摘要:
1.token状态为error或locked,且不能分配给用户使用 解决: 关联有User的token状态是error的原因是:用户一直并未使用。 阅读全文
摘要:
1.默认 FGT5HD3916802737 # config log syslogd setting FGT5HD3916802737 (setting) # show config log syslogd setting end FGT5HD3916802737 (setting) # show 阅读全文
摘要:
1.配置邮件服务器 2.配置告警 阅读全文
摘要:
1.出现于:FortiGate v5.0和v5.2 2.出现原因 Session clash messages appear in the logs when a new session is created but a conflicting similar session already exi 阅读全文
摘要:
关闭老的基于会话的alg机制(即删除session-helper中的SIP条目) config system session-helper delete 13 #删除sip end 阅读全文
摘要:
1.现状: 如图,出口internet有2条联通线路分别为liant_218和liant_61,在防火墙上使用WAN LLB,基于源IP; 2.现象: 使用liant_218的用户上网正常,使用liant_61用户反映上网特别慢,经常还打不开网页。 3.紧急处理:将LLB改为基于权重,将liant_ 阅读全文
摘要:
1.现状: 如图,上网行为管理和防火墙控制用户的数据访问,到外网的出口链路有2条:联通的和电信的,其中联通的优先级较高。 2.现象: 用户访问www.xxxxbbs.com不通 3.分析 在上网行为管理上做源和目前地址排除,发现仍不能访问排除了上网行为管理的影响;防火墙上抓包发现能正常。但仍找不到原 阅读全文
摘要:
1.现状: 如图,用户网段有192.168.50.0/24、192.168.51.0/24和192.168.52.0/24、192.168.53.0/24。在防火墙上有静态路由到运维专线的10.160.25.0/24网段,且有到10.70.31.0/24的IPSec VPN。 2.现象: 192.1 阅读全文
摘要:
1.现状: 如图,防火墙堆叠,500D共4个出口方向,联通、电信、FQ、运维专线 2.现象: 到网关和防火墙上、下联口不丢包,到网联通和运维专线方向丢包4%左右,电信和FQ方向不丢包 3.分析 采用从上向下的方式,一点点加网络设备。如先测试运营商,若没问题加防火墙,若没问题加上网行为管理,以此类推。 阅读全文
摘要:
1.防火墙端口配置 2.LLB配置 阅读全文
摘要:
1.拓扑图 2.防火墙配置 3.交换机配置 interface GigabitEthernet1/0/47 switchport access vlan 30 switchport mode access channel-protocol lacp channel-group 31 mode act 阅读全文
摘要:
1.收集信息 1、网络拓扑信息(了解网络拓扑信息有助于网络方案的规划) 2、环境信息(了解部署位置、部署模式、最大吞吐、最大用户数有助于对设备性能的评估) 3、客户需求,对FortiGate部署的功能要求(了解客户要求部署上FortiGate后需要开启哪些功能和访问控制策略以明确配置思路) 4、Fo 阅读全文
摘要:
1.图形界面抓包 系统管理--网络--数据包捕获 选择添加好的数据捕获,点击"运行"开关抓包;抓取包后,可以点击"下载"将抓取的数据包保存的本地磁盘,可以用wireshark直接查看。 2.命令格式:diagnose sniffer packet <interface> <'filter'> <ve 阅读全文
摘要:
1.工具说明 在防火墙部署中,经常会遇到防火墙接收到了数据包,但并未进行转发。可以通过diagnose debug flow 命令来对数据包的处理过程进行跟踪,可以清晰查看数据包再各个功能模块内的处理过程,判断出数据包如何被转发或者丢弃。 2.命令介绍 diagnose debug enable 开 阅读全文
摘要:
1.流程图 2.防火墙对数据包处理过程的各步骤如下: 1)Interface(网卡接口) 网卡接口驱动负责接数收据包,并转交给下一过程。 2)DoS Sensor(DoS防御,默认关闭) 负责过滤SYN flood、UDP flood、ICMP flood等DoS攻击,并可针对源、目的IP的并发连接 阅读全文
摘要:
1.安全策略原理 1)为了对数据流进行统一控制,方便用户配置和管理,FGT设备引入了安全策略的概念。通过配置安全策略,防火墙能够对经过设备的数据流进行有效的控制和管理。 2)当防火墙收到数据报文时,把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配,决定是否建立这条数据流,并且把 阅读全文
摘要:
1.组网及需求 某高校有一台FGT系列防火墙放置于互联网出口,拓扑如下图: 现需求通过组建sslvpn web代理模式和隧道模式以实现: 1.web代理模式:能访问 http://lib.xxxx.edu.cn(位于校园网内)该网址,并通过该网址跳转到校外的中国知网等互联网及校园网地址(目的地址不固 阅读全文
摘要:
1.配置步骤总结 1)首先配置"ssl 设置":a.定义sslvpn服务器端口;b.定义sslvpn客户端的地址池; 2)接着配置"ssl 界面":定义sslvpn用户访问方式,隧道模式或web代理模式(可同时启用);隧道模式下选择"启动隧道分割"时,客户端将获取明细路由,否则将获取默认路由; 3) 阅读全文
摘要:
Hub-spoke模式(星型) 1.某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。 2.总部配置要点 配置IKE阶段1→配置IKE阶段2→配置IPSec安全 阅读全文
摘要:
接口模式 1.配置要点 IKE阶段1→IKE阶段2→路由→策略 删除:删除相关策略→删除相关路由→删除阶段2→删除阶段1 删除命令行: FGT5HD3915800383 # config vpn IPSec phase1-interface FGT5HD3915800383 (phase1-inte 阅读全文