防火墙用户手册

USG6550防火墙用户手册

目录

前言.................................................................................................................... 错误！未定义书签。

1 查看类 (1)

1.1查看设备运行状态 (1)

1.2查看接口流量 (6)

1.3查看ESN和系列号(USG6000) (10)

1.4查看ESN和系列号(USG9500) (11)

1.5查看光模块信息 (12)

1.6查看会话表 (13)

1.7查看日志 (16)

1.8查看报表 (17)

1.9查看VPN状态 (18)

2 配置类 (21)

2.1创建新的管理员 (21)

2.2修改管理员密码 (23)

2.3修改Web服务端口号 (24)

2.4更新License (24)

2.5备份配置文件 (27)

2.6配置IP-MAC绑定 (28)

2.7配置NAT (29)

3 故障类 (33)

3.1恢复管理员密码 (33)

3.2恢复出厂配置 (34)

3.3恢复配置文件 (36)

3.4升级特征库 (37)

3.5升级系统软件 (44)

3.6采集故障信息 (44)

4 附录 (47)

4.1危险操作一览表 (47)

1 查看类

关于本章

1.1 查看设备运行状态

介绍查看设备运行状态的相关操作。

1.2 查看接口流量

介绍查看接口流量的相关操作。

1.3 查看ESN和系列号(USG6000)

通过display esn命令可以查看设备及各部件的ESN。

1.4 查看ESN和系列号(USG9500)

通过display esn命令可以查看设备及各部件的ESN。

1.5 查看光模块信息

通过display esn interface命令可以查看光模块信息。

1.6 查看会话表

会话表是设备转发报文的关键表项。所以当出现业务故障时，通常可以通过Web查看

会话表信息，大致定位发生故障的模块或阶段。

1.7 查看日志

1.8 查看报表

介绍查看报表的相关操作。

1.9 查看VPN状态

1.1 查看设备运行状态

介绍查看设备运行状态的相关操作。

通过Web方式查看设备部件状态

选择“面板>设备资源信息”，查看CPU使用率、内存使用率、CF卡使用率，如图1-1

所示。

图1-1设备资源信息

通过CLI方式查看设备部件状态

查看设备状态。通常在发现某单板运行不正常时查看该单板状态。

display device

USG6380's Device status:

Slot Sub Type Online Power Register Status Role

其中Status状态为Abnormal说明状态异常。可能的故障原因为：

1.设备的该槽位不支持这种接口卡。

2.接口卡损坏。

3.背板或主板上的插针损坏，如不正确的单板安装方式导致插针倾斜。

4.如果是FAN状态为Abnormal，则可能为风扇故障或不在位。

查看设备的健康检查信息

用户在任意视图下执行命令display health命令查看设备的健康检查信息，包括CPU

占用率和内存占用率。

# 显示USG9500单板的健康检查信息。

display health

Slot CPU Usage Memory Usage(Used/Total) Simulate CPU

-----------------------------------------------------------------------

9 MPU(Master) 10% 51% 907MB/1746MB None

1 LPU 14% 18% 384MB/2099MB None

2 SPU-CPU0 65% 16% 84MB/500MB 0%

2 SPU-CPU1 64% 16% 84MB/500MB 0%

2 SPU-CPU2 64% 16% 84MB/500MB 0%

2 SPU-CPU

3 64% 16% 84MB/500MB 0%

2 SPU-CPU6 2% 15% 61MB/398MB None

6 LPU 16% 18% 386MB/2099MB None

8 SPU-CPU2 65% 16% 84MB/500MB 0%

8 SPU-CPU3 62% 16% 84MB/500MB 0%

8 SPU-CPU6 2% 15% 60MB/398MB None

10 MPU(Slave) 4% 24% 870MB/3602MB None

-----------------------------------------------------------------------

SPU CPU Average Utilization: Management 64% Dateplane 3 %

表1-1display health命令的输出信息描述

# 显示USG6000的健康检查信息。

display health

-------------------------------------------------------------------------------

Slot Card Sensor SensorName Status Current(V) Lower(V) Upper(V)

-------------------------------------------------------------------------------

0 - 0 1.1V_CORE Normal 1.1000 1.0400 1.1500

- 1 3.3V Normal 3.3000 3.1200 3.4500

- 2 2.5V Normal 2.5200 2.3700 2.6100

- 3 1.5V Normal 1.4900 1.4200 1.5700

- 4 1.1V Normal 1.0900 1.0400 1.1500

- 5 0.75V_DDR Normal 0.7400 0.7100 0.7800

- 6 12V Normal 11.8800 11.4000 12.6000

1 - 0 5.0V Normal 4.9500 4.7400 5.2500

- 1 2.5V Normal 2.5000 2.3600 2.6200

- 2 1.0V Normal 0.9900 0.9500 1.0500

- 3 1.8V Normal 1.7800 1.7100 1.8900

- 4 0.9V Normal 0.9000 0.8500 0.9400

- 5 3.3V Normal 3.2800 3.1200 3.4600

- 6 12V Normal 11.9400 11.4000 12.6000

---------------------------------------------------------------

Slot Card Sensor Status Current(C) Lower(C) Upper(C)

---------------------------------------------------------------

0 - 0 Normal 36 0 63

- 1 Normal 51 0 90

1 - 0 Normal 31 0 63

--------------------------------------------------------------------------

PowerID Online Mode State Current(A) Voltage(V) RealPwr(W)

--------------------------------------------------------------------------

5 Present AC Supply 14.2 12 170

6 Absent - - - - -

------------------------------------------------------------------------------- FanID FanNum Online Register Speed Mode Airflow

------------------------------------------------------------------------------- FAN0 [3] Present Registered 1 (6880 ) AUTO Left-to-Right

FAN1 [2] Present Registered 1 (6880 ) AUTO Left-to-Right

System Memory Usage Information:

System memory usage at 2015-03-26 16:25:01

------------------------------------------------------------------------------- Slot Total Memory(MB) Used Memory(MB) Used Percentage Upper Limit

------------------------------------------------------------------------------- 0 3789 2265 59% 95%

------------------------------------------------------------------------------- System CPU Usage Information:

System cpu usage at 2015-03-26 16:25:01

------------------------------------------------------------------------------- Slot CPU Usage Upper Limit

-------------------------------------------------------------------------------

0 32% 80%

------------------------------------------------------------------------------- Disk Usage Information:

System disk usage at 2015-03-26 16:25:02

------------------------------------------------------------------------------- Slot Device Total Memory(MB) Used Memory(MB) Used Percentage

-------------------------------------------------------------------------------

0 hda1: 1172 725 61%

-------------------------------------------------------------------------------

1.2 查看接口流量

介绍查看接口流量的相关操作。

通过Web方式查看接口流量

选择“面板>设备状态图”，将鼠标光标停留在某接口上，可查看该接口的详细信息，

如图1-2所示。单击“刷新”后能够查看到接口的最新信息。

图1-2接口信息

通过CLI方式查看接口信息

该命令可以查看接口的IP地址、物理层及协议层状态、接口描述。下面以USG6370

系列为例。

1.3 查看ESN和系列号(USG6000)

通过display esn命令可以查看设备及各部件的ESN。

查看设备ESN

用户可以通过查看设备的后面板获取设备ESN编号，以USG6306/6308/6330/6350/6360

机型为例，ESN位置如图1-3所示。

图1-3USG6306/6308/6330/6350/6360后面板

# 查看USG6000的ESN。

display esn

ESN of master:210235G6QD2xxxxxxxx

1.4 查看ESN和系列号(USG9500)

通过display esn命令可以查看设备及各部件的ESN。

查看背板ESN

用户可以登录到设备在任意视图下执行命令display esn，查看设备的ESN编号。

display esn

ESN of master:210235G6QD10xxxxxxxx

其中210235G6QD10xxxxxxxx为背板的ESN编号。

查看设备部件ESN

用户在任意视图下执行命令display esn all，查看设备各部件的ESN编号。

1.5 查看光模块信息

通过display esn interface命令可以查看光模块信息。

用户在任意视图下执行命令display esn interface，查看USG6000各接口光模块的ESN

编号。

display esn interface

Interface VendorName PN SN Date

Certified

GigabitEthernet1/0/4 huawei 3410xxxx PR31xxx 2014-

01-17 YES

GigabitEthernet1/0/5 huawei 0231xxxx AD1342xxxxx 2013-

10-23 YES

GigabitEthernet3/0/0 FINISAR CORP. FTLF1619xxxxx-HW PR7xxxx

2014-02-21 NO

GigabitEthernet3/0/1 HG GENUINE MXPD-xxxMD HA140xxxxxxxx

2014-02-08 NO

GigabitEthernet3/0/2 JDSU PLRXPLVCSxxxxHW CE06xxxxx 2014-

02-08 NO

GigabitEthernet3/0/3 OCLARO,INC TRSxxxxEN-SP01 T14Dxxxxx

2014-04-10 NO

GigabitEthernet3/0/4 SOURCEPHOTONICS FTMxxxxCSL40GHW E5C20xxxxx

2014-04-14 NO

GigabitEthernet3/0/5 SumitomoElectric SPPxxxxZR-H1 42D710Nxxxxx

2014-02-12 NO

GigabitEthernet3/0/6 NEOPHOTONICS PTxxxx-51-EW-KHW A01146xxxxx

2014-01-24 NO

GigabitEthernet3/0/7 SOURCEPHOTONICS FTM-xxxxC-SL50G E4620xxxxx

2014-03-08 NO

用户在任意视图下执行命令display esn interface，查看USG9500各接口光模块的ESN

编号。

1.6 查看会话表

会话表是设备转发报文的关键表项。所以当出现业务故障时，通常可以通过Web查看

会话表信息，大致定位发生故障的模块或阶段。

当某个业务发生问题，例如流量不通或者断断续续时，通过查看会话表可以得出以下

信息：

●如果该项业务已经建立了正确的会话表项，并且根据安全策略允许了该业务的转

发。如果业务此时仍然不通，有以下几种可能原因：

?出接口发生了硬件故障（例如接口卡损坏，网线接触不良等）

?下行设备丢弃了相关报文

?路由配置有错误

?出接口发送的报文有错误

?其他业务层面的丢包（例如带宽管理、攻击防范功能导致的丢包）

?其他配置方面的问题

●如果该项业务没有建立会话表项，有以下几种可能原因：

?由于上游设备的问题或者是路由配置的问题，导致报文没有正确转发到FW

上

?设备上配置的安全策略不允许该报文的转发，例如安全策略动作被配置为

“拒绝”，源IP被加入了黑名单等

?入接口发生了硬件故障（例如接口卡损坏，网线接触不良等）

?攻击防范方面，除黑名单之外，可能还有其他功能导致丢包

?带宽管理功能可以限制会话数，当会话数超过阈值时，导致会话无法建立而

直接丢包

?其他配置方面的问题

通过Web方式查看会话表的方法如下：

1.选择“监控>会话表”。

2.显示“会话表”界面，查看会话表信息。

会话表在某一时间段的显示如下：

单击“详细信息”对应的，可以查看会话表的详细信息。具体字段含义如下：

通过命令行方式查看会话表的方法如下：

1.执行命令system-view，进入系统视图。

2.执行以下命令查看IPv4会话表信息。

?display firewall session table [ verbose ] [ all-systems | vsys vys-name ] [ source-zone source-zone | destination-zone destination-zone | { default-policy |

policy policy-name } | source-cpe start-ipv6-address [ to end-ipv6-address ] | source

{ inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-

address ] } | destination-cpe start-ipv6-address [ to end-ipv6-address ] | destination

{ inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-

address ] } | slot slot-id cpu cpu-id | protocol { id | tcp | udp | sctp | icmp | ah | esp |

gre } | application application-name | source-port { inside port-number |

global port-number } | destination-port { inside port-number | global port-number }

| interface { interface-name | interface-typeinterface-number } | service service-type

| vlan vlan-id | created-in time | long-link | user user-name | { local | remote } ] *

?display firewall session table [ verbose ] session-id session-id

在双机热备的组网环境中，可以通过选择local或remote参数，按需要查看本端设备或对端设备的会话表信息。

由于通常情况下设备上的会话表数目很大，逐条查看非常困难。所以该条命令中提供多个参数可以选择需要查看的会话表的类型，有效利用这些参数可以减少查看会话表时显示的条目，缩短定位问题的时间。

在不使用verbose的情况下，会显示简要会话表项，格式如下：

Current Total Sessions :NUM

TYPE VPN:SRCVPN -->DSTVPNSRCIP -->DSTIP

在使用verbose的情况下，会显示详细会话表项，以USG6000为例，格式如下：

Current Total Sessions : NUM

TYPE VPN:SRCVPN -->DSTVPN ID: ID-NUMBER

Zone: SRCZONE-->DSTZONE RemoteTTL: TOTALTIME Left: LEFTTIME

Interface: OUTINTERFACE Nexthop: IP-ADDRESS MAC: MACADDRESS

<-- packets:NUMBER bytes:BYTES-->packets:NUMBER bytes:BYTES

SRCIP -->DSTIP PolicyName: POLICYNAME

各个参数含义如表1-2所示。其中斜体参数会根据实际情况显示不同内容。

表1-2会话表项参数含义

3. 执行命令display firewall ipv6 session table [ verbose ] [ all-systems |vsys vsys ]

[ source-zone source-zone | destination-zone destination-zone | { default-policy

|policy policy-name } | source start-ipv6-address [ to end-ipv6-address ] |

destination start-ipv6-address [ to end-ipv6-address ] |application application-type | protocol { id | tcp | udp | icmp | ah | esp | gre } |service service-type | source-port port-number | destination-port port-number | interface { interface-name | interface-

typeinterface-number } |vlan vlan-id | created-in time | long-link |user user-name | { local | remote } |slot slot-id cpu cpu-id ] *，查看IPv6会话表信息。

1.7 查看日志

无硬盘场景下查看日志

用户以系统管理员账号或审计管理员账号登录设备，仅可以在设备无硬盘时查看以下类型日志：

●

系统日志 ● 业务日志

此外，还可以查看到设备产生的告警信息。

对于USG6650/6660/6670/6680，无论硬盘是否在位，均显示以上类型日志。

步骤 1 选择“监控>日志”。

步骤 2选择指定日志类型。

----结束

有硬盘场景下查看日志

用户以系统管理员账号登录设备，可以在设备有硬盘时查看以下类型日志：

●流量日志

●威胁日志

●URL日志

●内容日志

●操作日志

●用户活动日志

●策略命中日志

●邮件过滤日志

用户以审计管理员账号登录设备，还可以在设备有硬盘时查看审计日志。

USG9500仅支持上述日志中的流量日志。

对于USG6650/6660/6670/6680，无论硬盘是否在位，均显示以上类型日志。

仅审计管理员有权限查看审计日志。

步骤 1选择“监控>日志”。

步骤 2选择指定日志类型。

步骤 3可选: 单击“导出”，将流量日志以CSV格式导出到管理员的PC中。

----结束

1.8 查看报表

介绍查看报表的相关操作。

背景信息

当管理员向FW提交查询某类别报表的请求时，日志系统将本地硬盘或内存中存储的

对应类别日志数据进行统计分析和加工形成报表。

日志产生较多时，建议为设备配置硬盘，以免旧的日志被新的日志覆盖导致日志信息丢失。

FW支持的报表类别如下：

●流量报表

●威胁报表

●URL报表

●策略命中报表

●文件过滤报表

●内容过滤报表

USG9500仅支持以上报表中的流量报表。

操作步骤

步骤 1选择“监控>报表”。

步骤 2选择报表类别。下面以“流量报表”为例。

●对于USG6000：选择“源地址”、“目的地址”、“应用”、“应用类别”、“应用子类

别”、“用户”、“源地区”、“目的地区”、“虚拟系统”、“地址类型”或“带宽策

略”。

●对于USG9500：选择“应用”、“应用类别”或“应用子类别”。

步骤 3在“时间范围”复选框或“自定义”时间区域中选择需要查询的报表时间。

步骤 4单击“查询”，显示不同维度的流量趋势和流量排行。

将鼠标置于流量趋势图中折线发生角度变化的点上，显示此点对应的时刻和维度的流

量数值。

未识别的用户和应用信息不计入流量统计。

步骤 5可选: 单击“导出”，可将流量报表以CSV格式导出到管理员PC中。

----结束

1.9 查看VPN状态

查看IPSec状态

通过Web方式查看IPSec状态：

1.选择“网络> IPSec >监控”。

2.在“IPSec监控列表”中将显示当前正在协商和已经协商成功的IPSec隧道列表。

在列表中会显示每个隧道的名称、状态、本端地址、对端地址、算法、协商数据

流、持续时间以及发送接受速率等信息。

通过CLI方式查看IPSec状态：

●执行display ike sa查看IPSec隧道的建立的情况。

●执行display ipsec sa查看IPSec隧道的详细情况。

●执行display ipsec statistics查看IPSec报文的统计信息。

Fortigate防火墙安全配置规范

Fortigate防火墙安全配置规范

1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置，针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范，以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下，admin的口令为空，需要设置一个口令。密码长度不少于8个字符，且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令，只允许管理员修改。密码长度不少于8个字符，且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限，如下表所示：

接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线，不提供管理方式 Port5 （保留） Port6 （保留） 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长，缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据，系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置，包括日志保存的位 置（fortigate内存、syslog服务器等）、需要激活日志功能的安全模块等。如下图 所示：

H3CSecPathF100系列防火墙配置教程

H3C SecPath F100系列防火墙配置教程初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] firewall zone untrust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/1 工作模式 firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器 使能HTTP 服务器undo ip http shutdown 关闭HTTP 服务器ip http shutdown 添加WEB用户 [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 开启防范功能 firewall defend all 打开所有防范 切换为中文模式language-mode chinese 设置防火墙的名称sysname sysname 配置防火墙系统IP 地址firewall system-ip system-ip-address [ address-mask ] 设置标准时间clock datetime time date 设置所在的时区clock timezone time-zone-name { add | minus } time

网神SecGate3600防火墙用户手册簿

声明 服务修订： ●本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任： ●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或 默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 ●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿 责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息： ●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司 书面的有效授权。 网神信息技术（北京）股份有限公司

目录 导言、概述 (13) 第一章、基于web管理界面 (14) 1.web管理界面页面 (15) 2.Web管理界面主菜单 (17) 3.使用web管理界面列表 (18) 4.在web管理界面列表中增加过滤器 (19) 4.1 包含数字栏的滤波器 (21) 4.2 包含文本串的滤波器 (21) 5.在web管理界面列表中使用页面控制 (22) 5.1 使用栏设置来控制显示栏 (24) 5.2 使用带有栏设置的过滤器 (25) 6.常用web管理界面任务 (25) 6.1 连接到web管理界面 (26) 6.2 连接到web管理界面 (27) 7.修改当前设定 (28) 7.1 修改您SecGate管理员密码 (29) 7.2 改变web管理界面语言 (29) 7.3 改变您SecGate设备管理路径 (30)

7.4 改变web管理界面空闲运行时间 (31) 7.5 切换VDOMs (31) 8.联系客户支持 (31) 9.退出 (32) 第二章、系统管理 (32) 1. 系统仪表板 (32) 1.1 仪表板概述 (34) 1.2 添加仪表板 (34) 1.3 系统信息 (37) 1.4 设备操作 (45) 1.5 系统资源 (47) 1.6 最多的会话 (49) 1.7 固件管理条例 (53) 1.8 备份您的配置 (54) 1.9 在升级前测试固件 (57) 1.10 升级您的SecGate设备 (61) 1.11 恢复到以前的固件镜像 (65) 1.12 存储您的配置 (71) 使用虚拟域 (74)

防火墙操作手册-推荐下载

防火墙操作手册 ----USG6550(V100R001)

1.安装前的准备工作 在安装USG前，请充分了解需要注意的事项和遵循的要求，并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时，不当的操作可能会引起人身伤害或导致USG损坏，请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前，请检查安装环境是否符合要求，以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具，请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全，在安装、操作和维护设备时，请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项，并不代表所应遵守的所有安全事项，只作为所有安全注意事项的补充。 2)当地法规和规范

操作设备时，应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员，必须先经严格培训，了解各种安全注意事项，掌握正确的操作方法之后，方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件（包括软件）必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险，禁止将安全特低电压（SELV）电路端子连接到通讯网络电压（TNV）电路端子上。 禁止裸眼直视光纤出口，以防止激光束灼伤眼睛。 操作设备前，应穿防静电工作服，佩戴防静电手套和手腕，并去除首饰和手表等易导电物体，以免被电击或灼伤。 如果发生火灾，应撤离建筑物或设备区域并按下火警警铃，或者拨打火警电话。任何情况下，严禁再次进入燃烧的建筑物。

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.sodocs.net/doc/8d12436610.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

华为EUDEMON200 防火墙操作手册

Eudemon 200防火墙操作指导 本文网址:https://www.sodocs.net/doc/8d12436610.html,/152970 复制 Prepared by 拟制 赵强 Date 日期 2003/09/08 Reviewed by 评审人 Date 日期 Approved by 批准 Date 日期 Authorized by 签发 Date 日期 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究

（REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only）（REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用） Revision record 修订记录 Date 日期 Revision V ersion 修订 版本 CR ID / Defect ID CR号 Section Number 修改 章节 Change Description 修改描述 Author 作者 2003-09-10 1.00 initial 初稿完成 赵强 Distribution List 分发记录 Copy No. Holder's Name & Role 持有者和角色 Issue Date 分发日期 1 yyyy-mm-dd

Catalog 目录 1 Introduction 简介 (7) 1.1 目的 (7) 1.2 范围 (7) 1.3 发布对象 (7) 2 Eudemon200防火墙的特点 (8) 2.1 基于状态的防火墙 (8) 2.2 安全域概念介绍 (8) 2.2.1 防火墙的域 (8) 2.2.2 域间概念 (10) 2.2.3 本地域（Local） (10) 2.3 防火墙的模式 (11) 2.3.1 概述 (11) 2.3.2 路由模式 (11) 2.3.3

fortigate 简易设置手册

fortigate 简易设置手册 一、更加语言设置： 1、首先把PC的网卡IP修改成192.168.1.*的网段地址，在IE中输入： https://192.168.1.99进入设置界面，如下图： 2、进入设置界面后，点击红框标注的位置（系统管理→状态→管理员设置）， 进入如下图：在红框标注的位置进行语言选择。 二、工作模式的设置：

Fortigate防火墙可以工作在以下几种模式：路由/NAT模式、透明模式； 要修改工作模式可在下图标注处进行更改，然后设置相应的IP地址和掩码等。 三、网络接口的设置： 在系统管理→点击网络，就出现如下图所示，在下图所指的各个接口，您可以自已定义各个接口IP地址。 点击编辑按钮，进入如下图所示： 在下图地址模式中，在LAN口上根据自已需要进行IP地址的设置，接着在管理访问中指定管理访问方式。

在WAN口上，如果是采用路由/NAT模式可有两种方式： 1、采用静态IP的方式：如下图： 在红框标注的地方，选中自定义，输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中，指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话，你可以在如下图中输入进去。 在如下图红框标注的地方，输入IP地址和掩码以及管理访问方式，点击ADD 即可。

注: 采用静态IP地址的方式，一定要加一条静态路由，否则就不能上网。如下图：

2、如采用ADSL拨号的方式，如下图： 当你选中PPOE就会出现如下图所示的界面： 在红框标注的地址模式中，输入ADSL用户和口令，同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要，选中相应的管理方式，对于MTU值一般情况下都采用默认值就行了.

方正软件保护卡

方正软件保护卡 公司名称：方正科技集团股份有限公司 网址：https://www.sodocs.net/doc/8d12436610.html, 服务热线：4006-000-666 如果本手册和软件有所不符，请以软件为准。本手册会在不断修改中，恕不另行通知。对于该文档中可能出现的错误或者因使用本文档而造成的任何损失，本公司对此并不负有任何法律责任。

产品介绍 方正软件保护卡是方正科技集团股份有限公司最新推出的局域网计算机维 护系统，集数据保护、磁盘分区管理和局域网计算机部署三大功能于一身，并创造性地将所有功能的操作界面移植到了Windows操作系统之上，极大地增强了产品的易用性和扩展性，方便了客户的使用。 与传统保护卡相比，方正软件保护卡具有如下创新点： 1.Windows操作模式，产品模块化 突破了传统保护卡底层实模式（DOS界面）操作方式的限制，将主要功能分为三个功能模块“EzBACK”－数据保护、“EzClone”－网络部署、“Partition”－磁盘分区，创造性的与Windows操作系统相结合，提高了产品的稳定性、可操作性和界面的美观性。最多可以支持安装8个操作系统。解决了网络传输时使用DOS驱动封装包的问题，解决了网络传输时设备的兼容性问题，较Dos保护卡大幅度提高了机房维护的效率。 2.立即还原，采用独立的多点复原方式 方正软件保护卡采用了先进的数据隔离技术，突破了传统保护卡单点或两点保护的极限，可自动或手动建立多个还原点（最多可达到256个还原点）。EzBACK 模块支持在Windows之上创建进度（还原点），突破了原有的在DOS下建立还原点的方式，并且建立后无需重新启动Windows。采用多点后，可以针对不同的用户需求，建立不同的还原点，实现在一套操作系统平台下，快速在多种软件环境之间的切换。 3.网络部署，多点批量部署模式 方正软件保护卡的“网络部署”功能将传统保护卡“增量拷贝”的单点增 量拷贝功能，创新的提升为多点批量部署的功能，实现增量传输。 “网络部署”模块，在Windows系统中实现，传输时调用Windows下的网卡驱动进行网络传输，解决使用DOS下网卡包驱动传输时不稳定的问题。同时突破了“在系统上不能拷贝系统”的瓶颈，实现了“在Windows上拷贝Windows”的功能。 4.磁盘划分，可以在Windows系统下做到重新规划 方正软件保护卡突破了传统保护卡底层实模式（DOS界面）“磁盘划分”的限制，Partion模块在Windows状态下实现对“资料盘”空间的“合并”和“重新划分”；实现了在完成分区后，再次分区时，不会破坏整个硬盘分区，从而提高了用户管理和使用的灵活性。

飞塔防火墙fortigate的show命令显示相关配置

飞塔防火墙fortigate的show命令显示相关配置，而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名，管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态，，如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X

DPtechFW系列防火墙系统操作手册

D P t e c h F W系列防火墙 系统操作手册 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

DPtech FW1000操作手册杭州迪普科技有限公司 2011年10月

目录

第1章组网模式 1.1 组网模式1-透明模式 组网应用场景 需要二层交换机功能做二层转发 在既有的网络中，不改变网络拓扑，而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段 特点 对用户是透明的，即用户意识不到防火墙的存在 部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 必须配置一个vlan-ifxxx的管理地址，用于设备管理 1.2 组网模式2-路由模式 组网应用场景 需要路由功能做三层转发 需要共享Internet接入 需要对外提供应用服务 需要使用虚拟专用网 特点 提供丰富的路由功能，静态路由、RIP、OSPF等 提供源NAT支持共享Internet接入

提供目的NAT支持对外提供各种服务 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等需要使用WEB认证功能 配置要点 接口添加到相应的域 接口工作于三层接口，并配置接口类型 配置地址分配形式静态IP、DHCP、PPPoE 1.3 组网模式3-混合模式 组网应用场景 需结合透明模式及路由模式 特点 在VLAN内做二层转发 在VLAN间做三层转发 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 添加三层接口，用于三层转发 配置一个vlan-ifxxx的地址，用于三层转发

22-1用户手册(华为USG防火墙)

华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24 WWW服务器：10.10.11.2/24（DMZ区域） FTP服务器：10.10.11.3/24（DMZ区域） 1.2 Telnet配置 配置VTY 的优先级为3，基于密码验证。 # 进入系统视图。 system-view # 进入用户界面视图 [USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证 # 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网： 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网： 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit

方正防火墙配置说明

对于目前的环境我们可以考虑两种方法来设置： 1，透明桥接模式 这种模式就是把三个网卡的IP地址设置成一个网段，比如NET1设置成10.10.200.101（连接PC机）、NET2设置成10.10.200.102（连接服务器网段）、NET3设置成10.10.200.103（上连路由器的以太口），然后指定每个网卡的有效网络范围（先在对象当中定义好IP范围，然后对每个网卡绑定相应的有效网络）因为是透明桥接模式，所以所有机器的网关均指向10.10.200.1（路由器的以太口） 2，混合模式 这时防火墙的工作方式是NET1和NET3做透明桥接，NET2和NET3之间做NAT模式（地址映射），NET1和NET3的网络地址保持不变或者NET1和NET3的地址一样（都为10.10.200.101或者10.10.200.103）都无所谓，NET2的网络地址为192.168.0.1，这种模式很重要的一点是每个网卡的有效网络一定要绑对，并且NET3的有效网络要包括NET1的有效网络，既NET3的有效网络只需要把NET2的有效网络抠去就可以了。（比如NET1的有效网络是10.10.200.1-10.10.200.254；NET2的有效网络是192.168.0.1-192.168.0.254；那么NET3的有效网络是0.0.0.1-192.167.255.255和192.168.1.0-255.255.255.255；主要是因为NET1和NET3之间是透明桥接模式，所以NET3的有效网络只需要把NET2的有效网络抠掉，并且在192.168.0.0这个网段的网关应该是192.168.0.1。这一步做完以后，然后就要对防火墙做NA T，我们现在要保证192.168.0.0这个网段能够上网，只要把这个网段映射到NET1或者NET3或者是10.10.200.0这个网段的任何一个IP地址（10.10.200.1）除外。比如假设我们已经把相应的对象定义好了，具体的NA T规则应该是： 转换之前转换之后 方向源地址目的地址服务源地址目的地址服务OUTGOING：192.168.0.0/24 外网范围ANY 10.10.200.101 外网范围ANY OUTGOING：192.168.0.0/24 外网范围ANY 10.10.200.103 外网范围ANY OUTGOING：192.168.0.0/24 外网范围ANY 见说明1 外网范围ANY 说明1：这里的源地址也可以是10.10.200.0/24这个网段中没有用过的IP地址比如也可以是10.10.200.99。 外网范围指的是NET3绑定的有效网络。 上面的意思是保证192.168.0.0这个网段能够上网；如果要保证10.10.200.0这个网段能够去访问192.168.0.0这个网段的一台电脑（192.168.0.2）我们还需要做一个INCOMING的NAT 规则既把192.168.0.2映射成10.10.200.101或者103，由于是从外面发起的连接访问内网所以是INCOMING。 转换之前转换之后 方向源地址目的地址服务源地址目的地址服务INCOMING 10.10.200/24 10.10.200.101 ANY 10.10.200/24 192.168.0.2 ANY INCOMING 10.10.200/24 10.10.200.103 ANY 10.10.200/24 192.168.0.2 ANY 以上均可。

华为防火墙命令

华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。

华为防火墙操作手册-入门

目录 第1章防火墙概述 ..................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介............................................................................................................. 1-6 1.3.1 Eudemon产品系列 .................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介................................................................................ 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................. 1-8第2章 Eudemon防火墙配置基础 .............................................................................................. 2-1 2.1 通过Console接口搭建本地配置环境 .................................................................................. 2-1 2.1.1 通过Console接口搭建 ............................................................................................. 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .................................................................. 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通.................................................... 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建 ................................................................................................... 2-7 2.2.2 通过Telnet方式搭建................................................................................................. 2-9 2.2.3 通过SSH方式搭建 ................................................................................................. 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31

飞塔配置安装使用手册

飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息，详见https://www.sodocs.net/doc/8d12436610.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。 fortiguard 服务订制包括： 1、fortiguard 反病毒服务 2、fortiguard 入侵防护（ips）服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括： 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail

fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息，避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能： 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备，用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况，管理带宽，监控网络使用情况，并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应，包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时，提供给企业用户持续的网络流量。fortibridge绕过fortigate设备，确保网络能够继续进行流量处理。fortibridge产品使用简单，部署方便；您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业（包括管理安全服务的提供商）的需要。拥有该系统，您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志，包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的（包括远程工作用户），集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性（ha）性能。