RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [分享]Fortigate100A FortiOS4.0 初體驗   字型大小:||| 
zxc7699
銅驢友〔高級〕
等級: 10等級: 10等級: 10


 . 積分: 181
 . 文章: 246
 . 收花: 657 支
 . 送花: 153 支
 . 比例: 0.23
 . 在線: 2217 小時
 . 瀏覽: 92794 頁
 . 註冊: 7203
 . 失蹤: 12
 . 月球1874號殖民地
#1 : 2010-11-2 05:29 PM     只看本作者 引言回覆

按承諾寫了一邊NAT教學...
再次下承諾...
如果送花破百再寫一篇"虛擬IP的阜轉換"也就是開Port

要用Sessions那麼高的機器當然是要用來重度P2P啦...
只有高Sessions卻沒辦法開Port...那也沒麼用....所以..預告..送花破百我馬上著筆...

年初小弟拿到4.0後就馬上往CF卡塞了。
可是發現他的GUI很不習慣..所以又塞回3.0了.... orz
前天考完CCNA沒想到以少4分沒Pass實在上我悶到極點,趁這機會把Fortigate拿出來玩玩..暫時忘了這該死的CCNA

以下看圖說故事(以NAT為例),塞進去Forti4.0後,將網路線插到Internal(LAN)Port,

▼打開瀏覽器輸入https://192.168.1.99就會出現這很燒包的Login畫面


▼映入眼簾的真的是和Forti3.0決然不同GUI,和3.0相較真的多蠻多功能的,看來Fortinat真有有用心。


▼不知道各位網友是不是和我一樣是英文苦手,所以先把GUI改中文,這方面真的要給Fortinet拍手,
 內建了多國語言,而且包含"正體中文",真的用心,至於設定方式,先按左邊功能表的System ->
 Admin -> Settings,進到Settings後將下面的 Language切換到中文後按Apply


▼切換後會自動跳回系統狀態頁面,果真全都切換成中文了,而且文法也很能接受,不像某些廠牌的中
 文像是翻譯機翻譯出來的一樣,文法狗屁不通,再次給Fortinet一個肯定。


▼這是整頁的系統狀態,預設包含了"系統狀態、設備作業、授權資訊、警訊控制台、最大連線數、
 系統資源、命令列.."都是一些很視覺化,而且比較常使用到的功能,如果要新增功能表可以按一下
 左上角的"Widget",因為截圖的關係沒有Cut到這個按鈕,所以網友可以比對上圖就可以看到"Widget"的按鈕


▼按了Widget後會如下圖,出現功能選單,在上面勾取需要的功能,這邊我們先點選"紀錄與檔案統計"


▼新增好後預設會直接放在最右上角,我們可以用滑鼠拖曳任何選單到你喜歡的地方排列


FortiOS4.0初體驗結束,接下來我們來設定最常用到的功能,NAT,NAT也就是我們俗稱的IP分享功能,這算是防火牆最基本的功能,用這台Fortigaet100A來做NAT可以承受到20萬條的連線數(Sessions),和市面上的IP分享器比起來真的小巫見大巫,不多說,以下來是繼續看圖說故事。

▼先檢查一下防火牆的狀態是不是我們想要的NAT模式,從左手邊的"設定"->"操作模式"就可以看到是
 否為NAT,小弟剛刷完韌體預設就已經是NAT模式了。


▼再來就是要設定Interface(連接阜)的IP,如圖,左邊功能表 "網路"->"介面" 就可以看到系統上所有
 Interface的狀態,這邊我們要用到的是"wan1"和"Internal"兩個Port,我們以Wan1連接對外,
 Internal連接對內,先設定wan1,首先雙點Wan1會出現設定畫面


▼進到Wan1的Interface後會發現"位址模式"有三種,分別是"用戶定義"也就是手動指定IP、DHCP、
 PPOE,而且不只wan1可以設定,他所有的Interface都可以自行定義它的功能,所以你要讓DMZ當
 wan當然也可以.
 ▽用戶定義模式 如:固接網路

 ▽DHCP模式 如:Cable Maden

 ▽PPPOE 如:中華電信



▼我這邊的環境是使用固定IP上網,所以輸入ISP給你的IP,IP輸入完成後直接再打一個"/"繼續輸入子
 網路遮罩,如下圖再繼續往下會發現有一個叫做"系統管理存取"的功能表,是指你允許何種管理封包
 從這個Interface進入機器內部


▼其他的Interface依依樣的方式做設定,這邊可以看到小弟已經把沒有用的Interface全部關閉,
 並且把IP改成0.0.0.0/0.0.0.0用這種方式把Interface給關閉,這樣安全性會高一點


▼設定好Interface了,再來要來設定防火牆策略了,這邊要設定的好是一種......"藝術",為什麼是藝術,
 因為和寫成是一樣能力強的人用3行完成需求,能力差的人要寫10行才能完成需求,
 不過我們只是要當IP分享器用,不用管他亦不藝術,因為...一行就可以搞定了....哈哈
 首先先進入左邊功能表"防火牆"->"防火牆策略",可以看到下圖的頁面,他的意思是指目前內部有一筆
 interface政策是從 "internal->Wan1" 的方向,左邊的藍色小箭頭可以點開
 

▼發現太好了,機器預設就已經把NAT啟用了,所以這邊我們不用設定什麼東西,只要確認NAT功能有
 被開啟就可按確定離開


▼點開後會發現這個interface的方向底下有一筆政策,這筆政策是要用來做NAT的,所以沒做什麼防
 護,所以是所有的Internal的封包都可以流向Wan1,一樣將前面的框框打勾,按編輯進入。



▼設定好interface後會發現...咦~怎麼還是上不去,不要急,是因為我們還沒設定預設路由,也就是你
 對外的閘道器,這邊從左邊功能表進入"路由設定"->"靜態路由"就可以發現下圖的頁面,把第一行打勾
 選取後,按下上面的編輯紐



▼進入靜態路由頁面後,有一個"網路閘"的框框,在裡面輸入對外網路的閘道器,這邊的目的 ip/網路遮
 罩是0.0.0.0/0.0.0.0這不是關掉喔,而是指所有不屬於內部網路IP區段的目的區段的意思,
 不懂沒關係,這邊要讓他保持0.0.0.0/0.0.0.0



做到這邊基本上你的電腦已經可以上網了,防火牆也開始發揮他的冰山一角的功能,不過這邊好像還缺少什麼,想想....對啦..就是DHCP的功能,他可以自行發IP給使用者,省去設定IP的步驟,繼續看圖說故事

▼進到左邊功能表"系統管理"->"DHCP主機"->"服務"進到如下圖的頁面,Fortigate所有的Interface都
 可以指定他要不要做DHCP,我們對內的Interface是internal,所以將"介面名稱"拉下,換成Internal


▼切換到Internal後下面會出現一些其他的功能,模式選擇"主機模式",IP範圍輸入你要發的IP區段,
 這邊為了方便設定,我們範圍輸入從192.168.1.1-192.168.1.90 網路遮罩 255.255.255.0 閘道
 當然是輸入防火牆Internal的IP 192.168.1.99,DNS我使用中華電信的DNS 168.95.1.1和google
 的DNS:8.8.8.8按確定後DHCP就可以開始運作了。


▼按確定後系統會跳出設定頁面,會有你設定的DHCP狀態,我們目前設定的唯一一筆已經有啟動了


▼把電腦上的IP的設定改成DHCP自動得後,測試成功,電腦有正確取到IP了....


▼打開瀏覽器,如果出現你設定的首頁表示設定整卻囉....



好累..為了寫這篇文章,邊摸索邊寫教學還真累,花了我2天的時間,不過終於寫完了...
再來又要繼續拚我的CCNA了....

====================================
延伸閱讀
[分享]拆解超強防火牆Fortigate100A...

[zxc7699 在  2010-11-2 05:49 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
jocosn
白銀驢友
等級: 15等級: 15等級: 15等級: 15等級: 15


今日心情

 . 積分: 1386
 . 精華: 2
 . 文章: 2945
 . 收花: 9537 支
 . 送花: 3671 支
 . 比例: 0.38
 . 在線: 1295 小時
 . 瀏覽: 19041 頁
 . 註冊: 7214
 . 失蹤: 1216
#2 : 2010-12-2 07:46 PM     只看本作者 引言回覆

送花不用破百啦,技術文章破 50 就很讚了,
破百都是肉片比較多。要劃清界限走高格調。
如果可以的話,我想一次就給 100 朵。

這篇寫的很讚,期待其它技術文章。

[jocosn 在  2010-12-2 07:48 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-3-28 11:10 PM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.028738 second(s), 6 queries , Qzip disabled