FortiGate

FortiGate

基于Fortinet专有的FortiASIC加速芯片
FortiAp

FortiAp

无线接入点的企业级、控制器管理设备
FortiWeb

FortiWeb

Web应用层防火墙
FortiMail

FortiMail

先进的反垃圾邮件和反病毒过滤功能

FGT多运营商出口环境下导入运营商路由表指导(含一键导入脚本)

      经常FortiGate会遇到多运营商出口的网络环境,比如一条运营商出口是电信的,另外一条运营商出口是联通的,这样的场景下如果想要电信的数据走电信,联通的数据走联通,最简单的解决办法就是将电信/联通的路由统统刷进去,这样就可以实现电信数据走电信,联通数据走联通的目的。 
      方法是有了,但是在实际的操作过程中却困难重重,比如:运营商路由表去哪儿获取?路由的命令行脚本怎么做出来?防火墙规格支持那么多吗?命令行脚本导入防火墙的时候报错怎么办?...本文档与附件一次性解决这些问题,实现一键完成运营商路由表的成功导入,详细请见附件文档内容。
Router_ISP.png


 
继续阅读 »
      经常FortiGate会遇到多运营商出口的网络环境,比如一条运营商出口是电信的,另外一条运营商出口是联通的,这样的场景下如果想要电信的数据走电信,联通的数据走联通,最简单的解决办法就是将电信/联通的路由统统刷进去,这样就可以实现电信数据走电信,联通数据走联通的目的。 
      方法是有了,但是在实际的操作过程中却困难重重,比如:运营商路由表去哪儿获取?路由的命令行脚本怎么做出来?防火墙规格支持那么多吗?命令行脚本导入防火墙的时候报错怎么办?...本文档与附件一次性解决这些问题,实现一键完成运营商路由表的成功导入,详细请见附件文档内容。
Router_ISP.png


  收起阅读 »

FortiGate_Cacti_Zabbix_PRTG_SNMP监控模板及FGT_SNMP_OID参数说明表

Cacti_FTN_FortiGate_监控模板

Cacti_Moniter.png

Zabbix_FTN_FortiGate_监控模板

Zabbix_Moniter.png

PRTG_FortiGate_监控(PRTG无模板):
PRTG_Moniter.png


后续有时间会将这三个SNMP监控工具具体如何使用的文档写一下。
 
/////////////////////////
关于监控FGT接口流量:
Cacti 自带有“Interface - Traffic”数据模板及"Interface - Traffic (bytes/sec, Total Bandwidth)" 画图模板
Zabbix 自带有“Template SNMP Interfaces”模板
PRTG 自带有“SNMP流量”传感器
都可以使用自己的模板监控FGT接口IN/OUT的流量,无需手动去添加接口流量计算公式,公式比较复杂。
 
关于Zabbix/PRTG监控FOS 5.4/5.6的接口流量问题:
使用Zabbix/PRTG去监控FOS5.4/5.6接口的时候,读取的是接口描述信息(Description)和接口索引号(Index),默认FGT的接口没有配置描述信息(Description),因此软件只能读出接口索引号(Index),管理员只能看到接口索引号,同时也无法看到看不到接口名称(Name)如Port1/LAN/WAN/DMZ,这样实际上引起的问题是管理员无法根据接口索引号来判断想要监控的接口具体是什么,因此FOS5.4/5.6在使用Zabbix/PRTG监控接口流量时候,务必要在接口下面配置上描述信息(Description),否则将不知道自己监控的接口具体是什么。
Cacti无此现象,Cacti将接口的“Description”“Index”“Name”“Alias”统统都读出来,这样很容易就可以分辨你想要监控的接口。
FOS5.2及以下版本也没有此现象,5.2版本默认使用接口“Name”作为接口的“Description”,因此没有上述现象。

PRTG举例说明:
SNMP监控流量只能看到接口索引.png

Cacti举例说明:
Cacti统统都读出来.png

/////////////////////////

上述小附件全部打包后的大附件:
继续阅读 »
Cacti_FTN_FortiGate_监控模板

Cacti_Moniter.png

Zabbix_FTN_FortiGate_监控模板

Zabbix_Moniter.png

PRTG_FortiGate_监控(PRTG无模板):
PRTG_Moniter.png


后续有时间会将这三个SNMP监控工具具体如何使用的文档写一下。
 
/////////////////////////
关于监控FGT接口流量:
Cacti 自带有“Interface - Traffic”数据模板及"Interface - Traffic (bytes/sec, Total Bandwidth)" 画图模板
Zabbix 自带有“Template SNMP Interfaces”模板
PRTG 自带有“SNMP流量”传感器
都可以使用自己的模板监控FGT接口IN/OUT的流量,无需手动去添加接口流量计算公式,公式比较复杂。
 
关于Zabbix/PRTG监控FOS 5.4/5.6的接口流量问题:
使用Zabbix/PRTG去监控FOS5.4/5.6接口的时候,读取的是接口描述信息(Description)和接口索引号(Index),默认FGT的接口没有配置描述信息(Description),因此软件只能读出接口索引号(Index),管理员只能看到接口索引号,同时也无法看到看不到接口名称(Name)如Port1/LAN/WAN/DMZ,这样实际上引起的问题是管理员无法根据接口索引号来判断想要监控的接口具体是什么,因此FOS5.4/5.6在使用Zabbix/PRTG监控接口流量时候,务必要在接口下面配置上描述信息(Description),否则将不知道自己监控的接口具体是什么。
Cacti无此现象,Cacti将接口的“Description”“Index”“Name”“Alias”统统都读出来,这样很容易就可以分辨你想要监控的接口。
FOS5.2及以下版本也没有此现象,5.2版本默认使用接口“Name”作为接口的“Description”,因此没有上述现象。

PRTG举例说明:
SNMP监控流量只能看到接口索引.png

Cacti举例说明:
Cacti统统都读出来.png

/////////////////////////

上述小附件全部打包后的大附件: 收起阅读 »

FortiGate FortiOS最佳版本建议书 V1.1(2017.11.15更新)

FortiGate版本建议(2017年11月15日):

优先使用FOS 5.2.12
E系列型号使用FOS 5.4.6

FOS 5.6.2如非特殊功能必须使用,暂不建议部署。

详细见附件文档说明:

文档更新记录:
V1.0  2017年9月18日
V1.1  2017年11月15日(当前最新)

也可以详细见:
https://support.fortinet.com.cn/
继续阅读 »
FortiGate版本建议(2017年11月15日):

优先使用FOS 5.2.12
E系列型号使用FOS 5.4.6

FOS 5.6.2如非特殊功能必须使用,暂不建议部署。

详细见附件文档说明:

文档更新记录:
V1.0  2017年9月18日
V1.1  2017年11月15日(当前最新)

也可以详细见:
https://support.fortinet.com.cn/ 收起阅读 »

IPsec VPN隧道建立正常但VPN业务却不稳定 甚至不通怎么办?

IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 抓包命令:diagnose sniffer packet any "host 202.100.1.1 and esp" 4    
 当然对于十分频繁的ESP ERROR故障此方法也是效果的。

 
 !!!!重要更新!!!!!
   新版本上有了进一步的更新
上述方法过于复杂,只能在FOS5.2和5.0中使用,而新版本5.4和5.6中增加了一条命令,可以完美的规避这种复杂方法,只需要在第一阶段中把NAT-T功能强制开启即可,这样ESP的流量就会被UDP4500封装。具体参考命令行:
config vpn ipsec phase1-interface
    edit "电信VPN"
        set interface "wan2"
        set peertype any
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set nattraversal forced      ----在第一阶段中添加这条命令即可
        set remote-gw 119.100.1.35
        set psksecret ENC F7No+LaW8RRpGE2ZFNZPmiK+t8D9SSjbfF/sX597liHRSrw2rNT3EHixmfKWobhRdkS8NfCZZdvFRrxN+7CxP3sAjlnuozLWIFxrPKgT3e8qmT951wWHQfiZF2/cTYuWXtGNx1koKg9fSxe8euUJn9T5UMG7rqjbxAm28Wm9jgF530YIg3sSBMhwpP69YEipjz6A8w==
    next
end
 
 !!!!新版本只需要敲一条命令就可以搞定,不需要那么复杂的VDOM规划和配置!!!!!
 
注意:
有时需要重置IPsec VPN的连接(请谨慎使用,所有的VPN都会重新连接IKE,一般不需要使用这个命令)
diagnose vpn ike restart  //重新主动发起连接
diagnose vpn tunnel reset  //重置第二阶段
diagnose vpn ike gateway clear
继续阅读 »
IPsec VPN隧道建立正常,但是业务却不通或十分不稳定?
以下讨论有一个前提:并不是因为配置原因导致的VPN业务不通或不稳定,防火墙配置是正常的,而只是ESP报文在互联网上传输异常,也就是说运营商转发ESP报文的时候存在异常,或者运营商干脆就直接丢弃了ESP报文,这样的话IPsec VPN隧道看上去是好的,但是实际上业务却无法通信的这种情况。
不适用于IPsec VPN的其他故障环境下。

如何判断是ESP报文被丢弃的问题呢?
其实只需要在设备上抓对应的ESP报文即可,如果只有OUT方向的ESP而没有任何的IN方向的ESP,基本上就可以判断是运营商将ESP丢包导致的业务不通。
 抓包命令:diagnose sniffer packet any "host 202.100.1.1 and esp" 4    
 当然对于十分频繁的ESP ERROR故障此方法也是效果的。

 
 !!!!重要更新!!!!!
   新版本上有了进一步的更新
上述方法过于复杂,只能在FOS5.2和5.0中使用,而新版本5.4和5.6中增加了一条命令,可以完美的规避这种复杂方法,只需要在第一阶段中把NAT-T功能强制开启即可,这样ESP的流量就会被UDP4500封装。具体参考命令行:
config vpn ipsec phase1-interface
    edit "电信VPN"
        set interface "wan2"
        set peertype any
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set nattraversal forced      ----在第一阶段中添加这条命令即可
        set remote-gw 119.100.1.35
        set psksecret ENC F7No+LaW8RRpGE2ZFNZPmiK+t8D9SSjbfF/sX597liHRSrw2rNT3EHixmfKWobhRdkS8NfCZZdvFRrxN+7CxP3sAjlnuozLWIFxrPKgT3e8qmT951wWHQfiZF2/cTYuWXtGNx1koKg9fSxe8euUJn9T5UMG7rqjbxAm28Wm9jgF530YIg3sSBMhwpP69YEipjz6A8w==
    next
end
 
 !!!!新版本只需要敲一条命令就可以搞定,不需要那么复杂的VDOM规划和配置!!!!!
 
注意:
有时需要重置IPsec VPN的连接(请谨慎使用,所有的VPN都会重新连接IKE,一般不需要使用这个命令)
diagnose vpn ike restart  //重新主动发起连接
diagnose vpn tunnel reset  //重置第二阶段
diagnose vpn ike gateway clear 收起阅读 »

BGP与OSPF之间重发布时使用 Route-Map进行路由过滤

我们可能在有很多场景下会用到BGP和OSPF,比如GRE Over IPsec场景、IPsec VPN直接运行路由协议场景、ADVPN场景、以及一些复杂路由的场景等,同时也可能会使用到路由重发布这个功能,将BGP的路由重发布进入OSPF,或将OSPF的路由重发布进入BGP,但是如果想要在其中进行路由的过滤,就需要用到route-map进行匹配和过滤,从而实现重发布过程中路由过滤的功能。
本文主要针对以上情况下FortiGate如何配置route-map和调用路由策略,要注意的是飞塔设备的BGP和OSPF之间的属性并不完全像 CISCO那样调用, Fortinet和Cisco的实现方法有一些差别,按照下文中的方法就可以避免问题了。
继续阅读 »
我们可能在有很多场景下会用到BGP和OSPF,比如GRE Over IPsec场景、IPsec VPN直接运行路由协议场景、ADVPN场景、以及一些复杂路由的场景等,同时也可能会使用到路由重发布这个功能,将BGP的路由重发布进入OSPF,或将OSPF的路由重发布进入BGP,但是如果想要在其中进行路由的过滤,就需要用到route-map进行匹配和过滤,从而实现重发布过程中路由过滤的功能。
本文主要针对以上情况下FortiGate如何配置route-map和调用路由策略,要注意的是飞塔设备的BGP和OSPF之间的属性并不完全像 CISCO那样调用, Fortinet和Cisco的实现方法有一些差别,按照下文中的方法就可以避免问题了。 收起阅读 »

FortiWAN如何与FortiGate建立IPsec VPN

FortiWAN设备的IPsec VPN使用起来和FortiGate有很多不一样的地方,在配置FortiWAN的IPsec VPN的时候可能会遇到一些思路上的问题,本文将针对FortiWAN与FortiGate建立一次IPsec VPN,让大家熟悉一下二者IPsec VPN配置上的区别。
继续阅读 »
FortiWAN设备的IPsec VPN使用起来和FortiGate有很多不一样的地方,在配置FortiWAN的IPsec VPN的时候可能会遇到一些思路上的问题,本文将针对FortiWAN与FortiGate建立一次IPsec VPN,让大家熟悉一下二者IPsec VPN配置上的区别。 收起阅读 »

HA-独立管理口

客户:HA的两台设备只有主设备是可以管理的,备设备不知道状态如何,请问如何管理HA的备设备呢?
工程师:对不起,飞塔防火墙不支持管理HA的备设备。
客户:。。。
(以上是某个客户向我描述的实际情况)

实际上HA用一个功能叫“独立管理口“,该功能就是用于解决以上问题的。
#1.在HA下面开启独立管理口功能,开启独立管理口功能之后,独立管理口的配置将不再同步。
#2.在主设备的独立管理口(如 mgmt1)配置管理IP 172.16.0.1,然后再备设备的独立管理口(如 mgmt1)配置管理IP 172.16.0.2。
#3.这样管理员就可以同时通过172.16.0.1和172.16.0.2管理主备两台防火墙。在主/备上面配置策略等,都会时实同步。

本胶片介绍了HA独立管理口如何配置,如何通过独立管理口去进行ping测试。
详细见胶片内容:







 
继续阅读 »
客户:HA的两台设备只有主设备是可以管理的,备设备不知道状态如何,请问如何管理HA的备设备呢?
工程师:对不起,飞塔防火墙不支持管理HA的备设备。
客户:。。。
(以上是某个客户向我描述的实际情况)

实际上HA用一个功能叫“独立管理口“,该功能就是用于解决以上问题的。
#1.在HA下面开启独立管理口功能,开启独立管理口功能之后,独立管理口的配置将不再同步。
#2.在主设备的独立管理口(如 mgmt1)配置管理IP 172.16.0.1,然后再备设备的独立管理口(如 mgmt1)配置管理IP 172.16.0.2。
#3.这样管理员就可以同时通过172.16.0.1和172.16.0.2管理主备两台防火墙。在主/备上面配置策略等,都会时实同步。

本胶片介绍了HA独立管理口如何配置,如何通过独立管理口去进行ping测试。
详细见胶片内容:







  收起阅读 »

FGT Session Crash的测试

有道笔记链接:
FGT Session crash测试

1.VIP场景下session crash的测试过程,解析为什么会产生session crash。
2.VIP场景下IPsec VPN(NAT-T)经常会出现VPN连接异常的问题的原因,以及解决办法。
继续阅读 »
有道笔记链接:
FGT Session crash测试

1.VIP场景下session crash的测试过程,解析为什么会产生session crash。
2.VIP场景下IPsec VPN(NAT-T)经常会出现VPN连接异常的问题的原因,以及解决办法。 收起阅读 »

分享一下Fortimanager一些设置心得

前段时间部署了个fortimanager VM的项目,客户要求比较严格,因此也引发出很多问题,同时我也感受到自身对这款设备认识的不足。在恶补了一番后,将我自己实施和学习到的经验分享下。另外友情提醒下,fortimanager建议用于设备的初始化部署和下发配置,如果用来管理现有的防火墙设备,当企业规模比较大时,经常会出现墙与墙之间的配置冲突(如不同地点的防火墙有同名的地址,一个有绑定接口,一个没有绑定接口),遇见这种问题通常都比较棘手,因为这通常会涉及到修改多个墙的配置以达到统一管理的目的,客户也不一定会配合。
继续阅读 »
前段时间部署了个fortimanager VM的项目,客户要求比较严格,因此也引发出很多问题,同时我也感受到自身对这款设备认识的不足。在恶补了一番后,将我自己实施和学习到的经验分享下。另外友情提醒下,fortimanager建议用于设备的初始化部署和下发配置,如果用来管理现有的防火墙设备,当企业规模比较大时,经常会出现墙与墙之间的配置冲突(如不同地点的防火墙有同名的地址,一个有绑定接口,一个没有绑定接口),遇见这种问题通常都比较棘手,因为这通常会涉及到修改多个墙的配置以达到统一管理的目的,客户也不一定会配合。 收起阅读 »