按承諾寫了一邊NAT教學...
再次下承諾...如果送花破百再寫一篇"虛擬IP的阜轉換"也就是開Port
要用Sessions那麼高的機器當然是要用來重度P2P啦...
只有高Sessions卻沒辦法開Port...那也沒麼用....所以..預告..送花破百我馬上著筆...
年初小弟拿到4.0後就馬上往CF卡塞了。
可是發現他的GUI很不習慣..所以又塞回3.0了.... orz
前天考完CCNA沒想到以少4分沒Pass實在上我悶到極點,趁這機會把Fortigate拿出來玩玩..暫時忘了這該死的CCNA
以下看圖說故事(以NAT為例),塞進去Forti4.0後,將網路線插到Internal(LAN)Port,
▼打開瀏覽器輸入https://192.168.1.99就會出現這很燒包的Login畫面
▼映入眼簾的真的是和Forti3.0決然不同GUI,和3.0相較真的多蠻多功能的,看來Fortinat真有有用心。
▼不知道各位網友是不是和我一樣是英文苦手,所以先把GUI改中文,這方面真的要給Fortinet拍手,
內建了多國語言,而且包含"正體中文",真的用心,至於設定方式,先按左邊功能表的System ->
Admin -> Settings,進到Settings後將下面的 Language切換到中文後按Apply
▼切換後會自動跳回系統狀態頁面,果真全都切換成中文了,而且文法也很能接受,不像某些廠牌的中
文像是翻譯機翻譯出來的一樣,文法狗屁不通,再次給Fortinet一個肯定。
▼這是整頁的系統狀態,預設包含了"系統狀態、設備作業、授權資訊、警訊控制台、最大連線數、
系統資源、命令列.."都是一些很視覺化,而且比較常使用到的功能,如果要新增功能表可以按一下
左上角的"Widget",因為截圖的關係沒有Cut到這個按鈕,所以網友可以比對上圖就可以看到"Widget"的按鈕
▼按了Widget後會如下圖,出現功能選單,在上面勾取需要的功能,這邊我們先點選"紀錄與檔案統計"
▼新增好後預設會直接放在最右上角,我們可以用滑鼠拖曳任何選單到你喜歡的地方排列
FortiOS4.0初體驗結束,接下來我們來設定最常用到的功能,NAT,NAT也就是我們俗稱的IP分享功能,這算是防火牆最基本的功能,用這台Fortigaet100A來做NAT可以承受到20萬條的連線數(Sessions),和市面上的IP分享器比起來真的小巫見大巫,不多說,以下來是繼續看圖說故事。
▼先檢查一下防火牆的狀態是不是我們想要的NAT模式,從左手邊的"設定"->"操作模式"就可以看到是
否為NAT,小弟剛刷完韌體預設就已經是NAT模式了。
▼再來就是要設定Interface(連接阜)的IP,如圖,左邊功能表 "網路"->"介面" 就可以看到系統上所有
Interface的狀態,這邊我們要用到的是"wan1"和"Internal"兩個Port,我們以Wan1連接對外,
Internal連接對內,先設定wan1,首先雙點Wan1會出現設定畫面
▼進到Wan1的Interface後會發現"位址模式"有三種,分別是"用戶定義"也就是手動指定IP、DHCP、
PPOE,而且不只wan1可以設定,他所有的Interface都可以自行定義它的功能,所以你要讓DMZ當
wan當然也可以.
▽用戶定義模式 如:固接網路
▽DHCP模式 如:Cable Maden
▽PPPOE 如:中華電信
▼我這邊的環境是使用固定IP上網,所以輸入ISP給你的IP,IP輸入完成後直接再打一個"/"繼續輸入子
網路遮罩,如下圖再繼續往下會發現有一個叫做"系統管理存取"的功能表,是指你允許何種管理封包
從這個Interface進入機器內部
▼其他的Interface依依樣的方式做設定,這邊可以看到小弟已經把沒有用的Interface全部關閉,
並且把IP改成0.0.0.0/0.0.0.0用這種方式把Interface給關閉,這樣安全性會高一點
▼設定好Interface了,再來要來設定防火牆策略了,這邊要設定的好是一種......"藝術",為什麼是藝術,
因為和寫成是一樣能力強的人用3行完成需求,能力差的人要寫10行才能完成需求,
不過我們只是要當IP分享器用,不用管他亦不藝術,因為...一行就可以搞定了....哈哈
首先先進入左邊功能表"防火牆"->"防火牆策略",可以看到下圖的頁面,他的意思是指目前內部有一筆
interface政策是從 "internal->Wan1" 的方向,左邊的藍色小箭頭可以點開
▼發現太好了,機器預設就已經把NAT啟用了,所以這邊我們不用設定什麼東西,只要確認NAT功能有
被開啟就可按確定離開
▼點開後會發現這個interface的方向底下有一筆政策,這筆政策是要用來做NAT的,所以沒做什麼防
護,所以是所有的Internal的封包都可以流向Wan1,一樣將前面的框框打勾,按編輯進入。
▼設定好interface後會發現...咦~怎麼還是上不去,不要急,是因為我們還沒設定預設路由,也就是你
對外的閘道器,這邊從左邊功能表進入"路由設定"->"靜態路由"就可以發現下圖的頁面,把第一行打勾
選取後,按下上面的編輯紐
▼進入靜態路由頁面後,有一個"網路閘"的框框,在裡面輸入對外網路的閘道器,這邊的目的 ip/網路遮
罩是0.0.0.0/0.0.0.0這不是關掉喔,而是指所有不屬於內部網路IP區段的目的區段的意思,
不懂沒關係,這邊要讓他保持0.0.0.0/0.0.0.0
做到這邊基本上你的電腦已經可以上網了,防火牆也開始發揮他的冰山一角的功能,不過這邊好像還缺少什麼,想想....對啦..就是DHCP的功能,他可以自行發IP給使用者,省去設定IP的步驟,繼續看圖說故事
▼進到左邊功能表"系統管理"->"DHCP主機"->"服務"進到如下圖的頁面,Fortigate所有的Interface都
可以指定他要不要做DHCP,我們對內的Interface是internal,所以將"介面名稱"拉下,換成Internal
▼切換到Internal後下面會出現一些其他的功能,模式選擇"主機模式",IP範圍輸入你要發的IP區段,
這邊為了方便設定,我們範圍輸入從192.168.1.1-192.168.1.90 網路遮罩 255.255.255.0 閘道
當然是輸入防火牆Internal的IP 192.168.1.99,DNS我使用中華電信的DNS 168.95.1.1和google
的DNS:8.8.8.8按確定後DHCP就可以開始運作了。
▼按確定後系統會跳出設定頁面,會有你設定的DHCP狀態,我們目前設定的唯一一筆已經有啟動了
▼把電腦上的IP的設定改成DHCP自動得後,測試成功,電腦有正確取到IP了....
▼打開瀏覽器,如果出現你設定的首頁表示設定整卻囉....
好累..為了寫這篇文章,邊摸索邊寫教學還真累,花了我2天的時間,不過終於寫完了...
再來又要繼續拚我的CCNA了....
====================================
延伸閱讀
[分享]拆解超強防火牆Fortigate100A...
[zxc7699 在 2010-11-2 05:49 PM 作了最後編輯]