1. Fortigate防火墙CLI入门从零开始连接设备第一次接触Fortigate防火墙的命令行界面CLI时很多新手会感到无从下手。其实只要掌握几个基础步骤就能快速上手。我刚开始接触Fortigate时也踩过不少坑现在把这些经验分享给你。首先需要准备一根Console线这是连接防火墙最可靠的方式。把Console线一端接电脑另一端接防火墙的Console口。然后打开终端工具比如Putty或SecureCRT设置连接参数波特率9600、数据位8、无校验位、停止位1、无流控。这些参数如果设错你会看到乱码或者根本连不上。连接成功后你会看到登录提示。默认用户名是admin密码为空直接回车。但安全起见建议第一时间修改密码config system admin edit admin set password 你的新密码 next end如果遇到连接问题先检查线缆是否接好再确认COM端口号是否正确。我遇到过因为USB转串口驱动问题导致连不上的情况这时候换个USB口或者重新安装驱动就能解决。2. 基础网络配置让防火墙真正工作起来2.1 接口IP与基础服务配置刚拿到设备时所有接口都是未配置状态。我们先给接口配IP这是防火墙工作的基础。假设我们要把port1作为内网口port4作为外网口config system interface edit port1 set ip 192.168.1.1 255.255.255.0 set allowaccess ping https ssh set role lan next edit port4 set mode dhcp set role wan next end这里有几个关键点allowaccess决定哪些协议能管理设备生产环境建议只开httpsrole设置接口角色影响某些功能的可用性WAN口可以用DHCP获取IP也可以静态配置接下来配置网关和DNS让防火墙能上网config router static edit 1 set gateway 172.16.1.1 set device port4 next end config system dns set primary 8.8.8.8 set secondary 8.8.4.4 end2.2 系统基础设置配置时区和NTP很重要否则日志时间对不上会很麻烦config system global set timezone 55 # 北京时间 set hostname MyFirewall end config system ntp set server 0.cn.pool.ntp.org set status enable end建议定期备份配置我吃过没备份的亏execute backup config tftp config_backup.cfg 192.168.1.1003. 防火墙策略配置实战3.1 创建地址对象和组好的防火墙策略从清晰的对象管理开始。先创建一些常用地址对象config firewall address edit WebServer set subnet 192.168.1.100 255.255.255.255 next edit Office_Network set subnet 192.168.1.0 255.255.255.0 next end把相关对象分组管理会更方便config firewall addrgrp edit Internal_Servers set member WebServer MailServer next end3.2 端口映射配置把内网服务映射出去是常见需求比如映射Web服务config firewall vip edit HTTP_Server set extip 172.16.1.100 set mappedip 192.168.1.100 set extintf port4 set portforward enable set extport 80 set mappedport 80 next end3.3 策略配置技巧防火墙策略是核心注意策略是从上往下匹配的config firewall policy edit 1 set name Allow_Internet set srcintf port1 set dstintf port4 set srcaddr Office_Network set dstaddr all set action accept set schedule always set service ALL next end几个实用技巧用move命令调整策略顺序临时禁用策略可以用set status disable策略太多时用show firewall policy | grep 关键字快速查找4. 日常维护与故障排查4.1 系统状态检查日常维护需要检查设备健康状况get system status # 查看系统基本信息 get hardware status # 查看硬件状态 get system performance status # 查看性能概况监控资源使用情况很重要get system performance top # 动态查看资源占用 get hardware memory # 查看内存详情 get hardware cpu # 查看CPU使用率4.2 网络连通性排查遇到网络问题时这些命令能帮大忙get router info routing-table # 查看路由表 get system arp # 查看ARP表 get system interface physical # 查看接口状态抓包是最直接的排查手段diagnose sniffer packet port1 host 192.168.1.100 3 # 抓取特定IP的流量4.3 会话与日志分析查看当前会话有助于排查问题get system session list # 列出所有会话 get system session-info statistics # 会话统计日志分析常用命令get log filter # 查看当前日志过滤条件 get log fortianalyzer status # 查看日志服务器状态5. 高级功能与实用技巧5.1 HA高可用配置双机热备配置要点config system ha set mode active-passive set password hapassword set hbdev port9 100 set session-pickup enable next end查看HA状态get system ha status execute ha failover set # 手动切换测试5.2 命令行效率技巧使用grep过滤输出show full-configuration | grep 192.168.1 # 快速查找配置批量操作时可以用脚本config firewall address edit Server_${i} set subnet 192.168.1.${i} 255.255.255.255 next end5.3 安全加固建议禁用不必要的服务config system global set admin-https-redirect enable # 强制HTTPS管理 set admin-maintainer disable # 禁用maintainer账户 end定期更新固件execute restore image tftp firmware.out 192.168.1.100防火墙CLI看似复杂但掌握核心命令后就能应对大部分场景。建议先在测试环境练习熟练后再在生产环境操作。遇到问题时多用get和diagnose命令查看状态这些命令不会修改配置可以放心使用。