FortiGate

FortiGate

基于Fortinet专有的FortiASIC加速芯片
FortiAp

FortiAp

无线接入点的企业级、控制器管理设备
FortiWeb

FortiWeb

Web应用层防火墙
FortiMail

FortiMail

先进的反垃圾邮件和反病毒过滤功能

FortiGate HA 原理及配置

HA(High Availability)指的是通过尽量缩短或完全避免因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机,以提高系统和应用的可用性。
HA 也提供负载均衡在HA 成员中分配会话及流量实现平衡系统负载以及设备性能的最大化。
FortiGate 支持3 种方式的HA:
FortiGate Cluster Protocol (FGCP):FortiGate 专有集群协议;
Virtual Router Redundancy Protocol(VRRP):虚拟路由器冗余协议;
TCP Session synchronization:TCP 的会话同步。
当系统出现各种状况时,设备将如何运作?流量及会话由哪台设备处理?什么类型的会话将失效?完全了解HA 原理,才能在计划或非计划故障中保证系统
在预期状态下运行。本文就FortiGate 常见的FGCP 模式HA 进行说明。
继续阅读 »
HA(High Availability)指的是通过尽量缩短或完全避免因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机,以提高系统和应用的可用性。
HA 也提供负载均衡在HA 成员中分配会话及流量实现平衡系统负载以及设备性能的最大化。
FortiGate 支持3 种方式的HA:
FortiGate Cluster Protocol (FGCP):FortiGate 专有集群协议;
Virtual Router Redundancy Protocol(VRRP):虚拟路由器冗余协议;
TCP Session synchronization:TCP 的会话同步。
当系统出现各种状况时,设备将如何运作?流量及会话由哪台设备处理?什么类型的会话将失效?完全了解HA 原理,才能在计划或非计划故障中保证系统
在预期状态下运行。本文就FortiGate 常见的FGCP 模式HA 进行说明。 收起阅读 »

FortiClient SSL VPN客户端Linux版本安装配置指南

在客户端设备为Linux环境下,需要使用隧道模式与FortiGate 建立SSL VPN连接时,可以通过FortiClient Linux版本客户端软件实现。本文档主要介绍Linux环境下的FortiClient安装与配置。
在客户端设备为Linux环境下,需要使用隧道模式与FortiGate 建立SSL VPN连接时,可以通过FortiClient Linux版本客户端软件实现。本文档主要介绍Linux环境下的FortiClient安装与配置。

ipsec vpn 总部网络如何设置走分部VPN流量? (总部的流量都走分部那边的宽带...)

..最近段时间,总部网络时好时坏.. 使用双ISP线路..但是问题来了。
公司总部无法打开某些国外网站, 在其他省份的分公司却可以打开, 我们跟其他省份的分公司都是IPSEC VPN 对接的.
现在想公司总部无法打开某些国外网站时候,用分公司的宽带去打开国外网站..?

一直在纠结这个问题.. (飞塔60B型号)
因为ipsec vpn 是对等的.. 所以没有服务端与客户端一说..
所以我只能在路由器上在做手脚..
我设置默认出口优先级为20 , 设置去分公司VPN出口的优先级为1.. 但貌似还是一样无法使用分公司网络..

本人是菜鸟.. 求大神给个意见和思路.. 因为这段时间ISP太不给力了.. 一直出现问题!

继续阅读 »
..最近段时间,总部网络时好时坏.. 使用双ISP线路..但是问题来了。
公司总部无法打开某些国外网站, 在其他省份的分公司却可以打开, 我们跟其他省份的分公司都是IPSEC VPN 对接的.
现在想公司总部无法打开某些国外网站时候,用分公司的宽带去打开国外网站..?

一直在纠结这个问题.. (飞塔60B型号)
因为ipsec vpn 是对等的.. 所以没有服务端与客户端一说..
所以我只能在路由器上在做手脚..
我设置默认出口优先级为20 , 设置去分公司VPN出口的优先级为1.. 但貌似还是一样无法使用分公司网络..

本人是菜鸟.. 求大神给个意见和思路.. 因为这段时间ISP太不给力了.. 一直出现问题!

收起阅读 »

FortiOS 5.0.7 最大值表格更新!

About the Maximum Values Table


All objects in the maximum values table have either a global limit, which applies to the entire FortiGate configuration, or a VDOM limit, which applies only to a single VDOM. For objects that have only a VDOM limit, the global limit is the VDOM limit multiplied by the number of VDOMs for that unit. For example, the FortiGate-60C can have 10 VDOMs and has a VDOM limit of 32 DHCP servers. This means that the global limit is 320.

By default, most FortiGate models support a maximum of 10 VDOMs in any combination of NAT/Route and Transparent operating modes. For FortiGate models 3000 and higher, a license key can be purchased to increase the maximum number.



The Maximum Values Table has been updated with values for FortiOS 5.0.7. For more information, see the Change Log.


LEGEND
Black cells Objects with global limits
Gray cells Objects with VDOM limits
0 Objects with no hard limit, such as objects limited by system memory
INT Objects that are limited by the number of available interfaces
- Unsupported feature

[http://docs-legacy.fortinet.co ... .html](http://)
继续阅读 »
About the Maximum Values Table


All objects in the maximum values table have either a global limit, which applies to the entire FortiGate configuration, or a VDOM limit, which applies only to a single VDOM. For objects that have only a VDOM limit, the global limit is the VDOM limit multiplied by the number of VDOMs for that unit. For example, the FortiGate-60C can have 10 VDOMs and has a VDOM limit of 32 DHCP servers. This means that the global limit is 320.

By default, most FortiGate models support a maximum of 10 VDOMs in any combination of NAT/Route and Transparent operating modes. For FortiGate models 3000 and higher, a license key can be purchased to increase the maximum number.



The Maximum Values Table has been updated with values for FortiOS 5.0.7. For more information, see the Change Log.


LEGEND
Black cells Objects with global limits
Gray cells Objects with VDOM limits
0 Objects with no hard limit, such as objects limited by system memory
INT Objects that are limited by the number of available interfaces
- Unsupported feature

[http://docs-legacy.fortinet.co ... .html](http://) 收起阅读 »

FortiGate-v5.0-NTLM单点登录配置说明-v1

在企业域环境中, 用户使用了我们 FSSO的功能,不过有些用户经常离线的方式登陆域, 登录域然后再连上网线, 这样的话,我们的FSAE DC agent就不能抓到登录事件 ,FortiGate会因为没有收到这个用户的认证信息阻止该上网。
在企业域环境中, 用户使用了我们 FSSO的功能,不过有些用户经常离线的方式登陆域, 登录域然后再连上网线, 这样的话,我们的FSAE DC agent就不能抓到登录事件 ,FortiGate会因为没有收到这个用户的认证信息阻止该上网。

FortiGate-KVM-虚拟机安装-v1

根据FortiOS release note 要求,KVM 要求的安装条件CentOS 6.4 (qemu 0.12.1) or later。
根据FortiOS release note 要求,KVM 要求的安装条件CentOS 6.4 (qemu 0.12.1) or later。

PRTG软件使用SNMP监视FortiGate接口流量

本例实现使用 PRTG 网管软件,用 SNMP 协议对 FortiGate 防火墙的接口流量
进行监视。
本例实现使用 PRTG 网管软件,用 SNMP 协议对 FortiGate 防火墙的接口流量
进行监视。

FortiGate支持SCEP和OCSP协议

本例实现用SCEP协议获取证书,在IPSec VPN中配置证书认证,并通过OCSP实时检测对端证书是否有效,以提高数据传输的安全性。

**SCEP和OCSP协议介绍**

SCEP,Simple Certificate Enrollment Protocol的缩写,是PKI协议体系的一部分。它能安全、可靠的为网络设备在线提供数字证书。

OCSP,Online Certificate Status Protocol的缩写,是在线证书状态协议。当用户试图在线证书状态协议根据需要,发送一个对于证书状态信息的请求,证书服务器回复证书的有效、过期、未知或其他状态的响应,请求者根据响应结果作出相应的动作。OCSP克服了证书注销列表(CRL)的主要缺陷,即必须经常在客户端下载CRL列表以确保更新。

**相关组件**

FortiGate-51B/60C, v4.3.11, build0646
FortiAuthenticator-VM, v2.0 build058
FortiAuthenticator是飞塔信息科技(北京)有限公司的专业安全认证设备,支持双因素认证、RADIUS、LDAP、SSO、x.509证书管理包括签发和注销,支持SECP和OCSP协议等。
继续阅读 »
本例实现用SCEP协议获取证书,在IPSec VPN中配置证书认证,并通过OCSP实时检测对端证书是否有效,以提高数据传输的安全性。

**SCEP和OCSP协议介绍**

SCEP,Simple Certificate Enrollment Protocol的缩写,是PKI协议体系的一部分。它能安全、可靠的为网络设备在线提供数字证书。

OCSP,Online Certificate Status Protocol的缩写,是在线证书状态协议。当用户试图在线证书状态协议根据需要,发送一个对于证书状态信息的请求,证书服务器回复证书的有效、过期、未知或其他状态的响应,请求者根据响应结果作出相应的动作。OCSP克服了证书注销列表(CRL)的主要缺陷,即必须经常在客户端下载CRL列表以确保更新。

**相关组件**

FortiGate-51B/60C, v4.3.11, build0646
FortiAuthenticator-VM, v2.0 build058
FortiAuthenticator是飞塔信息科技(北京)有限公司的专业安全认证设备,支持双因素认证、RADIUS、LDAP、SSO、x.509证书管理包括签发和注销,支持SECP和OCSP协议等。
收起阅读 »