[建立服務類別]
(1)、登入系統

注解說明：輸入帳號及密碼登入防火牆

(2)、切換至「網路服務類別」物件設定模式
指令如下：
config firewall service category

注解說明：開始網路服務類別設定

(3)、新增「網路服務類別」
指令如下：
edit “ailog.tw”

注解說明：本範例新增了一個名稱為「ailog.tw」的類別

(4)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(5)、離開「網路服務類別」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的類別物件則輸入「next」，要結束類別設定則輸入「end」。

[建立網路服務物件](一)
(1)、切換至「網路服務」物件設定模式
指令如下：
config firewall service custom

注解說明：開始網路服務物件設定

(2)、新增「網路服務」物件
指令如下：
edit “Synology-Drive”
set category “ailog.tw”
set tcp-portrange 5000-5001

注解說明：本範例新增了一個名稱為「Synology-Drive」的網路服務，並將類別設定為「ailog.tw」，並定義採用「TCP」協定，服務埠(Port)則為5000與5001兩個。

(3)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(4)、離開「網路服務」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的網路服務物件則輸入「next」，要結束類別設定則輸入「end」。

[建立網路服務物件](二)
(1)、切換至「網路服務」物件設定模式
指令如下：
config firewall service custom

注解說明：開始網路服務物件設定

(2)、新增「網路服務」物件
指令如下：
edit “tomcat”
set category “ailog.tw”
set tcp-portrange 8080

注解說明：本範例新增了一個名稱為「tomcat」的網路服務，並將類別設定為「ailog.tw」，並定義採用「TCP」協定，服務埠(Port)則為8080。

(3)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(4)、離開「網路服務」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的網路服務物件則輸入「next」，要結束類別設定則輸入「end」。

[建立網路服務群組物件]
(1)、切換至「網路服務群組」物件設定模式
指令如下：
config firewall service group

注解說明：開始網路服務群組物件設定

(2)、設定「網路服務群組」物件
指令如下：
edit “Ailog.tw-Service”
set member “Synology-Drive” “tomcat”

注解說明：本範例新增了一個名稱為「Ailog.tw-Service」的網路服務群組，並定義群組內包含了「Synology-Drive」、「tomcat」這兩個服務。

(3)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(4)、離開「網路服務群組」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的網路服務群組物件則輸入「next」，要結束類別設定則輸入「end」。

介紹的內容為
透過web管理畫面：
(1)、建立服務類別
(2)、建立網路服務物件
(3)、建立網路服務群組物件

[建立服務類別]
(1)、登入系統

(2)、切換至「網路服務」物件設定畫面
點選「Policy & Objects」→「Services」

(3)、新增「網路服務」類別
點選「Create New」→「Category」

(4)、設定「網路服務」類別
Name：輸入自訂的類別名稱，本範例輸入「ailog.tw」做為新增的類別名稱，接著點選「OK」完成設定步驟。

Comments：輸入類別名稱的注解，方便識別類別用途。

(5)、查看設定狀態
返回類別列表畫面可以看見剛剛新增的「ailog.tw」在列表中，代表已順利新增「網路服務」類別。

[建立網路服務物件]
(1)、新增「網路服務」物件
點選「Create New」→「Service」

(2)、設定「網路服務」物件
Name：輸入自訂的服務物件名稱，建議採用有識別性的名稱，方便日後操作識別用，本範例輸入Synology-Drive。

Show in Service List：是否顯示在「網路服務」清單，有些情境會透過該設定來隱藏「網路服務」不顯示在設定的候選清單內，避免干擾設定、增加選取「網路服務」的複雜度，但通常都還是採用預設的顯示設定狀態。

Category：類別選取前一步驟所新增的「ailog.tw」
※ailog.tw為本範例的類別名稱，請網友們輸入適當的名稱。

Destination Port：挑選協定類型「TCP」、「UDP」、「SCTP」，並輸入要定義的服務埠，本範例採用TCP協定的5000~5001兩個服務埠。

輸入以上資訊後接著點選「OK」完成新增「網路服務」物件新增的步驟。

(3)、確認「網路服務」物件狀態
在網路服務列表中可以看見剛剛新增的物件。

(4)、下圖是新增第二個網路服務物件範例。
該範例中名稱定義為「tomcat」，「顯示」在網路服務物件的候選清單內，類別定義在「ailog.tw」，採用TCP協定的8080埠。

[建立網路服務群組物件]
(1)、建立「網路服務群組」物件
點選「Create New」→「Service Group」

(2)、設定「網路服務群組」物件
Group Name：輸入自訂的服務群組物件名稱，建議採用有識別性的名稱，方便日後操作識別用，本範例輸入Ailog.tw-Service。

Comments：輸入類別名稱的注解，方便識別類別用途。

Color：設定「服務群組」物件的顯示顏色。

Members：設定要綑綁在一起的服務。

(3)、選取要綑綁在一起的服務
在網路服務物件列表清單中，選取要綑綁的服務物件項目。

(4)、選取服務完成畫面
本範例選取了「Synology-Drive」及「tomcat」

(5)、完成「網路服務群組」物件
點選「OK」完成「網路服務群組」物件新增步驟

(6)、確認「網路服務群組」物件狀態
在網路服務列表中可以看見剛剛新增的「網路服務」及「網路服務群組」物件。

介紹的內容為
透過Console的Command指令模式：
(1)、建立IP型態的網路位址物件
(2)、建立FQDN型態的網路位址物件
(3)、建立IP範圍區段的網路位址物件
(4)、建立國家地區型態的網路位址物件
(5)、建立網路位址群組

一、登入系統

二、切換至網路位址物件設定模式
輸入「config firewall address」接著按下enter送出指令，即可進入網路位址物件設定模式。

三、新增網路位址物件
(1)、建立IP型態的「網路位址」物件
a.輸入「edit “TW-Yahoo-IP”」接著按下enter送出指令，即可產生一個名稱為「TW-Yahoo-IP」的「網路位址」物件。

b.輸入「set subnet 180.222.102.201 255.255.255.255」接著按下enter送出指令，即可定義該物件IP位址為「180.222.102.201 255.255.255.255」。

c.輸入「set associated-interface “wan1″」接著按下enter送出指令，即可定義該物件的網路介面綁定為wan1。

d.輸入「set comment “台灣Yahoo網頁IP”」接著按下enter送出指令，即可定義該物件的注解為「台灣Yahoo網頁IP」，在Conosle畫面輸入中文會有亂碼畫面，但只要是採用UTF-8編碼是不影響設定結果。
※在Console輸入中文的技巧為，先把要設定的指令在筆記本輸入好後再將指令複製進Console

e.輸入「show」接著按下enter送出指令，即可查看設定結果

f.輸入「next」接著按下enter送出指令，即可接續設定下一個「網路位置」物件

(2)、建立FQDN型態的「網路位址」物件
a.輸入「edit “TW-Yahoo-FQDN”」接著按下enter送出指令，即可產生一個名稱為「TW-Yahoo-FQDN」的「網路位址」物件。

b.輸入「set type fqdn」接著按下enter送出指令，即可定義該物件的型態為FQDN。

c.輸入「set fqdn “tw.yahoo.com”」接著按下enter送出指令，即可定義該物件fqdn位址為「tw.yahoo.com」。

d.輸入「set associated-interface “wan1″」接著按下enter送出指令，即可定義該物件的網路介面綁定為wan1。

e.輸入「set comment “台灣Yahoo網頁Doamin Name”」接著按下enter送出指令，即可定義該物件的注解為「台灣Yahoo網頁Doamin Name」，在Conosle畫面輸入中文會有亂碼畫面，但只要是採用UTF-8編碼是不影響設定結果。
※在Console輸入中文的技巧為，先把要設定的指令在筆記本輸入好後再將指令複製進Console

f.輸入「show」接著按下enter送出指令，即可查看設定結果

g.輸入「next」接著按下enter送出指令，即可接續設定下一個「網路位置」物件

(3)、建立IP範圍區段的網路位址
a.輸入「edit “Home-1F-Range”」接著按下enter送出指令，即可產生一個名稱為「Home-1F-Range」的「網路位址」物件。

b.輸入「set type iprange」接著按下enter送出指令，即可定義該物件的型態為IP範圍區段。

c.輸入「set start-ip 192.168.1.1」接著按下enter送出指令，即可定義該物件的起始IP為「192.168.1.1」。

d.輸入「set end-ip 192.168.1.30」接著按下enter送出指令，即可定義該物件的結束IP為「192.168.1.30」。

e.輸入「set associated-interface “internal”」接著按下enter送出指令，即可定義該物件的網路介面綁定為內部網路的internal。

f.輸入「set comment “家裡1樓所使用IP範圍”」接著按下enter送出指令，即可定義該物件的注解為「家裡1樓所使用IP範圍」，在Conosle畫面輸入中文會有亂碼畫面，但只要是採用UTF-8編碼是不影響設定結果。
※在Console輸入中文的技巧為，先把要設定的指令在筆記本輸入好後再將指令複製進Console

g.輸入「show」接著按下enter送出指令，即可查看設定結果

h.輸入「next」接著按下enter送出指令，即可接續設定下一個「網路位置」物件

(4)、建立國家地區型態的網路位址
a.輸入「edit “Taiwan”」接著按下enter送出指令，即可產生一個名稱為「Taiwan」的「網路位址」物件。

b.輸入「set type geography」接著按下enter送出指令，即可定義該物件的型態為國家地區。

c.輸入「set country “TW”」接著按下enter送出指令，即可定義該物件的國家地區為「Taiwan」。

d.輸入「set associated-interface “wan1″」接著按下enter送出指令，即可定義該物件的網路介面綁定為外部網路的wan1。

e.輸入「set comment “台灣來源IP”」接著按下enter送出指令，即可定義該物件的注解為「台灣來源IP」，在Conosle畫面輸入中文會有亂碼畫面，但只要是採用UTF-8編碼是不影響設定結果。
※在Console輸入中文的技巧為，先把要設定的指令在筆記本輸入好後再將指令複製進Console

f.輸入「show」接著按下enter送出指令，即可查看設定結果

g.輸入「next」接著按下enter送出指令，即可接續設定下一個「網路位置」物件

四、離開網路位址物件設定模式
輸入「end」接著按下enter送出指令，即可離開網路位址物件設定模式

五、切換至網路位址群組物件設定模式
輸入「config firewall addrgrp」接著按下enter送出指令，即可進入網路位址群組物件設定模式。

六、新增網路位址群組物件
(1)、輸入「edit “Yahoo-WEB”」接著按下enter送出指令，即可產生一個名稱為「Yahoo-WEB」的「網路位址群組」物件。

(2)、輸入「set member “TW-Yahoo-FQDN” “TW-Yahoo-IP”」接著按下enter送出指令，即可將「TW-Yahoo-FQDN」與「TW-Yahoo-IP」這兩個網路位址物件綁定在該群組。

(3)、輸入「set comment “台灣YAHOO網頁”」接著按下enter送出指令，即可定義該物件的注解為「台灣YAHOO網頁」，在Conosle畫面輸入中文會有亂碼畫面，但只要是採用UTF-8編碼是不影響設定結果。
※在Console輸入中文的技巧為，先把要設定的指令在筆記本輸入好後再將指令複製進Console

(4)、輸入「show」接著按下enter送出指令，即可查看設定結果

(5)、輸入「next」接著按下enter送出指令，即可接續設定下一個「網路位置群組」物件

六、離開網路位址群組物件設定模式
輸入「end」接著按下enter送出指令，即可離開網路位址群組物件設定模式

介紹的內容為
透過web管理畫面：
(1)、建立IP型態的網路位址物件
(2)、建立FQDN型態的網路位址物件
(3)、建立IP範圍區段的網路位址物件
(4)、建立國家地區型態的網路位址物件
(5)、建立網路位址群組

[web管理畫面]
(1)、登入系統

(2)、切換至網路位址物件設定畫面
點選「Policy & Objects」→「Addresses」

(2)、新增網路位址物件
點選「Create New」→「Address」

(3)、網路位址設定畫面功能介紹
Name：定義「網路位址」物件的名稱，方便日後引用的識別性。
Color：設定「網路位址」物件的顯示顏色。

Type：定義「網路位址」物件的型態，共有下列5種類型。
(a)、FQDN：Domain Name的定義方式(例如：tw.yahoo.com)。

(b)、Geography：國家地區(例如：Taiwan)。

(c)、IP Range：IP範圍區段(例如：192.168.1.1-192.168.1.254)。

(d)、Subnet：單一IP(例如：192.168.1.1/32)或是網段(例如：192.168.1.0/24)。

(e)、Fabric Connector Address：SDN(Software-Defined Networking，軟體定義網路)，支援下列廠商。
●Application Centric Infrastructure (ACI)
●Amazon Web Services (AWS)
●Microsoft Azure
●VMware NSX
●Nuage Virtualized Services Platform
●Oracle Cloud Infrastructure (OCI)
●OpenStack (Horizon)
●Google Cloud Platform (GCP)

Interface：定義「網路位址」物件所屬介面，當「網路位址」定義在某個介面上，在其他介面就看不到該「網路位址」，通常會用來區分內部網路及外部網路「網路位址，避免再設定防火牆規則時誤選「網路位址」，預設有下列6種介面。
(a)、Internal：內部網路介面。
(b)、SSL-VPN：SSL VPN介面。
(c)、dmz：非軍事區域介面。
(d)、wan1：外部網路介面1
(e)、wan2：外部網路介面2
(f)、any：不限制綁定在任何介面。

Show in Address List：是否顯示在「網路位址」清單，有些情境會透過該設定來隱藏「網路位址」不顯示在候選設定清單內，避免干擾設定、增加選取「網路位址」的複雜度，但通常都還是採用預設的顯示設定狀態。

Static Route Configuration：顯示在靜態路由的「網路位址」候選清單。

Comments：定義「網路位址」物件的注釋說明，用途跟「Name」有異曲同工之處，但這個欄位可以輸入的字元較無限制，可以更清楚的紀錄該「網路位址」的用途。

Tag：定義「網路位址」物件的標籤，當設定值很多時，可以透過標籤的屬性來快速區分，但在實務上小編還沒遇過這樣複雜的狀況，需要透過標籤來分類。

(4)、建立IP型態的「網路位址」物件
Name：輸入「TW-Yahoo-IP」方便在選取「網路位址」時快速辨別。
Type：選擇「Subnet」
Subnet / IP Range：輸入IP或網段位址，本範例輸入「180.222.102.201」。
Interface：選擇「wan1」
Comments：輸入注解說明，本範例輸入「台灣Yahoo網頁IP」。

(5)、建立FQDN型態的網路位址
Name：輸入「TW-Yahoo-FQDN」方便在選取「網路位址」時快速辨別。
Type：選擇「FQDN」
FQDN：本範例輸入「tw.yahoo.com」。
Interface：選擇「wan1」
Comments：輸入注解說明，本範例輸入「台灣Yahoo網頁Doamin Name」。

(6)、建立IP範圍區段的網路位址
Name：輸入「Home-1F-Range」方便在選取「網路位址」時快速辨別。
Type：選擇「 IP Range」
Subnet / IP Range：本範例輸入「192.168.1.1-192.168.1.30」。
Interface：選擇「Internal」
Comments：輸入注解說明，本範例輸入「家裡1樓所使用IP範圍」。

(7)、建立國家地區型態的網路位址
Name：輸入「Taiwan」方便在選取「網路位址」時快速辨別。
Type：選擇「 Geography」
Country/Region：本範例輸入「Taiwan」。
Interface：選擇「wan1」
Comments：輸入注解說明，本範例輸入「台灣來源IP」。

(8)、建立網路位址群組物件
點選「Create New」→「Address Group」

Group Name：輸入「Yahoo-WEB」方便在選取「網路位址群組」時快速辨別。
Members：選取想要綁定在一起的「網路位址」，本範例選取了「TW-Yahoo-FQDN」、「TW-Yahoo-IP」。
Comments：輸入注解說明，本範例輸入「台灣YAHOO網頁」。

介紹的內容為
透過web管理畫面：
(1)、設定路由(設定預設閘道)

透過Console的Command指令模式：
(1)、設定路由(設定預設閘道)

[web管理畫面]
(1)、登入系統

(2)、切換至路靜態由設定畫面
點選「Network」→「Static Routes」

(3)、新增路由
點選「Create New」產生新的靜態路由規則

(4)、預設閘道(預設路由)設定
取消「Dynamic Gateway」動態路由選項，接著在Destination選擇「Subnet」並且輸入「0.0.0.0/0.0.0.0」，在Gateway Address輸入「140.116.8.254」，並在Interface欄位挑選之前設定Wan IP的介面，本範例是挑選wan1，最後點選「OK」結束路由新增設定步驟。

※140.116.8.254為本範例的預設閘道IP，該欄位請輸入適當的IP，該IP通常是申請、配發取得，不可任意設定。

(5)、查看路由狀態
新增路由完畢後，返回路由設定畫面即可看見剛剛新增的路由設定。

[Console的Command指令模式]
(1)、登入系統

(2)、切換至路靜態由設定模式
輸入「config router static」接著按下enter送出指令，即可進入靜態路由設定模式。

(3)、新增路由
輸入「edit 1」接著按下enter送出指令，設備初始值是沒有靜態路由設定的，因此新增第一筆設定。

(4)、預設閘道(預設路由)設定
輸入「set gateway 140.116.8.254」接著按下enter送出指令，將預設閘道IP設定為140.116.8.254(該IP為本範例IP)。
輸入「set device “wan1″」接著按下enter送出指令，將預設閘道IP套用在wan1介面上。

(5)、查看路由設定
輸入「show」接著按下enter送出指令，即可查看目前的路由設定

(6)、輸入「end」接著按下enter送出指令，即可離開路由設定模式

介紹的內容為
透過web管理畫面：
(1)、設定Wan端固定IP

透過Console的Command指令模式：
(1)、設定Wan端固定IP

(1)、登入系統

(2)、進入網路介面設定選單
點選「Network」→「Interfaces」

(3)、進入編輯網路介面模式
點選「wan1」→「Edit」

(4)、設定Wan介面連線資訊
在Addressing mode選項中點選「Manual」，接著在IP/Network Mask後方輸入Wan端所配發的固定IP，最後點選「OK」完成介面IP設定。

※Wan端IP通常都是申請、配發所取得，不是自己想設定多少就可以用的IP，例如中華電信只配發了3個IP可用，那設定時就只能從配發的IP擇一來設定。

[Console的Command指令模式]
(1)、登入系統

(2)、編輯介面設定
輸入「config system interface」接著按下enter送出指令，即可進入網路介面編輯模式

(3)、查看目前介面設定狀態
輸入「show」接著按下enter送出指令，即可查看所有介面設定，從其中可以看到目前的Wan介面名稱為「Wan1」

(4)、進入Wan介面設定模式
輸入「edit wan1」接著按下enter送出指令，即可進入Wan介面設定模式
※wan1為本範例情境的wan介面名稱

(5)、設定Wan介面連線資訊
輸入「set mode static」接著按下enter送出指令，將連線模式變更為固定IP模式。
輸入「set ip 140.116.8.121 255.255.255.0」接著按下enter送出指令，設定介面IP為140.116.8.121(該IP為本範例IP)。

(6)、檢查介面是否有順利變更
輸入「show」接著按下enter送出指令，即可查看介面目前的設定

(7)、離開介面設定模式
輸入「end」接著按下enter送出指令，即可離開介面設定模式

介紹的內容為
透過web管理畫面：
(1)、設定Wan端PPPoE撥號連線、查看連線後的IP

透過Console的Command指令模式：
(1)、設定Wan端PPPoE撥號連線、查看連線後的IP

[web管理畫面]
(1)、登入系統

(2)、進入網路介面設定選單
點選「Network」→「Interfaces」

(3)、進入編輯網路介面模式
點選「wan1」→「Edit」

(4)、設定Wan介面連線資訊
在Addressing mode選項中點選「PPPoE」，接著在Username輸入PPPoE的連線帳號(本範例為中華電信的連線帳號「75685222@hinet.net」)，Password則輸入PPPoE的連線密碼(本範例為中華電信的連線密碼)，最後點選「OK」完成設定。

※如需撥接取得固定IP，可以使用取得固定IP方式的撥接帳號格式，但得事先申請，申請方式可以參考小編另一篇文章「申請中華電信撥接式固定IP(免費固定IP)」
https://ailog.tw/lifelog/2021/01/02/hinet-freeip/

(5)、查詢PPPoE連線後的IP資訊
回到網路介面列表頁面，即可查詢到Wan端PPPoE連線後的IP資訊

[Console的Command指令模式]
(1)、登入系統

(2)、編輯介面設定
輸入「config system interface」接著按下enter送出指令，即可進入網路介面編輯模式

(3)、查看目前介面設定狀態
輸入「show」接著按下enter送出指令，即可查看所有介面設定，從其中可以看到目前的Wan介面名稱為「Wan1」

(4)、進入Wan介面設定模式
輸入「edit wan1」接著按下enter送出指令，即可進入Wan介面設定模式
※wan1為本範例情境的wan介面名稱

(5)、設定Wan介面PPPoE連線資訊
輸入「set mode pppoe」接著按下enter送出指令，將連線模式變更為PPPoE模式。
輸入「set username “75685222@hinet.net”」接著按下enter送出指令，設定PPPoE連線帳號資訊。
輸入「set password cht123456789」接著按下enter送出指令，設定PPPoE連線密碼資訊。

(6)、檢查介面是否有順利變更
輸入「show」接著按下enter送出指令，即可查看介面目前的設定

(7)、離開介面設定模式
輸入「end」接著按下enter送出指令，即可離開介面設定模式

(8)、查詢PPPoE連線後的IP資訊
輸入「get system interface」接著按下enter送出指令，即可查詢到Wan端PPPoE連線後的IP資訊

透過Console的Command指令模式：
(1)、變更Lan端IP、設定DHCP Server

[web管理畫面]
(1)、登入系統

(2)、進入網路介面設定選單
點選「Network」→「Interfaces」

(3)、進入編輯網路介面模式
點選「internal」→「Edit」

(4)、設定Lan介面IP
「Address」段落裡，在「IP/Network Mask」後方的欄位，將IP變更成你所需要的IP，本範例將原本的192.168.1.99/255.255.255.0變更為192.168.250.254/255.255.255.0

(5)、設定DHCP Server
啟動「DHCP Server」選項(預設是啟動的)，並點選目前的IP區段(本範例為192.168.1.110)，接著點選「Edit」進行編輯。

(6)、變更DHCP Server配發IP的區段
本範例設定為192.168.250.1 ~ 192.168.250.50
※該區段必須與Lan介面IP同一網段

(7)、變更DHCP Server所配發的DNS Server IP
點選「Specify」，接著在後方輸入所要配發的DNS Server IP，本範例設定為「192.168.1.1,8.8.8.8」，最後點選「OK」完成設定
※DNS IP超過一個時，請用「,」符號隔開。

(8)、驗證IP是否順利變更
完成設定後，將電腦IP變更為跟Lan介面IP同一網段，並透過ping 指令測試一下是否可以順利連線。
※192.168.250.254為本範例Lan IP，請自行變更正確的IP

[Console的Command指令模式]
(1)、登入系統

(2)、編輯介面設定
輸入「config system interface」接著按下enter送出指令，即可進入網路介面編輯模式

(3)、查看目前介面設定狀態
輸入「show」接著按下enter送出指令，即可查看所有介面設定，從其中可以看到目前的Lan介面名稱為「internal」，而IP為「192.168.1.99 255.255.255.0」

(4)、進入Lan介面設定模式
輸入「edit internal」接著按下enter送出指令，即可進入Lan介面設定模式
※internal為本範例情境的Lan介面名稱

(5)、查看Lan介面目前設定狀態
輸入「show」接著按下enter送出指令，即可查看LAN介面目前的設定

(6)、變更Lan介面IP
輸入「set ip 192.168.250.254 255.255.255.0」接著按下enter送出指令，即可將目前介面IP變更為「192.168.250.254 255.255.255.0」

(7)、檢查介面IP是否有順利變更
輸入「show」接著按下enter送出指令，即可查看LAN介面目前的設定

(8)、離開介面設定模式
輸入「end」接著按下enter送出指令，即可離開介面設定模式

(9)、進入DHCP Server設定模式
輸入「config system dhcp server」接著按下enter送出指令，即可進入DHCP Server設定模式

(10)、查看DHCP Server目前設定
輸入「show」接著按下enter送出指令，即可查看DHCP Server目前設定
※由下圖可以查到Lan介面(internal)的DHCP設定在編號「 1 」裡

(11)、進入Lan介面的DHCP Server設定模式
輸入「edit 1」接著按下enter送出指令，即可進入Lan介面的DHCP Server設定模式

(12)、設定DHCP配發IP時的預設閘道IP
輸入「set default-gateway 192.168.250.254」接著按下enter送出指令，即可將DHCP配發IP時的預設閘道IP定義為「192.168.250.254」

(13)、設定DHCP配發IP區間
依序輸入下列指令，即可將配發的IP區段設定為「192.168.250.1 ~ 192.168.250.50」
指令：
config ip-range
edit 1
set start-ip 192.168.250.1
set end-ip 192.168.250.50
next

(14)、設定DHCP配發的DNS主機IP
依序輸入下列指令，即可離開DHCP設定IP區段模式，並將配發的DNS IP設定為「168.95.1.1及8.8.8.8」
指令：
end
set dns-service specify
set dns-server1 168.95.1.1
set dns-server2 8.8.8.8
next

(15)、檢查DHCP Server設定
輸入「show」接著按下enter送出指令，即可查看DHCP Server目前設定

(16)、離開DHCP Server設定模式
輸入「end」接著按下enter送出指令，即可離開DHCP Server設定模式

(20)、驗證IP是否順利變更
完成設定後，將電腦IP變更為跟Lan介面IP同一網段，並透過ping 指令測試一下是否可以順利連線。
※192.168.250.254為本範例Lan IP，請自行變更正確的IP

一、透過CONSOLE登入
這種登入方式最為普及，各種網路設備通常也都使用該方式登入管理介面，但使用該方法還需要「RS232」線材及「CONSOLE軟體」的配合，所以對一般的使用者可能就不太適合，稍後會介紹另一種比較適合一般使用者的登入方式。

※「RS232」線材及「CONSOLE軟體」，可以參考小編的另一篇文章介紹：
Console連線軟體Tera Term

(1)、將FortiGate設備插上電源及CONSOLE線。

(2)、開啟Tera Term軟體進行連線(預設的介面位元速率為9600)
預設帳號為admin，密碼無須輸入，直接按下Enter即可登入。

二、透過網頁模式登入
(1)、確認介面
在沒有管理Port(MGMT)的型號：LAN Port 介面預設IP為192.168.1.99
在有管理Port(MGMT)的型號：MGMT Port 介面預設IP為192.168.1.99

因此只要將您電腦的IP設定為192.168.1.1~254(最後面數字取1~254任一個數字即可，但不可以設定為192.168.1.99，因為該IP為FortiGate防火牆的預設IP)，接著用網路線將您的電腦與防火牆的MGMT Port或LAN Port對接即可。

※有MGMT Port優先將網路線接在MGMT Port，無MGMT Port則接在LAN Port。

※FortiGate防火牆的MGMT Port或LAN Port，可以參考之前「硬體介紹」
https://ailog.tw/lifelog/2020/12/31/fortigate-hardware/

(2)、設定電腦端的IP
下圖為小編電腦的IP設定，設定為192.168.1.100。

(3)、測試與FortiGate防火牆的連線是否正常
安裝好網路線後，建議先在電腦端用ping指令測試一下，與FortiGate防火牆的連線是否正常。
指令如下：
ping 192.168.1.99

(4)、透過瀏覽器與FortiGate防火牆連線
在網址列輸入「https://192.168.1.99」

(5)、憑證告警畫面
由於設備的預設憑證是設備的私有憑證，並非是第三方簽證的有效憑證，因此會有下圖告警。
點擊「進階」→「接受風險並繼續」即可看到設備的登入畫面

(6)、登入系統
預設帳號為admin，密碼無須輸入(預設為無密碼)，點選「Login」進行登入。

(7)、變更密碼提示畫面
由於密碼還是預設的空白密碼，因此會有提示要變更密碼的畫面，這畫面可以點選「Later」略過設定，稍後我們在介紹在哪一邊維護管理者帳號與密碼。

(8)、下圖為順利登入系統後的畫面

本範例使用Fortigate與Google Cloud Platform建立IPSec VPN。

步驟一：準備相關資訊
(1)、Google Cloud Platform平台建立VPN時，所產生的真實IP位址。
(2)、Google Cloud Platform平台建立VPN時，所產生的IKE金鑰。
(3)、Google Cloud Platform平台建立VPN時，選擇區域後的相對內部虛擬網段。
(4)、Fortigate的外部IP位址。
(5)、公司內部IP網段。

步驟二：登入Google Cloud Platform平台建立VPN連線相關設定
(1)、點選「混合式連線」→點選「VPN」

(2)、點選「建立VPN連線」

(3)、點選「傳統VPN」

(4)、輸入VPN相關資訊(phase 1)
名稱：
輸入phase 1連線名稱，不重複即可。

網路：
除非必要不然別更改預設值，直接選default。

地區：
請與VM主機選擇同一區，asia-east1為台灣地區。

IP位址：
請建立真實IP位址，並記錄下該資訊，稍後設定Fortigate VPN時會需要該資訊。

(5)、輸入VPN相關資訊(phase 2)
名稱：
輸入phase 2連線名稱，不重複即可。
遠端對等互連IP位址：輸入Fortigate WAN端真實IP(也就是要進行VPN連線的真實IP)。

IKE版本：
必須與對接的防火牆一致，本版範例選擇IKEv1版本。

IKE預先共用金鑰：
點「選產生並複製」，小編極力推薦用這個步驟用系統來產生金鑰確保金鑰的複雜度，提升資訊安全管控。

遠端網路IP範圍：
輸入要與公司內部網路連線的網段，該範例輸入192.168.0.0/16，這部份請依據自己的需求變更。

本機子網路IP範圍：
除非必要不然別更改預設值，直接選default。

接著點選「完成」→「建立」來完成GCP的VPN設定。

步驟三：登入Fortigate建立VPN連線相關設定
(1)、點選「VPN」→「IPsec隧道」

(2)、輸入VPN相關資訊(phase 1)
用戶名：
輸入phase 1連線名稱，不重複即可。

範本類型：
點選「自訂」

點選「下一步」進行下一步驟

遠程網路閘：
選擇「靜態IP地址」

IP地址：
輸入在步驟二之(4)在GCP平台所產生的真實IP

介面：
選擇Fortigate要進行VPN連線的Wan端介面，該範例為Wan01。

認證方式：
點選「預共享密鑰」

預共享密鑰：
輸入在步驟二之(5)GCP平台所產生的「IKE預先共用金鑰」

IKE：
該選項必須與GCP平台設定一致，本範例選擇「1」

模式：
選擇「主動模式(ID保護)」

phase 1加密：
選擇「AES128」

phase 1認證：
選擇「SHA1」

Diffie-Hellman群組：
點選「2」

密碼週期(秒)：
輸入「36600」

(3)、輸入VPN相關資訊(phase 2)
用戶名：
輸入phase 2連線名稱，不重複即可

本地位址：
輸入要與公司內部網路連線的網段，該範例輸入192.168.0.0/16，這部份請依據自己的需求變更。

遠端地址：
輸入步驟二之(5)GCP平台「本機子網路IP範圍」的IP網段。

phase 2加密：
選擇「AES128」

phase 2認證：
選擇「SHA1」

Diffie-Hellman群組：
點選「2」

自動協商：
勾選

密碼週期(秒)：
輸入「10800」

點選「確定」完成VPN設定

步驟四：新增靜態路由
(1)、點選「網路」→點選「靜態路由」。

(2)、點選「+新建」進行靜態路由新增。

輸入「目的網段」資訊：
該數值則為步驟二之(5)GCP平台「本機子網路IP範圍」的IP網段。

介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

狀態：
已啟用

點選「確定」完成靜態路由設定步驟。

步驟五：設定防火牆政策規則(公司內部網路To GCP內部網路)
(1)、點選「政策&物件」→「IPv4政策」

(2)、點選「+新建」進行防火牆政策規則新增。

用戶名：
輸入不重複的防火牆政策名稱即可。

進入介面：
該介面為公司的內部網路介面，本範例為IDC_LAN。

出去介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

來源：
all，本範例採來源IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定來源IP。

目的：
all，本範例採目的IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定目的IP。

服務：
all，本範例採服務全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定服務項目。

啟動這個政策：
開啟政策

點選「確定」，完成「公司內部網路」連線到「GCP雲端內部網路」的防火牆政策規則設定。

步驟六：設定防火牆政策規則(GCP內部網路 To 公司內部網路)
(1)、點選「政策&物件」→「IPv4政策」

(2)、點選「+新建」進行防火牆政策規則新增。

用戶名：
輸入不重複的防火牆政策名稱即可。

進入介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

出去介面：
該介面為公司的內部網路介面，本範例為IDC_LAN。

來源：
all，本範例採來源IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定來源IP。

目的：
all，本範例採目的IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定目的IP。

服務：
all，本範例採服務全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定服務項目。

點選「確定」，完成「GCP雲端內部網路」連線到「公司內部網路」的防火牆政策規則設定。

步驟七：檢查VPN連線狀態
點選「VPN」→「IPsec隧道」

如下圖顯示，代表與GCP完成VPN連線。