fortigate防火墙日常维护管理规定v1.0.docVIP

FortiGate Firewall 运维手册 内部版本号v1.0(状态 下查看系统概况，设备维护需要注意如下几项： 持续运行时间：查看自上次重启设备持续运行的时间，为及时释放资源，保证设备高效运行，要求3个月进行一次重启。 软件版本：查看当前版本信息，新版本放出时必须及时对设备进行升级 警告信息窗口：查看设备报警信息 系统资源：可实时查看CPU、内存占用率，绿色区域代表设备正常 通过Telnet、SSH方式进入命令行模式，在全局模式下键入 get system interface 查看当前接口状态 VPN接入管理 PPTP接入管理 PPTP接入服务在FortiGate3000和FortiGate200上开通，提供对物流/网点及远程办公人员的内网接入服务 进入 虚拟专用网(PPTP 菜单，检查SSL-VPN服务是否启动 进入 设置本地用户(本地 菜单，查看本地用户信息 进入 设置本地用户(用户组 菜单，查看开通PPTP远程接入的本地用户 通过Telnet、SSH方式进入命令行模式，在全局模式下键入 diagnose vpn pptp status 查看PPTP接入用户状态 物流/网点PPTP接入申请流程如下： 新增物流/网点负责人发起纸质申请报告(当地信息人员核实并传真至总部信息(总部信息开通PPTP VPN帐号(当地信息人员根据总部反馈的帐号/口令完成配置 远程办公人员PPTP接入申请流程如下： 业务需求人提交纸质申请报告(部门负责人审批(中心负责人审批(信息中心总监审批(安全与终端产品开发部开通 帐号开通后总部信息人员必须按如下格式对《物流、售后网点、远程办公VPN帐号开通一览表》进行更新，每个月对帐号进行梳理，及时删除过期用户。 物流、售后网点、远程办公VPN帐号开通一览表 序号 地区 大区/中心 分公司/部门 帐号(城市名+wd/wl或姓名全拼) 密码(至少6位,须含字母数字) 帐号管理员姓名 宽带类型 设备IP 开通时间（备注） 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 SSL接入管理 SSL接入服务在FortiGate3000上开通，用于合作伙伴远程接入对SAP、呼叫中心等系统的调试工作 进入 虚拟专用网(SSL 菜单，检查SSL-VPN服务是否启动 进入 设置用户(用户组 菜单，查看开通SSL接入的本地用户信息及相关权限 进入 虚拟专用网(SSL(监视器 菜单，查看当前SSL接入的在线用户 IPSec接入管理 FortiGate3000提供与物流/网点FortiGate IPSec虚拟专网的连接服务 进入 虚拟专用网(IPSec(动态VPN监视器 菜单，查看当前IPSec隧道建立情况 Internet服务发布管理 FortiGate3000、FortiGate200可分别提供电信、网通Internet服务的发布。 进入 防火墙(虚拟IP 菜单，查看当前IP地址映射关系 对外网地址进行访问，确保服务正常运行 系统备份与升级 系统配置文件备份/恢复 为保证设备故障后快速恢复正确配置，要求每月对配置信息进行备份。具体操作如下： 进入 系统管理(维护(备份与恢复 菜单，选择 备份配置到本地计算机 进行当前配置文件的备份，其中可选择加密配置文件以保证其安全性 配置恢复时，选择 本地计算机 上传配置文件，点击恢复完成配置恢复 系统升级 FortiGate定期提供防火墙版本的升级，修复前版本的BUG，增加新的功能特性。日常运维中要求每3个月对系统进行升级。 进入 系统管理(维护(备份与恢复 菜单，选择固件升级，从本地上传新的系统文件，电击OK重启后完成升级工作。 在 系统管理(状态 下查看是否升级成功 日志管理 日志审计及备份 FortiGate系列防火墙提供事件、攻击、流量等较为详细的日志管理功能，在日常运维中可根据日志信息进行故障排除及行为审计。日志文件的存储根据型号的不同有所差异：FortiGate200A、FortiGate50日志文件存于内存中，设备重启后日志文件将丢失。FortiGate3000、FortiGate300配有内置硬盘，系统定期将日志文件转存于硬盘中，并提供本地下载备份。必须根据内存/硬盘的使用量及时删除/备份日志文件。 进入 日志与报告(日志配置(日志设置 选择内存设置，将日志存于设备内存/硬盘中 进入 日志与报告(日志访问(内存 在日志类型中查看事件、攻击、流量判断是否存在异常情况。 进入 日志与报告(日志访问(硬盘 每个月将日志备份到本地服务器，在设备硬盘上只保留