FortiGate产品安装及快速配置
2015-10-16 10:32:00   来源:FORTINET   评论:0 点击:

FortiGate就是一款这样的产品!我们以FortiGate-90D-POE设备为演示,来为大家介绍一下FortiGate产品的安装、配置。后续我们还会有设备功能的使用介绍。
文档下载地址:
http://support.fortinet.com.cn/uploadfile/2014/0327/20140327032512523.pdf

Fortinet公司是全球网络安全行业领导者,FortiGate正是这家公司的旗舰产品。FortiGate拥有强大的网络和安全功能,服务于全球数万家客户,产品型号也是业界覆盖最广的,从几十兆产品到几百G产品,能够满足不同规模用户的使用需求。对于大企业和运营商客户来说,IT人员能力强,资源多,对于设备的配置自然不在话下。但是对于规模不大的中小企业来说,IT人员的运维能力可能就没有那么强了。

大家印象中传统的企业级设备配置安装都比较麻烦,友好性远不如家用路由器。因此很多用户也希望他们购买的企业级产品能够像家用级设备一样简单配置。FortiGate就是一款这样的产品。我们以FortiGate-90D-POE设备为演示,来为大家介绍一下FortiGate产品的安装、配置。后续我们还会有设备功能的使用介绍。

视频版本:http://edu.51cto.com/course/course_id-1118.html

FortiGate设备开箱及配件说明


图1:FortiGate-90D-POE包装
 
图2:FortiGate-90D-POE和配件

如上图所示,FortiGate-90D-POE内置了电源,光盘,手册,RJ45网线和一根USB管理数据线。PC可以通过USB管理数据线,使用FortiExplorer软件实现设备的快速配置。稍后我们会有讲解。
图3:FortiGate-90D-POE前面板和后面板

如图3,前面板的左侧接口是用于调试的console口,中间四个灯为电源,状态等指示灯,右侧的双排指示灯是WAN口和交换口的状态指示灯,红色的ABCD四个灯标示了POE供电的四个接口。后面板的左侧为电源接口,螺丝钉为固定地线用,避免在漏电的情况下用户触电。螺丝钉下面的接口为USB2.0小接口,用于手机连接设备进行配置。再往右两个为USB管理口。后面板上的16个接口中,最右面两个为WAN口,其余14个为交换接口,红色标示的ABCD接口为POE供电口。


FortiGate管理方式

图4:接口示意图

FortiGate系列产品默认在internal或者mgmt1口上有IP地址:https://192.168.1.99。用户名为:admin 密码为空。对于这款设备,随意插到任何一个接口都可以进行web登陆,因为默认在交换接口上已经启用了DHCP功能。所以只需让PC自动获得IP地址,即可通过访问上面的管理地址来进行web页面的登陆。结果如下图所示:
图5 :Web界面

Fortinet为用户提供了简单易用的管理软件FortiExplorer来进行初始化配置。下面我们就来介绍下如何使用FortiExplorer管理FortiGate。

FortiExplorer下载地址:http://www.fortinet.com/resource_center/product_downloads.html

图6:下载界面

可以看出FortiExplorer支持windows,macOS以及iOS三种操作系统,也就是说我们不仅可以通过PC和MAC来进行配置,还可以使用iPhone。下面我们先来看看如何用PC版FortiExplorer来配置设备。
图7:FortiExplorer PC版连接方式

图7中使用的数据线就是设备包装中自带的USB2.0数据线。小口插到FortiGate上,大口插在PC端。
图8:FortiExplorer界面

连接上之后界面上就会自动显示出设备的产品图,序列号,系统版本,注册情况等等。跟常用的PC端手机管理软件很像。黄色高亮的内容就是这台FortiGate设备的名字,默认为设备序列号。用户可以使用这个软件来进行快速配置,基于web和命令行模式的管理。

有人可能会问,既然可以用浏览器进行web管理,在这个软件中还提供web模式管理不是多此一举吗?

非也!有的用户可能时间长了不登陆忘记了管理ip,通过这个软件可以直接通过USB线连接到设备上,在软件中运行友好的web模式来查看接口信息等等。是不是想的很周到呢!
图9: 通过FortiExplorer进行初始化配置

用户可以按照深蓝色的部分来依次配置,以完成设备的初始化配置。当然,虽然列表项很多,但是可以快速跳过某些项,比如3G/4GModem,负载均衡等等。

刚才我们介绍了,我们可以通过iPhone配置和管理FortiGate设备,只需要通过一根数据线和FortiExplorer应用就可以了。那么该如何使用呢?
图10: iPhone连接FortiGate设备

将手机上的fortiexplorer打开,在将手机连接到设备上,就会自动进行初始化。过程中,您需要在如图11中所示的那样,选择设备类型,比如我们使用的是FortiGate-90D-PoE,在app中就选择FortiGate 90DP,然后选择添加,之后就会看到图11右侧的界面,用户名处输入admin,密码留空,点击login,就通过手机登陆到设备上了。

图11:手机连接初始化
图12:手机连接后fortigate状态显示

用手机登陆之后,就能看到如图12所示的内容了。设备名称,默认DNS,初始IP地址,还有设备的版本信息,接口信息等等。

介绍完使用fortiexplorer进行设备初始化配置和管理之后,我们现在来介绍对一般用户来说难度较高的初始配置方法,也是我们后期真正做调试的过程中用的比较多的一种方法,就是使用Console口来进行配置。
图13: console线连接示意


线接好之后,我们使用的是SecureCRT来创建连接。

图14-1:SecureCRT界面
图14-2:SecureCRT 新建连接

我们需要在连接到设备之前新建一个连接,协议选择的地方选择串口协议。选完协议后会被要求选择接口,具体是COM1/COM2/COM3。。。我们就要到计算机的设备管理器中查看了,看一下端口(COM和LPT)这一项下面虚拟出来的COM口是几,我们的计算机显示为COM3,就回到SecureCRT中选择COM3接口,然后波特率选择9600
图14-3:初始化连接建立配置
图15:连接建立成功

界面操作

刚才介绍了几种不同的连接方式,我们已经能够成功地连接到设备上了。那么一开始基本的操作都有哪些呢?让我们来一起看一看。
图16:修改英文界面到中文界面

FortiGate设备的web界面默认是英文的,但是管理员可能需要中文界面才能更好的操作,这样的话只需要在System-Admin-Settings中最下面找到Language,选择simplified Chinese(简体中文),然后点击Apply。我们的web界面就会切换到中文模式了。

图17:配置向导

配置向导中第一项就是集中管理,我们可以从图17中看到,可以选择是否启用集中管理,需要FortiManager IP等信息。FortiManager是fortinet一款集中管理平台,可以管理分布在不同地区的上百台FortiGate设备,进行集中策略部署,下发,更新等等。这里我们由于没有FortiManager需要连接,所以直接点击下一步。
图18:修改密码

第二项就是Admin密码,如果修改密码的话可以点击修改密码。不需要修改密码则只需点击下一步即可到下一项来设置时区。FortiGate默认时区是GMT-8,我们可以改为+8北京时间。设置完之后再点击下一步,我们就来到了网络配置部分。
 
图19:网络设置

由于这款设备支持双WAN接入,因此在图19中您可以看到有单以太网和双以太网两个,而且还支持3G/4G接入,可以将上网卡插到设备的USB接口上。由于我们演示环境只有单线接入,因此我们选择单以太网,然后点击下一步。
图20:主WAN连接选择

设备提供3种主WAN网络接入类型,DHCP类型,静态IP类型,和PPPoE拨号类型。PPPoE就像是ADSL接入,设置方法和家用无线路由器一样,将ADSL账号和密码输入就好了。图20所示为静态IP的配置情况,填写好就可以了。我们演示环境是DHCP,也是大多数企业场景。
图21:LAN设置

其实选择了DHCP之后,到LAN配置的界面上,设备自动生成了默认的一套配置。可以看到internal接口默认启用DHCP,接口ip为192.168.1.99,24位掩码。地址池为110-210。到这里网络方面的配置就已经结束了。按照向导,我们要进行安全策略方面的配置。
图22:安全策略配置-时间表

这是要控制允许设备如何上外网,是否是允许设备总是通过设备上外网。或者在固定的时间段内可以上外网。比如有的公司要求某些部门的员工在9点到12点,14点到18点是禁止上外网的,就会用到这样的策略。在这里我们选择总是允许来进行下一步的配置。
图23:网络接入策略

内网设备要上外网必须要有从私网地址到公网地址的转换,因此NAT是默认开启的,其余的安全功能比如UTM功能,用户行为限制等等也是默认开启的。用户为了快速上线可以先不考虑,把界面上的勾点掉。后续有需求的时候可以再自行根据需求来开启相应的功能并且配置策略。
 
图24:配置虚拟服务器

这一步就来到了是否要配置虚拟服务器。有些诸如FTP服务器的需要对外开放,因此要做服务器的虚拟地址映射。关于这部分内容和VPN连接我们后期会有详细的介绍。这里就不开启虚拟服务器了,并且跳过VPN配置,直接保存现有配置。
图25:Web界面确认配置

我们可以再系统管理-网络-接口中查看接口状态。FortiGate的web界面作的比较友好的一点就是当您选择了internal接口后,图25中红色圈出来的地方能看到灰色的格子,可以对比没有高亮的WAN口,这样很直观地告诉用户哪些口是属于您选择的这个类型的接口。

之前我们已经通过向导正常配置设备。包括向导中也自动生成了一条策略。始终允许内网所有接口到WAN口的流量通行。
图26:策略示意

至此为止我们已经建立好了网络。下一步就是需要对设备进行注册。当然您也可以选择不注册。注册地址为support.fortinet.com。
图27:注册网站

注册FortiGate设备

如果您已经注册过这个网站,那么可以直接选择登陆,如果是第一次使用Fortinet的产品,则需要先创建一个账号。点击创建账号之后完成个人信息的填写。保存之后您会收到一份确认注册成功的邮件。
图28:注册设备

我们点击图28黄色部分,开始将设备注册到您之前注册的账号中。将设备的序列号填写到表格中,点击下一步。会显示您设备所包含的服务。比如病毒库,IPS特征库,安全服务等等。
图29:服务列表

图29显示了我们演示的这台设备的服务内容。
图30:设备管理界面显示服务状态

若是已经注册成功,在图30所示的设备管理界面中蓝色高亮出来的部分会显示服务到期的日期,和是否生效的信息。由于我们的服务信息是通过云网络同步的,可能会有几分钟的延迟。如果几分钟之后还没有更新,您可以在下方的命令行中输入命令exec update-now来强制同步服务信息。
图31:手动更新服务

至此为止,我们产品安装及快速配置部分就为您介绍完毕了。后续我们还会针对重点功能来进行细致的讲解。

相关热词搜索:

上一篇:FortiGate产品实施一本通
下一篇:最后一页

分享到: 收藏