FortiGate防火墙以其丰富的嵌入式功能,价格和性能总是令我感到惊讶。 FortiOS是经过安全加固的专用操作系统,是FortiGate产品的软件基础。借助这一统一的直观操作系统,我们可以控制所有Fortigate产品的所有安全性和网络功能。

我在以下两篇文章中介绍了一些有用的命令或配置:

1.调试和诊断系统

diag debug enable
diag debug console timestamp enable
diag sniffer packet wan 'host 8.8.8.8' 1
diag debug disable
diag debug reset

diag debug cli cmd将向您显示 “ cli命令”用于您从gui执行的操作。

diag debug enable
diag debug cli 8 

diag sys flash list命令将向您显示Flash中的分区映像文件。

FWF60D # diag sys flash list 
Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
1          FWF60D-5.06-FW-build1486-170816                  253871     48877   19%  No    
2          FWF60D-6.00-FW-build0163-180725                  253871     53598   21%  Yes   
3          ETDB-1.00000                                    3368360     81632    2%  No    
Image build at Jul 25 2018 19:06:34 for b0163

diag sys tcpsock命令将向您显示系统中活动的打开端口。

FWF60D # diag sys tcpsock 
0.0.0.0:10400->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:5060->0.0.0.0:0->state=listen err=0 sockflag=0x102 rma=0 wma=0 fma=0 tma=0
0.0.0.0:135->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1004->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1005->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
0.0.0.0:7822->0.0.0.0:0->state=listen err=0 sockflag=0x1 rma=0 wma=0 fma=0 tma=0
0.0.0.0:910->0.0.0.0:0->state=listen err=0 sockflag=0x1 rma=0 wma=0 fma=0 tma=0
0.0.0.0:80->0.0.0.0:0->state=listen err=0 sockflag=0x1 rma=0 wma=0 fma=0 tma=0
0.0.0.0:80->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
0.0.0.0:10000->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:2000->0.0.0.0:0->state=listen err=0 sockflag=0x102 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1010->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
......

1.1调试VPN
启用调试

FWF60D #diag debug enable
FWF60D #diag debug console timestamp enable 
FWF60D #diag vpn ike log-filter dst-addr4 
FWF60D #diag debug application ike -1 
FWF60D # tree diag vpn ike gateway
-- gateway -- list -- name -- <name>  (0)
           |- clear -- name -- <name>  (0)
           +- flush -- name -- <name>  (0)

禁用调试

FWF60D #diag debug disable
FWF60D #diag debug console timestamp disable
FWF60D #diag debug application ike 0

显示活动的隧道和网关列表

FWF60D #diag vpn tunnel list
FWF60D #diag vpn gw list

2.获取系统配置

获取系统ARP         // ARP Table
获取系统DNS // DNS配置
获取系统DHCP服务器  // DHCP服务器配置


FGT30D#  获取系统设置
操作模式             : nat
防火墙会话脏:全部检查
bfd                :禁用
utf8垃圾邮件标记  :启用
wccp-cache-engine  :禁用
vpn-stats-log      :
vpn-stats-period   : 0
v4-ecmp模式       : source-ip-based
gui-default-policy-columns:
绕线          :禁用
拒绝的流量 : disable
严格的src检查   : disable
异步路由6         : disable
每个IP带宽   : disable
ip饮助手         : enable
sip-nat-trace      :启用
状态             : enable
SIP-TCP端口       : 5060
sip-udp端口       : 5060
sccp端口          : 2000
组播转发  :启用
multicast-ttl-notchange:禁用
allow-subnet-overlap:禁用
拒绝带有icmp的tcp : disable
ecmp-max-paths     : 10
发现设备超时:28
email-portal-check-dns:启用 

显示系统界面wan1 | grep -A2 ip //显示WAN和接口信息。
获取系统信息管理员状态 //显示已登录的用户
获取系统状态 //显示系统硬件/软件更新版本
获取硬件状态 //详细的硬件型号信息
获取系统性能状态  // 检查系统正常运行时间


FGT30D3X12001671 $ 获取系统性能状态
CPU states: 0% user 0% system 0% nice 100% idle
CPU0 states: 0% user 0% system 0% nice 100% idle
Memory states: 21% used
Average network usage: 3 kbps in 1 minute, 0 kbps in 10 minutes, 0 kbps in 30 minutes
Average sessions: 14 sessions in 1 minute, 11 sessions in 10 minutes, 11 sessions in 30 minutes
Average session setup rate: 0 sessions per second in last 1 minute, 0 sessions per second in last 10 minutes, 0 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 106 days,  0 hours,  8 minutes

获得最高的系统性能
显示系统界面 
诊断硬件deviceinfo nic //接口统计信息/设置
诊断硬件sysinfo内存
诊断调试崩溃日志读取
诊断硬件sysinfo shm //如果(>0) then conservemode
使系统全局| grep -i计时器 //显示tcp和udp定时器以获取半开和空闲状态
获取系统会话-ttl //系统默认的tcp-idle会话超时
获取硬件网卡
获取系统接口物理
诊断IP地址列表

诊断ip arp列表
诊断系统会话列表
诊断系统会话清除
诊断sys kill 9<id>

3.将内置的内部开关更改为接口模式

在交换机模式下,所有内部接口都是同一子网的一部分,并视同一个接口,默认情况下称为lan或internal,具体取决于FortiGate型号。当网络布局基本且大多数用户位于同一子网中时,将使用交换模式。

在接口模式下,FortiGate设备的物理接口是单独处理的,每个接口都有自己的IP地址。也可以通过将接口配置为硬件或软件交换机的一部分来进行组合,以将多个接口视为一个接口。

一种。将FortiGate更改为切换模式的命令:
 config system global
         设置内部开关模式开关
 end
b。将FortiGate更改为接口模式的命令:
 config system global
         设置内部开关模式接口
 end

将内部交换机从交换模式更改为接口模式后,您可以将某些接口移出内部交换机,它们将成为路由接口供您配置。





这是一个用户案例。 HA的实现将需要两个路由端口。如果将交换机更改为接口模式,则可以将两个LAN端口用于HA用途。


注意:  如何在Fortigate FortiOS 5中将切换模式更改为接口模式

4.每日系统计划的重新启动

全局配置系统
set daily-restart enable
set restart-time 05:06
end

注意:对于每周重新启动,您将需要带有脚本的Expect命令。

5.一些HA命令

手动故障转移HA


diagnose sys ha reset-uptime


从控制台管理集群成员


Test-1 # get system ha 状态
Model: FortiGate-60D
Mode: a-p
Group: 0
Debug: 0
ses_pickup: disable
Master:250 Test-1    FGT60D4614041798 1
Slave : 50 Test-2    FGT60D4Q15005710 0
number of vcluster: 1
vcluster 1: work 169.254.0.2
Master:0 FGT60D4614041798
Slave :1 FGT60D4Q15005710

Test-1 # execute ha manage 0
 
Test-2 $ 

Test-2 $ execute reboot 
This operation will reboot the system !
Do you want to continue? (y/n)y

6.一对一的入站NAT配置
广域网IP地址:192.168.20.200
局域网IP地址:192.168.2.200
规则:允许任何外部IP地址访问SMB上的LAN服务器1921.68.2.200(TCP 445 –文件共享端口),但不公开LAN IP地址。

6.1创建VIP地址

6.2创建防火墙规则
注意:没有NAT配置。 NAT将在步骤6.1中通过VIP配置进行处理
目标将是外部IP地址。

6.树命令

树命令可以用来 显示配置部分的命令树。


FWF60D # tree execute ping-option
-- ping-options -- data-size -- <integer>  (0)
                |- df-bit -- <string>  (0)
                |- pattern -- <string>  (0)
                |- repeat-count -- <string>  (0)
                |- source -- <string>  (0)
                |- interface -- <string>  (0)
                |- timeout -- <integer>  (0)
                |- adaptive-ping -- <string>  (0)
                |- interval -- <integer>  (0)
                |- tos -- <string>  (0)
                |- ttl -- <integer>  (0)
                |- validate-reply -- <string>  (0)
                |- view-settings 
                +- reset 

FWF60D # tree system ddns
-- [ddns] --*ddnsid  (0,4294967295)
          |- ddns-server 
          |- ddns-server-ip 
          |- ddns-zone  (65)
          |- ddns-ttl  (60,86400)
          |- ddns-auth 
          |- ddns-keyname  (65)
          |- ddns-key 
          |- ddns-domain  (65)
          |- ddns-username  (65)
          |- ddns-sn  (65)
          |- ddns-password 
          |- use-public-ip 
          |- update-interval  (60,2592000)
          |- clear-text 
          |- ssl-certificate  (36)
          |- bound-ip 
          +- [monitor-interface] --*interface-name  (65)
FWF60D #  



















7.禁用本地日志

如果您不想记录本地日志, 这是一种禁用它的方法。但是您可能会看不见本地广播噪声。

FWF60D # config log memory filter
FWF60D (filter) # set local-traffic disable
FWF60D (filter) #  结束 
FWF60D #  

配置实例

加强设备信息:
局域网:192.168.200.1/24
广域网:85.86.87.2/29
通往ISP的默认网关:85.86.87.1

全局配置系统
#设置http admin端口为80 / tcp
设置管理端口80
#设置https admin端口为443 / tcp
设置管理运动443
#设置ssh管理端口为22 / tcp
设置admin-ssh-port 22
#设置telnet的管理端口为23 / tcp
设置admin-telnet-port 23
#设置主机名
设置主机名“ FW-Office-1”
#设置ntp服务器为“ 0.ca.pool.ntp.org”并启用
将ntpserver设置为“ 0.ca.pool.ntp.org”
设置ntpsync启用
#设置tcp-halfclose定时器为43200秒
设置tcp-halfclose-timer 43200
结束
#设置telnet 23 / tcp端口的超时时间为43200秒。
配置系统会话-ttl
设置默认值43200
配置端口
编辑23
设置超时43200
下一页
结束
#设置局域网接口的IP地址和管理访问选项(ping https http)。
配置系统界面
编辑“ lan”
设置IP 192.168.200.1 255.255.255.0
http
设置物理类型
下一页
#设置WAN接口的IP地址和管理访问选项(ping https)。
#启用“网关检测”选项,并设置“ Ping服务器”目的地。
#设置接口速度为10 Mb / s Half Duplex,这对某些连接(如无线网桥)很有用。
编辑“ wan1”
设置IP 85.86.87.2 255.255.255.248
设置allowaccess ping https
设置gwdetect启用
设置detectserver“ 85.86.87.23”
设置物理类型
设定速度10half
下一页
结束
#设置DNS服务器和DNS选项
配置系统DNS
设置主192.168.200.3
设置次要8.8.8.8
设置域”
设置autosvr禁用
设置dns-cache-limit 5000
设置cache-notfound-responses禁用
结束
#设置防火墙策略以使用NAT启用从LAN到WAN的流量
#设置一个名为“扫描”的保护配置文件(默认设置)
配置防火墙策略
edit 1
将srcintf设置为“ lan”
设置dstintf“ wan”
将srcaddr设置为“全部”
将dstaddr设置为“全部”
设定动作接受
设置时间表“总是”
将服务设置为“任意”
设置配置文件状态启用
将配置文件设置为“扫描”
设置nat启用
下一页
结束
#在WAN接口上设置默认网关
静态配置路由器
edit 1
设置设备“ wan”
设置网关85.86.87.1
结束

参考:

Fortinet产品的在线演示读取访问

  • 要求:

用户:demo
密码:演示
fortigate.com

  • ForiAnalyzer:

用户:demo
密码:演示
fortianalyzer.com

  • FortiManager:

用户:demo
密码:演示
fortimanager.com

  • FortiMail

用户:demo
密码:演示
//209.87.230.132/admin

  • FortiWeb

用户:demo
密码:演示
http://fortiweb.fortinet.com/

  • FortiDB

用户:demo
密码:演示
http://www.fortidb.com/

富通云

在线资源

发表评论