与FortiGate-200A改版2中可用，点击该按钮，显示交换模

式的管理页面，但是任何设置更改都不被保存。只有FortiGate-100A与

FortiGate-200A设备受影响。启动VDOM模式将导致自动退出管理员对console控制台的登录。状态页面中，当前管理员窗口现在能够正确显示登录管理员数量。简化了使用基于web的管理器配置服务器负载平衡。升级到FortiOSMR4补丁

版本可以解决该问题。

系统设置

系统设置涉及到使用基于web管理器与CLI的操作： FortiGate-60在系统关机再开机时不能发送冷启动SNMP。 VDOM启动后，当选择一个超级管理员访问权限时，出现虚拟域字段。对于

一个虚拟域来讲没必要设置超级管理员。 PKI管理用户如果将证书安装在本地PC或将CA证书安装在FortiGate设备，那

么即使退出基于web的管理器，还可能会在web管理器中显示。当PKI用户使

用HTTPS登录基于web的管理器然后退出时，web管理器页面仍然显示PKI用户。

当您在Windows2000或WindowsXP中点击“开始>Windows更新”时，Windows更新功能不能正常工作。您需要升级到FortiOS3.0MR4补丁解决该问题。

虚拟域

虚拟域涉及到使用基于web管理器与CLI的操作：当VDOM启动后，状态页面中内容存档与攻击日志统计信息将不进行更新。

这些统计信息不是基于每个VDOM的。对VDOM配置保持的统计信息是针对

管理虚拟域的。 FortiGate设备不能从虚拟群集配置中主设备与第一虚拟群集具有不同的主机

的情况下的非管理器VDOM发送报警邮件。


高可用性涉及到使用基于web管理器与CLI的操作： FortiGate-100A与FortiGate-200A（改版2）设备使用了比改版1更高级的芯片。

该芯片可以使您配置四个内部接口作为一个第四接口或四个独立的接口。使

用改版2与改版1FortiGate-100A或FortiGate-200A不能形成一个HA群集。改版

2的设备序列号是从FG100A2905或FG200A2905开始。 HA中route-ttl命令的默认值是10。

防火墙

防火墙涉及到使用基于web管理器与CLI的操作：防火墙时间表不支持web模式或通道模式SSL-VPN。升级到FortiOS3.0MR4

可以解决该问题。预先定义的防火墙服务，如果使用CLI访问，将不在VDOM中显示。使用基

于web的管理器查看预先定义的防火墙服务。动态DNS设置vavic.com协议更改的问题，Fortinet公司正在与服务商协商解

决。对FortiClient查看的“声明”启动后，用户将被重新定向到下载页面。当验

证与FortiClient查看同时启动时，FortiClient查看功能不生效。使用带有web验证的Konqueror3.6.4-12fc6web浏览器，验证不能成功。 FortiGate-3600A在一些端口允许某些会话摆脱拒绝策略的控制。您需要升级

到FortiOS3.0MR4补丁解决该问题。

VPN

VPN涉及到使用基于web管理器与CLI的操作： FortiGate设备不支持使用MMS协议通过web模式SSL-VPN通道分配视频数

据流的显示。基于web的管理器中删除了VPN闪烁图标，原因是该图标不能生效。编辑标签中的条目时，将显示重新定向URL窗口。对于具有超线程或双核的PC，SSL-VPN可能会中断流量。

反病毒

反病毒涉及到使用基于web管理器与CLI的操作：在NNTP发布操作中AV扫描不能进行。反病毒>隔离>配置的选项中“硬盘空间不足”不可用，只有在设置了“隔离

到FortiAnalyzer设备”功能框后，可用的选项才可以被更改。

IPS

入侵防护检测涉及到使用基于web管理器与CLI的操作：当FortiGate设备位于HTTP代理服务器之后时，FortiGuard web过滤验证绕过

功能不能返回到绕过页面。您可以在web浏览应用程序前添加*.8008并放入

应该绕过服务器的URL中。8008是端口验证的默认端口号。使用基于web的管理器，可以在内容保护列表中启动FortiGuard跳过功能。即使过了延长的时间段，FortiGate设备现在可以屏蔽Skype用户。 MR4中，用户不能修改IPS严重性规则。您需要升级到FortiOS3.0MR4补丁解

决该问题。

Web 过滤

Web过滤涉及到使用基于web管理器与CLI的操作： Web过滤禁忌词汇功能不能够屏蔽以SHIFT JIS编码的网页。 http:\\www.fortinet.com格式的本地分类在从FortiOS 3.0MR2升级到

FortiOS3.0 MR3后不能被删除。您可以使用CLI命令purge实现条目的删除操

作。

即时消息（IM）

Web过滤涉及使用基于web管理器的操作： FortiGate设备能够屏蔽所有的即时消息程序的登录，但是如果即时消息用户

HTTP通道时不能控制即时消息流量。发生以下情况，不能作为系统bug：

1. FortiGate设备不能检测与控制使用MSN8.0的IM用户之间的语音聊天流

量，因为这些数据流是加密的。 2. 通过端口80，Yahoo！流量是经过编码的，不应用于IM程序处理，所以

通过端口80传输的文件被屏蔽。下表信息是有关MR4支持的每项IM协议的有关信息：

IM 用户版本描述 AIM Classic

5.9.6089 用户使用非加密或加密 AIM 版本时，不能够与其它

AIM 用户进行视频连接。应用 AIM 加密后，不能进行到 AIM 对等用户的直接

连接。如果不使用 AIM 加密，所有的尝试连接均不

成功。这种情况在所有 AIM 非加密与加密的用户中

都存在。当一个 AIM 用户从另一个 AIM 用户接收文件时，

FortiGate 文件数目统计将不增加。这种情况在所有

AIM 非加密与加密的用户中都存在。 NetMeeting 使用 H.323 不能建立连接。这种情况在所

有 AIM 非加密与加密的用户中都存在。

包含的日文的 IM 系统替换信息不能正常显示。用户文本信息内容以及文本格式信息将在即时信息

内容日志中显示 AIM Triton

6.028.1 当两个 AIM 用户均使用 6.0.28.1 版本进行通信时，

FortiGate 设备将音频事件记录到 FortiAnalyzer 设备。 ICQ 5.10 NetMeeting 使用 H.323 不能建立连接。这种情况在所

有 AIM 非加密与加密的用户中都存在。包含的日文的 IM 系统替换信息不能正常显示。

Yahoo！ Messenger

8.1.0.195 当用户通过 FortiGate 设备对其它 MSN 用户发送消息

时，会话统计计数不正确。 Yahoo!7.0 版本中，不能屏蔽音频通信。

P2P

P2P只涉及到基于web管理器中的操作： FortiGate设备不能屏蔽使用Azureus/BitTorrent 2.50版本的P2P用户。 AIM5.9、AIM6.0或ICQ 5使用非标准端口或应用了IPS2.334版本或更早版本

的特征，FortiGate设备不能检测到AIM5.9、AIM6.0或ICQ 5用户。对一些P2P用户的检测，需要在内容保护列表中使用CLI命令set ips-signature low。使用

IPS2.335版本或更高版本的特征能够保证FortiGate设备检测到AIM5.9、AIM6.0或ICQ 5。

日志与报告

日志与报告的操作涉及到基于web的管理器与CLI的使用： FortiGate设备不能正确发送有关是否web过滤事件被屏蔽或被允许这样的报

警邮件，即使只在“被屏蔽的web访问”配置发送报警邮件。即使一个SMTP日志信息中包含不止一个接收人，FortiGate设备在记录日志

信息中也只记录一个接收人。 FortiGate设备支持的每项IM程序（MSN，Yahoo!， AIM与 ICQ）的聊天信

息编码均不同。这些信息在传输到FortiAnalyzer设备进行日志记录或内容存

档之前都将被转换，并且因为这样的转换，IM程序都将以编码后的格式显示。

MSN用户以UTF-8，Yahoo用户以UFT-8，AIM使用纯文本或HTML，ICQ使

用DTF。


FortiOS 3.0MR3的更新是继MR2与MR1两个版本，对设备功能性与管理性的

改进与升级。MR3支持内容存档，日志文件中清晰的说明了日志类型、日志来源

设备、VDOM日志记录以及日志记录时间的信息。系统面板中包括内嵌的CLI控制台窗口。以下章节中的信息是对MR3版本的说明：

新增功能与功能更改公知信息

Fortinet 公司建议有关 FortiOS 3.0 MR3 中新增加的功能，以及一些功能的更改，

参见以下文件： FortiGate 设备管理与使用手册 FortiGate 设备 CLI 使用参考手册 FortiGate 设备 HA 概述

注意：有关 FortiOS 3.0MR3 中已经解决的技术问题，参见 FortiOS 3.0MR3 发布

说明中“已解决的公知问题”章节。下文中的“管理固件版本”中对有关 FortiOS 3.0 MR3 升级的问题进行了说明。

新增功能与功能更改

以下信息只涉及新增加的功能与一些功能的更改，或二者兼而有之的菜单。

当出现具体的应用时同时说明有关操作。升级到FortiOS 3.0MR3后，基于web的管理器登录页面显示如下：

图29：FortiOS 3.0MR3登录页面

FortiOS3.0MR3 中 CLI 操作的更改

CLI命令get,show与clear在MR3中功能性得到了增强。 get --- get命令现在可以显示动态系统信息。 show --- show命令包括新的选项full-configuration，显示所有的关键字值，与

执行get命令的结果一样。 clear --- 新命令，执行execute clear命令可以清除或重设动态计算器与数据

库。

系统设置

系统面板中增加了嵌入的CLI控制台以及HA群集成员、HA群集名称以及登

录基于web管理器和/或CLI的管理员人数。图30：FortiGate-60设备的系统面板显示

系统信息序列号 FortiGate设备的序列号。运行时间设备运行的具体时间。系统时间系统在特定的时区中的时间显示。 HA状态设备在HA群集中运行的状态。点击“配置”配置群集中的

FortiGate设备。群集名称 FortiGate设备所在HA群集的名称。该名称只在FortiGate设

备加入群集时显示。

群集成员属于当前HA群集的群集成员。该信息只有在FortiGate设备

加入某群集时显示。主机名称 FortiGate设备的主机名称。点击“更改”可以更改FortiGate

设备的名称。固件版本当前固件版本。点击“更新”安装新的固件版本或降级到

之前的固件版本。操作模式 FortiGate设备运行的操作模式。点击“更改”，更改操作模

式。虚拟域显示是否启动了虚拟域。点击“更改”，启动或撤消使用

虚拟域。当前管理员基于web管理器和/或CLI中当前登录的管理员数量。当您

选择“详情”时会弹出一个窗口显示每个管理员信息，包

括管理员登录的IP地址，您可以点击“断开连接”断开一

个管理员与设备的连接。许可证信

息

支持合同支持合同的版本与过期时间。 FortiGuard服

务订购为FortiGate设备订购的FortiGuard服务。显示这些服务是否

是新的，以及是否需要更新或显示服务过期的时间。虚拟域允许的

虚拟域 FortiGate 设备允许设定的大虚拟域数量。

CLI控制

台 MR3中，CLI操作窗口是新添加的。在基于web管理器系统面板中的

Console控制台您可以输入CLI命令。系统资源 CPU使用率 CPU使用率的百分比。内存使用率内存使用率的百分比。 FortiAnalyzer

使用率 FortiAnalyzer使用率的百分比。

报警信息显示系统报警信息。这些信息中包括如果系统重启后固件升级或降级的

信息。如果在具体一个时间段内反病毒引擎在内存中较低，也会显示报

警信息。统计表显示内容存档与攻击日志的详细统计信息。

访问“系统设置>管理员”，新增一个可用的访问内容表，名为超级管理员

（super_admin）。超级管理员账户创建了新的admin管理员，与默认的admin管理

器员具有同样的读写权限。您可以设置多个超级管理员（super_admin），如需要

您可以编辑或删除超级管理员账户。CLI中实现该功能的命令是is-admin。使用CLI恢复固件镜像时，可以用FTP协议。以下是FTP的CLI语法：

execute restore image ftp <image name> <server IP> <ftp_user> <ftp_pwd> 以下管理端口的性能得到增强，能够提供更有效灵活的管理：

支持TELNET与SSH的非标准端口 SSHv1支持两个新CLI命令可以显示管理登录状态，分别是get system admin status与get

system admin ssh status。

CLI 控制台

FortiOS 3.0MR3中，基于web的管理器的系统设置面板中CLI控制台查看并输

入CLI命令。点击嵌入的CLI控制台显示背景便连接到CLI。图31：设置了背景色的CLI控制台

CLI控制台中，您可以编辑CLI控制台显示的背景色或在新的窗口打开控制

台。如图31所示，您可以自定义CLI控制台的显示窗口，包括控制台所能显示命

令的行数。图32：CLI控制台自定义窗口

CLI可以使用SSH登录远程系统，举例说明，一台FortiManager设备与

FortiGate设备的CLI连接，使用CLI命令execute ssh<IPaddress@host>，可以使您

直接连接到另外一台Fortinet产品设备的CLI。注意：您可以利用使用终端模拟软件程序如HyperTerminal中应用exit命令退出基

于web的管理器系统面板中的CLI窗口。

在 FortiOS 3.0MR3 中创建列表

在创建，如URL过滤列表或黑白列表时，在添加列表条目之前需要先输入真

实列表的名称和/或注释。有关配置列表的详细信息，参见FortiGate设备管理与使用手册。

注意：FortiOS MR3对多数从FortiOS 3.0MR2升级后的列表创建了默认的名称。

如需要您可以更改默认的列表名称。

FortiGate-5050 与 FortiGate-5140 设备的机架管理

FortiOS 3.0MR3中，使用基于web的管理器与CLI（命令行接口）可以管理

FortiGate-5050与FortiGate-5140设备的机框状态。机框监控提供包括机框管理器

在内的刀片的状态、温度与电压状态信息。 FortiGate-5000刀片SNMP代理可以配置刀片温度或电压超过操作规定的阀

值时发送陷阱信息。 FortiGate-5000刀片的base背板接口可以通过FortiGate-5000机框背板提供数

据通信功能。使用基于web的管理器或CLI启动Base背板接口，也可以对base背板

接口配置防火墙策略进行流量控制。

防火墙

防火墙菜单中新增了一项“虚拟IP”菜单，您可以通过该菜单管理VIP。创建防火墙策略时，点击“新建”选项旁边的向下箭头显示新建选项与选项

名称。点击“新建”创建新的防火墙策略。点击“区域名称”可以在一项防火墙

策略项下创建指定名称的一行，例如指定名称为：internal->wan1，那么与这条

防火墙策略有关的这些策略都将包括在新的区域中。创建“区域名称” 1. 进入防火墙>策略，点击向下箭头的“新建”。 2. 显示“区域名称”。 3. 在“名称字段”输入名称。 4. 在开始策略ID字段输入开始策略的编号，也就是防火墙策略编号。 5. 点击“OK”确认。

根据您在起始策略ID字段输入的防火墙策略ID，与该“区域名称”有关的

可以是一项防火墙策略或许多防火墙策略。通过策略菜单，您可以对每项防火墙策略添加多个地址、组或服务。

图33：在一项防火墙策略中的多个地址与服务

FortiGate设备对每个防火墙策略支持多个地址、组与服务。举例说明，如果

您想设置在一项防火墙策略中具有多个地址，点击策略页面中“地址名称”旁边

的“新增”。 NTML是一个微软验证协议，FSAE B015支持NTML功能。支持基于每一用户组的验证超时。但只能使用CLI来实现。

config user group edit localgroup set authtimeout < (0-480 minutes) end

如果您将authtimeout值设置为0，配置用户组使用全局配置超时值应该在

config system global选项下设定。

策略

FortiOS 3.0MR3中，FortiGate设备处理透明模式与NAT模式下的多播流量略

有不同。透明模式下，多播转发在默认的情况下是启动的，但是必须添加具体的多播

防火墙策略。可以使用CLI配置多播防火墙策略。 config firewall multicast-policy edit 1 set srcintf source interface name set srcaddr source address set dstintf destination interface name set dstaddr destination address set nat source nat address set action {accept|deny} end

NAT模式下，多播转发在默认情况下是没有启动的，需要在配置具体的多播

策略之前启动，类似透明模式下的操作。 config system global

set multicast-forwading enable end

内容保护列表

在每项保护列表中，您可以存档元信息并通过选择“无”，“摘要”或“完整”

设定传输的文件。只有HTTP具有“无”与“摘要”选项。

FortiClient 检测防火墙策略

FortiOS 3.0MR3中，FortiGate-1000A与FortiGate-1000AF2中的防火墙策配置

增加了FortiClient用户新的限制查看条件。当这些策略启动后，通过FortiGate设备对FortiClient3.0MR2的访问限制是基于：

没有安装FortiClient 没有取得许可证的FortiClient安装 AV或IPS数据库过期没有启动AV 没有启动web过滤选项

如果FortiClient用户是由于以上的情况被限制访问，您可以将用户重新定向

到一个能够下载FortiClient的网页。进入“系统设置>维护>备份与恢复”，如果PC被限制访问，您可以下载存储一份FortiClient 3.0MR2 固件镜像。

RADIUS

FortiOS 3.0MR3支持一级与二级RADIUS服务器。一级与二级RADIUS服务

器的操作方法与一级与二级DNS服务器一样。该功能只能够使用CLI来实现。一

级RADIUS服务器需要在配置二级RADIUS之前进行配置。

举例说明，输入以下CLI命令可以建立一级与二级RADIUS服务器： config user radius edit radiusserver set server [IP address or FQDN] set secret [pre-shared key for primary RADIUS server] set secondary-server [IP address or FQDN] set secret [pre-shared key for secondary RADIUS server] end RADIUS设置在3.0中的改进还包括:

RADIUS请求的新属性: 1. NAS-IP地址 2. NAS-端口 3. Called-Station-ID 4. Fortinet-Vdom名称 5. NAS标示符

6. Acct-Session-ID 7. Connet_Info

RADIUS请求中对RADIUS服务器配置的IP地址选项。在CLI中使用RADIUS组属性选择保护文件：

config user radius set user-group-for-profile [enable | disable]

在CLI中，使用选项对管理VDOM发送RADIUS请求： config user radius set user-management-vdom [enable | disable]

VPN

FortiOS 3.0MR3中，相同的接口被用于SSL-VPN与HTTPS访问的管理员，即

使管理员并不运行于相同的接口和/或IP地址。一个管理员通常建立防火墙的方法如下：

一个专门的端口用于管理，如管理接口。在内部接口启动HTTPS管理访问，允许到外部端口的SSL-VPN连接。允许到各处的HTTPS管理访问，但是会配置SSL-VPN与HTTPS对不同的端口

进行侦听。

SSL-VPN

FortiOS 3.0MR3中，对SSL-VPN的设置进行如下改进：对下载的适当的用户机类型、Java或ActiveX进行浏览器类别的SSL-VPN检

测。 VNC Java client 对微软Windows中的Firefox进行主机检测对微软Windows中的Firefox采用通道模式用户对通道模式与web模式进行主机检测对近的AV特征进行主机检测

反病毒

反病毒远程校验查询允许对通过FortiGate设备的文件进行远程扫描。在

FortiGate设备生成MD5校验和然后发送到FortiGuard数据库与已知的恶意软件进

行匹配。这种情况下，FortiGate设备就能够扫描比本地FortiGate数据库更大型的

FortiGuard数据库。本地的FortiGate数据库因为闪存的容量而有存储有限。进行

以下配置启动AV查询：进入“系统>维护>FortiGuard中心>web过滤与反垃圾邮件”选项，启动到

FortiGuard服务的连接。使用以下CLI命令配置AV查询：

config firewall profile edit myProfile

set <http| ftp | pop3| smtp| imap| im| nntp|> avquery SNMP陷阱现在包括超大文件、分片邮件与文件名屏蔽模式。 NNTP也是能够支持的。使用基于web的管理器或CLI都可以配置NNTP。通

过NNTP传输文件的内容存档在该固件发布中不可用。

反垃圾邮件

在反垃圾邮件菜单中，被识别为垃圾邮件的邮件，支持使用邮件协议IMAP、POP3与SMTP，可以存档到FortiAnalyzer设备。默认情况下，该功能没有启动。

IM/P2P

IM/P2P菜单下，微软Live Messenger 8.0与Yahoo！8.0 IM用户可以设定聊天

会话形式并可以将会话内容存档。

日志与报告

您可以从日志与报告菜单下查看内容存档日志。FortiAnalyzer设备存储内容

存档日志。日志文件名称定义具有非常明确的命名格式，清晰的定义了日志类型、

FortiGate设备序列号、VDOM以及日志存储的日期与时间。例如名为

tlog.FG500A2904123456.vdom2—NAT.20060810235959。只有在升级到FortiOS 3.0MR3后建立的日志文件具有这样新的命名语法。

使用CLI命令execute backup memory可以启动将FortiGate设备中备份的日志

文件存储到一个远程服务器。进入“日志与报告>日志配置”，您可以在FortiAnalyzer报告中添加P2P活动

报告。CLI中可以反映出这样的设置添加。每项IPS特征与异常都设定了相应的严重性级别。可以在攻击日志文件或

alog.log中查看到这样的信息。这些日志文件现在具有新的日志文件名称。

内容存档

从内容存档菜单，您可以查看存储在FortiAnalyzer设备的内容存档。内容存

档菜单在相对的项目栏中显示有关FTP、Email以及IM内容存档日志。如果您要

查看邮件内容存档日志，您可以的点击主题栏中相应的链接，以独立的窗口查看

邮件。

HA

FortiOS 3.0MR3中，从属设备将被其隔离的文件发送到主设备，主设备接收

到隔离文件后传输到FortiAnalyzer设备。 FortiOS 3.0MR3可以同步HA从属设备中用于验证的本地、LDAP、FASE与

NTLM的策略。使用IPSec的防火墙策略现在也可以同步到从属设备。

公知信息

FortiOSMR2中有关的公知信息继续存在于FortiOS3.0MR3中。其它信息将在

下文中说明。 FortiWiFi-60A/AM设备支持WPA2，增强了无线安装性。


涉及到所有需要使用基于web管理器进行的操作。启动VDOM时，FortiGate设备不能够自动退出与控制台连接的管理员。一个只具有读的权限的管理员（即使只启动了一些访问）也不能够使用面板

上的内嵌CLI控制台。状态页面中弹出的当前管理员窗口可能显示大于实际登录数量的管理员信

息。升级到FortiOS 3.0MR3时，所有在MR2中创建的列表都具有默认的名称。

FortiOS 3.0MR3 要求多数的列表具有名称和/或注释。举例说明，当URL过滤列表升级到MR3.0后，被重新命名为“已定义url过滤”。如需要，点击“编

辑”图标，您可以重新命名默认的名称。

虚拟域

当启动VDOM后，状态页面中的“内容存档”与“攻击日志”统计表数据不

会更新。这是因为这些数据均是在全局设置维护的，并不是基于每个VDOM的。

路由

该操作只涉及到在路由菜单中的操作：当一个静态寻址模式接口配置静态缺省路由更改为DHCP后又返回到静态缺

省路由时，FortiGate设备不能形成路由表。使用CLI命令execute restart router重新启动路由程序。

防火墙

防火墙的操作涉及到使用基于web管理器与CLI。 FortiGate设备不能执行在RADIUS服务器配置的硬性超时设置值。 SSL-VPN策略中“用户验证方式”在被选的用户组或验证方式下不能生效。

FortiOS 3.0MR3加强了内容存档功能，提供了三项显示内容存档的方式，分

别为“无”“摘要”与“全部”，详细信息参见FortiOS3.0 MR3的发布说明。在内容包含列表中“内容存档”栏，存档被识别为垃圾邮件的邮件时，您需

要选择“全部”。只有“全部”选项可以将被识别为垃圾邮件的邮件备份存

储到FortiAnalyzer设备。

即时消息

即时消息的操作只涉及到基于web的管理器的使用。当编码后的Yahoo！流量通过端口80将不服从于IM后台程序的处理。通过端

口80传输的文件将被屏蔽。下表信息是有关MR3支持的每项IM协议的信息：

IM 用户版本描述 AIM Classic

5.9.3861 用户使用非加密或加密 AIM 版本时，不能够与其它

AIM 用户进行视频连接。 NetMeeting 使用 H.323 不能建立连接。这种情况在所

有 AIM 非加密与加密的用户中都存在。 AIM Triton

1.2.80.1 当受感染的文件被屏蔽时，FortiGate 设备不能显示替

换信息。用户使用非加密或加密 AIM 版本时，不能够与其它

AIM 用户进行视频连接。当一个 AIM 用户从另一个 AIM 用户接收文件时，

FortiGate 文件数目统计将不增加。这种情况在所有

AIM 非加密与加密的用户中都存在。用户文本信息内容以及文本格式信息将在即时信息

内容日志中显示。 NetMeeting 使用 H.323 不能建立连接。这种情况在所

有 AIM 非加密与加密的用户中都存在。 AIM

5.9.3861

使用了到 AIM 加密的直接连接。所有的连接请求都

将失败，除非取消 AIM 加密的使用。这种情况在所

有 AIM 非加密与加密的用户中都存在。当 ICQ/AIM 使用其它端口（非 5190 端口）登录，登

录被屏蔽的事件将不被记录在 FortiGate 设备的日志

中。包含的日文的 IM 系统替换信息不能正常显示。用户文本信息内容在文本格式的即时消息内容日志

中不显示。 ICQ 5.10 在 NAT 模式 FortiGate 设备之后的 ICQ 用户之间不能

建立视频与音频会话。当用户建立聊天会话时，FortiGate 按协议区分的聊天

会话统计并不增加。 FortiGate 设备之后的用户不能够与多个不同的防火

墙产品后的 ICQ 用户进行多用户聊天连接。

用户文本信息内容以及文本格式信息将在即时信息

内容日志中显示。当 ICQ/AIM 使用其它端口（非 5190 端口）登录，登

录被屏蔽的事件将不被记录在 FortiGate 设备的日志

中。包含的日文的 IM 系统替换信息不能正常显示。

MSN 7.5 MSN 7.5 版本中，不能建立视频/音频通信。 Yahoo！ Messenger

8.0.0.701 当用户通过 FortiGate设备对其它MSN用户发送消息

时，会话统计计数不正确。 Yahoo!7.0 版本中，不能屏蔽音频通信。

FortiGate设备可以从IM用户登录时就对其采取屏蔽动作，但是不能控制如果

IM用户使用HTTP通道进行的通信流量。这里的IM用户涵盖所有的IM即时通

信协议使用用户。如果“IM屏幕名称”是以敏感字符编辑的，那么FortiGate设备不能屏蔽用户

列表中的IM用户。这里的IM用户涵盖所有的IM即时通信协议使用用户。

P2P

有关P2P的操作只涉及到基于web的管理器。下表信息是MR3支持的每项P2P协议的有关信息：

P2P用户版本描述 Azurenus/BitTorrent 2.5 FortiGate设备不能够屏蔽AzurenusP2P用户。 Phex/Gnutella 2.8.10.98 FortiGate设备不能够屏蔽PhexP2P用户。 Winny 2.0b7.28 FortiGate设备不能够屏蔽WinnyP2P用户。

但是这一版本除外。 Skype 2.5 FortiGate设备不能够屏蔽SkypeP2P用户。

IPS

用户定义IPS特征在恢复到出厂默认设置以及恢复保存的之前的用户定义

IPS特征后仍然能够保留。CLI中，在恢复用户定义IPS特征之前使用config ips custom下的清除命令。

日志与报告

日志与报告涉及到使用基于web的管理器与CLI的操作。当FortiGate设备获得FortiAnalyzer设备的IP地址后，点击“测试连接”避免发

生错误报告故障。如果FortiGate设备与FortiAnalyzer设备配置使用FDP获取并

建立连接，会有将近10秒钟的延迟。 FortiOS3.0 MR3 中修改了过滤日志文件的日志搜索功能。流量日志中一些日

志数据因为这样的更改而不能进行过滤，这些流量包括：

流量日志：序号源地址名称目标地址名称 SentReceived SentPacket 接收到的数据包源端口组 Dir显示 Tran显示

只有“精确匹配”或“前匹配”时才被支持。当一个文件模式在被允许列表中时，通过POP3、SMTP、IMAP与NNTP协议

下载文件带来.exe扩展名的文件均不能进行日志记录。HTTP与FTP不受影

响。 Syslog 日志文件以CVS文件格式存储，在“日期”与“时间”字段之间没有

逗点分隔。在“vd”与“用户”字段之间以分号（；）分隔，而不是逗号（，）。 FortiGate设备不能够正确记录事件日志，当它实际被删除时会添加访问内容

列表。过滤攻击日志时，点击攻击日志页面中过滤图标时，弹出窗口不显示。您可

以在栏目设置链接中删除“攻击ID”条目，然后点击漏斗形图标执行过滤操

作。

解决方法

以下提供了一些方法，解决升级后某些公知信息中提到的问题。使用CLI命令，可以查看在基于web管理器中不能显示的回环接口。当FortiGate设备不能使用CLI命令config sys global指定源端口范围中的端口

时，重新启动防火墙。使用CLI命令不能访问VDOM中预定义的防火墙服务时，可以使用基于web

的管理器实现该操作。

FortiOS 3.0 MR2 功能增强与更改

FortiOS 3.0MR2 中提供了更多新功能以及对现有功能的改进。该版本的操

作系统中支持从 FortiUSB 密钥中安装固件，以及使用基于 web 的管理器配置

FortiAnalyzer 报告，包括直接从 FortiUSB 密钥安装固件镜像。本章包括以下内容：

升级说明新增功能与功能更改公知信息

Fortinet 公司建议有关 FortiOS 3.0 MR2 中新增加的功能，以及一些功能的更

改，参见以下文件： FortiGate 设备管理与使用手册 FortiGate 设备 CLI 使用参考手册 FortiGate 设备 HA 概述

注意：有关 FortiOS 3.0MR1 中已经解决的技术问题，参见 FortiOS 3.0MR2 发布

说明中“已解决的公知问题”章节。

升级说明

本章是有关 FortiOS 3.0 MR2 发布的一些常规信息说明。其中包括 FortiOS 3.0MR2 中公知的信息以及其它在 “新的功能与功能更改”章节中没提到的信

息。

LCD 显示更改

升级到 FortiOS MR2 后，FortiGate 设备的 LCD 显示如下：图 34：NAT/路由模式下的主菜单设置显示

图 35：透明模式下的主菜单设置显示

FortiGuard 状态显示图标

FortiOS 3.0MR2 中，FortiGuard 状态图标显示状态说明：

近一次试图连接到 FDN 成功，对应的许可证信息正确。

近一次试图连接到 FDN 成功，但是对应的许可证过期或设备未注册。

近一次试图连接到 FDN 没有成功。

FortiUSB 支持

FortiUSB 密钥支持 FortiGate 设备从密钥直接安装固件镜像。FortiUSB 密钥

可以自动升级固件并通过 USB 的自动安装功能下载存储在 FortiUSB 中的配置

文件。 FortiGate 设备只支持 Fortinet 公司出品的 FortiUSB Key。

常规升级说明

以下是有关 FortiOS3.0 MR2 中其他重要信息的说明： Forti3.0 MR2 支持 H.323 模块，包括使用 GK 与 H.225 路由的直接模式。用户验证除了 LDAP 组，新增加了 RADIUS 组以及对 SSL VPN 的 RSA 安全

ID。 FortiGate 设备发送的 SNMP 陷阱包括设备的主机名称。使用 CLI 可以更改 SSH 与 Telnet 的端口数量。验证超时（authtimeout）在启动 auth-keepalive 设置时不生效。验证刷新时间

使用以下公式计算：验证刷新(authentication refresh)=验证超时(authtimeout)/3

FortiOS MR2 支持 GRE 通道与 IPSec 通道中终端（end-point）的回环接口；

OSPF， BGP 与 RIP 中的路由 ID；路由冗余；以及动态路由黑洞。回环接

口需要使用 CLI 进行配置。直接对关闭接口或没有启动的服务的攻击不产生日志信息。例如，对 TCP

端口 23 的攻击不产生日志信息文件。用户作为 VDOM admin 登录基于 web 的管理器时，“日志与报告>报告访问”

中不显示该信息。使用 CLI 接口配置 VDOM admin 用户或非 VDOM admin 用户的配置。客户支持网页下高端 FortiGate 设备通过许可证信息可以升级所支持 VDOM

的数量，所述的高端 FortiGate 设备包括： FortiGate-3000, FortiGate-5001, FortiGate-3600, FortiGate-5002FB2, FortiGate-4000, FortiGate-5002FA2, FortiGate-5005

FQDN 策略可以执行后台程序监控防火墙策略中的 FQDN 地址并主动进行

DNS 查询为 FQDN收集 IP 地址信息。内核不再接受 DNS 流量以构成 FQDN。

HA 模式中可以配置虚拟域。但是，主动-主动（Active-Active）模式下并不

支持虚拟群集。虚拟域管理员可以配置使用 RADIUS 进行验证。 VDOM/VLAN 技术现在允许用户配置多个独立管理的安全域。如果对启动了 VDOM 与域的 FortiGate 设备配置了防火墙策略，这些防火墙

策略将被丢弃但保持域设置。 FortiOS 3.0MR2支持FortiAnalyzer3.0MR2与FortiMananger 3.0 MR2。FortiOS

3.0MR2 也支持 FASE3.00 子版本 014（FSAE 收集代理 3.0.014）。有关 FSAE软件的详细信息，联系 Fortinet 公司的客户支持。

FortiOS 3.0MR2 中“系统>无线>设置”页面下的 WPA2 安全模式不再可用。从 FortiOS 2.80 升级到 MR11 FortiOS 3.0MR2 后，一些 IPS 组与其他设置可

能不能被顺延。

新增功能与功能的更改

本章只对 FortiOS3.0MR2 中涉及到新功能以及部分功能更改的菜单进行说

明。

系统设置

系统设置菜单增加了几项新的功能，如验证存活的方法。举例说明，当一

个用户登录设备后，用户打开新的浏览器点击一个链接页面并定向到所请求的

页面时，将出现一个验证存活的提示。 FortiOS 3.0MR2 中，管理员可以在不保存对配置文件更改的情况下，试运

行一个配置文件并观察其运行情况。该功能只能使用 CLI 实现。您可以在 FortiOS 3.0MR2 的配置文件中添加 ARP 条目。该功能只有在 NAT

模式下使用 CLI 来实现，并是基于每个 VDOM 的。配置 DHCP 与 PPPoE 用户端的接口页面中包括“DHCP 更新”与“PPPoE

重新连接”选项。这两个选项只有在连接建立后才出现。配置 DHCP 或 PPPoE连接时，点击“应用”，DHCP 或 PPPoE 连接开始通信协商。

您可以在 FortiOS3.0 MR2 的配置文件中添加 ARP 条目。该功能只有在 NAT模式下使用 CLI 配置且基于每个 VDOM 有效。

虚拟域是基于 HA 模式下配置的，但是，主动-主动（A-A）的 HA 模式并

不支持虚拟群集。VDOM/VLAN 技术允许用户可以独立配置多个被管理的域。加强了 FortiGuard 中心页面的服务状态显示，以及提供了更高效配置 AV/IPS 下载以及 web 过滤选项的方法。图 36：FortiOS 3.0MR2 中 FortiGuard 中心显示页面

路由

路由菜单中含有等效多路径路由（ECMP），以及在 DHCP 与 PPPoE 模式

下对接口配置静态路由。 FortiOS 3.0MR2 中，新增 ECMP 的应用，提供 FortiGate 设备使用相同成本

下的两条路由转发数据包。这些路由通过配置或通过路由协议获知，并且对每

条协议的开销是相同的。您需要创建 ECMP 运行到相同目标地址下具有相同具

体的几条静态路由以及优先级设置。这同样适用于 OSPF。静态路由是对 DHCP 或 PPPoE 模式下接口配置的。当 DHCP 或 PPPoE 接

口需要路由但是在动态接口出现之前没有已知的网关时，以上对接口的静态路

由配置是比较有用的。当建立、断开以及重新建立到接口的连接，并且启动了

动态网关时，所有有关的静态路由都将更新。动态接口上的 Ping 服务器是启动

的。 CLI 中增加新命令 ospf-interface cost，提供了与 FortiGate 设备不同接口速率

连接情况下计算路由开销的方法。命令 ospf-interface 中 cost 字段在默认情况下

设置为 0，auto-cost-ref-band-width 的值在默认情况下设置为 1000。这些默认值

将自动执行。

那么，就是对设备设置强制提供静态路由。如果在 FortiOS 2.80 中没有对设

备配置静态路由，升级到 FortiOS 3.0 时，静态路由设置不能续载入到 3.0 的

FortiOS 中。路由菜单中还包括对 OSPF 的自动开销计算。

防火墙

进入“防火墙>策略”，您可以自定义查看策略的字段顺序。使用栏目设置图

标定义显示策略。用鼠标可以拖动策略条目在整个策略列表中排列的顺序。 FortiOS 3.0MR2 中，您可以对一项防火墙策略创建并添加多个 IP 池。使用

CLI，配置多个 IP 池。 CLI 命令 config user adgrp 是只读命令。只有在 Windows AD 服务器上 FSAE

软件没有对 FortiGate 设备发送组时可用。建议在升级到 FortiOS3.0MR2 之前备

份这些条目，防止在升级后丢失。预先定义的防火墙服务只在基于 web 的管理器中显示。防火墙菜单提供 RADIUS 计算。FortiGate 设备通过发送以下 RADIUS 属性

计算开始/结束信息。 Acc-Session-ID NAS-标识符（FortiGate 设备主机名称） Fortinet-VSA（建立与用户连接的 IP 地址） Acct-Output-Octet User-Name（用户名称） Framed IP Address（用户 IP 地址） Acct-Input-Octet

下表是所支持验证事件的描述以及发送的 RADIUS 的属性：属性

验证方式 1 2 3 4 5 6 7Web × × × × IPSec 的 XAuth （没有配置 DHCP） × × × × IPSec 的 XAuth（配置了 DHCP） × × × × × PPTP/L2TP（PPP 中） × × × × × × ×SSLVPN × × × ×

FortiGate RADIUS 计算同时支持提供商指定属性（VSA）。防火墙菜单还包括几项新的验证属性。LDAP 用户配置中有可选用户字段。

用户字段启动后，LDAP 验证在具备成功验证条件时校验所验证的用户是否是

LDAP 服务器中设置的组的成员。用户字段在 CLI 中使用命令 config user ldap 启动。

验证选项中，FortiNet 厂商定制 RADIUS 属性也是新增的。该属性被定义为

Fortinet 组名称，可以通过 RADIUS 服务器发送访问-接收回应中返回到该属性。

启动该属性后，FortiGate 设备在具备成功验证的条件下校验与用户组匹配的属

性。 SSL-VPN 的验证支持 RSA 安全 ID 所需的质询。

VPN

VPN 菜单中，当 SSL VPN 应用于通道模式时支持通道分割。举例说明，支

持通道分割的情况下，允许到达网络 A 的流量通过 SSL VPN，同时到达网络 B的流量通过常规接口。通道分割可以在用户组页面中 SSL-VPN 用户组选项下启

动。

用户

用户菜单下，LDAP 浏览器功能是可用的。当管理员进入“用户>LADP >新建”中，填写服务器名称/IP 字段并点击浏览图标后，FortiGate 设备查询 LDAP服务器并自动将查询结果反映到字段中。

Web 过滤

Web 过滤>URL 过滤项下，用鼠标在 URL 列表中拖动 URL 项，使其处于任

何您拖动到的位置，将 URL 重新排列。 FortiGate设备位于HTTP代理服务器之后时，FortiGuard web过滤验证绕过不

能返回到绕过页面。您可以在web浏览应用程序前添加*.8008并放入应该绕过服

务器的URL中。8008是端口验证的默认端口号。

日志与报告

升级到FortiOS3.0MR2，日志与报告模块下增加了新的功能，以及一些功能

的更改。日志与报告菜单中额外添加了两个子菜单“报告配置”与“报告访问”。 “报告配置”与“报告访问”提供了通过FortiGate设备基于web的管理器访问

FortiAnalyzer设备中存储的报告的可达性。从这两个菜单中您也可以配置、编辑

或打印FortiAnalyzer报告。 FortiOS3.0MR2版本中同时对外部日志记录设备例如FortiAnlyzer设备增加

了设备名称字段进行明确的定义。 “报警邮件”提供两种类型的警报邮件。报警邮件根据所记录的事件或记录

日志的严重级别发送。设置HA群集，不能够从FortiGate HA从属防火墙中访问与查看日志与报告。如果在一批FortiGate设备与FortiAnlyzer设备之间使用了NAT设备，将只有一

台FortiGate设备具有访问FortiAnalyzer浏览器的功能。

注意：内容存档菜单将在未来发布的版本中支持。您可以在统计模块下状态页面

查看当前的内容存档。

报告配置

报告配置页面的顶端，显示配置到FortiAnalyzer设备报告的信息，包括

FortiAnalyzer引擎的状态，并且当生成一个设定的报告时，或当前情况下生成的

报告。您也可以点击“编辑”图标，编辑这些报告。

报告访问

报告访问菜单包括两个状态栏，FortiAnalyzer栏与内存栏。内存栏还包括您

可以配置从FortiGate设备内存的基本流量报告。FortiAnalyzer栏中，您可以操作

从FortiAnalyzer设备中查看与打印所有有关FortiGate设备的报告。

HA

访问“系统>状态”，显示HA状态。HA状态以及FortiGate设备与FortiAnalyzer设备的连接状态是通过状态页面中右上角中FortiGate设备图标显示的。群集名称

与群集成员显示在状态页面的系统信息栏中。从属设备可能发出从FDS获得的AV更新没有安装成功这样的报告。您可以

登录CLI，使用命令diagnose sys autoupdate version校验每台从属设备AV更新的情

况。 FortiOS 3.0MR2中增加了在不中断服务同时升级HA群集的功能。该功能同

样在CLI中使用以下命令来实现： config sys ha set uninterruptible-upgrade<enable|disable> end

SNMP MIB 与陷阱更改

SNMP OID中硬盘容量（fnSysDiskCapacity）与硬盘使用率（fnSysDisk）是

以兆字节显示的。

公知信息

FortiOS 3.0MR1版本中列出的公知信息，同样存在于FortiOS 3.0MR2中，除

非另有注明。


基于web的管理器中存在的公知信息关系到所有使用web管理器能够配置的

所有功能：报告页面中定期显示不正确的报告时间。

近检测到的攻击生成的报告被缩短了。具有写的权限的管理员不能够在基于web的管理器中备份配置，但是使用

CLI可以实现。默认的网关在从DHCP服务器接收并显示IP地址时，IP地址前显示大于号。

但是，这并不影响设备的功能性。不显示回环接口。当用户以一个VDOM管理员登录时，基于web的管理器不显示报告访问页

面。在事件日志页面，即使启动了事件选项，事件选项的功能框显示也是未选

中的，事件日志不能被记录的状态。报警邮件界面，如果启动了一些类型，

将不被发送出去。

系统设置

当DNS转发在非根虚拟域启动时，FortiGate设备不转发DNS请求。数据加密标签在“设置”页面中显示，但当安全模式设置为“无”“WEP64”

或“WEP128”时，下拉菜单中不显示数据加密标签。只有当安全模式设置

为“预共享密钥”或“WPA RADIUS”时，数据加密标签与下拉菜单是可

见的。 FortiGate-60在启动过程中不能发送冷启动SNMP陷阱。在无线接口设置中可以更改传输功率级别，但是应用diagnose sys wireless

cmd wlan命令时仍就显示更改之前的功率。如果“安全模式设置”设置为WPA-PSK，并且接口设置为“闭合”状态，

用户仍然可以建立连接。 VDOM管理用户或非VDOM管理用户不能使用基于web的管理器备份配置

文件。如果服务器配置用在HA群集中，DHCP服务器不能自动分配IP地址。

系统设置（FortiWiFi-60A/AM）

以下系统设置有关的问题，只涉及到FortiWiFi-60A/AM设备：运行Windows 2000的PC，如果“无线安全设置”设置为WEP标准时，不能

连接到FortiWiFi-60A/AM设备。运行Windows 2000的PC，如果FortiWiFi设备使用WEP与扩展无线接口时，不

能连接到FortiWiFi-60A/AM设备。如果FortiWiFi-60AM设备的“安全模式”设置为WPA预共享密钥时，在用户

模式下不能启动无线连接。应用于HA群集中的从属设备的LCD不能正确报告群集连接状态中ZERO。

Zero被群集中主设备使用。从属设备的指示从1开始。 FortiWiFi-60A/AM设备上的VDOM启动后，无线接口属于非管理VDOM，同

时安全模式字段设备为WPA-RADIUS， RADIUS服务器字段在下拉菜单中

显示RADIUS组。

防火墙

防火墙的设置的有关信息涉及到基于 web 的管理器与 CLI 这两个管理工具

中应用的配置。具有相同外部IP地址的VIP存在时，基于web的管理器中不能建立端口转发

VIP。 CLI命令conf user adgrp是只读命令。它用于配置FortiGate设备在AD服务器中

的FSAE发送AD组到配置文件过程中添加发送的AD组。如果该命令下有很多

条目，在从FortiOS 3.0MR1升级到FortiOS 3.0MR2时，这些条目都将丢失。

这并不影响FortiGate设备或FSAE的功能性，因为在升级完成之后，AD组都

已经发送到FortiGate设备，并且恢复了连接。配置config sys global 命令中set ip-src-port-range<start>-<end>的IP范围时，

FortiGate设备不能够对端口使用设定IP地址范围内的地址。预先定义的防火墙服务在通过CLI命令访问时不能在VDOM中显示。当一项防火墙策略配置使用预定义的防火墙服务FTP-Get时，FortiGate设备在

FTP活动模式下不能屏蔽FTP-Get命令。同样的行为也在使用FTP-Put预定义

防火墙服务时发生。 LDAP用户名称中包含的特殊字符可能会导致验证失败，这些特殊字符包括：

字符串开始或结束的空格键、#、+、逗号（，）、斜划线（\）、左引号（“）、

小于号（<）、大于号（>）、分号（；）。当在PPPoE接口添加一个VIP时，FortiGate设备不能将数据包流量从VIP地址

转发到目标地址。


高可用性，涉及在基于 web 管理器与 CLI 中的操作。 HA群集运行于透明模式下的主动-主动模式下时，群集通过VLAN接口不能

进行负载平衡。通过HA群集中主设备通信会话能够顺利进行，但是通过从

属设备的会话不能够连接。如果一个端口作为聚合端口，FortiOS允许选择这些端口中的一个作为HA心

跳设备端口。该操作会中断HA连接。一个FortiGate设备HA群集中的从属设备运行于主动-主动模式时，邮件内容

日志不能发送到FortiAnalyzer设备。一个HA群集恢复配置时，从属设备的主机名称、HA优先级别或跳过设置都

将丢失。从属设备可能会报告从FDS获得升级不能安装。 FortiGate设备不能阻止在心跳设备上分配聚合与冗余接口，那么这样将导致

HA群集的中断。

VPN

SSL-VPN web模式下，在FTP服务器创建目录的时间与系统时间不符。

FortiGate设备在发生目录条目复制或不创建条目时都不能发出警告。如果从其它两台FortiGate设备上终止到另一台FortiGate设备之间的IPSec通

道，并且浏览器只对IPSec通道启动，这两台设备仍然可以连接到互联网。对PPTP地址范围配置多个C-class网络不再可用。

即时信息与 P2P

以下公知信息只涉及到P2P： P2P统计表不能升级，除非内容保护文件中启动了P2P速率限制。

IPS

入侵保护有关的公知信息涉及到基于web的管理器与CLI中的操作：当用户访问“日志与报告>日志访问>磁盘>攻击日志”，在弹出的“打包日志”

的窗口中选择“保存”时，FortiGate设备并不能保存IPS数据包。 “入侵防护>特征>用户定义特征”下，撤消选定的用户定义的功能框时，并

不能撤消用户定义特征的应用。对关闭的端口或者没有启动的服务攻击，日志信息不能被纪录。例如，对一

个接口的Telnet管理访问并没有启动，那么对TCP端口23发生的攻击并不生成

日志信息。从IPS 2.214定义版本开始，对以下特征所采取的默认动作更改如下：

特征 IPS版本<2.214中默认的动作 IPS版本>=2.214中默认的动作

icmp_floog 清除会话未启动 ping_death 丢弃会话未启动 large_icmp 无未启动 udp_flood 丢弃会话未启动

Web 过滤

当FortiGate设备位于HTTP代理服务器之后时，FortiGuard web过滤验证绕过

功能并不能返回到绕过页面。

虚拟域

VDOM中，除了根VDOM，其它的VPN在进入VPN>IPsec>监控器查看时，

都显示关闭状态。 VDOM管理员不能从一个虚拟HA群集中恢复VDOM配置，如果该VDOM并

不是设置为所恢复VDOM配置。如果使用基于web的管理器不能执行一个VDOM管理用户或非VDOM用户

备份配置文件的操作，那么可以使用CLI显示这样的备份操作。

配置一个虚拟HA群集，并VDOM管理员恢复其VDOM配置时，如果管理

VDOM并没有设置到配置文件被恢复的VDOM，那么虚拟群集不能同步。

反垃圾邮件

有关公知信息涉及到反垃圾邮件功能的内容包括： FortiOS 3.0删除了基于web的管理器中对电子邮件中出现的禁忌词汇采取的

动作“清除”。该功能仍然在CLI中是可用并支持升级。使用基于web的管理

器添加条目，且使用CLI将动作更改为“清除”，条目将从基于web的管理器

中消失，但是在CLI仍然是存在的，所有包含禁忌词汇的邮件都将被屏蔽。

在CLI中，将条目更改回“垃圾邮件”，那么被禁词汇条目重新在基于web的管理器中出现。在FortiOS3.0中，反垃圾邮件的“清除”动作并不是有效的

动作，那么就不应该使用CLI更改对禁忌词汇所采取动作。

日志与报告

有关日志与报告中的公知信息关系到基于web的管理器与CLI中的操作：防火墙不能对IMAP邮件进行内容存档。只有通过IMAP APPEND命令，而不

是IMAP FETCH命令执行全部的邮件内容存档。SMTP不涉及到内容存档。被HA群集中从属设备隔离的文件不能发送到FortiAnalyzer设备。从FortiOS2.80升级到3.0之前，使用基于web的管理器备份日志文件。FortiOS

3.0将有关VDOM的日志信息拆分为每个VDOM具有其自身的日志文件与目

录。升级后创建的任何信息都可以从基于web的管理器中可以查看。在

FortiAnalyzer设备中访问日志浏览页面，点击“导入”。设定上传的日志在配置的时间内将日志上传到FTP服务器。基于web的管理器不能正确显示管理员登录的数量，除了具有全权限的默认

admin管理员，没有任何管理员能够访问内存页面。 FortiGate-100A不能将攻击、反病毒与web过滤事件记录到系统内存。

升级说明

下载 3.0 版的 FortiOS 操作系统之前，建议您参阅本章节内容，了解新版操

作系统的新功能、对现有系统的改进以及与现有系统比较操作上的不同。新增加的与修改的 CLI 命令，请查看 FortiGate 设备 CLI 使用参考手册以及

FortiGate 设备管理与使用手册。本章包括以下内容：

配置文件备份安装向导 FortiLog 设备名称的更改 LCD 显示信息更改基于 web 的管理器更改基于 web 管理器功能的变化 CLI 命令更改 FortiUSB 公知信息

配置文件备份

您可以备份未加密或加密的配置文件。对于备份未加密的文件，FortiGate设备将以明文格式保存文件，选择加密的设置后，保存 VPN 证书。

安装向导

不设置安装向导提示。

FortiLog设备名称的更改

FortiLog 设备在 FortiOS3.0 中更名为 FortiAnalyzer。FortiAnalyzer 设备名更

能诠释设备的用途，即强劲的报告与日志记录与分析功能。

LCD显示信息更改

升级为 FortiOS 3.0 后，FortiGate 设备 LCD 中显示的主菜单信息更改如下：图 37：NAT/路由模式下主菜单 LCD 显示信息

图 38：透明模式下主菜单 LCD 显示信息

基于web管理器更改

FortiOS 系统面板功能进行了加强，各种系统信息进行了集成归类并增加了

新的功能以便能够好的监控 FortiGate 设备。图 39：FortiGate-60 设备中基于 web 的管理器显示面板

系统信息序列号 FortiGate 设备序列号。运行时间 FortiGate 设备已经运行的时间。系统时间根据时区设置，系统显示的当前时间。设备名称 FortiGate 设备名称。点击“更新”可以更改设备名称。固件版本当前使用的固件版本。点击“更新”可以安装新的固

件。操作模式设备运行的模式。点击“更新”可以切换设备的操作

模式。系统资源 CPU 使用率 CPU 的使用率。内存使用率内存使用率。

FortiAnalyzer 设备使用率

FortiGate 设备与 FortiAnalyzer 设备连接时，

FortiAnalyzer 设备中可用的报告与日志存储的空间。以上所述系统资源使用的历史记录可以点击“系统资源”区域中右上角

中“历史记录”查看。许可证信

息

支持合同支持合同的版本号与过期时间。 FortiGuard 服务

注册 FortiGate 设备注册申请的 FortiGuard 服务，以及是否

需要升级或是否已经过期。报警信息显示系统报警信息，包括固件升级或降级，以及系统重启信息。控制台

也显示当反病毒引擎在具体的时间段内存较低的报警信息。统计表显示内容存档以及攻击日志的详细信息。

基于 web 管理器系统页面右上角显示有 FortiGate 设备的映像，以及设备端

口设置的状态。您将鼠标停留在设备端口时，显示端口名称、IP/掩码地址、链

接状态、速度以及发送与接收的数据包数量。如果端口没有连接，呈灰色显示；

连接状态下，显示为绿色。当 FortiGate 设备没有连接到 FortiAnalyzer 设备时，

FortiAnalyzer 设备映像显示为灰色。

基于web管理器的功能变化

FortiOS 3.0 中，几项功能与其他一些功能进行了合并。参见“新增的功能与

功能更改”。如果您需要查看这些新功能的详细信息，参见“FortiGate 设备管理与使用

手册”。

CLI命令的更改

命令行接口中的使用命令进行了更改，并添加了新的命令。参见 FortiGate设备 CLI 参考手册获得更详细的信息。

FortiOS 2.8 版本中一些基于 web 管理器的功能转移到了 FortiOS 3.0 版本中

使用 CLI 命令来实现。

FortiUSB支持

FortiOS 3.0 支持 USB 的使用。使用 FortiUSB 密钥（单独购买）可以备份与

恢复配置文件、配置 FortiGate 设备自动安装新的固件镜像，以及在设备重新启

动时使用 USB 密钥恢复配置设置。详细信息，参见您所使用的 FortiGate 设备型号对应的安装手册。以下型号的 FortiGate 设备支持使用 FortiUSB 密钥： FortiGate-50A（MR5 及更高版本操作系统） FortiGate-50B（MR5 及更高版本操作系统）

FortiGate-60/60M FortiWiFi-60 FortiWiFi-60A/60AM FortiGate-100A FortiGate-200A FortiGate-300A FortiGate-400A FortiGate-224B FortiGate-500A FortiGate-1000A（设备前方设有 USB） FortiGate-1000AFA2 FortiGate-800/800F FortiGate-3600A FortiGate-5001SX FortiGate-5001FA2 FortiGate-5002FB2 FortiGate-5005FAZ

注意：FortiGate 设备运行 FortiOS3.0 以上的支持第三方密钥。

公知信息

以下是一些您应该注意的公知信息，不包括在以上所述的内容中以及“新增

功能与功能更改”。除非另有说明，这些公知的信息将延续到其他 FortiOS 固件

的版本中适用。

系统设置

以下信息说明，涉及基于 web 管理器与 CLI 管理工具中配置系统设置的操

作。日历显示为年月日（YYYY-MM-DD）格式。进入“系统设置>状态>许可证信息>支持合同”，点击 FDS 注册链接。只有 CLI 中可以链接到“提交 Bug 报告到 Fortinet”。当夏令时在凌晨 2 点结束时，系统不能够自动调整时间。只有在一个小时后

3 点时系统才能够调整自动调整时间。当夏令时结束后，您应该人工重新设

置系统时间。 CLI 命令 execute backup log <ip><string>在没有安装硬盘的 FortiGate 设备中

也可以使用。使用 TFTP 将 FortiOS 镜像上传到闪存时，DHCP 租期数据库将保留在安装

硬盘的 FortiGate 设备中。没有安装有硬盘的 FortiGate 设备不保留数据库。在非 root 虚拟域中启动 DNS 转发时，FortiGate 设备不转发 DNS 请求。在备份与恢复页面中使用“导入 CLI”功能导入 CLI 命令时，不管导入是否

成功，基于 web 管理器页面都显示为“成功导入”。 FortiGate-1000A 与 FortiGate-5001FA2 设备中使用 diagnose hardware

deviceinfo nic <FA2 ports>命令时，将产生 16 进制的输出。替换因病毒感染需要屏蔽或隔离的文件信息时，替换信息中出现的 FortiLog

改为 FortiAnalyzer。如果基于 web 管理器中管理语言设置为简体中文，会话过滤不成功。对虚拟域中 VLAN 接口的管理访问不在基于 web 的管理器中显示。CLI 中使

用 get system interface <VLAN>命令可以实现该功能。 FortiGate 设备不能兼容使用生成的 SSH 公共密钥。如果 FortiGate 设备配置使用 FSAE，之后断开与 FSAE 服务器连接时，设备

会发生内存泄露。当您配置第二分区“上传并重启”时，在系统设置>维护选项下，FortiGate

设备不能实现上传第二镜像。设备重启时覆盖分区 1 中正在使用的镜像。CLI中，输入 get system status 与 diagnose sys flash list 命令将显示冲突信息。

FortiUSB 初始插入后，FortiGate 设备不能够自动配置与停止 FortiUSB 的活

动。如果 FortiUSB 被停止或重新插入使用时，CLI 中将显示目录文件的列表；

CLI 命令 execute backup usb <file>在没有安装 FortiUSB 的情况下是不能够报

错的。如果 WLAN 升级不成功，可能是无线后台程序关闭为了保存内存。访问系统设置>无线>设置，当安全模式 WEP64 或 WEB128 设置为“无

（None）”时，显示数据加密标签，而不是下拉菜单。当安全模式设置为

WPA 预先共享密钥或 WPA RADIUS，数据加密标签与下拉菜单同时可见。

以上所述只适用于 FortiWiFi-60A/AM 设备。对于 FortiOS 3.0MR1 或更高的版本，透明模式下的多播转发与 NAT/路由模

式稍有不同。透明模式下，多播转发在默认情况下是启动的，可以通过 CLI添加多播转发策略。详细信息访问 Fortinet 公司网站知识库中 “FortiOS 透明模式下的多播转发”与“增强的多播策略支持”的技术文章说明。

配置 FortiGate 设备使用 PPPoE 连接 ISP 时，用户不能够访问某些网站。这

种情况的发生是因为相比较标准以太网的 1500MTU，PPPoE 帧额外需要 8个字节。当服务器发送较大的数据包，DF 位设置为 1 时，ADSL 服务商的

路由器既不能发送“需要 ICMP 片段”的大数据包，或者数据包在沿着到

web 服务器的路径过程中被丢弃。这两种情况下，web 服务器根本不知道片

段文件要到达用户端。 CLI 中，防火墙策略配置选项中使用 tcp-mss-sender 可以配置用户访问所有

的网站。详细信息，参见 Fortinet 公司网站知识库中有关“使用 PPPoE 不能

访问一些网站的问题说明”。某些 IPS 组设置不能在升级后自动保持配置，您需要在升级后手工配置这些

设置。参见 FortiOS MR1 发布说明中附件 A，有关“IPS 组设置升级”。 FortiOS 2.8MR11 中的列表不能在FortiOS3.0 中恢复。请在升级前存档这些列

表文件。如果使用基于web的管理器升级，这些列表文件将被保存。使用基

于web的管理器升级后，通过web管理器或CLI都可以校验这些列表文件是否

被保存。参见附件B---将FortiOS 2.80 中web过滤与垃圾邮件过滤列表影射到

FortiOS CLI命令。查看Fortinet公司网站 www.fortinet.com 知识库版块中“使用CLI命令选项导入 2.80 版本列表文件”将FortiOS 2.80 中的列表文件导入

FortiOS 3.0。

http://www.fortinet.com/�

防火墙

防火墙的设置的有关信息涉及到基于 web 的管理器与 CLI 这两个管理工具

中应用的配置。当具有相同外部 IP 地址的 VIP 已经存在时，在基于 web 的管理器中不能建

立端口转发 VIP。 CLI 命令 conf user adgrp 是配置 FortiGate 设备在 AD 服务器发送 AD 组到配

置文件时，添加发送的 AD 组。如果一个 AD 服务器没有发送 AD 组，您手

工添加条目时，基于 web 管理器中将不显示 Windows AD 页面。删除条目时，

显示 Windows AD 页面。FortiGate 设备中一个 AD 不需要手工增加到 AD 组。配置动态 IP 池后，防火墙>策略页面的下拉框中显示 ANY。ANY 并不是所

支持的特性。使用基于 web 的管理器不能够更改防火墙地址组的名称。


高可用性，涉及在基于 web 管理器与 CLI 中的操作。当 HA 群集运行于透明模式下的主动-主动模式下时，通过 VLAN 接口不能

进行负载平衡。通过 HA 群集中主设备通信会话能够顺利进行，但是通过从

属设备的会话将不能够连接。如果一个端口作为聚合端口，FortiOS 允许选择这些端口中的一个作为 HA

心跳设备（hbdev）端口。该操作将中断 HA 连接。当一台 FortiGate 设备作为 HA 群集中的从属设备，并运行于主动-主动模式

时，邮件内容日志不能发送到 FortiAnalyzer 设备。当 HA 群集中主设备的序列号在排列顺序上高于从属设备的序列号时，基于

web 的管理器不能够显示运行于 HA 模式下 HA 的统计数据。运行于主动-主动模式的 HA 群集进行切换时，新的主设备不能将日志邮件内

容发送到 FortiAnalyzer 设备。一对冗余接口在从首要连接到备份连接失败时，备份连接将获得一个不同于

之前首要连接使用的 MAC 地址。这种情况只发生在 HA 模式，并会导致 ARP请求失败。

运行于主动-主动模式的从属设备不能发送邮件内容。如果 FortiGuard 本地分类配置先于 HA 群集配置，本地分类不能在 HA 群集

设备之间同步。同一个虚拟群集中，通过不同物理接口形成的不同 VLAN 使用相同的虚拟

MAC 地址。 HA 群集恢复配置时会丢失从属设备的名称、HA 优先级设置以及优越性设

置。使用基于 web 的管理器更改主设备的主机名称或优先级，偶尔这些设置的更

改不能同步反映到从属设备。通过 CLI 更改主设备与从属设备的主机名称与

优先级设置。用户定义的 IPS 特征上传到主设备时，不能在从属设备中同步。必须重启从

属设备以同步用户定义的 IPS 特征。

序列号为 FGT100A2905500001 的 FortiGate-100A 设备，与序列号为

FGT200A2905500001 的 FortiGate-200A 设备不能够加入其它序列号的

FortiGate-100A 与 FortiGate-200A 的设备组成的 HA 群集。举例说明，序列

号为 FGT100A2905500001 的 FortiGate-100A 设备加入由序列号

FGT100A28704400001 组成的 HA 群集时，将不能够与 HA 群集设备建立连

接。

反病毒

反病毒设置，涉及在基于 web 管理器与 CLI 中的操作。当一个 MSN 的用户通过 msn 发送受感染的病毒文件时，FortiGate 设备不发

送配置的替代信息返回到用户。反病毒监控需要使用 CLI 配置。反病毒扫描、屏蔽与隔离在即时通信工具 AIM，MSN，Yahoo massager 与 ICQ

中进行文件传输时可用。

反垃圾邮件

以下所述是有关在 FortiOS2.8MR12 包括 FortiOS 3.0MR1 或更高版本的系统

中反垃圾邮件列表顺序问题。对于 SMTP：

IP 地址 BWL 查看后一跳 IP。 RBL 与 ORDBL 查看后一跳 IP。FortiGuard 反垃圾邮件查看后一跳 IP

HELO DNS 查询。 MIME 报头检索，电子邮件地址 BWL 检索。邮件主题的禁忌词汇检索。 IP 地址 BWL 检索（从“已接收邮件”的报头中获取 IP 地址）。在邮件正文中查看禁忌词汇。退回的邮件进行 DNS 检索。FortiGuard 反垃圾邮件从报头获取公共 IP 地址

进行 RBL 与 ORDBL 检索。对于 POP3 与 IMAP：

MIME 报头检索，邮件地址 BWL 检索。对邮件主题进行禁忌词汇检索。 IP 地址 BWL 检索。对邮件正文进行禁忌词汇检索。对回复邮件进行 DNS 检索。FortiGuard 反垃圾邮件从报头获取公共 IP 地址。

进行 RBL 与 ORDBL 检索。 Fortinet 知识库中有关于反垃圾邮件过滤顺序技术文本的说明。

VPN

在基于 web 的管理器中，用户点击 VPN 显示图标时，VPN 通道并不亮起。

SSL VPN 通道模式下，FortiGate 设备不能将 DDNS 主机名称解析为 IP 地址。 FortiOS 2.8 中的 PING 发生器在 FortiOS3.0MR1 中以自动协商设置代替。默

认情况下没有启动自动协商。访问“VPN>IPSEC>监控器”，用于加亮显示拨号通道的图标并不能发亮显示

IPsec 拨号通道，但使用 CLI 命令 diagnose vpn tunnel flush 可以实现该功能。标签条目被编辑后，将显示重新定向 URL 窗口。拨号服务器中 IPSec 阶段 1 对等 ID 改变后，没有任何 ISAKMP 删除通知发

送到拨号用户端，告知用户删除旧的 SA。拨号用户端的对等 ID 更改时，发

送 ISAKMP删除通知。阶段1对等 ID更改后，对现有的拨号通道执行diagnose vpn tunnel flush 命令。

对 IPSec 进行 Internet 浏览需要两个策略。

即时消息通信

即时通讯的公知信息只涉及到在基于 web 管理器中的操作。 FortiGate 设备不能够屏蔽即时通讯用户之间 webcam/视频流量。即使启动了

音频屏蔽功能，用户仍然能够发送与接收 webcam/视频信息。运行于主动-主动模式的 HA 成员设备之间的即时通讯不能同步。这是因为

IM 用户之间的行为以及会话传输需要跨越多个 HA 主动-主动模式下的成员

设备。根据 IM 的功能来讲，例如病毒扫描与登录屏蔽将不能实现。以下所述情况在 FortiOS3.0MR1 支持的每个 IM 工具中都存在。

受影响的即时工具用户

版本描述

AIM 5.9.3797 用户使用非加密或加密 AIM 版本时，不能够与其它

AIM 用户进行视频连接。应用 AIM 加密时，不能实现到 AIM 对等用户的连

接。这种情况在所有 AIM 非加密与加密的用户中都

存在。当一个 AIM 用户从另一个 AIM 用户接收文件时，

FortiGate 文件数目统计将不增加。这样的情况在所

有 AIM 非加密与加密的用户中都存在。 AIM 5.9.3861 NetMeeting 使用 H.323 不能建立连接。这样的情况

在所有 AIM 非加密与加密的用户中都存在。 AIM ICQ

5.9.3861 5.04

当 ICQ/AIM 使用其它端口（非 5190 端口）登录，

登录被屏蔽的事件将不被记录在 FortiGate 设备的

日志中。包含的日文的 IM 系统替换信息不能正常显示。用户文本信息内容在文本格式的即时消息内容日

志中不显示。 ICQ 5.04 在 NAT 模式 FortiGate 设备之后的 ICQ 用户之间不

能建立视频与音频会话。当用户建立聊天会话时，FortiGate 按协议区分的聊

天会话统计并不增加。 FortiGate设备之后的用户不能够与多个不同的防火

墙产品后的 ICQ 用户进行多用户聊天连接。 MSN 7.0/7.5 MSN 用户之间进行文件传输时，会发生意外超时现

象。 MSN 7.5 MSN 7.5 版本中，不能建立视频/音频通信。 Yahoo！ Messenger

6.0.0.1922 当用户通过 FortiGate 设备对其它 MSN 用户发送消

息时，会话统计计数不正确。 Yahoo！ Messenger

7.0.2.120 Yahoo!7.0 版本中，不能屏蔽音频通信。内容存档中，当用户使用P2P传输即时消息时，laddr

与 raddr 是错误的。

P2P

P2P 有关的问题，只涉及使用基于 web 管理器的操作。在防火墙中配置的传输限值不能对 Gnutella 兼容。如果用户是 Gnutella 用户

端，下载速度不能超过传输速率限值中规定的速度。 FortiGate 设备不能在延长的期限过后，或者屏蔽 Skype 用户超过一天。当 IPS Kazaa 特征设置为“丢弃”或“丢弃会话”，IPS 引擎将屏蔽 Kazza 流

量，但只限于很短的一段时间。所以持续试图通过防火墙连接到 Kazza 网络

的用户也将在短时间内建立连接。以下是 FortiOS 3.0MR1 所支持的 P2P 协议中发现的问题。

P2P 用户版本描述 Gnuleus/Limewire/ Swapper.NET

2.2.0.0/ 4.9.3.7 4.6

配置 FortiGate 屏蔽具体使用某些协议传输的文件

时，P2P 用户端仍然能够接收到部分下载的文件。

Xolox 2.0 配置 FortiGate 屏蔽文件传输后，等待 10 到 30 分钟

后，P2P 用户仍然可以下载文件。

网页过滤

网页过滤涉及到基于 web 管理器与 CLI 中的操作。用户使用基于 web 的管理器更改用户组 web 跳过属性时，防火墙不能够马上

实施该设置更改。配置了禁忌词汇与禁忌词汇免除条目后，二者之间的事件日志会不同。在非根 VDOM 使用基于 web 的管理器不能够在保护内容中启动 FortiGuard

服务中的 web 跳过功能，功能框总是呈现灰色显示。但是使用 CLI 可以实现

以上的操作。对于 FortiGate-800 设备以及该型号以上的设备中，web 过滤/反垃圾邮件列

表需要在每个保护内容文件中配置。

FortiGuard web 过滤

以下是关于 FortiGuard web 过滤中出现的问题描述。如果使用微软 IE 浏览器，FortiGuard 网页跳过功能在验证成功后不能够自动

重新定向到一个网页。必须在验证成功后重新在浏览器中输入 URL。

虚拟域

使用基于 web 的管理器与 CLI 在配置虚拟域中出现的问题。访问“VPN>IPSEC>监控器”，VDOM 的显示中，除了根 VDOM，其它 VPN

均显示为不工作。使用 CLI 命令 diagnose vpn tunnel list 显示 VPN 的状态。使用基于 web 的管理器，FortiGate 设备不接受在“系统>维护>许可证”下

新输入的 VDOM 许可证。该操作可以使用 CLI 命令 execute upd-vd-license<license key>实现。

如果一个物理接口属于 VDOM_A，并且物理接口上的 VLAN 接口属于

VDOM_B， VDOM_A 管理员不能恢复 VDOM_A 配置文件。 VDOM_A 的管理员不能更改属于 VDOM_A 的 VLAN 接口配置。接口设置

必须由物理接口的 VDOM 管理员更改。

日志与报告

使用基于 web 的管理器与 CLI 在配置日志与报告中出现的问题。 FortiGate-100A，FortiGate-60，FortiGate-50A 与 FortiWiFi-60 设备不能够完

全存档邮件。设置 FortiGate 将邮件存档到 FortiAnalyzer 设备需要配置以下

操作： 1. 进入“反病毒>隔离>配置”，选中 FortiAnalyzer 功能框。 2. 进入“防火墙>内容保护列表”，选择一个保护项并点击“内容存档”将

邮件日志存档至 FortiAnalyzer。 IMAP 邮件不能够存档。只能使用 IMAP APPEND 命令，而不是 IMAP FETCH

命令执行完整的邮件内容存档。SMTP 不存在内容存档问题。当使用 POP3 或 IMAP 下载复合邮件时，FortiGate 设备不能存档邮件内容。

SMTP 不存在这样的问题。

FortiOS 3.0 新增功能与功能的更改

FortiOS3.0 增加了几项新的功能，以及对原有功能修改。以下将做详细说明。系统升级到 FortiOS 3.0 之前，建议阅读本技术文档以及以下所列技术文档，熟

悉增加的新功能以及一些功能的更改。 FortiGate 设备管理与使用手册 FortiGate 设备 CLI 使用参考手册

本章包括以下内容：系统设置防火墙 VPN 用户反病毒入侵防护（之前名为 IPS） Web 过滤反垃圾邮件（之前名为垃圾邮件过滤） IM/P2P（新加设置项）日志与报告 HA SNMP MIB 与陷阱更改

注意：除了另行注明，以下菜单中的设置配置均没有改变。

系统设置

系统设置菜单包括以下配置项：状态网络配置管理员维护虚拟域

注意：从 FortiOS2.80MR11 后 DHCP 菜单便没有更改，所以系统设置菜单中不

包括 DHCP。

状态

状态页面显示系统面板。系统面板经过整合，新添加五个功能条目： CPU 与内存使用率的历史记录 FortiGuard 订购服务与许可证信息 FortiGate 设备端口状态设置的镜像

FortiAnalyzer 设备镜像，以及与 FortiGate 设备的连接状态 AV/IPS 内容统计概述列表

系统面板同样包含一个登录监控，显示登录管理员的数量。该功能提供了对

系统配置具有写的权限的管理员在必要时断开与其它管理员用户的连接。该页面

中您也可以刷新系统面板以及关闭 FortiGate 设备。

会话

进入系统设置>状态>统计表，查看会话信息。

网络

系统菜单显示网络设置选项。FortiGate-60，FortiWiFi-60 与 FortiGate-50A的 Moderm 的设置只有使用 CLI 进行配置。

选项中添加了失效网关检测，之前是在“ 系统>配置>选项”查看。

配置

配置菜单中的几项信息栏转移到了其它菜单项。时间显示信息栏需要访问

“系统>状态>系统信息>系统时间”。选项栏放到了“系统>管理员>设置”。选项栏中包括虚拟域配置、web 管理

员端口以及 web 管理设置选项。Web 管理现称为“语言设置”。 HA，SNMP v1/v2c 以及替换信息栏目仍然在配置菜单中。操作模式可以在该菜单中进行切换，同样也可以进入“系统>系统信息>操

作模式”实现模式切换的操作。 FortiManager 选项栏转移到了管理员菜单中。

管理员

管理员菜单中除了以上所述栏目，还包括管理员与访问控制列表项。在管理员栏目，设置新的管理员时可以对应设置其访问权限。 FortiManager 选项栏转移到了管理员菜单，管理员菜单中的新增选项。

维护

维护菜单中现在只有两个选项栏，分别是备份与恢复，FortiGuard 服务中心。备份与恢复栏目增加了几项新选项用于配置备份与恢复配置文件设置。通过

备份与恢复，您可以备份、恢复配置文件，以及加密配置文件。如果 FortiGate设备型号支持 FortiUSB KEY，可以选择本地 PC 或 FortiUSB KEY 备份或恢复配

置文件。备份与恢复栏目还设有高级选项，可以设置在系统重新启动时自动启用

FortiUSB KEY 安装配置文件或镜像文件。通过高级选项也可以导入 CLI 命令。

高级选项中还设置有下载调试日志项。您可以下载加密调试日志并已文件形

式将其发送到 Fortinet 技术支持协助诊断 FortiGate 设备的问题。图 40：备份与恢复页面

FortiGuard 服务中心，之前的名称为“更新中心”，包括启动 FortiGate 设备

连接到 Fortinet Distribution Network（FDN）、更新反病毒与攻击定义的选项。在

该页面中，您也可以测试 FortiGuard 服务的可用性。图 41：FortiGuard 服务中心

以下是维护菜单中去掉的选项栏：

支持栏不可用。关闭设备栏设置在访问系统>状态>系统操作项下。

虚拟域

该菜单现在是“系统>管理员>设置”中的选项。配置启动该选项时，需要

退回到 web 管理器页面中先配置 VDOM 设置。基于 web 管理与 CLI 管理工具中

虚拟域配置的选项都发生了改变：全局配置与每个 VDOM 配置分离。只有 admin 管理员账户可以查看与配置全局配置选项。 Admin 管理员可以配置所有的 VDOM。 Admin 管理员账户可以通过根 VDOM 中的任何接口连接。 Admin 管理员账户可以通过任何常规管理员账户管理的 VDOM 的任何接口

连接。常规管理员只能访问所分配的 VDOM，以及属于这些 VDOM 的接口。常规管理员能够在其所管理的 VDOM 中的物理接口创建 VLAN 子接口。您可以对管理员账户设置访问权限。 Admin 管理员可以配置所有的 VDOM，即使某个 VDOM 是分配到某个常规

管理员进行管理。

路由表

路由表菜单中包括以下选项：

静态路由动态路由路由监控

静态路由

静态路由中包括两个选项：策略路由与静态路由。策略路由以前在路由菜单

中是一个单独选项栏。

动态路由

动态路由是新添的菜单，包括四个配置选项，分别可以配置 RIP，OSPF，BGP 与多播协议。

启动动态路由协议配置可以自动与邻居路由共享路由信息，包括邻居路由器

发送的路由与网络信息。 RIP 协议是距离向量路由协议，用于小型网络或类似网络。 OSPF 稍有不同，是链路状态路由协议，用于大型网络中在同一个自主区域

内的路由器之间共享网络信息。 BGP 是互联网路由协议，典型的被 ISP 用于在不同 ISP 网络之间交换路由信

息。例如，BGP 设置可以对在自主系统内使用 RIP 和/或 OSPF 路由数据报

的 ISP 与自主系统之间共享网络路径信息。多播设置可以使用 FortiGate 设备作为独立组播协议（PIM）版本 2 的路由器

在根虚拟域中操作。PIM 路由器通过网络确保只有一个数据包被转发，直到

数据包到达终端目的地，并在只有当需要将信息发送到多播用户应用程序时

拷贝数据包，将流量发送到多播地址。注意：以下设置需要使用 CLI 配置：

分布列表偏移列表前列表路由映射密钥链访问控制列表

监控器

路由监控显示设备路由表的条目，您可以应用过滤器根据具体的路由协议搜

索并显示路由。

防火墙

防火墙菜单包括以下配置选项：策略

地址服务虚拟 IP 内容保护列表

策略

策略菜单与 FortiOS 2.80MR11 中的策略菜单相似，建立新的策略时没有高

级选项。其它两个额外选项，内容保护列表与日志允许流量中含有验证与流量控

制功能框。选中“流量控制”功能，您可以设置“保证带宽”“ 大带宽”与“流量优

先级”。

地址

地址菜单中设置有您要创建地址类型的选项。地址类型可以设置为“子网/IP范围”或“完整的限定域名（FQDN）”。注意：FQDN 存在安全隐患，请小心使用。

服务

更新了服务菜单中用户定义栏目显示。用户定义地址栏目中，可以添加任意

多用户服务所需要的 TCP/UDP 协议。

虚拟 IP

虚拟 IP 地址还有其它选项，IP 池菜单包括在该选项内。

内容保护列表

内容保护列表中新增了两个选项：IM/P2P 与日志。

VPN

VPN 菜单中包括以下设置项： IPSec SSL 证书

FortiOS3.0.VPN配置中对VPN菜单进行了更改。建议您查看FortiOS 3.0MR1发布说明中有关 VPN 配置更改的问题。注意：设备系统升级到 FortiOS 3.0. VPN 后，需要重新配置 VPN 设置。升级过

程中，IPSec 阶段 2 设置的源与目标端口重置归零。注意：CLI 命令 auto-negotiate 代替了 Ping 发生器的功能。默认情况下，

auto-negotiate 没有启动。该功能可用于 IPSec 阶段 2 配置中的 IPSec 通道。

IPSec

更改了 IPSec 菜单显示的配置 VPN 界面。阶段 1 与阶段 2 功能栏与新增的

AutoKey（IKE）功能栏结合。Ping 发生器的功能可以使用 CLI 命令实现，详细

信息参见 FortiGate 设备 CLI 使用参考手册。

SSL

SSL 是 FortiOS 3.0 中是新增的菜单。包含两个栏目选项，分别为配置与监

控。使用这两个选项配置 SSL VPN 与监控器。 SSL 应用使用两个密钥，分别为公共密钥与私有密钥加密数据的加密系统。

如果您需要 SSL 版本 2 加密与老版本的浏览器兼容，您可以使用 CLI 启动该协

议。参见 FortiGate 设备 CLI 设备参考手册有关 SSL 的详细信息。对于验证远程

用户，同样可以使用电子证书。

证书

证书菜单新增了栏目选项：证书恢复列表（CRL）。FortiGate 设备使用 CRL确保属于 CA 与远程用户端的证书是有效的。

CRL 选项栏中，您也可以导入这些证书的类型。这对于定期从 CA 网站获取

证书恢复列表保证使用撤消证书的用户建立与FortiGate设备连接的用户很重要。注意：从 CA 网站下载 CRL 以后，需要将下载文件保存在可以访问 FortiGate 设

备的管理计算机中。

用户

用户菜单包括以下选项： LDAP Windows AD 用户组

注意：不包括本地菜单与 RADIUS 菜单，这两个选项菜单从 FortiOS 2.8MR11 中

就没有更改过。

LDAP

进入 LDAP 菜单，可以访问“普通名称标识符”、“著名名称”与“服务器

端口”进行配置。“服务器保密字段”现在需要使用 CLI 命令配置，详细信息参

见 FortiGate 设备 CLI 命令参考手册中用户章节。

Windows AD

FortiOS 3.0 中，Windows AD 菜单是新增的，在 Windows Active Directory（AD）网络配置 FortiGate 设备，使其能够在不查看用户的用户名与密码的情况

下验证用户。通过 Windows AD 菜单，您可以创建新的 Windows AD 以及删除、编辑或刷

新服务器。注意：参见 Fortinet 技术文档的 CD 或访问技术支持网站 http:\\support.fortinet.com中有关 Fortinet 服务器验证扩展（FSAE）的说明。

用户组

用户组菜单栏，可以配置用户组的类型：防火墙 Active Directory SSL VPN

在用户组页面，您可以选择“FortiGuard 网页过滤跳过”选项，以便 FortiGate设备能够实现 FortiGuard 网页过滤跳过配置。

反病毒防护

反病毒菜单在 FortiOS 3.0 中位于用户菜单之下，包括以下菜单项：文件模式隔离配置

文件模式

修改了“文件模式”菜单。文件模式页面中的栏目为：模式，动作与启动。

当您点击“新建”时，可以选择创建的文件模式，所采取的动作是屏蔽或允许，

以及是否启动或撤消新的文件模式。

隔离

隔离菜单是反病毒菜单中新增的设置项，包括两个栏目，分别为“隔离文件”

与“配置”。“隔离文件”显示每个隔离文件的信息，包括文件被隔离的原因。您

可以根据文件名、日期、服务、状态与状态描述过滤并查找文件。 “配置”显示 FortiGate 设备所屏蔽的当前病毒文件列表，您可以配置隔离

文件与电子邮件的大小限制，包括灰色软件屏蔽。注意：在配置文件与电子邮件的大小限制，包括灰色软件的屏蔽时，FortiGate设备应该与 FortiAnalyzer 设备建立了连接。

配置

“配置”菜单包括“病毒列表”与“灰色软件”两个设置栏。“配置”栏位

于 CLI 中的反病毒服务项下，详细信息参见 FortiGate 设备 CLI 使用参考手册。

入侵防护（IPS）

入侵防护菜单包括以下设置项：特征异常协议解码器

注意：升级到 FortiOS 3.0 之前，保存所有 FortiOS 2.80 IPS 组设置，因为某些 IPS组设置不能顺延到 FortiOS 3.0，必须手工配置。详细信息参见 FortiOS 3.0 MR1发布说明中附件-A。

特征

“特征”菜单中，您可以查看预先定义特征与用户定义特征的严重级别设置。

如果您想更改预先定义的特征，您可以将特征设置重置归为默认设置，然后进行

更改。创建信息的用户定义特征时，可以对用户定义特征设置严重性级别。

异常

异常特征检测是指检测并识别试图利用已知漏洞的网络流量。创建信息的异常特征时，可以设置特征的严重级别。“日志记录”选项的名

称改为“数据包日志”。“参数”栏被取消了。

协议解码器

协议解码器菜单，FortiOS 3.0 中新增的选项对协议异常可以进行日志记录。

您可以启动或撤消对协议异常的日志记录功能，以及配置检测到异常时所采取的

IPS 动作。如果需要恢复到默认的设置，可以点击“重置”图标。您可以使用 CLI 命令根据源与目标地址配置会话控制。当固件镜像升级后，

协议异常列表也相应更新。

Web 过滤

Web 过滤菜单在入侵防护主菜单之下，包括以下选项。内容屏蔽 URL 过滤 FortiGuard-web 过滤

注意：如果使用基于 web 的管理器升级，FortiOS 2.80 中配置的列表将会顺延到

FortiOS3.0 中。保存这些列表以便在升级之后进行校验。详细信息参见 FortiOS 3.0MR1 发布说明。

内容屏蔽

内容屏蔽菜单在 FortiOS3.0 中增加了新的选项“web 内容屏蔽豁免”。

URL 过滤

“URL 过滤”功能可以允许或屏蔽对具体 URL 的访问。您也可以添加模式

或表达式以允许或屏蔽 URL。“URL 过滤”菜单包括两个选项，分别为“网页

URL 屏蔽”与“网页模式屏蔽”。 FortiOS 2.80MR11 中，“URL 过滤”用于屏蔽 URL。FortiOS 3.0 中 web 过

滤与 URL 过滤合并。

Web 过滤

FortiGuard-web 过滤菜单，之前位于 web 过滤>类型屏蔽>配置选项下，

FortiOS3.0 中，web 过滤成为独立的菜单项。 FortiGuard-web 过滤是 Fortinet 公司提供的可管理的 web 过滤解决方案，将

数百万计的网页根据其内容分类，用户可以根据类型对网页采取“允许”、“屏蔽”

与“监控”的动作。 FortiGuard-web 过滤菜单包括“跳过”、“本地类别”与“本地分类”栏目。

对于带有硬盘的 FortiGate 设备，您可以使用“报告”选项创建报告。 “跳过”选项给管理员在屏蔽网页时提供了更多的灵活性与控制力。管理员

可以配置“跳过”规则，在必要时允许用户访问被屏蔽的网页。管理员也创建用

户定义的网页类型，允许用户基于每项用户内容屏蔽 URL 组。 “本地分类 ”选项中，可以配置本地分类以指定本地分类是否应用于

FortiGate 分类结果，或用于设置 URL“跳过”。“本地类别”选项允许您指定用

户定义的类别，并指定一些 URL 属于该类别。

反垃圾邮件（之前名为“垃圾邮件过滤”）

反垃圾邮件包括以下设置项：

禁忌词汇黑/白名单

您可以对 FortiGate-800 设备以及更高端的设备，配置额外的功能。例如，“禁

忌词汇”列表中，您可以：创建信息的反垃圾邮件禁忌词汇列表查看反垃圾邮件禁忌词汇目录

同样，对于 FortiGate-800 设备以及更高端的设备，您也可以对黑/白名单列

表进行配置：添加多个电子邮件地址列表创建新的反垃圾邮件地址列表创建新的反垃圾邮件 ip 地址列表查看反垃圾邮件 IP 地址列表目录

FortiOS 2.80 MR11 中基于 web 管理器中有关反垃圾邮件的选项，包括

FortiGuard 反垃圾邮件服务、IP 地址、DNSBL、ORDBL、MIME 报头与邮件地

址，在 FortiOS 3.0 中同样使用 CLI 也可以配置。详细信息参见 FortiGate 设备 CLI使用参考手册。

如果使用基于 web 的管理器对 POP3、IMAP 或 SMTP 启动了 MIME 报头检

测，并且使用基于 web 的管理器对内容保护文件进行了修改，如 IP 地址检测、

禁忌词汇检测或记录超大文件日志，那么 MIME 检测将撤消。电子邮件中对于垃圾邮件所采取的“清除”动作，FortiOS 升级后，使用 CLI

支持该功能。在配置禁忌词汇时，避免使用“清除”动作，因为在 FortiOS 3.0中这个动作不再是有效的动作。

注意：黑/白名单不是分离的。升级到 FortiOS 3.0 后，您可能需要重新启动 MIME报头。

禁忌词汇

“禁忌词汇”设置通过屏蔽邮件中包含的具体词汇或模式来检测与控制垃圾

邮件。“禁忌词汇”菜单所能设置的动作栏“计数”，在创建新的禁忌词汇时将出

现。 “计数”是应用于禁忌词汇的计算出现次数的设置项，如果“计数”所得高

于内容保护文件列表中设定的构成垃圾邮件的限值，程序将根据对邮件流量类型

所采取的动作继续进行，例如，对于 smtp3-spamaction，内容保护文件列表中设

置的动作为“通过”或“标记”。在一个 web 页面中，即使一条禁忌词汇出现多

次，但“计数”中只计为一次。

黑/白名单

内容保护列表中启动了“黑/白名单”设置后，可以过滤进入的邮件。FortiGate设备使用 IP 地址列表与邮件列表进行过滤。

FortiGate 设备将邮件发件人的 IP 地址与 IP 地址列表逐个匹配，发现匹配项，

便采取对应的动作；没有检测到匹配项，邮件被允许通过且进行下一项垃圾邮件

过滤选项。 “邮件列表”的工作原理如同黑/白名单。

IM/P2P

IM/P2P 菜单包括以下选项：统计表用户

随着即时通信与 P2P 网络流量的增加，FortiOS3.0 中新增了 IM/P2P 菜单。

您可以对 P2P 分配带宽限制。使用 CLI，还可以对 IM/P2P 配置扩展的功能。使用 config imp2p old-version

命令启动旧版本的 IM 协议。这些 IM 的老版本可以绕过文件屏蔽功能，因为一

些文件的类型无法识别。该命令对于终止这些旧版本的 IM 协议提供了选择。所支持的即时通信协议包括：

MSN 6.0 以及更高版本 ICQ4.0 以及更高版本 AIM5.0 以及更高版本 Yahoo6.0 以及更高版本

注意：FortiGate 设备不能够屏蔽 Skype 用户。即使启动了音频屏蔽功能，即时信

息的用户仍然可以发送/接收 webcam/video 信息流量。

统计表

管理员可以查看“统计表”中即时通信与点到点通信数据，以便了解这些即

时通信协议在网络中的使用情况。 “总述”提供了所有 IM/P2P 协议使用的详细信息。“协议”栏显示从近

一次重启后当前的用户、以及被屏蔽的用户信息。

用户

“用户”菜单显示连接着的哪些即时通信工具的用户。网络管理员可以分析

列表并决定屏蔽或允许的用户。管理员可以使用“配置”栏，配置对未知用户采取的动作。

日志与报告

“日志与报告”是新增的菜单，包括以下设置项：日志配置日志访问报告

日志配置

“事件日志”是日志配置菜单中新添的栏目。“事件日志”可以选择需要日

志记录的事件。“事件日志”栏目中还包括“报警邮件”，其功能与 FortiOS 2.80MR11 中相同，当 FortiGate 设备发生情况时，如设备故障或网络攻击时提供

及时的报警信息。 “日志设置”中，可以测试 FortiGate 设备与 FortiAnalyzer 设备的连接，查

看连接状态。图 42：日志与报告菜单中“测试连接性”的功能

FortiOS 3.0 中新增了选项栏“FortiDiscovery”，自动检测 FortiGate 设备并将

其连接在同一子网中的本地 FortiAnalyzer 设备。“FortiDiscovery”使用在同一子

网中的本地 FortiAnalyzer 设备发送 HELLO 数据包的功能实现与 FortiAnalyzer设备的连接。

Web 趋势选项与流量过滤，在 CLI 中配置使用。详细信息参见 FortiGate 设

备 CLI 使用参考手册。对于各种协议与流量的日志记录，在“内容保护列表”中进行配置。

注意：“日志过滤”功能需要进入“防火墙>内容保护列表>日志”中配置使用，

您也可以使用 CLI 启动该功能。“流量过滤”使用 CLI 也可以配置。详细信息参

见 FortiGate 设备 CLI 使用参考手册。

日志访问

“日志访问”有两个设置栏，“内存”栏显示记录到内存的事件日志类型。

“FortiAnalyzer 设备”栏显示记录在 FortiAnalyzer 设备的日志类型。如果 FortiGate 设备带有硬盘则显示“硬盘”标记。使用下拉菜单选择不同

的日志类型。

报告

“报告”菜单提供对 FortiAnalyzer 设备记录的所有不同范围报告的访问，

该功能只有在 FortiGate 设备与 FortiAnalyzer 设备连接时可用。您可以选择“基本流量”报告或“访问任何类型的 FortiAnalyzer 报告”显

示日志。“基本流量”包括是存储在 FortiGate 设备内存中的日志信息，在“日志

访问”页面以两种类型的条形图显示。您可以从很多 FortiAnalyzer 报告中查找日志数据，或为 FortiGate 设备定制

默认的报告生成，包括从新闻组到 VoIP 收集的数据信息。

HA

FortiOS3.0 中对配置 HA 更改很大，包括增加新的功能。对于 HA 大的

改变是对单个虚拟域配置 HA 中涉及的虚拟群集。虚拟群集涉及到两台 FortiGate中每个虚拟群集的操作。

FortiGate 设备 HA 概述中提供了对现有功能更改的其它信息，以及

FortiOS3.0 中新增的功能。有关 FortiOS 3.0 的详细信息，参见 FortiGate 设备管

理与使用手册（系统配置章节中 HA 部分）、FortiGate 设备 CLI 使用参考手册以

及在线帮助。系统菜单中，进入“系统>配置>HA”，配置 HA。 “替代主设备”在默认

情况下是启动的。注意：配置一个 HA 群集时，保证所有的 FortiGate-100A 与 FortiGate-200A 设备

具有相同的序列号。

升级 HA 群集

以下步骤帮助您将 FortiOS 2.80HA 群集升级到 FortiOS3.0。您可以使用基于 web 的管理器或执行 CLI 命令 execute restore image 以及一

台 TFTP 服务器升级群集。升级群集 1. 备份主设备的配置。 2. 在主设备上安装固件镜像。

该操作需要持续几分钟的时间，因为主设备需要同步升级从属设备。升级过

程中群集设备将重新启动一次或两次。注意：如果在升级前没有启动“HA 替代”功能，主从设备的地位可能会发生变

化。

SNMP MIB 与陷阱

FortiOS3.0 中，陷阱文件结合在 MIB 文件中。只有一个 MIB 文件可下载安

装在您的 SNMP 管理系统中。之前 SNMP 陷阱与参数使用连字符表示，如 xxx-yyy，现在去掉了连字符，

并大写第二个条目，如 xxxYyy。 FortiOS 3.0 的 MIB 文件同样有更深入的描述以及所支持的型号。联系

Fortinet 公司技术支持获得 MIB 文件。

SNMP 陷阱

以下叙述有关 FortiOS3.0 中 SNMP 陷阱更改的有关信息。 FortiOS3.0 陷阱名称/状态 FortiOS2.8 陷阱名称/状态

fnFMTrapIfChange 新增 fnFMTrapConChange 新增不再可用 fnTrapHaStateChange 不再可用 fnTrapIdsPortScan 不再可用 fnTrapImTableFull

MIB 文件名称

下表显示陷阱名称的梗概，包括 FortiOS 3.0 中其它陷阱名称。位置 FortiOS3.0

陷阱名称/状态 FortiOS 2.8 陷阱名称/状态

系统 fnSysDiskCapacity 新增 fnSysDiskUsage 新增 fnSysMemCapacity 新增 HA fnHaLBSchedule fnHaSchedule fnHaGroupID fnHaGroupID fnHaPriority 不可用 fnHaAutoSync 不可用 fnHaOverride 不可用选项 fnOptAuthTimeout 新增 fnOptionLanguage 新增 fnOptLcdProtection 新增管理 fnManSysSerial 新增 fnManIfName 新增 fnManIfIp 新增 fnManIfMask 新增管理员帐户

fnAdminTable

perm 不可用

管理固件版本

升级到FortiOS3.0之前，建议阅读本章以便您能全面考虑升级到FortiOS3.0的操作步骤。本章包括所有FortiOS3.0固件版本升级操作内容以及恢复到旧的固

件版本FortiOS2.8MR11或所有的FortiOS3.0固件版本的操作。除了固件镜像，Fortinet公司也发布了不同的补丁版本。补丁版本中并没有

增加新的功能或对功能的更改，只是对某一些问题进行了完善。建议更新补丁版

本，升级当前固件版本时安装补丁版本，包括备份当前配置。 FortiOS 3.0 允许FortiGate设备在透明模式下使用NAT，详细信息，访问

Fortinet公司网站中知识库板块。本章包括以下内容：

备份配置升级FortiGate设备返回到FortiOS2.80MR11 备份FortiOS3.0配置使用web管理器恢复到FortiOS 2.80MR11 恢复配置从FortiOS3.0MR1升级到FortiOS3.0MR2 返回到FortiOS3.0MR1 有关FortiOS2.80MR11的升级有关FortiOS3.0升级

备份配置

Fortinet公司建议在升级到FortiOS3.0之前，备份FortiGate设备中的全部配置

设置。这样能够保证如果您需要降级到FortiOS2.8MR11并需要恢复这些配置设置

时，所有的配置设置才不会丢失。警告：在升级/降级到当前固件版本或恢复到出厂默认配置之前总要备份配置。

使用基于 web 的管理器备份配置

以下是使用基于web管理器备份当前配置的操作步骤： 1. 进入“系统设置>维护>备份与恢复”。 2. 选择所有配置文件，点击“备份”图标。 3. 点击“OK”。 4. 保存文件。注意：备份文件时可以输入密码加密备份的备份文件。

使用 CLI 备份配置文件

以下是使用CLI备份配置文件的步骤：备份配置文件，输入：

execute backup allconfig <filename><address_ip> 这将花费几分钟的时间。

使用基于web管理器或CLI备份配置文件成功后，您可以执行升级到

FortiOS3.0。

升级FortiGate设备

升级成功后，FortiGate设备便具有了硬盘驱动，使用备份与恢复页面中“启

动固件方法”选项。该选项提供您两种固件镜像的选择，如FortiOS2.80MR11与FortiOS3.0，用于下载/升级。参见Fortinet知识库中“2.80MR11到3.0MR1升级/降级/双重启动”一文中的说明，配置FortiGate设备或配置双重启动。

如果没有成功升级到FortiOS3.0，参见“返回到FortiOS2.80MR11”章节降级

到FortiOS2.80MR11。在FortiOS3.0中，您可能需要重新配置一些设置。参见“有关FortiOS2.80MR11

的升级”章节，或“Forti3.0MR1发布说明”获得详细信息。升级补丁版本也可以使用以下步骤。补丁版本中并没有增加新的功能或对功

能的更改，只是对某一些问题进行了完善。建议更新补丁版本，升级当前固件版

本时安装补丁版本，包括备份当前配置。注意：请在升级到FortiOS3.0之前确定已安装了FortiOS2.80MR11。

升级到 FortiOS3.0

以下是使用基于web的管理器或CLI升级到FortiOS3.0的内容信息。

使用基于 web 的管理器升级

以下是使用基于web管理器升级到FortiOS3.0的操作步骤。建议使用CLI进行

升级。TFTP升级会将所有当前的防火墙配置恢复到出厂默认的设置。警告：在升级/降级到当前固件版本或恢复到出厂默认配置之前要备份配置。使用基于web的管理器升级到FortiOS3.0 1. 拷贝固件镜像文件到您的管理器计算机。 2. 登录基于web的管理器。 3. 进入“系统设置>状态>设备信息”。 4. 在“设备信息”选项下，点击“升级”。

5. 输入存储固件镜像文件的路径并命名文件，或点击“浏览”查看固件镜像文

件存放的位置。 6. 点击“OK”确定。

FortiGate设备上传固件镜像文件，升级到新的固件版本并重新启动后，显

示FortiGate登录页面。该操作需要花费几分钟时间完成。升级成功后：

Ping FortiGate设备，检验是否还存在连接。清除浏览器的缓存并登录到基于web的管理器。

登录返回到基于web的管理器后，您应该保存将要延续使用的配置设置。

FortiOS2.80MR11中的一些设置可能会延续到升级的系统，但是例如某些IPS组设

置将不能延续到升级的系统。进入“系统设置>维护>备份与恢复”保存将延续

到升级后系统的配置设置文件。注意：升级到FortiOS3.0后，执行“立即升级”从FDN获取新的AV/NID特征，

因为固件中这些特征文件可能要比FDN中当前可用特征的版本要旧。参见

FortiGate设备管理与使用手册，获得有关升级AV/NIDS特征的详细信息。

使用 CLI 升级

使用CLI升级到FortiOS3.0与TFTP服务器。CLI升级将所有当前防火墙配置恢

复为出厂默认的设置。参见Fortinet公司网站中知识库板块中“使用TFTP操作命令载入FortiGate设备

固件”一文有关使用CLI升级固件的其他信息。使用CLI升级到FortiOS3.0

1. 将新的固件镜像文件拷贝到TFTP服务器的根目录。 2. 启动TFTP服务器。 3. 登录到CLI。 4. 输入以下命令ping运行TFTP服务器的计算机。该操作保证FortiGate设备与

TFTP服务器连接。例如，如果TFTP服务器的IP地址为：192.168.1.168。 execute ping 192.168.1.168

5. 输入以下命令将固件文件从TFTP服务器拷贝到FortiGate设备。 execute restore image<name_str><tftp_ip4> <name_str>中输入固件镜像文件的名称，<tftp_ip4>中输入TFTP服务器的IP地址。

例如固件镜像文件名为image.out，TFTP服务器的IP地址为192.168.1.168，那么输

入： execute restore image.out 192.168.1.168 FortiGate设备对于以上信息作出类似以下的回应： This operation will replace the current firmware version! Do you want to continue? (y/n) 6. 键入“Y”。 FortiGate设备上传固件镜像文件，省级到新的版本并重新启动设备。该操作需要

发费几分钟时间。 7. 重新连接到CLI。 8. 输入以下命令确认固件安装成功。

get system status 9. 更新反病毒与攻击定义（参见FortiGate设备管理员使用手册），或在CLI中输

入： execute update-now

校验升级

再次登录基于web的管理器后，大部分FortiOS2.80MR11配置设置将延续到

升级后的系统。例如，进入“系统设置>网络>选项”，您可以看到从

FortiOS2.80MR11配置设置延续的DNS设置。您应该校验延续到升级后系统的配置设置。校验配置设置可以使您熟悉

FortiOS3.0中的新功能与功能更改。通过以下方法校验配置设置：

使用基于web的管理器检查每个菜单与栏目使用CLI命令show

确定配置到FortiGate设备的管理访问设置也同样延续到升级后的系统。

返回到FortiOS2.80MR11

如果升级没有成功，您需要返回到之前的固件版本。以下内容将帮助您备份

当前的FortiOS3.0配置，恢复到FortiOS2.80MR11以及FortiOS2.80MR11的配置。包括以下内容：

备份FortiOS3.0配置使用基于web的管理器恢复到FortiOS2.80MR11 使用CLI恢复到FortiOS2.80MR11 恢复配置

备份 FortiOS3.0 配置

如果您在FortiOS3.0中配置了其它设置，建议您在恢复到FortiOS2.80MR11之前备份这些设置。这样能够保证您决定升级时，具有FortiOS3.0的当前配置文

件。建议安装补丁以及升级固件时，均要备份配置。

将配置备份到 PC

1. 进入“系统设置>维护>备份与恢复”。 2. 选择“备份到本地PC”。 3. 点击“应用”。

如果您想加密配置文件以保存VPN证书，选定“加密配置文件”功能框并输

入密码，重新输入密码以确认。

备份到 FortiUSB Key

您也可以将配置文件备份到FortiUSB密钥。执行备份操作之前，请先确定

FortiGate设备是否已经安装FortiUSB。只有运行FortiOS 3.0 MR5的FortiGate设备支持使用第三方密钥配置系统配

置。注意：如果FortiGate设备已安装FortiOS3.0MR1，在您安插FortiUSB之前，请先

关闭FortiGate设备。将配置文件备份到FortiUSB 1. 进入“系统设置>维护>备份与恢复”。 2. 选择“备份到FortiUSB”。 3. 点击“应用”。



使用基于 web 的管理器恢复到 FortiOS2.80MR11

当您恢复到FortiOS 2.80MR11时，只有以下设置被保留：操作模式接口IP/管理IP 静态路由表 DNS设置 VDOM设置 VDOM参数>设置管理员帐户会话帮助系统权限设置

如果您在FortiOS3.0中创建了其它设置，在恢复到FortiOS2.80MR11之前请先备份

这些设置。

使用基于 web 的管理器恢复到 FortiOS2.80MR11

1. 进入“系统设置>状态>固件版本”。 2. 点击“更新”。 3. 输入固件存放的位置或点击“浏览”查找固件。 4. 点击“OK”。 FortiGate设备显示如下信息： The new image does not support CC mode. Do you want to continue to upgrade? 5. 点击“OK”确认。显示如下信息： This version will downgrade the current firmware version. Are you sure you want to

continue? 6. 点击“OK”确认。 FortiGate设备上传固件镜像文件，恢复到旧的固件版本，恢复配置，系统重新启

动后，并显示登录页面。该操作需要花费几分钟的时间。 7. 重新登录基于web的管理器。进入“系统设置>设备信息”校验更改为FortiOS2.80MR11后的固件版本。

校验恢复

成功恢复到FortiOS2.80MR11后，校验设备连接与设置。如不能连接到基于

web的管理器，请查看您的管理访问设置与内部网络IP地址是否正确。恢复固件

可能将设备的配置设置恢复到出厂默认的设置。

使用 CLI 恢复到 FortiOS2.80MR11

该步骤将使用CLI命令将固件恢复到FortiOS2.80MR11。如果您在FortiOS3.0中创建了其它设置，在恢复到FortiOS2.80MR11之前请先备份这些设置。


1. 将固件镜像文件拷贝到TFTP服务器的根目录。 2. 启动TFTP服务器。 3. 登录CLI。 4. 输入以下命令ping运行TFTP服务器的计算机。该操作保证FortiGate设备与




入： execute restore image.out 192.168.1.168 FortiGate设备对于以上信息作出类似以下的回应： This operation will replace the current firmware version! Do you want to continue? (y/n) 6. 键入“Y”。 FortiGate设备上传固件镜像文件，恢复到旧的版本并重新启动设备。系统显示如

下信息： Get image from tftp server OK. Check image OK. This operation will downgrade the current firmware version! Do you want to continue? (y/n) 7. 键入y。

FortiGate设备恢复为旧的固件版本，并恢复为出厂默认设置，重新启动。该操作

需要花费几分钟的时间。 FortiGate设备上传固件后，将恢复为默认的设置包括默认的IP地址，您需要重新

配置IP地址。 8. 重新连接到CLI。 9. 输入以下命令确定固件已经安装成功： get system status

恢复配置

当恢复到FortiOS2.80MR11后，配置设置可能并不能随着降级而保留。您需

要使用在升级到FortiOS 3.0保存的FortiOS2.80MR11的配置文件来恢复配置设

置。安装补丁之后，您也可以使用以下步骤恢复配置。

使用基于 web 的管理器恢复配置设置

以下是使用基于web的管理器如何恢复FortiOS2.80MR11的操作。 1. 登录基于web的管理器。 2. 进入“系统设置>维护>备份与恢复”。 3. 选择配置文件，点击“恢复”图标。 4. 如您对保存的配置文件设置了密码，输入密码。 5. 输入配置文件存储的路径，或点击“浏览”查找文件存放的位置。 6. 点击“OK”。

FortiGate设备恢复FortiOS 2.80MR11的配置设置，该过程中FortiGate设备重

新启动，需要几分钟的时间。您可以登录基于web的管理器，访问各项菜单或条目校验恢复的配置设置。

使用CLI恢复配置设置以下是使用CLI如何恢复FortiOS2.80MR11的操作。

1. 将备份的配置文件拷贝到TFTP服务器的根目录。 2. 启动TFTP服务器。 3. 登录CLI。 4. 输入以下命令ping运行TFTP服务器的计算机。该操作保证FortiGate设备与


5. 输入以下命令将配置文件从TFTP服务器拷贝到FortiGate设备。 execute restore allconfig <name_str><tftp_ip4><passwrd> <name_str>中输入备份的配置文件名称，<tftp_ip4>中输入TFTP服务器的IP地址，

<passwrd>中输入当您在备份配置文件时设置的密码。例如配置文件名为confall，TFTP服务器的IP地址为192.168.1.168，密码为ghrffdt123：那么输入： execute restore allconfig confall 192.168.1.168 ghrffdt123 FortiGate设备对于以上信息作出类似以下的回应：

This operation willoverwrite the current setting and the system will reboot! Do you want to continue? (y/n) 6. 键入“Y”。 FortiGate设备上传备份配置文件，文件上传后，系统显示如下信息： Getting file confall from tftp server 192.168.1.168 ## Restoring files…… All done. Rebooting…. 该操作将花费几分钟的时间。

使用shell 命令show检验恢复的设置，或登录基于web的服务器。

从FortiOS3.0MR1 升级到FortiOS3.0MR2

FortiOS3.0MR2支持除了FortiGate-50外的所有设备。如果您使用TFTP服务器

升级固件，所有当前防火墙配置都将恢复到出厂默认设置。以下是实现从FortiOS3.0MR1升级到FortiOS3.0MR2的信息与操作。同样适用

于升级到FortiOS3.0MR3或更高系统版本。从FortiOS2.80MR11升级到FortiOS3.0MR2后，有一些配置设置是不能延续到

升级后的系统的。

备份配置

使用FortiUSB、基于web的管理器或CLI备份当前配置。以下方法之一均可

以配置当前配置。警告：在升级或恢复到当前固件版本，或恢复到出厂默认设置时要备份配置设置。

使用基于 web 的管理器备份当前配置




使用 CLI 备份当前配置

1. 登录CLI。 2. 输入以下CLI命令： execute backup config tftp <filename><tftp_ipv4> 例如： execute backup config tftp fgt.conf 192.168.1.23

使用 FortiUSB Key 备份当前配置文件

1. 进入“系统设置>维护>备份与恢复”。 2. 选择“备份到FortiUSB”。 3. 点击“应用”。



升级到 FortiOS3.0MR2

使用以下任何一种操作的方法均可以升级FortiGate设备。该操作使用TFTP服务器升级到FortiOS3.0MR2。TFTP升级会将所有当前的防火墙配置恢复到出厂

默认的设置。参见Fortinet公司网站中知识库板块中“使用TFTP操作CLI载入FortiGate设备

固件”一文有关使用CLI升级固件的其他信息。

使用基于 web 的管理器升级

1. 拷贝固件镜像文件到您的管理器计算机。 2. 登录基于web的管理器。 3. 进入“系统设置>状态>升级固件”。 4. 点击“升级”。 5. 输入存储固件镜像文件的路径并命名文件，或点击“浏览”查看固件镜像文

件存放的位置。 7. 点击“OK”确定。 FortiGate设备上传固件镜像文件，升级到新的固件版本并重新启动后，显示

FortiGate登录页面。该操作需要花费几分钟时间完成。升级成功后：

Ping FortiGate设备检验是否还存在连接。清除浏览器的缓存并登录到基于web的管理器。

使用 CLI 升级

1. 将新的固件镜像文件拷贝到TFTP服务器的根目录。 2. 启动TFTP服务器。 3. 登录到CLI。 4. 输入以下命令ping运行TFTP服务器的计算机。该操作保证FortiGate设备与




入： execute restore image.out 192.168.1.168 FortiGate设备对于以上信息作出类似以下的回应： This operation will replace the current firmware version! Do you want to continue? (y/n) 6. 键入“Y”。 FortiGate设备上传固件镜像文件，省级到新的版本并重新启动设备。该操作需要

发费几分钟时间。 7. 重新连接到CLI。 8. 输入以下命令确认固件安装成功。 get system status 9. 更新反病毒与攻击定义（参见FortiGate设备管理员使用手册），或在CLI中输

入： execute update-now

恢复到FortiOS3.0MR1

如果升级没有成功，您需要返回到之前的固件版本。您可以使用在设备重新

启动时更改固件版本的功能，或使用基于web的管理器或CLI恢复到之前的固件

版本。在设备启动重新启动时更改固件版本的功能只能在安装有硬盘的FortiGate

设备中可以实现。也就是说您可以在FortiGate设备的硬盘中备份两个固件镜像文

件，用于升级或降级。降级到FortiOS3.0 MR1，只有以下的配置设备被延续：

操作模式接口IP/管理IP 静态路由列表 DNS设置 VDOM参数/设置 Admin用户帐户会话帮助系统访问权限列表

警告：安装补丁、升级/降级到当前固件版本或恢复到出厂默认配置之前要备份

配置。

备份配置

您可以将当前配置备份到管理PC或FortiUSB密钥。以下是使用基于web的管

理器将当前配置备份到管理PC或FortiUSB密钥的操作步骤。

将 FortiOS3.0MR2 的配置文件备份到 PC




将当前配置备份到 FortiUSB Key

1. 进入“系统设置>维护>备份与恢复”。 2. 选择“备份到FortiUSB”。 3. 点击“应用”。



恢复到 FortiOS3.0MR1

备份配置后，您可以使用基于web的管理器或CLI将设备恢复FortiOS3.0 MR1。

使用基于 web 的管理器恢复到 FortiOS3.0 MR1

1. 进入“系统设置>状态>固件版本”。 2. 点击“更新”。 3. 输入固件存放的位置或点击“浏览”查找固件。 4. 点击“OK”。 FortiGate设备显示如下信息： The new image does not support CC mode. Do you want to continue to upgrade? 5. 点击“OK”确认。显示如下信息： This version will downgrade the current firmware version. Are you sure you want to continue? 6. 点击“OK”确认。 FortiGate设备上传固件镜像文件，恢复到旧的固件版本，恢复配置，系统重新启

动后，并显示登录页面。该操作需要花费几分钟的时间。 7. 重新登录基于web的管理器。 8. 进入“系统设置>设备信息”校验更改为FortiOS3.0MR1固件版本。


1. 将固件镜像文件拷贝到TFTP服务器的根目录。

2. 启动TFTP服务器。 3. 登录CLI。 4. 输入以下命令ping运行TFTP服务器的计算机。该操作保证FortiGate设备与




入： execute restore image.out 192.168.1.168 FortiGate设备对于以上信息作出类似以下的回应： This operation will replace the current firmware version! Do you want to continue? (y/n) 6. 键入“Y”。 7. FortiGate设备上传固件镜像文件，恢复到旧的版本并重新启动设备。系统显

示如下信息： Get image from tftp server OK. Check image OK. This operation will downgrade the current firmware version! Do you want to continue? (y/n) 8. 键入y。 FortiGate设备恢复为旧的固件版本，并恢复为出厂默认设置，重新启动。该操作

需要花费几分钟的时间。 FortiGate设备上传固件后，将恢复为默认的设置包括默认的IP地址，您需要重新

配置IP地址。 9. 重新连接到CLI。 10. 输入以下命令确定固件已经安装成功： get system status

恢复 FortiOS3.0MR1 配置

恢复到FortiOS3.0MR1后，您可以使用基于web的管理器或CLI重新安装

FortiOS 3.0MR1的配置设置。

使用基于 web 的管理器恢复配置设置

以下是使用基于web的管理器如何恢复FortiOS3.0MR1的操作。 1. 登录基于web的管理器。 2. 进入“系统设置>维护>备份与恢复”。 3. 选择配置文件，点击“恢复”图标。 4. 如您对保存的配置文件设置了密码，输入密码。 5. 输入配置文件存储的路径，或点击“浏览”查找文件存放的位置。

6. 点击“OK”。 FortiGate设备恢复FortiOS 3.0MR1的配置设置，该过程中FortiGate设备需要

重新启动，花费几分钟的时间。您可以登录基于web的管理器，访问各项菜单或条目校验恢复的配置设置。

使用 CLI 恢复 FortiOS 3.0MR1 的配置设置

以下是使用CLI如何恢复FortiOS2.80MR11的操作。 1. 将备份的配置文件拷贝到TFTP服务器的根目录。 2. 启动TFTP服务器。 3. 登录CLI。 4. 输入以下命令ping运行TFTP服务器的计算机。该操作保证FortiGate设备与


5. 输入以下命令将配置文件从TFTP服务器拷贝到FortiGate设备。 execute restore allconfig <name_str><tftp_ip4><passwrd> <name_str>中输入备份的配置文件名称，<tftp_ip4>中输入TFTP服务器的IP地址，

<passwrd>中输入当您在备份配置文件时设置的密码。例如配置文件名为confall，TFTP服务器的IP地址为192.168.1.168，密码为ghrffdt123：那么输入： execute restore allconfig confall 192.168.1.168 ghrffdt123 FortiGate设备对于以上信息作出类似以下的回应： This operation willoverwrite the current setting and the system will reboot! Do you want to continue? (y/n) 6. 键入“Y”。 7. FortiGate设备上传备份配置文件，文件上传后，系统显示如下信息： Getting file confall from tftp server 192.168.1.168 ## Restoring files…… This may take a few minutes…. 该操作将花费几分钟的时间。 8. 使用shell 命令show检验恢复的设置，或登录基于web的服务器。

使用 FortiUSB 恢复设置

如果您将配置设置保存到 FortiUSB 密钥，使用基于 web 的管理器或 CLI 从FortiUSB 密钥恢复配置设置。使用基于web的管理器从FortiUSB密钥恢复配置 1. 进入“系统设置>维护>备份与恢复”。 2. 从“备份配置列表”中选择USB。 3. 点击“OK”。


入密码，重新输入密码以确认。使用CLI从FortiUSB密钥恢复配置登录CLI

1. 登录CLI。 2. 输入以下CLI命令： execute restore config usb <config_name> 3. 显示如下信息： This operation will overwrite current settings! Do you want to continue? (y/n) 4. 输入y。该操作需要花费几分钟时间去实现。 5. 使用导入批量CLI命令恢复列表。

有关FortiOS2.80MR11 的升级

以下是有关从FortiOS2.80MR11直接升级到FortiOS 3.0或更高版本系统的说

明。

从 FortiOS2.80MR11 升级到 FortiOS 3.0MR1

以下是关于升级后一些配置设置不能延续到FortiOS 3.0MR1或与FortiOS 3.0MR1中其它一些设置混合的说明。除了以下注明的信息，其它配置设置都将

延续到升级后的系统。

IPS 组

FortiOS2.80中某些IPS组不能延续到升级到的FortiOS3.0MR2。这些IPS组可

能会与FortiOS MR2中的IPS组混合或在升级过程中被删除。您需要根据

FortiOS3.0MR1发布说明中附件A校验丢失的IPS组，然后对没有能够延续到升级

后系统的IPS组手工配置特征设置。使用Fortinet知识库中“使用导入批量CLI命令选项导入2.80列表”中说明将FortiOS 2.80中的列表导入FortiOS3.0。

VPN 防火墙策略

FortiOS 3.0中IPSec阶段1客体是与网络接口绑定的。两项防火墙IPSecVPN策

略在不同的接口共享相同的阶段1IPSecVPN客体这样特殊情况下升级时，这些防

火墙策略是不能延续到升级后的系统。您需要创建一个新的IPSec阶段1客体恢复

这些策略，在IPSecVPN防火墙策略使用的相同接口上建立本地接口设置，并创

建如VPN通道自动密钥客体这样的另一项新的阶段1客体。

PING 发生器

CLI命令auto-negotiate，默认的情况下没有启动。该CLI命令取代了

FortiOS2.80中Ping发生器自动启动两个通道通信的功能。Ping发生器在IPSec2配置下对于IPSec通道与IPSec接口都是可用的。

未被使用的 IPSec VPN

如果FortiOS2.80中存在未被使用的IPSecVPN，并且这些VPN也没有应用在

防火墙策略中，它们不能延续到升级后的FortiOS3.0MR1中使用。

FortiGuard web 过滤替代信息字符串

FortiGuard web过滤URL屏蔽功能需要在web过滤替换信息中包括特殊标记

字符串。这些特殊标记是用来确保用户定制的替换信息不被覆盖，并不是自动进

行添加的。系统升级后，您需要手工升级web过滤替换信息，将特殊标记包括在

内。以下是需要争取升级的特殊标记字符串：升级后，进入“系统设置>配置>替换信息>FortiGuard web过滤>URL屏蔽信

息”。在替换信息<body>与</body>HTML标签之间插入字符串

“<br>%%OVERRIDE%%<br>”。保存更新的替换字符串并点击“OK”。

Web 过滤与垃圾邮件过滤列表

以下列表存储在FortiOS3.0系统配置中，升级后不能恢复。使用批CLI命令恢

复这些列表： Web过滤垃圾邮件过滤

Web内容屏蔽 IP地址 WebURL屏蔽列表 RBL&ORDBL Web URL免除列表电子邮件地址

MIME报头禁忌词汇 RBL &ORDBL

Active X, Cookie, 与 Java Apple 过滤

如果Active X插件, Cookie, 与Java Apple过滤在“web过滤>脚本过滤”项下

启动后，在每项内容保护文件中是自动启动。从FortiOS2.80MR11升级时，如果

在“web过滤>脚本过滤”项下启动了Active X插件, Cookie, 与Java Apple过滤，

那么这些设置都将在每项内容保护文件中反映出来。

没有配置“设备设置”的静态路由

FortiOS3.0需要对静态路由配置“设备设置”。FortiOS2.80MR11中任何没有

配置“设备设置”的静态路由在升级后均不能延续到FortiOS 3.0。

有关从FortiOS2.80MR11 升级到FortiOS 3.0MR2

以下是有关从FortiOS2.80MR11直接升级到FortiOS3.0MR2后发生一些配置

设置不能延续到升级后的系统或与升级后的系统中某些设置混合情况的说明。

日志过滤更改

FortiOS3.0中，日志过滤是通过以下两种方法之一进行控制的，分别为基于

设备与基于每项内容保护文件的控制。基于设备的过滤控制是否将日志信息发送

到设备。基于每项内容保护文件过滤控制是否通过一项内容保护后匹配的流量所

产生的日志信息发送到设备。从FortiOS2.80升级系统时，只有基于设备的日志过

滤能够延续到升级后的系统。内容保护文件更改为容纳日志记录，除了命令

log-web-ftgd-error。该命令在默认情况下是启动的。系统成功升级到FortiOS3.0后，查看需要启动日志记录的防火墙策略。

VDOM 许可

升级到系统FortiOS 3.0后，VDOM以及所有有关的配置在升级后保留。为了

防止返回到出厂默认的设置与配置恢复，FortiGate设备不添加全部的VDOM。如

果运行FortiOS2.80的FortiGate设备中设置了超出默认数量的VDOM，升级到

FortiOS3.0后需要执行以下操作：备份FortiOS2.80的配置升级到FortiOS3.0MR2 备份FortiOS3.0 MR2 联系“客户支持”获得配置超出默认设置的其它VDOM的FortiOS 3.0VDOM

许可证密钥。如果配置运行一个HA群集，需要获得群集中每台设备的许可证密钥。

VDOM 配置中 IPSec 手工密钥

配置在非根VDOM中IPSec通道使用的手工密钥，在没有被防火墙策略引用

时，系统升级后将不能延续到升级后的系统。

报警邮件替代信息

FortiOS 3.0MR2中，修改了“报警邮件”选项。FortiGate设备对报警邮件生

成新的信息格式。任何修改后的报警邮件替换信息都不能延续到升级后的系统。

报警邮件过滤

报警邮件过滤包括根据类型与阀值发送报警邮件。详细信息参见“日志与报

告”章节。

区域中的防火墙策略

防火墙策略并不能延续到升级后的系统，但是如果防火墙策略是配置在启动

VDOM的区域中，便可以延续到升级后的系统。

有关从FortiOS2.80MR11 升级到FortiOS3.0MR4

以下是有关从FortiOS2.80MR11直接升级到FortiOS3.0MR4后发生的一些配

置不能延续到升级后的系统或与升级后的系统中某些设置混合情况的说明。除了

以下另行的说明，其它以上所述有关升级中存在的情况同样存在。

管理用户

FortiOS2.80中，管理admin用户是全局配置；而在FortiOS3.0MR4中，管理

admin用户是基于每个VDOM设置的。升级到FortiOS 3.0MR4后，FortiOS2.80中所有的admin用户在默认情况下都将被分配到根VDOM，所有的管理用户，除了

默认的“admin”用户在升级后均不能登录管理VDOM。

策略路由

FortiOS3.0MR2版本后，输入设备与输出设备是强制的属性。FortiOS2.80中，

输出设备不是强制属性，升级到FortiOS3.0MR4，不配置输出策略的策略路由不

能延续到升级后的系统。

WLAN 接口下的 VLAN

配置在WLAN接口下的VLAN不能延续到FortiOS 3.0MR4。FortiOS 3.0MR4不支持WLAN接口下的VLAN的配置。

日志硬盘设置

“日志硬盘设置”配置当系统从FortiOS2.80MR11升级到FortiOS2.80MR12后不能延续到升级后的系统。升级系统后，您需要重新启动并配置该设置。

IPSec DPD 设置

从FortiOS 2.8MR11或MR2升级会导致日志硬盘设置配置丢失。升级到

FortiOS3.0MR4后，必须重新启动并配置设置。

IPSec VIP

FortiOS 2.80 支持 config vpn ipsec vip 命令配置的 VIP，其本质来讲就是代理

ARP。FortiOS 3.0 中没有这个命令，替换成为可以执行该功能的 config system proxy-arp 命令。FortiOS 3.0 MR4 的升级脚本中并不所述命令。您需要重新配置

任何 FortiOS 2.80 IPSec VIP 在 FortiOS 3.0 中使用系统代理 ARP 命令。该命令在

NAT 模式下基于每个 VDOM 有效。以下是 FortiOS3.0 MR4 配置 IPSec VIP 举例： config system proxy-arp edit1 set ip 192.168.5.101 set interface port1 next edit2 set ip 192.168.5.110 set interface port3 next end

IPS 预定义特征

预定义特征的严重级别设置为建议的级别且不能更改。建议升级到 FortiOS3.0 MR4 补

丁版本解决该问题。




以下另行的说明，其它以上所述有关升级中存在的情况同样存在。如果 WLAN 接口作为被监控接口，升级后配置不能延续。没有分配到组的 SSL-VPN 防火墙策略，升级后丢失。以下 IPSec 阶段 1 配置因不在被接受固不能延续至升级：

config vpn ipsec phase1 set type ddns set peertype one set peeris aaa

配置 PPTP 时，如果一个用户组不是等同于防火墙的“NOT”类型，配置不

能延续。对 vavic.com 的 DDNS 服务不是自动获取，需要根据用户帐户或去。配置不

能延续。使用 D 类 IP 地址的防火墙 IP 池不能延续到升级后，鉴于配置验证是基于

224.0.0.0 地址以下的。 FortiOS 3.0 将 VPN 通道分配到接口，故 VPN 通道不能延续到升级后。




以下另行的说明，其它以上所述有关升级中存在的情况同样存在。升级到 FortiOS 3.0 MR6 后，日志硬盘设置将延续。以下阶段 1 的 IPSec 通道参数不能延续：

config vpv ipsec phase1 set dpd <enable|disable> set dpd-idleworry <integer> set dpd-idlecleanup <integer> 以下阶段 2 的 IPSec 通道参数不能延续： config vpv ipsec phase2 set bindtoif <enable|disable> set internetbrowsing <inface_name>

CLI命令 system dhcp exclude_range表示 IP地址应该从DHCP地址池中免除；

MR6 中该功能由 config exclude-range 命令完成，该命令位于 config system dhcp server 命令句法中。

VDOM 防火墙保护内容列表与防火墙时间表（一次性或循环设置）升级后能

够延续，保持在每个 VDOM 中。每个 VDOM 中的防火服务自定义也能够在升级后延续。

有关FortiOS3.0 升级

以下是有关从 Fortios3.0MR1 直接升级到 MR2 或更高版本的说明。如果下载安装了补丁版本，查看补丁版本说明有关升级的内容。

有关升级到 FortiOS3.0MR2

除非另有注明，以下配置将在升级后延续： FortiOS3.0中需要对静态路由配置“设备设置”，如果静态路由不配置“设备”

设置，静态路由将不能延续到升级后的系统。无线设置，如果启动了VDOM，FortiWiFi设备中的无线设置不能延续到升级

后的系统，所述无线设置包括SSID、安全模式与广播SSID。

有关 FortiOS3.0MR3 升级

除非另有注明，以下配置将在升级后延续：以下型号的FortiGate设备中创建的Web过滤列表、反垃圾邮件列表与反病毒

文件模式列表存在局限性。 FortiGate-50A、FortiGate-60、FortiGate-100、FortiGate-100A与FortiWiFi-60 多

可以创建2个列表。 FortiGate-200与FortiGate-500A 多可以创建4个列表。


除非另有注明，以下配置在将延续到升级后的系统。以http://www.fortinet.com格式的本地分类在从FortiOS 3.0MR2升级到FortiOS

3.0MR3后不能被删除。只有在CLI中使用purge命令可以删除条目。预定义特征的严重级别设置为建议的级别且不能更改。建议升级到

FortiOS3.0 MR4补丁版本解决该问题。从FortiOS3.0MR3或更老的版本升级，阶段1基于策略的IPSec通道中的DPD

参数不能在升级后使用。


除非另有注明，以下配置在将延续到升级后的系统。

FortiGuard 分析服务

如果FortiGuard分析服务中使用的是试用合同，升级到FortiOS MR5后，

FortiGate设备到FortiGuard分析服务的连接可能会中断。参见以下操作，重新连

接到FortiGuard分析服务： 1. 进入“系统>维护>FortiGuard中心”。 2. 点击蓝色箭头扩展管理与分析服务选项。 3. 在帐户ID字段输入ID号。 4. 点击“应用”。 5. FortiGuard订购服务选项中，点击分析服务旁的“更新”显示。

FortiGate-50B 固件升级（从 FortiOS3.0 MR3 升级）

FortiGate-50B与其他型号的FortiGate设备相比使用了不同的闪存技术。同样

因为FortiOS 3.0MR3到FortiOS 3.0MR5的分区设计不同，导致全部的配置都不能

延续至FortiOS升级后使用。FortiOS3.0MR3中FortiGate-50B设备的发布基于特殊

的分支，所以OS的子版本编号与分支不同。您需要按照以下顺序升级OS：

FortiOS 3.0 MR3，子版本0413，补丁版本9（br300_fgt50b/build_tag_5020） FortiOS 3.0 MR3，子版本0413，补丁版本10（br300_fgt50b/build_tag_5059） FortiOS 3.0 MR5，子版本0565，补丁版本2

固件升级成功后，校验子版本与分支点是否与下载固件镜像相符合。

FortiGate-50B 固件升级（从 FortiOS3.0 MR4 升级）



延续至FortiOS升级后使用。您需要按照以下顺序升级OS：

FortiOS 3.0 MR4，子版本0480，补丁版本4 FortiOS 3.0 MR4，子版本0483，补丁版本5 FortiOS 3.0 MR5，子版本0565，补丁版本2


FortiGate-50B 固件升级




FortiOS 3.0 MR4，子版本0477，（br300_mr4_fwf50b/build_tag_5011） FortiOS 3.0 MR4，子版本0483，（br300_ mr4_fwf50b/build_tag_6281） FortiOS 3.0 MR5，子版本0565，补丁版本2


FortiGate-60 与 FortiWiFi-60B 固件升级

FortiGate-60以及FortiWiFi-60B与其他型号的FortiGate设备相比使用了不同

的闪存技术。同样因为FortiOS 3.0MR4到FortiOS 3.0MR5的分区设计不同，导致

全部的配置都不能延续至FortiOS升级后使用。您需要按照以下顺序升级OS：

FortiOS 3.0 MR4，子版本0479，（br300_mr4_fgt60b/build_tag_5040） FortiOS 3.0 MR4，子版本0479，（br300_ mr4_fgt60b/build_tag_5060） FortiOS 3.0 MR5，子版本0565，补丁版本2 （br300_ 60b/build_tag_5101）


VPN PPTP 非防火墙用户组


能延续。

DDNS 服务器

对 vavic.com 的 DDNS 服务不是自动获取，需要根据用户帐户或去。配置不

能延续。

防火墙 IP 池

使用 D 类 IP 地址的防火墙 IP 池不能延续到升级后，鉴于配置验证是基于

224.0.0.0 地址以下的。

Web 活动报告

升级后，CLI 命令句法 config log report，一些 web 活动配置不能延续。以下是不能延续的 web 活动报告设置：

wf-block-user wf-tu-hit wf-cat-url wf-pa-date wf-pa-month wf-ba-hour wf-ba-date wf-ba-month

用户对等

没有配置证书验证（CA）或主题的用户对等，配置不能延续到升级后使用。

FortiOS3.0MR5中，这些字段的配置至少一项是必须配置选项。

反病毒文件模式

反病毒文件模式列表中的条目升级可能不能延续；但是，默认的列表将顺延。

升级后，CLI命令句法中从config entries到end可能不显示。


除非另有注明，以下配置在升级后是可用的。大部分FortiGate设备均支持从FortiOS3.0MR5直接升级到FortiOS3.0MR6，除

了FortiGate-50B、FortiWiFi-50B、FortiGate-60以及FortiWiFi-60B设备。

FortiManager 设备与配置

如果FortiManager设备被用于FortiGuard服务为，对FortiGate设备提供IPS与AV更新，那么FortiManager设备必须在对管辖设备之前升级到FortiOS 3.0MR6。升

级并不会中断对FortiGate设备提供的服务。如果配置了类似如下的设置，CLI命令config system fm可能不能在升级后继

续生效： config system fortimanager set ip 192.168.100.100 set vdom root end FortiOS 3.0MR6中更改了VDOM设置，以上的设置可能不能在升级后生效。

FortiGate-50B 升级




FortiOS 3.0 MR4，子版本0480，补丁4 FortiOS 3.0 MR5，子版本0483，补丁5 FortiOS 3.0 MR6


FortiWiFi-50B 升级

FortiWiFi-50B与其他型号的FortiGate设备相比使用了不同的闪存技术。同样



FortiOS 3.0 MR4，子版本0477，（br300_mr4_fwf50b/build_tag_5011） FortiOS 3.0 MR4，子版本0483，（br300_ mr4_fwf50b/build_tag_6281） FortiOS 3.0 MR6


FortiGate-60 与 FortiWiFi-60B 固件升级

FortiGate-60以及FortiWiFi-60B与其他型号的FortiGate设备相比使用了不同

的闪存技术。同样因为FortiOS 3.0MR4到FortiOS 3.0MR5的分区设计不同，导致

全部的配置都不能延续至FortiOS升级后使用。您需要按照以下顺序升级OS：

FortiOS 3.0 MR4，子版本0479，（br300_mr4_fgt60b/build_tag_5040） FortiOS 3.0 MR4，子版本0479，（br300_ mr4_fgt60b/build_tag_5060）

FortiOS 3.0 MR6 固件升级成功后，校验子版本与分支点是否与下载固件镜像相符合。

VPN PPTP 非防火墙用户组


能延续。

反病毒文件模式有关问题的解决

从FortiOS3.0MR4升级到FortiOSMR5，反病毒文件模式列表中的条目没有必

须在升级后延续使用。但升级到MR6，这些条目可以被保留。

有关 IPS 的设置更改

FortiOS3.0MR6 中 IPS 特征以及配置设置变化较大。之前固件版本中的设置

的特征将延续到升级后。例如，如果防火墙保护内容表启动了“高“且”危急”级别的特征，传感器

将创建一个包含“危急”级别的特征的过滤器。该传感器将添加在防火墙保护内

容表中。对于每项严重性的结合，传感器都会创建过滤器。如果默认特征设置更

改，这些特征将被添加到所有这些传感器中作为豁免选项。从 FortiOS3.0 MR4 或 FortiOS3.0 MR5 升级时，以下有关 IPS 的 CLI 命令不

能在升级后生效： config ips anomaly config ips group config system autoupdate ips config system global set local-anomaly [enable | disable] config ips global set ip-protocol [enable | disable]

MR6 中对 VDOM 的配置进行了更改，CLI 命令 config ips cusom 在升级到后

依然有效。

IM/P2P

MR6 中对 VDOM 的配置进行了更改，以下命令在升级到后依然有效。 config imp2p aim-user | icq-user | yahoo-user | msn-user |old-version | policy

垃圾邮件过滤

MR6 中对 VDOM 的配置进行了更改，以下命令在升级到后依然有效。 config spamfilter bword | emailbwl | ipbwl | ipstrust |mheader

fortios升级说明手册 -...

Documents