功能配置

1.为什么我的防火墙有些接口在“网络 → 接口”页面无法显示，命令行无法编辑，无法单独配置 IP 地址。

答：部分型号的 FortiGate（如 FortiGate 101F、60F、80F）内置有一个 Hardware Switch（VLAN Switch）接口，默认情况下在配置文件中该接口被命名为 lan 或 internal，这是一个交换接口，默认配置下，与该 Hardware Switch（VLAN Switch）内部相连的接口均会被加入该接口（二层接口，类似于交换机的 Access 接口）。如果想单独配置某个 Hardware Switch（VLAN Switch）的成员接口，需要将该接口从 Hardware Switch（VLAN Switch）接口中移除，移除后，成员接口会变为独立的三层接口，可以独立配置 IP 等信息。

2.如何实现源 NAT，防火墙策略中启用 NAT、ip 地址池、和中央 NAT 分别是什么意思？

答：源 NAT：即源地址转换，源 NAT 在防火墙策略中实现，通过开启 NAT、引用 ip 地址池、和引用中央 NAT 来实现源地址转换。

​ 策略中启用 NAT：代表源地址转换为此策略出接口的 ip 地址。

​ ip 地址池：如果选择了 ip 地址池，代表源地址转换为 ip 地址池中的 ip 地址，或者也可以直接定义源地址对应关系，不受策略限制。

​ 中央 NAT：中央 NAT 是一个单独的地址转换表，防火墙策略选择了中央 NAT 后，会根据策略的源地址去到中央 NAT 查找匹配相应的转换关系。

3.什么是虚拟 ip？

答：虚拟 ip 即 vip，虚拟 ip 是用来做目的地址转换使用，实现目的映射的对应关系的策略，需要引用到防火墙策略中才能生效，需要注意，虚拟 ip 的映射关系会影响到源地址转换，也就是，防火墙会优先匹配虚拟 ip 的映射关系，再匹配防火墙策略中选择的源地址转换方式。

4.如何实现目的 NAT？

答：目的 NAT 即目的转换，目的转换在防火墙策略中实现，通过事先新建一个 vip，然后在防火墙策略中的目的选择 vip 即可实现目的地址映射。

5.如何实现双向 NAT？

答：如果要实现双向地址转换，在防火墙策略的目的选择相应的 vip，然后在策略中启用 NAT 或者引用 ip 地址池，或者直接使用中央 NAT。

6.接口和区的有什么关系

答：区域可以包含多个接口，可以理解为接口组，接口一旦划入到区中，就不能单独做策略，在防火墙策略中只能找到相应的区，而无法选择所划入区的接口了，所以区通常较少使用。

7.内网用户需要通过公网映射地址访问内部服务器，需要什么特殊配置？

答：请参考 策略与对象 → 虚拟 IP 映射 → 内网主机通过公网 IP 访问 VIP章节。

8.HA 主备模式系统升级是否会中断业务，如何操作？

答：主备防火墙升级系统不会中断，只要按照正常的方式升级即可，通过管理主墙，上传版本文件后，主墙把版本文件同步给备墙，备墙先升级，备墙升级完后，主墙开始升级，升级过程中会切换到备墙工作，整个过程透明，无需其他额外操作，通单台升级操作一样。

9.sslvpn 支持几种模式？是否支持 sslvpn 的 site-to-site 模式？

答： a. 支持代理模式：代理模式只支持 B/S 架构的 http、https 应用代理

​ b. 支持客户端模式：即隧道模式，无应用限制。

​ c. 不支持插件方式

​ d. 不支持 site-to-site 模式

10.移动终端 vpn 支持情况？

答：IPSEC vpn 支持 ios 和 android，ios 和 android 均采用系统自带的客户端

​ SSLVPN 支持支持 ios 和 android，FortiExplore VPN 支持 ios，FortiClient 支持 Android。

11.防火墙支持 stp 功能吗？

答：低端型号如 FortiGate 60E，FortiGate 100E，FortiGate 100F 的硬交换接口支持。

12.防火墙是否支持 802.1x ？

答：低端型号如 FortiGate 60E，FortiGate 100E，FortiGate 100F 的硬交换接口支持。

13.防火墙支持链路聚合 802.3ad 功能吗？

答：支持

14.防火墙聚合口成员可以从聚合口中分离吗？需要注意什么？

可以从聚合口中取出，但需要注意：成员接口从聚合口中取出后，务必重启一次防火墙，否则可能会出现网络通信问题，此为硬件限制，目前无解。所以建议在部署前就规划好聚合口的成员，避免后期频繁修改聚合口成员配置。

15.转换或接口提示被占用，如何查找接口被哪些模块被调用

关联项就是接口被引用的次数，如点击 "7" 可以查看具体被哪些模块引用。

![image-20221201142147322](/Users/summerice/Documents/fortigate_docs_fortios7_vue/docs/.vuepress/public/images/image-20221201142147322.png)

![image-20221201142310779](/Users/summerice/Documents/fortigate_docs_fortios7_vue/docs/.vuepress/public/images/image-20221201142310779.png)

16.防火墙通过默认的 notification.fortinet.net:465 邮件服务器，邮件方式发送 FortiToken（双因子认证）、告警或日志到特定邮箱时，为什么收件邮箱经常收不到，或被识别为了垃圾邮件？

答：出现该情况时，请在系统 → 设置 → Email Service 中配置“缺省回复至”，定义 username，域名保证为 notification.fortinet.net，就不会被其他 email server 认为是垃圾邮件。

在 FortiGate 版本 7.0.11，7.2.4 及后续的版本中，默认的 notification.fortinet.net:465 邮件服务器 将取消“缺省回复至”选项，将该选项强制为 DoNotReply@notification.fortinet.net

![image-20221201161023920](/Users/summerice/Documents/fortigate_docs_fortios7_vue/docs/.vuepress/public/images/image-20221201161023920.png)

17.配置了 FQDN 形式的地址对象并使用静态/策略路由引用，但实际效果不稳定，客户端访问配置的 FQDN 时，仍然从其他线路出去了。

答：FQDN 地址对象中获取的 IP 地址有两种方式：1、设备使用自身配置的 DNS 解析到的结果；2、穿过防火墙的 DNS 流量被设备记录。（具体原理可以参考附件：https://handbook.fortinet.com.cn/files/fqdn.pdf ）

在 FQDN 地址对象的 CLI 配置下：

1）如果配置的 cache-ttl>DNS 服务器返回的 TTL，认为该 FQDN 下面配置的 cache-ttl 时间优先。

2）如果 cache-ttl < DNS 服务器返回的 TTL，则 DNS 服务器返回的 TTL 优先。

3）如果没有没配置 cache-ttl（默认为 0），以 DNS 服务器返回的 TTL 为准。

当 TTL 变为 0 时，防火墙会删除该 FQDN 下的相关地址记录。

解决办法：在 CLI 下，编辑 FQDN 形式的地址对象，将 cache-ttl 修改为 86400。

```
config firewall address
  edit "www.baidu.com"
    set type fqdn
    set allow-routing enable
    set fqdn "www.baidu.com" 
    set cache-ttl 86400
  next
end
```

16.Flow 模式和 Proxy 模式的区别。

答：

**Flow 模式：**

当防火墙策略的检测方式设置为 Flow 时，经过该策略的流量不会被 FortiGate 进行缓冲。与代理模式不同的是，通过策略的内容负载将被逐包检查，最后一个包由 FortiGate 保存，直到扫描返回结果。如果检测到异常流量，则向接收端发送一个重置包，终止连接，并阻止有效负载成功发送。

基于 Flow 检测能够实时识别和阻断安全威胁。所有适用的基于流的安全模块在一次通过中同时应用，使用 DFA（Direct Filter Approach）模式匹配来识别可能的攻击或威胁。模式匹配由 CP8 或 CP9 处理器卸载和加速。

基于流程的检查通常比基于代理的检查需要更少的处理资源，并且不改变报文，除非发现威胁并阻断报文。

**Proxy 模式：**

当防火墙策略的检测方式设置为 Proxy 时，通过该策略的流量会被 FortiGate 进行缓冲检测。这意味着 FortiGate 将保存文件、电子邮件消息或网页的信息包，直到整个有效负载被检查是否违反 (病毒、垃圾邮件或恶意 web 链接)。在 FortiOS 完成检查之后，如果流量是干净的，负载要么被发送到目的地，如果流量有异常，则被丢弃并用替换消息替换。

代理模式提供了最彻底的流量检查，但是它的彻底的牺牲了性能，使得它的吞吐量比流模式策略慢。

17.在策略中调用“应用控制”的安全配置文件后，发现微信发图片很慢，或一些手机 App 无法正常访问。

答：微信、支付宝等一些手机 App 在使用时会用到 QUIC 协议。默认情况下，应用控制安全配置文件不允许 QUIC 业务通过，此时微信在发图片时，首先会考虑使用 QUIC 协议，当 QUIC 协议被防火墙阻断后，微信再使用 HTTPS 协议进行发送，导致出现发图片慢的情况。通过在安全配置文件 → 应用控制中，将 QUIC 的动作配置为允许，可以解决此问题。

![image-20221202141542247](/Users/summerice/Documents/fortigate_docs_fortios7_vue/docs/.vuepress/public/images/image-20221202141542247.png)

18.License 无法验证，或特征库无法更新。

答：FortiGate 与 FortiGuard 服务器通信问题造成。FortiGate 默认使用 anycast 方式连接 FortiGuard，在国内使用时这种方式可能会出现网络通讯故障，建议 FortiGate 使用如下 CLI 命令关闭 anycast 方式连接 FortiGuard，使用单播方式连接 FortiGuard。

```bash
config system fortiguard
    set fortiguard-anycast disable
    set protocol udp
    set port 8888
end

exe update-now
```