FortiGate UTM

安裝操作手冊(V3.0)

TEL: (02)6600-9669 FAX: (02)6606-8689

懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

概述
一 安裝準備
架設模式規劃
架設必備網路資訊
設定管理方式
連接管理介面

二 原廠預設組態
預設介面 port 名稱
Nat 模式預設組態
Transparent 模式預設組態
回復原廠預設值
忘記 admin 密碼

三 基本組態設定
NAT 模式組態設定
Transparent 模式組態設定
Server policy 設定

四 進階組態設定
安全功能 policy 設定
PPTP VPN policy 設定
SSL VPN policy 設定

五 產品服務登記
新設備產品服務登記
舊設備產品服務登記

五 客服資訊

1
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

一 安裝準備
Fortigate UTM 為多功能安全閘道器,主體架構為 Firewall 附加多項安全
過濾功能,包括 Anti-virus(防毒牆),IDS/IPS (駭客入侵防護),Web-filter (不
當網站過濾),Anti-spam (垃圾郵件過濾),IM/P2P 監控防護,VPN
IPSEC,PPTP,SSL 遠端安全存取 ..等,可依據各種網路安全需要,架設於不同網
路環境入口,啟動安全機制,防護公司網路安全.安裝方式則如同一般防火牆裝置
或 IP 分享器.
請依照以下安裝步驟說明,則可簡單完成安裝.

架設模式規劃
Fortigate 提供 2 種安裝架設模式 NAT 模式,Transparent 模式,安裝設備
時必需先查看現有網路架構,規劃使用何種架設模式進行安裝作業,以下為
安裝模式說明
1. NAT 模式 :
如同 Router,NAT 設備,放置於 Router 或 Adsl 設備 之後,需
要設定每一個 介面 Port 為不同 IP 網段.

圖示 1 Nat 模式架構

2. Transparent 模式:
如同網路 Bridge 設備,放置於 Router,Firewall,NAT 裝置之
後,以＂串接＂ 方式,不需設定任何介面 port IP 網段,只需設
定一個管理 IP (Manager ip),
但此 ip 必需可連結 internet ,才能更新病毒碼.

2
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1 Tansparent 模式架構

必備網路資訊準備
Fortigate 依網路大小,設計各式不同模組設備,如
FGT-60,FGT-100A,FGT200A.FGT-400,FGT-400A.各設備皆提供數量不一的介面
PORT, ,預設介面名稱,主要方便一般操作者使用,進階使用者可自定介面 PORT
使用目的.以下為安裝前必備網路資訊需求

1. Nat 模式: 請依表格,取得網路資訊

圖示 1 Nat 安裝必備資訊

Administrator Password: admin 系統管理員密碼

Internal 介面 ip/Netmask : 一般為內部 ip ,例如
192.168.1.99/255.255.255.0 通常為內部網段
External 介面 ip /Netmask : 一般為外部 ip,即 ISP 專線,ADSL 等

3
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

申請時 IP ,例如 61.218.84.132/255.255.255.0

DMZ/HA 介面 IP /Netmask : 其它 IP 網段
Default Gateway : 預設路由, 連接 External 介面 port 的 Router 或
Adsl 設 備介面 ip
DNS Server IP :內部 dns server ,外部 dns server

2. Transparent 模式 :請依表格,取得網路資訊
圖示 1 Transparent 安裝必備資訊

Administrator Password: admin 系統管理員密碼

Management ip : Web gui 管理介面 IP
DNS Server ip: 內外部 DNS

設定管理方式
Fortigate 提供 3 種設定管理方式
Web GUI : 可設定所有組態,主要管理方式
Console CLI : 可設定所有組態,
LCD : 可設定基本組態

Note:Fortigate UTM 提供多項資安功能,主要管理方式為 Web GUI 管理

連接管理介面
連接 Web GUI 管理
1. 以一台 PC(NOTEBOOK)設定網路組態 IP /Netmask 為 192.168.1.3
255.255.255.0
2. 使用 “Crossover＂網路線(設備內附橘色網路線)連接 Fortigate 設備

4
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

internal 介面 port ,如 Fortigate 介面無 internal 介面 port 則為

port1
3. 開啟 IE 瀏覽器輸入 https://192.168.1.99 連結
Web gui 管理介面.

圖示 1 當授權視窗顯示,一定要選擇 accept(接受)授權

圖示 1-2 輸入預設管理帳號 admin，預設密碼 空白 進入 Web GUI

5
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1-3 Web GUI 管理主畫面

連接 CLI 管理介面
1. 以一台 PC(NOTEBOOK) serial 介面 port ,使用 Fotigate 設備所附
null-modem cable,連接 Fortigate console port.
2. 啟動 PC(NOTEBOOK) 超級終端機程式
3. 設定超級終端機組態項目,
圖示 1

6
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

4 預設系統管理員帳號 admin，密碼 空白
進入 CLI 管理畫面

Note : Fortigate CLI 介面指令為階層顯示,使用簡單,

可使用 Shift + ? 按鍵,顯示指令與指令說明.

7
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

二 原廠預設組態
預設介面 port 名稱:
圖示 1 Fortigate 預設介面 port
Fortigate 型號 介面 PORT 名稱 介面 PORT 名稱 其它介面 PORT 名
Internal(LAN) External (WAN) 稱
Fortigate-60 Internal Wan1,Wan2 dmz
Fortigate-100A Internal Wan1,Wan2 Dmz1,dmz2
Fortigate-200A Internal Wan1,Wan2 Dmz1,dmz2

Fortigate-400 Port1 Port2 Port3,port4

Fortigate-400A Port1 Port2 Port3..port6

NAT 模式預設組態:
圖示 1 NAT 預設表

8
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

Transparent 模式預設組態:
圖示 2-3 Transparent 預設表

:
回復原廠預設值
以 CLI 管理方式 ,執行以下指令
# exec fac

忘記 admin 密碼
1. 以 CLI 管理方式,用以下帳號登入
帳號名稱 maintainer
密碼 bcpbFGTxxxxxxxxxxxxx

“ bcpb +大寫＂fortigate 序號＂＂

2. 登入成功後,30 秒內立即更改 admin 的密碼，

指令如下︰
# config system admin
# edit admin
# set password “新密碼”
# end

9
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

三 基本組態設定
以下組態設定皆以 Web GUI 管理方式完成,請依順序完成

NAT 模式組態設定:
1. 以網路瀏灠器連結https://192.168.1.99 管理介面,
登入 web gui 管理劃面

圖示 1 Name: admin Password: 空白

2. 系統時間設定
圖示 1 設定路徑: System > Status > system information >system time >change

10
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1-2 更正時間

3.內部網路介面(port1) ip 設定 : 例如: 192.168.1.99/255.255.255.0

圖示 1 設定路徑: System >Network >Interface >port1 >edit

圖示 1-2 輸入 ip 與 Netmask

11
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

4. 外部網路介面(PORT2) IP 設定: 例如: 61.222.49.51/255.255.255.248

圖示 1 設定路徑: System >Network >Interface >port2 >edit

圖示 1-2 輸入 ip 與 netmask

5. DNS 設定 : 一般為內部 DNS server ip 與外部 DNS server ip

圖示 1 設定路徑: System > Network >options 輸入 dns ip

12
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

6. DHCP Server 設定 : Fotigate 介面提供 DHCP Server 功能,

如網路已經有 DHCP Server 則此設定可省略跳過
圖示 1 設定路徑 System >DHCP >Service>port1 >Servers >add DHCP server

7.admin 密碼設定
圖示 1 設定路徑: System > Admin > Administrators > change password

1-2 輸入新增密碼 ******

13
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

8. 病毒碼更新設定
圖示 1 設定路徑: System >maintenance >FortiGuard Center >AntiVirus and IPS
Downloads 勾選 Allow Push Update ,Scheduled Update

9.預設路由設定: 一般為 Fortigate 外部介面連接 Router 或 Adsl 的介面 ip

圖示 1 設定路徑: Router >Static > Static route > Create new

14
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1-2 於 Gateway 位置輸入預設路由 ip

10. Firewall policy 設定 : Firewall policy 為所有網路 traffic 進出控管

規則, 只要新增 1 條 policy ,Internal(內) 到
Wan1(外)與 數條 Wan1(外) 到 Internal(內) 的
Server policy 即(server vitural ip )設定即完
成此模式的基本設定.
NOTE:Server policy 依 Server 數量而定
NAT 模式 policy 基本設定條件如下

Source interface 來源介面

Source address 來源 ip
Destination interface 目的地介面
Destination address 目的地 ip
Schedule 時間限制
Service protocol 限制
Action Accept(允許) or deny (拒絕)
NAT 內部 ip 轉換為外部 ip
Protection profile 安全過濾設定檔套用
(antivirus,ips,im/p2p)
Log Allowed Traffic Trafiic 記錄

15
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1 設定路徑: Firewall>policy >Create new

Note:當訂定多條 policy 規則時,執行優先順序由上而下.

重要設定項目:
Address 設定

圖示 1 網段所有 ip 設定: 0.0.0.0/0.0.0.0

圖示 1-2 1 個網段設定: 192.168.1.0/255.255.255.0

16
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1-3 1 個 ip 設定: 192.168.1.99 Netmask 可眚略

圖示 1-4 1 個 ip 範圍設定: 192.168.1.[20-30]

11 Server policy 設定: 為保護 Server 安全,以 Server IP 對應

方式 ,Server 放置內部網段,並將 server 設定
為內部 ip ,以外部 IP 對應 server 內部 ip 方式,
保護 server 安全.

1.Virtual ip 設定: Server ip 對應

Fotigate 提供 2 種 server ip 對應方式

1.Static nat 對應: 當外部 ip 數量無限制時

可以 1 個 外部 ip 對應一個內部 ip 設定

圖示 1 設定路徑: Firewall >Virtual ip >Create New

17
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

2.Port Forwarding 對應:當外部 ip 數量有限制,可用 1 個外部 IP

port number 對應多台內部主機 IP port

圖示 1-2 Firewall >Virtual ip >Create New >Port Forwarding

2.新增 一條 policy 規則,於 policy 條件項目,policy address name 項目

套用此 Virtual ip 設定檔,即完成 Server policy 設定.
其它 server policy 設定相同.
圖示 1-2 Server policy 設定

18
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

Note: 當完成新增一條 port1(內) 到 port2(外) 的 polciy 及 數條 port2

(外)到 port1(內) 的 server policy 設定即完成此 NAT 模式的所有基本
設定.即可安裝設備上線,並測試連線狀況
1. Ping 168.95.1.1 測試連通 internet
2. 上網與收發 email 測試

Transparent 模式組態設定
1 以網路瀏灠器連結https://192.168.1.99 管理介面,
登入 web gui 管理畫面
圖示 1 輸入預設帳號 admin 密碼:

2 更改操作模式&設定管理 IP
圖示 1 點選 Transparent 項目,輸入 管理 IP 與預設路由

19
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

3. 系統時間設定
圖示 1 設定路徑: System > Status > system information >system time >change

圖示 1-2 更正時間

4.DNS 設定 : 一般為內部 DNS server ip 與外部 DNS server ip

圖示 1-3 設定路徑: System > Network >options 輸入 DNS ip

20
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

5. admin 密碼設定

圖示 1 設定路徑: System > Admin > Administrators > change password

圖示 1-2 輸入新增密碼 ******

6.病毒碼更新設定
圖示 1 設定路徑: System >maintenance >FortiGuard Center >AntiVirus and
IPS Downloads 勾選 Allow Push Update ,Scheduled Update

21
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

7. Firewall policy 設定 : Firewall policy 為所有網路 traffic 進出控管

規則,於 Transparent 模式只要新增 2 條
policy ,Internal(內) 到 Wan1(外)與 Wan1(外)
到 Internal(內) 的 polciy 設定即完成此模式的
所有基本設定.
Transparent 模式 policy 基本設定條件如下

Source interface 來源介面

Source address all
Destination interface 目的地介面
Destination address all
Schedule 時間限制
Service protocol 限制
Action Accept(允許) or deny (拒絕)
Protection profile 安全過濾設定檔套用(antivirus,ips,im/p2p)
Log Allowed Traffic Trafiic 記錄

圖示 1 設定路徑: Firewall>policy >Create new

NOTE:當完成此新增 2 條 policy ,Internal(內) 到 Wan1(外)與 Wan1(外) 到

Internal(內) 的 polciy 設定,即可安裝設備上線測試
測試方法
1.Ping 168.95.1.1. 測試連通 internal
2.上網與收發 email

22
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

四 進階組態設定

安全功能 policy 設定
Fortigate 提供多項安全過濾功能:
1 Anti-Virus 防毒牆
2 Web Filtering 網頁過濾(需手動設定 URL list)
3 FortiGuard Web Filtering (自動連結 Fortinet Web list Database ) 選購
4 Spam Filtering (需手動設定黑白名單(BWL))
5 FortiGuard Spam Filtering (自動連結 Fortinet Spam list Database)選購
6 IPS 入傾防禦系統
7 IM/P2P 即時通訊防禦控管

除選購項目外,使用者可設定啟用單項或多項安全過濾項目功能,建立
Anti-virus, IPS ,Anti-virus + IPS,IPS +IM/P2P Protection profile 設
定檔,新增 polciy ,套用安全設定檔,建立安全 policy ,防護公司網路安全.

Protection profile 安全過濾功能啟用設定

建立 Protection profile 安全設定檔
圖示 1 設定路徑:Firewall >protection profile >Create New

23
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

防毒 policy 設定:
1. 建立 Protection profile Anti-virus 設定檔
圖示 1 設定路徑:Firewall >protection profile >Create New >Anti-virus

2. 新增一條 policy 規則,套用此安全設定檔.

圖示 1-2 設定路徑: Firewall>policy >Create new

IPS policy 設定:

1. 建立 Protection profile IPS 設定檔
圖示 1 設定路徑:Firewall >protection profile >Create New>IPS

2. 新增一條 Policy 規則,套用此 IPS 安全設定檔.

與防毒 policy 設定 Policy 設定方式相同.

24
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

IM Policy 設定:
1.IM USER 設定
圖示 1 設定路徑: IM/P2P >USER >CONFIG

2.建立 Protection profile IM 設定檔

圖示 1-2 設定路徑:Firewall >protection profile >Create New>IM/P2P

3.新增一條 Policy 規則 ,套用 IM 設定檔

與防毒 policy 設定 Policy 設定方式相同

P2P Policy 設定
1. 建立 Protection profile P2P 設定檔
圖示 設定路徑:Firewall >protection profile >Create New>IM/P2P

2. 新增一條 policy ,套用 p2p 設定檔.

與防毒 policy 設定 Policy 設定方式相同

25
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

Note:如同時要使用多項安全過濾功能,可於設定 protection profile 設定檔時,

同時勾選多項安全功能於一安全設定檔.新增一條 policy 套用即可,不
用新增多條 policy .

PPTP VPN Policy 設定

1. User 建立使用者帳號
圖示 1 設定路徑: User >Local >Local>Create New

2.User group 建立帳號群組

圖示 1-2 設定路徑: User Group >Create New

3.啟動 pptp vpn 功能

圖示 1-3 設定路徑 : VPN > PPTP >PPTP Range >Create New

26
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

4.設定 Address
圖示 1-4 設定路徑:Firewall >Address>Create New

5 設定 PPTP Policy
圖示 1-5 設定路徑: Firewall>Policy >Create New

6. 用戶端 PPTP 設定: Windows 2000/XP 使用者 PPTP 設定

圖示 1 建立墟擬私人網路(VPN)連線設定

27
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

2 主機名稱 IP 設定 : 請輸入 Fortigate Wan1 或 Port2 外部介面 ip

圖示 1-2 PPTP 連線主機 :即 Fortigate wan1 介面 ip

7.啟動 PPTP 連線,

圖示 1 輸入 Fortigate 建立之 PPTP 使用者帳號名稱與密碼,

Note: 當連線成功後即可存取公司內部網路資料.

28
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

SSL VPN Policy 設定

1. 建立 SSL VPN 使用者帳號 /與 PPTP 設定相同
2. 建立帳號群組與模式設定(Type 點選 SSLVPN)
圖示 1 設定路徑: User Group > Create New

3.啟動 SSL VPN 功能

圖示 1-2 設定路徑: VPN >SSL >Config

29
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

4.設定 Address
圖示 1-3 設定路徑: Firewall >Address>Create New

5.新增 SSL VPN Plicy

圖示 1-4 設定路徑: Firewall >Policy

6.用戶端 SSL 設定: Windows 2000/XP SSL 設定

1. IE 瀏灠器設定 : 新增 Fortigate SSL Portal IP
(一般即為 Wan1 或 port2 介面 IP )
於信任的網站

30
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1-5 設定路徑:IE > 工具>網際網路選項>安全性>信任的網站

2.連結 Fortigate SSL VPN Portal

使用 IE 流灠器,連結 https://61.218.84.130:10443
Note: 61.218.84.130 為 Fortigate Wan1 介面 ip

圖示 1-6 輸入 Fortigate 建立的 SSL VPN 使用者帳號與密碼

31
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

3.登入 Activate SSL-VPN Tunnel Mode ,建立連線

4. 檢視 SSL 連線狀態, Link Status 為 UP 連線成功,

Note: 當連線成功後,最小化此示窗,即可開始存取公司內部網路資料.

32
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

四.產品服務登記
當完成 Fortigate 安裝架設,必需完成產品註冊登記,自動更新病毒碼功
能才會正常運行.請參考以下狀況登記產品合約序號

新設備產品服務登記

1.取得服務登記文件或檔案 ＂******.pdf＂ :
購買 Fortigate 時,會決定此設備提供之安全服務,如
anti-virus,ips,FortiGuard web filtering,spam filter 服務.
請向購買之經銷商或代理商取得此服務登記文件或 file.
Note : 此文件內容包含＂contract number “合約序號＂

2.產品登記
1 連結 Fortinet 產品登記網頁
https://support.fortinet.com/Login/UserRegistration.aspx
圖示 1 輸入 客戶基本資料(只支援英文)

3.新增服務合約序號
當完成產品登記程序後,即進入 Fortinet support 畫面,請繼續完成新增
服務合約序號設定

33
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

圖示 1 點選產品序號

圖示 2 輸入合約序號

Note:使用者第一次完成產品登記後,於 2 天內,會收到由 Fortinet 原廠寄發

的 Fortinet support login 帳號與密碼,可利用此 Fortinet support 網站
查看所有技術文件與合約更新.

34
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

舊設備產品服務登記
1 取得 av/ips 服務登記文件或檔案 ＂******.pdf＂
2.新增服務合約序號
連結https://support.fortinet.com/Login/UserLogin.aspx
圖示 1 Support Login 登入

3.新增服務合約序號,
圖示 3 輸入合約序號

35
懇懋科技股份有限公司 FortiGate 多功能防火牆快速入門手冊

五 客服資訊
原廠網站
WWW.FORTINET.COM

懇懋科技股份有限公司
WWW.PHITECH.COM.TW
地址: 台北市八德路 3 段 34 號 8F
客服支援:
聯絡人: 網路技術處 潘政墉
電話: (02)6600-9669 ext:619
Email : Jerrypan@phitech.com.tw
Mobile: 0921-938-236

36