| 问题答案列表 |
| 未分类 |
| 问题:VPN (虚拟专用网)功能介绍 |
| 1,支持VPN的类型有:L2TP,PPTP, IPSec,和 SSL VPN 2,支持DES, 3DES, AES 256加密算法, SHA-1 / MD5 认证 PKI证书,SCEP简单证书登记协议 3,支持Hub and Spoke星型IPSEC VPN连接 4,支持IPSEC VPN隧道备份功能 5,支持IPSEC VPN双连接功能 5,IPSEC VPN支持DPD 通道状态检测,NAT穿越,XAUTH认证静态VPN,动态拨号VPN和DDNS方式支持 6,支持子网重叠,VPN通道保持 7,基于策略和基于路由的VPN 8,支持GRE,OSPF over IPSEC VPN功能 9,SSL VPN支持隧道模式和通道分割及终端检测等等功能 |
| 防火墙系统管理 |
| 问题:如何清空防火墙的连接表 |
| 登陆到防火墙命令行下面执行命令:diagnose sys session clear |
| 问题:如何重置防火墙的ARP地址表 |
| 登陆到防火墙命令行下,执行命令:diagnose ip arp delete <接口名称> 或diagnose ip arp flush <接口名称> |
| 问题:如何获取防火墙的ARP表 |
| 登陆到防火墙的命令行模式下面,执行命令:get system arp,可以得到防火墙的ARP地址表 |
| 问题:如何查看防火墙接口的MAC地址 |
| 用命令行登陆到防火墙上,执行命令:"diagnose hardware deviceinfo nic <接口名称>”查看对应的防火墙接口MAC地址,Current_HWaddr和Permanent_HWaddr。 |
| 问题:如何配置DHCP服务器 |
| 进入到命令行,执行如下配置命令: config system dhcp server edit "internal" ---->新建一个DHCP服务器名字 set default-gateway 192.168.79.1 set dns-server1 219.232.48.61 set dns-server2 219.141.136.10 set dns-server3 211.147.6.3 set interface "internal" ---->编辑需要启动DHCP服务器的防火墙端口 set netmask 255.255.255.0 set end-ip 192.168.79.30 set start-ip 192.168.79.2 next end |
| 问题:如何修改防火墙管理器超时时间 |
| 管理员登陆默认5分钟没有操作的话管理器将自动超时,有2种方法可以修改默认超时时间: 1,登陆到防火墙Web界面,进入系统管理->管理员设置->设置,修改“超时控制”到期望的时间; 2,登陆命令行,用下面的命令修改: config system global set admintimeout ‘值'(分钟) end |
| 问题:如何修改默认管理端口 |
| 登陆到Web界面,进入系统管理->管理员设置->设置里面,修改对应的管理协议使用的端口号就可以了。 |
| 问题:如何设置防火墙管理端口 |
| 登陆Web界面,进入到系统管理->网络,点击对应的接口最后的“编辑”按钮,修改“管理访问”部分,把对应的需要开放的管理方式和需要管理的管理方式勾上或勾掉就可以了。 |
| 问题:如何获取防火墙的序列号 |
| 3种方法: 1,查看设备后部有一个F开头的16位字母数字组合串; 2,通过命令"get system status" 里面的“Serial-Number: ”字段获取; 3,登陆Web界面,进入系统管理->状态页面 查看序列号字段获取。 |
| 问题:如何优化防火墙内存使用率 |
| 1,尽量不启用内存日志 2,尽量不启用不必要的AV扫描协议 3,减小扫描病毒文件的上限值,大多数带病毒的文件文件都小于2、3M 4,删除不用的DHCP服务 5,取消不用的DNS转发服务 6,如IPS不需要,执行命令节省内存 Diag ips global all status disable 7,改变session的ttl值 set default 300 [conf sys session-ttl] set tcp-halfclose-timer 30 [config sys global] set tcp-halfopen-timer 20 [conf sys global] 8,改变fortiguard的ttl值 set webfilter-cache-ttl [conf sys fortiguard ] set antispam-cache-ttl [conf sys fortiguard ] 9,改变DNS缓存的条数 set dns-cache-limit [conf sys dns] 10,不启用DNS转发 unset fwdintf [conf system dns] |
| 问题:如何优化防火墙性能 |
| 1,FortiGate设备应该有足够的资源应对攻击 资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的 2,只开启用得着的管理服务 如果不用SSH或SNMP,就不要启用,避免开放可用的端口. 3,将用得最多或最重要的防火墙策略尽量靠前 防火墙策略是至上而下执行的 4,只开启那些必要的流量日志 流量日志会降低系统性能 5,只开启那些必须的应用层协议检查 应用层检查对系统性能是敏感的 6,最小化发送系统告警信息 如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警 7,AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级 8,精简保护内容表数量 9,删除不必要的保护内容表 10,精简虚拟域数量 删除不必要的虚拟域 低端设备最好不要用虚拟域 11,如果性能显示不足就避免启用流量整形 流量整形将降低流量处理性能 |
| 问题:如何允许未在防火墙上定义的vlan数据被自动转发 |
| 具体命令如下: conf system interface edit internal set vlanforward enable 启用后,未定义接口的的vlan流量将会自动转发,不受防火墙策略控制。 |
| 问题:交换机Native Vlan不是vlan1的处理方法 |
| Native vlan 1,如果交换机上的vlan1不是native vlan,则必须在FGT上创建相对应的vlan1. native,此vlan不带VLAN ID号,因此它将直接和物理接口IP在同一网段; 2,交换机上的native vlan与FGT上的物理接口相对应就可以了。 |
| 问题:如何允许STP/CDP/VTP 协议通过防伙墙 |
| 具体配置命令如下: config system interface edit internal set stpforward enable end |
| 问题:防火墙特性介绍 |
| 1,支持NAT/路由, 透明模式 , 混合模式 2,虚拟防火墙支持 3,标准预定义服务(SIP,GRE,Netmeeting,h.323,OSPF等) 4,自定义服务/服务组/地址/地址组 5,DHCP 服务器,DNS转发, IP/MAC地址绑定 6,IPV6 策略和路由支持 7,非IP协议透明传输 8,ALG应用代理(SIP,H.323, TNS, RSTP,RAS等NAT穿越) 9,服务器负载分担和健康检查 10,策略时间表支持 11,单机的会话同步支持 |
| 问题:FortiGate防火墙网络特性介绍 |
| 1,静态地址/ DHCP / PPPOE/ DDNS域名 2,多个 WAN 链接,网关健康检测 3,多个二级地址支持 4,USB 3G modem 支持 5,VLAN子接口支持, 802.3ad链路聚合和冗余接口 6,静态路由,策略路由,基于TOS的路由 7,基于用户认证的路由 8,动态路由RIP v1 & v2, OSPF, BGP 9,Multicast组播(PIM parse, PIM Dense) |
| 问题:FortiGate HA(高可用性)功能介绍 |
| 1,主备支持,配置和会话保持同步 2,主主支持,6 种负载平衡的算法支持:Round robin, least connections, etc. 3,主设备抢占 4,设备和接口的状态监控 5,网络链路的状态监控 6,多HA 心跳监视 7,冗余接口, 全网状连接支持 8,支持NAT/路由, 透明模式 9,支持IPSEC VPN状态切换功能 10,支持32台FortiGate的集群 |
| 防火墙路由设置 |
| 问题:透明模式下如何把内外接口的同一个VLAN划分在同一个广播域下 |
| 透明模式下,把内外接口的同一个VLAN划分在同一个广播域,在接口上配置完 VLAN后,需要在每个VLAN接口下起用此命令 set forward-domain |
| 防火墙用户认证 |
| 问题:用户认证功能介绍 |
| FortiGate防火墙支持的用户认证服务器类型有: 1,本地认证; 2,LDAP认证; 3,Radius认证; 4,TACACS+; 5,PKI; 6,Windows AD;支持的认证协议有: HTTP,FTP,HTTS,TELNET |
| 防火墙IPSEC VPN |
| 问题:FortiGate防火墙透明模式下面是否支持IPSEC VPN |
| FortiGate防火墙透明模式下面仍然可以支持IPSEC VPN,这时候VPN连接使用防火墙管理地址(manager ip)建立。 |
| 防火墙性能 |
| 问题:FortiGateFGT5001A性能 |
| 防火墙吞吐量:2Gbps/13G,VPN 3DES吞吐量:0.8Gbps/7Gbps,防病毒吞吐量500Mbps,IPS吞吐量:2G/4G,支持的IPSEC隧道数:3000,并发会话数:2000000,新建会话能力:50K/秒,策略数:100000,虚拟域数量(标准/加上许可);10/500。 |
| 问题:FortiGate3810A性能 |
| 防火墙吞吐量:7Gbps/37G,VPN 3DES吞吐量:1Gbps/19Gbps,防病毒吞吐量500Mbps,IPS吞吐量:4Gbps,支持的IPSEC隧道数:64000,并发会话数:2000000,新建会话能力:40K/秒,策略数:100000,虚拟域数量(标准/加上许可);10/500。 |
| 问题:FortiGate3016B性能 |
| 防火墙吞吐量:16Gbps/20G,VPN 3DES吞吐量:12Gbps/15Gbps,防病毒吞吐量300Mbps,IPS吞吐量:2Gbps,支持的IPSEC隧道数:64000,并发会话数:1000000,新建会话能力:25K/秒,策略数:100000,虚拟域数量(标准/加上许可);10/500。 |
| 问题:FortiGate620B性能 |
| 防火墙吞吐量:16Gbps(AMC 20G),VPN 3DES吞吐量:12Gbps(AMC 15Gbps),防病毒吞吐量150Mbps,IPS吞吐量:600Mbps,支持的IPSEC隧道数:3000,并发会话数:400000,新建会话能力:10K/秒,策略数:20000。 |
| 问题:FortiGate310B性能 |
| 防火墙吞吐量:8Gbps(AMC 12G),VPN 3DES吞吐量:6Gbps(AMC 9Gbps),防病毒吞吐量160Mbps,IPS吞吐量:800Mbps,支持的IPSEC隧道数:3000,并发会话数:600000,新建会话能力:20K/秒,策略数:8000。 |
| 问题:FortiGate110C性能 |
| 防火墙吞吐量:500Mbps,VPN 3DES吞吐量:100Mbps,防病毒吞吐量65Mbps,IPS吞吐量:200Mbps,支持的IPSEC隧道数:1500,并发会话数:400000,新建会话能力:10000/秒,策略数:4000。 |
| 问题:FortiGate50B性能 |
| 防火墙吞吐量:50Mbps,VPN 3DES吞吐量:48Mbps,防病毒吞吐量19Mbps,IPS吞吐量:30Mbps,支持的IPSEC隧道数:20,并发会话数:25000,新建会话能力:2000/秒,策略数:2000。 |
| 防火墙防病毒功能 |
| 问题:Antivirus 病毒扫描功能介绍 |
| 1,支持扫描的协议:HTTP, SMTP, POP3, IMAP, FTP,NNTP 和 IM; 2,可以自定义的服务端口,服务超时控制; 3,支持病毒阻拦和监视模式; 4,多层压缩文件扫描,支持文件类型有tar /gzip/rar/ lzh/ cab/ arj /zip /bzip /bzip2 /msc /UPX; 5,支持文件大小限制 和 文件类型限制控制功能; 6,支持病毒隔离功能(需要本地硬盘或FortiAnalyzer日志服务器); 7,防病毒数据库自动更新和推送功能; 8,基于ASIC加速的硬件; 9,检测VPN通道(IPsec和SSL); 10,透明、NAT和路由模式; 11,木马、蠕虫、间谍软件和灰色软件的防御。 |
| 问题:FortiGate病毒库容量 |
| 老型号防火墙只有WildList病毒条目,大概有16000条病毒特征码,新型号的防火墙低端产品病毒条目大概是160万条,高端产品病毒条目大概是210万条。病毒库每天平均有4次版本更新 |
| 问题:病毒特征库维护 |
| 1,Fortinet公司全球有3个病毒处理中心(北美,法国,中国)24X7监控、收集、分析病毒; 2,处理病毒类型有:病毒、木马、蠕虫、间谍软件、广告软件、黑客软件,钓鱼软件等; 3,处理速度:发现病毒 ?分析病毒?病毒特征入库,整个流程小于60分钟; 4,中国优势:中国天津病毒检测实验中心,有针对性的处理仅在国内爆发的病毒。 |
| 防火墙IPS功能 |
| 问题:FortiGate入侵检测功能介绍 |
| 支持的特性如下: 1,自动攻击数据库更新; 2,可以自定义特征库, 威胁等级; 3,会话控制, DOS攻击控制 4,自定义攻击传感器,支持基于策略的攻击防御 5,基于系统,协议,威胁等级的特征库管理 |
| 问题:FortiGate入侵特征库容量 |
| 1,全球3个团队维护,每日更新。特征值需经过多道严谨测试,谨防误判。 2,全球最全的特征值库:4000多条,每周更新10-20条 3,可独立升级的过滤引擎,基于行为分析,处理高隐蔽性攻击 4,详情访问:http://www.fortiguardcenter.com/intrusionprevention/ips.html |
| 防火墙日志功能 |
| 问题:防火墙支持的日志服务器类型 |
| FortiGate防火墙日志服务器类型支持本地内存日志,本地硬盘日志,远程FortiAnalyzer日志,远程SYSLOG日志服务器。可以同时支持多个日志服务器。 |
| 防火墙网页过虑功能 |
| 问题:如何清空防火墙本地网页类别缓存 |
| 我们建议启用FortiGuard WebFilter功能的时候同时启用本地缓存功能以加快网页过虑的功能,但有的时候如果发现本地网页过虑功能的行为和FortiGuard Center验证的类别结果不一致的时候,可以使用这个命令来清空防火墙本地网页类别缓存,以让防火墙从FDN网络获取到最新的网页类别数据库:diagnose test application urlfilter 2 |
| 问题:哪里可以验证URL具体是属于FortiGuard WebFilter的哪个分类 |
| 可以登陆到FortiGuard Center去验证URL的具体分类,网址是:http://www.fortiguardcenter.com/webfiltering/webfiltering.html。打开网站后在“Enter a URL: ”框内输入需要验证的URL,点"Search”之后就可以得到具体URL的类别了(Category)。同时如果认为FortiGuard定义的类别不对,在同一个页面里面可以勾上"Check to submit the URL. Generally reviewed and updated in 24 hours“并提交相关信息,我们将在24小时内更新对应的URL类别信息。 |
| 问题:Web网页过滤功能介绍 |
| 1,支持FortiGuard web 分类库过滤(82种分类) 2,支持自定义URL地址,域名过滤 3,基本于分值的网页关键词阻断规则 4,自定义分类库,基于用户认证的分类库控制 5,URL 地址/域名 黑白名单 6,可以阻断Java Applet, Cookies, Active X |
| 问题:FortiGuard网址分类 |
| 1,FortiGuard网址分类 全球3个团队,维护8大类76小类4600万个URL。使用系统自动+人工处理方式,每周更新150万个网址,响应近万个重新分类申请。 网址分类服务器遍布全球18处IDC机房中,每天响应30亿次分类请求 97%覆盖率:只有3%的申请URL在4600个已分类URL中找不到 3,可以基于用户,IP,时间段,策略等进行管理,并可设置例外规则进一步细化设置 4,详情访问:http://www.fortiguardcenter.com/webfiltering/webfiltering_info.html 5,产品注册后自动获得1个月免费试用期,但需要在FortiGate上手工启用本服务大类 小类不良后果 毒品,迷信,黑客,违法,种族歧视,暴力,钓鱼网站,剽窃,虐待。。。不安全 病毒软件,间谍软件反感或争议 堕胎,成人,赌博,战争,裸体,色情,武器,性教育,酒精,烟草,内衣。。。大众兴趣 娱乐,文化,教育,金融,健康,求职,药物,新闻与媒体,约会,政治。。。潜在消极 广告,游戏,软件下载, webmail ,网络聊天,新闻组,及时消息。。。商务 商业和经济,政府和组织, IT ,计算机安全,武装力量浪费带宽 文件共享,文件存储,多媒体下载,在线音频/视频,网络电话其他 内容服务,虚拟主机,动态内容。。。 |
| 防火墙邮件过虑功能 |
| 问题:哪里可以验证邮件是否是垃圾邮件(spam mail) |
| 可以登陆到FortiGuard Center通过邮件的IP信息,邮件地址信息或者邮件包含的URL信息来验证该邮件是否已经被FortiGuard识别为垃圾邮件,网址是:http://www.fortiguardcenter.com/antispam/antispam.html。同时如果认为FortiGuard错误的把一个邮件识别为垃圾邮件,请把该邮件以附件的方式发送到"removespam@fortinet.com",我们将在尽快修改垃圾邮件库。 |
| 问题:AntiSpam垃圾邮件介绍 |
| 支持SMTP、POP3、IMAP反垃圾邮件服务,支持SURBL, RBL, URI, 关键字, DNS和邮件头反垃圾邮件技术。FortiMail是fortinet专门的反垃圾邮件设备,它具备已知的所有的反垃圾邮件技术,除了上面提到的还包括:Bayesian, heuristics, DCC, DNS, 灰名单, RBL, SURBL, Dictionary, 关键字, 内容、 user、邮件头等等。 |
| 问题:FortiGuard 反垃圾邮件服务 |
| FortiGuard 反垃圾邮件服务 1,全球3个技术团队,使用大量高端技术设备,收集和分析垃圾邮件 2,实时在线过滤或阻断垃圾邮件的服务基于:? 邮件发送地址:当前可疑地址有1.6亿个,每周有1000万个更新? 邮件发送帐号,及邮件内容中的URL链接:当前可疑记录约1000 万条,每周更新3万条? 主题和内容中的关键字:当前可疑记录约300万条,每周更新约1万条 3,FortiGuard反垃圾邮件在线服务器遍布全球多个IDC网络中心? 除其他地区外,亚洲的新加坡、日本、马来西亚和中国分别设立FortiGuard垃圾邮件过滤服务器,以提高实时响应速度,并提供互为冗余备份功能。 4,配合反病毒功能,效果更好:垃圾邮件中,有较大比例邮件是由病毒自动发送。 5,产品注册后自动获得1个月免费试用期,但需要在FortiGate上手工启用本服务 6,使用过程中如发现没有正确识别垃圾邮件? 将该邮件以附件形式发送至 submitspam@service.fortinet.com ? 在 http://www.fortiguardcenter.com/antispam/antispam.html 处,实时查验IP 地址或Email地址是否在黑名单内。? 开ticket后Fortinet 技术支持人员就可以协助修正误判或漏判的垃圾邮件问题。 |
| 防火墙应用程序控制功能(application control) |
| 问题:如何限制网络在线升级应用 |
| FortiOS 4.0版本可以控制大多数知名软件的在线升级应用,如windows升级、Yum、Mcafee、诺顿、Adobe、Real、360、瑞星、趋势等等,可以到'UTM->应用控制'中新建一个应用控制列表,新建一个应用条目,类型选择update,应用选择对应的需要控制的在线升级应用,动作选择阻止。然后到防火墙->保护内容表中编辑对于的保护内容表,把应用控制列表选择刚刚新建的应用控制列表,最后到防火墙策略里面去引用这个防火墙保护内容表就可以控制对应策略的在线升级应用了。 |
| 问题:如何限制淘宝旺旺 |
| FortiOS 4.0版本可以很好的控制淘宝旺旺应用,可以到'UTM->应用控制'中新建一个应用控制列表,新建一个应用条目,类型选择im,应用选择alitalk,动作选择阻止。然后到防火墙->保护内容表中编辑对于的保护内容表,把应用控制列表选择刚刚新建的应用控制列表,最后到防火墙策略里面去引用这个防火墙保护内容表就可以控制对应策略的淘宝旺旺应用了。 |
| 问题:如何限制网络游戏应用 |
| FortiOS 4.0版本可以控制大部分知名的网络游戏应用共计将近50种,典型的如:QQ游戏、Quake、征途、诛仙、赤壁、新浪游戏、搜狐游戏、AIM游戏、MSN游戏等等,可以到'UTM->应用控制'中新建一个应用控制列表,新建一个应用条目,类型选择game,应用选择对应的需要控制的网络游戏类型,动作选择阻止。然后到防火墙->保护内容表中编辑对于的保护内容表,把应用控制列表选择刚刚新建的应用控制列表,最后到防火墙策略里面去引用这个防火墙保护内容表就可以控制对应策略的网络游戏应用了。 |
| 问题:如何限制web邮件收发 |
| FortiOS 4.0版本可以很好的控制web邮件收发,目前基本上可以限制所有的知名的web邮件应用,如gmail,yahoo mail,qq mail,sina mail,126 mail,hotmail,网易邮箱等等三十几种web邮件应用,可以到'UTM->应用控制'中新建一个应用控制列表,新建一个应用条目,类型选择web-mail,应用选择具体的web邮件类型,动作选择阻止。然后到防火墙->保护内容表中编辑对于的保护内容表,把应用控制列表选择刚刚新建的应用控制列表,最后到防火墙策略里面去引用这个防火墙保护内容表就可以控制对应策略的web邮件应用了。 |
| 问题:如何限制优酷视频播放 |
| FortiOS 4.0版本可以很好的控制优酷视频下载,可以到'UTM->应用控制'中新建一个应用控制列表,新建一个应用条目,类型选择media,应用选择优酷,动作选择阻止。然后到防火墙->保护内容表中编辑对于的保护内容表,把应用控制列表选择刚刚新建的应用控制列表,最后到防火墙策略里面去引用这个防火墙保护内容表就可以控制对应策略的优酷视频下载了。 |
| 问题:中国特有的应用程序控制 |
| 中国技术团队,重点关注国产软件: 1,微软MSN, 腾讯QQ , 网易泡泡, 中国移动飞信, 阿里旺旺, 百度Hi 。。。 2,迅雷, QQ超级旋风下载, 脱兔, 百度下吧, 酷狗, PP点点通 。。。 3,新浪UC视频,新浪电视,迅雷看看,PPS网络电视,搜狐电视,CCTV网络电视,QQ网络电视,风行网络电影,PPS网络电视,腾讯QQLive,搜Q , 沸点网络电视。。。 4,联众游戏, 盛大泡泡堂, 网易游戏,网页泡泡游戏, 新浪游戏,新浪UT游戏,浩方对战平台,MSN游戏, 搜狐游戏, 征途游戏, QQ飞车, QQ对战平台, 远航游戏中心,VS竞技游戏平台,中国游戏中心。。。 5,钱龙,同花顺, 大智慧,华安证券, 国泰君安证卷,和讯股道, 江海证卷, 通达信。。。 6,淘宝网,当当网,易趣网。。。。 |
| 问题:什么是应用程序控制功能 |
| 应用程序控制功能可以控制18大类1000多种网络应用,热门软件每周都会更新最新软件版本特征以保证应用程序控制的准确性。主要的应用程序类型包括:及时通讯,浏览器工具条,音频/视频,互联网代理,webmail,P2P,网络协议,VOIP,远程访问,企业应用,特殊网站,协议命令,网络游戏,文件传输,数据库,网络备份,自动升级,网络服务等等。典型的应用程序有:MSN,QQ,P2P下载,3721,MSN,RealPlayer,http Tunnel,Gmail,hotmail,IGNP, IPv6,facebook,迅雷,电驴,NetMeeting,PCAnywhere,ERP, CRM,SSL, LDAP,魔兽,QQ游戏,FTP,Mysql,Oracel,Rsync。详情青访问:http://www.fortiguardcenter.com/applicationcontrol/appcontrol.html 本功能需要FortiOS V4.0 支持 |
| 防火墙信息泄漏功能(Data Leake Prevention) |
| 问题:信息泄漏(Data Leak Prevention)功能介绍 |
| 1,支持的协议:HTTP POST,HTTP GET,FTP PUT,FTP GET,SMTP,POP3,IMAP,NNTP,IM(AIM,MSN,ICQ,Yahoo); 2,支持的动作:记录,阻止,免屏蔽,禁止(用户,IP,接口); 3,可以根据传输的源,目的,内容,正文,cookie,附件是否加密,附件大小,认证用户,URL,CGI,HTTP头,主机名等等条件判断是否存在信息泄漏情况进而进行控制。 |
| 防火墙服务 |
| 问题:FortiAnalyzer Demo |
| https://www.fortianalyzer.com/ User/Password:demo/fortianalyzer |
| 问题:FortiGate Demo |
| https://www.fortigate.com/ User/Password:demo/fortigate |
| 问题:Fortinet在线文档 |
| 1,http://www.fortinet.com.cn > 技术支持 > 售后支持 2,http://docs.fortinet.com 及时更新的Fortinet全系列产品管理手册 3,中文文档http://docs.fortinet.com/cn.html 4,http://kc.fortinet.com 每周更新的Fortinet全系列产品知识库 产品兼容列表 / RFC支持 已知问题/bug通告 5,https://support.fortinet.com 重要事件通知 产品服务状态查验 增加新产品注册 RMA(不含DOA)设备的服务替换操作 手动下载最新的AV/IPS特征库 最新FortiOS下载 最新FortiOS的发布说明 |
| 问题:FortiGuard试用 |
| 1,产品注册后,自动获得1 个月的试用期。FortiGate自动开始更新病毒库和IPS库,无需人工干预;网页分类功能和垃圾邮件过虑功能需要手工开启,之后就可以自动查询最新条目; 2,更长特征库升级服务,请联系飞塔授权经销商或飞塔增值服务中心购买; 3,基于每设备的license,而非基于每用户的license,更方便、更经济。 |
| 问题:增值服务中心联系方式 |
| 飞塔中国增值服务中心北京市海淀区上地信息路7号数字传媒大厦507室,100085 Tel:(+86)10-62965255 Fax:(+86)10-62960239 Email:service_china@fortinet.com http://www.fortinet.com.cn |
| 问题:如何进行设备注册 |
| 1,访问https://support.fortinet.com, 这是一个英文网站,中文网站将在近期内推出; 2,如果您已经有注册帐号,请先用您的帐号登录,然后点击“产品注册”并输入设备信息; 3,如果您还没有注册帐号,请直接点击首页左侧的“产品注册”链接并输入设备信息; 4,如果您已经注册,记得并能访问注册使用的邮箱,但忘记密码,使用登录区下方的“忘记密码”。请注意,登录名就是您注册用的邮箱。新初始密码将发到您的邮箱中; 5,如果您已经注册,忘记了注册用邮箱,或无法使用注册用邮箱,请与我们联系(service_china@fortinet.com)。 |
| 问题:为什么需要注册设备 |
| 1,只有注册过的产品,才能享受FortiCare服务,如硬件保修,技术支持; 2,只有注册过的产品,才可以获得FortiGuard 服务,如反病毒与入侵保护升级、web 过滤与反垃圾邮件服务; 3,您可以随时查询设备和服务的购买情况及服务到期时间;下载最新版本的FortiOS;接收新产品发布和FortiOS更新通知;提交技术支持请求。 |
| 问题:出厂日期 |
| 出厂日期指产品出厂时,公司ERP系统自动记录的日期 |
| 问题:最晚注册日期 |
| 新产品必须在出厂日期起一年内注册,才能享受免费保修和技术支持服务。注意: 1,产品的运输,报关,仓储均会耽搁时间,接收到产品后请尽快注册; 2,如果无法注册,请及时与您的飞塔授权经销商联系; 3,根据公司的全球财务政策,如果在产品出厂1年后才注册,您将无法享受免费的硬件保修和技术支持服务。 |
| 问题:免费技术支持期限 |
| 新购产品注册后,赠送3个月技术支持,技术支持仅包括电子邮件支持和网站问题支持。 |
| 问题:新购设备默认免费保修服务期限 |
| 新购产品注册后,赠送一年的硬件保修服务 |
| 问题:什么时候可以DOA |
| 免费换货服务DOA条件: 1,产品出厂后120天内出现硬件故障,享受返厂更换服务(DOA) 2,DOA服务无需产品注册也可以享受 |
| 问题:RMA流程所需时间 |
| RMA流程所需时间: 1,北京RMA中心:约1周 2,台湾RMA中心:约4周 |
| 问题:硬件保修流程 |
| 请首先联系您的飞塔授权经销商,他们将为您处理相关服务。您也可以直接与飞塔服务中心联系。服务中心确定硬件故障现象后,将指导您填写必要的文件。我们将根据机型支持情况,指导您将设备发往相应的RMA中心。 |
| 问题:什么是DOA |
| DOA (Dead On Arrival) 更换相同型号的全新设备 Fortinet 承担往返RMA中心的双程运费 |
| 问题:什么是RMA |
| RMA (Return of Materials Authorization) 更换相同型号的修复设备,新旧程度不能保证客户需承担将设备寄往RMA中心的单程运费。从RMA中心到客户的运费由Fortinet 承担 |
| 问题:Fortinet无法提供支持情形 |
| 客户更改、损坏或改变后的产品未公开发表的产品由意外事故,疏忽或误用、不适当的安装运行环境造成的故障 |
| 问题:FortiCare技术支持范围 |
| 1. 技术支持处理以下情形: 在配置或运行过程中显露出来的产品/服务缺陷 产品或其元器件的硬件故障 FortiGuard服务的运行问题和可用性问题 2. 产品初次安装配置服务,由飞塔授权经销商向客户提供: 硬件初次安装逐步指导 产品/服务初次配置或安装指导 3. 与飞塔产品互联的第三方设备故障和问题 飞塔技术支持可协助分析和确诊问题 负责解决Fortinet产品/服务自身的相关问题 |
| 问题:FortiGate服务说明 |
| FortiGate服务的服务包括FortiCare和FortiGuard两种服务包。FortiCare服务又包括:硬件保修,固件升级,网上/邮件支持,8×5增强的支持服务,24×7的VIP服务。FortiGuard服务包括:病毒特征库更新服务(AV),入侵&应用管理特征库更新服务(IPS),垃圾邮件特征库更新服务(Anti Spam),网址分类过虑(Web Filtering)服务。 |
| 防火墙模块 |
| 问题:ASM-CX4(单宽) |
| 1,4个10/100/1000M接口 2,断电或系统故障时可自动旁路 |
| 问题:ASM-FX2(单宽) |
| 1,2个1000M SFP接口(SX) 2,断电或系统故障时可自动旁路 |
| 问题:ASM-CE4(单宽) |
| 1,4个10/100/1000M接口 2,IPS吞吐量:4Gbps,组播吞吐量:4Gbps 3,IPS和组播性能使用专门的MIPS芯片加速 |
| 问题:ASM-S08(单宽) |
| 80GB硬盘 |
| 问题:ADM-FB8(双宽) |
| 1,8个1000M SFP接口 2,内置4个SX模块,可替换为LX、TX 3,防火墙吞吐量:8Gbps,IPSec VPN吞吐量:6Gbps 4,支持1000M 64字节小包线速 |
| 问题:ASM-FB4(单宽) |
| 1,4个1000M SFP接口 2,内置4个SX模块,可替换为LX、TX 3,防火墙吞吐量:4Gbps,IPSec VPN吞吐量:3Gbps 4,支持1000M 64字节小包线速 |
| 问题:ADM-XB2模块(双宽) |
| 1,2个FortiASIC加速的10G以太网口(包括2x SR XFP模块); 2,11Gbps防火墙吞吐量; 3,6Gbps的IPSEC(3DES) VPN吞吐量; 4,双宽度规格。 |
| UTM介绍 |
| 问题:FortiGate防火墙病毒库和入侵防御库的更新频率是多少 |
| FortiGate防火墙病毒库通常每天都会有4次升级,IPS库和应用控制库通常是一周升级2次。网页过虑和垃圾邮件过虑库是实时更新的。 |
| 问题:FortiGate UTM防火墙的主要功能 |
| FortiGate UTM 3.0防火墙主要功能包括:防火墙,IPSEC VPN,SSL VPN,PPTP/L2TP VPN,网关防病毒,IPS,网页过虑,垃圾邮件过虑,带宽管理,用户认证,日志/报告,DHCP,HA的A-A和A-P功能及虚拟防火墙功能。FortiGate UTM 4.0防火墙主要增加的功能有:应用程序控制功能,广域网加速功能,信息泄漏功能以及终端控制功能等已经多项3.0功能的优化和改进。 |
| 公司介绍 |
| 问题:FortiNet系列产品介绍 |
| Fortinet 基于核心的硬件技术和软件系统的紧密结合,提供了丰富的产品线,其主推的UTM网关FortiGate系列包括SOHO分支办公室级别的 FortiGate-50B、60B,100A;适合中小商务的 FortiGate-110C,200A、224B、300A; 适合中型企业的FortiGate-400A、500A、800、800F、310B,1000A、1000FA2以及适用于大型企业和运营服务商的FG3016B、3600A、3810A,适合电信行业用户使用的基于ATCA先进的通信结构的FG5020、5050、5140 高端系列产品,最高可达80G+ 的网络性能。另外Fortinet还提供了基于主机、移动通信终端安全套件FortiClient和无线接入安全产品FortiWiFi-50B,FortiWiFi-60B等,其完善的产品线为用户提供了广泛 的应用空间。在安全统一管理和审计方面,Fortinet 提供了相应的安全管理工具,包括集中式安全管理平台FortiManager-100、400A、3000B, 集中式日志分析报表系统FortiAnalyzer-100B、800B、1000B、2000A、4000A。 在邮件安全领域,Fortinet还提供了专业的垃圾邮件安全平台FortiMail-100、400、2000、4000。其优秀的多通道邮件判别技术提供了高级的邮件安全识别,灵活的部署方式支持透明,代理和邮件服务器方式,为用户提供了最方便的使用。 在安全响应服务方面,Fortinet 公司的FortiGuard 安全预订服务包括了24x7防病毒更新服务、入侵检测和防御更新服务、Web过滤更新服务和反垃圾邮件更新服务。Fortinet全球安全防护服务体系实施24x7不间断监控随时出现的新的安全威胁,保证了对最新出现的攻击作出应急响应和更新,全球的FortiGate系列产品都会及时的通过推送方式得到更新,同时不间断网络的运行。 |
| 问题:FortiGate防火墙通过哪些认证 |
| FortiGate防火墙通过权威的安全认证,具体如下: 1,7项ICSA(国际计算机安全组织认证)认证:Firewall,IPsec_VPN, SSL_VPN,IPS, Anti-Virus, Anti-Spyware, Anti-Spam; 2,*********政府安全认证 (FIPS-2, Common Criteria EAL4+) 3,80+ 安全行业认证 4,美国病毒专业评测试VB 100认证 5,欧洲专业IPS安全评测组织NSS认证 6,ISO 9001认证 国内通过的权威国家认证有: 1,国家公安部 2,国家反病毒认证试验室 |
| 培训 |
| 问题:培训课程 |
| 1,201 课程- Fortinet认证工程师 FCNSA(FortiGate,FortiAnalyzer) FortiGate 多重威胁安全系统I – 管理和内容检测 2,301 课程– Fortinet认证资深工程师 FCNSP(FortiGate) FortiGate 多重威胁安全系统II – 安全网络部署和虚拟专用网 3,302 课程– FortiGate高端FG5000系列 4,221 课程– FortiMail 反垃圾邮件产品 |
| FortiAnalyzer日志处理系统 |
| 问题:FortiAnalyzer日志处理系统型号介绍 |
| 1,FortiAnalyzer 100B 250GB硬盘建议用于10台FortiGate设备 2,FortiAnalyzer 800 4个250GB 或 400GB硬盘冗余的电源、Raid 建议用于250台FortiGate设备 3,FortiAnalyzer 2000 6个250GB 或 400GB硬盘冗余的电源热插拔硬盘、Raid 建议用于500台FortiGate设备 4,FortiAnalyzer 4000A 12个250GB 或 400GB硬盘冗余的电源热插拔硬盘、Raid 建议用于500台FortiGate设备 |
| FortiOS 4.0 |
| 问题:如何限制PPLive |
| FortiOS 4.0版本可以很好的控制PPLIVE视频播放软件,可以到'UTM->应用控制'中新建一个应用控制列表,新建一个应用条目,类型选择P2P,应用选择PPLive,动作选择阻止。然后到防火墙->保护内容表中编辑对于的保护内容表,把应用控制列表选择刚刚新建的应用控制列表,最后到防火墙策略里面去引用这个防火墙保护内容表就可以控制对应策略的PPLive视频下载了。 |
| 问题:如何限制迅雷上网 |
| FortiOS 4.0版本可以很好的控制迅雷下载,可以到'UTM->应用控制'中新建一个应用控制列表,新建一个应用条目,类型选择P2P,应用选择Thunder,动作选择阻止。然后到防火墙->保护内容表中编辑对于的保护内容表,把应用控制列表选择刚刚新建的应用控制列表,最后到防火墙策略里面去引用这个防火墙保护内容表就可以控制对应策略的迅雷下载了。 |
| 问题:日志增强 |
| 1,VPN隧道up/down的事件日志(IPSec、SSL、PPTP),将包2,括认证用户名、本地和远程IP地址。 3,VPN隧道重建密钥将产生事件日志。 4,周期性的VPN隧道统计信息日志(周期可设置)。 5,DLP日志。 6,IPS包记录日志。 7,管理员登录日志中将包括该管理员的权限profile。 8,内存日志大小从512字节增加至1024字节,这将减少日志被截断的情况,但也同时减少了可记录的日志条数。 |
| 问题:IPS包记录 |
| 1,定义IPS Sensor的Override时可以启用包记录。 2,定义IPS Sensor的过滤器时不能启用包记录,因为包记录会产生巨量的数据。 3,包记录可以存放在内存、硬盘、FortiAnalyzer、FortiGuard A&M服务。 4,可以用packet-log-memory命令设置存放在内存中记录条目数量。 5,packet-log-history用于增加记录的包数。例如,设为6时,将记录触发特征的包,和前5个包。该功能对性能影响较大。 |
| 问题:DHCP over VPN功能加强 |
| 1,可以根据Radius记录为VPN分配IP 可以在Radius用户属性的Framed-IP-Address域中指定为该用户分配的IP地址。 可用于IPSec、PPTP和SSL Tunnel模式。 指定IP范围和基于Radius属性的分配可同时配置。 Radius属性中的Framed-IP-Address优先。 如果Framed-IP-Address不可用或者用户使用了其它认证方式,则从IP范围中分配IP地址。 3,基于路由的IPSec上的DHCP,与基于策略的DHCP over IPSec类似 |
| 问题:使用非标准端口激活用户认证 |
| FortiGate4.0支持使用非标准端口(HTTP、HTTPS、FTP、Telnet)激活用户认证,具体配置命令如下: config user setting config auth-ports edit 1 set port 8080 set type http next end end |
| 问题:用户认证监视 |
| 可以监控的内容有: 1,用户名 2,用户组 3,持续时间 4,剩余时间:例如预付费用户上网时,Radius认证属性中可包含用户剩余时间 5,IP地址 6,流量 7,认证方法:防火墙/NTLM/FSAE |
| 问题:VDOM资源分配 |
| 之前版本的防火墙策略数、用户数等资源是在多个VDOM之间平分的。 FortiOS 4.0中,super admin可以指定每个VDOM的资源数量。 |
| 问题:VIP & 负载均衡 |
| 1,从VIP菜单中独立出来。 2,定义Virtual Server和Real Server。 3,定义均衡方法和健康监测。 4,定义Persistence,包括: None HTTP Cookie - Virtual server在客户端放置cookie来识别会话。 SSL session ID - Virtual server使用SSL session ID来识别会话(SSL-VPN或HTTPS)。 5,CLI定义VIP地址发送免费ARP的间隔。 |
| 问题:HTTP POST增强 |
| 1,通常情况与FortiOS V3.0相同。 2,启用舒适度(Comfort)后在对POST进行检测时也持续发送数据,防止超时。 3,Block时 – 禁止POST。 |
| 问题:终端检测功能(Endpoint Compliance)介绍 |
| 1,检查终端是否使用最新版本FortiClient,病毒库是否更新。 2,FortiGate可以从FortiGuard下载FortiClient软件及病毒库并缓存,供终端PC下载升级。(需要带有硬盘的型号) 3,可收集终端PC的信息,如CPU、OS等,并可检测终端PC上安装的软件。 4,在FW策略中启用。 |
| 问题:WCCP功能介绍 |
| 1,FW/Router基于策略拦截流量,发送给Cache Server。 2,需要在FW策略中开启WCCP。 3。需要在FG与Cache Server相连的接口上启用WCCP通信。 |
| 问题:WAN Optimization – 注意事项 |
| 1,网络流量首先匹配防火墙策略,然后匹配WAN OPT规则。 2,WAN OPT与保护内容表不能同时使用,但可以通过VDOM划分实现。 LAN -->VDOM-PP---->Inter-Link -----> VDOM---->WANOPT------>WAN 3,所有FG型号都支持Web代理和WCCP v2。只有FG50B-HD、FG110C-HD、ASM-S08支持数据缩减和Web缓存。老型号的硬盘无效。 4,只有CP6型号支持基于SSL的WAN OPT隧道。 5,只支持FG-FG或FG-FortiClient间的WAN OPT,不兼容第三方设备或软件。 6,Web缓存支持HTTPS协议,但需要配置正确的证书。 7,WAN OPT和Web缓存支持透明代理及显式代理方式。 |
| 问题:广域网加速(WAN Optimization)功能介绍 |
| 1,基于协议或应用的数据压缩; 2,数据缩减 data deduction,减少数据重复传输的频率。 3,Web缓存使用FortiGate硬盘缓存数据。 4,安全通道 5,SSL加速 6,WCCP v2支持 |
| 问题:FortiGate 4.0主要新功能 |
| 1,新的UTM菜单 2,Data Leak Prevention(信息泄漏检测和控制) 3,Application Control(应用程序控制) 4,WAN Optimization(广域网优化) 5,Endpoint Compliance(终端控制) 6,防火墙策略改进 7,HTTP POST增强 8,流量控制增强 9,VIP & 负载均衡 10,WebUI定制化 11,基于Modem的管理访问 12,非法无线AP检测 13,VDOM资源分配 14,用户认证监视 15,OCSP & SCEP认证使用HTTPS 16,非标准端口认证 17,DHCP over VPN支持加强 18,SNMP v3支持加强 19,IPS包记录 20,Antispam引擎增强 21,NAC隔离 22,SSL VPN Portal定制 23,日志增强 |