Fortigate100A防火牆 FortiOS4.0 初體驗[圖多注意]

年初小弟拿到4.0後就馬上往CF卡塞了。
可是發現他的GUI很不習慣..所以又塞回3.0了.... :orz:

前天考完CCNA沒想到以少4分沒Pass實在上我悶到極點，趁這機會把Fortigate拿出來玩玩..暫時忘了這該死的CCNA

以下看圖說故事(以NAT為例)，塞進去Forti4.0後，將網路線插到Internal(LAN)Port，

▼打開瀏覽器輸入https://192.168.1.99就會出現這很燒包的Login畫面


▼映入眼簾的真的是和Forti3.0決然不同GUI，和3.0相較真的多蠻多功能的，看來Fortinat真有有用心。


▼不知道各位網友是不是和我一樣是英文苦手，所以先把GUI改中文，這方面真的要給Fortinet拍手，
　內建了多國語言，而且包含"正體中文"，真的用心，至於設定方式，先按左邊功能表的System ->
　Admin -> Settings，進到Settings後將下面的　Language切換到中文後按Apply


▼切換後會自動跳回系統狀態頁面，果真全都切換成中文了，而且文法也很能接受，不像某些廠牌的中
　文像是翻譯機翻譯出來的一樣，文法狗屁不通，再次給Fortinet一個肯定。


▼這是整頁的系統狀態，預設包含了＂系統狀態、設備作業、授權資訊、警訊控制台、最大連線數、
　系統資源、命令列..＂都是一些很視覺化，而且比較常使用到的功能，如果要新增功能表可以按一下
　左上角的"Widget"，因為截圖的關係沒有Cut到這個按鈕，所以網友可以比對上圖就可以看到"Widget"的按鈕


▼按了Widget後會如下圖，出現功能選單，在上面勾取需要的功能，這邊我們先點選"紀錄與檔案統計"


▼新增好後預設會直接放在最右上角，我們可以用滑鼠拖曳任何選單到你喜歡的地方排列


FortiOS4.0初體驗結束，接下來我們來設定最常用到的功能，NAT，NAT也就是我們俗稱的IP分享功能，這算是防火牆最基本的功能，用這台Fortigaet100A來做NAT可以承受到２０萬條的連線數(Sessions)，和市面上的IP分享器比起來真的小巫見大巫，不多說，以下來是繼續看圖說故事。

▼先檢查一下防火牆的狀態是不是我們想要的NAT模式，從左手邊的"設定"->"操作模式"就可以看到是
　否為NAT，小弟剛刷完韌體預設就已經是NAT模式了。


▼再來就是要設定Interface(連接阜)的IP，如圖，左邊功能表　"網路"->"介面" 就可以看到系統上所有
　Interface的狀態，這邊我們要用到的是"wan1"和"Internal"兩個Port，我們以Wan1連接對外，
　Internal連接對內，先設定wan1，首先雙點Wan1會出現設定畫面


▼進到Wan1的Interface後會發現"位址模式"有三種，分別是"用戶定義"也就是手動指定IP、DHCP、
　PPOE，而且不只wan1可以設定，他所有的Interface都可以自行定義它的功能，所以你要讓DMZ當
　wan當然也可以.
　▽用戶定義模式 如:固接網路

　▽DHCP模式　如:Cable Maden

　▽PPPOE　如:中華電信



▼我這邊的環境是使用固定IP上網，所以輸入ISP給你的IP，IP輸入完成後直接再打一個"/"繼續輸入子
　網路遮罩，如下圖再繼續往下會發現有一個叫做"系統管理存取"的功能表，是指你允許何種管理封包
　從這個Interface進入機器內部


▼其他的Interface依依樣的方式做設定，這邊可以看到小弟已經把沒有用的Interface全部關閉，
　並且把IP改成0.0.0.0/0.0.0.0用這種方式把Interface給關閉，這樣安全性會高一點


▼設定好Interface了，再來要來設定防火牆策略了，這邊要設定的好是一種......"藝術"，為什麼是藝術，
　因為和寫成是一樣能力強的人用3行完成需求，能力差的人要寫10行才能完成需求，
　不過我們只是要當IP分享器用，不用管他亦不藝術，因為...一行就可以搞定了....哈哈
　首先先進入左邊功能表"防火牆"->"防火牆策略"，可以看到下圖的頁面，他的意思是指目前內部有一筆
　interface政策是從 "internal->Wan1" 的方向，左邊的藍色小箭頭可以點開
　

▼發現太好了，機器預設就已經把NAT啟用了，所以這邊我們不用設定什麼東西，只要確認NAT功能有
　被開啟就可按確定離開


▼點開後會發現這個interface的方向底下有一筆政策，這筆政策是要用來做NAT的，所以沒做什麼防
　護，所以是所有的Internal的封包都可以流向Wan1，一樣將前面的框框打勾，按編輯進入。



▼設定好interface後會發現...咦~怎麼還是上不去，不要急，是因為我們還沒設定預設路由，也就是你
　對外的閘道器，這邊從左邊功能表進入"路由設定"->"靜態路由"就可以發現下圖的頁面，把第一行打勾
　選取後，按下上面的編輯紐



▼進入靜態路由頁面後，有一個"網路閘"的框框，在裡面輸入對外網路的閘道器，這邊的目的 ip/網路遮
　罩是0.0.0.0/0.0.0.0這不是關掉喔，而是指所有不屬於內部網路IP區段的目的區段的意思，
　不懂沒關係，這邊要讓他保持0.0.0.0/0.0.0.0



做到這邊基本上你的電腦已經可以上網了，防火牆也開始發揮他的冰山一角的功能，不過這邊好像還缺少什麼，想想....對啦..就是DHCP的功能，他可以自行發IP給使用者，省去設定IP的步驟，繼續看圖說故事

▼進到左邊功能表"系統管理"->"DHCP主機"->"服務"進到如下圖的頁面，Fortigate所有的Interface都
　可以指定他要不要做DHCP，我們對內的Interface是internal，所以將"介面名稱"拉下，換成Internal


▼切換到Internal後下面會出現一些其他的功能，模式選擇"主機模式"，IP範圍輸入你要發的IP區段，
　這邊為了方便設定，我們範圍輸入從192.168.1.1-192.168.1.90 網路遮罩 255.255.255.0 閘道
　當然是輸入防火牆Internal的IP 192.168.1.99，DNS我使用中華電信的DNS 168.95.1.1和google
　的DNS:8.8.8.8按確定後DHCP就可以開始運作了。


▼按確定後系統會跳出設定頁面，會有你設定的DHCP狀態，我們目前設定的唯一一筆已經有啟動了


▼把電腦上的IP的設定改成DHCP自動得後，測試成功，電腦有正確取到IP了....


▼打開瀏覽器，如果出現你設定的首頁表示設定整卻囉....



好累..為了寫這篇文章，邊摸索邊寫教學還真累，花了我２天的時間，不過終於寫完了...
再來又要繼續拚我的CCNA了....

小弟之前發的文章..拆解Fortigate100A
http://www.mobile01.com/topicdetail.php?f=507&t=1824155&p=1