По умолчанию port1 настроен - 192.168.1.99/24. Включаемся витой парой к ПК и получаем адрес. Конфигурацию можно проводить с Web-интерфейса.
CLI commands - http://platforms.infostruction.com/fortinet-firewall-cli-commands/
Лучшая практика по конфигурации - http://docs.fortinet.com/uploaded/files/1954/Best_Practices_52.pdf
---------------- Базовая диагностика ----------------
Важно! Если на устройстве настроены VDOM, то все манипуляции проводятся в конкретно VDOM - config vdom>edit vdom name>commands...
show system interface ? - список и состояние всех интерфейсов
get router info routing-table all - список всех маршрутов
get system arp - список arp записей
Пингуем:
execute ping-options view-settings - настройки параметров пинга
execute ping-options ? - изменение параметров пинга
execute ping 192.168.1.1 - запуск пинга
execute traceroute 8.8.8.8 - выполнение трассировки
---------------- Назначения адреса на интерфейс ----------------
config system interface
edit ?
edit mgmt1
set ip 192.168.1.199 255.255.255.0
set allowaccess http https ping snmp ssh telnet
end
---------------- Добавить статический маршрут ----------------
config router static
edit 0
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.1.1
set device port1
next
end
---------------- Последовательность применения политик важна ----------------
Arrange firewall policies in the policy list from more specific to more general. The firewall searches for a matching policy starting from the top of the policy list and working down. For example, a very general policy matches all connection attempts. When you create exceptions to a general policy, you must add them to the policy list above the general policy.
---------------- CLI команды диагностики Hardware----------------
get hardware status
diagnose debug info
---------------- Захват трафика из CLI ----------------
diagnose debug enable
diagnose debug flow show console enable
diagnose debug flow filter add 192.168.5.9
diagnose debug flow trace start 500
diagnose debug disable
diagnose sniffer packet any 'port 3389' 4
diagnose sniffer packet internal 'icmp' 4 5
---------------------
diagnose hardware deviceinfo disk
diagnose hardware deviceinfo nic - Enter показать список всех интерфейсов
diagnose hardware deviceinfo nic port1
---------------------
Включить эвристику в работе антивируса:
config antivirus heuristic
set mode {pass |block |disable}
end
Проверить - get antivirus heuristic
---------------------
Выставить или проверить максимальный размер сканируемого файла:
The default value is 10 MB. The maximum size varies by FortiGate model. To determine the limit for your model, enter:
config antivirus service http
set uncompsizelimit ?
The result is a brief description of the command and the acceptable range. For example:
<value> max uncompressed size to scan (1-547MB or use 0 for unlimited)
---------------------
Включить поддержку VDOM на устройстве.
config system global
set vdom-admin enable
end
Если надо в VDOM делать диагностику:
config global
---------------------
Сброс в дефолт:
execute factoryreset
---------------------
FortiGuard:
Обновление пакетов Антивируса и IPS через TCP, SSL
Веб фильтрация и антиспам работают по UDP 53 или 8888
---------------------
Лицухи:
IPS - Вроде как работает, но автоматически не обновляется. Обновления (Attack Definition) можно скачать на сайте фортика:
https://support.fortinet.com/Download/AvNidsDownload.aspx
AppControl - Работает, но, можно создать всего 1 профиль. Можно включить полный мониторинг.
Antivirus - Работает. Обнолвения (Virus Definition) можно скачать на сайте фортика, ссылка выше.
WebFiltering - При включении данной функции без лицензий, блокируеться доступ ко всем сайтам...
На Wi-Fi лицензии не надо.
CLI commands - http://platforms.infostruction.com/fortinet-firewall-cli-commands/
Лучшая практика по конфигурации - http://docs.fortinet.com/uploaded/files/1954/Best_Practices_52.pdf
---------------- Базовая диагностика ----------------
Важно! Если на устройстве настроены VDOM, то все манипуляции проводятся в конкретно VDOM - config vdom>edit vdom name>commands...
show system interface ? - список и состояние всех интерфейсов
get router info routing-table all - список всех маршрутов
get system arp - список arp записей
Пингуем:
execute ping-options view-settings - настройки параметров пинга
execute ping-options ? - изменение параметров пинга
execute ping 192.168.1.1 - запуск пинга
execute traceroute 8.8.8.8 - выполнение трассировки
---------------- Назначения адреса на интерфейс ----------------
config system interface
edit ?
edit mgmt1
set ip 192.168.1.199 255.255.255.0
set allowaccess http https ping snmp ssh telnet
end
---------------- Добавить статический маршрут ----------------
config router static
edit 0
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.1.1
set device port1
next
end
---------------- Последовательность применения политик важна ----------------
Arrange firewall policies in the policy list from more specific to more general. The firewall searches for a matching policy starting from the top of the policy list and working down. For example, a very general policy matches all connection attempts. When you create exceptions to a general policy, you must add them to the policy list above the general policy.
---------------- CLI команды диагностики Hardware----------------
get hardware status
diagnose debug info
---------------- Захват трафика из CLI ----------------
diagnose debug enable
diagnose debug flow show console enable
diagnose debug flow filter add 192.168.5.9
diagnose debug flow trace start 500
diagnose debug disable
diagnose sniffer packet any 'port 3389' 4
diagnose sniffer packet internal 'icmp' 4 5
---------------------
diagnose hardware deviceinfo disk
diagnose hardware deviceinfo nic - Enter показать список всех интерфейсов
diagnose hardware deviceinfo nic port1
---------------------
Включить эвристику в работе антивируса:
config antivirus heuristic
set mode {pass |block |disable}
end
Проверить - get antivirus heuristic
---------------------
Выставить или проверить максимальный размер сканируемого файла:
The default value is 10 MB. The maximum size varies by FortiGate model. To determine the limit for your model, enter:
config antivirus service http
set uncompsizelimit ?
The result is a brief description of the command and the acceptable range. For example:
<value> max uncompressed size to scan (1-547MB or use 0 for unlimited)
---------------------
Включить поддержку VDOM на устройстве.
config system global
set vdom-admin enable
end
Если надо в VDOM делать диагностику:
config global
---------------------
Сброс в дефолт:
execute factoryreset
---------------------
FortiGuard:
Обновление пакетов Антивируса и IPS через TCP, SSL
Веб фильтрация и антиспам работают по UDP 53 или 8888
---------------------
Лицухи:
IPS - Вроде как работает, но автоматически не обновляется. Обновления (Attack Definition) можно скачать на сайте фортика:
https://support.fortinet.com/Download/AvNidsDownload.aspx
AppControl - Работает, но, можно создать всего 1 профиль. Можно включить полный мониторинг.
Antivirus - Работает. Обнолвения (Virus Definition) можно скачать на сайте фортика, ссылка выше.
WebFiltering - При включении данной функции без лицензий, блокируеться доступ ко всем сайтам...
На Wi-Fi лицензии не надо.
Комментариев нет:
Отправить комментарий