PC端可以访问
https://www.liuluanyi.cn
前言背景
以前对飞塔的防火墙也有一些了解,但是那时候并没有现在的地位和技术优势。现在的Fortinet在Gartner魔力象限中已在leader中了。
现在Fortinet的功能相对越来越强大了,价格上在leader的其他厂商上还算可观。比如几乎是Palo Alto、Check Point 两家厂商价格的一半左右。所以这段时间对Fortinet做了一些研究:Fortigate单台设备提供多功能集成的网络解决方案,如入侵检测、Web过滤、反病毒、WAN优化等等。数据的呈现效果也不错。
因为我测试的时候,使用的测试授权功能几乎也都还能用,不知道真正买授权的时候是不是给了一个授权Fortinet里面的功能都可以用,在这里希望了解的伙伴可以给我解答一下。
Fortinet简单配置
此篇先做一个简单的Fortinet VM的安装、初始化和HA介绍。下一篇将做IPsec V** 和 SSL V** 配置的介绍。关于路由,NAT、策略&对象不展开详细的介绍。因为每家厂商的这些配置大同小异。其中有的介绍也在本篇做一些介绍。
FortiGate硬件出厂配置默认地址为192.168.1.99,可以通过https的方式进行web管理(默认用户名admin,密码为空)。不同型号设备用于管理的接口略有不同,如:
FortiGate-1500D:mgmt1接口
FortiGate-60D:internal 接口
经测试发现,VM版本是不支持https登陆,只支持http登陆且默认Port1接口使用DHCP获取得到的。VM导入安装时不要更改它的CPU、内存的预配信息,否则会提示你没有加载授权。
命令更改管理接口配置
Liu-Active # config system interface
Liu-Active (interface) # edit port1
Liu-Active (port1) # set mode static
Liu-Active (port1) # set ip 192.168.1.25 255.255.255.0
Liu-Active (port1) # next
Liu-Active (interface) # end
命令行配置静态路由:
Liu-Active # config router static
Liu-Active (static) # edit 1
Liu-Active (1) # set dst 0.0.0.0 0.0.0.0
Liu-Active (1) # set gateway 202.100.1.1
Liu-Active (1) # next
Liu-Active (static) # end
下面我们就可以登录web界面,对接口、网络、NAT、策略等等修改、添加删除的操作。
这里简单的对Fortinet的做NAT的几种方式:PAT NAT、Dynamic IP pool、Virtual IP 、Central NAT。IP POOL里面又分为四种模式:Overload、One-to-One、Fix port range、Port block allocation。
默认IP池类型是Overload。在过载IP池类型中,使用多对一或多到少的关系和端口转换。
在One-to-One类型中,内部IP地址以先到先得的方式映射到外部地址。有一个内部地址到外部地址的单一映射。映射不是固定的,如果没有可用的地址,连接将被拒绝。
Fix port range功能开启时需要关闭端口预留功能。
Port block allocation类型可以更加灵活的设置:Block Size、Blocks Per User
开启Central NAT之前的WEB界面:
开启Central NAT的命令(只可以在命令行开启):
代码语言:javascript复制
Liu-Active # config system settings
Liu-Active (settings) # set central-nat enable
Liu-Active (settings) # end
开启Central NAT的WEB界面:
Central NAT示例说明:
在本示例中,中央源NAT策略将源IP地址转换为定义的IP池地址(203.0.113.5)。然而,只有当流量与中央源NAT策略中定义的所有变量相匹配时,才进行转换,也就是说,通过FortiGate内部的源接口从源IP地址到目的地IP地址(192.168.10.10)的流量必须通过目的地间发送到目的地IP地址(192.168.10.10)。面对WAN1,协议必须是TCP。为了便于说明,目的地仅使用一个IP地址,并且IP池类型被设置为使用单个IP地址复用。
防火墙策略是从内部创建到Wan1的。在FortiOS v6.0防火墙策略中没有可用的NAT选项,并且必须匹配源NAT策略才能传递流量。如果没有匹配的中央源NAT策略,流量将被丢弃。
如果用户尝试到目的地IP地址192.168.10.10的任何基于TCP的会话(例如http、https),则源IP地址将被转换为IP池地址或在中央NAT策略中定义的地址。
如果用户试图发送任何基于ICMP或UDP的流量到192.168.10.10,源地址是否被翻译成在中央NAT策略中定义的IP池呢?
由于中央源NAT策略不匹配,FortiGate会自动删除流量。
同样,192.168.10.20的目的IP地址与中央NAT策略不匹配,因此FortiGate会降低流量。
Fortinet HA配置
进行 HA 配置之前, 硬件和 软件版本 需满足如下要求:
- 防火墙硬件型号相同 ;
- 同型号硬件要求硬件版本,内存容量 ,CPU 型号,硬盘容量等相同 ;
- 相同的 软件版本 ;
- 设备的所有接口不能工作在 DHCP,PPPOE 模式下。没有使用的接口IP地址模式也需要选择为"自定义";
假如HA的两台FGT存在上述不一致的情况,那么做为备机的FGT将会被Shutdown主动关闭。
串口下将会打印shutdown并提示原因:
slave and master have different hdisk status. Cannot work with HA master. Shutdown the box!
The system is halted
主设备选举顺序
防火墙在组成集群到时候,需要选举一台主设备。主设备的选举根据下图所示进行,主设备之外的设备则成为从设备。主设备硬件故障或者被监控的端口链路故障都会重新进行主设备的选举。防火墙按照如下顺序进行比较,进行主设备的选举。这些因素分别是:监控端口中的有效接口数量,设备运行时间,HA优先级,设备的序列号。
HA优先级
当具有相同监控端口数,且同时启动运行的防火墙,具有较高优先级(和Palo Alto是相反的)的设备优先成为主设备。防火墙默认的优先级为128,可以通过配置优先级参数使某台设备优先成为主设备。
Override参数
在HA的配置中,override参数会影响到主设备的选举过程.
代码语言:javascript复制
Liu-Active # config system ha
Liu-Active(ha)# set override disable/enable
Liu-Active(ha)# end
该参数默认需要通过CLI命令行进行配置,默认值为disable。如果HA模式是Active-Passive,也是不建议开启抢占的,毕竟两边配置一样,没有抢占的必要。
进行WEB页面配置
命令行展示:
HA结果演示
查看校验和,如果校验和一致也可说明HA配置成功。
WEB页面下进行查看:
