1. Fortigate防火墙CLI入门:从零开始连接设备
第一次接触Fortigate防火墙的命令行界面(CLI)时,很多新手会感到无从下手。其实只要掌握几个基础步骤,就能快速上手。我刚开始接触Fortigate时也踩过不少坑,现在把这些经验分享给你。
首先需要准备一根Console线,这是连接防火墙最可靠的方式。把Console线一端接电脑,另一端接防火墙的Console口。然后打开终端工具(比如Putty或SecureCRT),设置连接参数:波特率9600、数据位8、无校验位、停止位1、无流控。这些参数如果设错,你会看到乱码或者根本连不上。
连接成功后,你会看到登录提示。默认用户名是admin,密码为空(直接回车)。但安全起见,建议第一时间修改密码:
config system admin edit "admin" set password 你的新密码 next end如果遇到连接问题,先检查线缆是否接好,再确认COM端口号是否正确。我遇到过因为USB转串口驱动问题导致连不上的情况,这时候换个USB口或者重新安装驱动就能解决。
2. 基础网络配置:让防火墙真正工作起来
2.1 接口IP与基础服务配置
刚拿到设备时,所有接口都是未配置状态。我们先给接口配IP,这是防火墙工作的基础。假设我们要把port1作为内网口,port4作为外网口:
config system interface edit "port1" set ip 192.168.1.1 255.255.255.0 set allowaccess ping https ssh set role lan next edit "port4" set mode dhcp set role wan next end这里有几个关键点:
allowaccess决定哪些协议能管理设备,生产环境建议只开httpsrole设置接口角色,影响某些功能的可用性- WAN口可以用DHCP获取IP,也可以静态配置
接下来配置网关和DNS,让防火墙能上网:
config router static edit 1 set gateway 172.16.1.1 set device "port4" next end config system dns set primary 8.8.8.8 set secondary 8.8.4.4 end2.2 系统基础设置
配置时区和NTP很重要,否则日志时间对不上会很麻烦:
config system global set timezone 55 # 北京时间 set hostname "MyFirewall" end config system ntp set server 0.cn.pool.ntp.org set status enable end建议定期备份配置,我吃过没备份的亏:
execute backup config tftp config_backup.cfg 192.168.1.1003. 防火墙策略配置实战
3.1 创建地址对象和组
好的防火墙策略从清晰的对象管理开始。先创建一些常用地址对象:
config firewall address edit "WebServer" set subnet 192.168.1.100 255.255.255.255 next edit "Office_Network" set subnet 192.168.1.0 255.255.255.0 next end把相关对象分组管理会更方便:
config firewall addrgrp edit "Internal_Servers" set member "WebServer" "MailServer" next end3.2 端口映射配置
把内网服务映射出去是常见需求,比如映射Web服务:
config firewall vip edit "HTTP_Server" set extip 172.16.1.100 set mappedip "192.168.1.100" set extintf "port4" set portforward enable set extport 80 set mappedport 80 next end3.3 策略配置技巧
防火墙策略是核心,注意策略是从上往下匹配的:
config firewall policy edit 1 set name "Allow_Internet" set srcintf "port1" set dstintf "port4" set srcaddr "Office_Network" set dstaddr "all" set action accept set schedule "always" set service "ALL" next end几个实用技巧:
- 用
move命令调整策略顺序 - 临时禁用策略可以用
set status disable - 策略太多时用
show firewall policy | grep 关键字快速查找
4. 日常维护与故障排查
4.1 系统状态检查
日常维护需要检查设备健康状况:
get system status # 查看系统基本信息 get hardware status # 查看硬件状态 get system performance status # 查看性能概况监控资源使用情况很重要:
get system performance top # 动态查看资源占用 get hardware memory # 查看内存详情 get hardware cpu # 查看CPU使用率4.2 网络连通性排查
遇到网络问题时,这些命令能帮大忙:
get router info routing-table # 查看路由表 get system arp # 查看ARP表 get system interface physical # 查看接口状态抓包是最直接的排查手段:
diagnose sniffer packet port1 'host 192.168.1.100' 3 # 抓取特定IP的流量4.3 会话与日志分析
查看当前会话有助于排查问题:
get system session list # 列出所有会话 get system session-info statistics # 会话统计日志分析常用命令:
get log filter # 查看当前日志过滤条件 get log fortianalyzer status # 查看日志服务器状态5. 高级功能与实用技巧
5.1 HA高可用配置
双机热备配置要点:
config system ha set mode active-passive set password hapassword set hbdev port9 100 set session-pickup enable next end查看HA状态:
get system ha status execute ha failover set # 手动切换测试5.2 命令行效率技巧
使用grep过滤输出:
show full-configuration | grep "192.168.1" # 快速查找配置批量操作时可以用脚本:
config firewall address edit "Server_${i}" set subnet 192.168.1.${i} 255.255.255.255 next end5.3 安全加固建议
禁用不必要的服务:
config system global set admin-https-redirect enable # 强制HTTPS管理 set admin-maintainer disable # 禁用maintainer账户 end定期更新固件:
execute restore image tftp firmware.out 192.168.1.100防火墙CLI看似复杂,但掌握核心命令后就能应对大部分场景。建议先在测试环境练习,熟练后再在生产环境操作。遇到问题时,多用get和diagnose命令查看状态,这些命令不会修改配置,可以放心使用。
)
