fortigate防火墙怎么样设置

Posted 2023-04-13

　　XP系统防火墙的设置
　　步骤一：安装程序时
　　许多程序在安装时都要求关闭防火墙(如WPS Office 2003)。有些程序虽然并未直接明示，但若不及时关闭，就有可能造成安装失败，比如弹出“读取错误”、“安装*.exe出错”等信息，或者干脆死机，或者安装上去之后不能正常使用。笔者在安装金山影霸、Office XP等程序时已经屡经验证。

　　步骤二：整理碎片时
　　在Windows XP中整理磁盘碎片时，屏幕保护程序已不再像在Windows 98那样干扰碎片整理的正常进行(每次都得重新开始)，但病毒防火墙却依旧起着干扰作用，尤其是金山毒霸防火墙，会使碎片整理根本无法进行，在整理列表中会不断出现重复的磁盘图标，并且用不了多久就弹出提示：磁盘碎片无法整理，某某错误。这时候试着关掉防火墙，再看看是不是已经正常了。

　　步骤三：系统还原时
　　Windows XP中的系统还原几乎可以说是一剂万能后悔药，但可能会遇到下面的情况：在创建新的系统还原点时系统提示：无法完成新还原点的创建，请重新启动计算机，再次运行系统还原。可是即使重新启动之后仍旧无法完成新还原点的创建。其实罪魁祸首还是病毒防火墙，只要关掉它，就可恢复正常了。病毒防火墙对还原系统到过去某一时间的过程也有影响，表现为点击“确定”按钮后系统没有反应，最可怕的是即使勉强完成了系统还原，有的程序也无法正常使用(如金山影霸)。 参考技术A 　fortigate防火墙设置方法：
　　1，FortiGate设备应该有足够的资源应对攻击 资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的 。
　　2，只开启用得着的管理服务 如果不用SSH或SNMP，就不要启用,避免开放可用的端口.。
　　3，将用得最多或最重要的防火墙策略尽量靠前 防火墙策略是至上而下执行的。
　　4，只开启那些必要的流量日志 流量日志会降低系统性能。
　　5，只开启那些必须的应用层协议检查 应用层检查对系统性能是敏感的。
　　6，最小化发送系统告警信息 如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。7，AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。
　　8，精简保护内容表数量。

　　9，删除不必要的保护内容表。
　　10，精简虚拟域数量 删除不必要的虚拟域 低端设备最好不要用虚拟域。
　　11，如果性能显示不足就避免启用流量整形 流量整形将降低流量处理性能 参考技术B show system global 查看主机名，管理端口
显示结果如下
config system global
set admin-sport 10443
set admintimeout 480
set hostname "VPN-FT3016-02"
set language simch
set optimize antivirus
set sslvpn-sport 443
set timezone 55
end

show system interface 查看接口配置
显示结果如下
edit "internal"
set vdom "root"
set ip 88.140.194.4 255.255.255.240
set allowaccess ping https ssh snmp http telnet
set dns-query recursive
set type physical本回答被提问者采纳

高级篇 / ZTNA(7.0) ❀ 03. FortiGate 防火墙与 FortiClient EMS 连接 ❀ FortiGate 防火墙

　　【简介】FortiGate Security Fabric根设备可以连接到FortiClient EMS (Endpoint Management System)和FortiClient EMS Cloud(基于云的EMS解决方案)，用于端点连接和自动化。安全架构中最多可以添加3台EMS服务器，包括1台FortiClient EMS云服务器。EMS设置在所有fabric成员之间同步。

---

  FortiGate 配置说明书

　　为了更好的了解配置方法，我们可以先查看官方说明文档内容。

 　　① 浏览打开网站https://docs.fortinet.com，产品快速链接处选择【FortiGate】。

  　　② FortiClient EMS的版本是7.0.6，这里我们建议防火墙的固件版本也相同。版本选择【7.0】，管理员手册选择【7.0.6】。

  　　③ 文档内容很多，我们可以利用搜索功能快速找到我们需要的内容。搜索栏输入【forticlient ems】。

 　　④ 选择【Configuring FortiClient EMS】。

 　　⑤ 显示FortiGate防火墙配置FortiClient EMS内容。

   FortiGate 配置

　　现在我们有了说明书了，配置过程有问题可以随时查看。

 　　① 登录防火墙，选择菜单【系统管理】-【可见功能】，启用【终端控制】，点击【应用】。

 　　② 选择菜单【Security Fabric】-【Fabric连接器】，双击【FortiClient EMS】。

 　　③ FortiClient EMS设置选项，默认选择【FortiClient EMS】，输入名称、IP地址和端口号，点击【应用】。 

 　　④ 名称、IP地址和端口号，在FortiClient EMS的【System Settings】-【EMS Settings】里可以找到。

 　　⑤ 出现报错提示，需要安装CA证书到FortiGate。

 　　⑥ 虽然FortiClient EMS配置完了，但是红色向下箭头，说明还是没有运行成功。

  导出证书

　　错误提示需要CA证书，我们去哪里找CA证书呢？

 　　① 还好我们在官方文档中找到解决方法。

  　　② 在安装了FortiClient EMS的服务器上，左下解搜索栏输入cer，就会出现匹配的内容，点击【管理用户证书】。

 　　③ 管理证书窗口点击目录【受信任的根证书颁发机构】-【证书】，然后在右边窗口找到FortiClient EMS证书，点击鼠标右键，弹出菜单选择【所有任务】-【导出】。

 　　④ 出现证书导出向导，点击【下一步】。

 　　⑤ 证书格式选择【Base64 编码 x.509】，千万不能选错了，点击【下一步】。

 　　⑥ 导出文件点击【浏览】。

　　⑦ 选择文件存放于桌面，输入文件名，不用加扩展名，点击【保存】。

 　　⑧ 生成保存路径，点击【下一步】。

 　　⑨ 全部配置后，点击【完成】，在桌面上可以看到导出的证书文件。

  导入证书

　　现在我们已经得到证书了，下一步就是将证书导入到FortiGate防火墙了。

 　　① 防火墙选择菜单【系统管理】-【可见功能】，启用【证书】，点击【应用】。

 　　② 系统管理下面多出了证书子菜单，选择【系统管理】-【证书】，点击【Creat/Import】，选择【CA证书】。

 　　③ 类型选择【文件】，找到存放在桌面的证书文件，点击【确认】。

 　　④ 在证书列表里，可以找到刚才导入的FortiClient EMS证书。

  通过认证

　　既然FortiGate防火墙已经得到FortiClient EMS的证书了，那么我们可以继续完成认证了。

　　① 防火墙选择菜单【Security Fabric】-【Fabric连接器】，双击【FortiClient EMS】，状态为红色向下箭头。

　　② 现在不再出现证书错误提示，右边提示证书没有被验证，点击【准许】。

 　　③ 显示验证证书提示，点击【接受】。

 　　④ 显示需要FortiClient EMS也能通过验证，点击【准许】将打开FortiClient EMS。这里我们保持不动。

 　　⑤ 关闭已经打开的FortiClient EMS，再重新打开登录，会弹出认证提示窗口，点击【Authorize】。

 　　⑥ 回到FortiGate防火墙，点击【刷新】，可以FortiGate通过了FortiClient EMS认证。

 　　⑦ 这次FortiClient EMS状态标图是绿色向上箭头，表示运行正常。

  　　⑧ 回到FortiClient EMS，选择菜单【Administration】-【Fabric Devices】，可以看到防火墙的信息。这样它们之间就可以互相通信了。

---