功能配置

  1. 为什么我的防火墙有些接口在“网络→接口”页面无法显示,命令行无法编辑,无法单独配置IP地址。

    答:部分型号的FortiGate(如FortiGate 101F、60F、80F)内置有一个Hardware Switch(VLAN Switch)接口,默认情况下在配置文件中该接口被命名为lan或internal,这是一个交换接口,默认配置下,与该Hardware Switch(VLAN Switch)内部相连的接口均会被加入该接口(二层接口,类似于交换机的Access接口)。如果想单独配置某个Hardware Switch(VLAN Switch)的成员接口,需要将该接口从Hardware Switch(VLAN Switch)接口中移除,移除后,成员接口会变为独立的三层接口,可以独立配置IP等信息。

    image-20230411174328233

    image-20230411174406407

    image-20230411174524847

  2. 如何实现源NAT,防火墙策略中启用NAT、ip地址池、和中央NAT分别是什么意思?

    答:源NAT:即源地址转换,源NAT在防火墙策略中实现,通过开启NAT、引用ip地址池、和引用中央NAT来实现源地址转换。

    ​ 策略中启用NAT:代表源地址转换为此策略出接口的ip地址。

    ​ ip地址池:如果选择了ip地址池,代表源地址转换为ip地址池中的ip地址,或者也可以直接定义源地址对应关系,不受策略限制。

    ​ 中央NAT:中央NAT是一个单独的地址转换表,防火墙策略选择了中央NAT后,会根据策略的源地址去到中央NAT查找匹配相应的转换关系。

  3. 什么是虚拟ip?

    答:虚拟ip即vip,虚拟ip是用来做目的地址转换使用,实现目的映射的对应关系的策略,需要引用到防火墙策略中才能生效,需要注意,虚拟ip的映射关系会影响到源地址转换,也就是,防火墙会优先匹配虚拟ip的映射关系,再匹配防火墙策略中选择的源地址转换方式。

  4. 如何实现目的NAT?

    答:目的NAT即目的转换,目的转换在防火墙策略中实现,通过事先新建一个vip,然后在防火墙策略中的目的选择vip即可实现目的地址映射。

  5. 如何实现双向NAT?

    答:如果要实现双向地址转换,在防火墙策略的目的选择相应的vip,然后在策略中启用NAT或者引用ip地址池,或者直接使用中央NAT。

  6. 接口和区的有什么关系

    答:区域可以包含多个接口,可以理解为接口组,接口一旦划入到区中,就不能单独做策略,在防火墙策略中只能找到相应的区,而无法选择所划入区的接口了,所以区通常较少使用。

  7. 内网用户需要通过公网映射地址访问内部服务器,需要什么特殊配置?

    答:做好外网访问内网的映射后,只需要增加一条内网访问外网的的防火墙策略即可。

  8. HA主备模式系统升级是否会中断业务,如何操作?

    答:主备防火墙升级系统不会中断,只要按照正常的方式升级即可,通过管理主墙,上传版本文件后,主墙把版本文件同步给备墙,备墙先升级,备墙升级完后,主墙开始升级,升级过程中会切换到备墙工作,整个过程透明,无需其他额外操作,通单台升级操作一样。

  9. sslvpn支持几种模式?是否支持sslvpn的site-to-site模式?

    答: a. 支持代理模式:代理模式只支持B/S架构的http、https应用代理

    ​ b. 支持客户端模式:即隧道模式,无应用限制。

    ​ c. 不支持插件方式

    ​ d. 不支持site-to-site模式

  10. 移动终端vpn支持情况?

    答:IPSEC vpn支持ios和android,ios和android均采用系统自带的客户端

    ​ SSLVPN支持支持ios和android,FortiExplore VPN支持ios,FortiClient支持Android。

  11. 防火墙支持stp功能吗?

    答:低端型号如FortiGate 60E,FortiGate 100E,FortiGate 100F的硬交换接口支持。

  12. 防火墙是否支持 802.1x ?

    答:低端型号如FortiGate 60E,FortiGate 100E,FortiGate 100F的硬交换接口支持。

  13. 防火墙支持链路聚合 802.3ad 功能吗?

    答:支持

  14. 转换或接口提示被占用,如何查找接口被哪些模块被调用

    关联项就是接口被引用的次数,如点击"7"可以查看具体被哪些模块引用。

    image-20221201142147322

    image-20221201142310779

  15. 防火墙通过默认的notification.fortinet.net:465邮件服务器,邮件方式发送FortiToken(双因子认证)、告警或日志到特定邮箱时,为什么收件邮箱经常收不到,或被识别为了垃圾邮件?

    答:出现该情况时,请在系统→设置→Email Service中配置“缺省回复至”,定义username,域名保证为notification.fortinet.net,就不会被其他email server认为是垃圾邮件。

    在FortiGate版本7.0.11,7.2.4及后续的版本中,默认的notification.fortinet.net:465邮件服务器 将取消 “缺省回复至” 选项,将该选项强制为DoNotReply@notification.fortinet.net

    image-20221201161023920

  16. 配置了FQDN形式的地址对象并使用静态/策略路由引用,但实际效果不稳定,客户端访问配置的FQDN时,仍然从其他线路出去了。

    答:FQDN地址对象中获取的IP地址有两种方式:1、设备使用自身配置的DNS解析到的结果;2、穿过防火墙的DNS流量被设备记录。(具体原理可以参考附件:https://fortinet-public.s3.cn-north-1.amazonaws.com.cn/Fortinet_TAC_Doc/fqdn.pdf)

    在FQDN地址对象的CLI配置下:

    1)如果配置的cache-ttl>DNS服务器返回的TTL,认为该FQDN下面配置的cache-ttl时间优先。

    2)如果cache-ttl < DNS服务器返回的TTL,则DNS服务器返回的TTL优先。

    3)如果没有没配置cache-ttl(默认为0),以DNS服务器返回的TTL为准。

    当TTL变为0时,防火墙会删除该FQDN下的相关地址记录。

    解决办法:在CLI下,编辑FQDN形式的地址对象,将cache-ttl修改为86400。

    config firewall address
      edit "www.baidu.com"
        set type fqdn
        set allow-routing enable
        set fqdn "www.baidu.com" 
        set cache-ttl 86400
      next
    end
    
  1. Flow模式和Proxy模式的区别

    答:

    Flow模式:

    当防火墙策略的检测方式设置为Flow时,经过该策略的流量不会被FortiGate进行缓冲。与代理模式不同的是,通过策略的内容负载将被逐包检查,最后一个包由FortiGate保存,直到扫描返回结果。如果检测到异常流量,则向接收端发送一个重置包,终止连接,并阻止有效负载成功发送。

    基于Flow检测能够实时识别和阻断安全威胁。所有适用的基于流的安全模块在一次通过中同时应用,使用DFA(Direct Filter Approach)模式匹配来识别可能的攻击或威胁。模式匹配由CP8或CP9处理器卸载和加速。

    基于流程的检查通常比基于代理的检查需要更少的处理资源,并且不改变报文,除非发现威胁并阻断报文。

    Proxy模式:

    当防火墙策略的检测方式设置为Proxy时,通过该策略的流量会被FortiGate进行缓冲检测。这意味着FortiGate将保存文件、电子邮件消息或网页的信息包,直到整个有效负载被检查是否违反(病毒、垃圾邮件或恶意web链接)。在FortiOS完成检查之后,如果流量是干净的,负载要么被发送到目的地,如果流量有异常,则被丢弃并用替换消息替换。

    代理模式提供了最彻底的流量检查,但是它的彻底的牺牲了性能,使得它的吞吐量比流模式策略慢。

  2. 在策略中调用“应用控制”的安全配置文件后,发现微信发图片很慢,或一些手机App无法正常访问。

    答:微信、支付宝等一些手机App在使用时会用到QUIC协议。默认情况下,应用控制安全配置文件不允许QUIC业务通过,此时微信在发图片时,首先会考虑使用QUIC协议,当QUIC协议被防火墙阻断后,微信再使用HTTPS协议进行发送,导致出现发图片慢的情况。通过在安全配置文件→应用控制中,将QUIC的动作配置为允许,可以解决此问题。

    image-20221202141542247

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-07 17:57:58

results matching ""

    No results matching ""