FortiGate防火墙总是用他丰富的嵌入式功能,价格和性能让我感到惊讶。 FortioS是一种安全化的,目的建立的操作系统,是FortiGate产品的软件基础。通过这一统一的直观操作系统,我们可以控制所有FortiGate产品中的所有安全性和网络功能。

我在以下两个帖子中放出一些有用的命令或配置:

1.调试和诊断您的系统

diag debug enable
diag debug console timestamp enable
diag sniffer packet wan 'host 8.8.8.8' 1
diag debug disable
diag debug reset

诊断调试CLI CMD将向您显示从GUI中获取的操作的“CLI命令”。

diag debug enable
diag debug cli 8 

DIAG SYS Flash List命令将显示Flash中的分区图像文件。

FWF60D # diag sys flash list 
Partition  Image                                     TotalSize(KB)  Used(KB)  Use%  Active
1          FWF60D-5.06-FW-build1486-170816                  253871     48877   19%  No    
2          FWF60D-6.00-FW-build0163-180725                  253871     53598   21%  Yes   
3          ETDB-1.00000                                    3368360     81632    2%  No    
Image build at Jul 25 2018 19:06:34 for b0163

DIAG SYS TCPSOCK命令将显示系统中的活动打开端口。

FWF60D # diag sys tcpsock 
0.0.0.0:10400->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:5060->0.0.0.0:0->state=listen err=0 sockflag=0x102 rma=0 wma=0 fma=0 tma=0
0.0.0.0:135->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1004->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1005->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
0.0.0.0:7822->0.0.0.0:0->state=listen err=0 sockflag=0x1 rma=0 wma=0 fma=0 tma=0
0.0.0.0:910->0.0.0.0:0->state=listen err=0 sockflag=0x1 rma=0 wma=0 fma=0 tma=0
0.0.0.0:80->0.0.0.0:0->state=listen err=0 sockflag=0x1 rma=0 wma=0 fma=0 tma=0
0.0.0.0:80->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
0.0.0.0:10000->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:2000->0.0.0.0:0->state=listen err=0 sockflag=0x102 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1010->0.0.0.0:0->state=listen err=0 sockflag=0x2 rma=0 wma=0 fma=0 tma=0
......

1.1调试VPN
启用调试

FWF60D #diag debug enable
FWF60D #diag debug console timestamp enable 
FWF60D #diag vpn ike log-filter dst-addr4 
FWF60D #diag debug application ike -1 
FWF60D # tree diag vpn ike gateway
-- gateway -- list -- name -- <name>  (0)
           |- clear -- name -- <name>  (0)
           +- flush -- name -- <name>  (0)

禁用调试

FWF60D #diag debug disable
FWF60D #diag debug console timestamp disable
FWF60D #diag debug application ike 0

显示主动隧道和网关列表

FWF60D #diag vpn tunnel list
FWF60D #diag vpn gw list

2.获取系统配置

获取系统ARP // ARP表
获取系统DNS. // DNS配置
获取系统DHCP服务器  // DHCP服务器配置


FGT30D#  获取系统设置
OPMODE:NAT.
防火墙会话脏污:检查所有
BFD:禁用
UTF8-SPAM标记:启用
WCCP-Cache-Engine:禁用
VPN. -Stats-log:
VPN. 统计 - 期间:0
V4-ECMP模式:源IP基础
gui-default-policy-columns:
asmroute:禁用
SES-拒绝 - 流量:禁用
严格的SRC-CHECK:禁用
Asymroute6:禁用
Per-IP带宽:禁用
SIP-Helper:启用
SIP-NAT-TRACE:启用
状态:启用
SIP-TCP端口:5060
SIP-UDP-PORT:5060
SCCP端口:2000
多播前进:启用
multicicast-ttl-notchange:禁用
允许 - 子网 - 重叠:禁用
Deny-TCP-with-ICMP:禁用
ECMP-MAX-PATH:10
发现 - 设备 - 超时:28
电子邮件 - Portal-Check-DNS:启用 

显示系统接口WAN1 | grep -a2 ip. //显示WAN和接口信息。
获取系统信息管理状态 //显示登录用户
获取系统状态 //显示系统硬件/软件更新版本
获取硬件状态 //详细的硬件模型信息
获取系统性能状态// 检查系统正常运行时间


FGT30D3X12001671 $ get system performance status 
CPU states: 0% user 0% system 0% nice 100% idle
CPU0 states: 0% user 0% system 0% nice 100% idle
Memory states: 21% used
Average network usage: 3 kbps in 1 minute, 0 kbps in 10 minutes, 0 kbps in 30 minutes
Average sessions: 14 sessions in 1 minute, 11 sessions in 10 minutes, 11 sessions in 30 minutes
Average session setup rate: 0 sessions per second in last 1 minute, 0 sessions per second in last 10 minutes, 0 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 106 days,  0 hours,  8 minutes

获取系统性能顶部
显示系统界面 
诊断硬件DEVICEINFO NIC //接口统计/设置
诊断硬件sysinfo记忆
诊断调试Crashlog阅读
诊断硬件sysinfo shm //设备应为0,if(>0) then conservemode
获取系统全球| grep -i计时器 //显示半衰期和空闲的TCP和UDP定时器
获取系统会话-TTL //系统默认TCP-IDLE会话超时
获取硬件NIC.
获取系统接口物理
诊断IP地址列表

诊断IP ARP列表
诊断SYS会话列表
诊断SYS会话清除
诊断系统杀死9<id>

3.将Bult-In内部开关更改为接口模式

在开关模式下,所有内部接口都是同一子网的一部分,并视为单个接口,称为LAN或默认情况下,根据FortiGate模型。当网络布局为基本时使用切换模式,大多数用户在同一子网上。

在接口模式下,FortiGate单元的物理接口单独处理,每个接口都具有自己的IP地址。通过将其配置为硬件或软件交换机的一部分,也可以组合接口,这允许将多个接口视为单个接口。

一种。命令将FortiGate更改为切换模式:
 config system global
         设置内部开关模式开关
 end
湾命令要更改接口模式的FortiGate:
 config system global
         设置内部开关模式接口
 end

将内部开关从开关模式更改为接口模式后,您将能够将一些接口移出内部开关,它们将成为路由接口供您执行配置。





这是一个用户案例。 HA实现需要两个路由端口。如果将开关更改为接口模式,您将能够使用两个LAN端口进行HA目的。


笔记:  如何将交换机模式更改为FortiGate Fortios 5中的接口模式

4.每日系统预定重启

配置系统全局
set daily-restart enable
set restart-time 05:06
end

注意:对于每周重新启动,您将需要使用脚本命令。

5.一些HA命令

手动故障转移哈


diagnose sys ha reset-uptime


管理台中的Mange集群成员


Test-1 # get system ha status 
Model: FortiGate-60D
Mode: a-p
Group: 0
Debug: 0
ses_pickup: disable
Master:250 Test-1    FGT60D4614041798 1
Slave : 50 Test-2    FGT60D4Q15005710 0
number of vcluster: 1
vcluster 1: work 169.254.0.2
Master:0 FGT60D4614041798
Slave :1 FGT60D4Q15005710

Test-1 # execute ha manage 0
 
Test-2 $ 

Test-2 $ execute reboot 
This operation will reboot the system !
Do you want to continue? (y/n)y

6.一到一个入站NAT配置
WAN IP地址:192.168.20.200
LAN IP地址:192.168.2.200
规则:允许任何外部IP地址访问SMB上的LAN Server 1921.68.2.200(TCP 445 - 文件共享端口),但未公开LAN IP地址。

6.1创建VIP地址

6.2创建防火墙规则
注意:没有NAT配置。 NAT将在步骤6.1中通过VIP配置进行保养
目的地将是外部IP地址。

6.树命令

树命令可用于显示配置部分的命令树。


FWF60D # tree execute ping-option
-- ping-options -- data-size -- <integer>  (0)
                |- df-bit -- <string>  (0)
                |- pattern -- <string>  (0)
                |- repeat-count -- <string>  (0)
                |- source -- <string>  (0)
                |- interface -- <string>  (0)
                |- timeout -- <integer>  (0)
                |- adaptive-ping -- <string>  (0)
                |- interval -- <integer>  (0)
                |- tos -- <string>  (0)
                |- ttl -- <integer>  (0)
                |- validate-reply -- <string>  (0)
                |- view-settings 
                +- reset 

FWF60D # tree system ddns
-- [ddns] --*ddnsid  (0,4294967295)
          |- ddns-server 
          |- ddns-server-ip 
          |- ddns-zone  (65)
          |- ddns-ttl  (60,86400)
          |- ddns-auth 
          |- ddns-keyname  (65)
          |- ddns-key 
          |- ddns-domain  (65)
          |- ddns-username  (65)
          |- ddns-sn  (65)
          |- ddns-password 
          |- use-public-ip 
          |- update-interval  (60,2592000)
          |- clear-text 
          |- ssl-certificate  (36)
          |- bound-ip 
          +- [monitor-interface] --*interface-name  (65)
FWF60D #  



















7.禁用本地日志

如果您不想记录当地日志,那就是一种禁用它的方法。但是您可能会失去一些局部广播噪音的看法。

FWF60D # config log memory filter
FWF60D (filter) # set local-traffic disable
FWF60D (filter) # end
FWF60D #  

配置示例

FortiGate设备信息:
LAN:192.168.200.1/24
万:85.86.87.2/29
默认网关到ISP:85.86.87.1

配置系统全局
#将HTTP管理端口设置为80 / TCP
设置管理端口80
#将HTTPS管理端口设置为443 / TCP
Set Admin-Sport 443
#将SSH管理端口设置为22 / TCP
SET Admin-SSH端口22
#将Telnet管理端口设置为23 / TCP
设置Admin-Telnet-Port 23
#设置主机名
设置Hostname“FW-Office-1”
#将NTP服务器设置为“0.Ca.pool.ntp.org”并启用它
设置ntpserver“0.ca.pool.ntp.org”
设置NTPSync Enable.
#设置为43200秒的TCP-halfclose定时器
设置TCP-halfclose-Timer 43200
结尾
#将Telnet 23 / TCP端口超时设置为43200秒。
配置系统会话-TTL
设置默认值43200.
配置端口
编辑23.
设置超时43200.
下一个
结尾
#设置LAN接口的IP地址和管理访问选项(Ping HTTPS HTTP)。
配置系统界面
编辑“LAN”
设置IP 192.168.200.1 255.255.255.0
设置allowAccess ping https http
设置类型物理
下一个
#设置WAN接口的IP地址和管理访问选项(Ping HTTPS)。
#设置“网关检测”选项启用并设置“Ping Server”目的地。
#将接口速度设置为10 MB / s半双工,这对于无线电桥的某些连接非常有用。
编辑“WAN1”
设置IP 85.86.87.2 255.255.255.248
设置allactaccess ping https
设置gwdetect启用
设置DetectServer“85.86.87.23”
设置类型物理
设置速度10HALF.
下一个
结尾
#设置DNS服务器和DNS选项
配置系统DNS.
设置初级192.168.200.3.
设置中学8.8.8.8.
设置域“
设置autosvr禁用
设置DNS-Cache限制5000
设置缓存 - 未排出响应禁用
结尾
#设置防火墙策略,以便使用NAT从LAN启用WAN的流量
#设置一个名为“扫描”的保护配置文件(默认为一个)
配置防火墙策略
edit 1
设置srcintf“lan”
设置dstintf“wan”
设置srcaddr“全部”
设置dstaddr“全部”
设置行动接受
设置计划“始终”
设置服务“任何”
设置Profile-Status Enable
设置配置文件“扫描”
设置NAT Enable.
下一个
结尾
#在WAN接口上设置默认网关
配置路由器静态
edit 1
设置设备“wan”
设置网关85.86.87.1.
结尾

参考:

在线演示阅读Fortinet产品的访问

  • FortiGate:

用户:演示
密码:演示
fortige.com.

  • forianalyzer:

用户:演示
密码:演示
FortiAnalyZer.com.

  • Fortimanager:

用户:演示
密码:演示
fortimanager.com.

  • Fortimail.

用户:演示
密码:演示
//209.87.230.132/admin

  • Fortiweb.

用户:演示
密码:演示
http://fortiweb.fortinet.com/

  • 堡垒

用户:演示
密码:演示
http://www.fortidb.com/

Forticloud.

在线资源

经过 jonny.

发表评论