拿到FGT设备准备部署之前,要了解该款设备的基本硬件信息和设备性能表,例如接口数量和类型,是否有NP加速卡,是否带硬盘。可以在飞塔官网上查询,例如,ducts/fortigate/index.html基本配置和要领根据客户需求和现网拓扑选择部署模式。FGT有两种工作模式,1,NAT/路由模式,基于三层(OSI)数据转发;2,透明模式,基于二层(OSI)数据转发。下载并使用飞塔官方最新版本(tftp软件)。部署后要让客户通过SNMP监控FGT的关键信息,如CPU、内存、新建、并发和接口流量等。最后一定要建议用户经常备份配置。VPN配置要领根据客户需求和要远程节点建立VPN1、要提前知道对端公网信息,是否需要NAT穿越(最好能登陆对端设备)2、两边共享密钥、加密算法、DH组等要保持一致3、两边快速模式选择器(也就是两要通信的网段)一定要保持一致。最后选择是基于策略的VPN(配置简单),还是基于路由的VPN(更灵活)NGFW功能实现Web过滤要过滤那些网站,要针对那些地址过滤IPS/应用控制根据公司网络情况,针对部分地址开启IPS功能、应用控制防病毒根据公司情况要对针对那些协议开启防病毒反垃圾邮件、DLP日志和流量日志5.0.12默认关闭硬盘和内存日志功能,目的是保障FGT的性能不受影响。建议用户使用syslog服务器记录日志。带硬盘的设备建议只开启硬盘日志。注意,如果使用硬盘或内存记录日志一定要关闭流量日志功能。排错和信息收集当收到用户报障时,首先要通过与用户沟通,准确描述故障现象。通过ssh和http方式登陆到FGT,对故障流量抓包和开debugflow;根据得到的信息排查故障。如果自己经过排查无法找到故障,需要收集相关故障信息,同时发给原厂工程师继续分析;收集到的故障信息越多越好,包含拓扑,故障数据流向,抓包和开debugflow信息,exetacreport信息等。谢谢!
全文预览
