понедельник, 13 июля 2015 г.

Fortigate FAQ

По умолчанию port1 настроен - 192.168.1.99/24. Включаемся витой парой к ПК и получаем адрес. Конфигурацию можно проводить с Web-интерфейса.

CLI commands - http://platforms.infostruction.com/fortinet-firewall-cli-commands/
Лучшая практика по конфигурации - http://docs.fortinet.com/uploaded/files/1954/Best_Practices_52.pdf

---------------- Базовая диагностика ----------------
Важно! Если на устройстве настроены VDOM, то все манипуляции проводятся в конкретно VDOM - config vdom>edit vdom name>commands...

show system interface ? - список и состояние всех интерфейсов
get router info routing-table all - список всех маршрутов
get system arp - список arp записей

Пингуем:
execute ping-options view-settings - настройки параметров пинга
execute ping-options ? - изменение параметров пинга
execute ping 192.168.1.1 - запуск пинга

execute traceroute 8.8.8.8 - выполнение трассировки

---------------- Назначения адреса на интерфейс ----------------
config system interface
edit ?
edit mgmt1
set ip 192.168.1.199 255.255.255.0
set allowaccess http https ping snmp ssh telnet
end

---------------- Добавить статический маршрут ----------------
config router static
edit 0
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.1.1
set device port1
next
end

---------------- Последовательность применения политик важна ----------------
Arrange firewall policies in the policy list from more specific to more general. The firewall searches for a matching policy starting from the top of the policy list and working down. For example, a very general policy matches all connection attempts. When you create exceptions to a general policy, you must add them to the policy list above the general policy.

---------------- CLI команды диагностики Hardware----------------
get hardware status
diagnose debug info

---------------- Захват трафика из CLI ----------------
diagnose debug enable
diagnose debug flow show console enable
diagnose debug flow filter add 192.168.5.9
diagnose debug flow trace start 500
diagnose debug disable

diagnose sniffer packet any 'port 3389' 4
diagnose sniffer packet internal 'icmp' 4 5
---------------------

diagnose hardware deviceinfo disk

diagnose hardware deviceinfo nic - Enter показать список всех интерфейсов
diagnose hardware deviceinfo nic port1

---------------------
Включить эвристику в работе антивируса:
config antivirus heuristic
set mode {pass |block |disable}
end

Проверить - get antivirus heuristic

---------------------
Выставить или проверить максимальный размер сканируемого файла:
The default value is 10 MB. The maximum size varies by FortiGate model. To determine the limit for your model, enter:
config antivirus service http
set uncompsizelimit ?
The result is a brief description of the command and the acceptable range. For example:
<value> max uncompressed size to scan (1-547MB or use 0 for unlimited)
---------------------

Включить поддержку VDOM на устройстве.
config system global
set vdom-admin enable
end

Если надо в VDOM делать диагностику:
config global

---------------------
Сброс в дефолт:
execute factoryreset

---------------------
FortiGuard:
Обновление пакетов Антивируса и IPS через TCP, SSL
Веб фильтрация и антиспам работают по UDP 53 или 8888

---------------------
Лицухи:
IPS - Вроде как работает, но автоматически не обновляется. Обновления (Attack Definition) можно скачать на сайте фортика:
https://support.fortinet.com/Download/AvNidsDownload.aspx

AppControl - Работает, но, можно создать всего 1 профиль. Можно включить полный мониторинг.

Antivirus - Работает. Обнолвения (Virus Definition) можно скачать на сайте фортика, ссылка выше.

WebFiltering - При включении данной функции без лицензий, блокируеться доступ ко всем сайтам...

На Wi-Fi лицензии не надо.

Комментариев нет:

Отправить комментарий