Bypass 部署

模式说明

FortiGate 部分型号支持 Bypass 接口，即设备断电后或者重启，依然能够通讯（只能在透明模式下工作）。如下举例设备（80F Bypass），WAN1 和 internal1 接口形成一个 Bypass Pair（接口 internal1 是名为 internal 的硬件交换接口的一部分。要启用 Bypass 模式，必须从 internal 接口中删除 internal1）。

重要

目前支持 Bypass 的 FortiGate 型号包含：FortiGate 2500E、FortiGate 400E Bypass、FortiGate 800D、FortiGate 80F Bypass、FortiGateRugged 60F 3G4G、FortiGateRugged 60F、FortiGateRugged 70F 3G4G、FortiGateRugged 70F 等。具体可参考：https://docs.fortinet.com/document/fortigate/7.0.99/cli-reference/530620/config-system-bypass

网络拓扑

防火墙工作在透明模式下，开启防病毒功能。使用 bypass 口，当防火墙故障后，确保链路工作正常。

配置要点

• 将防火墙配置为透明模式
• 配置防火墙策略
• 开启 Bypass 模式

配置步骤

1. 将防火墙配置为透明模式，进入设备命令行（CLI）中进行配置，修改 FGT 的运行模式为透明模式（默认为 NAT 路由模式）。注意切换透明模式防火墙需要防火墙没有相关接口、策略、路由等配置，配置可以管理防火墙的本地 IP 和网关。

   config system global
       set hostname FortiGate_Transparent
   end
   config system settings
       set opmode transparent
       set manageip 1.1.1.3 255.255.255.0
       set gateway 1.1.1.2
   end

2. MGMT 口默认有管理权限，要通过 port17（LAN）接口管理设备为例，开启 port17（LAN）管理 FGT 的命令如下。

   config system interface
       edit port17
       edit allowaccess https http ping ssh
   end

3. 配置防火墙策略，保证流量可以正常通过 FortiGate。

4. 开 Bypass 模式。

   config system bypass
   	set bypass-watchdog enable
   	set poweroff-bypass enable
   end

结果验证

将系统断电或重启设备，客户业务不中断。