设置FortiGate

设置FortiGate 阻断迅雷，QQ

说明：

本文档针对所有FortiGate设备阻断迅雷，QQ配置进行说明。FortiOS4.0通过应用控制可以识别一千多种应用程序，并可以对其阻断。应用控制通过IPS特征值识别应用程序。通过应用控制管理员可以限制大部分非法流量，提高带宽利用率。

环境介绍：

本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v4.0。

步骤一：配置应用控制

在UTM----应用控制中新建列表

（点击放大）

按下图中选择应用，动作为阻止，启用日志

说明：目前所有的应用程序只支持英文名称

第二个应用可以阻断迅雷使用BT、电驴、P2P下载

如何选择应用程序：以qq为例，如果不知道它属于哪个分类只知道名称可以点击应用的下拉菜单，按键盘的“q”键，即可来到以q开头的应用名称，多次按“q”键即可向下查找，直到找到为止。

创建好列表后点击OK

（点击放大）

步骤二：配置保护内容表

在防火墙----保护内容表中编辑相应的保护内容表，应用控制选择定义好的名称

（点击放大）

在日志中勾选记录应用控制

（点击放大）

步骤三：配置策略

在防火墙----策略中编辑出网策略，选择定义好的保护内容表

步骤四：察看日志

在日志与报告----日志访问中选择应用控制，察看当前日志

（点击放大）

步骤五：说明

应用控制对下列p2p软件支持限速：

BitTorrent，eDonkey，Gnutella，KaZaa，WinNY

应用控制对下列im软件支持阻止文件传输，阻止音频，检测非标准端口

AIM，ICQ，MSN，Yahoo!

设置FortiGate 静态路由和策略路由

本文档针对所有FortiGate设备的静态路由和策略路由配置进行说明。

环境介绍：

本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v2.8及更高。一，静态路由：不用动态路由协议，手工制定的路由条目

路由表：路由表根据目的网段掩码和管理距离决定路由优先级。

目的网段掩码越长越优先；

如果目的网段掩码相同则管理距离越小越优先。

步骤一：在路由----静态中可以看到当前静态路由，选择新建创建一条新路由。

目的IP/掩码：指要去往的IP地址段和掩码；如果全为零指所有网段。

设备：指去往下一跳的出口

网关：对段下一跳地址

管理距离：默认为10，范围从1到250，管理距离越低路由越优先。

(点击放大)

(点击放大)

步骤二：创建好后会增加一个相应的条目。本例中指所有去往172.22.6.0/24网络的数据包都从port1出去，下一跳为192.168.1.1。

(点击放大)

步骤三：在路由----当前路由中可以看到路由表中列出的所有路由。

(点击放大)

二，策略路由：当转发的数据包符合策略路由所有条件时执行策略路由，策略路由优先于路由表中所有条目，当有多个策略路由时按顺序从上致下执行。

步骤一：在路由----策略路由中新建一条策略路由。

协议端口：指数据包的三层协议号，范围从0到255，0则禁用此选项，例如，1指ICMP。

进入接口：指数据包进入FortiGate的接口

源地址/掩码：指数据包的源地址，全为零则禁用此选项。

目的地址/掩码：指数据包的目的地址，全为零则禁用此选项。

目的端口：指数据包的四层TCP/UDP端口，其他协议忽略此选项，全为零则禁用此选项。

Type of Service：指数据包IP包头中的服务类型，全为零则禁用此选项。

流出接口：强制数据包从FortiGate出去的接口

网关地址：强制数据包去往的下一跳地址，不允许全为零。

(点击放大)

步骤二：创建好后会增加一个相应的条目。本例中指如果数据包的协议号为1，即ICMP，从port2进入，源是

192.168.100.22/32，目的是172.22.6.202/32，则该数据包会从port1流出，并且下一跳改为192.168.1.20。

(点击放大)

设置FortiGate网页内容过滤

说明：

本文档针对所有FortiGate设备的网页内容过滤配置进行说明。FortiGate可以识别并过滤包含某些词汇的网页。网页内容过滤是限制用户访问某类网站的有效方法之一。本文档以阻断股票网页举例说明该功能的具体用法。阻断其他内容的网页同理。

环境介绍：

本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。

步骤一：新建网页内容过滤列表

在WEB过滤器----内容阻断中新建内容阻断列表

(点击放大)

步骤二：定义过滤的内容

然后点击新建定义阻断的内容

样式：输入阻断的词汇

模式类型：选择通配符

语言：选择要阻断的内容属于哪种语言

打分：定义该内容的分值

激活：勾选起用定义的内容

说明：本例中定义了七个与股票相关的词汇，每个分值为2，在内容保护表中将阈值设置为8。首先FortiGate将扫描网页中有多少个词汇与定义的阻断词汇相符，然后累加阻断词汇的分值，如果总分值大于或等于阈值，则阻断该网页。即如果网页中包含多于（或等于）四个阻断词汇，则认为该网页是股票网页。阻断词汇的数量，词汇的分值和保护内容表中的阈值可以根据实际情况设定。

重复上述方式定义多个与股票有关的词汇分值都为2

(点击放大)

步骤三：配置保护内容表

在防火墙----保护内容表----WEB过滤----WEB内容阻断中勾选HTTP，并选择定义好的内容阻断列表

阈值：阻断网页的分值上限

(点击放大)

在日志中勾选内容阻断

(点击放大)

步骤四：配置策略

在防火墙----策略中调用上步中的保护内容表

(点击放大)

步骤五：察看日志

在日志与报告---日志访问----内存----WEB过滤中察看过滤日志

设置FortiGate 双网关

说明：

本文档针对所有FortiGate设备的双网关配置进行说明。双网关的网络环境可以实现链路备份和负载均衡，本文档以典型的双网关配置为例现实上述功能。

环境介绍：

本文使用FortiGate5001做演示。本文支持的系统版本为FortiOS v3.0及更高。

步骤一：配置接口

在系统管理----网络中配置接口IP和ping服务器

外网接口一：port5 10.0.0.56 网关，10.0.0.1

外网接口二：port8 10.0.254.2 网关，10.0.254.1

Ping服务器条件：网关可以响应ping包，在AD拨号时网关不会改变。

Ping服务器：它可以实现链路备份功能。启用后外网接口会向网关发送ping包，如果数据包在规定的条件下没有返回则防火墙认为该网关down掉。防火墙会自动将路由表中该接口的出网路由删除，这样所有数据都会通过另一条静态路由出网。一旦该接口的网关返回ping包，则防火墙会自动恢复路由表中删除的路由，所有数据会通过两条静态路由出网。

在系统管理----网络----选项中可以配置ping服务器的检测条件。

检测间隔：指每多少秒向网关发送一次ping包

故障恢复检测：指在多少个连续的ping包没有响应后认为该网关down掉

本例的配置是如果网关down掉，则在一分钟后防火墙会把该网关从路由表中删除。

步骤二：配置路由

在路由----静态中写两条出网路由，注意管理距离必须一致

(点击放大)

(点击放大)

在路由---当前路由中可以看到写好的静态路由

(点击放大)

数据包进入防火墙的顺序：先走路由，再走策略

说明：当路由表中有多个出网路由时，FortiGate设备会按内置的算法实现负载均衡，这个算法不能被修改。这个算法是：假设路由表中有n条出网路由，则防火墙会将内网源IP地址的最后一组数值除n取余，余1走第一条出网路由，余n-1走第n-1条出网路由，余0走第n条出网路由。

本例的出网规则是：奇数IP走port5，偶数IP走port8

如果想让某些IP走特定的接口需要策略路由来实现。

步骤三：配置策略

本例的内网接口是port6

在防火墙----策略中写两条出网策略，即port6到port5，port6到port8

勾选NAT即可

(点击放大)

(点击放大)

步骤四：测试

配置好后在PC的cmd下用tracert 命令可以查看出网路径

配置双链路互联网连接

用两条链路接入互联网有两种情况：冗余和负载均衡。这两种情况可以单独部署也可以联合使用。如下表：

环境介绍：

所有运行FortiOS2.8及以上版本的FortiGate设备。

步骤：

在每种情况中必须配置适当的防火墙策略，让数据可以正常通过。本文关心路由问题。

情况一：冗余

正常情况下只有一条链路承载数据，如果该链路断掉则备份链路开始承载数据。

1，路由：

每条链路都需要配置一条默认路由，设置主链路的管理距离比备份链路底，这样在路由表中只有主链路的路由。

2，链路失效检测（Ping服务器）：

链路失效检测可以检测到对端的链路是否正常。Ping服务器的地址一般是下一跳或网关地址。可以在系统管理----网络中编辑接口，配置Ping服务器。

3，防火墙策略：

一般情况下，必须配置两条防火墙策略，保障一条链路断掉后另一条会正常工作。

例如：Internal > WAN1 & Internal > WAN2。详情。

情况二：负载均衡

同时使用两条链路，这种情况会提高转发带宽，但没有链路失效恢复的保障。

1，路由需求：

一条主链路的默认路由，用更详细的路由通过其他链路转发其他数据。详细信息。

情况三：冗余和负载均衡

同时使用两条链路转发数据。在这种情况下一条链路断掉数据会全部从另一条链路通过。

使用两条默认路由，且其管理距离相同。除了管理距离必须一样外，这和情况一类似。这样做的结果是两条路由都可以在路由表中看到。

设定管理距离：

一般情况下在路由----静态中设定。

如果是PPPoE接口需要在系统管理----网络中编辑接口，在PPPoE选项下设定管理距离，同时要勾上从服务器中重新得到网关。

确保一条链路总是转发数据：使用一条默认策略路由可以让一个接口总是能访问互联网。

**警告----当配置此策略时需要额外注意！**

当数据包匹配策略路由时，策略路由就会比路由表中其他所有路由都优先（包括直连），即数据包会按策略路由执行。有时

你可能要加入更详细的策略路由，这些路由优先于默认的策略路由。策略路由表示从上到下执行的。

让数据通过辅链路转发：为了提高辅助链路利用率，可以使用策略路由，让一些数据通过辅链路转发，减轻主链路负载。当配置策略路由时，最好只选择流出接口而不填写网关地址。这样做可以确保在链路断掉时策略路由就不会有效。

特例：

1，同时监控两个WAN接口：

如果需要通过Ping两个WAN接口来证实两条链路都启用，就需要将两条默认路由的管理距离设成一致。

2，通过虚拟IP路由数据包：

与虚拟IP关联的会话将采用特殊方式处理。

实例一：虚拟IP在非默认接口上

有一台FortiGate-60，默认路由的出口是WAN 1，在WAN 2口上有一个虚拟IP，该虚拟IP指向DMZ中网站服务器。

在这种情况下，不需要针对该虚拟IP配置额外的静态路由或策略路由。因为一条路由缓存已经告诉FortiGate设备，需要将路径返回哪个接口。

实例二：冗余虚拟IP

有一台FortiGate-60，它的WAN 1和WAN 2都配置了一个虚拟IP，它的DMZ接口连接网站服务器。

进方向的流量和实例一中讨论的结果一致。

出方向的流量会把服务器的IP改成两个虚拟IP中的一个，确定是改成哪个虚拟IP需要看哪条链路的路由更优。

可以通过一条策略路由让出方向流量经指定端口流出。

关键字：冗余，负载均衡，策略路由，双链路介入互联网

如何设置映射服务器

1，一对一映射

进入防火墙---->虚拟IP 新建一个虚拟IP项目，如下图：

(点击放大)

2，端口映射，

进入防火墙---->虚拟IP 新建一个虚拟IP项目，如下所示：

(点击放大)

3，设置服务器的负载均衡

进入防火墙---->虚拟IP 新建一个虚拟IP项目，如下所示：

(点击放大)

4，添加允许访问服务器的策略

(点击放大)

5，如何验证：

将内部服务器10.0.X.1映射到192.168.11.10X，让旁人从external接口ping 192.168.11.10X，

然后登陆到命令行下面用下面的命令抓包分析：

diagnose sniffer packet any ‘icmp’ 4

设置FortiGate DHCP服务

本文档针对所有FortiGate设备的DHCP配置进行说明。FortiGate支持两种DHCP服务。中继：FortiGate将客户端请求转发给DHCP服务器。服务器：FortiGate是DHCP服务器，可以给客户端分派IP地址和DNS。

环境介绍：

本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。

步骤一：配置中继

在系统管理---DHCP中可以看到接口下的配置，FortiGate支持中继和服务器两种服务。点击编辑图标编辑中继配置。

接口名称：当前接口

DHCP中继代理：勾选则启动中继服务

类型：

经常：普通DHCP转发，不用IPSec加密

IPSEC：在配置IPSec VPN时有效，DHCP数据经过IPSec通道传给客户端，需要FortiGate与客户端建立IPSec VPN连接。服务器IP：输入DHCP服务器IP地址

(点击放大)

(点击放大)

步骤二：配置服务器

名称：填写服务器名称

启动：勾选则启动DHCP服务器

类型：

经常：普通DHCP转发，不用IPSec加密

IPSEC：在配置IPSec VPN时有效，DHCP数据经过IPSec通道传给客户端，需要FortiGate与客户端建立IPSec VPN连接。IP范围：分派个客户端的地址范围

掩码：分派个客户端的地址掩码

缺省网关：分派给客户端的网关地址

域：分派给客户端的域名，可选

租期：分派地址的有效期，若地址过期则客户端需要重新从服务器获取IP。

步骤三：服务器高级选项

DNS服务器：分派给客户端的DNS服务器地址，最多三个

WINS服务器：分派给客户端的WINS服务器地址，最多两个

可选：DHCP服务器最多能够发送三个自定义DHCP选项。代码是1到255之间的DHCP选项代码。选项是16进制字符的偶数，一些选项代码并不要求。有关DHCP选项的详细信息，参见RFC 2132．

排出范围：预留的地址范围，即服务器不会将这些地址分派给客户端

步骤四：查看已分派的地址

在地址租期中可以看到FortiGate已分配给客户端的IP地址

(点击放大)

设置FortiGate管理员权限

本文档针对所有FortiGate设备的管理员权限配置进行说明。当FortiGate恢复出厂设置后，管理员为admin，密码为空。环境介绍：

本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。

步骤一：新建一个管理员

在系统管理----管理员设置中可以看到现有管理员列表，点击新建创建一个新管理员。

普通管理员：填写管理员用户名，不能包括字符<>()#"'.

类型：

规则：本地用户类型，即用户信息保存在FortiGate中，由FortiGate对用户认证

远端：使用RADIUS、LDAP、TACACS+服务器对用户进行认证，该选项需要预先配置好远端服务器。在设置用户----Remote中

配置远端服务器并在用户组中调用。

PKI：使用数字证书进行认证，当使用PKI时同一个账户只能有一个管理员登陆。

通配符：在选择远端时显示，勾选该项则账户会通过远端服务器进行认证，不选则账户通过本地FortiGate认证。

输入密码：建议密码至少使用6位字符，密码最大长度不能超过32个字符

可信主机：允许访问FortiGate的IP地址或地址段，FortiGate最多支持三个地址段，0.0.0.0/0.0.0.0表示所有主机都可以访问。

访问表：选择定义好的授权表，也可以创建新的授权表

(点击放大)

(点击放大)

步骤二：配置授权表

在管理员设置----访问内容表中创建新的授权表；FortiGate有两个内建的授权表super_admin（可以完全管理设备）和super_admin_readonly（可以查看设备所有配置，无法修改），这两个内容表无法编辑和删除。

无：用户不能查看配置，不能修改配置

读：用户可以查看配置，不能修改配置

写：用户可以查看配置，能修改配置

(点击放大)

步骤三：配置管理员设置

在管理员设置----设置中编辑

Web管理接口：指FortiGate设备使用相关协议开放的TCP端口，例如HTTP 80表示FortiGate可以被TCP 80端口访问。超时控制：指定多长时间内管理员没有管理设备则需要管理员重新登陆

语言版本：选择FortiGate管理页面的语言

GUI中支持IPV6：在管理页面中支持IPV6 配置

激活PIN保护：对某些型号有效，可以设定FortiGate设备前面板中的LCD密码

启用SCP：允许通过SSH登陆的用户复制配置文件

(点击放大)

步骤四：查看当前管理员

在系统管理----状态----系统状态中可以看到当前设备的系统信息，点击前管理员----细节，可以看到当前管理员。

(点击放大)

设置FortiGate网址过滤