FortiGate 中文一本通更新

LED 指示灯

Fri, 05 Jun 2026 08:39:04 GMT

功能简介

FortiGate 面板 LED 可以用于现场快速判断设备上电、启动、HA、PoE、无线、DSL、BLE、端口连接以及硬件告警状态。

不同型号的 LED 位置、名称和支持的状态可能不同，排查时应以对应机型的 QuickStart Guide 和硬件指南为准。下图是部分 FortiGate 型号的 LED 面板位置示例。

相关信息

并非所有 FortiGate 都包含下表中的全部 LED，也并非所有型号都支持每一种状态。

设备 LED

LED	状态	含义
Logo	绿色或蓝色	设备已上电。
Logo	熄灭	设备未上电。
Power（PWR）	绿色	设备已上电，或双电源均正常工作。
	琥珀色或红色	仅有一个电源正常工作。
	琥珀色或红色闪烁	电源故障。
	熄灭	设备未上电。
Status（STA）	绿色	设备状态正常。
	绿色闪烁	设备正在启动。
	琥珀色	存在 Major 或 Minor 级别告警。
	红色	存在 Major 级别告警。
	琥珀色或红色闪烁	BLE 已开启。
	熄灭	设备未上电。
Bypass（BYP）	琥珀色	Bypass 端口对已启用。
Bypass（BYP）	熄灭	Bypass 端口对未启用。
Alarm	红色	Major 级别告警。
	琥珀色	Minor 级别告警。
	熄灭	无告警。
HA	绿色	设备正在 HA 集群中运行。
	琥珀色或红色	发生 HA 故障切换。
	熄灭	未启用 HA。
Max PoE	绿色、琥珀色或红色	已分配最大 PoE 功率。
Max PoE	熄灭	PoE 功率仍可用，或 PoE 状态正常。
PoE	绿色	正在供电。
	绿色闪烁	出现错误，或 PoE 设备正在请求供电。
	熄灭	未连接 PoE 设备，或未供电。
SVC	绿色	SVC 已开启。
	绿色闪烁	存在 SVC 活动。
	熄灭	SVC 已关闭。
3G4G、3G/4G	绿色	3G/4G 服务已开启。
	绿色闪烁	存在 3G/4G 活动。
	熄灭	3G/4G 服务已关闭。
WiFi	绿色	WiFi 已连接。
	绿色闪烁	存在 WiFi 活动。
	熄灭	WiFi 已关闭。
DSL LINK/ACT	绿色	DSL 已连接。
	绿色闪烁	存在 DSL 活动。
	熄灭	DSL 未连接。
xDSL	绿色	VDSL 已连接。
	琥珀色	ADSL 已连接。
	熄灭	DSL 未连接。
BLE	蓝色	BLE 已开启。
	蓝色闪烁	BLE 处于发现状态。
	熄灭	BLE 已关闭。
Signed Firmware¹	绿色	安全级别为 `High`：默认状态，阻止未签名固件。
Signed Firmware¹	红色	安全级别为 `Low`：允许未签名固件，但会产生告警。
Power supplies and fans	电源和风扇 LED 信息请以对应机型的 QuickStart Guide 和硬件指南为准。

提示

Signed Firmware LED 只存在于支持该硬件开关的型号。相关安全级别说明可参考系统管理 → 固件与配置管理 → 固件版本管理 → G 系列修改安全级别章节。

端口 LED

LED	状态	含义
Ethernet 和 SFP	常亮	端口已建立连接。
	闪烁	端口正在收发数据。
	熄灭	端口未建立连接。
Speed	绿色	端口以最高速率连接。
	琥珀色	端口以中间速率连接。
	熄灭	端口未连接，或以最低速率连接。
PoE	绿色	PoE 已开启，或 PoE 设备正在受电。
	琥珀色	端口正在供电。
	红色	设备已连接，但未获得 PoE 供电。
	熄灭	PoE 已关闭，或没有设备受电。

告警等级

Minor alarm

Minor alarm 也称为 IPMI non-critical（NC）告警，表示温度或电源电平超出正常工作范围，但尚未被视为故障。例如出现轻微温度告警时，系统可能会提高风扇转速。Non-critical 阈值包括：

UNC：Upper Non-Critical，例如温度偏高或功率偏高。
LNC：Lower Non-Critical，例如功率偏低。

Major alarm

Major alarm 也称为 IPMI critical 或 critical recoverable（CR）告警，表示系统无法自行纠正告警原因，需要人工介入。例如散热系统无法提供足够冷却能力，或环境条件正在接近允许工作范围的边界。Critical 阈值包括：

UC：Upper Critical，例如高温或高功率。
LC：Lower Critical，例如低功率。

Critical alarm

Critical alarm 也称为 IPMI non-recoverable（NR）告警，表示系统检测到温度或电源电平已经超出允许工作范围，并可能造成硬件损坏。

排查建议

看到 Alarm、Status 或 Power LED 变为琥珀色、红色或闪烁时，优先检查供电、风扇、温度、机房环境和设备事件日志。
HA LED 显示琥珀色或红色时，应同步检查 HA 集群状态，确认是否发生预期外的主备切换。
端口 Speed LED 熄灭不一定代表物理链路断开，也可能表示端口以最低速率连接，需要结合端口 Link/Act LED 和接口状态判断。
具体型号的风扇、电源模块和端口速率颜色可能存在差异，现场排查时以设备面板丝印和对应硬件文档为准。

长 VDOM 名称

Mon, 01 Jun 2026 09:38:47 GMT

功能介绍

默认情况下，FortiGate 的 VDOM 名称通常限制为 11 个字符。在多 VDOM 场景中，如果需要使用更长的业务名称，可以在全局配置中启用长 VDOM 名称功能。

该功能适用于 FortiOS 7.0、7.2、7.4 等版本，原文也覆盖 FortiOS 6.4。部分型号不支持该命令，如果命令不可用，需要以设备实际支持情况为准。

配置方法

在全局模式下启用 long-vdom-name。

config global
    config system global
        set long-vdom-name enable
    end
end

注

FortiGate VM 机型上，set long-vdom-name 在全局配置中可能是隐藏 CLI 命令，命令自动补全可能不会显示，需要手动完整输入。

创建长名称 VDOM

启用长 VDOM 名称后，创建超过 11 个字符的 VDOM 时，系统会提示自动为该 VDOM 生成一个短名称。

config vdom
    edit testlongvdomname

The auto-generated short name 'testlong001' will be used.
current vf=testlongvdomname:4

end

短名称用于满足内部兼容和引用需求，长名称仍可作为业务上更容易识别的 VDOM 名称使用。

配置显示方式

启用长 VDOM 名称后，在配置中可能看到 VDOM 以带 / 的形式显示，例如：

config vdom
edit testlongvdomname/testlong001
next
end

这是启用长 VDOM 名称后的正常显示方式，/前为长名称，/后为自动生成的短名称，不代表 VDOM 配置异常。

注意事项

该功能需要在 config global 下的 config system global 中配置。
并非所有 FortiGate 型号都支持 set long-vdom-name，如果命令不存在或无法生效，需要确认设备型号和 FortiOS 版本是否支持。
在 FortiGate VM 上，如果自动补全中看不到该命令，可以尝试手动输入完整命令。

本地用户密码策略

Thu, 28 May 2026 06:27:16 GMT

功能简介

本地用户密码策略用于约束 FortiGate 防火墙本地用户的密码复杂度、密码有效期和密码复用行为。相比早期版本只控制过期时间的本地用户密码策略，FortiOS 7.4.1 及后续版本可以进一步限制最小长度、大小写字母、数字、特殊字符、与旧密码不同的字符数量，以及是否允许重复使用旧密码。

该功能适用于使用 config user local 创建的本地防火墙用户，例如防火墙策略认证、Captive Portal、SSL VPN 或其他引用本地用户/用户组的认证场景。它不等同于系统管理员密码策略，管理员密码策略仍然通过 config system password-policy 配置。

配置命令

创建密码策略

config user password-policy
    edit <policy_name>
        set minimum-length <8-128>
        set min-lower-case-letter <0-128>
        set min-upper-case-letter <0-128>
        set min-non-alphanumeric <0-128>
        set min-number <0-128>
        set min-change-characters <0-128>
        set expire-status {enable | disable}
        set expire-days <0-999>
        set warn-days <0-30>
        set expired-password-renewal {enable | disable}
        set reuse-password {enable | disable}
        set reuse-password-limit <0-20>
    next
end

绑定到本地用户

密码策略创建后，需要在本地用户上通过 passwd-policy 关联，才会对该用户生效。

config user local
    edit <user_name>
        set type password
        set passwd-policy <policy_name>
    next
end

参数说明

minimum-length：密码最小长度，范围为 8~128，默认值为 8。
min-lower-case-letter：密码中至少包含的小写字母数量，范围为 0~128，默认值为 0。
min-upper-case-letter：密码中至少包含的大写字母数量，范围为 0~128，默认值为 0。
min-non-alphanumeric：密码中至少包含的非字母数字字符数量，范围为 0~128，默认值为 0。
min-number：密码中至少包含的数字数量，范围为 0~128，默认值为 0。
min-change-characters：新密码中至少包含多少个旧密码中不存在的字符，范围为 0~128，默认值为 0。如果同时配置了 reuse-password，该参数优先级更高。
expire-status：是否启用密码过期机制，默认值为 disable。
expire-days：密码有效期，单位为天，范围为 0~999，默认值为 180。只有启用 expire-status 后，才会按该参数强制用户修改密码。
warn-days：密码到期前多少天提示用户修改密码，范围为 0~30，默认值为 15。
expired-password-renewal：是否允许用户在密码已经过期后自行更新密码，默认值为 disable。
reuse-password：是否允许重复使用旧密码，默认值为 enable。
reuse-password-limit：允许重复使用旧密码的次数，范围为 0~20，默认值为 0。设置为 0 时表示不限制重复使用次数。

配置示例

以下示例创建一个名为 strict-local-user 的本地用户密码策略，并将其绑定到用户 pwd-test1。

config user password-policy
    edit "strict-local-user"
        set minimum-length 8
        set min-lower-case-letter 1
        set min-upper-case-letter 1
        set min-non-alphanumeric 3
        set min-number 3
        set min-change-characters 2
        set expire-status enable
        set expire-days 90
        set warn-days 7
        set expired-password-renewal enable
        set reuse-password disable
    next
end

config user local
    edit "bing"
        set type password
        set passwd-policy "strict-local-user"
    next
end

当新密码满足策略时，可以正常提交：

config user local
    edit "bing"
        set passwd CCbcset123!!!
    next
end

当新密码不满足策略时，CLI 会拒绝提交并提示缺少的复杂度条件。例如以下密码只有 2 个数字，不满足 min-number 3：

config user local
    edit "bing"
        set passwd CCbXsetp23!!!
New password must conform to the password policy enforced on this user:
...
Command fail. Return code -49

实际提示中会列出未满足的条件，例如最小长度、大小写字母数量、特殊字符数量、数字数量、与旧密码不同的字符数量，以及是否重复使用了旧密码。

升级注意事项

从 FortiOS 7.4.0 升级到 7.4.1 或后续版本后，原有 config user password-policy 中的 expire-days、warn-days、expired-password-renewal 配置会保留，但需要通过 CLI 启用 expire-status，密码过期机制才会真正生效。

可以在升级后检查已有策略：

config user password-policy
    edit <policy_name>
        get
    next
end

如果看到 expire-status: disable，即使 expire-days 已经配置，FortiGate 也不会按照该天数强制本地用户修改密码。需要显式启用：

config user password-policy
    edit <policy_name>
        set expire-status enable
    next
end

GUI 行为

管理员修改本地用户密码

在 GUI 中进入“用户与认证 → 设置用户”，编辑本地用户并点击“修改密码”时，如果新密码不符合该用户绑定的密码策略，界面会显示对应的复杂度告警，并指出需要修正的条件。例如密码中特殊字符数量不足时，会提示需要满足 min-non-alphanumeric 的要求。

防火墙认证用户修改过期密码

用户通过防火墙策略认证/Captive Portal 认证时，如果本地用户密码已经过期，FortiGate 会提示用户修改密码。新密码提交时同样会按该用户绑定的密码策略检查。

SSL VPN 用户修改过期密码

用户通过 SSL VPN 门户登录时，如果本地用户密码已经过期，也会进入密码更新流程。新密码满足策略后，用户才能继续登录 SSL VPN 门户。

Ping 工具

Thu, 28 May 2026 02:58:52 GMT

FortiGate CLI 的 execute ping 和 execute ping6 可配合 ping-options/ping6-options 调整报文参数，用于连通性、路由、SD-WAN 规则、MTU/分片、DNS 解析等场景的排查。

常用参数：

adaptive-ping：快速发出 Ping Request 报文（收到上一个 Echo Reply 后立即发送下一个 Echo Request，也就是快速 Ping）。
repeat-count：指定 Ping 测试次数，避免默认次数不足或持续输出过多。
source：指定源 IP，可用于模拟从不同网段发起的 FortiGate 本地流量。
interface：指定出接口，可用于验证指定链路或路由方向。
use-sdwan：指定是否让 Ping 流量参与 SD-WAN 规则和策略路由匹配。

IPv4 Ping 选项

查看 IPv4 Ping 可用选项：

execute ping-options ?

常见选项如下：

execute ping-options adaptive-ping <enable|disable>
execute ping-options data-size <bytes>
execute ping-options df-bit {yes | no}
execute ping-options pattern <2-byte_hex>
execute ping-options interface <auto | interface_name>
execute ping-options interval <seconds>
execute ping-options repeat-count <repeats>
execute ping-options source {auto | <source-intf_ip>}
execute ping-options timeout <seconds>
execute ping-options tos <service_type>
execute ping-options ttl <hops>
execute ping-options validate-reply {yes | no}
execute ping-options view-settings
execute ping-options use-sdwan <yes | no>
execute ping-options reset

参数说明

adaptive-ping ：开启后，收到上一个 Echo Reply 后立即发送下一个 Echo Request，也就是快速 Ping；默认为关闭状态，每秒 Ping 1 个包。
data-size ：指定 ICMP 数据报文大小，单位为字节。
df-bit {yes | no}：设置 DF bit。yes 表示禁止分片，no 表示允许分片，常用于 MTU/分片问题排查。
pattern <2-byte_hex>：使用指定 2 字节十六进制内容填充 ICMP 末尾的数据缓冲区，可配合 data-size 测试不同报文大小对链路的影响。
interface ：指定 Echo Request 的出接口。auto 表示 FortiGate 根据目的地址查路由自动选择出接口。
interval ：指定每次 Ping 之间的间隔。
repeat-count ：指定 Ping 的发送次数。
source {auto | }：指定 Ping 的源 IP。auto 表示 FortiGate 根据实际出接口自动选择源地址。指定不同网段的源 IP 可用于模拟不同源地址发起的连接。
timeout ：指定等待 Echo Reply 的超时时间，单位为秒。
tos ：设置 IP 头部 ToS 字段，表达期望的服务质量。
ttl ：指定 TTL，达到该跳数后报文会被丢弃或返回。
validate-reply {yes | no}：设置是否校验返回报文中的数据内容。
view-settings：查看当前 Ping 选项配置。
use-sdwan ：默认值为 no。设置为 yes 后，Ping 流量会检查 SD-WAN 规则和策略路由，通常配合 source 使用，以验证特定源地址是否命中特定 SD-WAN 规则。
reset：将 Ping 选项恢复为默认值。

tos 可用值如下：

介绍

Mon, 27 Apr 2026 08:16:52 GMT

VPN 技术用于让用户、设备和站点在不安全的互联网环境中安全互联。SSL VPN 和 IPSec VPN 都是使用广泛、配置和部署相对简单的 VPN 技术。

不同 VPN 技术有各自的优势和常见使用场景。SSL VPN 通常用于单个用户和终端的安全远程接入。它一般易于部署，并且连接基于 TLS 的 TCP/443，运营商较少限制这类连接。SSL VPN 同时提供 Tunnel 模式和 Web 模式，可以分别用于安装客户端和无客户端访问的部署方式。

IPSec VPN 通常用于站点到站点连接，尤其适合通过 ADVPN 搭建多站点 Hub-Spoke 架构。ADVPN 可以在站点之间自动建立隧道，结合动态路由，并通过 FortiManager 等编排工具批量下发配置，从而简化复杂的多站点部署。

在较小规模的远程用户接入场景中，IPSec VPN 同样可以通过拨号 VPN 支持远程用户。与 SSL VPN 类似，当 IPSec 使用 IKEv2 时，可以配置 TCP 作为传输方式，通过 TCP/443 进行 IKE 协商，并将 ESP 报文封装在 TCP 头部中。协议、加密算法和认证方式都可以按企业需求定制。

作为 VPN 的替代方案，尤其是替代基于 Web 的 SSL VPN 访问，也可以使用 ZTNA。ZTNA 在终端和 Zero Trust Application Gateway 之间通过 TLS 建立连接。零信任方式默认不信任设备，直到设备通过必要的安全状态检查，例如客户端证书校验和漏洞扫描。

本文讨论 SSL VPN 和 IPSec VPN 的差异，以及从 SSL VPN 迁移到 IPSec VPN 时需要考虑的事项，并给出常见 SSL VPN 使用场景迁移到 IPSec VPN 的步骤。

FortiEDR Cloud 注册指南

Mon, 27 Apr 2026 08:16:52 GMT

请参考 FortiEDR Cloud 注册指南。

IKEv1 还是 IKEv2？

Mon, 27 Apr 2026 08:16:52 GMT

FortiGate 同时支持 IKEv1 和 IKEv2，两者配置方式相近。IKEv2 底层协议更简洁，协商 SA 时需要的消息交互比 IKEv1 更少。

两者的主要差异：

IKEv1 使用 XAuth（Extended Authentication）进行用户认证。
IKEv2 使用 EAP（Extensible Authentication Protocol）进行用户认证。
IKEv2 支持使用 TCP 作为传输方式，使 IPSec 可以通过 TCP 协商，并将 ESP 报文封装在 TCP 中，例如使用 TCP/443。

IKEv1 使用广泛、行为固定，通常更容易排障。IKEv2 提供更多灵活性，但也会带来更多配置组合，排障时变量更多。

重要

从 FortiClient 7.4.4 开始，客户端不再支持 IKEv1。如果计划部署 FortiClient 7.4.4 及以上版本，应选择 IKEv2。

安全性对比

Mon, 27 Apr 2026 08:16:52 GMT

SSL VPN 通过 TLS 提供安全能力，主要包括：

加密客户端与 VPN 网关之间传输的数据，确保传输中的数据未被篡改。
提供客户端和服务器之间相互验证身份的认证机制。
使用 Diffie-Hellman 等安全密钥交换方式，在客户端与服务器之间建立共享密钥。
使用 X.509 证书认证服务器，必要时也可以认证客户端。

IPSec 通过 ISAKMP（Internet Security Association and Key Exchange Management Protocol）框架提供安全能力，主要包括：

使用 IKE（Internet Key Exchange）协议协商安全通信参数，生成和管理密钥，并在通信双方之间建立 SA（Security Association）。
使用 IKE 协商出的对称加密算法加密数据包，例如 AES、3DES、CHACHA。密钥由 IKE 生成。
使用 HMAC（Hash-based Message Authentication Code）验证消息完整性，确保传输中的数据未被篡改。
在 SA 中指定密钥生命周期和其他安全参数。

与 SSL VPN 由客户端和服务器协商 Cipher Suite 不同，IPSec 可以更灵活地选择加密算法、哈希算法以及密钥生命周期。

隧道协议与封装方式

Mon, 27 Apr 2026 08:16:52 GMT

SSL VPN 使用 TLS 协议建立隧道。

Fortinet IPSec VPN 支持以下隧道和封装方式：

原生 ESP。
UDP 封装。
使用 Fortinet 私有扩展的 TCP 封装。
使用 RFC 8229 的 TCP 封装。

ESP 不封装时直接使用 IP Protocol 50。ESP 封装在 UDP 中时，通常使用 UDP/500 和 UDP/4500 进行 NAT Traversal，这也是拨号 IPSec VPN 的常见方式。

在远程接入 VPN 中，FortiGate 作为拨号 IPSec Server，FortiClient 作为终端客户端时，建议使用 IKEv2，并将 IPSec 隧道配置为使用 TCP 传输，通常使用 TCP/443。这样可以让 ESP 报文封装在 TCP 中，穿越直接 IPSec 流量被运营商网络阻断或被 CGNAT 影响的环境。

该能力要求：

IPSec 使用 IKEv2。
FortiClient 版本为 7.4.1 或更高。
FortiClient 侧也配置为使用 TCP 传输。

站点到站点 IPSec 中，UDP 端口可以自定义。IKEv2 站点到站点 IPSec 中，TCP 端口也可以自定义，并支持将 ESP 报文封装到 TCP 头部中。

FortiClient 终端配置迁移

Mon, 27 Apr 2026 08:16:52 GMT

FortiClient EMS 上从 SSL VPN 迁移到 IPSec，需要与 FortiGate 配置同步进行，因为 IPSec 设置必须在 FortiGate（VPN Server）和 FortiClient（VPN Client）两侧匹配。

FortiClient EMS 通过 Remote Access Endpoint Profile 配置 VPN，可以配置 SSL VPN、IPSec VPN 或两者同时存在。示例使用 FortiClient EMS 和 FortiClient 7.4.4。

开始时，在 FortiClient EMS 的 Endpoint Profiles 下添加 Remote Access Profile。添加新的 Remote Access Profile 后，在同一个 Remote Access Profile 中的 VPN Tunnels 下添加隧道。

通过 FortiClient EMS Remote Access Endpoint Profile 迁移

在 FortiClient EMS 中，进入 Endpoint Profiles。
选择需要的 Profile 类型，点击 Add。
点击 Add Profile，创建 Windows、macOS 和 Linux Profile。
在 VPN Tunnel 下，点击 Add Tunnel → Manual，并完成 Basic Settings。

基础设置

| 配置项 | 说明 | |

认证方式

Mon, 27 Apr 2026 08:16:52 GMT

认证方式建立 SSL VPN 隧道时，用户必须认证到与 SSL VPN User Group to Portal Mapping 关联的用户组。FortiGate 支持的 SSL VPN 认证方式包括： FortiToken 双因素认证可以与 Local、LDAP、RADIUS 或 SAML 组合使用。客户端证书双因素认证也支持。 IPSec 隧道中...

客户端地址分配

Mon, 27 Apr 2026 08:16:52 GMT

SSL VPN 从预定义或自定义 IP 地址范围中为客户端分配地址。

拨号 IPSec VPN 支持多种地址分配方式。建议使用 Mode Config，让 FortiGate 作为 IP 地址分配服务器。Mode Config 提供多种分配方式，例如手工地址范围，也可以与 DHCP Server 集成。

迁移到 IPSec VPN 后，客户端地址分配方式更灵活。建议使用 Mode Config，并根据实际需求选择对应的地址分配方式。

FortiClient 或终端配置

Mon, 27 Apr 2026 08:16:52 GMT

SSL VPN Tunnel 模式需要终端安装 FortiClient。IPSec 隧道同样需要 FortiClient。

FortiClient 可以单独安装在终端上，也可以通过 FortiClient EMS 管理。建议使用 FortiClient EMS，因为它可以集中管理客户端配置，并支持更大规模部署。

基本 FortiClient SSL VPN 配置包括：

| 配置项 | 说明 | |

全隧道与分离隧道

Mon, 27 Apr 2026 08:16:52 GMT

Full tunneling 会强制所有远程用户流量经过 VPN。

Split tunneling 允许管理员指定哪些目的流量经过 VPN。

SSL VPN 和 IPSec VPN 都支持 Split tunneling。SSL VPN 默认根据防火墙策略中的目的地址启用 Split tunneling。IPSec 自定义配置默认关闭 Split tunneling，但通过 VPN Wizard 创建时默认启用。

启用 Split tunneling 后，必须配置需要包含或排除在隧道路由中的网络。

先迁移 VPN 还是先升级？

Mon, 27 Apr 2026 08:16:52 GMT

先迁移 VPN 还是先升级 FortiOS，应由管理员根据公司策略、最佳实践和业务影响决定。需要评估两种方式对远程用户造成的潜在停机影响。

另一个考虑因素是当前固件是否影响安全性。如果存在关键安全补丁需求，管理员可能会决定先升级，再迁移 VPN。

同时，迁移需要时间完成设计评估、计划制定、配置实施、受控测试和用户部署。应预留足够时间进行规划，并在确定方案后再安排升级和维护窗口。

多用户组

Mon, 27 Apr 2026 08:16:52 GMT

SSL VPN 只使用一个 SSL VPN Settings 页面和一个 SSL VPN 接口。多个用户组可以映射到不同 Portal，并通过防火墙策略控制精细化访问权限。

IPSec VPN 中，一个拨号 VPN 隧道可以通过在 VPN 设置中定义用户组，或从防火墙策略继承用户组的方式支持一个或多个用户组。与 SSL VPN 不同，管理员也可以创建多个独立拨号 IPSec 隧道，用于承载当前不同 SSL VPN Tunnel Mode Web Portal 为各用户组提供的差异化功能。

如果在同一个 WAN 接口上配置多个拨号 IPSec 隧道，且隧道参数相近，则每个隧道都需要唯一标识，让拨号客户端发起连接时匹配到正确隧道：

IKEv1 建议使用 Aggressive Mode，并通过 Phase 1 中的 Peer ID 区分。
IKEv2 建议使用 Phase 1 中的 Network ID 区分。

重要

Network ID 不能在未纳管的独立 FortiClient 中配置。通过 FortiClient EMS 管理时，FortiClient EMS 7.2.6 及以上或 7.4.1 及以上支持配置 Network ID。

从 SSL VPN 迁移到 IPSec VPN 时，应根据用户组数量和原 Portal 差异选择用户组定义方式。

策略配置

Mon, 27 Apr 2026 08:16:52 GMT

SSL VPN 使用单一 ssl.root 隧道接口作为防火墙策略源接口，控制终端客户端到内部资源的访问。用户组必须定义在策略中，用于控制允许访问内部资源的用户组。

IPSec VPN 会为每个 IPSec 隧道创建一个同名虚拟 VPN 接口。迁移后，应在防火墙策略中选择对应虚拟隧道接口作为源接口，控制终端客户端访问内部资源。

用户组可以定义在策略中，并由 VPN 隧道配置继承；也可以直接定义在各 IPSec 隧道配置中。

迁移时需要检查并调整防火墙策略，将原 ssl.root 相关策略迁移为 IPSec 隧道接口相关策略，并确认用户组配置位置与隧道认证方式一致。

Split DNS 与 DNS 后缀

Mon, 27 Apr 2026 08:16:52 GMT

SSL VPN Tunnel 模式支持 Split DNS 和 DNS suffix 配置。

拨号 IPSec 隧道是否支持这些能力取决于 IKE 版本：

IKEv1：支持 DNS 后缀配置，但需要在 Phase 1 中启用 unity-support。
IKEv2：支持 Split DNS。

规划迁移时，应检查现有 SSL VPN 设置，确认是否依赖 Split DNS 或 DNS suffix，再选择满足需求的 IKE 版本。

自定义 IPSec 隧道设置

Mon, 27 Apr 2026 08:16:52 GMT

VPN Wizard 创建隧道后，可能需要根据实际需求继续调整配置。常见自定义包括：

使用 Peer ID。
修改 Phase 1 和 Phase 2 Proposal。

使用 Peer ID

如果同一物理 WAN 接口上配置多个拨号 IPSec 隧道，FortiGate 需要通过 Peer ID 或 Network ID 区分传入的 IPSec 连接请求，并将连接关联到正确的 IPSec 隧道。

IKEv1 Aggressive Mode 可以使用 Peer ID 区分多个拨号 IPSec 隧道。因此，IKEv1 建议使用 Aggressive Mode，以便在 Phase 1 中使用 Peer ID 字段。

IKEv1 Aggressive Mode 协商过程中，FortiClient 会发送本地配置的 Local ID，FortiGate 将其与定义好的 Peer ID 匹配，从而识别对应隧道。因此，FortiClient 上的 Local ID 必须与 FortiGate 上对应隧道的 Peer ID 一致。

IKEv2 中，Peer ID 不包含在初始 IKE 消息中。因此 FortiGate 作为 IPSec 拨号 Server 时，无法准确地在多个拨号 Phase 1 配置中匹配正确隧道。IKEv2 建议改用 Phase 1 中的 Network ID。

Network ID 不能在未纳管的独立 FortiClient 中配置。通过 FortiClient EMS 管理时，FortiClient EMS 7.2.6 及以上或 7.4.1 及以上支持配置 Network ID。

IKEv2 中，FortiGate 使用 Network ID 作为唯一标识，区分同一 WAN 接口上的多个拨号隧道。协商过程中，FortiClient 发送 Network ID，FortiGate 将其与已定义的 Network ID 匹配，以识别正确隧道。FortiClient 上配置的 Network ID 必须与 FortiGate 上对应隧道的 Network ID 一致。

重要

不同 IPSec 隧道必须配置唯一 Peer ID 或 Network ID。

IKEv1 Peer ID 配置思路：

进入“VPN → IPsec Tunnels”，编辑对应 IPSec 隧道。
确认 IKE 为 Version 1，Mode 为 Aggressive。
在 Authentication 下将 Accept Peer ID 改为 Specific peer ID。
配置唯一 Peer ID。
保存。

IKEv2 Network ID 通过 CLI 配置：

config vpn ipsec phase1-interface
    edit <vpn-tunnel-name>
        set network-overlay enable
        set network-id <ID>
    next
end

修改 Phase 1 和 Phase 2 Proposal

如需修改 IPSec Phase 1 和 Phase 2 的 SA 参数：

进入“VPN → VPN Tunnels”，编辑 IPSec 隧道。
在 Phase 1 proposal 中选择需要的自定义配置。
在 Phase 2 Selectors 中选择 Phase 2 隧道并点击 Edit。
选择所需自定义配置，并点击 OK 保存 Phase 2 Selectors。
点击 OK 保存 IPSec 隧道配置。

第二部分：使用 VPN Wizard 配置 IPSec 隧道

Mon, 27 Apr 2026 08:16:52 GMT

完成现有 SSL VPN 用户认证方式识别并确认 IPSec 支持要求后，可以开始迁移到 IPSec VPN。

IPSec 隧道可以通过 GUI VPN Wizard、GUI 自定义 IPSec 配置或 CLI 配置。这里使用 VPN Wizard 创建 IPSec 隧道。通过 VPN Wizard 指定的隧道参数后续仍可自定义，例如修改 IKE 版本、IKE 模式、安全关联（SA）和其他细粒度设置。

配置 VPN Wizard

在 FortiGate 进入“VPN → VPN Wizard”。
配置以下选项，并点击 Begin：

| 配置项 | 说明 | |

网络拓扑

Mon, 27 Apr 2026 08:16:52 GMT

本文场景假设 SSL VPN 已经预先配置在 FortiGate WAN 接口上，并使用 TCP/443。远程用户连接到 FortiGate WAN 接口后，访问 FortiGate LAN 接口后的内部资源。

该 SSL VPN 配置将迁移到 IPSec，并保持相同的基础拓扑。

基于 LDAP 的用户认证

Mon, 27 Apr 2026 08:16:52 GMT

IPSec IKEv1 使用 XAUTH 进行用户认证，IPSec IKEv2 使用 EAP 进行用户认证。只有 EAP - TTLS 可以与 LDAP 互通。因此，如果 LDAP 用户认证使用 IKEv2，必须使用 EAP - TTLS。

重要

EAP - TTLS 支持要求 FortiClient EMS 和 FortiClient 版本为 7.4.3 或更高。

LDAP 认证中，LDAP Server 是集中认证服务器，用户名和密码直接在 LDAP Server 上管理。要在 IPSec 中使用该认证方式，FortiGate 必须配置 LDAP Server，并创建使用 LDAP Server 的用户组。

如需基于 LDAP 组成员关系区分用户组，可以配置多个用户组并使用 Group Name 选项进行匹配。

示例中，LDAP Server 名为 LDAP Connector，用户组名为 LDAP user group。Group Name 只匹配 LDAP Server 上属于 Domain Users 的用户，只有这些用户允许连接 IPSec 隧道。

查看 CLI 配置：

config user group
    edit "LDAP user group"
        set member "LDAP Connector"
        config match
            edit 1
                set server-name "LDAP Connector"
                set group-name "CN=Domain Users,CN=Users,DC=financial,DC=local"
            next
        end
    next
end

应用用户组

如果只有一个用户组，可以将 LDAP user group 直接用于 IPSec 隧道配置中。如果有多个用户组，应在 IPSec 隧道中选择 Inherit from policy，并在防火墙策略中使用这些用户组。

使用 LDAP + IKEv2 时，需要将 IKE version 改为 Version 2。

本地用户认证

Mon, 27 Apr 2026 08:16:52 GMT

本地用户认证中，用户名和密码直接在 FortiGate 本地为每个用户配置。可以通过本地用户组包含多个本地用户。

示例中，本地用户 johnlocus 加入名为 Local user group 的本地用户组。

查看 CLI 配置：

config user group
    edit "Local user group"
        set member "johnlocus"
    next
end

应用用户组

如果只有一个用户组，可以将 Local user group 直接用于 IPSec 隧道配置中。如果有多个用户组，应在 IPSec 隧道中选择 Inherit from policy，并在防火墙策略中使用这些用户组。

基于 RADIUS 的用户认证

Mon, 27 Apr 2026 08:16:52 GMT

RADIUS 认证中，RADIUS Server 是集中认证服务器，用户名和密码直接在 RADIUS Server 上管理。要在 IPSec 中使用该认证方式，FortiGate 必须配置 RADIUS Server，并创建引用该 RADIUS Server 的用户组。

如需基于 RADIUS Server 上的用户组成员关系区分用户组，可以使用 Group Name。FortiGate 期望 RADIUS Server 在 RADIUS 响应报文中正确返回 Fortinet-Group-Name VSA。

示例中，FortiGate 配置了名为 Radius Connector 的 RADIUS Server，用户组 Radius user group 引用该 RADIUS Server。Group Name 配置为 Domain Users，表示只有 RADIUS Server 在响应中返回该组名时，用户才允许连接 IPSec 隧道。

查看 CLI 配置：

config user group
    edit "Radius user group"
        set member "Radius Connector"
        config match
            edit 1
                set server-name "Radius Connector"
                set group-name "Domain Users"
            next
        end
    next
end

应用用户组

如果只有一个用户组，可以将 Radius user group 直接用于 IPSec 隧道配置中。如果有多个用户组，应在 IPSec 隧道中选择 Inherit from policy，并在防火墙策略中使用这些用户组。

基于 SAML 的用户认证

Mon, 27 Apr 2026 08:16:52 GMT

IPSec 支持基于 SAML 的用户认证，但要求 FortiClient 版本为 7.2.4 或更高。SAML 认证只支持 IPSec IKEv2，不支持 IKEv1。

使用 SAML 时，建议先升级 FortiClient 到 7.2.4 或更高版本。

VPN Wizard 默认可能创建 IKEv1 配置，后续需要将配置调整为 IKEv2，并启用 EAP 用户认证。

SAML 与 IPSec 配合时，还需要额外配置：

auth-ike-saml-port。
SAML Server 证书。
IPSec VPN 网关接口和 SAML Server 之间的接口绑定。

配置 IKE SAML 认证端口：

config system global
    set auth-ike-saml-port 9443
end

查看 SAML Server 使用的证书：

config user setting
    set auth-cert "SAML_Server_Certificate"
end

示例中，SAML 用户组 SAML Usergroup 使用名为 SAML-FAC 的 SAML SSO Server，并匹配组名 Corporate：

config user group
    edit "SAML Usergroup"
        set member "SAML-FAC"
        config match
            edit 1
                set server-name "SAML-FAC"
                set group-name "Corporate"
            next
        end
    next
end

将 SAML Server 与 IPSec 网关所在接口绑定，示例接口为 WAN：

config system interface
    edit "WAN"
        set ike-saml-server "SAML-FAC"
    next
end

应用用户组

如果只有一个用户组，可以将 SAML Usergroup 直接用于 IPSec 隧道配置中。如果有多个用户组，应在 IPSec 隧道中选择 Inherit from policy，并在防火墙策略中使用这些用户组。

G 系列修改安全级别

Tue, 21 Apr 2026 09:38:00 GMT

功能简介

本文说明如何在 FortiGate G 系列机型上调整 BIOS 安全级别（Security Level）。

在多数 FortiGate 机型上，可以通过开机 BIOS 菜单中的 [U] Set security level 修改安全级别；但在部分 G 系列机型上，该选项不再提供，需改用设备硬件上的 Signed Firmware 物理开关进行切换。

适用范围

FortiGate/FortiWiFi 50G/51G 系列。
FortiGate/FortiWiFi 70G/71G 系列。
FortiGate 90G/91G Gen2 及以上（Part Number Pxxxxx-11-01 及以上）。
FortiGate 120G/121G Gen2 及以上（Part Number Pxxxxx-2x-01 及以上）。
FortiGate/FortiWiFi 200G/201G 系列。
FortiGate 700G/701G 系列。

提示

对于 30G/31G、90G Gen1、120G Gen1 等仍支持 BIOS 菜单修改的机型，可参考系统管理 → 固件与配置管理 → 固件版本管理 → 软件签名增强中的 BIOS 修改方法。

安全级别说明

High（默认）：阻止未签名固件。
Low：允许未签名固件安装，但会告警。

相关信息

从 FortiOS 7.0.16、7.2.11、7.4.6、7.6.1 开始，安全级别名称统一为 Low/High（早期文档中的 0/1/2 对应为 Low/Low/High）。

开关位置

50G/70G/90G Gen2：开关位于设备后面板（状态 LED 的对侧）。
120G Gen2/200G/700G：开关位于设备前面板。

原文图片示意

50G 系列（后面板盖板与开关）

70G 系列（前面板 LED）

200G/700G 系列（前面板开关与 LED）

90G Gen2/90G Gen1/120G Gen2 代际差异示意

操作步骤

断电并确认设备处于安全可操作状态，拆下 Signed Firmware 金属挡板固定螺丝。
将物理开关拨到目标档位：
- H/High：高安全级别（默认）。
- L/Low：低安全级别。
重新上电并重启设备。

# get system status | grep -i "security level"
Current Security Level: Low

注意事项

修改物理开关后，BIOS 安全级别会在下次重启后生效。
get system status 可用于对比当前 BIOS 安全级别与开关设置是否一致。
当安全级别从 High 调整为 Low 时，会产生系统事件日志：22906 - LOG_ID_SECURITY_LEVEL_CHANGE。
90G/120G 存在多硬件代际差异，需先通过 Part Number 确认是否具备 Signed Firmware 硬件开关。

Debug 信息分析引擎

Thu, 16 Apr 2026 09:05:47 GMT

FTNT Plotter 是一个面向排障场景的在线 Debug 信息分析工具，可将 Debug 信息文本快速转换为可视化结果，帮助定位异常时间段与关键事件。

适用场景：

在大量 Debug 信息中快速识别异常峰值、重复报错和时间分布。
对比不同阶段日志变化，辅助判断问题是否持续或已恢复。
在远程协作排障时，快速共享统一的分析视图。

使用提示：

建议先对 Debug 信息做脱敏处理，再上传或粘贴到在线工具中。
Debug 信息量较大时（最大支持单次上传 100MB 文本），可先按时间窗口拆分分析，以提升定位效率。
如内嵌页面无法正常显示，请在新窗口打开 FTNT Plotter。

设备强制注册

Thu, 16 Apr 2026 09:05:47 GMT

功能简介

在 FortiOS 7.2.11/7.4.8/7.6.5 及后续版本的适用硬件机型上，FortiGate 启用“强制注册”机制。该机制要求设备先完成 FortiCare 注册，再开放完整配置与后续升级能力。

FortiOS 7.2.11/7.4.8：引入强制注册机制（仅如下机型）。
- FG-200G
- FG-201G
- FG-900G
- FG-901G
FortiOS 7.4.9：扩大机型范围。
- FortiGate：FG-50G/51G、FG-70G/71G、FG-90G/91G、FG-120G/121G、FG-200G/201G、FG-700G/701G、FG-900G/901G 及对应 SFP/POE/DSL/5G 变体。
- FortiWiFi：FWF-50G/51G、FWF-70G/71G 及对应 DSL/5G/SFP/POE 变体。
- FortiGate Rugged：FGR-50G-5G、FGR-70G、FGR-70G-5G-DUAL。
FortiOS 7.4.10：新增网络连通向导、离线许可证上传入口，并支持最多 7 天延后注册。
FortiOS 7.6.5：在 7.6 分支启用该机制，并增加 CLI 只读限制与相关向导能力。

未注册行为

设备未完成注册时，会出现以下限制：

首次登录 GUI 会进入 Register with FortiCare 页面，无法继续后续 GUI 配置。
CLI 处于受限状态，仅允许网络相关部分配置。
- config firewall
- config ftp-proxy
- config router
- config system
- config web-proxy
固件升级能力也受注册状态限制。
设备需要可以连接到 FortiGuard 才能完成注册（或导入离线 License）并解除以上限制。

Workaround

延期注册（7.4.10 开始）

点击注册窗口内的“Postpone registration”按钮可以延期 7 天，期间可以正常通过 GUI 配置 FortiGate：
延期到期后会重新进入强制注册状态，无法继续延期：

离线许可证方式

提示

适用于无法直连互联网、但需要满足强制注册机制的场景。
离线许可证文件中的序列号必须与设备序列号一致，系统才会判定注册有效。
离线 License 的下载方法可参考系统管理 → FortiGuard 管理 → 离线导入设备 License 章节。

设备登录后，在注册向导中选择离线 License 导入入口：
进入上传页面后，导入离线 License 文件：
导入成功且序列号匹配后，页面会提示离线 License 生效：

也可使用 CLI 方式导入，CLI 导入前，需先保证 FortiGate 到 FTP/TFTP 服务器网络可达：

execute restore manual-license {ftp|tftp} <licensefilename> <server> [args]

execute restore manual-license tftp FG101FTKxxxxxxxxOff-NetworkLicenseFile.lic 192.168.1.10

BIOS 禁用强制注册

使用 Console 线连接设备串口并重启设备。

启动时看到以下提示，按任意键进入 BIOS 菜单：

Boot up, boot device capacity: 28626MB.
Press any key to display configuration menu...

在 BIOS 主菜单输入 I，进入系统信息菜单：

[C]:  Configure TFTP parameters.
[R]:  Review TFTP parameters.
[T]:  Initiate TFTP firmware transfer.
[F]:  Format boot device.
[B]:  Boot with backup firmware and set as default.
[I]:  System configuration and information.
[Q]:  Quit menu and continue to boot.
[H]:  Display this list of options.

在下一层菜单输入 C，进入 FortiCare 注册级别设置：

Enter C,R,T,F,B,I,Q,or H:
[S]:  Set serial port baudrate (will take effect on next boot).
[R]:  Set restricted mode.
[T]:  Set menu timeout.
[U]:  Set security level.
[C]:  Set FortiCare registration.
[I]:  Display system information.
[E]:  Reset system configuration.
[M]:  Display SPD information.
[Q]:  Quit menu and continue to boot.
[H]:  Display this list of options.

输入 1，将注册级别从 2（Enforce）改为 1（Not Enforce）：

Enter S,R,T,U,C,I,E,M,Q,or H:
[1]:  Not Enforce
[2]:  Enforce
Enter FortiCare registration setting [2]: 1

连续输入 Q 退出 BIOS 菜单并继续启动系统。启动后 GUI 可临时跳过强制注册继续配置。

重命名 IPSec 隧道

Tue, 07 Apr 2026 10:09:42 GMT

功能简介

本文介绍如何在 FortiGate 上重命名已创建的 IPSec 隧道（phase1-interface）。

FortiOS 7.4.2 之前：已创建的 IPSec 隧道不支持直接重命名，需要删除关联配置及自身配置后，使用新名称重建。
FortiOS 7.4.2 及之后：支持通过 GUI 和 CLI 直接重命名 IPSec 隧道，与隧道关联的配置会自动修改。

配置步骤

GUI

进入“VPN → VPN 隧道”，编辑目标隧道后修改名称字段并保存即可。

CLI

config vpn ipsec phase1-interface
    rename <old-tunnel-name> to <new-tunnel-name>
end

config vpn ipsec phase1-interface
    rename SiteA to SiteB
end

注意事项

修改 IPSec VPN 名称后，对应的 IPSec Tunnel 接口名称也会对应修改。
与隧道关联的配置，如防火墙策略中的入/出接口、静态路由或策略路由中的出接口、SD-WAN、监控等对应配置中的接口名称等均会自动变化。

附加 AS-Path

Wed, 01 Apr 2026 10:04:14 GMT

功能简介

本文主要介绍在 BGP 多链路（如连接多个 ISP）场景中，如何通过 AS-PATH prepend 影响入向（回程）流量路径。

典型需求是将互联网出口设计为主备链路：

主线路（Primary ISP）作为优先路径。
备线路（Secondary ISP）仅在主线路故障时承载流量。

在此类场景中，仅在 ISP 侧设置 Local Preference 可能无法完全达到预期。因为 Local Preference 是非传递属性，只在各自 AS 内部生效，不会跨 AS 传播到其他 ISP。

因此可使用 AS-PATH（传递属性）进行路径影响：在向备线路通告前缀时，追加多个本地 AS 号，使该路径更“长”，从而降低其被优选概率。

网络拓扑

使用要点

互联网侧路由器的回程选路可通过 AS-PATH 属性进行影响。
BGP 默认优选 AS-PATH 更短的路径。
在向 Secondary ISP 通告 93.184.216.34/32 时进行 prepend，可以让回程更倾向 Primary ISP，而不是依赖 ISP 侧 Local Preference。
Secondary ISP（AS65201）到达 93.184.216.34/32 时，会因 Primary ISP 宣告路径更短而优选经 AS65101。
若需同时控制 FortiGate 出向优先主线路，可在本地对 Primary ISP 邻居设置更高 Local Preference 或 Weight。

配置步骤

示例参数如下：

FortiGate 本地 AS：65301
主线路邻居（WAN1）：202.1.1.2（AS 65101）
备线路邻居（WAN2）：202.2.2.2（AS 65201）
对外发布前缀（DMZ）：93.184.216.34/32（通过 Loopback 模拟）

接口配置（WAN1/WAN2/DMZ）。

config system interface
    edit "port2"
        set vdom "root"
        set ip 202.1.1.1 255.255.255.240
        set allowaccess ping
        set type physical
        set alias "WAN1"
    next
    edit "port3"
        set vdom "root"
        set ip 202.2.2.1 255.255.255.240
        set allowaccess ping
        set type physical
        set alias "WAN2"
    next
    edit "DMZ"
        set vdom "root"
        set ip 93.184.216.34 255.255.255.255
        set allowaccess ping
        set type loopback
    next
end

备线路出站 route-map（AS-PATH prepend）。

config router route-map
    edit "Secondary_ISP"
        config rule
            edit 1
                set set-aspath "65301 65301 65301"
            next
        end
    next
end

主线路入站 route-map（提高本地优先级）。

config router route-map
    edit "Primary_ISP"
        config rule
            edit 1
                set set-local-preference 200
            next
        end
    next
end

在 BGP 邻居上应用 route-map。

config router bgp
    set as 65301
    set router-id 3.3.3.3
    config neighbor
        edit "202.1.1.2"
            set remote-as 65101
            set route-map-in "Primary_ISP"
        next
        edit "202.2.2.2"
            set remote-as 65201
            set route-map-out "Secondary_ISP"
        next
    end
    config network
        edit 1
            set prefix 93.184.216.34 255.255.255.255
        next
    end
end

验证步骤

变更前（未应用 prepend）

在 Secondary ISP 路由器查看，此时 93.184.216.34/32 的最佳路径为 202.2.2.1（经 Secondary ISP）。

ISP2-R1 # get router info bgp network
BGP table version is 8, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network           Next Hop      Metric LocPrf Weight RouteTag Path
*> 93.184.216.34/32  202.2.2.1          0      0      0        0 65301 i
* i                  101.1.1.1          0    100      0        0 65101 65301 i
*> 202.2.2.0/28      0.0.0.0                 100  32768        0 i

变更后（应用 prepend）

应用 prepend 后，最佳路径切换为 101.1.1.1（经 Primary ISP），并且备线路路径 AS-PATH 变长（出现多个 65301）。

ISP2-R1 # get router info bgp network
BGP table version is 10, local router ID is 2.2.2.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network           Next Hop      Metric LocPrf Weight RouteTag Path
*>i93.184.216.34/32  101.1.1.1          0    100      0        0 65101 65301 i
*  202.2.2.1                              0      0      0        0 65301 65301 65301 65301 i
*> 202.2.2.0/28      0.0.0.0                 100  32768        0 i

总结

AS-PATH prepend 主要用于影响入向（回程）流量。
本地出向优选应配合 Local Preference / Weight 控制。
变更后建议执行软重配或路由刷新并复核路由表。
建议在维护窗口先小范围验证，避免生产回程路径抖动。

ARP 表

Fri, 27 Mar 2026 08:32:01 GMT

功能介绍

ARP 表用于确定目标节点对应的 MAC 地址，以及该节点可达的 VLAN 和接口端口。

在 FortiGate 上，ARP 相关信息获取的方式主要通过如下命令：

get system arp：查看当前 ARP 表（偏运维视图）。
diagnose ip arp list：查看系统 ARP 缓存（包含状态、引用等细节）。
diagnose sys device list ：查看 ARP/ARP6 的表规模与使用摘要。

查看 ARP 信息

查看 ARP 表

# get system arp

Address           Age(min)   Hardware Addr      Interface
10.10.1.3         1          50:b7:c3:75:ea:dd internal7
192.168.0.190     0          28:f1:0e:03:2a:97 wan1
192.168.0.97      0          f4:f2:6d:37:b0:99 wan1

查看 ARP 缓存明细

# diagnose ip arp list

index=7 ifname=dmz 169.254.0.1 94:f3:92:53:ae:7c state=00000080 use=198045467 confirm=148592500 update=148592500 ref=0
index=28 ifname=to_Home_WAN11 0.0.0.0  state=00000040 use=2078 confirm=2078 update=107680361 ref=1
index=12 ifname=internal5 10.10.12.2 00:01:02:03:04:05 state=00000002 use=0 confirm=0 update=1366 ref=84
index=12 ifname=internal5 10.10.12.254 08:5b:0e:b2:5e:69 state=00000004 use=4787 confirm=4787 update=150 ref=5
index=6 ifname=wan2 172.22.6.1 00:09:0f:09:01:18 state=00000002 use=34 confirm=1190 update=2268 ref=5
index=5 ifname=wan1 172.22.6.255 state=00000000 use=79961 confirm=85961 update=79961 ref=2
index=5 ifname=wan1 172.22.6.1 00:09:0f:09:01:18 state=00000002 use=24 confirm=234 update=2268 ref=108

state：ARP 条目状态。
ref：表示当前被其他对象引用次数。
常见 ARP 状态位：

提示

ARP 状态迁移受 ARP 请求/应答、邻居查找、路由与会话行为等多因素影响。单次抓到的状态需要结合 ref 与时间维度一起判断。

| 状态值 | 含义 | 说明 | |

API 认证失败

Thu, 26 Mar 2026 09:48:19 GMT

问题现象

从 FortiOS v7.4.5 和 v7.6.1 开始，当 API 请求通过 URL 参数传递 access_token 时，会返回 401 Unauthorized 错误。

curl -vk 'https://192.168.100.99/api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63'
*   Trying 192.168.100.99:443...
* Connected to 192.168.100.99 (192.168.100.99) port 443
* ALPN: curl offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
* (304) (IN), TLS handshake, Server hello (2):
* (304) (IN), TLS handshake, Unknown (8):
* (304) (IN), TLS handshake, Certificate (11):
* (304) (IN), TLS handshake, CERT verify (15):
* (304) (IN), TLS handshake, Finished (20):
* (304) (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / AEAD-AES256-GCM-SHA384 / [blank] / UNDEF
* ALPN: server accepted h2
* Server certificate:
*  subject: C=US; ST=California; L=Sunnyvale; O=Fortinet Ltd.; OU=FortiGate; CN=FortiGate
*  start date: Mar 16 07:59:45 2026 GMT
*  expire date: Jun 18 07:59:45 2028 GMT
*  issuer: C=US; ST=California; L=Sunnyvale; O=Fortinet; OU=Certificate Authority; CN=FG101FTK20007637; emailAddress=support@fortinet.com
*  SSL certificate verify ok.
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://192.168.100.99/api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63
* [HTTP/2] [1] [:method: GET]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: 192.168.100.99]
* [HTTP/2] [1] [:path: /api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63]
* [HTTP/2] [1] [user-agent: curl/8.7.1]
* [HTTP/2] [1] [accept: */*]
> GET /api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63 HTTP/2
> Host: 192.168.100.99
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
< HTTP/2 401
< x-frame-options: SAMEORIGIN
< content-security-policy: frame-ancestors 'self'
< x-xss-protection: 1; mode=block
< strict-transport-security: max-age=63072000
< www-authenticate: error="invalid_token"
< date: Thu, 26 Mar 2026 02:48:46 GMT
<
* Connection #0 to host 192.168.100.99 left intact

相关信息

从 FortiSOAR 等第三方平台连接 FortiGate 时，也可能出现类似错误：Unauthorized. Wrong API key provided OR check user/VDOM/API key permission。

问题原因

从 FortiOS v7.4.5 和 v7.6.1 开始，系统默认禁止通过 URL 参数传递 access_token。此变更是出于安全最佳实践的考虑：token 直接拼在 URL 中，会被记录在浏览器历史、代理日志、服务器访问日志中，存在泄露风险。

新版本要求 access_token 必须通过 HTTP Header 传递，即使用 Authorization: Bearer 的方式。

解决方法

使用 HTTP Header 传递 token（推荐）

将 API token 放在请求 Header 中，不会出现在 URL 里，更安全。正常返回 API 结果：

curl -vk 'https://192.168.100.99/api/v2/cmdb/system/vdom' \
    --header 'Authorization: Bearer 785yfsnmc3NzjnHj0jNkh87fdNcb63'
*   Trying 192.168.100.99:443...
* Connected to 192.168.100.99 (192.168.100.99) port 443
* ALPN: curl offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
* (304) (IN), TLS handshake, Server hello (2):
* (304) (IN), TLS handshake, Unknown (8):
* (304) (IN), TLS handshake, Certificate (11):
* (304) (IN), TLS handshake, CERT verify (15):
* (304) (IN), TLS handshake, Finished (20):
* (304) (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / AEAD-AES256-GCM-SHA384 / [blank] / UNDEF
* ALPN: server accepted h2
* Server certificate:
*  subject: C=US; ST=California; L=Sunnyvale; O=Fortinet Ltd.; OU=FortiGate; CN=FortiGate
*  start date: Mar 16 07:59:45 2026 GMT
*  expire date: Jun 18 07:59:45 2028 GMT
*  issuer: C=US; ST=California; L=Sunnyvale; O=Fortinet; OU=Certificate Authority; CN=FG101FTK20007637; emailAddress=support@fortinet.com
*  SSL certificate verify ok.
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://192.168.100.99/api/v2/cmdb/system/vdom
* [HTTP/2] [1] [:method: GET]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: 192.168.100.99]
* [HTTP/2] [1] [:path: /api/v2/cmdb/system/vdom]
* [HTTP/2] [1] [user-agent: curl/8.7.1]
* [HTTP/2] [1] [accept: */*]
* [HTTP/2] [1] [authorization: Bearer 785yfsnmc3NzjnHj0jNkh87fdNcb63]
> GET /api/v2/cmdb/system/vdom HTTP/2
> Host: 192.168.100.99
> User-Agent: curl/8.7.1
> Accept: */*
> Authorization: Bearer 785yfsnmc3NzjnHj0jNkh87fdNcb63
>
* Request completely sent off
< HTTP/2 200
< content-security-policy: frame-ancestors 'self'; script-src 'self'; object-src 'none';
< strict-transport-security: max-age=63072000
< date: Thu, 26 Mar 2026 03:02:35 GMT
< etag: EE8EF382372E2A3C07F45B9C09FB034AD9564AD6B64F1EAF5510A7C7374DCF8A
< cache-control: no-cache, must-revalidate
< content-length: 377
< content-type: application/json
<
* Connection #0 to host 192.168.100.99 left intact
{"http_method":"GET","size":1,"limit_reached":false,"matched_count":1,"next_idx":0,"revision":"9b107552a7c5cc639bb9c77dc3cf43b2","results":[{"name":"root","q_origin_key":"root","short-name":"root","vcluster-id":0,"flag":0}],"vdom":"root","path":"system","name":"vdom","action":"","status":"success","http_status":200,"serial":"FG101FTK20007637","version":"v7.6.6","build":3652}%

允许 URL 传递 token（不推荐）

如果确实需要通过 URL 参数传递 access_token（例如第三方平台暂不支持 Header 方式），可以通过以下命令启用：

警告

启用此选项会将 API 密钥暴露在 URL 中，存在被日志记录、浏览器历史、代理服务器等截获的风险。建议优先使用 HTTP Header 方式传递 token。

config system global
    set rest-api-key-url-query enable
end

随后使用 URL 传递 token 的方式访问，可以正常返回 API 结果：

curl -vk 'https://192.168.100.99/api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63'
*   Trying 192.168.100.99:443...
* Connected to 192.168.100.99 (192.168.100.99) port 443
* ALPN: curl offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
* (304) (IN), TLS handshake, Server hello (2):
* (304) (IN), TLS handshake, Unknown (8):
* (304) (IN), TLS handshake, Certificate (11):
* (304) (IN), TLS handshake, CERT verify (15):
* (304) (IN), TLS handshake, Finished (20):
* (304) (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / AEAD-AES256-GCM-SHA384 / [blank] / UNDEF
* ALPN: server accepted h2
* Server certificate:
*  subject: C=US; ST=California; L=Sunnyvale; O=Fortinet Ltd.; OU=FortiGate; CN=FortiGate
*  start date: Mar 16 07:59:45 2026 GMT
*  expire date: Jun 18 07:59:45 2028 GMT
*  issuer: C=US; ST=California; L=Sunnyvale; O=Fortinet; OU=Certificate Authority; CN=FG101FTK20007637; emailAddress=support@fortinet.com
*  SSL certificate verify ok.
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://192.168.100.99/api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63
* [HTTP/2] [1] [:method: GET]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: 192.168.100.99]
* [HTTP/2] [1] [:path: /api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63]
* [HTTP/2] [1] [user-agent: curl/8.7.1]
* [HTTP/2] [1] [accept: */*]
> GET /api/v2/cmdb/system/vdom?access_token=785yfsnmc3NzjnHj0jNkh87fdNcb63 HTTP/2
> Host: 192.168.100.99
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
< HTTP/2 200
< content-security-policy: frame-ancestors 'self'; script-src 'self'; object-src 'none';
< strict-transport-security: max-age=63072000
< date: Thu, 26 Mar 2026 03:04:03 GMT
< etag: 27F6559DB07096435FA668AA55B19681FB124B76DA8D32FA77E125F613074EC1
< cache-control: no-cache, must-revalidate
< content-length: 377
< content-type: application/json
<
* Connection #0 to host 192.168.100.99 left intact
{"http_method":"GET","size":1,"limit_reached":false,"matched_count":1,"next_idx":0,"revision":"9b107552a7c5cc639bb9c77dc3cf43b2","results":[{"name":"root","q_origin_key":"root","short-name":"root","vcluster-id":0,"flag":0}],"vdom":"root","path":"system","name":"vdom","action":"","status":"success","http_status":200,"serial":"FG101FTK20007637","version":"v7.6.6","build":3652}%

多个拨号隧道使用相同 IP 池

Wed, 25 Mar 2026 08:43:12 GMT

问题描述

当多个拨号（dial-up）IPsec 隧道配置了相同的 IP 地址池时，即使每个隧道配置了不同的用户组，同一时间也只能有一个 VPN 用户保持连接。第一个连接的 VPN 用户会在第二个用户连接后立即被断开。

原因分析

这是 FortiOS 的设计行为：相同的 IP 池不能在 FortiGate 上的多个 IPsec 隧道中同时使用。

如果在不同的拨号 IPsec 隧道上配置了相同的 IP 池，如下所示：

config vpn ipsec phase1-interface
    edit <tunnel_A>
        set type dynamic
        set authusrgrp <group_A>
        set ipv4-start-ip 10.180.1.1
        set ipv4-end-ip 10.180.1.10
    next
    edit <tunnel_B>
        set type dynamic
        set authusrgrp <group_B>
        set ipv4-start-ip 10.180.1.1
        set ipv4-end-ip 10.180.1.10
    next
end

在 IKE 协商过程中，IKE 守护进程会根据 phase1 中配置的用户组将 IPsec 隧道映射到用户。用户认证成功后，IP 池中第一个可用的 IP 会被分配给该用户。当第二个用户连接 VPN 并认证成功后，IKE 守护进程会尝试将该隧道 IP 池中的第一个 IP 分配给第二个用户，此时会释放第一个已连接 VPN 用户的 IP 地址。

结果就是：第一个已连接的 VPN 用户被断开，第二个 VPN 用户成功连接。

问题配置举例

以下配置示例使用两个不同的用户组（本地用户和 LDAP 组），debug 输出展示了当两个隧道配置相同 IP 池时，第一个 VPN 用户在第二个用户连接后被断开的过程。

配置用户组

为每个拨号 IPsec 隧道配置不同的用户组：

config user local
    edit "tester"
        set type password
        set passwd *****
    next
end

config user group
    edit "ldap.users"
        set member "fortiserver.ldap" "zilan"
        config match
            edit 1
                set server-name "fortiserver.ldap"
                set group-name "CN=ldap.group,DC=fortiserver,DC=com"
            next
        end
    next
    edit "local.users"
        set member "tester"
    next
end

配置拨号 IPsec 隧道

为不同用户组配置两个拨号 IPsec 隧道（phase1 和 phase2）：

config vpn ipsec phase1-interface
    edit "fct.1"
        set type dynamic
        set interface "port4"
        set mode aggressive
        set mode-cfg enable
        set proposal aes128-sha256 aes256-sha256
        set xauthtype auto
        set authusrgrp "local.users"        # ← 本地用户组
        set ipv4-start-ip 10.180.1.1
        set ipv4-end-ip 10.180.1.10
        set psksecret ENC *****
    next
    edit "fct.2"
        set type dynamic
        set interface "port4"
        set mode aggressive
        set mode-cfg enable
        set proposal aes128-sha1 aes256-sha1
        set xauthtype auto
        set authusrgrp "ldap.users"         # ← LDAP 用户组
        set ipv4-start-ip 10.180.1.1
        set ipv4-end-ip 10.180.1.10
        set psksecret ENC *****
    next
end

config vpn ipsec phase2-interface
    edit "fct.1"
        set phase1name "fct.1"
        set proposal aes128-sha256
        set dhgrp 2
    next
    edit "fct.2"
        set phase1name "fct.2"
        set proposal aes128-sha256
        set dhgrp 5
    next
end

Debug 分析

第一个用户连接：本地用户 tester 连接 VPN，IKE 守护进程从 IP 池中分配第一个 IP 10.180.1.1：

2025-06-30 13:59:39.847399 ike V=root:0:fct.1:1720: add route 10.180.1.1/255.255.255.255 gw 10.180.1.1 oif fct.1(1364) metric 15 priority 1
2025-06-30 13:59:39.849412 ike V=root:0:fct.1_0:1065:fct:1720: tunnel 1 of VDOM limit 0/0
2025-06-30 13:59:39.850493 ike V=root:0:fct.1_0:1065:fct:1720: add IPsec SA: SPIs=14b059d8/08b06a3f

通过 diagnose vpn ike gateway list 确认用户 tester 已连接并被分配 IP 10.180.1.1：

# diagnose vpn ike gateway list

vd: root/0
name: fct.1_0
...
xauth-user: tester                                 # ← 本地用户
assigned IPv4 address: 10.180.1.1/255.255.255.255  # ← 分配的 IP
...

第二个用户连接：LDAP 用户 zilan 连接 VPN 后，IKE 守护进程将路由从 fct.1 移动到 fct.2，释放第一个用户的 IP 并重新分配给第二个用户：

2025-06-30 13:59:54.415801 ike V=root:0:fct.1:1720: moving route 10.180.1.1/255.255.255.255 oif fct.1(1364) metric 15 priority 1 to 0:fct.2:1727
                                                 # ↑ 将路由从 fct.1 移动到 fct.2

2025-06-30 13:59:54.417456 ike V=fct.1:0:fct.1:1720: del route 10.180.1.1/255.255.255.255 tunnel 10.180.1.1 oif fct.1(1364) metric 15 priority 1
                                                  # ↑ 删除 fct.1 的路由

2025-06-30 13:59:54.419296 ike V=root:0:fct.1_0: going to be deleted
                                                  # ↑ fct.1 隧道准备删除

2025-06-30 13:59:54.423117 ike V=root:0:fct.1_0: deleting IPsec SA with SPI 08b06a3f
                                                  # ↑ 删除 fct.1 的 IPsec SA

2025-06-30 13:59:54.464700 ike V=root:0:fct.1_0: mode-cfg release 10.180.1.1/255.255.255.255
                                                  # ↑ 释放第一个用户的 IP 地址

2025-06-30 13:59:54.466634 ike V=root:0:fct.2:1727: add route 10.180.1.1/255.255.255.255 gw 10.0.0.12 oif fct.2(1362) metric 15 priority 1
                                                  # ↑ 为第二个用户在 fct.2 上添加路由

通过 diagnose vpn ike gateway list 确认用户 zilan 已连接并使用了同一个 IP 10.180.1.1：

# diagnose vpn ike gateway list

vd: root/0
name: fct.2_0
...
xauth-user: zilan                                  # ← LDAP 用户
assigned IPv4 address: 10.180.1.1/255.255.255.255  # ← 使用了同一个 IP
...

解决方法

为每个拨号 IPsec 隧道配置不同的、不重叠的 IP 地址池：

config vpn ipsec phase1-interface
    edit "fct.1"
        set type dynamic
        set authusrgrp "local.users"
        set ipv4-start-ip 10.180.1.1
        set ipv4-end-ip 10.180.1.10       # ← IP 池 1：10.180.1.1 - 10.180.1.10
    next
    edit "fct.2"
        set type dynamic
        set authusrgrp "ldap.users"
        set ipv4-start-ip 10.180.2.1
        set ipv4-end-ip 10.180.2.10       # ← IP 池 2：10.180.2.1 - 10.180.2.10
    next
end

将被拒绝的组播会话加入会话表

Wed, 25 Mar 2026 06:32:33 GMT

功能简介

可以为被拒绝的组播流量创建会话并纳入会话表中，使后续数据包能够直接匹配并丢弃，从而降低 CPU 使用率并提高性能。

config system setting
    set ses-denied-multicast-traffic {disable | enable}
end

disable（默认）：不将被拒绝的组播会话添加到会话表中（默认，每次拒绝流量都会创建新的拒绝会话并立即删除）。
enable：将被拒绝的组播会话包含在会话表中（只创建一次拒绝流量的会话并保持在会话表中）。

配置示例

在此示例中，被拒绝的组播会话被包含在 VDOM 的会话表中。创建一条拒绝（deny）组播策略，然后发送命中该策略的数据包。检查组播会话列表可以看到被拒绝的组播会话已被创建。

启用 ses-denied-multicast-traffic。

config system setting
    set ses-denied-multicast-traffic enable
end

在组播策略表中创建拒绝策略。

config firewall multicast-policy
    edit 1
        set name "Deny_Multicast_Policy"
        set srcintf "port1"
        set dstintf "port3"
        set srcaddr "172.16.200.0"
        set dstaddr "230.0.0.1"
        set action deny
        set logtraffic all
        set auto-asic-offload disable
    next
end

发送数据包命中拒绝策略后，检查组播会话列表。输出中显示的第二个会话为被拒绝的组播会话：

FortiGate # diagnose sys mcast-session list

session info: id=259 vf=1 proto=17 172.16.200.55.34896->230.0.0.10.7878
used=2 path=1 duration=8 expire=174 indev=9 pkts=4 bytes=2160
state=00000000:
session-npu-info: ipid/vlifid=0/0 vlanid/vtag_in=0/0 in_npuid=0 tae_index=0 qid=0 fwd_map=0x00000000
path: log npu-deny policy=2, outdev=11, tos=0xff

session info: id=260 vf=1 proto=17 172.16.200.55.33488->230.0.0.1.7878
used=2 path=0 duration=6 expire=177 indev=9 pkts=5 bytes=2700
state=00000200: deny
session-npu-info: ipid/vlifid=0/0 vlanid/vtag_in=0/0 in_npuid=0 tae_index=0 qid=0 fwd_map=0x00000000
Total 2 sessions

可以看到第二个会话的 state 字段标记为 deny，表示该组播会话已被策略拒绝并记录在会话表中，后续被拒绝的流量直接匹配该会话被丢弃，不需要重新建立拒绝会话。

更新日志

Mon, 23 Mar 2026 07:51:09 GMT

基于状态过滤会话

Tue, 17 Mar 2026 10:00:39 GMT

概述

diagnose sys session filter 命令提供了 session-state1 和 session-state2 两个参数，可以根据会话的状态标志对会话表进行精确过滤。

命令格式如下：

diagnose sys session filter <session-state1|session-state2> <state_bits> <state_bits_mask>

state_bits：指定要过滤的状态位，多个状态可以通过相加（按位或）的方式组合使用。
state_bits_mask：
- 若设置为 ffffffff：只匹配 仅包含指定状态的会话（精确匹配）。
- 若设置为与 state_bits 相同的值：匹配包含指定状态的会话（含其他状态也可命中）。

session-state1 状态位

在命令行输入以下命令（不加参数），可查看 session-state1 支持的所有状态位：

FortiGate # diagnose sys session filter session-state1

Arguments: state_bits state_bits_mask

state1 bits:
|00000001: new               |00000002: redir             |00000004: log               |00000008: block
|00000010: oe                |00000020: re                |00000040: wccp              |00000080: dirty
|00000100: local             |00000200: may_dirty         |00000400: per_ip            |00000800: auth
|00001000: nb                |00002000: ndr               |00004000: nds               |00008000: br
|00010000: npu               |00020000: npd               |00040000: src-vis           |00080000: ssc
|00100000: nlb               |00200000: dst-vis           |00400000: 3way              |00800000: pol_sniff
|01000000: authed            |02000000: need_sync         |04000000: synced            |08000000: os
|10000000: rs                |20000000: ha_replicate      |40000000: ndri

提示

CLI 帮助中未显示的额外状态位：80000000: EXPECT (f31)

常用 session-state1 状态位说明：

| 状态位 | 状态名 | 说明 | |

使用附加 IP 时隧道无法建立

Mon, 16 Mar 2026 08:50:45 GMT

问题现象

在本端 FortiGate 的接口 wan1（202.1.1.2）上配置了附加 IP（Secondary IP）202.1.1.3。

config system interface
    edit "wan1"
        set vdom "root"
        set ip 202.1.1.2 255.255.255.0
        config secondaryip
            edit 1
                set ip 202.1.1.3 255.255.255.0
            next
        end
    next
end

IPSec 连接绑定接口为 wan1。

config vpn ipsec phase1-interface
    edit "IPSec_Dialup"
        set type dynamic
        set interface "wan1"
        set ike-version 2
......
    next
end

config vpn ipsec phase2-interface
    edit "IPSec_Dialup"
        set phase1name "IPSec_Dialup"
        set replay disable
    next
end

对端设备将 VPN 隧道的 Remote Gateway 配置为该附加 IP（202.1.1.3）时，隧道无法正常建立，开启 IKE Debug 后出现 no proposal chosen 报错（即使对端发起的安全提议和本端配置的安全提议完全一致）：

comes 39.183.172.30:64916->202.1.1.3:500,ifindex=41,vrf=0,len=373....
......
ike V=root:0:93bce19daab14410/0000000000000000:3056: incoming proposal:
ike V=root:0:93bce19daab14410/0000000000000000:3056: proposal id = 1:
ike V=root:0:93bce19daab14410/0000000000000000:3056:   protocol = IKEv2:
ike V=root:0:93bce19daab14410/0000000000000000:3056:      encapsulation = IKEv2/none
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=ENCR, val=AES_CBC (key_len = 128)
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=INTEGR, val=AUTH_HMAC_SHA_96
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=PRF, val=PRF_HMAC_SHA
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=DH_GROUP, val=ECP384.
......
ike V=root:0:93bce19daab14410/0000000000000000:3056: my proposal, gw IPSec_Dialup:
ike V=root:0:93bce19daab14410/0000000000000000:3056: proposal id = 1:
ike V=root:0:93bce19daab14410/0000000000000000:3056:   protocol = IKEv2:
ike V=root:0:93bce19daab14410/0000000000000000:3056:      encapsulation = IKEv2/none
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=ENCR, val=AES_CBC (key_len = 128)
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=INTEGR, val=AUTH_HMAC_SHA_96
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=PRF, val=PRF_HMAC_SHA
ike V=root:0:93bce19daab14410/0000000000000000:3056:         type=DH_GROUP, val=ECP384.
ike V=root:0:93bce19daab14410/0000000000000000:3056: lifetime=86400
......
ike V=root:0:93bce19daab14410/0000000000000000:3056: no proposal chosen

问题原因

FortiGate 默认使用接口的主 IP 进行 IKE 协商，当需要使用附加 IP 建立 VPN 隧道时，必须在 Phase 1 配置中通过 local-gw 参数显式指定。
当对端发起到附加 IP 的 VPN 连接时，本端 FortiGate 仍会尝试用主 IP 进行协商，导致 IP 地址不匹配，最终报 no proposal chosen 错误。

解决方法

在 IPSec 一阶段配置中，通过 local-gw 显式指定附加 IP，使 FortiGate 使用该 IP 进行 IKE 协商：

重要

local-gw 指定的 IP 必须已在对应接口上完成配置（主 IP 或附加 IP 均可）。
```
config vpn ipsec phase1-interface
    edit "IPSec_Dialup"
        set interface "wan1"
        set local-gw 202.1.1.3
    next
end
```

配置完成后，对端与 FortiGate 建立 IPSec 时，IKE Debug 中显示协商成功：

......
ike V=root: SA proposal chosen, matched gateway IPSec_Dialup
ike V=root:0:Tunnel1:Tunnel1: created connection: 0xb5be700 9 39.183.172.30->202.1.1.3:1012

IPsec 绑定 Loopback 时无法建立

Fri, 13 Mar 2026 09:43:46 GMT

问题现象

IPSec 隧道绑定到 loopback 接口，且公网出口存在多 ISP 的 ECMP 场景时，IPSec 隧道可能无法建立。

FortiGate 有两个 ISP 出口，默认路由在两个 ISP 出口上等价负载。

FortiGate #   get router info routing-table all
......
Routing table for VRF=0
S*      0.0.0.0/0 [10/0] via 101.1.1.1, wan1, [1/0]
                  [10/0] via 202.1.1.1, wan2, [1/0]
......

IPSec 连接绑定在 loopback 接口，local-gw 配置为 wan2 的 IP 地址，NAT-T 配置为默认的开启状态（set nattraversal enable）。

config vpn ipsec phase1-interface
    edit "IPSec_Dialup"
        set type dynamic
        set interface "loopback1"
        set ike-version 2
        set peertype any
        set net-device disable
        set mode-cfg enable
        set dpd on-idle
        set eap enable
        set eap-identity send-request
        set authusrgrp "IPSec-Group"
        set ipv4-start-ip 10.13.0.129
        set ipv4-end-ip 10.13.0.254
        set dns-mode auto
        set ipv4-split-include "intranet"
        set nattraversal enable
        set psksecret xxxxxxxx
    next
end

FortiClient 连接 FortiGate 的 IPSec，拨号连接失败。在 FortiClient 侧抓包可以看到一直在重发 IKEv2 第一个协商包 IKE_SA_INIT (Initiator Request)，但没有收到 FortiGate 的任何响应。

1 16:10:20.828351600 192.168.1.10 202.1.1.2 a69f9452f9fc9bc4 IKE_SA_INIT MID=00 Initiator Request
2 16:10:23.506134300 192.168.1.10 202.1.1.2 a69f9452f9fc9bc4 IKE_SA_INIT MID=00 Initiator Request
3 16:10:26.510410100 192.168.1.10 202.1.1.2 a69f9452f9fc9bc4 IKE_SA_INIT MID=00 Initiator Request
4 16:10:29.511326300 192.168.1.10 202.1.1.2 a69f9452f9fc9bc4 IKE_SA_INIT MID=00 Initiator Request
......

从 FortiGate 处抓包可以看到 FortiGate 从 wan2 接收了 FortiClient 发送的 IKE_SA_INIT (Initiator Request)，但从 wan1 接口返回了 IKEv2 第 2 个包 IKE_SA_INIT (Responder Response)，没有源进源出。

R2-601F # diagnose sniffer packet any "host 60.247.121.226" 4 0 l
interfaces=[any]
filters=[host 60.247.121.226]
2026-03-13 11:14:58.393925 wan2 in 60.247.121.226.500 -> 202.1.1.2.500: udp 328
2026-03-13 11:14:58.393985 wan1 out 202.1.1.2.500 -> 60.247.121.226.500: udp 268
2026-03-13 11:15:04.403999 wan2 in 60.247.121.226.500 -> 202.1.1.2.500: udp 328
2026-03-13 11:15:04.404026 wan1 out 202.1.1.2.500 -> 60.247.121.226.500: udp 268
......

在 FortiGate 上查看 IKEv2 会话，reply 没有遵循 session 优先的原则源进源出，而是独立进行了 RIB 的查找。

session info: proto=17 proto_state=01 duration=0 expire=179 timeout=0 refresh_dir=both flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/0
state=log local may_dirty 
statistic(bytes/packets/allow_err): org=401/1/1 reply=288/1/1 tuples=2
tx speed(Bps/kbps): 0/0 rx speed(Bps/kbps): 0/0
orgin->sink: org pre->in, reply out->post dev=41->46/46->39 gwy=0.0.0.0/0.0.0.0
hook=pre dir=org act=noop 60.247.121.226:21733->202.1.1.2:500(0.0.0.0:0)
hook=post dir=reply act=noop 202.1.1.2:500->60.247.121.226:21733(0.0.0.0:0)
misc=0 policy_id=101 pol_uuid_idx=16314 auth_info=0 chk_client_info=0 vd=0
serial=7a971a9d tos=ff/ff app_list=0 app=0 url_cat=0
rpdb_link_id=00000000 ngfwid=n/a
npu_state=0x001000
no_ofld_reason:  local

问题原因

在未开启强制 NAT-T（set nattraversal forced）的情况下，IKE（IPSec 一阶段）与 ESP（IPSec 二阶段）是独立会话。隧道绑定到 loopback 且存在冗余 ISP 时，IKE 与 ESP 流量可能走不同路径，入向与出向 IKE 协商可能经过不同接口，导致部分客户端无法建立隧道。

解决方法

在 IPSec 一阶段配置中开启 loopback-asymroute 控制 IKE 流量是否允许异步路由，该命令仅在一阶段绑定接口为 loopback 时可见。

config vpn ipsec phase1-interface
    edit <name>
        set interface <loopback interface name>
        set loopback-asymroute {enable | disable}
    next
end

enable（默认）：允许入向/出向 IKE 流量走不同接口（允许异步）。
disable：要求入向/出向 IKE 流量走同一接口（源进源出）。

过期 License 强制升级

Thu, 05 Mar 2026 03:17:20 GMT

触发条件

在 7.4.8、7.6.4、8.0.0 及以后版本，以下情况会触发强制自动升级（FortiGate 所有型号），不受有效 License 自动升级设置的影响：

过期的 Firmware & General Updates 合同：若设备未绑定有效的 FMGR 合同（Firmware & General Updates）或该合同已过期，系统将强制升级至最新补丁版本（主次版本号保持不变，例如 7.4.X 会升级到 7.4 最新的版本，而不会升级到 7.6.X）。
固件版本支持周期终止：当设备固件达到官方 工程支持终止日期（End of Engineering Support，简称 EOES，该时间可以登录 https://support.fortinet.com/support/#/lifecycle 查询）时，系统将强制升级至最新版本（主次版本号保持不变，例如 7.4.X 会升级到 7.4 最新的版本，而不会升级到 7.6.X）。
提示

注意 EOES 时间并非 EOS（End of Support）时间，通常比 EOS 时间要早：
- EOES 指 Fortinet 不再对该版本做代码更新（除非是 critical 级别的问题）。
- EOS 指 Fortinet 不再对该版本提供技术支持。
- 关于产品生命周期的更多信息请参考系统管理 → 固件与配置管理 → 固件版本管理 → 产品生命周期章节。
相关信息

2026-03-31，Fortinet 发布公告 CSB-260330-1：FortiOS、FortiManager、FortiAnalyzer 的 7.4 与 7.6 版本支持生命周期延长 12 个月，EOES 与 EOS 日期整体顺延 1 年。

因此，7.4.x/7.6.x 分支基于 EOES 触发的强制升级时间点也会相应后移；请以 https://support.fortinet.com/support/#/lifecycle 页面显示时间为准。
如果设备已经加入了 FortiManager 管理，强制升级机制会被禁用。

避免强制升级的 Workaround

将设备加入 FortiManager 管理（推荐）。
```
config system central-management
    set type fortimanager
end

The Serial Number for FortiManager is not entered.
In order to verify identity of FortiManager serial number is needed.
If serial number is not set, connection will be set as unverified.
FortiGate can establish a connection to obtain the serial number now.Do you want to try to connect now? (y/n)n
```
提示
- 配置中不需要填写实际的 FortiManager IP 地址。只要启用了 FortiManager 管理类型，强制升级机制就会被禁用。
- 在执行上述命令后，系统可能会弹出确认信息，键入 n 以提交配置。
- 启用 fortimanager 模式并不会自动开放防火墙的入站端口。接口的访问权限是由接口下的 fgfm 选项独立控制的。
- 如果实际环境中并不使用 FortiManager，建议检查并确保所有网络接口上的 fgfm 选项已被禁用（该选项仅用于 FortiManager 主动连接 FortiGate 的模式，如果是 FortiGate 主动连接 FortiManager，也不需要开启 fgfm）。
```
FortiGate # show sys int | grep fgfm -f
config system interface
    edit "wan1"
        set vdom "root"
        set ip 192.168.100.99 255.255.255.0
        set allowaccess ping https ssh http fgfm <
```

管理员登录锁定

Mon, 02 Mar 2026 02:36:24 GMT

功能简介

默认情况下，管理员密码连续输错 3 次后，账户会被锁定 60 秒。

如果需要提高设备管理面的安全性，可以通过 CLI 调整管理员密码的重试次数与锁定时长。

配置方法

config system global
    set admin-lockout-threshold <failed_attempts>
    set admin-lockout-duration <seconds>
end

admin-lockout-threshold：管理员登录失败后触发锁定的阈值，默认值为 3，范围 1~10。
admin-lockout-duration：触发锁定后的等待时间，单位为秒，默认值为 60，范围 1~2147483647。

提示

admin-lockout-threshold 设置得越大，管理员密码被暴力猜测成功的风险也越高。
如果从第一次登录失败开始，到达到锁定阈值的那次失败为止，时间间隔小于 admin-lockout-duration，则会触发锁定。
管理员锁定配置会同时影响本地管理员（包括 API 管理员）与远程认证管理员。

例如，设置管理员密码输错 1 次即锁定，锁定时间为 5 分钟。

config system global
    set admin-lockout-threshold 1
    set admin-lockout-duration 300
end

过期 License 升级限制

Mon, 02 Mar 2026 02:36:24 GMT

功能介绍

FortiGate 的固件升级能力由 Firmware & General Updates (FMWR) 合同控制。

从 FortiOS 7.4.2 开始，系统会阻止“支持合同已过期”的设备升级到不满足许可条件的目标版本（主要版本、次要版本以及相关补丁版本）。

版本号概念说明

FortiOS 版本通常写作 x.y.z，例如 7.6.3：

x：主要版本（Major），例如 7.x 到 8.x。
y：次要版本（Minor），例如 7.4.x 到 7.6.x。
z：补丁版本（Patch），例如 7.6.1 到 7.6.2。

本文提到的“相关补丁版本”，指的是属于某个主/次版本分支的补丁版本。例如在 7.6.x 分支中，7.6.1、7.6.2、7.6.3 都是该分支的相关补丁版本。

重要

本文中的 GA 日期示例用于解释许可证校验机制，不代表 FortiOS 官方发布时间计划。

许可证校验规则

设备升级到目标版本前，会比较以下两个时间：

当前 FMWR 合同到期日期。
目标版本所属主/次版本的首个 GA .0 发布日期。

判定规则如下：

到期日期 晚于或等于目标 GA .0 发布日期：允许升级。
到期日期早于目标 GA .0 发布日期：拒绝升级。

例如，目标版本是 7.6.3，实际对比的是 7.6.0 GA 的发布日期，而不是 7.6.3 的发布日期。

升级权限示例

假设各次版本首个 GA 版本发布日期如下（示例）：

License 到期的影响

Thu, 12 Feb 2026 10:25:49 GMT

License 到期的影响当 FortiGate 的一个或多个 FortiGuard 许可证过期时，以下功能可能会受到影响。提示 FortiGuard 服务为连续服务模式，任何服务中断，在续费时都需要补齐至合同到期日的服务周期。详情参考：系统管理 → FortiGuard 管理 → 服务指南 → FortiCare 服务介绍章节。

组播转发

Wed, 04 Feb 2026 10:00:51 GMT

功能简介

在术语使用上，组播 "转发（forwarding）" 和 "路由（routing）" 这两个功能有时会让人混淆。这两个功能不应同时进行：

当 FortiGate 处于 NAT 模式并且需要在组播路由器和接收者之间转发组播数据包时，应启用组播转发。
当 FortiGate 本身作为组播路由器运行，或者具有使用组播的适用路由协议时，应启用 PIM 协议。

重要

组播转发不支持 EMAC VLAN 接口。要在 EMAC VLAN 接口上使用组播，请使用 PIM 协议。

组播转发行为

组播转发的行为在 NAT 模式和透明模式下有所区别。

NAT 模式

config system settings
    set multicast-forward {enable | disable}
end

enable（默认）：FortiGate 会将 TTL ≥ 2 的所有组播 IP 数据包转发到所有接口和 VLAN 接口（接收接口除外）。IP 报文头中的 TTL 值会减 1，必须添加组播策略以允许组播数据包通过 FortiGate。

相关信息

如需转发 TTL=1 的组播，请参考：路由 → 组播 → TTL=1 的组播无法转发章节。
disable：不会转发任何组播报文，即使配置了放通的组播策略。

透明模式

config system settings
    set multicast-skip-policy disable
end

enable：允许通过 FortiGate 传输组播流量，无需创建组播策略。
disable（默认）：需要配置组播策略才能放通对应的组播流量（但透明模式下默认存在一条 any ↔any 的全放通组播策略，所以组播在默认配置下是放通的）。

组播策略

提示

IPv4 和 IPv6 组播策略可以在 GUI 中配置。进入系统管理 > 可见功能，启用组播策略和 IPv6。

config firewall multicast-policy
    edit <policy_id>
        set name ""
        set srcintf ""
        set dstintf ""
        set srcaddr ""
        set dstaddr ""
        set action {accept | deny}
        set status {enable | disable}
        set snat {enable | disable}          # 是否启用源 NAT
        set snat-ip <IP_address>             # SNAT 转换的 IP 地址
        set dnat <IP_address>                # 目标 NAT 地址
        set comments ""
    next
end

默认配置下，无论是 NAT 模式还是透明模式，组播数据包都需要组播策略才能允许数据包从一个接口传递到另一个接口。
与防火墙策略类似，在组播策略中，需要指定源接口和目标接口，以及数据包源地址和目标地址允许的地址范围。还可以使用组播策略为组播数据包配置 SNAT 和 DNAT。

配置示例

FortiGate（NAT 模式）接受从 IP 地址为 192.168.100.77 的 PC 发送到目标地址范围 239.168.4.0-255 的组播数据包。该策略允许组播数据包进入 lan 接口，然后从 wan1 接口发出。当数据包离开 wan1 接口时，其源地址将转换为 10.10.12.2。

创建源地址对象。

config firewall address
    edit "192.168.100.77/32"
        set subnet 192.168.100.77 255.255.255.255
    next
end

创建组播目标地址对象。

config firewall multicast-address
    edit "239.168.4.0/24"
        set start-ip 239.168.4.0
        set end-ip 239.168.4.255
    next
end

配置包含 SNAT 的组播策略。

提示

SNAT 转换的源地址默认为出接口 wan1 的 IP。
如需修改 SNAT 转换的源地址，需要在 CLI 中配置。

config firewall multicast-policy
    edit 1
        set srcintf "lan"
        set dstintf "wan1"
        set srcaddr "192.168.100.77/32"
        set dstaddr "239.168.4.0/24"
        set snat enable         # 启用 SNAT
        set snat-ip 10.10.12.2  # SNAT 转换后的 IP 地址
    next
end

多 VDOM 模式

在 FortiGate 开启多 VDOM 模式时，避免创建全通（any-to-any）的全通组播策略引起组播网络环路。

默认情况下，在支持 NPU 虚拟链路的型号上，将 vdom-mode 更改为 multi-vdom 时会在同一个 root VDOM 中创建一对 npu0_vlink0 和 npu0_vlink1 接口。
由于全通组播策略和 npu0_vlink 接口实际上是虚拟连接的，因此会形成组播网络环路。

因此，在开启多 VDOM 模式时：

在将 FortiGate 切换到多 VDOM 模式之前，确保不存在全通的组播策略。
如果必须定义全通组播策略，确保没有两个相连的接口（如 npu0_vlink0 和 npu0_vlink1）属于同一个 VDOM。

组播环路配置示例

警告

如下配置可能会引起组播环路。

启用 multi-VDOM 模式。

config system global
    set vdom-mode multi-vdom
end

配置全放通的组播策略。

config firewall multicast-policy
    edit 1
        set logtraffic enable
        set srcintf "any"
        set dstintf "any"
        set srcaddr "all"
        set dstaddr "all"
    next
end

查看接口配置，两个 vlink 接口都在同一个 root VDOM 中。

show system interface
config system interface
    edit "npu0_vlink0"
        set vdom "root"    ←

IPSec 多用户组访问控制

Fri, 30 Jan 2026 09:16:11 GMT

功能简介

在 IPsec VPN 远程接入场景中，用户组用于在建立隧道前对远程用户进行身份认证。一个 IPsec VPN 隧道可以关联单个用户组或多个用户组。

用户组在 IPSec VPN 隧道中的配置位置可以存在于 2 处位置：

配置在 IPSec Phase 1（P1）中：只能使用一个用户组。
配置在防火墙策略（Policy）中：
- 同一条防火墙策略可以同时配置多个用户组。
- 不同的防火墙策略可以配置不同的用户组，为不同的用户组分配不同的访问权限。
- 类似 SSL VPN 的 Portal（门户）功能，这在将 SSL VPN 迁移到 IPSec 时非常有用。

网络拓扑

用户 user1、user2 属于用户组 group1，用户 user3 属于用户组 group2。
user1/user2/user3 分别通过 FortiClient IPSec VPN 拨号连接 FortiGate，访问 Server1/Server2。
在防火墙策略中控制：
- 用户组 group1（user1/user2）拨号后只能访问 Server1，无法访问 Server2。
- 用户组 group2（user3）拨号后只能访问 Server2，无法访问 Server1。

配置方法

基础网络配置略。

IPSec 一阶段配置用户组

只能使用一个用户组，配置方法请参考：VPN → IPSec VPN → 拨号 VPN → FortiClient 拨号章节。参考配置如下：

config vpn ipsec phase1-interface
    edit "IPSec_Dialup"
        set type dynamic
        set interface "port1"
        set ike-version 2
        set peertype any
        set net-device disable
        set mode-cfg enable
        set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256
        set dhgrp 20 21
        set eap enable
        set eap-identity send-request
        set authusrgrp "group1"
        set transport udp
        set ipv4-start-ip 10.100.1.100
        set ipv4-end-ip 10.100.1.200
        set dns-mode auto
        set ipv4-split-include "Server"
        set save-password enable
        set psksecret xxxxxx
    next
end

config vpn ipsec phase2-interface
    edit "IPSec_Dialup"
        set phase1name "IPSec_Dialup"
        set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
        set dhgrp 20 21
    next
end

防火墙策略配置用户组

根据网络拓扑中的内容创建用户与用户组。

config user local
    edit "guest"
        set type password
        set xxxxxx
    next
    edit "user1"
        set type password
        set passwd xxxxxx
    next
    edit "user2"
        set type password
        set passwd xxxxxx
    next
    edit "user3"
        set type password
        set xxxxxx
    next
end

config user group
    edit "group1"
        set member "user1" "user2"
    next
    edit "group2"
        set member "user3"
    next
end

进入“VPN → VPN 向导”页面，模板选择“远程访问”，填写隧道名称，并点击“开始”按钮。
配置 VPN 隧道相关信息。
- 认证方法：根据需求选择，这里以预共享密钥为例。
- IKE：由于 FortiClient 在 7.4.4 版本开始不再支持 IKEv1，这里推荐使用 IKEv2。
- 传输：使用 UDP，如使用 UDP 协商失败，再尝试使用自动方式。
- EAP 对等体识别：使用默认的 EAP 认证。
- 用户身份验证方法：选择“从策略继承”，并选择用户组 group1 和 group2。如果选择“阶段 1 接口”，则只能选择一个用户组。
  提示
  - FortiOS 7.6 以下版本的 GUI 向导没有“从策略继承”选项，可以在 GUI 向导配置时先选择一个用户组，在向导配置结束后，修改 IPSec 隧道配置，在 XAUTH 处将用户组的模式修改为“从策略继承”。
  - 也可以在 IPSec 一阶段的 CLI 配置中取消引用用户组，即可达到“从策略继承”相同的配置效果。
    config vpn ipsec phase1-interface edit "IPSec_Dialup" unset authusrgrp "group1" next end
配置给客户端分配的 IP 地址范围。
配置本地 FortiGate 相关信息。
- 与隧道绑定的输入接口：选择用于接入 VPN 的互联网接口。
- 本地接口：面向内网服务器 Server1 和 Server2 的接口。
- 本地地址：客户端拨号成功后访问的内网资源（隧道分割），这里以 Server1 和 Server2 所在的网段为例。
检查配置无误后，提交配置（可以修改自动生成的隧道分割地址/地址组、防火墙策略名称）。

向导自动生成的隧道分割地址组与 IPSec 一阶段/二阶段配置 CLI 命令。

config firewall addrgrp
    edit "IPSec_Dialup_split"
        set member "Server1_10.10.1.0/24" "Server2_10.10.2.0/24"
        set comment "VPN: IPSec_Dialup -- Created by VPN wizard"
        set uuid be3f392e-fdaf-51f0-431c-681b8197a201
    next
end

config vpn ipsec phase1-interface
    edit "IPSec_Dialup"
        set type dynamic
        set interface "port1"
        set ike-version 2
        set peertype any
        set net-device disable
        set mode-cfg enable
        set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256
        set comments "VPN: IPSec_Dialup -- Created by VPN wizard"
        set dhgrp 20 21
        set eap enable
        set eap-identity send-request
        set wizard-type dialup-forticlient
        set transport udp
        set ipv4-start-ip 10.100.1.100
        set ipv4-end-ip 10.100.1.200
        set dns-mode auto
        set ipv4-split-include "Server"
        set save-password enable
        set psksecret ENC aZFKK834W6UFV39Tkp9enmmHi5ke2PbXeCsnrExTfzHtYHqaUgcirBnxASvBdeCVQjph+8WW2MJXd59ZWSr2OcfpbNK5k3AGqNBzbXvSY/Is4Yo5nUKmhBEH9oPkuUlhyp4+ibXcYd4Eq1Di0aIfloxfPCFCn5MNPQDOQ0YH6BTu+gCTcU8kIaiysXW7gytAEa0HLllmMjY3dkVA
    next
end

config vpn ipsec phase2-interface
    edit "IPSec_Dialup"
        set phase1name "IPSec_Dialup"
        set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
        set dhgrp 20 21
        set comments "VPN: IPSec_Dialup -- Created by VPN wizard"
    next
end

查看自动生成的防火墙策略，只有 1 条。

config firewall policy
    edit 1
        set name "vpn_IPSec_Dialup_local_allow"
        set uuid be44468a-fdaf-51f0-0db3-180ea9115c6d
        set srcintf "IPSec_Dialup"
        set dstintf "port2"
        set action accept
        set srcaddr "IPSec_Dialup_range"
        set dstaddr "Server1_10.10.1.0/24" "Server2_10.10.2.0/24"
        set schedule "always"
        set service "ALL"
        set nat enable
        set groups "group1" "group2"
        set comments "VPN: IPSec_Dialup -- Created by VPN wizard"
    next
end

为了实现网络拓扑中的需求，需要将其拆分成 2 条策略。

提示

VPN 向导自动创建的防火墙策略开启了 NAT，在此拓扑下防火墙策略不需要 NAT（Server 配置的网关均为 FortiGate），所以这里关闭了 2 条防火墙策略的 NAT。
为了后续验证结果，开启了防火墙策略的日志记录功能，与隐含策略的日志记录功能。

重要

不要在 IPSec 一阶段（config vpn ipsec phase1-interface）和防火墙策略（config firewall policy）中同时配置用户组，可能会产生匹配逻辑问题。

用户组 group1（user1/user2）拨号后只能访问 Server1，无法访问 Server2。
用户组 group2（user3）拨号后只能访问 Server2，无法访问 Server1。

config firewall policy
    edit 1
        set name "IPSec_Dialup_Server1"
        set srcintf "IPSec_Dialup"
        set dstintf "port2"
        set action accept
        set srcaddr "IPSec_Dialup_range"
        set dstaddr "Server1_10.10.1.0/24"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set groups "group1" "group2"
    next
    edit 2
        set name "IPSec_Dialup_Server2"
        set srcintf "IPSec_Dialup"
        set dstintf "port3"
        set action accept
        set srcaddr "IPSec_Dialup_range"
        set dstaddr "Server2_10.10.2.0/24"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set groups "group2"
    next
end

config log setting
    set fwpolicy-implicit-log enable
end

结果验证

用户组 group1（user1/user2）拨号后只能访问 Server1，无法访问 Server2

user1 在 FortiClient 客户端（这里以 FortiClient 7.4.5 为例）创建新的 VPN 连接。

配置 IPSec VPN 服务器 IP、预共享密钥、用户名等信息。
配置 IKE 版本为 IKEv2，封装模式选择 IKE UDP Port，保存配置。
在已创建的 IPSec VPN 连接处点击“Connect”按钮。
填写账号与密码信息后，连接成功，客户端获取到 IP 地址。

在 FortiGate 查看 IPSec VPN 连接状态，可以看到用户、分配 IP 等信息。

FortiGate # diagnose vpn ike gateway list

vd: root/0
name: IPSec_Dialup_0
version: 2
interface: port1 3
addr: 192.168.100.2:4500 -> 192.168.100.177:60054
tun_id: 10.100.1.100/::10.0.0.3
remote_location: 0.0.0.0
network-id: 0
transport: UDP
created: 226s ago
eap-user: user1
2FA: no
groups:
  group1 2
peer-id: Summerices-MacBook-Pro.local
peer-id-auth: no
FortiClient UID: 20835405F599455B9842348F3C690201
assigned IPv4 address: 10.100.1.100/255.255.255.255
nat: me peer
pending-queue: 0
PPK: no
IKE SA: created 1/1  established 1/1  time 90/90/90 ms
IPsec SA: created 1/1  established 1/1  time 0/0/0 ms

  id/spi: 1 6407f45520af6972/d9cb1bf711638b46
  direction: responder
  status: established 226-226s ago = 90ms
  proposal: aes128-sha256
  child: no
  SK_ei: 9efb8e596a94ba16-e8413fbb04e8b1e4
  SK_er: 18498c9de912c217-262cf929e0f6fb69
  SK_ai: 07232eb37b90dc57-dc1fff11d04b9aa9-a4243c35bd248fe6-a5184bfd5cface85
  SK_ar: 576c723eb43b4c88-bdedd73cafa477e2-da3e2da3074321e9-3c603271b327927e
  PPK: no
  message-id sent/recv: 0/17
  QKD: no
  PQC-KEM (IKE): no
  PQC-KEM (all IPsec): no
  lifetime/rekey: 86400/85903
  DPD sent/recv: 00000000/00000000
  peer-id: Summerices-MacBook-Pro.local

在 user1 的 PC 查看路由表，可以看到 FortiGate 给 user1 的 PC 推送了 Server1 和 Server2 两个网段的路由。

提示

这里以 macOS 为例，Windows 请在 CMD 下使用 route print -4 命令查看。

user1 # netstat -nr -f inet
Routing tables

Internet:
Destination        Gateway            Flags               Netif Expire
......
10.10.1/24         10.100.1.100       UGSc                utun8
10.10.2/24         10.100.1.100       UGSc                utun8
......

user1 的 IPSec 拨号成功后，访问 Server1，可以正常访问，相关流量日志显示匹配防火墙策略 ID 1。

user1 # ping 10.10.1.100 -c 3
PING 10.10.1.100 (10.10.1.100): 56 data bytes
64 bytes from 10.10.1.100: icmp_seq=0 ttl=127 time=4.712 ms
64 bytes from 10.10.1.100: icmp_seq=1 ttl=127 time=4.943 ms
64 bytes from 10.10.1.100: icmp_seq=2 ttl=127 time=3.157 ms

FortiGuard 更新服务器位置

Thu, 29 Jan 2026 09:31:54 GMT

功能简介

FortiGate 可以指定 FortiGuard 更新服务器的地理位置，用于控制 FortiGate 在进行以下云服务通信时所连接的服务器区域，该配置常用于优化访问延迟与稳定性或满足合规要求（如数据或流量需限定在特定区域）：

安全特征库更新（AV/IPS/应用控制等）。
Web Filter/DNS Filter/Email Filter 等分类与评级服务查询。
IoT 识别与相关云服务。

可选服务器位置

FortiGate 当前支持 3 种更新服务器位置策略。

最低延迟配置（automatic）

推荐配置，FortiGate 根据网络条件自动选择时延最低的 FortiGuard 服务器（可能位于不同区域）。

适用场景：
- 硬件 FortiGate 的默认配置。
- 追求最优性能与更新/查询速度。
Anycast 域名：
- globalupdate.fortinet.net
- globalguardservice.fortinet.net
非 Anycast 域名：
- update.fortiguard.net
- UDP：service.fortiguard.net
- HTTPS：securewf.fortiguard.net

仅欧洲（eu）

FortiGate 仅使用位于欧盟区域的 FortiGuard 服务器。

适用场景：
- 欧盟数据合规（如 GDPR）。
- 明确要求 FortiGuard 相关流量不得出 EU。
Anycast 域名：
- euupdate.fortinet.net
- euguardservice.fortinet.net

仅美国（us）

FortiGate 仅使用位于美国的 FortiGuard 服务器。

适用场景：
- 私有云/VM FortiGate 的默认配置。
- 网络出口明确位于美国。
Anycast 域名：
- usupdate.fortinet.net
- usguardservice.fortinet.net
非 Anycast 域名：
- usupdate.fortiguard.net
- UDP：usservice.fortiguard.net
- HTTPS：ussecurewf.fortiguard.net

默认行为

| 设备类型 | 默认更新服务器位置 | |

保护 SSL 服务器

Mon, 26 Jan 2026 08:53:53 GMT

功能简介

保护 SSL 服务器（Protecting SSL Server）是 SSL/SSH 检测配置文件中的一种工作模式，主要用于入站（Inbound）HTTPS 流量的解密与安全检测。

该功能通常应用在互联网客户端访问位于 FortiGate 后端的真实服务器的场景中（反向代理），通常在映射真实服务器的 VIP 策略中调用，例如：

公网用户访问内网 Web Server。
反向代理/发布服务器场景。
对外提供 HTTPS 服务的业务系统。

工作模式

在启用“保护 SSL 服务器”模式后，FortiGate 的工作方式如下：

FortiGate 使用真实服务器的 SSL 证书。
FortiGate 模拟真实服务器，与客户端建立 SSL 会话：
- FortiGate 并不使用自签名 CA 证书，而是直接向客户端发送真实服务器的证书。
- 如果使用的真实服务器证书是公网权威 CA 颁发的证书（或客户端手动信任了该证书），客户端不会出现证书不信任提示。
- 真实服务器可以是 HTTP（实现 SSL 卸载），也可以是 HTTPS。
FortiGate 解密 HTTPS 流量。
对解密后的流量执行安全检测（如 IPS、AV 等）。
再将流量转发给真实服务器（反向代理）。

适用场景

“保护 SSL 服务器”模式适用于以下场景：

需要对入站 HTTPS 流量进行深度安全检测（如 IPS、AV 等）。
服务器证书（需要携带私钥，如 PFX/PKCS#12 格式）可以导出并部署在 FortiGate 上。
希望客户端看到的证书与服务器真实证书一致。
业务允许 FortiGate 作为 SSL 解密终端。

不适用场景：

服务器证书无法导出。
不允许中间设备接触服务器私钥。
仅需基础证书检查、不希望解密流量。

网络拓扑

FortiGate 通过 VIP 策略发布 HTTPS 网站 https://handbook.fortinet.com.cn。
HTTPS 网站的 SSL 证书安装在 FortiGate 上，并对访问 VIP 的 HTTPS 流量做 IPS 检查。
客户端的 DNS 服务器将 handbook.fortinet.com.cn 解析到 FortiGate 的 VIP 地址。
客户端通过 Internet 访问 handbook.fortinet.com.cn，看到的网站 SSL 证书为 FortiGate 提供。

配置方法

前置条件

已获取服务器的 SSL 证书文件，通常包含：
- 证书（Certificate）。
- 私钥（Private Key），PFX/PKCS#12 格式的公钥和私钥在一个文件中。
- 可能还包含中间证书链。
FortiGate 具备导入本地证书的权限。
该证书 SAN 与服务器域名匹配。

配置步骤

导入服务器的 SSL 证书（含私钥，如 PFX/PKCS#12 格式，步骤参考：系统管理 → 系统设置 → 证书管理章节）。
重要
- 网站证书的 SAN（Subject Alternative Name）字段需要是网站真实的 FQDN（也可以是通配符方式）。否则访问时会产生证书告警。如下所示，网站 handbook.fortinet.com.cn 所使用的网站 SSL 证书的 SAN 为 *.fortinet.com.cn（通配符方式）。
- 网站的 SSL 证书需要是公网权威 CA 颁发的证书（或客户端手动信任了该证书），否则客户端访问时会出现证书不信任提示。

创建或编辑 SSL/SSH 检测配置文件，在“启用 SSL 检测”处选择“保护 SSL 服务器”，在“服务器证书”处选择上步导入的服务器证书，保存配置。

config firewall ssl-ssh-profile
    edit "test-protecting-ssl-server"
        config https
            set ports 443
            set status deep-inspection
            set quic inspect
        end
        config ftps
            set status disable
        end
        config imaps
            set status disable
        end
        config pop3s
            set status disable
        end
        config smtps
            set status disable
        end
        config ssh
            set ports 22
            set status disable
        end
        config dot
            set status disable
            set quic inspect
        end
        set server-cert-mode replace
        set server-cert "fortinet.com.cn"
    next
end

在 Web 服务器的 VIP 映射策略中应用上步创建的 SSL/SSH 检测配置文件，

config firewall vip
    edit "Web_Server_VIP"
        set extip 10.10.12.100
        set mappedip 192.168.100.77
        set extintf wan1
        set portforward enable
        set extport 443
        set mappedport 443
    next
end

config firewall policy
    edit 7
        set name "Web_Server_SSL_Protect"
        set srcintf "wan1"
        set dstintf "lan"
        set action accept
        set srcaddr "all"
        set dstaddr "Web_Server_VIP"
        set schedule "always"
        set service "ALL"
        set utm-status enable
        set ssl-ssh-profile "test-protecting-ssl-server"
        set ips-sensor "default"
    next
end

客户端通过 FortiGate 的 VIP 访问 https://handbook.fortinet.com.cn，网站 SSL 证书由 FortiGate 提供，未出现证书告警。

相关流量日志在“本地流量”分类中显示，源 IP 为 FortiGate 的 wan1 接口 IP。

提示

上步中引用 VIP 的防火墙策略 ID 为 7，从配置上看客户端是通过防火墙策略 + VIP 的方式访问 handbook.fortinet.com.cn，直觉上相关日志应该在“转发流量”分类中显示。
但实际上相关流量日志在“本地流量”分类中显示，这说明 FortiGate 是使用反向代理的方式访问真实服务器。

date=2026-01-26 time=16:31:42 eventtime=1769416301197951804 tz="+0800" logid="0001000014" type="traffic" subtype="local" level="notice" vd="root" srcip=192.168.100.99 srcport=23235 srcintf="root" srcintfrole="undefined" dstip=192.168.100.77 dstport=443 dstintf="lan" dstintfrole="lan" srccountry="China" dstcountry="China" sessionid=3629352 proto=6 action="close" policyid=0 service="HTTPS" trandisp="noop" app="HTTPS" duration=5 sentbyte=3076 rcvdbyte=19676 sentpkt=28 rcvdpkt=24

常见问题

客户端是否需要安装 CA 证书。

在“保护 SSL 服务器”模式下，SSL/SSH 检测配置文使用的是服务器真实证书，不是自签名 CA 证书。如果使用的真实服务器证书是公网权威 CA 颁发的证书（或客户端手动信任了该证书所属的 CA 证书），客户端不会出现证书不信任提示。
会不会影响服务器端 SSL 配置？

FortiGate 只是作为中间解密设备，不会修改服务器自身的 SSL 配置。
私钥安全风险？

是的，这是需要重点评估的风险点：
- 服务器私钥需要存放在 FortiGate 上。
- 建议限制 FortiGate 管理权限、定期更换证书、明确安全合规要求后再启用。
与其他 SSL 检测模式有什么区别？

| 模式 | 是否解密 | 使用证书 | 典型场景 | |

deep-inspection

Wed, 21 Jan 2026 08:55:35 GMT

注意

基于以下限制，大部分常见场景下更推荐使用 certificate-inspection 模式，而不是 deep-inspection：

对性能消耗更大，并可能影响某些对证书绑定/校验严格的应用（需通过白名单/例外策略保障兼容性）。
需要每个终端信任 CA 证书，否则可能出现证书告警或连接失败。
要求“中间人解密”与重签名的证书必须是 CA 证书或 Sub CA 证书，不能使用用户证书。

功能简介

深度检测（deep-inspection）是 FortiGate 在 SSL/TLS 加密流量场景下提供的一种安全检测机制。通过对加密流量进行解密、检测和重新加密，FortiGate 能够识别并阻断隐藏在加密通道中的恶意行为，从而避免攻击绕过传统的安全防护措施。

深度检测支持 HTTPS 以及多种基于 SSL/TLS 的常见协议，例如 SMTPS、POP3S、IMAPS 和 FTPS。

能力与限制：

可对加密流量应用 AV/IPS/Web Filter/DLP 等内容级检测，安全能力最强。
对性能消耗更大，并可能影响某些对证书绑定/校验严格的应用（需通过白名单/例外策略保障兼容性）。
需要每个终端信任 CA 证书，否则可能出现证书告警或连接失败。
要求“中间人解密”与重签名的证书必须是 CA 证书或 Sub CA 证书，不能使用用户证书。

工作模式

虽然 HTTPS 等加密协议为互联网通信提供了隐私保护，但攻击者同样可以利用加密流量隐藏恶意内容，例如：

在加密的电子商务会话中下载携带病毒的文件。
钓鱼邮件中的“看似正常”附件，在本地执行后建立到 C & C（Command and Control）服务器的加密连接。
通过加密通道下载或回传恶意程序数据。

由于上述通信过程均处于加密状态，如果不进行解密检测，相关攻击可能绕过网络安全设备的防护。

启用深度检测后，FortiGate 会执行以下操作：

模拟目标服务器，与客户端建立 SSL/TLS 会话。
解密并检查流量内容，识别威胁并执行放通/阻断。
重新加密流量，再转发至真实的目标服务器。

证书告警提示

在重新加密流量时，FortiGate 会使用本地存储的 CA 证书进行签名，例如：Fortinet_CA_SSL、Fortinet_CA_Untrusted、管理员自行上传的 CA 证书。

在应用 deep-inspection 的防火墙策略中，由于客户端浏览器默认不信任这些内置/自定义 CA 证书，客户端在访问时会收到“证书不受信任”的安全警告（不代表配置错误，点击“继续前往”仍可以显示目标网站）。

消除证书告警

为避免客户端出现访问网站时的 HTTPS 证书警告，需要在终端设备上安装 deep-inspection 配置文件使用的 CA 证书并信任。获取 CA 证书步骤如下：

进入安全配置文件 → SSL/SSH 检测。
编辑当前防火墙策略所使用的 SSL/SSH 检测配置文件，如上所示为系统预置的 deep-inspection 配置文件。
在 CA 证书右侧点击“下载”按钮。
提示
- 内置的 certificate-inspection 配置文件默认使用的 CA 为 Fortinet_CA_SSL，无法修改。
- 可在设备证书库中导入自定义 CA 证书（参考：系统管理 → 系统设置 → 证书管理章节，必须导入带私钥的 CA 证书或 SubCA 证书，不能使用用户证书），并克隆或新建 SSL/SSH 检测配置文件调用自定义 CA 证书。
- 导入的自定义 CA 证书位于“本地证书”分类中。
将下载的 CA 证书加入客户端系统或者浏览器的信任列表。
重要
- Chrome/Edge 依赖系统的证书信任列表。
- 而 Firefox 有自己的信任列表，需要在浏览器设置中添加，或在浏览器的证书设置中开启“允许 Firefox 自动信任您安装的第三方证书”，开启后 Firefox 也会信任系统的证书信任列表。
客户端再次访问该网站时，会直接显示出目标网页，页面显示连接安全，不会弹出证书告警页面。

提示

同时诸如 Web Filter 阻断页面的 FortiGate 替换页面的证书告警也会消失，参考：UTM → SSL/SSH 检查 → certificate-inspection 章节。

自定义 deep-inspection 配置文件

默认的 deep-inspection 配置文件为只读，无法修改任何配置（使用出厂自带的 Fortinet_CA_SSL 作为 CA 证书等），当有如下配置需求（包含但不限），必须新建或克隆一个证书检查配置文件：

需要使用自定义的 CA 证书。
其他自定义参数，如针对无效 SSL 证书配置处理方式，例如允许、阻断、根据不同证书错误类型设置不同动作等，请参考：UTM → SSL/SSH 检查 → SSL/SSH 检测配置文件章节。

进入安全配置文件 → SSL/SSH 检测，新建或克隆 deep-inspection 配置文件。
在“SSL 检测选项”中配置自定义的 CA 证书，保存配置。
提示
- 可在设备证书库中导入自定义 CA 证书（参考：系统管理 → 系统设置 → 证书管理章节，必须导入带私钥的 CA 证书或 SubCA 证书，不能使用用户证书），并克隆或新建 SSL/SSH 检测配置文件调用自定义 CA 证书。
- 导入的自定义 CA 证书位于“本地证书”分类中。

对应的 SSL/SSH 检查配置文件 CLI 命令如下。

config firewall ssl-ssh-profile
    edit "test-deep-inspection"
        config https
            set ports 443
            set status deep-inspection
            set quic inspect
        end
        config ftps
            set ports 990
            set status deep-inspection
        end
        config imaps
            set ports 993
            set status deep-inspection
        end
        config pop3s
            set ports 995
            set status deep-inspection
        end
        config smtps
            set ports 465
            set status deep-inspection
        end
        config ssh
            set ports 22
            set status disable
        end
        config dot
            set status disable
            set quic inspect
        end
        set caname "testca_bing"
    next
end

在防火墙策略中调用该 SSL/SSH 检测配置文件。

提示

使用 deep-inspection 类型的配置文件时，必须在防火墙策略中至少调用一个 UTM 配置文件，否则深度检测功能不会生效。

config firewall policy
    edit 1
        set name "to_Internet1"
        set srcintf "lan"
        set dstintf "wan1"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set utm-status enable
        set ssl-ssh-profile "test-deep-inspection"
        set webfilter-profile "default"
        set nat enable
    next
end

随后客户端访问 HTTPS 443 或 8443 端口的网站时，FortiGate 的阻断页面证书会被替换成自定义 CA 证书。

其他选项

免除 SSL 检查

提示

此功能仅支持 deep-inspection 模式。

在某些场景下，可能因隐私或合规要求需要跳过深度检测。

在“免除 SSL 检查”中配置需要跳过深度检测的内容，可免除以下类型的目标地址（按需开启“记录 SSL 免除日志”，相关的日志可以在“日志 & 报表 → 安全事件 → 日志”下的 SSL 分类中查看）：

Web Filter 分类。
提示
- 默认配置下，在执行“免除 SSL 检查”功能时，网站域名与其 IP 地址会同时被 FortiGuard 评级，且返回的分类结果不一致时，FortiGate 会优先采用 IP 地址的分类结果。
- 可以通过如下 CLI 关闭 IP 地址评级，在执行“免除 SSL 检查”功能时，FortiGate 不会再使用 IP 分类结果，仅基于域名的 FortiGuard 分类进行判断。
- 该命令只针对“免除 SSL 检查”功能生效。
```
config firewall ssl-ssh-profile
    edit <profile-name>
        set ssl-exemption-ip-rating disable
    next
end
```
IP/IP 范围/IP 子网/地址位置/FQDN/通配符 FQDN。
启用“信誉良好的网站”，可跳过 FortiGuard 认定的常见可信网站。

config firewall ssl-ssh-profile
    edit "test-deep-inspection"
        config ssl-exempt
            edit 1
                set type address
                set address "10.10.1.1-10.10.1.100"
            next
            edit 2
                set type address
                set address "192.168.100.0/24"
            next
            edit 3
                set type address
                set address "China"
            next
            edit 4
                set type address
                set address "handbook.fortinet.com.cn"
            next
            edit 5
                set type wildcard-fqdn
                set wildcard-fqdn "*.fortilab.com"
            next
            edit 6
                set fortiguard-category 33
            next
            edit 7
                set fortiguard-category 31
            next
        end
        set ssl-exemption-log enable
    next
end

SSL/TLS 版本检测

提示

此功能仅支持 deep-inspection 模式。

FortiGate 提供两种方式限制深度检测适用的 SSL/TLS 版本。

全局配置：启用后，系统默认将最低允许的 SSL/TLS 版本设置为 TLS 1.1（默认开启）。
```
config system global
    set strong-crypto enable
end
```
深度检测配置文件配置：当客户端或服务器尝试使用低于最低允许版本的 SSL/TLS 时阻断会话（默认为 tls-1.0）。

提示

当检测模式为 certificate-inspection 时，无法设置 min-allowed-ssl-version，因为此模式下 FortiGate 不会代理与服务器协商具体的 SSL/TLS 版本。
```
config firewall ssl-ssh-profile
    edit <name>
        config {ssl | https | ftps}
            set min-allowed-ssl-version {ssl-3.0 | tls-1.0 | tls-1.1 | tls-1.2 | tls-1.3}
        end
    next
end
```

不支持 SSL 版本的处理策略

当客户端或服务器尝试使用 FortiGate 无法识别的 SSL/TLS 版本协商时的动作，默认为 block。

config firewall ssl-ssh-profile
    edit <name>
        config {ssl | https | ftps | imaps | pop3s | smtps | dot}
            set unsupported-ssl-version {allow | block}
        end
    next
end

检测所有端口

为优化系统资源，FortiGate 支持针对特定协议启用或禁用协议端口映射。每种协议都有默认的 TCP 端口，管理员可以根据实际需要修改端口配置，以便对非标准端口上的加密流量进行检测。FortiGate 会根据数据包头部信息识别协议类型。支持的协议包括：

HTTPS
SMTPS
POP3S
IMAPS
FTPS
DNS over TLS（DoT）

“检测所有端口”的实际效果，取决于防火墙检测模式（flow/proxy）和 SSL 检查深度（certificate-inspection/deep-inspection）的配置。

相关信息

防火墙策略的检测模式介绍可参考：故障排查 → 数据包处理流程 → 安全检测模式章节。
在 Flow-based + deep-inspection 检测模式下，FortiGate 会对所有端口进行检测，而不受端口映射配置影响。

certificate-inspection

Tue, 20 Jan 2026 09:45:23 GMT

注意

当希望兼顾安全与兼容性/性能，且主要关注证书异常与基础风险控制时。大部分情况下推荐此配置（防火墙策略中的默认配置），而不是 deep-inspection。

功能简介

FortiGate 支持 SSL/TLS 证书检查（certificate-inspection）。与 deep-inspection 相比，certificate-inspection 模式仅检查至 SSL/TLS 证书层级的报文头信息，不会解密或检查加密后的实际内容。

该模式主要适用于以下场景：

不希望对 HTTPS 流量进行深度解密（出于隐私或合规考虑）。
仍需要基于证书信息对网站访问进行控制。
结合 Web Filter、认证、告警等安全策略使用。
若需要内容级安全检测，应使用深度检查模式（参考：UTM → SSL/SSH 检查 → certificate-inspection 章节）。

FortiGate 默认提供预置的 certificate-inspection 配置文件，可直接使用（但无法修改配置），也可以克隆或新建 SSL/SSH 配置文件。

工作模式

在应用 certificate-inspection 的防火墙策略中：

config firewall policy
    edit 1
        set name "to_Internet1"
        set srcintf "lan"
        set dstintf "wan1"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set utm-status enable
        set ssl-ssh-profile "certificate-inspection"
        set webfilter-profile "default"
        set nat enable
    next
end

FortiGate 会解析 HTTPS 连接的 SSL/TLS 证书信息。
根据证书信息触发 Web Filter、认证或阻断动作。
不解密 HTTPS 会话内容。
当访问被拦截或触发替换页面时，返回的 HTTPS 页面由 FortiGate 生成，并使用 FortiGate CA 证书进行签名。

替换页面与证书提示

在以下情况下，用户访问 HTTPS 网站时可能会看到替换页面：

网站被 Web Filter 分类阻断。
Web Filter 分类触发告警页面。
访问需要用户认证的页面。
其他策略触发的 HTTPS 拦截行为。

替换页面默认使用 FortiGate CA 证书签名（也可以替换成导入的自定义 CA 证书），因此：

若客户端未信任该 CA，会提示证书不受信任（仅针对 FortiGate 替换页面，不会影响真实业务访问的目标网站）。
属于正常现象，不代表配置错误。

客户端证书信任配置

为避免客户端出现 HTTPS 证书警告，需要在终端设备上安装 FortiGate 使用的 CA 证书并信任。获取 CA 证书步骤如下：

进入安全配置文件 → SSL/SSH 检测。
编辑当前防火墙策略所使用的 SSL/SSH 检测配置文件，如上所示为系统预置的 certificate-inspection 配置文件。
在 CA 证书右侧点击“下载”按钮。
提示
- 内置的 certificate-inspection 配置文件默认使用的 CA 为 Fortinet_CA_SSL，无法修改。
- 可在设备证书库中导入自定义 CA 证书（参考：系统管理 → 系统设置 → 证书管理章节，必须导入带私钥的 CA 证书或 SubCA 证书，不能使用用户证书），并克隆或新建 SSL/SSH 检测配置文件调用自定义 CA 证书。
- 导入的自定义 CA 证书位于“本地证书”分类中。
将下载的 CA 证书加入客户端系统或者浏览器的信任列表。
重要
- Chrome/Edge 依赖系统的证书信任列表。
- 而 Firefox 有自己的信任列表，需要在浏览器设置中添加，或在浏览器的证书设置中开启“允许 Firefox 自动信任您安装的第三方证书”，开启后 Firefox 也会信任系统的证书信任列表。
客户端再次访问该网站时，会直接显示出 FortiGate 的阻断页面（或登录页面），不会弹出证书告警页面。

自定义 certificate-inspection 配置文件

默认的 certificate-inspection 配置文件为只读，无法修改任何配置（仅监听 TCP 443 端口，使用出厂自带的 Fortinet_CA_SSL 作为 CA 证书等），当有如下配置需求（包含但不限），必须新建或克隆一个证书检查配置文件。

需要检查非标准 HTTPS 端口（例如 8443）。
需要使用自定义的 CA 证书。
需要自定义网站证书无效时的动作。
其他自定义参数，如针对无效 SSL 证书配置处理方式，例如允许、阻断、根据不同证书错误类型设置不同动作等，请参考：UTM → SSL/SSH 检查 → SSL/SSH 检测配置文件章节。

进入安全配置文件 → SSL/SSH 检测，新建或克隆 certificate-inspection 配置文件。

在“协议端口映射”中配置 HTTPS 端口，如 443、8443，在“SSL 检测选项”中配置自定义的 CA 证书，根据需要配置其他选项。

提示

内置的 certificate-inspection 配置文件默认使用的 CA 为 Fortinet_CA_SSL，无法修改。
可在设备证书库中导入自定义 CA 证书（参考：系统管理 → 系统设置 → 证书管理章节，必须导入带私钥的 CA 证书或 SubCA 证书，不能使用用户证书），并克隆或新建 SSL/SSH 检测配置文件调用自定义 CA 证书。
导入的自定义 CA 证书位于“本地证书”分类中。

config firewall ssl-ssh-profile
    edit "test-certificate-inspection"
        config https
            set ports 443 8443
            set status certificate-inspection
            set quic bypass
            set encrypted-client-hello allow
        end
        config ftps
            set status disable
        end
        config imaps
            set status disable
        end
        config pop3s
            set status disable
        end
        config smtps
            set status disable
        end
        config ssh
            set ports 22
            set status disable
        end
        config dot
            set status disable
            set quic inspect
        end
        set caname "testca_bing"
    next
end

保存配置，并在防火墙策略中调用该 SSL/SSH 检测配置文件。

config firewall policy
    edit 1
        set name "to_Internet1"
        set srcintf "lan"
        set dstintf "wan1"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set utm-status enable
        set ssl-ssh-profile "test-certificate-inspection"
        set webfilter-profile "default"
        set nat enable
    next
end

随后客户端访问 HTTPS 443 或 8443 端口的网站时，FortiGate 的阻断页面证书会被替换成自定义 CA 证书。

其他选项

不支持 SSL 版本的处理策略

当客户端或服务器尝试使用 FortiGate 无法识别的 SSL/TLS 版本协商时的动作，默认为 block。

config firewall ssl-ssh-profile
    edit <name>
        config {ssl | https | ftps | imaps | pop3s | smtps | dot}
            set unsupported-ssl-version {allow | block}
        end
    next
end

检测所有端口

HTTPS
SMTPS
POP3S
IMAPS
FTPS
DNS over TLS（DoT）

“检测所有端口”的实际效果，取决于防火墙检测模式（flow/proxy）和 SSL 检查深度（certificate-inspection/deep-inspection）的配置。

相关信息

防火墙策略的检测模式介绍可参考：故障排查 → 数据包处理流程 → 安全检测模式章节。
在 Flow-based + deep-inspection 检测模式下，FortiGate 会对所有端口进行检测，而不受端口映射配置影响。

HA 虚拟 MAC

Fri, 16 Jan 2026 10:01:55 GMT

功能简介

在 FortiGate HA（FGCP）集群中，主设备（primary）的接口会使用虚拟 MAC（VMAC）。这样在故障切换（failover）后，新的主设备可以继承与旧的主设备相同的 VMAC 与 IP，使上下联交换机等网络设备仍把它识别为“同一台设备”，从而更快恢复转发与通信。

接口的两类 MAC

Current_HWaddr：接口当前在网络中可见的 MAC 地址，在 standalone（单机）模式下可通过 CLI 修改。
Permanent_HWaddr：网卡出厂写入的物理 MAC，不可更改。
默认配置（standalone 模式）下二者相同，开启 HA FGCP 后，主设备接口对外可见的 MAC（Current_HWaddr）会改为 HA VMAC（与 VDOM/接口/HA group ID 等因素相关）。

VMAC 工作模式

NAT 模式：
- 主设备每个接口通常获得不同的 VMAC。
- VLAN 子接口继承其所在物理口的 VMAC（EMAC VLAN 是个例外）。
- 冗余/聚合（802.3ad）接口继承列表中第一个成员接口的 VMAC。
Transparent 模式：
- FGCP 将 VMAC 分配给主设备的管理 IP。
- 由于管理 IP 可从任意接口访问，表现为“所有接口看起来像同一个 VMAC”。
HA 独立管理口：会保留原始 MAC，不会变成 VMAC。
备设备（Secondary）：接口 MAC 不会变为 VMAC，仍然使用原始 MAC。

查看接口 MAC/VMAC

Standalone 模式：同时显示 Current_HWaddr 与 Permanent_HWaddr，未手动修改接口 MAC 的情况下，二者通常相同（物理 MAC）。

FortiGate # diagnose hardware deviceinfo nic wan1 | grep HWaddr
Current_HWaddr       e0:23:ff:67:e3:9c
Permanent_HWaddr     e0:23:ff:67:e3:9c

FortiGate # fnsysctl ifconfig wan1
wan1    Link encap:Ethernet  HWaddr e0:23:ff:67:e3:9c
        inet addr:10.10.12.2  Bcast:10.10.12.255  Mask:255.255.255.0
        inet addr6: 2100::2 prefixlen 64
        link-local6: fe80::e223:ffff:fe67:e39c prefixlen 64
        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
        RX packets:179819739 errors:0 dropped:0 overruns:0 frame:0
        TX packets:124048087 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000 
        RX bytes:203328470553 (189.4 GB)  TX bytes:60298053563 (56.2 GB)

HA 模式：

主设备：Current_HWaddr 变为 HA VMAC，而 Permanent_HWaddr 仍是物理 MAC，ifconfig 命令看到的 HWaddr 为 HA VMAC。

FortiGate # diagnose hardware deviceinfo nic wan1 | grep HWaddr
Current_HWaddr       00:09:0f:09:07:00
Permanent_HWaddr     94:f3:92:53:ae:7a

FortiGate # fnsysctl ifconfig wan1
wan1    Link encap:Ethernet  HWaddr 00:09:0F:09:00:00
        inet addr:172.22.6.65  Bcast:172.22.7.255  Mask:255.255.254.0
        UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
        RX packets:336270575 errors:0 dropped:0 overruns:0 frame:0
        TX packets:213599289 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000 
        RX bytes:316749603468 (294.10 GB)  TX bytes:110547160311 (102.10 GB)

备设备：Current_HWaddr 与 Permanent_HWaddr 相同，为真实物理 MAC，ifconfig 命令看到的 HWaddr 为真实物理 MAC。

FortiGate #  diagnose hardware deviceinfo nic wan1 | grep HWaddr
Current_HWaddr       ac:71:2e:fd:21:be
Permanent_HWaddr     ac:71:2e:fd:21:be

FortiGate # fnsysctl ifconfig wan1
wan1    Link encap:Ethernet  HWaddr AC:71:2E:FD:21:BE
        inet addr:172.22.6.65  Bcast:172.22.7.255  Mask:255.255.254.0
        UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
        RX packets:37615511 errors:0 dropped:0 overruns:0 frame:0
        TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000 
        RX bytes:6160997309 (5.7 GB)  TX bytes:0 (0  Bytes)

接口 MAC/VMAC 映射表

FortiGate # diagnose sys ha mac 

HA mac msg
serial#=FGT61FTK2206xxxx Primary
prio=0, phy_index= 0, itf_name=  wan1, mac=94.f3.92.53.ae.7a, vmac=00.09.0f.09.07.00, linkfail=0
prio=0, phy_index= 1, itf_name=  wan2, mac=94.f3.92.53.ae.7b, vmac=00.09.0f.09.07.01, linkfail=0
prio=0, phy_index= 2, itf_name=   dmz, mac=94.f3.92.53.ae.7c, vmac=00.09.0f.09.07.02, linkfail=0
prio=0, phy_index= 3, itf_name=internal1, mac=94.f3.92.53.ae.7d, vmac=--.--.--.--.--.--, linkfail=0
prio=0, phy_index= 4, itf_name=internal2, mac=94.f3.92.53.ae.7e, vmac=--.--.--.--.--.--, linkfail=1
prio=0, phy_index= 5, itf_name=internal3, mac=94.f3.92.53.ae.7f, vmac=00.09.0f.09.07.05, linkfail=1
prio=0, phy_index= 6, itf_name=internal4, mac=94.f3.92.53.ae.80, vmac=00.09.0f.09.07.06, linkfail=1
prio=0, phy_index= 7, itf_name=internal5, mac=94.f3.92.53.ae.81, vmac=00.09.0f.09.07.07, linkfail=0
prio=0, phy_index= 8, itf_name=     a, mac=94.f3.92.53.ae.82, vmac=00.09.0f.09.07.08, linkfail=1
prio=0, phy_index= 9, itf_name=     b, mac=94.f3.92.53.ae.83, vmac=00.09.0f.09.07.08, linkfail=1
prio=0, phy_index=10, itf_name=internal, mac=94.f3.92.53.ae.7e, vmac=00.09.0f.09.07.04, linkfail=1
prio=0, phy_index=11, itf_name=fortilink, mac=94.f3.92.53.ae.82, vmac=00.09.0f.09.07.08, linkfail=1
prio=0, phy_index=12, itf_name=emacvlan1, mac=9a.f3.92.53.ae.7a, vmac=00.09.0f.09.07.0c, linkfail=0
serial#=FGT61FTK22053887 Secondary
prio=1, phy_index= 0, itf_name=  wan1, mac=ac.71.2e.fd.21.be, vmac=--.--.--.--.--.--, linkfail=0
prio=1, phy_index= 1, itf_name=  wan2, mac=ac.71.2e.fd.21.bf, vmac=--.--.--.--.--.--, linkfail=0
prio=1, phy_index= 2, itf_name=   dmz, mac=ac.71.2e.fd.21.c0, vmac=--.--.--.--.--.--, linkfail=0
prio=1, phy_index= 3, itf_name=internal1, mac=ac.71.2e.fd.21.c1, vmac=--.--.--.--.--.--, linkfail=0
prio=1, phy_index= 4, itf_name=internal2, mac=ac.71.2e.fd.21.c2, vmac=--.--.--.--.--.--, linkfail=1
prio=1, phy_index= 5, itf_name=internal3, mac=ac.71.2e.fd.21.c3, vmac=--.--.--.--.--.--, linkfail=1
prio=1, phy_index= 6, itf_name=internal4, mac=ac.71.2e.fd.21.c4, vmac=--.--.--.--.--.--, linkfail=1
prio=1, phy_index= 7, itf_name=internal5, mac=ac.71.2e.fd.21.c5, vmac=--.--.--.--.--.--, linkfail=0
prio=1, phy_index= 8, itf_name=     a, mac=ac.71.2e.fd.21.c6, vmac=--.--.--.--.--.--, linkfail=1
prio=1, phy_index= 9, itf_name=     b, mac=ac.71.2e.fd.21.c7, vmac=--.--.--.--.--.--, linkfail=1
prio=1, phy_index=10, itf_name=internal, mac=ac.71.2e.fd.21.c2, vmac=--.--.--.--.--.--, linkfail=1
prio=1, phy_index=11, itf_name=fortilink, mac=ac.71.2e.fd.21.c6, vmac=--.--.--.--.--.--, linkfail=1
prio=1, phy_index=12, itf_name=emacvlan1, mac=b2.71.2e.fd.21.be, vmac=--.--.--.--.--.--, linkfail=0

输出包含每个接口的 phy_index、itf_name、mac（物理）、vmac（虚拟）、linkfail 等字段。
这个输出对排查“某个接口当前应该用哪个 VMAC”很直观。

VMAC 分配方式

有 3 种 VMAC 分配方式：默认方式、自动分配、手动分配。

默认方式

相关信息

以下 VMAC 算法仅适用于比较常见的情况：vcluster_integer = 0 或 1， group-id < 256，phy_index < 128的情况。
其他情况下的 VMAC 算法会有所区别，具体请参考官方 Docs 文档。

默认配置下，HA VMAC 地址根据以下公式确定：

\langle group\text{-}prefix\rangle:\langle group\text{-}id\_hex\rangle:(\langle vcluster\_{integer}\rangle+\langle phy\_{index}\rangle)

HA 配置示例：

config system ha
    set group-id 0
    set group-name "summerice"
    set mode a-p
    set password ENC 8d7WHMRiOFwjt7pOVnRmVrs9+rVayb7F2h1BKknc/3NsIjK1iEetIIVMzaGcdy3ONs7YzupDTFE09VWflnewYi91ZZ9V63QFh+EsKYhxjphPRf8cBmkQAq9Dcu6ymAo/Sm60+yVAUl5T+sUFbBivGJIG55rGnVV6BuN8VB3UYupQAUFOA9hZovr0TE6GcKkM/+lBf1lmMjY3dkVA
    set hbdev "port4" 0 
    set override disable
end

group-prefix：此情况下固定为 00:09:0f:09，占据 VMAC 的前 4 段（32 bit）。
group-id_hex：vluster 的 group-id 转换为十六进制的形式，占据 VMAC 的第 5 段。下表列出了为每个 group-id 设置的 VMAC 地址。
相关信息
- 可用 get system ha | grep group-id 查看 group-id。
| Integer Group ID | Hexadecimal Group ID| | :

检测模式

Fri, 16 Jan 2026 10:01:55 GMT

SSL（Secure Sockets Layer）内容扫描与检查功能用于对加密流量执行安全检测，使系统能够在 SSL/TLS 加密通信中应用 IPS、AV、Web Filter 等安全功能。

SSL/SSH 检测配置文件可直接应用于防火墙策略中。FortiOS 默认内置四种 SSL/SSH 检测配置文件，其中三种为只读配置，可被克隆并修改使用：

certificate-inspection（只读，可克隆）
deep-inspection（只读，可克隆）
no-inspection（只读，可克隆）
custom-deep-inspection（可编辑）

SSL/SSH 检测配置文件通常应用于出口防火墙策略，适用于目标地址不明确的流量场景。根据策略需求，可配置以下检查参数：

用于解密 SSL 加密流量的 CA 证书
参与检查的 SSL 协议类型
各 SSL 协议对应的检测端口
是否允许无效 SSL 证书
是否对 SSH 流量执行检查
可绕过 SSL 检查的地址或 Web 分类白名单

检测模式对比

在实际策略应用中，主要关注以下三种模式：no-inspection、certificate-inspection、deep-inspection。它们的差异核心在于：是否解密流量、可获取的信息深度、对业务/性能的影响。

certificate-inspection

工作方式：不解密业务内容，仅检查 TLS 握手阶段的证书与部分协议特征，防火墙策略中的默认配置。
可见信息：服务器证书、证书链、有效期、签发者、以及部分 TLS 握手信息（例如 SNI 等）。
能力与限制：
- 可基于证书可信性/异常证书进行阻断或告警（例如过期、吊销、校验失败等）。
- 相比 deep-inspection，对性能影响更小、对业务兼容性更高。
- 由于不解密载荷，无法对加密内容（如 HTTPS）执行深度的 AV/IPS/Web Filter 等检测。
典型场景：大多数通用出口流量的“轻量检测”、对业务敏感但仍希望拦截恶意/异常证书的网站。

no-inspection

工作方式：不对 SSL/TLS 流量进行检查与解密，流量保持端到端加密直通。
可见信息：仅检查/记录最基础的连接层信息（如源/目的 IP、端口、会话信息等）。
能力与限制：
- 无法对加密内容执行 AV/IPS/Web Filter 等基于内容的检测。
- 适用于对隐私/合规要求极高或无法安装证书的场景。
典型场景：银行/医疗等敏感业务、第三方应用不允许解密、故障排查期间临时放行等。

deep-inspection

工作方式：对 SSL/TLS 流量进行“中间人解密”与重签名，解密后将明文交给安全模块（如 IPS/AV/Web Filter）检测，再重新加密转发。通常需要在终端侧部署并信任 FortiGate（或自颁发）的 CA 证书。
可见信息：完整的应用层内容（HTTP/HTTPS 内容、文件下载内容、URL/Host 等更完整的特征）。
能力与限制：
- 可对加密流量应用 AV/IPS/Web Filter/DLP 等内容级检测，安全能力最强。
- 对性能消耗更大，并可能影响某些对证书绑定/校验严格的应用（需通过白名单/例外策略保障兼容性）。
- 需要每个终端信任 CA 证书，否则可能出现证书告警或连接失败。
- 要求“中间人解密”与重签名的证书必须是 CA 证书或 Sub CA 证书，不能使用用户证书。
典型场景：对外网访问需要强安全管控的办公终端、重点部门出网、对下载/恶意网站拦截要求高的环境。

配置建议

certificate-inspection：当希望兼顾安全与兼容性/性能，且主要关注证书异常与基础风险控制时。大部分情况下推荐此配置（防火墙策略中的默认配置）。
no-inspection：当业务明确要求不解密、或对解密高度敏感/不具备终端证书部署条件时。
deep-inspection：当组织允许终端部署证书、且需要最大化加密流量可视化与防护能力时。

SSL/SSH 检测配置文件

Wed, 14 Jan 2026 09:35:17 GMT

配置方法

GUI

进入安全配置文件 → SSL/SSH 检测，点击新建按钮。

相关信息

预置的 custom-deep-inspection 配置文件也可直接编辑使用。

SSL 检测选项：
- 启用 SSL 检测：
  - 多个客户端连接到多个服务器：用于目标未知的通用策略，常用于出站互联网流量。
  - 保护 SSL 服务器：用于特定 SSL 服务器，需在“服务证书”配置处指定服务器证书。
- 检查方法：
  - SSL 证书检查（certificate-inspection）：仅检查证书（到 SSL/TLS 层的头部信息），不检查加密内容。可对 ECH 做允许或阻断。
  - 完整 SSL 检查（deep-inspection）：检查 SSL/TLS 加密载荷内容。
- CA 证书：从已安装证书中选择用于检查/解密的 CA 证书。可点击 Download 下载证书。
- 恶意证书：配置阻断或允许潜在恶意证书。可通过“查看恶意证书定义”查看被阻断证书列表（含原因、SHA1 指纹与日期）。
- 未受信任 SSL 证书：配置服务器证书非受信任 CA 签发时的动作。
  - 允许（默认）。
  - 阻断。
  - 忽略：仅对“deep-inspection”有效，重新签名为受信任。说明：在 GUI 中对证书检查模式配置 Ignore 不生效且不会保存。
  - 可通过“查看信任 CA 列表”查看 FortiGate 信任的内置与导入 CA。
- 服务器证书 SNI 检查：检查 SSL Client Hello 消息中的 SNI 与服务器证书 CN 或 SAN 是否匹配。
  - 启用（默认）：不匹配时使用证书 CN 进行 URL 过滤。
  - 严格：不匹配时关闭连接。
  - 禁用：禁用检查。
- 强制 SSL 加密算法合规：启用/禁用 SSL 密码套件合规性检查，仅“deep-inspection”可用。
- 强制 SSL 协商过程合规：启用/禁用 SSL 协商合规性检查，仅“deep-inspection”可用。
- 基于 HTTPS 的 RPC：启用/禁用 RPC over HTTPS 流量检查，仅“deep-inspection”可用。
- 基于 HTTPS 的 MAPI：启用/禁用 MAPI over HTTPS 流量检查。
协议端口映射：
- 检查所有端口：启用后使用 IPS 引擎检查所有端口。可选择是否禁用 DNS over TLS。
- HTTPS/SMTPS/POP3S/IMAPS/FTPS：若未启用“检查所有端口”，可在对应协议旁指定需要检查的端口。
- 基于 TLS 的 DNS：启用/禁用 DNS over TLS 检查。
- 加密的客户端 Hello：允许或阻止使用加密 Client Hello（ECH）的 TLS 连接，仅在“检查方法”为 certificate-inspection 时可用。
- HTTP/3 协议：
  - 当检查方法为“SSL 证书检查”或 HTTPS 被禁用时，HTTP/3 固定为 Bypass 且不可修改。
  - 当检查方法为“deep-inspection”时，可选 Inspect、旁路、阻断。
- 基于 QUIC 的 DNS：当检查方法为检查方法 deep-inspection 时可用。可选 Inspect、旁路或阻断。
免除 SSL 检查：
- 信誉良好的网站：仅“deep-inspection”可用。用于指定信誉网站、FortiGuard Web 分类或地址对象的豁免。可启用日志记录豁免。
SSH 检测选项：
- SSH 深度检测：启用/禁用 SSH 协议深度扫描；启用后 SSH 端口可配置。
- SSH 端口：定义要检测的 SSH 协议数据包的端口：
  - 任何：检测所有 SSH 流量。
  - 指定：仅检测指定 TCP 端口。
通用选项：
- 无效的 SSL 证书：配置无效证书的放行/阻断策略。设为自定义时可分别配置过期、回收（吊销）、验证超时、验证失败等场景。深度检查下可选“保持不受信任 & 允许”、“阻断”、“信任 & 允许”。
- 记录 SSL 异常日志：启用后记录包含无效证书的会话日志，默认启用。日志生成在安全事件日志类型下的 SSL 子类型。

CLI

config firewall ssl-ssh-profile
    edit <name>
        set allowlist [enable|disable]
        set block-blocklisted-certificates [disable|enable]
        set caname {string}
        set comment {var-string}
        config dot
            Description: Configure DNS over TLS options.
            set cert-validation-failure [allow|block|...]
            set cert-validation-timeout [allow|block|...]
            set client-certificate [bypass|inspect|...]
            set expired-server-cert [allow|block|...]
            set proxy-after-tcp-handshake [enable|disable]
            set quic [inspect|bypass|...]
            set revoked-server-cert [allow|block|...]
            set sni-server-cert-check [enable|strict|...]
            set status [disable|deep-inspection]
            set udp-not-quic [allow|block]
            set unsupported-ssl-cipher [allow|block]
            set unsupported-ssl-negotiation [allow|block]
            set unsupported-ssl-version [allow|block]
            set untrusted-server-cert [allow|block|...]
        end
        config ech-outer-sni
            Description: ClientHelloOuter SNIs to be blocked.
            edit <name>
                set sni {string}
            next
        end
        config ftps
            Description: Configure FTPS options.
            set cert-validation-failure [allow|block|...]
            set cert-validation-timeout [allow|block|...]
            set client-certificate [bypass|inspect|...]
            set expired-server-cert [allow|block|...]
            set min-allowed-ssl-version [ssl-3.0|tls-1.0|...]
            set ports {integer}
            set revoked-server-cert [allow|block|...]
            set sni-server-cert-check [enable|strict|...]
            set status [disable|deep-inspection]
            set unsupported-ssl-cipher [allow|block]
            set unsupported-ssl-negotiation [allow|block]
            set unsupported-ssl-version [allow|block]
            set untrusted-server-cert [allow|block|...]
        end
        config https
            Description: Configure HTTPS options.
            set cert-probe-failure [allow|block]
            set cert-validation-failure [allow|block|...]
            set cert-validation-timeout [allow|block|...]
            set client-certificate [bypass|inspect|...]
            set encrypted-client-hello [allow|block]
            set expired-server-cert [allow|block|...]
            set min-allowed-ssl-version [ssl-3.0|tls-1.0|...]
            set ports {integer}
            set proxy-after-tcp-handshake [enable|disable]
            set quic [inspect|bypass|...]
            set revoked-server-cert [allow|block|...]
            set sni-server-cert-check [enable|strict|...]
            set status [disable|certificate-inspection|...]
            set udp-not-quic [allow|block]
            set unsupported-ssl-cipher [allow|block]
            set unsupported-ssl-negotiation [allow|block]
            set unsupported-ssl-version [allow|block]
            set untrusted-server-cert [allow|block|...]
        end
        config imaps
            Description: Configure IMAPS options.
            set cert-validation-failure [allow|block|...]
            set cert-validation-timeout [allow|block|...]
            set client-certificate [bypass|inspect|...]
            set expired-server-cert [allow|block|...]
            set ports {integer}
            set proxy-after-tcp-handshake [enable|disable]
            set revoked-server-cert [allow|block|...]
            set sni-server-cert-check [enable|strict|...]
            set status [disable|deep-inspection]
            set unsupported-ssl-cipher [allow|block]
            set unsupported-ssl-negotiation [allow|block]
            set unsupported-ssl-version [allow|block]
            set untrusted-server-cert [allow|block|...]
        end
        set mapi-over-https [enable|disable]
        config pop3s
            Description: Configure POP3S options.
            set cert-validation-failure [allow|block|...]
            set cert-validation-timeout [allow|block|...]
            set client-certificate [bypass|inspect|...]
            set expired-server-cert [allow|block|...]
            set ports {integer}
            set proxy-after-tcp-handshake [enable|disable]
            set revoked-server-cert [allow|block|...]
            set sni-server-cert-check [enable|strict|...]
            set status [disable|deep-inspection]
            set unsupported-ssl-cipher [allow|block]
            set unsupported-ssl-negotiation [allow|block]
            set unsupported-ssl-version [allow|block]
            set untrusted-server-cert [allow|block|...]
        end
        set rpc-over-https [enable|disable]
        set server-cert <name1>, <name2>, ...
        set server-cert-mode [re-sign|replace]
        config smtps
            Description: Configure SMTPS options.
            set cert-validation-failure [allow|block|...]
            set cert-validation-timeout [allow|block|...]
            set client-certificate [bypass|inspect|...]
            set expired-server-cert [allow|block|...]
            set ports {integer}
            set proxy-after-tcp-handshake [enable|disable]
            set revoked-server-cert [allow|block|...]
            set sni-server-cert-check [enable|strict|...]
            set status [disable|deep-inspection]
            set unsupported-ssl-cipher [allow|block]
            set unsupported-ssl-negotiation [allow|block]
            set unsupported-ssl-version [allow|block]
            set untrusted-server-cert [allow|block|...]
        end
        config ssh
            Description: Configure SSH options.
            set inspect-all [disable|deep-inspection]
            set ports {integer}
            set proxy-after-tcp-handshake [enable|disable]
            set ssh-algorithm [compatible|high-encryption]
            set ssh-tun-policy-check [disable|enable]
            set status [disable|deep-inspection]
            set unsupported-version [bypass|block]
        end
        config ssl
            Description: Configure SSL options.
            set cert-probe-failure [allow|block]
            set cert-validation-failure [allow|block|...]
            set cert-validation-timeout [allow|block|...]
            set client-certificate [bypass|inspect|...]
            set encrypted-client-hello [allow|block]
            set expired-server-cert [allow|block|...]
            set inspect-all [disable|certificate-inspection|...]
            set min-allowed-ssl-version [ssl-3.0|tls-1.0|...]
            set revoked-server-cert [allow|block|...]
            set sni-server-cert-check [enable|strict|...]
            set unsupported-ssl-cipher [allow|block]
            set unsupported-ssl-negotiation [allow|block]
            set unsupported-ssl-version [allow|block]
            set untrusted-server-cert [allow|block|...]
        end
        set ssl-anomaly-log [disable|enable]
        config ssl-exempt
            Description: Servers to exempt from SSL inspection.
            edit <id>
                set address {string}
                set address6 {string}
                set fortiguard-category {integer}
                set regex {string}
                set type [fortiguard-category|address|...]
                set wildcard-fqdn {string}
            next
        end
        set ssl-exemption-ip-rating [enable|disable]
        set ssl-exemption-log [disable|enable]
        set ssl-handshake-log [disable|enable]
        set ssl-negotiation-log [disable|enable]
        config ssl-server
            Description: SSL server settings used for client certificate request.
            edit <id>
                set ftps-client-certificate [bypass|inspect|...]
                set https-client-certificate [bypass|inspect|...]
                set imaps-client-certificate [bypass|inspect|...]
                set ip {ipv4-address-any}
                set pop3s-client-certificate [bypass|inspect|...]
                set smtps-client-certificate [bypass|inspect|...]
                set ssl-other-client-certificate [bypass|inspect|...]
            next
        end
        set ssl-server-cert-log [disable|enable]
        set supported-alpn [http1-1|http2|...]
        set untrusted-caname {string}
        set use-ssl-server [disable|enable]
    next
end

检测所有端口

HTTPS
SMTPS
POP3S
IMAPS
FTPS
DNS over TLS（DoT）

“检测所有端口”的实际效果，取决于防火墙检测模式（flow/proxy）和 SSL 检查深度（certificate-inspection/deep-inspection）的配置。

相关信息

防火墙策略的检测模式介绍可参考：故障排查 → 数据包处理流程 → 安全检测模式章节。

AV/IPS 内存高排查

Mon, 12 Jan 2026 09:50:27 GMT

背景介绍

在使用 Antivirus/IPS 的场景中，内存保护模式的触发可能属于高负载条件下的正常保护机制，并不一定表示系统异常或缺陷。

本文以常用的 flow mode 下的 ipsengine + antivirus 为示例，用一台 4GB 内存的 FortiGate 演示：穿过 FortiGate 对一个 2MB 文件发起大量 HTTP: 80 下载请求，目标是制造多个下载同时处于 pending 与 buffered 状态。后续主要聚焦 antivirus 与 ipsengine 的表现与关联，并给出采集、判断与改进方向。

问题现象

系统挂起（System hangs）

当发起下载且文件总大小大于 512KB 时，系统会分配 1MB Cached RAM（用于后续缓冲与处理）。
示例：若同时启动 1024 个 4MB 文件传输：
- 初始预分配约 1MB * 1024 = 1GB RAM。
- 在传输接近结束且多数会话同时处于 pending 状态时，可能累积到 4MB * 1024 = 4GB 的缓冲需求，从而占满 4GB 设备的可用内存。
ipsengine 没有缓存限制。
此类极端场景可能导致系统 hang：转发与管理均不可用。

系统死锁（System deadlock）

在高内存压力下，系统可能耗尽可用 cached memory。
ipsengine 进入“S”（sleeping）状态，等待 cache 资源可用以继续缓存流量。
该状态可能导致业务中断。

排查准则

必须在问题发生当下采集数据：在所有内存保护模式场景中，应在问题发生期间采集调试数据。内存指针、进程内存分配、潜在内存泄漏迹象等关键证据通常只会在异常发生时体现。如果在系统恢复正常或接近正常后再采集，很多现象不会出现在数据中，影响判断。
需要观察一段时间内的变化趋势：不少场景需要通过脚本或周期性采集，在一段时间内观察内存使用的演化过程，判断是否存在持续增长、周期性峰值、或与流量/会话变化一致的波动关系。

初步排查

diagnose sys top 2

2表示每 2 秒刷新一次。
在 top 输出界面中：
- 按“m”按内存排序。
- 按“p”按 CPU 排序。
记录进程 PID，用于后续追踪。
建议连续采集一段时间，观察 CPU 与内存是否波动、是否同步变化，并尝试总结规律。

diagnose sys top-mem 10

列出内存消耗最高的 10 个进程。
在较大平台上可适当提高显示进程数。
重点关注：
- 哪个进程消耗最高。
- 该进程与其他进程合计占用多少。
- 这几个进程内存之和占系统总内存比例。

diagnose hardware sysinfo conserve

当前 FortiGate 是否进入了内存保护模式。
内存占用率是否超过 red threshold。
如果进入了内存保护模式，则比较其值是否高于 red threshold。

diagnose hardware sysinfo memory

可能看到 Cached 占用非常高（例如 3.3GB/4GB）。
其他可能较高的 bucket 包括 Inactive、Inactive (anon)、Shmem。
该输出与 Linux 的/proc/meminfo（cat/proc/meminfo）一致，可参考 Linux 文档进一步理解各 counter 含义。

get system performance status

该输出包含实时与历史统计，例如：
- 过去 30 分钟平均网络使用。
- 最近 10/30 分钟会话数变化。
若设备在几分钟前经历过流量冲击，部分非实时的变化在其他命令中不易直接观察，但在此统计中可能更直观。

总结

此例中，ipsengine 是主要的内存占用者（示例中 PID 257）。
scanunitd（一个或多个 worker）是主要 CPU 消耗者（示例中 PID 12262、12260）。
设备处于内存保护模式且超过 red threshold。
内存主要被 Cached、Inactive、Inactive (anon)、Shmem 占用。
基于以上现象，下一步应重点排查：ipsengine 为何占用大量内存，以及其与 antivirus（scanunitd 高 CPU）之间的关联关系。

ipsengine/antivirus 计数器

本章节目标是确定“pending 状态文件传输缓存用于 AV 检测导致 ipsengine 内存上升”。

diagnose sys process dump 254

查看进程 PID 254（前文中查看的 ipsengine 进程 PID，示例因设备重启导致 PID 变化，请忽略 PID 差异）的状态：
- 进程状态：running（表示进程正在工作）。
- VmSize：示例约 3.6GB，表示该进程正在分配/映射大量内存。
继续向下滚动输出结果：
- 在 shm（shared memory）目录下出现大量标记为“deleted”的文件映射。
- ipsengine 创建了这些文件并删除它们。
- 这些文件位于 shm（共享内存空间），通常表示 ipsengine 将数据放入共享内存供其他处理组件使用，或处于等待相邻处理完成的状态。
- 对 scanunitd 做类似的 process dump，通常可看到相同的 shm 文件处理模式。
- ipsengine/scanunitd 可能会派生多个 worker，PID 可能变化，建议在问题发生时尽快采集。

ipsengine/scanunitd debug

启用 Debug：

diagnose ips debug enable av
diagnose ips debug enable content
diagnose ips debug status show
diagnose sys scanunit debug all enable
diagnose sys scanunit debug level verbose
diagnose sys scanunit debug show
diagnose debug enable

运行数秒后结束 Debug（调试输出可能非常多，一般不需要运行超过 10 秒）：

diagnose ips debug disable all
diagnose ips debug status show
diagnose sys scanunit debug all disable
diagnose sys scanunit debug reset
diagnose sys scanunit debug show

收集 Debug 输出结果：
- 可以看到“ips_flowav_append”任务持续处理多个 query/task。
- 多个下载会话不断接收 1448 字节的 chunk，但未完成。
- 未出现如下“scanunit 任务完整完成”相对应的输出，判断以上 scanunit 任务处于“pending”状态。

diagnose test application ipsmonitor 24

查看 ipsmonitor 统计中的 antivirus 统计信息：
- file open 在 ipsengine 需要缓存一个传输会话并将数据交给 antivirus 做进一步检查时递增。
- file close 在对应会话完成/关闭后递增。
- 若传输正常完成，file open 与 file close 通常应保持相对一致的增长趋势。
- 4152（file open） - 2002（file close） = 2150，存在约 2150 个 pending 状态的传输任务正在被缓存，从而消耗 Cached memory。
继续向下滚动 ipsmonitor 输出，可见 total allocated memory（Bytes）。
- 2761613312 Bytes 约为 2.7GB。
- 该数值可能与其他命令观察略有差异，因为会话仍在动态处理，但数量级仍处于较高水平。

排查结论

当前现象可理解为系统在压力条件下的正常表现：由用户流量与配置组合触发资源占用上升。内存保护模式的触发可能属于高负载条件下的正常保护机制，并不一定表示系统异常或缺陷。
ipsengine 内存飙升主要由大量 pending 文件传输引起。这些传输需要被缓存，才能由 Antivirus 完成检测。
在 flow mode 下，如果不对文件内容进行缓存，将无法完成 Antivirus 检测流程。原因是 Antivirus 首先需要计算 MD5 校验，而 MD5 只能在获取完整文件内容后计算。
当 Antivirus 完成 allow/block 判定且会话关闭后，相关缓存内存会随之释放。
优化方向：
- 选择更高型号平台，以提供更高的资源上限来承载更多并发 pending 文件传输与 Antivirus 检测。
- 评估是否必须对特定业务流量启用 Antivirus。
- 提升带宽：目标是降低 pending 状态传输任务的数量与持续时间，减少重叠并发带来的缓存累积。
- 配置优化：参考：开局与日常维护 → 2GB 内存设备配置优化章节。

限制认证并发源 IP 数

Fri, 09 Jan 2026 07:58:12 GMT

全局配置

policy-auth-concurrent 是 FortiGate 全局配置（config system global）下的一个参数，用于控制同一个用户是否允许在多个来源（Source IP）上同时保持认证状态（即同一账号从多个源 IP 同时进行防火墙策略认证/Portal 认证）。

config system global
    set policy-auth-concurrent (0-100)
end

0（默认）：表示不限制一个用户可关联的源 IP 数量。同一用户可以同时在多个源 IP 地址上被认证（对防火墙策略认证/Captiveportal 认证而言）。
1~100：
- 一旦某用户已达到允许的源 IP 并发数上限，该用户从新的源 IP 发起的后续认证请求会被拒绝。
- 在防火墙策略认证/Captive Portal 认证场景下，通常会看到浏览器告警/提示。
- 举例：同一个用户如果已经在 5 个源 IP 上完成认证，再从其他源 IP 发起认证会被拒绝。
```
config system global
    set policy-auth-concurrent 5
end
```

覆盖全局配置

可以在用户或用户组级别覆盖全局值。当在用户或用户组级别下启用 auth-concurrent-override 后，auth-concurrent-value 的配置会覆盖 config system global 下的 policy-auth-concurrent）配置。

重要

优先级：用户组 > 用户 > 全局配置

用户级别

config user local
    edit <user_name>
        set auth-concurrent-override enable
        set auth-concurrent-value (1-100)
    next
end

用户组级别

config user group
    edit <user_group_name>
        set auth-concurrent-override enable
        set auth-concurrent-value (1-100)
    next
end

注意事项

配置的并发源 IP 限制数是基于每 VDOM 生效的。
仅适用于防火墙策略认证/Captiveportal 认证，不适用于 VPN 用户、系统管理员。
IPsec VPN 不支持限制同一用户的并发连接数（即无法用该思路实现“只允许一个 IPsec 会话”）。
SSL VPN 可以限制同一用户同时在线会话数，但属于 SSL VPN 的单独机制（config vpn ssl web portal 下的 limit-user-logins）。
如果用户经常出现“认证后换网/换出口/多设备登录导致被拒绝”，请检查以上配置。
需要允许同用户多设备/多网络同时认证时，将其设为 0（无限制）或适当调大。

8008/8010/8015/8020 端口

Thu, 08 Jan 2026 09:13:07 GMT

问题现象

当在防火墙策略中应用 UTM Profiles（例如 Web Filter、AntiVirus、Application Control）后，在进行端口扫描或 PCI 合规检测（如外部安全审计）时，可能会发现 FortiGate 意外开放了一些非业务端口（8008/8010/8015/8020）。
即使目标网络内并不存在对应目的 IP，只要探测报文（TCP SYN）能够匹配到带 UTM 的策略，FortiGate 可能会对 8008/8010/8015/8020 端口返回 SYN ACK，使扫描结果显示这些端口为开启状态。
即使这些端口并未在防火墙策略中显式放行，扫描工具仍可能检测到端口状态异常，从而导致合规检测失败。

相关信息

该现象主要体现在端口探测时 FortiGate 的响应行为，导致合规扫描工具/安全基线检查看到“端口开放”。即便扫描结果显示端口为开启状态，流量并不会通过策略在这些端口“泄露/放通”，不会存在安全问题。

问题原因

当防火墙策略启用了 Web Filter/AV 等 UTM 配置文件后，FortiGate 可能会为以下功能开启临时监听内部端口，用于认证信息交互和替换页面内容传输，这些端口并非用于业务流量转发，而是 FortiGate 内部机制所需。

Authentication Override（当 UTM 动作为“认证”时的认证跳转页面）
Web Filter Replacement Message（阻断提示页面）

解决方法

如果出于安全合规要求，这些端口不能呈现开启状态，可通过以下配置让 FortiGate 关闭相关端口响应：

VDOM关闭状态下的命令：
config webfilter fortiguard
    set close-ports enable
end

VDOM开启状态下的命令：
config global
    config webfilter fortiguard
        set close-ports enable
    end
end

启用 `close-ports` 的影响

受影响的功能：

Web Filter 中 FortiGuard 分类的“警告（warning）”和“认证（authenticate）”动作将无法生效。
手动“临时放行/覆盖（override）被阻止的分类”功能将失效。
Web 过滤触发的替换页面（阻断页面）将不显示 Fortinet 的 Logo。

不受影响的功能：

Web Filter 中 FortiGuard 分类的“屏蔽（block）”动作仍然有效。
本地 URL Filter（白名单/黑名单）仍然生效。

配置建议

对于对合规性（PCI/安全扫描）要求高的生产环境，建议开启。
如果依赖用户认证覆盖或警告页面功能，请谨慎评估。

EMAC VLAN

Wed, 07 Jan 2026 09:19:50 GMT

警告

在 NP6XLite（SoC4）平台设备（如 60F/80F/100F/200F 等），请勿在 EMAC VLAN 相关流量被 NPU 加速的状态下使用此功能，否则可能会出现业务中断，其他平台设备可正常使用。
如必须在 NP6XLite（SoC4）平台设备使用此功能，请关闭 EMAC VLAN 相关的防火墙策略（config firewall policy）的 NPU 加速功能（set auto-asic-offload disable）。

功能简介

增强型 MAC VLAN（Enhanced MAC VLAN，以下简称 EMAC VLAN）是 FortiGate 设备中实现 VLAN 的一种方式。EMAC VLAN 主要用于需要通过同一物理接口模拟多个 VLAN 接口的情况。与传统的 MAC VLAN 不同，它增加了以下功能：

支持多个 MAC 地址：共享同一底层接口的每个 EMAC VLAN 都有一个唯一的 MAC 地址，可以与不同的 IP 地址和网络配置相结合。
VIP 和 IP Pool 支持：由于每个 EMAC VLAN 都具有唯一的 MAC 地址，每个 EMAC VLAN 接口都可以配置 VIP 和 IP Pool（普通的 VLAN 如果共享同一底层接口，由于多个 VLAN 的 MAC 地址相同，会使邻居路由器的 ARP 表无法区分）。
SNAT 支持：在策略中，可以选择禁用 SNAT，从而保留源 IP 地址的原始信息（原因与上条一致）。

工作原理

EMAC VLAN 并不会直接将数据包分配到底层交换机。在配置了 VLAN ID 的情况下，数据包会被打上 VLAN Tag，并通过底层接口的驱动程序进行处理。如果 VLAN Tag 不匹配，数据包将不会通过该接口。

使用 VLAN ID 的限制

在 EMAC VLAN 中配置 VLAN ID 时，VLAN ID 和底层接口必须唯一配对。所以即使是不同的 VDOM，也不能使用相同的 VLAN ID。

透明模式的限制

EMAC VLAN 不能在透明模式的 VDOM 中使用。在透明模式下，数据包会携带原始源的 MAC 地址，而不是接口的 MAC 地址，这与 EMAC VLAN 的工作方式冲突。

HA 中的处理

在 HA 配置中，EMAC VLAN 接口被视为物理接口，且有唯一的物理接口 ID。EMAC VLAN 接口的 MAC 表会与 HA 集群中的其他设备同步。在 HA 配置中，每个接口会被分配一个虚拟 MAC 地址。

配置示例

多个 VDOM 共享同一物理接口

FortiGate 有 4 个 VDOM：root（默认）、VDOM1、VDOM2、VDOM3，port1 接口属于 root VDOM。
FortiGate 通过 port1 连接到 Router，三个 VDOM 共享 port1。
每个 VDOM 配置一个 EMAC VLAN 接口，并且每个接口都有唯一的 MAC 地址，从而使得多个 VDOM 可以共享一个物理接口。

config global

config system interface
    edit "port1"
        set vdom "root"
        set type physical
        set snmp-index 9
    next
end

config system interface
    edit port1.emacvlan1
        set vdom VDOM1
        set ip 100.1.1.11 255.255.255.0
        set type emac-vlan
        set interface port1
    next
    edit port1.emacvlan2
        set vdom VDOM2
        set ip 100.1.1.12 255.255.255.0
        set type emac-vlan
        set interface port1
    next
    edit port1.emacvlan3
        set vdom VDOM3
        set ip 100.1.1.13 255.255.255.0
        set type emac-vlan
        set interface port1
    next
end
end

使用 NPU Vlink 接口进行连接

FortiGate 有 6 个 VDOM：root（默认）、VDOM1、VDOM2、VDOM3、VDOM4、VDOM5，VDOM1/VDOM3/VDOM5 通过 NPU Vlink 与 VDOM2/VDOM4 互联。
FortiGate NPU Vlink 为点对点连接，NPU Vlink 接口上的 VLAN 接口使用相同的 MAC 地址。由于 VLAN 接口共享相同 MAC 地址，不建议使用 NPU Vlink 和 VLAN 接口连接超过两个 VDOM。为避免同一 NPU Vlink 上 MAC 地址重叠，需要改用增强型 MAC VLAN。

config global
config system interface
    edit npu0_vlink0.emacvlan1
        set vdom VDOM1
        set ip 100.1.1.11 255.255.255.0
        set type emac-vlan
        set interface npu0_vlink0
    next
    edit npu0_vlink0.emacvlan2
        set vdom VDOM3
        set ip 100.1.1.13 255.255.255.0
        set type emac-vlan
        set interface npu0_vlink0
    next
    edit npu0_vlink0.emacvlan3
        set vdom VDOM5
        set ip 100.1.1.15 255.255.255.0
        set type emac-vlan
        set interface npu0_vlink0
    next
    edit npu0_vlink1.emacvlan1
        set vdom VDOM2
        set ip 100.1.1.12 255.255.255.0
        set type emac-vlan
        set interface npu0_vlink1
    next
    edit npu0_vlink1.emacvlan2
        set vdom VDOM4
        set ip 100.1.1.14 255.255.255.0
        set type emac-vlan
        set interface npu0_vlink1
    next
end
end

VLAN 接口使用独立的 MAC 地址

某些网络要求当 VLAN 接口共享同一物理端口时，每个 VLAN 接口必须拥有唯一的 MAC 地址。在此情况下，EMAC VLAN 接口的使用方式与普通 VLAN 接口相同。
还有一种情况是 FortiGate 做 HA 集群后，业务接口会使用 HA 的虚拟 MAC（如 00:09:0f:09:07:00，实际的物理 MAC 为 94:F3:92:53:AE:7A），某些运营商的 PPPoE Server 会对这种虚拟 MAC 地址做限制，导致 FortiGate 的 PPPoE 拨号失败。EMAC VLAN 在 HA 下会使用物理 MAC 地址（如 9A:F3:92:53:AE:7A，在 EMAC VLAN 上创建的 PPPoE 也会继承该物理 MAC 地址），从而规避该问题。
配置时使用 set vlanid 命令设置 VLAN Tag。VLAN ID 与接口必须构成唯一对应关系，即使它们属于不同的 VDOM。

config system interface
    edit emacvlan1
        set type emac-vlan
        set vlanid 10
        set interface wan1
    next
end

FortiGate # diagnose hardware deviceinfo nic emacvlan1
Description             EMacvlan Ethernet driver v1.0
System_Device_Name      emacvlan1
Lower_Device_Name       wan1
Current_HWaddr          9a:f3:92:53:ae:7a
Permanent_HWaddr        9a:f3:92:53:ae:7a
State                   up                                                           
Link                    up                                                            
npudev_oid              64                                                       
macvlan_id              0                                                        
vlan_id                 10                                                         
learn_mac               no                                                        
mode                    2

注意事项

每个物理接口最多可以创建 512 个增强型 MAC VLAN 接口。
所有接口的 MAC 地址总数不能超过 600 个，包括增强型 MAC VLAN 接口的 MAC 地址以及其他接口的 MAC 地址。

CLI 输出模式

Tue, 06 Jan 2026 08:01:27 GMT

功能简介

在 FortiGate 的 CLI 中，默认的输出行为为分页显示，即在输出内容达到屏幕上限时暂停显示，直到按下键盘上的某个键才能继续显示。这种分页模式对于 CLI 的输出非常常见，但如果希望查看完整的命令输出，或者将输出保存到日志文件中，则分页模式会频繁显示 --More--，影响阅读体验。

FortiGate 的 CLI 输出模式可以设置为 standard 模式（无暂停）或 more 模式（在屏幕满时暂停，按任意键继续）。此设置仅适用于 CLI 命令（Console、Web CLI、SSH/Telnet）的 show、?或 get 命令，而不影响 Debug 或 Sniffer 输出。

配置方法

config system console
    set output {standard | more}
end

standard：移除输出中的暂停，直接输出全部内容。

当需要通过 CLI 一次收集完整输出（如通过自动化收集），不希望输出受到分页干扰时，可以启用标准模式。
适用于通过 SSH 或其他 CLI 操作来执行配置文件导出等任务时，确保无间断输出。

FortiGate # show
......
config system global
    set admintimeout 60
    set alias "FortiGate-101F"
    set gui-auto-upgrade-setup-warning disable
    set gui-ipv6 enable
    set hostname "FortiGate-101F"
    set language simch
    set switch-controller enable
    set timezone "Asia/Shanghai"
    set virtual-switch-vlan enable
end
config system accprofile
    edit "prof_admin"
        set secfabgrp read-write
        set ftviewgrp read-write
        set authgrp read-write
        set sysgrp read-write
        set netgrp read-write
        set loggrp read-write
        set fwgrp read-write
        set vpngrp read-write
        set utmgrp read-write
        set wanoptgrp read-write
        set wifi read-write
        set cli-get enable
        set cli-show enable
        set cli-exec enable
        set cli-config enable
    next
......

more（默认）：分页模式，逐页查看输出结果，按任意键继续显示后续内容。

FortiGate # show
....
config system global
   set admin-scp enable
   set admin-sport 4443
   set admin-telnet disable
   set autorun-log-fsck enable
   set cfg-save manual
   set device-idle-timeout 60
   set gui-local-out enable
   set gui-theme onyx
   set management-port-use-admin-sport disable
   set proxy-auth-timeout 5
   set switch-controller enable
   set sys-perf-log-interval 1
   set timezone "Europe/Amsterdam"
end
config system accprofile
   edit "prof_admin"
       set secfabgrp read-write
       set ftviewgrp read-write
       set authgrp read-write
       set sysgrp read-write
       set netgrp read-write
       set loggrp read-write
--More--

总结

此设置是全局生效的，因此可能会对其他管理员产生影响，特别是在 Console 上使用时，由于 Console 打印速度较慢，如果没有中断的输出，执行如 show 的命令时，将会显示完整配置，直到输出完成为止。
该设置对 FortiManager 的 CLI 脚本特别有用，尤其是在通过 FGFM 隧道应用配置更改时。使用此设置可以确保配置不会因为分页而被中断。
此设置不影响 Debug 或 Sniffer 输出。

TTL=1 的组播无法转发

Mon, 05 Jan 2026 08:33:33 GMT

问题现象

在默认配置（启用 multicast-forward）下：

config system settings
    set multicast-forward enable
end

FortiGate 会丢弃 TTL（Time To Live）值为 1 的组播（Multicast）报文。
仅转发 TTL≥2 的组播 IP 报文（转发后变为 TTL=1）。

而 TTL=1 的组播流量在实际网络中非常常见，尤其用于链路本地（link-local）组播通信。在某些业务场景下（如特定协议或设备发现机制），需要 FortiGate 能够转发 TTL=1 的组播报文：

链路本地组播协议需要跨接口转发。
依赖 TTL=1 进行设备发现（如打印机发现）或服务通告的业务。
测试/实验环境中对组播 TTL 行为有明确控制需求。

解决方法

要允许 FortiGate 转发 TTL=1 的组播报文，需要启用 multicast-ttl-notchange 配置。启用后，FortiGate 不会修改组播报文的 TTL 值，即使 TTL=1，也允许进行组播转发。

config system settings
    set multicast-ttl-notchange enable
end

注意事项

multicast-forward 模式与 multicast-routing 不能同时启用，如果使用 multicast-forward，请确保 multicast-routing 已关闭。
组播相关配置可参考官方文档：https://docs.fortinet.com/document/fortigate/7.4.99/administration-guide/999756/multicast

GUI/CLI 连接问题

Sun, 04 Jan 2026 08:46:48 GMT

说明

当 FortiGate 出现 Web GUI（HTTP/HTTPS）或 CLI（SSH/Telnet）无法登录/连接时，可按本文进行基础的检查与抓包定位。

排查步骤

确认管理 IP/接口是否正确：先通过 Console 登录 FortiGate，确认你访问的管理 IP 属于哪个接口、接口当前地址是否正确。

show system interface mgmt

config system interface
    edit "mgmt"
        set vdom "root"
        set ip 11.10.10.253 255.255.255.0
        set allowaccess ping https ssh
        set type physical
        set dedicated-to management
        set role lan
        set snmp-index 2
    next
end

确认管理服务端口是否被改过：很多“连不上”的问题其实是端口不对（例如 HTTPS 不再是 443）。常见默认值示例：
- set admin-port 80（HTTP）
- set admin-sport 443（HTTPS）
- set admin-ssh-port 22（SSH）
- set admin-telnet-port 23（Telnet）
```
show full-configuration system global | grep 'set admin-\(port\|sport\|ssh-port\|telnet-port\)'

    set admin-port 8081
    set admin-sport 4443
    set admin-ssh-port 2222
    set admin-telnet-port 2323
```
确认接口层是否放行管理访问（allowaccess）：即使端口正确，如果接口没开启 HTTPS/SSH，也会无法访问。
```
show system interface mgmt | grep allowaccess

set allowaccess ping https ssh
```

检查是否配置了管理员可信主机（trusthost）：如果管理员账号设置了可信主机，只有在可信名单内的源 IP 才能登录（详情参考：系统管理 → 管理员配置 → 管理员设置章节。

客户端到 FortiGate 的路径上是否发生 SNAT。
若发生 SNAT，需要把 NAT 后的源 IP 加入 trusthost，否则会被拒绝。

show system admin

config system admin
    edit "admin"
        set vdom "root"
        set trusthost1 192.168.100.178 255.255.255.255
        set accprofile "super_admin"
        set password ENC PB2BUdKgOSS1ILNihB8s0TQOeY3mp/Pny1J0j6eQhSx1xODelJYY7SJv8b7pnZ0v9wUGUgXlSx7m1GkNttonTpQjUQQ6g4JqkjJoWuw6ynGKow=
    next
end

检查是否有 Local-in Policy 限制管理访问：如果配置了 Local-in Policy，可能会把管理流量挡掉（详情参考：策略与对象 → 本地流量策略 → Local-in 策略章节。

show firewall local-in-policy

config firewall local-in-policy
    edit 1
        set uuid 6f31b814-e943-51f0-e47b-b2c1eb16e4ad
        set intf "mgmt"
        set srcaddr "192.168.100.0/24"
        set dstaddr "all"
        set action accept
        set service "ALL"
        set schedule "always"
    next
    edit 2
        set uuid 056c756c-e944-51f0-318c-5c49729dd5e3
        set intf "mgmt"
        set srcaddr "all"
        set dstaddr "all"
        set service "ALL"
        set schedule "always"
    next
end

若仍无法解决：用 Debug Flow/Sniffer 定位：用于判断：流量是否到达、防火墙是否丢弃、服务进程是否报错等：
- Debug 与 Debug Flow：
```
diagnose debug reset
diagnose debug console timestamp enable

diagnose debug app httpsd -1    <
```

WAD 进程 Debug

Wed, 31 Dec 2025 09:19:49 GMT

在生产环境中进行 WAD 相关调试时，应结合客户端侧的精确代理访问控制，以及 FortiGate/FortiProxy 上对 WAD Debug 的严格过滤策略，既能满足问题定位需求，又能最大限度降低对设备性能和业务的影响。

FortiGate/FortiProxy 很多功能依赖 wad 进程来实现，很多时候需要使用 diag wad debug 来诊断故障。
但是 WAD Debug 的输出量很大，很容易造成设备 CPU 100%，甚至造成业务故障。
所以对 WAD Debug 做最细颗粒度的过滤是非常有必要的。

在进行 WAD 进程的 Debug 时，应注意如下事项：

控制客户端只有单个页面通过代理进行访问，而不是整机。方便 WAD Debug。
在 FortiGate/FortiProxy 精确限制 WAD Debug 的源 IP 和分类。

WAD Debug 举例

FortiGate 配置

配置代理功能，这里以 HTTP 显式代理端口 8080 为例。配置代理策略放通访问 Internet 的流量。

config web-proxy explicit
    set status enable
    set http-incoming-port 8080
    set https-incoming-port 8080
end

config firewall proxy-policy
    edit 1
        set name "web_proxy_internet"
        set proxy explicit-web
        set dstintf "wan1"
        set srcaddr "192.168.100.0/24"
        set dstaddr "all"
        set service "webproxy"
        set action accept
        set schedule "always"
    next
end

客户端配置

为客户端（192.168.100.99）浏览器（这里以 Chrome 为例）安装 ZeroOmega 插件（Edge 可以通过微软商店安装）。
插件安装成功后，在扩展程序设置（chrome://extensions/?id=pfnededegaaopdmhkdmcofjmoldfiped，Edge 为 edge://extensions/?id=pfnededegaaopdmhkdmcofjmoldfiped）中，建议将其固定到工具栏，并开启“在无痕模式下启用”。
点击 ZeroOmega 插件图表，点击“选项”按钮。
点击“新建情景模式”按钮，填写“情景模式名称”，选择类型为“代理服务器”，然后点击“创建”按钮。
填写代理服务器地址、端口、认证信息（如需），然后点击“应用选项”。
关闭客户端系统的代理。

WAD Debug 过程

使用 SSH 登录 FortiGate/FortiProxy 并执行 Debug（建议开启终端软件的日志记录），注意限制 Debug 的过滤条件。
```
diagnose debug reset
diag debug console timestamp enable
diagnose wad filter src 192.168.100.177     <
```

交换机零配置跨二层部署

Wed, 31 Dec 2025 09:19:49 GMT

功能介绍

FortiSwitch 的 FortiLink 部署通常有两种方式：

FortiSwitch 与防火墙直连时的 FortiLink 二层部署方式。
FortiSwitch 与 FortiGate 之间串接第三方二层交换机时的 FortiLink 三层部署。

本文重点介绍第二种方式。

网络拓扑

FortiSwitch 与 FortiGate 之间串接第三方二层交换机，网络中所有设备的网关都在 FortiGate 防火墙上。
FSW224E 交换机零配置通过 FortiLink 三层部署自动上线。
FortiGate A 口开启 FortiLink，管理 FortiSwitch，FortiGate A 口不需要接入网线。
FortiGate internal1 口作为交换机的网关。
FortiGate internal1 口的 vlan10 子接口作为 FAP 的管理接口。

配置步骤/结果验证

配置防火墙 internal1 接口，internal1 接口作为交换机的网关，通过 DHCP 给交换机分配 IP 地址，以及通过 DHCP Option 138 下发的 FortiLink 接口管理地址。
在“系统管理 → 设置”中的 NTP 侦听端口中增加 internal1 作为交换机 NTP Server。
配置 internal1 → FortiLink 接口之间放通的 FortiGate 策略。
- 默认在 FortiGate 的 GUI 页面是无法选择到 FortiLink 接口的，可以先在 GUI 页面选择一个别的不用的接口，然后在这个 FortiGate 策略的 CLI 下选择 FortiLink 接口。
- 然后 GUI 页面可以显示出 FortiLink 接口。
- internal1 和 FortiLink 接口之间不能使用 NAT 方式通讯。

第三方二层交换机配置（以 Cisco 交换机为例）。

#
vlan 10
#
vlan 4094
#
interface Ethernet1/0/23
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 4094
#
interface Ethernet1/0/24
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 4094
#

交换机上线。
授权交换机。

授权交换机后一段时间，交换机上线。

FortiLink interface : fortilink
SWITCH-ID         VERSION           STATUS         FLAG   ADDRESS              JOIN-TIME            SERIAL          
S224EPTF21000367  v7.4.8 (929)      Authorized/Up   3    172.16.100.3    Tue Dec 30 15:32:00 2025    S224EPTF21000367

         Flags: C=config sync, U=upgrading, S=staged, D=delayed reboot pending, E=config sync error, 2=L2, 3=L3, V=VXLAN, T=tunnel, X=External
         Managed-Switches: 1 (UP: 1 DOWN: 0 MAX: 24)

交换机状态查询。

S224EPTF21000367 # execute switch-controller get-conn-status 

Get managed-switch S224EPTF21000367 connection status:
Connection: Connected
Image Version: FGT60F-v7.4-build2829
Remote Address: 10.255.1.1
Join Time: Tue Dec 30 15:32:00 2025
DTLS Version: DTLSv1.2

交换机上会自动建立下面的 Foritlink trunk：

S224EPTF21000367 # show switch trunk 
config switch trunk
    edit "_FLinkDhcpDisc_"
        set auto-isl 1
        set static-isl enable
        set members "port23"         
    next
end

配置 FAP 的管理 VLAN。
- 需要同时在 FortiLink 接口和 internal1 接口下配置 VLAN 子接口。
- FortiLink 接口下的 vlan10 子接口只是用来做 FortiLink VLAN 下发给交换机用的，所以不需要配置 IP 地址。internal1 下 vlan10 接口的配置：
配置交换机 port1 口的 AP 管理 VLAN。
AP 上线，AP 接入网络中后会从 internal1 的 vlan10 接口获取到 IP 地址，然后 FortiGate 上需要授权 AP。
授权 AP 后，AP 上线。

FSSO Agent SSL 配置

Tue, 30 Dec 2025 07:43:51 GMT

功能简介

FSSO Agent 与 FortiGate/FortiProxy 之间交互支持 SSL 加密。
其中 FSSO Agent 需要导入 .crt 和 .key 加上 phrase。
FortiGate/FortiProxy 则需要导入根 CA 证书。
openssl.exe 工具 可以将常见的 Web 服务器证书 pfx 文件转换成这些文件。

配置步骤

克隆并发布 Web 证书模板（允许私钥导出）。
对新模板授予 DC 完全权限。
颁发模板到 DC。
申请并导出 pfx 证书文件。

pfx 文件转换：使用 openssl.exe 工具 从 .pfx 文件导出三个文件：

C:\Users\Administrator.X\Downloads\CA2>dir
 驱动器 C 中的卷没有标签。
 卷的序列号是 7053-3A8D

 C:\Users\Administrator.X\Downloads\CA2 的目录

2025/12/17  16:56    <DIR>          .
2025/12/17  16:56    <DIR>          ..
2025/12/17  16:55             5,329 FSSO-SSL-8263.pfx
               1 个文件          5,329 字节
               2 个目录 94,788,481,024 可用字节

C:\Users\Administrator.X\Downloads\CA2>C:\"Program Files"\OpenSSL-Win64\bin\openssl.exe  pkcs12 -in FSSO-SSL-8263.pfx -out fsso_agent.crt
Enter Import Password:             \\MMC导出时的密码
Enter PEM pass phrase:             \\crt附带phrase
Verifying - Enter PEM pass phrase:  \\二次确认phrase
Bag Type: 1.3.6.1.4.1.311.17.4
Bag Value:
C:\Users\Administrator.X\Downloads\CA2>C:\"Program Files"\OpenSSL-Win64\bin\openssl.exe  pkcs12 -in FSSO-SSL-8263.pfx -nocerts -out fsso_agent.key
Enter Import Password:             \\MMC导出时的密码
Enter PEM pass phrase:             \\crt附带phrase
Verifying - Enter PEM pass phrase:  \\二次确认phrase
Bag Type: 1.3.6.1.4.1.311.17.4
Bag Value:
C:\Users\Administrator.X\Downloads\CA2>C:\"Program Files"\OpenSSL-Win64\bin\openssl.exe  pkcs12 -in FSSO-SSL-8263.pfx  -cacerts -nokeys -out root_ca.pem
Enter Import Password:
Bag Type: 1.3.6.1.4.1.311.17.4
Bag Value:
C:\Users\Administrator.X\Downloads\CA2>
C:\Users\Administrator.X\Downloads\CA2>
C:\Users\Administrator.X\Downloads\CA2>
C:\Users\Administrator.X\Downloads\CA2>dir
 驱动器 C 中的卷没有标签。
 卷的序列号是 7053-3A8D

 C:\Users\Administrator.X\Downloads\CA2 的目录

2025/12/17  16:58    <DIR>          .
2025/12/17  16:58    <DIR>          ..
2025/12/17  16:55             5,329 FSSO-SSL-8263.pfx
2025/12/17  16:58             7,843 fsso_agent.crt
2025/12/17  16:58             3,341 fsso_agent.key
2025/12/17  16:58             3,234 root_ca.pem
               4 个文件         19,747 字节
               2 个目录 94,788,460,544 可用字节

.crt 文件和 .key 文件还有 phrase，用于导入 FSSO Agent。
.pem 文件用于导入到 FortiGate/FortiProxy。

导入 .crt 与 .key 文件到 FSSO Agent。
导入 CA 到 FortiGate/FortiProxy。

在 FSSO 引用 CA 证书。

结果验证

验证 FortiGate/FortiProxy 与 FSSO Agent 的 SSL 连接状态。

CLI 连接状态正常。

FortiGate # diagnose debug authd fsso server-status 

Server Name			     Connection Status     Version               Address

FortiGuard 连接问题

Wed, 24 Dec 2025 09:14:24 GMT

FortiGuard 通信机制

FortiGuard 并不是“只要买了/注册了许可证就自动生效”的服务。FortiGate 要正常使用 FortiGuard，必须同时满足以下四个条件：

许可证在 Fortinet 官方支持平台（support.fortinet.com）中真实有效。
FortiGate 能够与 FortiGuard 服务器建立通信。
许可证信息已成功同步到 FortiGate 设备本地。
相关安全功能（如 IPS/AV）在策略中被实际启用并使用。

只要其中任意一个条件不满足，就可能出现“许可证异常”或“特征库不更新”的现象。

更新常见问题

Fortinet 官方支持平台（support.fortinet.com）中显示许可证仍然有效，但 FortiGate GUI 显示 FortiGuard 服务或许可证已过期。
防病毒（AV）、入侵防御（IPS）等安全功能特征库长时间未更新。
FortiGate 无法成功连接 FortiGuard 更新服务器。

上述情况并不一定代表许可证真实失效，而通常与许可证同步机制、网络连通方式或更新路径受限有关。

问题原因

许可证与设备同步问题。Fortinet 官方支持平台（support.fortinet.com）中显示许可证仍然有效，但 FortiGate GUI 显示 FortiGuard 服务或许可证已过期。
- 许可证刚完成激活或续费，FortiGuard 后端同步尚未完成（通常需要 24~48 小时）。
- HA 集群中存在成员设备未注册或存在已到期服务，导致集群整体被判定为许可证异常。
- FortiGate 设备长时间未与 FortiGuard 成功通信，本地的许可证状态未刷新。
无法访问 FortiGuard。
- 当 FortiGate 无法与 FortiGuard 服务器建立连接时，特征库和许可证状态均无法更新。
- FortiGate 无法直连互联网，或仅允许有限出口访问。
- FortiGate 自发流量（更新请求、DNS 查询）被错误地引导进入错误接口（如无法访问 Internet 的 VPN 接口）。
- 上游防火墙、ISP 或云环境限制 FortiGuard 所需的端口或目标地址。
- Anycast 启用状态与网络实际出口策略不匹配。
DNS 解析异常或被劫持。
- FortiGuard 更新依赖域名访问，即使 IP 层可达，DNS 解析失败仍会导致更新失败。
- FortiGate 使用的 DNS 服务器无法解析 FortiGuard 相关域名。
- DNS 查询被重定向、污染或拦截。
- DNS 服务器仅允许内网解析，未放行外部域名。
FortiGuard 查询/更新端口受限。端口受限时，更新请求可能发出但无法建立有效会话。
- Web Filter/DNS Filter 所需端口（53/443/8888）被防火墙或 ISP 阻断。
- FortiGate 使用的源端口范围被上游设备限制。
- Anycast 启用时，部分区域 FortiGuard 节点不可达。
FortiGuard 功能未被实际启用。如果对应的安全功能未在防火墙策略中应用，即使许可证在本地有效，FortiGate 不会触发对应特征库的下载与更新。
- AV/IPS 配置文件未绑定到任何防火墙策略。
- 对应安全功能在“可见功能”中被隐藏或未启用。
受限网络或隔离网络架构。在受限网络中，必须额外配置 FortiGuard 通信路径，否则更新将始终失败。
- FortiGate 部署在无互联网或严格隔离网络中。
- 未配置 FortiManager 本地 FDS。
- 未通过代理服务器访问 FortiGuard。

排查步骤

排查 FortiGuard 问题必须同时检查许可证、网络连通性和更新配置，而非仅依据 GUI 显示结果判断。

手动触发更新

重要

若 AV/IPS Profile 未绑定到任何策略，即使许可证有效，特征库也不会更新。

GUI：进入“系统管理 → FortiGuard”页面，点击“立即更新许可证和定义”按钮。
CLI：执行 execute update-now 命令。

查看同步过程的 Debug 信息，如果更新失败，Debug 信息中会提示对应的失败原因：

diagnose debug reset
diagnose debug application update -1
diagnose debug enable
execute update-now

完成后执行：
diagnose debug disable

其他更细化的手动更新命令：

execute update-av
execute update-ips
execute update-geo-ip
execute update-list
execute update-external-resource
execute update-ffdb-on-demand

检查 HA 成员许可证

HA 集群中所有成员必须有有效许可证。
所有设备必须绑定在同一个 FortiCare 账号下。
GUI 只会显示 HA 成员中最早到期的许可证时间。
若 HA 成员设备未注册，HA 集群许可证将被判定为无效。

检查自动更新与 FDS 状态

FortiGate # diagnose autoupdate status
FDN availability:  available at Wed Dec 24 03:04:03 2025
                   last successful time: Wed Dec 24 03:04:03 2025
Scheduled update: enable
        Update daily:   at 3 after 60 minutes
Virus definitions update: enable
IPS definitions update: enable
DLP Signature status:
        DLP signature json file not found.

FDN availability：是否可访问 FortiGuard 网络。
Scheduled update：是否启用定时更新。
Virus definitions update / IPS definitions update：更新是否开启。
Web proxy tunneling：是否通过代理访问 FortiGuard。

查看特征库/引擎状态

FortiGate # diagnose autoupdate versions

AV Engine

路由反射器

Tue, 23 Dec 2025 09:44:57 GMT

背景介绍

在 iBGP 环境中，BGP 水平分割规则会阻止从一个 iBGP 邻居学习到的路由再通告给其他 iBGP 邻居。

为保证 AS 内路由的完整传播，传统设计需要在所有 iBGP 路由器之间建立全互联邻居关系。当 AS 内 BGP 节点数量增多时，会导致 iBGP 邻居数量急剧增加，配置复杂、控制平面负担加重。

通过在 AS 内部署 BGP 路由反射器（RR，下文简称 RR），集中建立 iBGP 邻居关系，其余 iBGP 路由器作为路由反射客户端（RR Client，下文简称 RR 客户端），仅与 RR 建立会话，从而减少 iBGP 全互联需求。

网络拓扑

FGT-1 作为 RR（RR）。
FGT-2、FGT-3、FGT-4、FGT-5 作为 RR 客户端。
所有设备位于同一 AS 65000。
RR 客户端之间不直接建立 iBGP 邻居，仅与 FGT-1 建立邻居。
RR 在 RR 客户端之间反射 iBGP 路由。

配置方法

RR 客户端

在 RR 客户端（FGT-2/FGT-3/FGT-4）上，仅需与 RR 建立 iBGP 邻居关系，配置示例如下（基础 BGP 配置略）：

config router bgp
    set as 65000
    set router-id 169.254.10.2
    config neighbor
        edit "169.254.10.1"
            set next-hop-self enable
            set interface "Loopback1"
            set remote-as 65000
            set update-source "Loopback1"
        next
    end
end

RR

RR（FGT-1）需要与 AS 内所有 RR 客户端（FGT-2/FGT-3/FGT-4）分别建立 iBGP 邻居关系，并在邻居配置中启用 route-reflector-client/route-reflector-client6 参数：

config router bgp
    set as 65000
    set router-id 169.254.10.1
    config neighbor
        edit "169.254.10.2"
            set soft-reconfiguration enable
            set interface "Loopback1"
            set remote-as 65000
            set update-source "Loopback1"
            set route-reflector-client enable
        next
        edit "169.254.10.3"
            set soft-reconfiguration enable
            set interface "Loopback1"
            set remote-as 65000
            set update-source "Loopback1"
            set route-reflector-client enable
        next
        edit "169.254.10.4"
            set soft-reconfiguration enable
            set interface "Loopback1"
            set remote-as 65000
            set update-source "Loopback1"
            set route-reflector-client enable
        next
    end
end

由于 RR 的客户端可能数量众多，也可以选择使用 BGP 邻居组的方式来简化配置：

config router bgp
    config neighbor-group
        edit "RR"
            set soft-reconfiguration enable
            set interface "Loopback1"
            set remote-as 65000
            set update-source "Loopback1"
            set route-reflector-client enable
        next
    end
    config neighbor-range
        edit 1
            set prefix 169.254.10.0 255.255.255.0
            set neighbor-group "RR"
        next
    end
end

NEXT_HOP 属性

在 FortiGate 上，RR 仅改变 iBGP 路由的传播方式，而不会默认修改任何 BGP 路径属性，详情参考：路由 → 动态路由 → BGP → BGP 常见问题 → RR 反射路由无法修改属性章节。

在默认行为下，即使 RR 反射了路由，NEXT_HOP 仍保持为原始学习到的下一跳。例如：

RR（FGT-1）从 FGT-2 学习到的 iBGP 路由，其 NEXT_HOP 仍指向 FGT-1 的 169.254.10.2。
RR 客户端 FGT-3/FGT-4 接收到该反射路由后，NEXT_HOP 仍为 FGT-2 的 169.254.10.2，而不是 RR 本身（169.254.10.1）。
若 RR 客户端 FGT-3/FGT-4 无法通过 IGP 到达该 NEXT_HOP，则可能导致转发失败。

修改非反射路由 NEXT_HOP

对于非反射路由（如 eBGP 学习的路由），可以在 BGP 邻居配置上开启 next-hop-self/next-hop-self6，该方式不会影响被反射的 iBGP 路由：

config router bgp
    config neighbor
        edit "169.254.10.2"
            set remote-as 65001
            set next-hop-self enable
        next
    end
end

修改反射路由 NEXT_HOP

在 iBGP 路由反射场景中，next-hop-self/next-hop-self6 不会修改被反射的 iBGP 路由的 NEXT_HOP，但 next-hop-self-rr /next-hop-self-rr6 参数可以修改反射路由的 NEXT_HOP。

启用后，所有由 RR 反射给 RR 客户端的 iBGP 路由，其 NEXT_HOP 将被统一修改为 RR 自身地址。如下配置：

在 RR（FGT-1）上，对每一个 RR 客户端启用：

config router bgp
    config neighbor
        edit "169.254.10.2"
            set next-hop-self-rr enable
        next
        edit "169.254.10.3"
            set next-hop-self-rr enable
        next
        edit "169.254.10.4"
            set next-hop-self-rr enable
        next
    end
end

或在 RR 的 BGP 邻居组中启用：

config router bgp
    config neighbor-group
        edit "RR"
            set route-reflector-client enable
        next
    end
end

配置完成后，需要在 RR 上执行路由刷新，以触发路由重新学习（详情参考：路由 → 动态路由 → BGP → BGP 路由刷新章节）：
```
execute router clear bgp all soft
```

文件系统检查

Mon, 22 Dec 2025 08:30:35 GMT

功能介绍

设备启动或登录 CLI 时，如果出现如下告警信息：

WARNING: File System Check Recommended! An unsafe reboot may have caused an inconsistency in the disk drive.
It is strongly recommended that you check the file system consistency before proceeding.
Please run 'execute disk scan 259'
Note: The device will reboot and scan the disk during startup. This may take up to an hour.

GUI 中也会能弹出“推荐文件系统检查”提示：

该提示表示设备检测到上一次关机过程不安全。通常发生在未使用 execute shutdown 正常关机的情况下，例如突然断电、强制重启或异常掉电。

在此类场景中，系统无法确认磁盘文件系统是否被完整、正确地卸载，因此在启动过程中检测到潜在的不一致状态。

由于掉电或异常重启时，磁盘写入操作可能尚未完成，数据有可能仅被部分写入，从而导致文件系统状态不一致。为防止隐藏的磁盘或文件系统错误进一步扩大，系统通过该提示提醒管理员执行文件系统检查。

该行为属于 FortiGate 设备的磁盘与文件系统完整性保护机制，并非设备故障或系统异常。如果不进行文件系统检查，可能在后续运行中引发日志异常、存储错误或系统稳定性风险。

执行磁盘检查

注意

整个检查过程通常耗时 5~15 分钟，大容量磁盘或部分型号可能更久（最多可达 1 小时），请在业务窗口期执行。

GUI

在登陆 FortiGate GUI 后弹出的“推荐文件系统检查”提示窗口中点击“重启并检查文件系统”。
推荐开启“自动文件系统检查”，点击“确认”按钮，将重启设备并执行磁盘检查。
确认后设备将：
- 卸载相关分区
- 执行磁盘扫描
- 扫描完成后自动重启
随后磁盘检查告警信息将不再出现。

CLI

查看磁盘的分区编号，如下所示，磁盘 partition ref 为 259。

FortiGate # exe disk list 

Disk Internal        ref: 258 447.1GiB    type: SSD [ATA Micron_5200_MTFD] dev: /dev/sda
  partition ref: 259 440.1GiB, 439.0GiB free  mounted: Y  label: LOGUSEDX2E9CDAE8 dev: /dev/sda1 start: 2048

执行磁盘扫描，键入 y 后会自动重启并执行磁盘扫描。

FortiGate # execute disk scan 259
scan requested for:  device=/dev/sda1 259/Internal status=enable media-status=enable
This action requires the unit to reboot.
Do you want to continue? (y/n)

启用自动文件系统检查

当发生非正常关机后，下次启动自动执行文件系统检查，避免反复弹窗提醒（也可以在上文提到的“推荐文件系统检查”提示窗口中直接开启）：

config system global
    set autorun-log-fsck enable
end

附 FortiManager 的开启方法：

config fmupdate fwm-setting
    set auto-scan-fgt-disk enable
end

HA 场景注意事项

建议先在备机（Secondary）执行磁盘扫描。
备机扫描完成、HA 状态恢复后，进行一次主备切换，再对另一台设备执行相同操作。

BGP 选路忽略 AS-PATH

Wed, 17 Dec 2025 09:10:53 GMT

功能简介

在 BGP 协议中，路由选择过程中，默认会通过多个路由属性算法来选择最佳路径。其中，AS-PATH 长度的比较是一个关键步骤。通常，AS-PATH 越短，表示路径越短，经过的 AS 数目越少，延迟和跳数更低，通常会被认为是性能更好的路径。

然而在某些场景下，AS-PATH 的长度可能并不反映网络的实际性能或可用性，管理员可能希望优先选择其他路由属性，如 localpref（local preference）、MED 或 IGP（内部网关协议）度量。

启用 bestpath-as-path-ignore 功能，可以使 BGP 在选择最佳路径时跳过对 AS-PATH 长度的比较，而将其他路由属性（如 localpref）作为决定因素，从而根据更合适的标准进行路径选择。

配置方法

config router bgp
    set bestpath-as-path-ignore [enable | disable]
end

网络拓扑

FGT-1（AS 65001）：与外部网络和多个本地路由器（如 FGT-2）建立 eBGP 邻居。
FGT-2（AS 65006）：与 FGT-1（AS 65001）和外部 AS 65007 建立 eBGP 邻居。
FGT-1 与外部 AS 65007 之间存在多个 BGP 路径，有的路径的 AS-PATH 较短，而有的路径的 AS-PATH 较长（如通过其他 AS 进行路径预处理）。
FGT-2 上，有两条路径到达 77.77.77.0/24 网络：
- 路径 1：通过 101.101.101.1，AS-PATH 为 65001 65007（长度为 2），localpref 为 100。
- 路径 2：通过 201.201.201.1，AS-PATH 为 65001 65002 65007（长度为 3），localpref 为 200。

在默认情况下，BGP 会选择路径 1，因为 AS-PATH 较短。然而，通过启用 bestpath-as-path-ignore 命令后，BGP 将忽略 AS-PATH 长度的比较，而选择路径 2，因为路径 2 的 localpref（200）高于路径 1 的 localpref（100）。

FGT-2 # get router info bgp network 77.77.77.0/24
VRF 0 BGP routing table entry for 77.77.77.0/24
Paths: (2 available, best #1, table Default-IP-Routing-Table)
Original VRF 0
65001 65007 # Shorter path (length 2)
101.101.101.1 from 101.101.101.1 (19.19.19.19)
Origin IGP metric 0, localpref 100, valid, external, best
Last update: Tue Aug 26 12:15:57 2025
Original VRF 0
65001 65002 65007 # Longer path (length 3)
201.201.201.1 from 201.201.201.1 (19.19.19.19)
Origin IGP metric 0, localpref 200, valid, external
Last update: Tue Aug 26 12:15:57 2025

此时需要 BGP 选择一个路径时，不仅仅依赖 AS-PATH 长度，还能够根据其他属性（如 localpref 或 MED）来进行优化选择。

验证步骤

在 FGT-2 上启用 set bestpath-as-path-ignore 命令，以忽略 AS-PATH 长度，并优先选择 localpref 更高的路径。

config router bgp
    set as 65006
    set bestpath-as-path-ignore enable
    config neighbor
        edit "101.101.101.1"
            set remote-as 65001
            set local-preference 200    ←

LDAPS CA 强制认证

Tue, 16 Dec 2025 09:17:59 GMT

功能介绍

自 FortiOS 7.4.4 版本开始，FortiGate 在 LDAPS/STARTTLS 配置中实施了证书颁发者强制执行。也就是说，服务器的证书颁发者证书（根证书）必须安装在 FortiGate 上，否则认证将会失败。

diagnose debug app fnbamd -1
diagnose debug enable

[433] start_remote_auth-Total 1 server(s) to try 
[1881] handle_req-r=4
[1378] __ldap_tcps_connect-Start ldap conn timer.
[1666] __verify_cb-Cert error 20, unable to get local issuer certificate. Depth 0. Subject '/CN=ion-kvm88.labtest.local'
[1345] __ldap_tcps_connect-tcps_connect(10.192.11.88) failed: ssl_connect() failed: 167772294 (error:0A000086:SSL routines::certificate verify failed).
[1642] __ldap_error-Ret 5, st = 0.
[1679] __ldap_error-
[1485] __ldap_tcps_close-closed.
[1567] __ldap_conn_stop-Stop ldap conn timer.

即使没有选择“服务器证书”（ca-cert），FortiGate 也要求验证 LDAP 服务器的 CA 证书。

config user ldap
    edit "LDAPS"
        set server "192.168.100.177"
        set server-identity-check disable
        set cnid "cn"
        set dn "CN=Administrator,CN=Users,DC=fortibj,DC=com"
        set type regular
        set username "adminfw"
        set password xxxxx
        set secure ldaps
        set ca-cert ""
        set port 636
    next
end

解决方法

为避免出现此错误，需要将签署服务器证书的根证书导入到 FortiGate 证书存储库中。可以通过以下步骤完成：

导入根 CA 证书到 FortiGate（步骤请参考：系统管理 → 系统设置 → 证书管理章节）。
重新测试 LDAPS/STARTTLS 认证连接。

在 fnbamd 的 debug 信息中，服务器证书（深度 0）和根 CA（深度 1）都已正确安装。

diagnose debug app fnbamd -1
diagnose debug enable

[433] start_remote_auth-Total 1 server(s) to try
[1881] handle_req-r=4
[1378] __ldap_tcps_connect-Start ldap conn timer.
[1669] __verify_cb-Cert preverify ok. Depth 1. Subject '/DC=local/DC=labtest/CN=labtest-ION-KVM88-CA'
[1669] __verify_cb-Cert preverify ok. Depth 0. Subject '/CN=ion-kvm88.labtest.local'
[1378] __ldap_tcps_connect-Start ldap conn timer.
[1363] __ldap_tcps_connect-tcps_connect(10.192.11.88) is established. Current state: Connecting.
[1120] __ldap_auth_ctx_reset-
[984] __ldap_next_state-State: Connecting -> Admin Binding
[1378] __ldap_tcps_connect-Start ldap conn timer.
[1221] __ldap_rxtx-fd 10, state 2(Admin Binding)
[1223] __ldap_rxtx-Stop ldap conn timer.

注意事项

如果在导入了根证书后仍然出现 Unknown CA 错误，请确保根证书被正确安装到远程 CA 存储区，而不是本地 CA 存储区。若证书安装在本地 CA 存储区，认证会失败。

npu-neighbor-update

Mon, 15 Dec 2025 09:51:42 GMT

网络需求

在 FortiGate 上，流量在条件满足时会从 CPU 转发路径迁移到 NP（Network Processor）硬件加速，提升性能。

但在某些“单向/弱回包”业务（最常见是 UDP 单向发送，如 UDP Syslog）中，如果会话被 NP 加速，如下所示的场景中：

Syslog Sender 持续向 UDP Syslog Server 发送系统日志流量（UDP 端口 514）。UDP Syslog Server 不会主动发送任何数据包。
默认配置下，在建立 UDP 会话且 UDP 流量经 NP 加速后，FortiGate 将不再对目标 IP（UDP Syslog Server）发送 ARP 探测。
此期间因 Syslog Server 无任何数据发送，其在 L2 Switch MAC 地址表中的条目将超时删除（因为交换机是通过源 MAC 地址来学习 MAC 地址表）。
随后发往该交换机的 UDP 流量将泛洪至交换机的所有端口，可能导致其他业务流量受阻。

解决方法

npu-neighbor-update 的目标就是：在这些 NP 加速会话存在时，通过主动探测来更新邻居信息，降低上述风险。该功能默认关闭，当 npu-neighbor-update 启用后：

config system global
    set npu-neighbor-update [enable/disable]
end

对 IPv4：FortiGate 会周期性发送 ARP 探测来更新邻居（ARP 表项/可达性）。
对 IPv6：FortiGate 会周期性发送 ICMPv6 NDP 探测（Neighbor Solicitation/Advertisement）来更新邻居。

效果验证

可使用 diagnose sys session list 相关命令查看会话 NP 加速状态，可以看到 Syslog 流量被 NP 单向加速。

session info: proto=17 proto_state=00 duration=33 expire=147 timeout=0 refresh_dir=both flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
state=log may_dirty npu f00 
statistic(bytes/packets/allow_err): org=1056/2/1 reply=0/0/0 tuples=2
tx speed(Bps/kbps): 0/0 rx speed(Bps/kbps): 0/0
orgin->sink: org pre->post, reply pre->post dev=44->8/8->44 gwy=10.10.13.1/0.0.0.0
hook=pre dir=org act=noop 192.168.100.110:161->10.10.13.100:514(0.0.0.0:0)
hook=post dir=reply act=noop 10.10.13.100:514->192.168.100.110:161(0.0.0.0:0)
misc=0 policy_id=11 pol_uuid_idx=674 auth_info=0 chk_client_info=0 vd=0
serial=000014bf tos=ff/ff app_list=0 app=0 url_cat=0
rpdb_link_id=00000000 ngfwid=n/a
npu_state=0x000400 ofld-O
npu info: flag=0x81/0x00, offload=8/0, ips_offload=0/0, epid=67/0, ipid=95/0, vlan=0x0000/0x0000
vlifid=95/0, vtag_in=0x0000/0x0000 in_npu=1/0, out_npu=1/0, fwd_en=0/0, qid=5/0
no_ofld_reason:

抓包观察是否存在探测报文：

IPv4（ARP）：diagnose sniffer packet 'arp and host ' 6 0 l。可以看到仅首次 ARP 探测为广播数据包，后续 ARP 探测数据包均为单播数据包。因此对网络影响甚微。

FortiGate # diagnose sniffer packet wan2 'arp and host 10.10.13.100' 6 0 l
interfaces=[wan2]
filters=[arp and host 10.10.13.100]
2023-09-22 09:29:55.517446 wan2 -- arp who-has 10.10.13.100 tell 10.10.13.2
0x0000   ffff ffff ffff e023 ff67 e39d 0806 0001        .......#.g......
0x0010   0800 0604 0001 e023 ff67 e39d 0a0a 0d02        .......#.g......
0x0020   0000 0000 0000 0a0a 0d64                       .........d

2023-09-22 09:29:55.517581 wan2 -- arp reply 10.10.13.100 is-at 00:09:0f:09:00:04
0x0000   e023 ff67 e39d 0009 0f09 0004 0806 0001        .#.g............
0x0010   0800 0604 0002 0009 0f09 0004 0a0a 0d64        ...............d
0x0020   e023 ff67 e39d 0a0a 0d02 0000 0000 0000        .#.g............
0x0030   0000 0000 0000 0000 0000 0000                  ............

2023-09-22 09:30:28.630294 wan2 -- arp who-has 10.10.13.100 tell 10.10.13.2
0x0000   0009 0f09 0004 e023 ff67 e39d 0806 0001        .......#.g......
0x0010   0800 0604 0001 e023 ff67 e39d 0a0a 0d02        .......#.g......
0x0020   0000 0000 0000 0a0a 0d64                       .........d

2023-09-22 09:30:28.630416 wan2 -- arp reply 10.10.13.100 is-at 00:09:0f:09:00:04
0x0000   e023 ff67 e39d 0009 0f09 0004 0806 0001        .#.g............
0x0010   0800 0604 0002 0009 0f09 0004 0a0a 0d64        ...............d
0x0020   e023 ff67 e39d 0a0a 0d02 0000 0000 0000        .#.g............
0x0030   0000 0000 0000 0000 0000 0000                  ............

2023-09-22 09:31:01.750293 wan2 -- arp who-has 10.10.13.100 tell 10.10.13.2
0x0000   0009 0f09 0004 e023 ff67 e39d 0806 0001        .......#.g......
0x0010   0800 0604 0001 e023 ff67 e39d 0a0a 0d02        .......#.g......
0x0020   0000 0000 0000 0a0a 0d64                       .........d

2023-09-22 09:31:01.750406 wan2 -- arp reply 10.10.13.100 is-at 00:09:0f:09:00:04
0x0000   e023 ff67 e39d 0009 0f09 0004 0806 0001        .#.g............
0x0010   0800 0604 0002 0009 0f09 0004 0a0a 0d64        ...............d
0x0020   e023 ff67 e39d 0a0a 0d02 0000 0000 0000        .#.g............
0x0030   0000 0000 0000 0000 0000 0000                  ............
......

IPv6（NDP/ICMPv6）：diagnose sniffer packet 'icmp6 and host ' 4 0 l。

FortiGate (Interim)# diagnose sniffer packet wan2 'host 2200::64' 4 0 l
interfaces=[wan2]
filters=[host 2200::64]
2023-09-21 10:59:29.680777 wan2 -- fe80::e223:ffff:fe67:e39d -> 2200::64: icmp6: neighbor sol: who has 2200::64
2023-09-21 10:59:29.680929 wan2 -- 2200::64 -> fe80::e223:ffff:fe67:e39d: icmp6: neighbor adv: tgt is 2200::64
2023-09-21 11:00:04.640780 wan2 -- fe80::e223:ffff:fe67:e39d -> 2200::64: icmp6: neighbor sol: who has 2200::64
2023-09-21 11:00:04.640949 wan2 -- 2200::64 -> fe80::e223:ffff:fe67:e39d: icmp6: neighbor adv: tgt is 2200::64
2023-09-21 11:00:39.600781 wan2 -- fe80::e223:ffff:fe67:e39d -> 2200::64: icmp6: neighbor sol: who has 2200::64
2023-09-21 11:00:39.600920 wan2 -- 2200::64 -> fe80::e223:ffff:fe67:e39d: icmp6: neighbor adv: tgt is 2200::64
......

期望现象：
- 关闭时：一般只会看到业务自身触发的 ARP/NDP（或几乎看不到主动探测）。
- 开启后：可观察到由 FortiGate 发起的周期性 ARP probe 或 ICMPv6 邻居探测，从而帮助交换机刷新邻居可达性。

注意事项

该功能启用后会带来额外的 ARP/ICMPv6 探测流量与一定系统开销，建议只在问题场景中开启：

业务以 UDP 单向发送（如 UDP Syslog）为主、对端回包极少或没有。
会话被 NP 加速。
网络中存在对 MAC/邻居老化较敏感的二层域（例如交换机 MAC 表老化导致的异常）。

如果您的业务本身是双向频繁通信（TCP 大量回包等），通常邻居/二层学习自然更稳定，一般不需要开启该功能。

VM 或关闭会话加速的场景下，由 CPU 维护邻居更新（无法关闭），不需要开启 npu-neighbor-update 。

RR 反射路由无法修改属性

Thu, 11 Dec 2025 09:25:10 GMT

网络环境

Hub 与 Spoke 在同一个 AS 65000 内：

Hub：作为 BGP Route Reflector，IP 为 169.254.10.254。
Spoke1：Hub 的 iBGP 邻居，IP 为 169.254.10.1。
Spoke2：Hub 的 iBGP 邻居，IP 为 169.254.10.2。
Hub 通过 BGP 通告 10.10.254.0/24网段。
Spoke1 向 Hub 通告前缀 10.10.1.0/24 ，Hub 通过 RR 将10.10.1.0/24 反射给 Spoke2。
Hub 上对发往 Spoke2 的方向配置了 route-map-out，意图修改自身发布和反射给 Spoke2 的路由的 Local Preference。

问题现象

Spoke1 向 Hub 通告网段：10.10.1.0/24。

Hub 作为 Route Reflector 的 BGP 配置如下。Hub 对 Spoke2 的出站 route-map 用于试图修改通告/反射到 Spoke2 的路由的 Local Preference 为 500。

config router route-map
    edit "Hub-RM_Spoke2-OUTBOUND"
        config rule
            edit 1
                set set-local-preference 500
            next
        end
    next
end

config router bgp
    set as 65000
    config neighbor
        edit "169.254.10.1" <

Preferred Source

Fri, 05 Dec 2025 08:13:51 GMT

功能简介

当 FortiGate 产生本地发起（local-out）的流量时，默认会采用出接口的主 IP 作为源地址。如：

FortiGuard 查询
FortiGate Cloud 隧道
DNS 查询
BGP 对等会话
远程 RADIUS/LDAP 流量
设备自身发起的 ping、traceroute

从 FortiOS v7.4.0 及之后版本，引入了 Preferred Source 功能，可在静态路由、SD-WAN 成员或 BGP route-map 中指定 Local-out 流量应优先使用的源地址，以实现更精细的源 IP 管控。

配置方法

静态路由

在静态路由条目中使用 preferred-source，可以让匹配该路由的 Local-out 流量使用指定的源地址。

config router static
    edit <id>
        set dst 10.10.12.0 255.255.255.0
        set gateway 10.255.2.2
        set preferred-source 192.168.100.1
        set device "port2"
    next
end

SD-WAN

在 SD-WAN 成员配置中使用 preferred-source，可让 Local-out 流量在经过该 SD-WAN 成员时使用自定义的源地址。

重要

SD-WAN 健康检查的探测流量需要使用 set source ，而不是 preferred-source。
SD-WAN 成员中配置的 preferred-source 优先于静态路由中配置的 preferred-source。

config system sdwan
    config members
        edit <id>
            set preferred-source 192.168.100.1
        next
    end
end

BGP Route-map

在 route-map 中可通过 set-ip-prefsrc 设置源地址，然后将该 route-map 作为 route-map-in 应用到邻居。BGP 邻居建立、BGP 邻居间通信等 Local-out 流量会采用该源地址。

config router route-map
    edit ""
        config rule
            edit <id>
                set set-ip-prefsrc <ip_address>
            next
        end
    next
end

config router bgp
    config neighbor
        edit 169.254.10.1
            set route-map-in <route-map_name>
        next
    end
end

注意事项

源地址优先级

如果系统其他位置（例如 config system dns）显式配置了 source-ip，则该 source-ip 会覆盖 preferred-source。

相关信息

参考：策略与对象 → 本地流量策略 → Local-out 流量控制章节。

如下所示，即使路由设置了 preferred-source，DNS 查询仍会使用 192.168.100.99。

config router static
    edit 1
        set dst 223.5.5.5 255.255.255.255
        set gateway 192.168.100.254
        set preferred-source 192.168.100.1
        set device "port2"
    next
end

config system dns
    set primary 223.5.5.5
    set source-ip 192.168.100.99
end

本地地址要求

FortiGate 不强制 Preferred Source 必须是本地接口 IP，但若该地址不属于设备的任一接口，则回复流量可能无法返回，最终导致流量丢失。如果使用的源地址不是本地接口地址，可通过以下方式确保回程可达：

使用 Loopback 接口：

config system interface
    edit "loopback1"
        set ip 100.1.1.1 255.255.255.255
        set type loopback
    next
end

使用 Secondary IP：

config system interface
    edit "port2"
        set secondary-IP enable
        config secondaryip
            edit <id>
                set ip 100.1.1.1 255.255.255.255
            next
        end
    next
end

使用开启 arp-reply 的 IP Pool：

config firewall ippool
    edit "pool1"
        set startip 100.1.1.1
        set endip 100.1.1.1
        set arp-reply enable
    next
end

IPsec 相关流量

IPsec 隧道协商与 ESP 流量不会使用静态路由或 SD-WAN 成员中配置的 preferred-source，而是使用：

已配置的 local-gw。
若未配置 local-gw，则使用接口主 IP。

config vpn ipsec phase1-interface
    edit "example"
        set interface "port2"
        set local-gw 202.103.2.1
        set remote-gw 101.202.1.1
    next
end

additional-path

Tue, 02 Dec 2025 09:44:04 GMT

功能简介

在 Hub-Spoke 场景中，每个 Spoke 往往通过多个链路（如 ISP1、ISP2、MPLS）与 Hub 建立多条 VPN 隧道。当 BGP 建立后，Hub 在向 Spoke 反射其他 Spoke 的路由时，可能只向 Spoke 通告单一路径，使得 Spoke 无法基于多路径进行更优的路径选择或负载分担。

通过启用 BGP Additional Path 机制：additional-path-select 与 adv-additional-path，Hub 可以向 Spoke 通告多个等价路径，使 Spoke 能够正确学习多条路由，提升 Hub-Spoke 的性能与稳定性。

网络拓扑

IPSec VPN：
- Hub 有 3 条 ISP，每条上线 1 条 dynamic 模式 IPSec，供 Spoke 拨入。
- Spoke1、Spoke2 各有 3 条对应 ISP，与 Hub 的 3 条 IPSec 隧道一一对应连接。
BGP：
- Spoke 通过 3 条 IPSec 隧道分别与 Hub 的 3 条隧道建立 iBGP 邻居，并发布各自内网路由。
- Hub 作为 BGP RR，在 Spoke 之间反射 iBGP 路由。
- Hub 需要在 3 个 IPSec 隧道上负载去往 Spoke 的路由，Spoke 需要在 3 个 IPSec 隧道上负载去往 Hub 与其他 Spoke 的路由。

配置步骤

基础网络与安全策略配置（略）。

Hub

配置 Hub 的 3 条 IPSec VPN dynamic 模式隧道，用于 Spoke 拨入。开启 exchange-interface-ip 用于交换 Tunnel 接口 IP，关闭 add-route 功能。

config vpn ipsec phase1-interface
    edit "vpn_line1"
        set type dynamic
        set interface "port2"
        set ike-version 2
        set peertype any
        set net-device disable
        set exchange-interface-ip enable
        set proposal aes128-sha256
        set add-route disable
        set dpd on-idle
        set psksecret xxxxxx
        set dpd-retryinterval 60
    next
    edit "vpn_line2"
        set type dynamic
        set interface "port3"
        set ike-version 2
        set peertype any
        set net-device disable
        set exchange-interface-ip enable
        set proposal aes128-sha256
        set add-route disable
        set dpd on-idle
        set psksecret xxxxxx
        set dpd-retryinterval 60
    next
    edit "vpn_line3"
        set type dynamic
        set interface "port4"
        set ike-version 2
        set peertype any
        set net-device disable
        set exchange-interface-ip enable
        set proposal aes128-sha256
        set add-route disable
        set dpd on-idle
        set psksecret xxxxxx
        set dpd-retryinterval 60
    next
end

config vpn ipsec phase2-interface
    edit "vpn_line1"
        set phase1name "vpn_line1"
        set proposal aes128-sha1
        set keepalive enable
    next
    edit "vpn_line2"
        set phase1name "vpn_line2"
        set proposal aes128-sha1
        set keepalive enable
    next
    edit "vpn_line3"
        set phase1name "vpn_line3"
        set proposal aes128-sha1
        set keepalive enable
    next
end

根据拓扑中的信息配置 Hub 的 IPSec 隧道 IP 地址，用于与 Spoke 建立 IBGP 邻居。

config system interface
    edit "vpn_line1"
        set ip 169.254.10.254 255.255.255.255
        set allowaccess ping
        set remote-ip 169.254.10.254 255.255.255.0
    next
    edit "vpn_line2"
        set ip 169.254.20.254 255.255.255.255
        set allowaccess ping
        set remote-ip 169.254.20.254 255.255.255.0
    next
    edit "vpn_line3"
        set ip 169.254.30.254 255.255.255.255
        set allowaccess ping
        set remote-ip 169.254.30.254 255.255.255.0
    next
end

在 Hub 的 3 个 IPSec 隧道上分别配置 BGP 邻居组和邻居范围，用于接受 Spoke 的 iBGP 邻居建立，在每个邻居组中开启 RR 功能，并发布自身内网路由。

提示

由于需要多线路负载 iBGP 路由，需要开启 ibgp-multipath，原理请参考路由 → 动态路由 → BGP → BGP 多路径章节。

config router bgp
    set as 10086
    set router-id 169.254.10.254
    set ibgp-multipath enable
    config neighbor-group
        edit "vpn_line1"
            set soft-reconfiguration enable
            set interface "vpn_line1"
            set remote-as 10086
            set route-reflector-client enable
        next
        edit "vpn_line2"
            set soft-reconfiguration enable
            set interface "vpn_line2"
            set remote-as 10086
            set route-reflector-client enable
        next
        edit "vpn_line3"
            set soft-reconfiguration enable
            set interface "vpn_line3"
            set remote-as 10086
            set route-reflector-client enable
        next
    end
    config neighbor-range
        edit 1
            set prefix 169.254.10.0 255.255.255.0
            set neighbor-group "vpn_line1"
        next
        edit 2
            set prefix 169.254.20.0 255.255.255.0
            set neighbor-group "vpn_line2"
        next
        edit 3
            set prefix 169.254.30.0 255.255.255.0
            set neighbor-group "vpn_line3"
        next
    end
    config network
        edit 1
            set prefix 10.10.254.0 255.255.255.0
        next
    end
end

Spoke1

配置 Spoke1 的 3 条 IPSec VPN 隧道，分别对接 Hub 的 3 条 IPSec 隧道。开启 exchange-interface-ip 用于交换 Tunnel 接口 IP。

config vpn ipsec phase1-interface
    edit "vpn_line1"
        set interface "port2"
        set ike-version 2
        set peertype any
        set exchange-interface-ip enable
        set proposal aes128-sha256
        set dpd on-idle
        set remote-gw 202.103.7.2
        set psksecret xxxxxx
    next
    edit "vpn_line2"
        set interface "port3"
        set ike-version 2
        set peertype any
        set exchange-interface-ip enable
        set proposal aes128-sha256
        set dpd on-idle
        set remote-gw 202.103.8.2
        set psksecret xxxxxx
    next
    edit "vpn_line3"
        set interface "port4"
        set ike-version 2
        set peertype any
        set exchange-interface-ip enable
        set proposal aes128-sha256
        set dpd on-idle
        set remote-gw 202.103.9.2
        set psksecret xxxxxx
    next
end

config vpn ipsec phase2-interface
    edit "vpn_line1"
        set phase1name "vpn_line1"
        set proposal aes128-sha1
        set auto-negotiate enable
    next
    edit "vpn_line2"
        set phase1name "vpn_line2"
        set proposal aes128-sha1
        set auto-negotiate enable
    next
    edit "vpn_line3"
        set phase1name "vpn_line3"
        set proposal aes128-sha1
        set auto-negotiate enable
    next
end

根据拓扑中的信息配置 Spoke1 的 IPSec 隧道 IP 地址，用于与 Hub 建立 iBGP 邻居。

config system interface
    edit "vpn_line1"
        set ip 169.254.10.1 255.255.255.255
        set allowaccess ping
        set remote-ip 169.254.10.254 255.255.255.0
    next
    edit "vpn_line2"
        set ip 169.254.20.1 255.255.255.255
        set allowaccess ping
        set remote-ip 169.254.20.254 255.255.255.0
    next 
    edit "vpn_line3"
        set ip 169.254.30.1 255.255.255.255
        set allowaccess ping
        set remote-ip 169.254.30.254 255.255.255.0
    next
end

在 Spoke1 的 3 个 IPSec 隧道上分别配置 BGP 邻居，用于向 Hub 发起 iBGP 邻居建立，发布自身内网路由。

提示

由于需要多线路负载 iBGP 路由，需要开启 ibgp-multipath，原理请参考路由 → 动态路由 → BGP → BGP 多路径章节。

config router bgp
    set as 10086
    set router-id 169.254.10.1
    set ibgp-multipath enable
    config neighbor
        edit "169.254.10.254"
            set soft-reconfiguration enable
            set interface "vpn_line1"
            set remote-as 10086
            set update-source "vpn_line1"
        next
        edit "169.254.20.254"
            set soft-reconfiguration enable
            set interface "vpn_line2"
            set remote-as 10086
            set update-source "vpn_line2"
        next
        edit "169.254.30.254"
            set soft-reconfiguration enable
            set interface "vpn_line3"
            set remote-as 10086
            set update-source "vpn_line3"
        next
    end
    config network
        edit 1
            set prefix 10.10.1.0 255.255.255.0
        next
    end
end

Spoke2

与 Spoke1 基本一致，点击展开查看。

与 strongSwan 建立 IPsec VPN

Tue, 02 Dec 2025 09:44:04 GMT

配置请参考链接：FortiGate 与 strongSwan 建立 IPSec VPN。

查看合同/更新状态

Fri, 28 Nov 2025 07:44:47 GMT

简介

在 FortiGate 上可以使用如下 CLI 命令 diagnose test update info contract 综合查看以下信息：

设备是否已成功注册到 FortiGuard/FortiCloud。
当前 FortiCare/FortiGuard 合同是否有效，以及到期时间。
最近一次 FortiGuard 自动更新的结果和日志。
各类安全数据库（AV、IPS、URL、应用控制等）的版本情况。
哪些 FortiGuard 组件已授权，哪些是未购买/未授权（unauthorized）。

在排查授权问题、FortiGuard 更新异常、固件升级受限（FMWR）等场景时，这个命令非常关键。

查看方法

在 FortiGate CLI 中执行 diagnose test update info contract，如下所示，输出结果主要分为几个部分：Logs、System contracts、Account contracts、Object versions、Counters、Support contract 等：

Logs：看最近自动更新是否成功。
System contracts：看这台设备实际拥有哪些授权，何时到期（特别是 FMWR）。
Account contracts：看 FortiCloud 账户层面的额外订阅（如 Sandbox、Endpoint）。
Object versions & counters：确认数据库版本和更新任务运行是否正常。
Support contract：确认设备是否已成功绑定到 FortiCloud 账户并获取合同信息。

FortiGate # diagnose test update info contract

Logs: idx=17
Thu Nov 27 20:43:37 2025 do_virus_report[886]-Starting VIRUS REPORT
Thu Nov 27 20:43:37 2025 do_virus_report[903]-No virus stats to report
Thu Nov 27 21:43:37 2025 do_virus_report[886]-Starting VIRUS REPORT
Thu Nov 27 21:43:37 2025 do_virus_report[903]-No virus stats to report
Thu Nov 27 22:43:39 2025 do_virus_report[886]-Starting VIRUS REPORT
Thu Nov 27 22:43:39 2025 do_virus_report[903]-No virus stats to report
Thu Nov 27 23:43:42 2025 do_virus_report[886]-Starting VIRUS REPORT
Thu Nov 27 23:43:42 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 00:43:46 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 00:43:46 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 01:43:48 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 01:43:48 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 02:43:51 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 02:43:51 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 03:30:00 2025 do_update[790]-Starting scheduled UPDATE (not final retry)
Fri Nov 28 03:30:01 2025 doInstallUpdatePackage[1026]-Full obj found for FCNI000
Fri Nov 28 03:30:01 2025 doInstallUpdatePackage[1036]-Updating obj FCNI
Fri Nov 28 03:30:01 2025 doInstallUpdatePackage[1026]-Full obj found for FSCI000
Fri Nov 28 03:30:01 2025 doInstallUpdatePackage[1036]-Updating obj FSCI
Fri Nov 28 03:30:01 2025 doInstallUpdatePackage[1088]-Delta obj found for UWDB001
Fri Nov 28 03:30:01 2025 doInstallUpdatePackage[1099]-Updating obj UWDB
Fri Nov 28 03:30:02 2025 doInstallUpdatePackage[1026]-Full obj found for ALCI000
Fri Nov 28 03:30:02 2025 doInstallUpdatePackage[1036]-Updating obj ALCI
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-DBDB001 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-CIDB001 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-IPGO000 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1396]-FCNI000(fcni) installed successfully
Fri Nov 28 03:30:02 2025 upd_install_pkg[1396]-FSCI000(contract) installed successfully
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-FFDB019 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1396]-UWDB001(uwdb) installed successfully
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-CRDB000 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-SFAS000 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-MCDB001 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1396]-ALCI000(alci) installed successfully
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-MADB002 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-AFDB001 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-ICDB001 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1376]-DLDB003 is unauthorized
Fri Nov 28 03:30:02 2025 upd_install_pkg[1370]-CASB002 is up-to-date
Fri Nov 28 03:30:02 2025 upd_install_pkg[1376]-SLAD000 is unauthorized
Fri Nov 28 03:30:02 2025 upd_install_pkg[1376]-FTLM000 is unauthorized
Fri Nov 28 03:30:02 2025 do_update[828]-UPDATE successful
Fri Nov 28 03:43:54 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 03:43:54 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 04:43:56 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 04:43:56 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 05:44:00 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 05:44:00 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 06:44:04 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 06:44:04 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 07:44:08 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 07:44:08 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 08:44:12 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 08:44:12 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 09:44:13 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 09:44:13 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 10:44:17 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 10:44:17 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 11:44:19 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 11:44:19 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 12:44:23 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 12:44:23 2025 do_virus_report[903]-No virus stats to report
Fri Nov 28 13:44:24 2025 do_virus_report[886]-Starting VIRUS REPORT
Fri Nov 28 13:44:24 2025 do_virus_report[903]-No virus stats to report

System contracts:
    HDWR,Tue Sep 29 2026
    ENHN,Tue Sep 29 2026
    COMP,Tue Sep 29 2026
    FMWR,Tue Sep 29 2026
    FURL,Tue Sep 29 2026
    SPAM,Tue Sep 29 2026
    SBCL,Tue Sep 29 2026
    ZHVO,Tue Sep 29 2026
    SPRT,Tue Sep 29 2026
    FRVS,Tue Sep 29 2026
    SBCL,Tue Sep 29 2026

    APDB,Tue Sep 29 2026
    AVDB,Tue Sep 29 2026
    ETDB,Tue Sep 29 2026
    EXDB,Tue Sep 29 2026
    MMDB,Tue Sep 29 2026
    FLDB,Tue Sep 29 2026
    DBDB,Tue Sep 29 2026
    NIDB,Tue Sep 29 2026
    NIET,Tue Sep 29 2026
    NIML,Tue Sep 29 2026
    AIAP,Tue Sep 29 2026
    MUDB,Tue Sep 29 2026
    CIDB,Tue Sep 29 2026
    AVEN,Tue Sep 29 2026
    NIEN,Tue Sep 29 2026
    UWDB,Tue Sep 29 2026
    SFAS,Tue Sep 29 2026
    MCDB,Tue Sep 29 2026
    MADB,Tue Sep 29 2026
    AFDB,Tue Sep 29 2026
    AVAI,Tue Sep 29 2026
    ICDB,Tue Sep 29 2026
    FMWP,Tue Sep 29 2026
    CASB,Tue Sep 29 2026
    WIPS,Tue Sep 29 2026
    WIET,Tue Sep 29 2026
    WAPP,Tue Sep 29 2026

Account contracts:
    FSAP,Wed Jun 19 2024
    FCEP,Wed Jun 19 2024

Object versions: 07006000APDB00105-00006.00741-1512010230
                 07006000AVDB00201-00093.05319-2508121826
                 07006000AVDB00701-00093.05319-2508121825
                 07006000MMDB00101-00093.05319-2508121828
                 07006000FLDB00201-00093.05319-2508121831
                 07006000DBDB00100-00003.01484-2511252306
                 07006000NIDS02405-00006.00741-1512010230
                 07006000NIDS02605-00034.00091-2509260021
                 07006000NIDS02805-02507.00207-2507300100
                 07006000ISDB00105-00006.00741-1512010230
                 07006000AIAP00105-00000.00000-0101010000
                 07006000MUDB00103-00005.00548-2509270124
                 07006000CIDB00100-00001.00196-2511131927
                 07006000IPGO00000033082511250826
                 00000000FCNI00000-00000.00000-0000000000
                 00000000FDNI00000-00000.00000-0000000000
                 01000000FSCI00100-00000.00000-0000000000
                 07006000AVEN03100-00007.00046-2508150115
                 07006000FLEN07800-00007.01154-2508132228
                 07006000FFDB02108-00000.00000-0101010000
                 07006000FFDB01908-00007.04379-2511241746
                 07006000FFDB02008-00000.00000-0101010000
                 07006000FFSR00008-00007.04379-2511241746
                 07006000UWDB00100-00004.00786-2511270202
                 07006000CRDB00000-00001.00060-2511041500
                 07006000SFAS00000-00006.00025-2510281431
                 07006000MCDB00100-00001.00564-2511211500
                 01000000ALCI00000-00000.00000-0000000000
                 07006000MADB00200-00001.00300-2511252330
                 07006000AFDB00100-00001.00015-2403110831
                 07006000AVDB01901-00004.02803-2508121745
                 07006000IOTD00105-00000.00000-2208171731
                 07006000OTDB00105-00000.00000-0101010000
                 07006000ICDB00101-00001.00051-2506161505
                 07006000DLDB00300-00000.00000-0101010000
                 07006000OTDB00205-00000.00000-0101010000
                 07006000FMWP00105-00000.00000-0101010000
                 07006000CASB00202-00001.00009-2507301758
                 07006000NIDS05405-00006.00741-1512010230
                 07006000NIDS05605-00034.00091-2509260021
                 07006000APDB05105-00006.00741-1512010230
                 07006000SLAD00000-00001.00000-2305061526
                 07006000TZDB00100-00001.00900-0000000000
                 07006000FTLM00000-00001.00005-2508221041

Setup done once: yes
Next setup retry: N/A

Next sched update: Sat Nov 29 03:30:00 2025
Next update retry: none

Next virus report: Fri Nov 28 14:44:24 2025

Next fdnsetup: N/A
Last successful fdnsetup: N/A

Next signature check: Fri Nov 28 14:45:56 2025
Last successful signature check: Fri Nov 28 13:45:56 2025

Next FFDB ondemand update: N/A
Last successful FFDB ondemand update: N/A

Ring         counters: pass=000000 fail=000000
Setup        counters: pass=000001 fail=000000
Update       counters: pass=000001 retry_fail=000000 final_fail=000000
Virus report counters: pass=000000 fail=000000 empty_stats=000021
Update Notification: total 0, last received at N/A


Support contract: pending_registration=255 got_contract_info=1
    account_id=[xxxx@fortinet.com] company=[Fortinet] industry=[Technology]


SerialNumber=FG101FTK2000XXXX|Contract=AVDB-1-06-20260930:0:1:1:0*AVEN-1-06-20260930:0:1:1:0*NIDS-1-06-20260930:0:1:1:0*SPRT-1-20-20260930:0:1:1:0*FMWR-1-06-20260930:0:1:1:0*FRVS-1-06-20260930:0:1:1:0*FURL-1-06-20260930:0:1:1:0*HDWR-1-05-20260930:0:1:1:0*SBCL-1-06-20260930:0:1:1:0*SPAM-1-06-20260930:0:1:1:0*ZHVO-1-06-20260930:0:1:1:0*ENHN-1-20-20260930:0:1:1:0*COMP-1-20-20260930:0:1:1:0|AccountID=xxxx@fortinet.com|Industry=Technology|Company=Fortinet|UserID=1134101|
SupportLevelDesc=05:Advanced HW*06:Web/Online*20:Premium
SupportTypeDesc=AVDB:Advanced Malware Protection*COMP:*ENHN:*FMWR:Firmware & General Updates*FRVS:Vulnerability Management*FURL:FortiGuard URL, DNS & Video Filtering Service*HDWR:Hardware*NIDS:FortiGuard IPS Service*SBCL:FortiSandbox Cloud*SPAM:AntiSpam*SPRT:*ZHVO:FortiGuard Virus Outbreak Protection Service



UserID=1134101|SerialNumber=FCLDPS0000019513|Contract=FCEP-6-20240620-1-1
UserID=1134101|SerialNumber=FSACLPTM23000149|Contract=FSAP-6-20240620-1-1



User ID: 1134101

自动更新与病毒报告日志

Logs: idx=17
Fri Nov 28 03:30:00 2025 do_update-Starting scheduled UPDATE (not final retry)
Fri Nov 28 03:30:02 2025 do_update-UPDATE successful

Fri Nov 28 11:44:19 2025 do_virus_report-Starting VIRUS REPORT
Fri Nov 28 11:44:19 2025 do_virus_report-No virus stats to report

如果怀疑 FortiGate 没有正常从 FortiGuard 拉取更新，先看这里是否有连续失败的记录。

do_update：
- 表示 FortiGuard 自动更新任务。
- 有 Starting scheduled UPDATE 且紧跟 UPDATE successful 说明本次自动更新成功。
- 这里可以快速判断最近是否存在更新失败、反复重试等情况。
do_virus_report：
- 表示“病毒统计上报”任务。
- No virus stats to report 意味着目前没有病毒事件需要上报。

设备授权状态

这里列出的是绑定在当前 FortiGate 序列号上的系统级合同，后面是到期时间。重点关注：

是否存在 FMWR，以及 FMWR 的到期时间。在 FortiOS 7.4 及以后，如果 FMWR 已过期，设备可能会被限制升级到更高版本。
其他你实际使用的安全功能（如 AVDB、NIDB、FURL、FRVS）是否都在有效期内。

System contracts:
    HDWR,Tue Sep 29 2026
    ENHN,Tue Sep 29 2026
    COMP,Tue Sep 29 2026
    FMWR,Tue Sep 29 2026
    FURL,Tue Sep 29 2026
    SPAM,Tue Sep 29 2026
    SBCL,Tue Sep 29 2026
    ZHVO,Tue Sep 29 2026
    SPRT,Tue Sep 29 2026
    FRVS,Tue Sep 29 2026
    ...

    AVDB,Tue Sep 29 2026
    NIDB,Tue Sep 29 2026
    CASB,Tue Sep 29 2026
    WIPS,Tue Sep 29 2026
    WAPP,Tue Sep 29 2026

FMWR：Firmware & General Updates（固件与通用更新授权）。
AVDB/AVEN/MMDB/FLDB：防病毒引擎与特征库。
NIDB/NIET/NIML/NIEN：IPS/入侵检测相关数据库。
FURL：URL/DNS/Video Filtering 服务。
FRVS：漏洞管理/IPS 相关服务。
SPAM：AntiSpam。
ZHVO：Virus Outbreak Protection。
CASB/WIPS/WAPP：云应用安全、无线 IPS、Web 应用保护。
HDWR/SPRT/COMP/ENHN：硬件保修与 FortiCare 支持等级。

FortiCloud 账户授权

这里是绑定在 FortiCloud 账户上的合同，如下所示。这些授权可能被多台设备共用，如果使用了 FortiSandbox Cloud、FortiClient EMS Cloud 等云服务，这里的有效期就非常关键。

Account contracts:
    FSAP,Wed Jun 19 2024
    FCEP,Wed Jun 19 2024

FSAP：FortiSandbox Cloud/高级沙箱服务等账户级订阅。
FCEP：FortiClient EMS/Endpoint Protection 相关订阅。

安全数据库版本

每一条对应一个 FortiGuard 对象（AV 库、IPS 库、URL 分类库等）的版本号。

Object versions:
    07006000AVDB00201-00093.05319-2508121826
    07006000MMDB00101-00093.05319-2508121828
    07006000NIDS02805-02507.00207-2507300100
    07006000UWDB00100-00004.00786-2511270202
    ...

确认当前是否已经更新到较新的数据库版本。
与 Fortinet 发布说明或 TAC 建议的版本号进行对比。
排查个别对象版本异常、停留在很早的版本不动等情况。
日常运维通常不用逐项分析，只需确认这些对象不是全部 00000.00000-0000000000 这类明显“未更新”状态即可。需要精确问题排查时，可配合 diagnose autoupdate versions 进行对照：
```
FortiGate # diagnose autoupdate versions

AV Engine
```

导出日志

Thu, 27 Nov 2025 10:17:33 GMT

通过 GUI 导出

提示

通过 GUI 单次最多可以下载最近的 400,000 条日志条目。如日志条目数超过 400,000，需导出全部日志，请使用 FTP/TFTP/USB 方式导出。

在“日志 & 报表”中进入想要下载的日志类型页面，这里以转发流量为例。
过滤想要下载的特定日志（这里以目标 IP 223.5.5.5 为例），在右上角选择存储日志的位置（这里以硬盘为例），选择日志时间范围（这里以最近 7 天为例）。
点击左上角的下载按钮，即可下载明文日志文件，后缀为 .log，如 disk-traffic-forward-2025-11-27_17-00.log。

通过 FTP/TFTP/USB 导出

通过如下 CLI 命令可以以 LZ4 压缩格式导出当前硬盘/内存的全部/单类日志到 FTP/TFTP/USB。
```
execute backup [disk | memory] alllogs [ftp | tftp | usb] [:ftp port]   uncompressed
execute backup [disk | memory] log [ftp | tftp | usb] [:ftp port]    uncompressed
```
- alllogs：备份所有以下类型日志。
- log：可在字段定义要备份的一种日志类型，包含 traffic、event、virus、webfilter、ips、emailfilter、anomaly、voip、dlp、app-ctrl、waf、dns、ssh、ssl、file-filter、icap、sctp-filter、forti-switch、virtual-patch、casb、debug。
- uncompressed：表示以未压缩方式备份日志。
  
  提示
  
  如果日志备份命令不携带 uncompressed 参数，或使用 compressed，则会以 LZ4 压缩格式备份日志，需要使用解压工具进行解压才能看到原始日志（详见 https://community.fortinet.com/t5/FortiAnalyzer/Technical-Tip-Transferring-historical-logs-from-a-FortiGate-hard/ta-p/193850 ）。

在导出日志前，使用如下 CLI 可以查看预估导出特定分类日志的大小（包含压缩大小和未压缩大小），并根据日志文件大小规划 FTP/TFTP 服务器或 USB 的剩余空间。如下所示，查看系统日志（1: event）的日志文件大小（未压缩大小为 4 MB，压缩大小为 400 KB）。

execute log list <category>
Available categories:
 0: traffic
 1: event
 2: utm-virus
 3: utm-webfilter
 4: utm-ips
 5: utm-emailfilter
 7: utm-anomaly
 8: utm-voip
 9: utm-dlp
10: utm-app-ctrl
12: utm-waf
15: utm-dns
16: utm-ssh
17: utm-ssl
19: utm-file-filter
20: utm-icap
22: utm-sctp-filter
23: forti-switch
24: utm-virtual-patch
25: utm-casb
26: debug

FortiGate # execute log list 1
elog.65447         106538        18156   Thu Nov 20 00:00:00 2025
elog.65446         108001        18558   Fri Nov 21 00:00:00 2025
elog.65445         105451        17813   Sat Nov 22 00:00:00 2025
elog.65444         113756        20098   Sun Nov 23 00:00:00 2025
elog.65443         106007        17791   Mon Nov 24 00:00:00 2025
elog.65442         105157        17607   Tue Nov 25 00:00:00 2025
elog.65441         162282        32429   Wed Nov 26 00:00:00 2025
elog.65440         132276        25886   Thu Nov 27 00:00:00 2025
elog.65439        3286179       241574   Thu Nov 27 18:03:17 2025
9 elog file(s) found.
Uncompressed Total:  4 MB       Compressed Total:  400 KB

这里以备份硬盘中的系统日志到 FTP 服务器为例，FortiGate 会将所有系统日志分段（如需）发送到 FTP 服务器（未压缩日志体积大于压缩文件，系统会给出提示信息，按 y 继续导出）。

提示

并非所有型号包含硬盘，可以通过 execute disk list 命令查看。如设备不包含硬盘，可以选择 memory 或 usb 方式。

FortiGate # execute backup disk log ftp 192.168.90.253 user1 password event uncompressed

WARNING: The size of uncompressed log files can be very large.
Please check uncompressed log size for each log category
before uploading to FTP server by command "execute log list [logcategory].
And uploading uncompressed files to FTP server could take hours.
Do you want to continue? (y/n)y

Upload uncompressed log to FTP server!

Connect to ftp server 192.168.90.253 ...
Please wait...
uploading 24255B/241001B(10%)
uploading 50519B/241001B(20%)
uploading 75236B/241001B(31%)
uploading 102429B/241001B(42%)
uploading 125595B/241001B(52%)
uploading 150578B/241001B(62%)
uploading 174505B/241001B(72%)
uploading 197624B/241001B(82%)
uploading 224653B/241001B(93%)
uploading 241001B/241001B(100%)
uploaded file size:241001B
Sent log file elog.65439 to ftp server as disk-event_FG101FTK20007637_root_20251127_175317_65439 OK.

Connect to ftp server 192.168.90.253 ...
Please wait...
uploading 4081B/25886B(15%)
uploading 6522B/25886B(25%)
uploading 12769B/25886B(49%)
uploading 15420B/25886B(59%)
uploading 20131B/25886B(77%)
uploading 23349B/25886B(90%)
uploading 25886B/25886B(100%)
uploaded file size:25886B
Sent log file elog.65440 to ftp server as disk-event_FG101FTK20007637_root_20251127_000000_65440 OK.
......

导出的日志可以直接使用文本工具打开查看。

基于 VDOM 的 SNMP

Wed, 26 Nov 2025 09:25:03 GMT

简介

本文章介绍 FortiGate 在启用 VDOM 时如何读取基于 VDOM 的 SNMP 参数。

FortiGate 的 SNMP 查询分为两类：

Global 全局级别查询（无论是否启用 VDOM 均可使用）
Per-VDOM 虚拟域级别查询（仅在启用 VDOM 时有效）

在启用 VDOM 后，每个 VDOM 都会分配一个独立的 snmp-index。所有基于 VDOM 的 SNMP OID 都需要携带该 index 才能正确读取数据。

使用方法

以会话相关监控为例，使用 Fortinet MIB 中的相关 OID 获取全局及 VDOM 级别的会话数及会话建立速率。

未启用 VDOM

无需考虑 snmp-index，所有 Session 相关 OID 都直接从系统读取：

总 Session 数（fgSysSesCount）：.1.3.6.1.4.1.12356.101.4.1.8。
Session 建立速率（1/10/30/60 分钟平均，fgSysSesRate1/10/30/60）：.1.3.6.1.4.1.12356.101.4.1.11~14。

启用 VDOM

启用 VDOM 后，每个 VDOM 拥有独立资源，因此 SNMP 的会话读取需使用 VDOM 专用 OID。
根据 VDOM 的 snmp-index：
- 当前会话数（ fgVdEntSesCount）： .1.3.6.1.4.1.12356.101.3.2.1.1.7.x。
- VDOM 的 Session 建立速率（fgVdEntSesRate）：.1.3.6.1.4.1.12356.101.3.2.1.1.8.x。

如何找到 VDOM 的 snmp-index？

方法 1：CLI 查看。

config global
show system vdom-property
edit "root"
    set snmp-index 1    <

代理 ARP

Tue, 25 Nov 2025 08:52:47 GMT

功能简介

代理 ARP（Proxy ARP）允许 FortiGate 代表其他 IP 地址响应 ARP 查询。当对端主机误认为某目标 IP 与其位于同一网段，但实际该 IP 位于 FortiGate 后方或其他网络时，代理 ARP 可确保 ARP 能正常解析，使流量正确转发至 FortiGate。

FortiGate 将以自身 MAC 地址回应指定 IP 的 ARP Request。
不会改变三层路由，仅处理二层解析问题。
支持 IP 段（start-ip/end-ip）。

典型应用场景包括：

主机配置了错误的或更大的子网掩码导致跨网段访问失败。
公网地址无需配置为接口 Secondary IP，但仍需在接口上对外 ARP 响应（如 SNAT 使用“出接口地址”）。
SD-WAN 或 ACME 不支持 Loopback 接口时，通过代理 ARP 实现公网 IP 的 ARP 响应。
ISP 使用私网 Transit LAN 传递公网地址时，通过代理 ARP 让 CPE 学到下一跳 MAC。

配置方法

代理 ARP 在接口级别配置，可指定单个或多个 IP（连续地址段），用于在二层广播域内回应 ARP 请求。

config system proxy-arp
    edit <id>
        set interface {string}    <

快速开始

Thu, 13 Nov 2025 03:40:59 GMT

快速开始更新记录点击这里展开查看手册简介《FortiGate 中文一本通》是面向 FortiOS 7 系列（包括 7.0、7.2、7.4、7.6）的系统化中文手册，由 Fortinet TAC 团队持续维护与更新。涵盖从基础配置到复杂企业级架构的全场景内容，包括系统管理、网络配置、VDOM 架构、HA 双机热备、路由、UTM、安全策略、VPN...

禁用云通信

Thu, 13 Nov 2025 03:40:59 GMT

FortiGate 设备会与多个云端服务进行通信，例如 FortiGuard 下载与查询服务、FortiCloud 及其他云相关服务，用于下载服务包、执行实时安全过滤、日志上报及同步任务。

在某些安全或隔离网络（Air-Gap）环境下，管理员可能希望完全关闭这类外部通信。

云通信统计信息

GUI 查看

进入“系统管理 → FortiGuard → FortiGuard 设置”查看云通信统计计数。

CLI 查看

FortiGate # diagnose sys service-communication
FortiCare:
The last 1 hour(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  0 0 0 0 0 0 0
FortiGuard Download:
The last 1 hour(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  0 0 0 0 0 0 0
FortiGuard Query:
The last 1 hour(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  0 0 0 0 0 0 0
FortiCloud Log:
The last 1 hour(in bytes):  35541766 1103963 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  36645729 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  36645729 0 0 0 0 0 0
FortiSandbox Cloud:
The last 1 hour(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  0 0 0 0 0 0 0
FortiGuard.com:
The last 1 hour(in bytes):  4851531 101213748 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  106065279 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  106065279 0 0 0 0 0 0
SDNS Service:
The last 1 hour(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  0 0 0 0 0 0 0
FortiToken Registration:
The last 1 hour(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  0 0 0 0 0 0 0
SMS Service:
The last 1 hour(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0
The last 24 hours(in bytes):  0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
The last 7 days(in bytes):  0 0 0 0 0 0 0

禁用云通信

执行以下 CLI 命令即可关闭所有云通信，当 cloud-communication 被禁用后，系统会自动关闭 forticldd 和 updated 守护进程，并同步禁用多项与云服务相关的功能。

提示

禁用云通信后，FortiGuard 实时威胁防护（例如 Web 过滤、反垃圾邮件、病毒库更新等）将不可用。
FortiAnalyzer、FortiCloud 日志上传及 NTP 同步也会被同时关闭。
此操作建议仅用于离线或高安全隔离环境。

config system global
    set cloud-communication disable
end

自动修改项

执行以上 CLI 命令禁用云通信后，以下配置会被系统自动更改：

config system global
    set fds-statistics disable
end

config system central-management
    set type none
    set include-default-servers disable
end

config system fortiguard
    set antispam-force-off enable
    set outbreak-prevention-force-off enable
    set webfilter-force-off enable
end

config system email-server
    set server ''
end

config system ntp
    set ntpsync disable
end

config system autoupdate schedule
    set status disable
end

config system autoupdate tunneling
    set status disable
end

config log fortiguard setting
    set status disable
end

重新启用云通信

若需恢复云通信，请首先重新启用全局选项：

config system global
    set cloud-communication enable
end

根据需要逐项恢复相应功能。

重新启用 FortiCloud 自动登录：

config system fortiguard
    set auto-join-forticloud enable
end

重新启用邮件服务器：

config system email-server
    set server "fortinet-notifications.com"
    set port 465
    set security smtps
end

重新启用 NTP 同步：

config system ntp
    set ntpsync enable
end

自动协商与 keepalive

Thu, 06 Nov 2025 07:21:12 GMT

提示

本文主要讨论 IPSec 二阶段中的 auto-negotiate 和 keepalive。
IPSec 一阶段中的 keepalive 配置是用于保持 NAT-T 环境下的 UDP 4500 会话，不属于本文讨论范围。

配置方法

提示

若 IPSec 一阶段开启了 passive-mode，二阶段的 auto-negotiate 与 keepalive 将无法开启。

auto-negotiate 与 keepalive 是 IPsec 二阶段配置中用于隧道保持在线的机制。二者独立工作，又可搭配使用。

auto-negotiate：二阶段 SA 不存在时主动发起协商，默认关闭（dynamic 模式的隧道无法配置），无需流量触发。

config vpn ipsec phase2-interface
    edit <phase2_interface_name>
        set phase1name <phase1_interface_name>
        set auto-negotiate [enable | disable]
    next
end

keepalive：在已经有二阶段 SA 存在的情况下，决定二阶段 SA 达到 soft-timeout 时是否立即 rekey，防止隧道在 hard-timeout 到期时再进行 rekey，导致隧道中断。

相关信息

soft-timeout = hard-timeout – rekey-margin

soft-timeout、hard-timeout、rekey-margin 的相关信息请参考 VPN → IPSec VPN → IPSec 重协商机制章节。

重要

auto-negotiate 开启后，keepalive 会被强制开启，且 keepalive 相关命令消失。只有在 auto-negotiate 关闭时才可以控制 keepalive 的开关。
```
config vpn ipsec phase2-interface
    edit <phase2_interface_name>
        set phase1name <phase1_interface_name>
        set auto-negotiate disable
        set keepalive [enable | disable]
    next
end
```

工作机制

不能将 auto-negotiate 和 keepalive 混淆，这是两个完全独立的功能。简单来说：

auto-negotiate：没有二阶段隧道时 → 主动协商建立，无需流量触发。
keepalive：有二阶段隧道的前提下 → 在 soft-timeout 到期时发起 rekey 防止隧道中断。

VIP 匹配顺序

Wed, 05 Nov 2025 09:21:48 GMT

网络拓扑

初始状态下，FortiGate 的公网接口 port1 上配置了 1 个 VIP：从公网 IP 202.103.1.1 全映射到 Server1 10.10.1.100（VIP1）。

config firewall vip
    edit "VIP1"
        set extip 202.103.1.1
        set mappedip "10.10.1.100"
        set extintf "port1"
    next
end

创建 1 条防火墙策略（VIP1_Policy）引用 VIP1，公网客户端通过 VIP1_Policy 策略访问 Server1。

config firewall policy
    edit 1
        set name "VIP1_Policy"
        set srcintf "port1"
        set dstintf "port2"
        set action accept
        set srcaddr "all"
        set dstaddr "VIP1"
        set schedule "always"
        set service "ALL"
    next
end

问题现象

由于业务需求，需要增加与 VIP1 相同的公网 IP 202.103.1.1 的 80 端口映射到 Server2 10.10.1.100 的 80 端口（VIP2），创建后 VIP2 位于 VIP1 后边。

config firewall vip
    edit "VIP1"
        set extip 202.103.1.1
        set mappedip "10.10.1.100"
        set extintf "port1"
    next
    edit "VIP2"
        set extip 202.103.1.1
        set mappedip "10.10.1.200"
        set extintf "port1"
        set portforward enable
        set extport 80
        set mappedport 80
    next
end

创建防火墙策略 VIP2_Policy，引用 VIP2，将 VIP2_Policy 移动到 VIP1_Policy 之前。当前的需求是，按照防火墙策略的顺序：

访问 VIP 202.103.1.1 的 80 端口的流量应该优先匹配 VIP2_Policy。
访问 VIP 202.103.1.1 的其他端口的流量应该匹配 VIP1_Policy。

config firewall policy
    edit 2
        set name "VIP2_Policy"
        set srcintf "port1"
        set dstintf "port2"
        set action accept
        set srcaddr "all"
        set dstaddr "VIP2"
        set schedule "always"
        set service "ALL"
    next
    edit 1
        set name "VIP1_Policy"
        set srcintf "port1"
        set dstintf "port2"
        set action accept
        set srcaddr "all"
        set dstaddr "VIP1"
        set schedule "always"
        set service "ALL"
    next
end

但实际情况是：公网客户端（202.103.1.200）访问 VIP（202.103.1.1）的 80 端口（或其他任意端口），流量经过 DNAT 后，目标地址仍然被转换为 VIP1 对应的 Server1 IP 10.10.1.100，会话匹配策略为 VIP1_Policy（ID 1）。这不符合预期。

session info: proto=6 proto_state=01 duration=10 expire=3589 timeout=3600 refresh_dir=both flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
......
orgin->sink: org pre->post, reply pre->post dev=3->4/4->3 gwy=0.0.0.0/0.0.0.0
hook=pre dir=org act=dnat 202.103.1.200:50883->202.103.1.1:80(10.10.1.100:80) <

iprope 列表

Tue, 04 Nov 2025 09:40:49 GMT

简介

iprope 表是 FortiGate 内部用于表示管理员所配置防火墙策略的结构化数据形式。 iprope 将所有策略条目按功能划分为多个策略组，每组条目从上到下依次匹配，一旦命中即执行相应动作，不再继续检查同组的后续条目。

匹配依据包括：

源/目的地址
端口范围
协议类型

可能的动作包括：

drop：丢弃数据包，不建立会话。
accept：放行数据包，建立会话。
redirect：将数据包交付内部处理逻辑。

提示

iprope 表中不存在 GUI 防火墙策略的“隐式拒绝”，所有条目均为显式策略。

常用命令

用于查看不同策略组的命令：

diagnose firewall iprope list 100002   # 静态 SNAT 策略
diagnose firewall iprope list 100000   # VIP（DNAT）策略
diagnose firewall iprope list 100004   # 普通 Forward 策略
diagnose firewall iprope list 10000e   # 系统生成的 Local-In 策略
diagnose firewall iprope list 100015   # Traffic Shaping 策略
diagnose firewall iprope list 100017   # 简单 ZTNA 策略

输出示例及字段说明

FortiGate # diagnose firewall iprope list 00100004

Policy Group 00100004

policy index=1 uuid_idx=14 action=accept
flag (8050108): redir nat master use_src pol_stats
flag2 (4000): resolve_sso
flag3 (20): schedule(always)
cos_fwd=255 cos_rev=255
group=00100004 av=00004e20 au=00000000 split=00000000
host=0 chk_client_info=0x0 app_list=0 ips_view=0
misc=0 dd_type=0 dd_mode=0

zone(1): 3 -> zone(1): 6
source(1): 10.0.1.0-10.0.1.255, uuid_idx=12,
dest(1): 192.0.2.0-192.0.2.255, uuid_idx=13,
service(1):
[0:0x0:0/(0,65535)->(0,65535)]
helper:auto

字段含义说明：

| 字段 | 含义 | |