Fortigate 100D -- 管理、設定
有不少設定可以來寫一下
韌體降版、昇版方式
1. 重開後到管理清單 
重開後到Press any key to display configuration menu.. 按 enter 進入管理畫面(請仔細看文字說明,很簡單)
2. F format 掉 partition
按 F 後開始將 boot device 中的設定資訊刪除
註:原廠建議刪除後再匯入設定
3. 設定 TFTP 資訊
在 formating 完成後,按 C 進入 TFTP 設定
towns 看了 local ip(I)、remote TFTP ip(T) 及 firmware image(F) 檔案名稱,並檔案名稱修改了名稱
4. 回到第一個選單,並按 T,這時系統要求連接 TFTP 主機到 Ethernet port “MGMT” 介面
5. 連接 TFTP server 與 100D(一般是使用 Ethernet MGMT介面,請仔細看文字說明)
註1:連接 TFTP server 條件。使用“跳線”連接 TFTP 主機(或使用 hub 連接),100D 才能抓到 TFTP 主機
註2:將要更新的檔案放到 TFTP 設定的資料匣,100D才能依檔名抓到指定的 firmware image
6.完成韌體更新
完成後使用 D(Default firmware)設回預設值
7. 設回預設值
官方文件
http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=10338&sliceId=1&docTypeID=DT_KCARTICLE_1_1
老森大
http://blog.752club.com/fortigate-fg-110c-after-upgrade-firmware-crash-rewrite-firmware/
William 大協助
還原 100D 設定
直接由 web 介面匯入就可以了
註:匯入設定值後,要注意,原本的設定方式(如 super_admin 權限的管理,會造成無法登入 web 介面,因為 towns 有鎖 IP,就造成MGMT 無法登入 Web 介面,記得到 console 中將設定改掉)
console 指令
現在很多的指令都使用類似 cisco 的方式,一層一層的打入,算直覺。查看指令用是用 ?,而且,使用 show 指令出現的設定,就是指令要打的部分,真的是越來越簡單的感覺呢!下面是六大指令,範例會於下面列出
config Configure object.(設定物件)
get Get dynamic and system information.(取得動態及系統資訊)
show Show configuration.(顯示設定)
diagnose Diagnose facility.(設備診斷)
execute Execute static commands.(執行靜態指令)
exit Exit the CLI.(退出 CLI)
execute ping <IP> <== ping 指令
補充1:show 與 get 的差別
show 可以取得完整的設定路徑,所以,使用 show 可以幫忙看出如何下設定
如:顯示 ssl idle timeout 如何設定
show full-configuration vpn ssl settings
get 可取得目前的設定值,所以只是提供目前的資訊,如何設定是看不出來的
get vpn ssl settings
補充2:show 與 show full-configuration
show full-configuration vpn ssl settings <= 顯示完整的參數設定
show vpn ssl settings <= 顯示 GUI 可以看到的設定
------------------------------------------------------------------------------------------------------
顯示 local 管理者
show system admin ?
介面列表及設定值
show system interface <= 全部顯示
show system interface [interface name] <= 單一顯示
變更使用者的信任主機為全開放
config system admin
edit towns
set trusthost1 0.0.0.0 0.0.0.0
變更 admin 密碼
config system admin
edit admin
set password **********
註:當忘記密碼時,可以透過 console 介面直接將密碼改掉
------------------------------------------------------------------------------------------------------
get system status ==> 顯示系統狀態
get hardware status ==> 顯示硬體狀態
get hardware cpu
get hardware memory
get hardware nic
get system info admin status ==> 查看管理者連入狀態
------------------------------------------------------------------------------------------------------
使用指令備份設定檔(USB、FTP、TFTP)
execute backup config usb <backup_filename> [<backup_password>]
execute backup config ftp <backup_filename> <ftp_server> [<port>] [<user_name>] [<password>]
execute backup config tftp <backup_filename> <tftp_servers> <password>
參考文件
fortinat help
http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-getting-started-54/7-Basic-Admin/7-configuration-backups.htm
-------------------------------------------------------------------------------------------------------
execute usb-device list
execute usb-device disconnect <== 卸除 USB 裝置(這個好像對 USB Disk 無效呢!)
execute usb-disk list <== 列出 usb-disk 檔案
execute usb-disk delete <filename> <== 刪除 usb-disk 中指定檔案
execute usb-disk format
execute usb-disk rename <old> <new>
-------------------------------------------------------------------------------------------------------
execute shutdown ==> 關閉系統(關閉後 status 燈會熄滅、網路斷開,正常關閉系統)
execute reboot ==> 重啟系統
傳送日誌到 Syslog 設定值的問題
取得 log 的預設值,使用以下指令,可以看到對於硬碟、記憶體、syslogd 的預設設定,一般來說,要送到 syslogd 的預設值中,會將 severity 設為 warning,forward-traffic 設為 disable,以避免開啟 log送出時 log-server 的檔案爆掉,但如果要查看完整資料,就必需將 forward-traffic 設為 enable,不過請注意 log 檔的變化
取得 log 設定資訊
get log disk filter
get log memory filter
get log syslogd filter
變更 syslogd filter 的設定值
config log syslogd filter
set severity information <== 開啟 系統事件 information 以上的 log 傳送
set forward-traffic enable <== 開啟 轉發流量的 log 傳送
end
補充:在 6.0.6 版本中,如果開啟了 syslogd filter 設定,就必需手動關閉,無法透過 UI 設定關閉
參考資料:stvev 大口述
100D突然出問題了
才寫了韌體更新沒多久,就出現了這個問題 = =||
問題
進入 GUI 管理介面時出現了
錯誤 500: web 伺服器內部發生錯誤. 請檢查 URL 與 DNS 設定是否正確
進入 Console 介面時出現了
EXT3-fs error (device sd(8,1)) in ext3_reserv_inode_write : IO failure
EXT3-fs error (device sd(8,1)) in ext3_get_inode_loc : unable to read inode block-inode=49086, block=19661
查詢 google 後,可以看到官方說明,而官方建議重置系統,這個處理方式就是使用 towns 上面寫的 韌體降版、昇版方式,如果重新設定無效或再次發生,請將設備送原廠,SSD 硬碟可能有問題了
參考資料:官方文件
http://kb.fortinet.com/kb/viewContent.do?externalId=FD31857
硬體檢測(基本)
上一則是說到 towns 的 100D 掛了,這裡則是說明,原廠要我做的基本測試。這些檢查只需要登入 SSH 或使用 console 就可做到了。
其實看了這些指令,大概可以知道,而是讀取一些系統資料
# get hardware status
# get system status
# get system performance status
# diagnose sys flash list
# diagnose autoupdate status
# diagnose autoupdate versions
# diagnose hardware sysinfo memory
# get router info routing-table all
# diagnose hardware sysinfo shm
# diagnose debug crashlog read
# diagnose hardware deviceinfo disk
# diagnose sys session stat
# diagnose sys top 5 50 (run it for 20 seconds, press "q" to quit the sys top)
# diagnose sys top-summary (run it for 20 seconds, press "q" to quit the sys top)
參考資料:
steve 大口述
----------------------------------------------------------------------------------------------------------
硬體檢測(進階)
這個檢測則必需使用原廠提供的韌體來進行。這個軟體是原廠開發專門用來測試硬體的工具,測試相當詳盡,從系統資訊到 LED 燈號測試都有,而且操作簡單呢!
1. 下載 HQIP Image,並依照韌體昇降版的方式,寫入硬體
註:取得 HQIP Image 必需硬體還在保固內且有官方帳號才能登入取得,如果沒有,請找代理商
2. 載入後,硬體會自動重開後
3. 執行 diag hqip start 開始執行測試
4. 完成後,系統會產生報告
註:記得將整個流程所產生的資訊保留下來(towns 使用 ssh 的 logging 功能,將流程全部寫成文字檔)
5. 完成測試後,必需再將韌體恢復原有 5.x 版韌體,系統才能正常使用
6. 匯入設定檔
參考資料:
steve 大口述
語言變更
每次找這個選項都找了半天 = =
系統管理 ==> 管理員設置 ==> 管理參數設定 ==> 查看設定 ==> 語言版本
系統管理 ==> 設定 ==> 檢視設定 ==> 語言版本 (6.0.9)
SSL-VPN 設定
基本概念
● VPN 使用者及群組的設定
● 防火牆Policy 的設定
● 路由設定
0. 開啟 VPN 服務
1. system ==> config ==> Features ==> VPN on ==> apply
1. 系統管理 ==> 設定 ==> 特色 ==> VPN on ==> 採用
1. 建立使用者(加入群組。選用)
2. 設定 SSLVPN_TUNNEL_ADDR1 IP 物件(或自定新物件名稱,這個用為提供連入者的 IP pool)
1. Policy&Objects(政策&物件)==> Objects(物件) ==> Addresses(位址) ==> SSLVPN_TUNNEL_ADDR1 IP ==> 設定與介面的 VLAN 不同網段
註:如果是自定新物件,記得介面請選擇 ssl.root
3. 設定靜態路由(選用,只有在必需透過該路由器上網時,才需要設定)
1. system ==> Network ==> Routing ==> Create New ==> 192.168.103.0/255.255.255.0 gw 192.168.103.254 Wan1
註:如果有開啟進階路由,靜態路由的設定會出現在 路由設定 這個 tab
4. 設定 VPN => SSL => Portals(門戶網站,這是VPN管制的重要設定)
1. Enable Split Tunneling(啟用切分隧道)<== 隔離。只同意連入指定區域,不透過此 Router 連 internet
1. Routing Address(路由地址)=> 這個部分由使用者自定
2. Source IP Pools(來源 IP Pools)=> 這個部分由使用者自定,可以指定單一 IP,也可以一個 IP Pool,預設為 SSLVPN_TUNNEL_ADDR1
註:如果要針對個人帳號管制,必需於此設定該使用者的規則,否則取得的IP會是預設的,造成 Policy 怎麼設定都不行
5. 設定 VPN => SSL => Setting
設定使用者連入 Fortigate 100D VPN 頁面
連線設置
介面監聽(依對外介面設定,預設為 wan1)
Listen on Port(可自定,預設為 443)
限制存取(依需求選擇,預設為 允許從任何主機訪問)
閒置退出(依需求選擇)
設定使用者取得資訊(如 取得 IP、DNS 等)
隧道模式客戶端設置
地址範圍(依需求選擇)
IP範圍(當上一項選 指定自定義IP範圍時,需選擇,選的就是第2點時設定的)
DNS伺服器(依需求設定)
設定認證/入口網 對應
這個是群組設定及管制設定,與第4點設定有關
4. 設定 Policy(管制 ssl.root 介面連入原則)
這個部分就由需求決定
1. ssl.root - lan
註:使用者的密碼如果有特殊字元(如@、!)可能會造成連入異常
參考資料:蘇老的 blog
http://www.askasu.idv.tw/index.php/2009/04/13/418/
補充:撥上 VPN 後,強制使用走 VPN 路由,不可走本機路由
關閉“啟動切分通道”功能,預設就會強制撥上 VPN 後走 VPN 路由
設定 inbound / outbound 使用指定 IP
Inbound 使用指定 IP(port 對應)
政策&物件 => 物件 => 虛擬IP,建立內外對應資訊
Outbound 使用指定 IP
1. 建立一個內部裝置 IP 位置
到 政策&物件 => 物件 => 位址,建立內部裝置 IP 位置
2. 建立一個外部裝置 IP 位置池
到 政策&物件 => 物件 => IP Pool,建立 overload 的 pool
3. 建立 outbound 政策連接兩個 IP
註1:請將這個政策放到相關政策之上,以確保正確執行
註2:一般來說 One-to-One 是給 inbound 使用,但通常 inbound 會使用 VIP 對應,而不會使用 IP pool
參考資料:
Fortigate -- lyontech說明(非常仔細,不過是英文的)
https://forum.fortinet.com/tm.aspx?m=136309
steve 大口述
iPhone 使用 VPN 時無法正常抓到 DNS
官方說明,需要使用指令加上網域名
For SSL VPN:
# config vpn ssl settings
(settings) # set dns-suffix abcd.local
(settings)# end
官方說明:
http://kb.fortinet.com/kb/documentLink.do?externalID=FD38844
其他資料
FortiGate 100D 基本概念
1. 全部都是獨立的 zone (如 每個VLAN、SSL等…)
2. 當每個 zone 建立完成後,就是透過一條條的 policy 來管理
內部 LAN 到 internet 如果 LAN是使用 private ip 一定要設定 NAT,不然,就會出不去的
port mapping 如果要設定伺服器對外服務,必需設定 VIP 且 interface 必需設定為 wan 註:Virtual IPs 的部分,如果是相同的設定,必需全部清掉後,才能再重新設定
開放 DHCP 轉送(提供 192.168.101.* 可與 AD 的 DHCP 取得 IP) Network ==> Interface ==> VLAN Switch ==> office ==> DHCP Derver ˇ Enable ==> Advanced ==> Mode Relay ● ==> DHCP Server IP 10.10.0.121==> Type Refular ●
關於 iPhone 使用 forticlient VPN 發生的問題
取得系統設定DNS 問題
必需使用指令將 DNS 尾碼加上去後,才能正常抓取
config vpn ssl settings
set dns -suffix "test.com.tw"
全機重設
1. 用針壓一下 reset 孔,約10秒後放開,就會重新啟動(這個不一定有用,有可能沒清除)
2. 使用console 介面登入後下 execute factoryreset
重設後管理 用網路線接 MGMT 孔,使用 DHCP 就能抓到 IP 並管理設備了
連接 console 使用專用線路 使用ssh 連接指定 com
設定檔同步注意 1. 韌體必需相同版本
在 Policy 上選用 NAT 與不選用 NAT 的差別
如果有設定由服務器上查看 IP 時,Source IP 會變成 Gateway IP,不設定則是原始的 Source IP
Fortigate 全選功能
如果今天有很多物件要加入指定群組,如果一個一個點會點到死,其實只要在第一個點選,按住 shift,到最後一個再按一下,就可以全選了
資料來源:yi 口述
Fortigate 腳本功能
當需要大量寫入物件、防火牆規則時,這個就很方便了
註:記得要先確認格式(format)否則會無法寫入或出錯誤
系統管理(system)=> 設定 => 進階 => 腳本
參考資料:
yi、br 口述
官方討論
https://forum.fortinet.com/tm.aspx?m=156781
進階功能 -- configuration script
這個功能可以提供管理者使用 txt 方式寫入設定,上載後 Forti
例:加入多個防火牆中的物件並加入防火牆中的特定群組(下面範例)
註1:如果使用貼上 console(或 ssh)方式執行指令,不要留下行首的 tab 空白
註2:script 上傳後,會立刻執行
----------------------------------------------------------------------------------------------------------------
指令加入多個防火牆中的物件
config firewall address
edit "test_ip"
set associated-interface "wan1"
set subnet 192.168.8.20 255.255.255.255
next
edit "blackmail-185.172.129.18"
set associated-interface "wan1"
set subnet 185.172.129.18 255.255.255.255
end
指令刪除防火牆中的物件
config firewall address
delete "test_ip"
end
指令將多個物件加入防火牆中的特定群組
config firewall addrgrp
edit "test_group"
append member "test-192.168.8.30" "test-192.168.8.31"
end
指令將多個物件加入防火牆中的特定群組
config firewall addrgrp
edit "test_group"
unselect member "test-192.168.8.30" "test-192.168.8.31"
end
----------------------------------------------------------------------------------------------------------------
如何找出群名稱
1. 直接用 UI 看
2. 使用 get firewall addrgrp 指令(出來後不易讀取)
3. 使用 show firewall addrgrp ?(會列出目前有的群組名)
韌體更新後注意事項
5.0.2 => 6.0.6 build0272
1. 預設會將 FortiGuard category based filter 開啟,如果在未授權的情形下,這個項目是不能打開的
security profiles > Web Filter > FortiGuard category based filter 關閉
2. VPN 無法登入
如果更新到 6.0.6 build0272 而無法登入的問題,這可能是以下原因
1. enable 的使用者密碼消失(原因不明,但可確定是昇級造成,重設密碼即可)
2. 舊版本(5.6.5)的 Client 端無法使用特殊字元(更新 client 端版本)
3. 憑證出現問題
Client 出現以下錯誤
“The server you want to connect requests identification, please choose a certificate and try again. (-5)”
“The server you want to connect requests identification, please choose a certificate and try again. (-12)”
出現 -5 這個問題,有可能是因為中間傳遞的憑證強度過低。這個問題會發生在 IE8 以下版本,處理方式就是勾選 SSL 3.0
出現 -12 這個問題,有可能是因為 100D 勾選了“要求客戶端提交憑證”
參考資料:
Cyrill Gremaud 大文章
https://www.cyrill-gremaud.ch/forticlient-the-server-you-want-to-connect-requests-identification-please-choose-a-certificate-and-try-again-5/
凱倫大文章 --
https://ibook7777.pixnet.net/blog/post/35122141-forticlient%E7%84%A1%E6%B3%95%E7%99%BB%E5%85%A5--the-server-you-want-to-connect-to-r
關於 DLP(Data leak prevention) 設定
設定上,只是在 policy 上將 DLP Sensor 項目開啟就可以了,不過,有一點需注意,就是下面的 SSL Inspection,如果在傳送資料時,有使用憑證加密(如 https、smtps)時,就必需使用憑證了,可以使用自簽憑證上傳或使用設備內建的憑證(Security Profiles => SSL/SSH Inspection => Download Certificate)
註1:封包解開後,一定要看的到內容,DLP 才能使用
註2:可以使用 deep inspection先測試,可能就可以使用了
註3:這個測試是使用預設的 Containing “Credit Card” 進行測試的
Regular 測試
因為預設的
Containing 只有兩個 Credit Card 及 SSN,對 towns 來說是不夠的,基本上需加上身份證字號過濾,而
Regular 就是一個非常需要的設定了,但要注意,在線上查到的身份證正規,是長這樣的 ^[A-Za-z][12]d{8}$,但在 100D
中的設定不能這麼設,要這樣寫 /[A-Za-z][12]d{8}/g,才會生效
註1:在 FortiOS 中,不能使用 ^$ 符號
註2:如果在 regex101 這類的正規檢查網站,他會自動去頭 / 去尾 /g
參考資料:
原廠、steve 大說明
正規表示法延伸說明:
正規表示法有兩個部分,Patterns and flags,Patterns 比較像是結構,flags 比較像是參數(g、i、m、u、s、y)
不知道是哪位大大寫的文章-- Patterns and flags
https://javascript.info/regexp-introduction?fbclid=IwAR2Hf-FDmLnk6AM1ual6sdxJeZ__RcTjjNDPk_lE232fDR7LsYc_AGI8edQ
Packet Capture
指令方式
diag sniffer packet <interface> <'filter'> <verbose> <count>
diag sniffer packet internal none 4 3 => 由 internal 介面截取3個封包,使用4級
diag sniffer packet internal none 4 3 a => 由 internal 介面截取3個封包,使用4級,並顯示時間
註:interface name 可以從 UI 中 network > interfaces 取得
範例:
diag sniffer packet wan1 'src host 192.168.56.1' 4 3 a
diag sniffer packet lan1 'src host 192.168.56.10 and dst host 192.168.57.15' 4 3 a
參考資料:
官方文件 -- Troubleshooting Tool: Using the FortiOS built-in packet sniffer
https://kb.fortinet.com/kb/documentLink.do?externalID=11186
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-networking/Troubleshooting/Packet%20Capture.htm
FortiGuard 更新資訊
Fortigate 的 FortiGuard 中有提供如入侵防禦、病毒偵測與攔截、資安評級功能其中定義類的更新時間預設為每2小時
可以透過指令方式查到相關資料,
1. 查看自動更新狀態
diagnose autoupdate status
2. 查看目前各項防護更新版本
diagnose autoupdate versions
透過 GUI 介面,就到 FortiGuard 下滑到 防毒 & IPS 更新,可看到“排程更新”項目
參考資料:
Fortinet 官網 --
https://kb.fortinet.com/kb/viewContent.do?externalId=FD30528
https://kb.fortinet.com/kb/documentLink.do?externalID=FD36968
其他資訊:
官方手冊
https://docs.fortinet.com/document/fortigate/6.0.6/handbook/609243/concepts
FortiGate 硬體資訊
Guest users:500
官方說明:
https://help.fortinet.com/fgt/54/max-values/5-4-6/max-values.html
使用email base 的雙因子認證
於 Command line 中執行以下設定,就會發送密碼至指定信箱
config user local
edit towns
set type password
set two-factor email
set email-to towns@a.b.c
end
註:使用 email 進行雙因素認證功能,需使用指定產生,才會出現在 UI 介面
參考資料
yi大口述
修改認證等待時間
依說明,是針對 remote RADIUS, LDAP, or TACACS+ authentication servers 這些認證伺服器的等待時間,而雙因素認證的等待時間,似乎也與這個值有關
將認證等待時間設為120秒
FG100D****** (global) #set remoteauthtimeout 120
Number
of seconds that the FortiGate waits for responses from remote RADIUS,
LDAP, or TACACS+ authentication servers. (0-300 sec, default = 5, 0
means no timeout).
補充1:顯示全部定值
FG100D****** (global) #show full-configuration
remoteauthtimeout 等待認證時間,預設為 5秒
two-factor-email-expiry 電子郵件雙因素認證有效時間,預設 60秒
參考資料:
yi 大口述
100D內說明
註:#config system global,進入 global 設定
使用 yubikey 做為 VPN 的雙因子驗證
參考資料:
官方文件
https://kb.fortinet.com/kb/documentLink.do?externalID=FD45727
工具 將IPv4 防火牆轉為 csv 檔
1. 下載 fgpoliciestocsv.py
2. 取出 forti 設定備份檔
3. 從備份檔中取出 firewall policy 這一段並另存為文字檔(如firewall.txt)
keyword:config firwall policy
4. 使用 fgpoliciestocsv.py 產生 csv 檔
python fgpoliciestocsv.py -i firewall.txt
完成指令後,會產出 policies-out.csv
參考資料:
官方文件
https://kb.fortinet.com/kb/documentLink.do?externalID=FD47481
CLI 清除所有的 policy traffic counter
diagnose firewall iprope clear 100004
參考資料:
官方文件
https://kb.fortinet.com/kb/documentLink.do?externalID=FD43726
VPN 雙因素認證使用 forti Token
預設上,FortiGate 設備都會提供1-2組的免費 Token 可以使用,只要在建立帳號時,設定好帳密及email,開啟兩階段驗證,並選擇 token,設備就會自動發 QR Code 到指定的信箱中了,單純的設定
註:client 端的手機要加裝 FortToken Mobile app
參考資料:
Kuo 大口述
VPN 認證使用 redius + AD + google authenticator(未完成)
1. Fortigate 設定:帳號設定、redius server 連接設定
2. AD 架設
3. FreeRedus 架設:連接 AD + 連接 google authenticator
4. google authenticator 連接設定
cookbook
cookbook,不是指食譜,而是指令運用方式的教學
參考資料
官方網站
https://docs.fortinet.com/product/fortigate/7.0
VPN 使用8小時斷線設定
這個設定值是指重新驗證的時間,所以設定後,不論是否 idle 或使用中只要到時間,就會自動重新認證,下面是 8小時
auth-timeout 28800
要查看這個值 show full-configuration vpn ssl settings
要設定這個值 config vpn ssl settings -> set auth-timeout 28800
參考資料:
官方文件
https://kb.fortinet.com/kb/documentLink.do?externalID=FD39435
VPN 空閒 30 分鐘後斷線
這個設定值是指 idle 斷線時間
set idle-timeout 1800
關於 防火牆規則設定上的特點
當防火牆規則中來源同時出現address及人員(人員群組)時,連接到特定的設備的網頁時,會跳出認證畫面(Authendication Required)
註:預設會走 port 1000(Policy Override Keepalive 使用的 port)
參考資料:
ryan 大口述
官方文件 -- User and device authentication
https://docs.fortinet.com/document/fortigate/5.4.0/cookbook/940587/user-and-device-authentication
官方文件 -- FortiOS ports and protocols
https://docs.fortinet.com/document/fortigate/6.2.0/hardening-your-fortigate/529217/fortios-ports-and-protocols
設定檔自動備份設定說明
towns 並不確定在舊版的韌體是否可以使用,另外拿一台來測試
參考資料:
官方討論 -- gmarcuccetti 大說明
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-send-automated-backups-of-the-configuration/ta-p/198364
限制 VPN 存取來源
開放 VPN 連線,只要是 public 的一定就會測試,這時需要限制 VPN source 來源,不過使用者的來源 IP 不會是固定的,所以先用範圍式鎖定,如,只有台灣的 IP 才能連入 VPN
設定方式
1. 建立物件,並使用 地理位置 選擇 台灣
2. 於 SSL-VPN 設定中,設定 限制存取 => 選 限制訪問特定的主機 => 主機 選擇 1 中建立的物件,套用即完成
註:聽說預設 主機 這個項目,預設是看不到的,要透過指令設定後,才會出現
參考資料:
ian 口述
官方討論 -- sagha 大大的文章
https://community.fortinet.com/t5/FortiGate/Technical-Tip-set-source-address-in-SSL-VPN-settings/ta-p/194231
限制 VPN 來源 MAC
這個部份完全得用指令開啟了
conf vpn ssl web potral
edit portal
set mac-addr-check enable
set mac-addr-action allow
config mac-addr-check-rule
edit "rule1"
set mac-addr-list 01:02:03:04:05:06
set mac-addr-mask 48
end
end
參考資料:
飛塔老梅子大大文章
https://blog.csdn.net/meigang2012/article/details/74695771
MAC Address-Based Policies
這個是在防火牆的物件中,可以使用 MAC 來做過濾的功能,有了這個功能,就能有效限制來源主機(如取得 DHCP IP、MAC 限制等),不過,需要 6.2 以上韌體版本才支援
1. 需先將設備加入設備群組中
註:可以透過監測 > DHCP 監視中,將設備加入設備群組中
2. 於政策&物件 > IPv4 政策 > 新增,其中來源處,就可以選擇“裝置”,就可以看到第1點中加入的設備,並以 MAC 限制存取
參考資料:
官方說明
https://docs.fortinet.com/document/fortigate/6.2.0/new-features/485133/mac-address-based-policies
官方討論 -- hrahuman_FTNT大大說明
https://community.fortinet.com/t5/FortiGate/Technical-Tip-how-to-create-the-MAC-address-filter-from-device/ta-p/195523
HA 設定
參考資料:
飛塔老梅子 大大的文章
https://blog.csdn.net/meigang2012/article/details/51644206
開啟自定校時功能
100D 預設自定時間伺服器是關閉的,如果滑到 i 上面,系統會告訴你請用 CLI 設定
主要是要將 set type 設定為 custom,在 UI 上面才會亮起來
官方說明
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/512210/setting-the-system-time
留言
張貼留言