FortiGate设备管理

1.Web管理

　　1、FortiGate出厂配置 默认地址为192.168.1.99，可以通过https的方式进行web管理（默认用户名admin，密码为空）。不同型号设备用于管理的接口略有不同,如:

　　FortiGate-1500D：mgmt1接口

　　FortiGate-60D：internal 接口，对应于交换口 1-7

　　说明：FortiGate-60D、FortiGate-90D等所有的交换口隶属于三层口internal下，仅有internal接口可以进行三层配置，例如IP配置。

　　将电脑IP地址设置为192.168.1.1/24，并连到internal口或者MGMT口，打开Firefox/IE浏览器，输入 https://192.168.1.99，登陆FortiGate管理页面，输入用户名 admin 密码 空，进入 FortiGate设备页。若密码修改后忘记请参照密码恢复章节进行恢复初始密码。

　　2、登陆设备后开启wan1接口的管理功能。

　　默认其他接口是没有IP地址，也未开启https等其他管理功能。

　　若防火墙接口地址修改过，但忘记相应地址，可进命令行查看当前配置，参见"系统管理>设备管理>命令行管理"章节。

　　说明： 建议采用Firefox、IE10以上浏览器；如果是第三方浏览器如遨游、360，请使用极速模式；    系统管理--网络--接口

　　

　　双击wan1接口进行编辑

　　

　　验证效果：浏览器里输入： https://192.168.0.99，即可登管理

2.更改管理员端口：

　　

　　此时需https://192.168.0.99:10443 且http不能访问。

3.console 管理

　　若需要进入命令行进行配置管理，可通过concole线，使用超级终端或SecureCRT等软件进入命令行，防火墙默认允许concole管理。

4.telnet、ssh管理

　　使用 telnet，ssh方式管理首先要保证管理主机到设备的接口地址的连通性是好的的，可把接口的ping功能勾选，若能ping通管理接口则说明连通性没问题。然后开启接口 telnet、ssh功能。

5.配置备份及恢复步骤

　　1、保存配置

　　WEB： WEB上配置完，及时生效，且自动保存配置，无需手工保存。 每次修改配点击确认按钮后，配置自动保存。

　　CLI：命令行下 输入 next, end后配置生效自动保存。

　　2、导出配置

　　进入"系统管理"--"仪表板"--"状态"，系统信息页面内，找到系统配置，点击"备份"按钮，对配置进行保存

　　

　　根据实际情况选择是否加密（加密需设置密码），点击备份

　　

　　3、还原配置

　　进入"系统管理"--"面板"--"状态"系统信息页面内，找到系统配置，点击"还原"按钮，用原来存储在本地的配置文件恢复防火墙配置。

　　

　　

　　输入之前备份配置文件时设置的密码，点击恢复按钮，即可。

　　

　　导入成功后会提示系统重启后生效，故需要重启设备。

　　

　　注意：

　　1、导入的配置文件必须是conf格式，否则无法识别。

　　2、导入配置后需要重启才会生效。

　　3、备份配置设置的密码必须谨记，如遗忘则无法导入恢复。

6.SNMP配置

　　若内网有架设对网络设备进行监控管理的网管服务器，则需要在FortiGate上配置snmp功能，让网管服务器能通过snmp管理监控FortiGate。

　　1）在网络接口上开启SNMP管理功能。

　　进入 "系统管理"--"网络"--"接口"菜单，编辑用于SNMP管理的菜单， 在"管理访问 "选项内，选择"SNMP"。

　　

　　2）开启SNMP本地代理

　　进入"系统管理"--"配置"SNMPv1/v2"配置页面，勾选 "SNMP代理"，输入相关描述信息后，点击"应用"按钮

　　

　　3）配置 snmp community

　　在步骤2的界面内，点击"SNMP v1/v2c"下方，"新建" 按钮。弹出新建SNMP团体配置页面。

　　

　　组名： public， 即为读取字符串。

　　管理主机： 填写SNMP管理主机的地址，该项目为必选项，如192.168.1.1/32，则只允许该主机使用该字符串进行SNMP管理，同时该地址也会作为TRAP信息的接收地址。

　　接口： 如果选择接口，则只允许从该接口使用该字符串进行管理。any则为任意接口。

　　查询：SNMP查询所使用的端口默认为161

　　陷阱：SNMP 发送Trap所使用的端口默认为162

　　SNMP事件：定义可以出发SNMP Trap 的事件，默认为全选，不建议更改。

7.管理员设置

　　设备出厂时设备内置的默认账号为admin（拥有所有权限）,默认密码：空，       1、修改管理员admin的密码为fgt@123,设置管理员admin账号的管理主机IP为172.18.10.108/32，即只有172.18.10.108这台主机可以用admin账号管理设备。

　　菜单："系统管理"--"管理员设置"--"管理员"

　　编辑用户名"admin"（双击或者点击编辑按钮） 点击"更改密码"

　　在随后出现的修改密码弹出窗口内，输入新密码fgt@123，点击确定。

　　勾选"只有从信任主机限制改Admin登陆，"在"可信任主机#1"处填写管理IP：172.18.10.108/32，点击"确定"。

　　

　　2、添加管理员账号monitor，配置密码为123456a!，权限设置为test，管理主机IP不限，即所有主机都能用此账号登陆设备管理， 权限为只读

　　进入"系统管理"--"管理员设置"--"访问配置"--"新建

　　

　　添加管理员monitor，密码：123456a！，权限设置为readonly，管理主机ip不限制

　　

　　3、定义密码规则，对密码的复杂度进行限制；设置web页面超时时间：若设置为150分钟，则 150分钟内管理员未做任何操作，则自动退出管理页面。