FortiGate_vm 防火墙安装与配置指南

一、FortiGate网关简介

  FortiGate是飞塔公司推出的下一代防火墙(NGFW)产品,提供全面的网络安全防护功能,包括防火墙、VPN、入侵防御(IPS)、防病毒、Web过滤等。VM版本允许用户在虚拟化环境中部署FortiGate安全服务。

二、下载FortiGate网关

1. 注册账号并下载
  1. 访问support.fortinet.com
  2. 点击”Support” → “Downloads” → “VM Images”
  3. 在下载页面选择:
    • 产品:FortiGate
    • 平台:VMware ESXi
    • 版本:最新版(当前为7.6.3)
  4. 下载以下文件:
    • 新部署所需的ZIP文件(FGT_VM64v7.6.3-buildxxx-FORTINET.zip)
    • 升级所需的OUT文件(可选)
2. 文件说明
.zip→新部署虚拟机(新安装下载);.out→从旧版本升级
3. OVF模板兼容性
模板 兼容环境
FortiGate-VM64.ovf ESXi 8.0(HW 20)+
FortiGate-VM64.hw13.ovf ESXi 6.5(HW 13)+
FortiGate-VM64.hw15.ovf ESXi 6.7(HW 15)+
FortiGate-VM64.hw17.ovf ESXi 7.0(HW 17)+
FortiGate-VM64.vapp.ovf vSphere/vCloud
FortiGate-VM64.nsxt.ovf NSX-T环境
FortiGate-VM64-ZTNA.vapp.ovf 零信任环境

三、虚拟机安装

1. 创建虚拟机
  1. 在ESXi主机上选择”创建/注册虚拟机”
  2. 选择”从OVF或OVA文件部署虚拟机”

  3. 上传下载的OVF和VMDK文件
    • forios.vmdk(系统盘
    • datadrive.vmdk30GB数据盘
    • FortiGate-VM64.hw15.ovfESXi 6.7模板)
  4. 根据ESXi版本选择匹配的OVF模板(如ESXi 6.7选择hw15版本),其它默认
2. 初始登录
  1. 启动虚拟机后,使用默认凭据登录:
    • 用户名:admin
    • 密码:空 
  2. 访问管理界面(默认http://your_ip:80)
3. 激活试用版
  1. 进入系统→VM许可证页面
  2. 选择”评估许可证”并登录FortiCare账号激活
  3. 注意试用版限制:
    • 仅支持低加密
    • 最多1个CPU和2GB内存
    • 最多3个接口
    • 无IPS/防病毒功能
    • 无官方支持
4. 界面语言设置
进入System → Settings,可将界面语言切换为中文

四、网络配置(路由模式)

1. 网络拓扑

2. Esxi 网络配置

1. 在ESXI虚拟机再建个端口组,将防火墙Lan口和另一台Win2019虚拟机组成一个网络,用来模拟“路由模式”上网

2.  IP地址规划如下

如下:

  • Wan口,网络1,IP地址192.168.20.43/24
  • Lan口, 网络2,IP地址192.168.30.1/24 
3. FortiGate接口配置
  1. WAN口配置
    • 进入网络→接口,编辑对应接口
    • 角色:WAN
    • IP地址:192.168.20.43/24
  2. LAN口配置
    • 进入网络→接口,编辑对应接口
    • 角色:LAN
    • IP地址:172.16.30.1/24
3. 静态路由配置
  1. 进入网络→静态路由→新建
  2. 配置参数:
    • 目的地IP:0.0.0.0/0(默认路由)
    • 接口:WAN口
    • 网关:192.168.20.1(运营商网关)
    • 管理距离:10(默认)
    • 优先级:1(默认)
4. 地址资源配置
  1. 进入策略&对象→地址→新建
  2. 创建内网地址对象:
    • 名称:lan
    • 类型:接口子网
    • IP/网络掩码:172.16.30.0/24
5. 防火墙策略配置
  1. 进入策略&对象→防火墙策略→新建
  2. 配置参数:
    • 流入接口:LAN
    • 源地址:lan(刚创建的地址对象)
    • 流出接口:WAN
    • 目的地址:all
    • 服务:ALL
    • NAT:启用
    • 日志:按需启用(会消耗资源)
6. 验证配置
  1. 将内网设备IP设置为172.16.30.2/24
  2. 网关设置为172.16.30.1(FortiGate LAN口)
  3. 测试互联网访问是否正常

五、注意事项

  1. 生产环境建议购买正式许可证以解除功能限制
  2. 定期检查并更新系统版本
  3. 复杂网络环境建议参考官方文档:
  4. 试用版仅适用于测试环境,有严格的资源限制
  5. 配置变更后建议备份配置

六、常见问题

Q: 无法激活试用许可证怎么办?
A: 确保使用有效的FortiCare账号,每个账号只能激活一次试用。

Q: 内网无法上网如何排查?
A: 检查步骤:

  1. 内网设备能否ping通LAN口(172.16.30.1)
  2. FortiGate能否ping通WAN网关(192.168.20.1)
  3. 检查防火墙策略是否正确配置
  4. 确认NAT已启用