Malindex


醉后不知天在水 满船清梦压星河

Fortigate NGFW 飞塔防火墙开局配置

前阵子买了个飞塔50E,赶紧装上来玩玩吧~

0x0 调通网络

默认配置下,所有LAN都被划分在一个硬件交换组中,所以每个口都是LAN口,我们随便插上一个口,打开默认管理地址192.168.1.99就可以啦,如果没有自动分配ip,自己配置一个同网段的ip地址就OK了(高端玩家也可以用console口做配置

默认的账号是admin,密码是空
image

在网络-接口里可以看到所有的接口,默认lan被分在了一个硬件交换区域,有需要的话可以把部分端口移出默认的lan区,划分一个新的区域
给接口配置上ip地址,用防火墙拨号的也可以在wan上配置pppoe(但是两个wan口不能配置聚合,只有lan口可以配成802.3ad:(
image

为了能正常上网,我们要给防火墙设置一条指向外网的静态路由,如果是IPoE或者PPPoE的场景,可以启用动态网关,让防火墙自己决定下一跳地址
image

接下来来到策略,给lan区域访问外网的流量配上允许策略(默认最底下有一条隐式拒绝,只要没有规定允许的流量都会被拒绝),内网到外网还需要启用NAT,下边的安全选项需要有有效的许可证(然而淘到的二手基本上都是过期的,所以开了等于没开)
image

同时,fortigate也提供了传统防火墙中的SNAT配置方式,只要在系统管理-设定中启用中央SNAT,就可以和其他防火墙一样集中配置不同接口的NAT啦
image

到此为止,lan侧的设备应该就能上网啦:D

0x1 虚拟IP(端口转发)

在普通的路由器里转发一个设备的端口到外网似乎很容易,但是fortigate中,这个功能要麻烦一些:P
进入网络-虚拟IP,选择源接口(这里也可以选any,但是要在下面的外部地址中源ip;指定了接口以后IP地址就可以不指定了),打开端口转发,设置好内外网的端口
image
接下来配置策略,设置一条外部到内部的允许策略,目标是刚刚配置的虚拟IP。同时也可以配置一些时间和来源地址的功能,更加安全:P
image
配置好后,就可以通过外网访问内部的服务啦:D

0x2 SSL-VPN(虚拟专网)

选择fortigate的一大原因当然是它的SSLVPN,所以一定要配置SSLVPN啦~
首先配置些SSLVPN的用户,来到用户&设备-用户组,创建一个新的用户组用于sslvpn
image
接下来到用户里,创建用来登录sslvpn的本地用户,加入到这个组里
image
来到虚拟专网-SSLVPN门户,可以配置不同认证portal对应的功能,如果不需要全局代理,就可以打开隧道分割(前提是要在策略中配置了目标地址是某个子网的策略)
image
打开虚拟专网-SSLVPN设置,默认会有一个大大的提示在最上面,需要配置一个SSLVPN的策略,否则SSLVPN是不会生效的:D
根据提示来到策略里,按照需要至少配置一条从sslvpn接口访问其他区域的策略(这里源地址一定要同时选择隧道地址和用户组)
image
保存后回到SSL-VPN设置,按照需要配置好端口和dns,在认证中设置相应的用户组对应的策略
image
这时打开相应的SSLVPN地址,就能看到vpn的登陆页面啦:D
登陆页面可以在替换信息中自己定制,可以参考我(丑陋的)MD登录页

0x3 自定义证书

SSLVPN配置完了,当然是要配置一个符合域名的证书啦~
来到系统管理-证书,使用导入-本地证书来导入自己的SSL证书密钥对
image
这时因为Fortigate系统中可能还没有信任CA,所以还需要单独上传一次CA的根证书(好像自己证书链上有只会被浏览器识别,而Forticlient中依然会报证书无效)
用导入-CA证书-文件来上传CA的根证书
image
回到虚拟专网-SSLVPN设置,把服务器证书改成刚刚上传的证书就好啦:P

最近的文章

华为K662c R021补全shell、恢复华为界面

月初换电信以后送了一只K662c作为全屋千兆,然而似乎这货的信号并没有以前的锐捷好,于是就寻思把它刷成ONT来用(但是千兆用的10GEPON并不能在EPON线路上拨号,就放弃了:(HWdollar2V5使能补全shell…

继续阅读
更早的文章

新到的玩具-飞塔Fortigate 50E NGFW

最近忍受不了ocserv+anyconnect的bug,于是决定花血本买一个靠谱的防火墙,顺便可以有效管理一下对外开放的端口,也能有个靠谱点的远程回家的手段:D在海鲜市场看了一圈,发现三百多块的60D和性能较差的40E很多,但是他们的SSLVPN吞吐量只有30Mbps上下,似乎有点对不起宽带的百兆上…

继续阅读