配置Fortinet防火墙

防火墙分析仪支持以下版本的FortiGate设备：

• FortiOS v2.5，2.8， 3.0， 5.0
• Fortinet - 50,100, 200, 300, 400, 800
• Fortigate - 1000, 5000系列

需要固件v2.26或者更高

获取应用报表的前提

对于像Skype, FaceBook, YouTube以及用户自己分类的应用，可生成应用报表。该应用报表只适用于Fortigate。请确保在Fortigate防火墙设备中启用了应用控制服务。才能生成应用报表。

虚拟防火墙(虚拟域)的日志

不需要再防火墙分析仪中进行特别设置，即可接收来自Fortinet物理设备的虚拟防火墙的日志。对于用vdoms配置的高可用性的FortiGate防火墙，参照这里的步骤。

Prerequisite to support vdom

为了支持Fortigate设备的vdoms，请确保日志格式为Syslog，而不是WELF。

如果在用户界面配置之后，防火墙分析仪不能接收来自Fortigate的日志，请从命令行，进行以下的配置。

使用命令： get system status来取得所运行的 Fortigate的版本号。

配置FortiGate防火墙

按照以下步骤来配置FortiGate防火墙:

1. 登录到FortiGate的Web页面
2. 选择 Log & Report > Log Setting 或者 Log & Report > Log Config > Log Setting (取决于FortiGate的版本)
3. 如果想导出WELF格式的日志:
   1. 选择 Log in WebTrends Enhanced Log Format 或者WebTrends 多选框(取决于FortiGate的版本)
   2. 输入Syslog服务器的IP地址
   3. 选择日志级别为Information或者选择Log All Events多选框(取决于FortiGate的版本)
4. 如果想导出Syslog格式的日志 (或者导出日志到不同配置的端口):
   1. 选择Log to Remote Host 选项或者Syslog多 选框 (取决于FortiGate的版本)
   2. 输入Syslog服务器的IP地址
   3. 选择日志级别为Information或者选择Log All Events多选框(取决于FortiGate的版本)
   4. 选择facility为local7
5. 点击Apply

，导出日志，不要选择CSV 格式。

为日志流量配置规则集

按照以下步骤来配置规则集，以便记录所有流入或流出FortiGate防火墙的流量日志：

1. 选择Firewall > Policy
2. 选择要记录流量日志的规则并点击Edit。可以分别配置特定规则的流量日志。
3. 选择Log Traffic多选框
4. 点击OK并点击Apply

重复上述步骤直到所有要记录流量的规则被配置。

更多信息，请参见Fortinet文档。

如果在用户界面配置之后，防火墙分析仪不能接收来自Fortigate的日志，请从命令行，进行以下的配置。

(对于Fortigate 60, Fortigate 200, 等)

请按照以下步骤，让设备发送日志到防火墙分析仪。

• 启动Fortigate防火墙的CLI
• 执行以下命令启用Syslog:

启用 syslog:

config log syslogd setting<cr>

set server (ip address)<cr>

set status enable<cr>

end<cr>

• 执行以下命令启用流量:

启用流量:

config log syslogd filter<cr>

set severity information<cr>

set traffic enable<cr>

set web enable<cr>

set email enable<cr>
set attack enable<cr>
set im enable<cr>

set virus enable<cr>

end <cr>

输入 "show log syslogd filter" 列出所有可用的流量。

 

• 重启防火墙分析仪，检查是否可以接收来自Fortigate防火墙的数据包。

在Fortigate OS v5.0, 有个选项，使用TCP发送Syslog。如果防火墙分析仪不能接收Fortigate的日志，请检查Fortigate OS 的版本。如果是v5.0 或更高版本，确保Syslong配置中的 'reliable'选项为disabled，这样将使用UDP发送Syslong。 Syslog 设置只能通过CLI方式进行，不能在UI中进行。

配置/启用Fortigate设备的SNMP协议

使用 CLI :

使用以下命令确保设备的 SNMP 已启用:

get system snmp sysinfo

若已被禁用，使用以下命令启用:

config system snmp sysinfo set status enable end

配置SNMP Manager的信息（运行在FWA中），以便能对防火墙进行SNMP查询::

config system snmp edit <SNMP Community ID> config hosts edit <SNMP Community ID> set interface <FWA 连接到防火墙的接口> set ip < FWA IP address> end end

确保连接FWA和防火墙的接口，允许 SNMP 流量，可执行以下命令:

get system interface <interface name>

要允许SNMP流量通过源接口，使用以下命令:

config system interface internal set allowaccess <proto1 proto2 SNMP> end

使用 Web UI:

登录到FortiGate web界面

导航System > Config > SNMP v1/v2c

选择 Enable SNMP代理

输入 描述, 位置 and 联系人等信息

点击 Apply.

如果已经设置了SNMP团体字串，可编辑它，为其提供FWA的IP地址。并指定源接口。 也可点击'Create New' 添加新的团体字串，输入 Community Name，提供FWA的IP地址和源接口。

要激活源接口的SNMP流量:

导航到 System > Network > Interface.

针对要启用 SNMP 流量的接口，选择 Edit.

选择 SNMP for Administrative Access.

选择 OK.

配置Fortigate 高可用性模式:

对于Fortigate防火墙，FWA将device_id视为资源名称。如果是高可用性模式，尽管其主动和备用防火墙的设备名称相同，但是device_id却不同，因此，防火墙分析仪将会把它们显示为两个设备。为了避免这种情况，可以将备用防火墙的设备名称(devname)配置为主动防火墙的device_id。来自FortiGate防火墙的Syslog，将发送设备的序列号作为设备的device_id值，发送设备的主机名作为设备名称(devname)。
例如:

主动防火墙的日志: <189>date=2011-09-28 time=13:14:58 devname=DSAC456Z4 device_id=FGT80G3419623587 log_id=0021000002
备用防火墙的日志: <188>date=2011-09-28 time=13:14:59 devname=FGT80G3419623587 device_id=FGT80G4534717432 log_id=0022000003