Fortinet公司是全球网络安全行业领导者,FortiGate正是这家公司的旗舰产品。FortiGate拥有强大的网络和安全功能,服务于全球数万家客户,产品型号也是业界覆盖最广的,从几十兆产品到几百G产品,能够满足不同规模用户的使用需求。对于大企业和运营商客户来说,IT人员能力强,资源多,对于设备的配置自然不在话下。但是对于规模不大的中小企业来说,IT人员的运维能力可能就没有那么强了。
以上引用自Fortigate中文网快速配置的一段话,本人接触防火墙近10年,国内外大大小小配置的防火墙品牌有几十种(因为工作原因,主要为Fortigate及Paloalto),从技术角度出发,个人认为在任何场景下Fortigate几乎都是推荐的产品,尤其对于日常运维来讲,Fortigate的优势包括但不限于:
- 完整的下一代防火墙功能
- 及其友好的WebUI与本地化界面,甚至比国产墙更为友好
- 清晰易于理解的配置逻辑,包括WebUI及CLI
- 轻量化的系统,几十MB的OS,快速升级及重启,相比其他防火墙上G的OS及动辄十分钟往上的启动时间优势很大
- 开放的生态系统,强大的兼容性
- 性价比高,目前自己家用出口为几百块的Fortigate 30E
除了以上优点,配置简单还在于官方提供的中文版配置一本通基本涵盖了95%以上的配置场景及问题排查,这点在其他国外品牌防火墙几乎找不到第二家
正因为绝大多数的故障场景一本通里都有提及,我在个人Blog里仅记录一些不太常见的故障点或之前遇到并在一本通里没有出现的问题,作为记录
最后简单分享下最常见的场景,配置上网,以我家的Fortigate 30E及PPPoE为例,主要配置内容及注意事项如下:
内外网接口配置
外网配置PPPoE拨号的账号及密码,这边说个题外话现在多数家庭宽带拨号默认在光猫上,路由器WAN口只能拿到内网地址(或者说多数家庭场景已经不需要出口路由器),可以要求运营商把拨号下沉到我们自己的路由器上
内网正常配置接口地址及DHCP
路由配置
在PPPoE环境下其实Fortigate需要要手动配置静态路由,拨号成功系统就会自己指,静态公网IP环境下需要配置默认路由,目标0.0.0.0/0指向公网网关
另外如下下联三层交换机记得配置回指路由
NAT及安全策略配置
在标准的防火墙逻辑中NAT及安全策略配置是两步,飞塔直接都放在一个界面内了,记得启用NAT,至此就能正常上网了
其他配置
除非要使用飞塔的Fortiddns或者FortiGuard更新有问题,一般建议更换本地DNS
设定中建议自定义基础配置,包括主机名,时区及时间,自定义HTTPS端口,更改语言及主题等