一、FortiGate防火牆預設支援進行認證的服務Port

二、透過「Console或SSH」登入防火牆

三、新增自訂服務port
(1)、進入使用者設定模式 (User Setting)

config user setting

(2)、進入認證埠號設定 (Auth-Ports)

config auth-ports

(3)、新增一個設定，指定您的自訂埠號

edit 1
set type http
set port 20001
next

※如果該服務是https，則設定「set type https」

(4)、在防火牆規則中，使用對應的服務port並且設定需要帳號認證，即可順利啟用

FortiGate的FortiOS隨著功能越來越強大，韌體檔案跟所使用的硬體資源也越來越大，因此記憶體較小的機種從7.4.1韌體版本連功能都開始被閹割了。

FortiGate不採計授權人數的SSL VPN功能，相信是大家相當喜歡的一個功能，但該SSL VPN功能是不支援硬體加速的，因此可連線多少人是完全依賴硬體的效能，因此記憶體較小的機種，從韌體7.4.1開始預設會將SSL VPN關閉，但如果升級前就已啟動SSL VPN的話，會保持可運作。

FortiOS 7.4.1韌體開始，預設只能看的到IPsec VPN功能。

升級韌體後功能表現：

原廠手冊說明：
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/233856/update-ssl-vpn-default-behavior-and-visibility-in-the-gui-7-4-1

但如果還是需要SSL VPN功能，還是可以透過指令模式開啟該功能的，請參考下列方式進行：

啟用[網頁功能選項]顯示，在console或SSH模式下輸入以下指令語法：

config system settings
set gui-sslvpn disable
end

啟用[SSL VPN Web模式]，在console或SSH模式下輸入以下指令語法：

config system global
set sslvpn-web-mode disable
end

執行以上兩個指令後，SSL VPN就完全開啟瞜。

但在畫面上依然有奉勸各位，盡早放棄SSL VPN改用IPsec或ZTNA才是長久之計，不知道是針對小記憶體的機種，還是Fortinet已經修補SSL VPN的CVE漏洞修到心累了呢?

FortiGate硬體2G記憶體的機種有：
FortiGate/FortiWiFi 40F、60E 、60F、80E 和 90E(包含同機種系列，例如4G GSM版本或內建硬碟的61F版本)

怎麼檢查設備記憶體大小：
請參考小編其他的文章說明~
https://ailog.tw/lifelog/2025/01/18/fortigate-route-max/

官方文件：
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/291852/memory-usage-reduced-on-fortigate-models-with-2-gb-ram-7-4-2

那被拿掉的功能有哪些呢?

官方文件說明：
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/519079/proxy-related-features-no-longer-supported-on-fortigate-2-gb-ram-models-7-4-4

總之網友們要升級7.4.4版本時務必先了解目前有用到那些Proxy模式的防護功能，避免升級上去後防護結果不如原本的規劃。

官網FortiOS max value參考：
https://docs.fortinet.com/max-value-table

FortiOS是採用ZebOS路由引擎，因此無硬體上的限制，決於硬體可用的系統記憶體 ，因此當有較多的動態路由學習的情境，記得要規劃大台一點的設備。

[查看FortiGate硬體有多少記憶體]
在console或SSH模式下輸入以下指令語法：

diagnose hardware sysinfo conserve

範例圖示：
本範例中的設備硬體具有8G的記憶體

[查看系統目前剩下多少記憶體可用]
在console或SSH模式下輸入以下指令語法：

get hardware memory

範例圖示：

本範例中大約還有4.8G的記憶體可用。

EOO(End of Order Date)：
中止接受訂單日期，不過這是原廠的日期，通常SI或代理商會把日期往前推，避免遇到無法出貨的狀況。

LSED(Last Service Extension Date)：
最後服務展延日期，指的是如果有購買維護合約這是日期是最後可以下單的日期，且購買的延伸保固服務日期不得超過EOS日期。

EOS(End of Support Date)：
產品服務中止日期，也就是宣告這個產品的中止了，如果遇到設備故障或有Bug，那就只能重新採購新產品而無法得到相關服務了。

FortiGate防火牆設備產品生命週期(2022-10-15更新)
※如資訊有誤以原廠資訊為主

原廠產品生命週期查詢網頁(需要登入帳號才可查詢)
https://support.fortinet.com/Information/ProductLifeCycle.aspx

一、情境說明
(1)、IDC及DR兩端各有一台Fortigate防火牆，設備韌體均採用6.4.4(1803)，希望透過VPN VXLAN技術，讓分隔兩端的網路形成一個虛擬的L2內網。

(2)、情境架構圖：

(3)、本範例設定過程均採用Conosle模式
(4)、VXLAN該功能只支援FortOS 5.4版本以上，但5.6以上功能較為完善。
(5)、該功能是透過IPSec VPN架構進行，但無法透過加速晶片進行加速，因此如果流量過大，請注意設備等級及效能。
(6)、本範例防火牆相關資訊
Wan interface：wan1
Lan interface：internal1
IDC防火牆Wan端真實IP：192.192.205.1
DR防火牆Wan端真實IP：192.192.209.1
VPN psksecret：0800080080

二、設定步驟
(1)、IDC端的Fortigate設定WAN端IP及預設閘道
指令：
config system interface
edit “wan1”
set vdom “root”
set ip 192.192.205.1 255.255.255.0
set allowaccess ping
set type physical
set role wan
set snmp-index 1
next
end

config router static
edit 1
set gateway 192.192.205.254
set device “wan1”
next
end

(2)、DR端的Fortigate設定WAN端IP及預設閘道
指令：
config system interface
edit “wan1”
set vdom “root”
set ip 192.192.209.1 255.255.255.0
set allowaccess ping
set type physical
set role wan
set snmp-index 1
next
end

config router static
edit 1
set gateway 192.192.209.254
set device “wan1”
next
end

(3)、IDC端的Fortigate建立VXLAN VPN
指令：
config vpn ipsec phase1-interface
edit VXLAN
set interface wan1
set peertype any
set proposal aes256-sha1
set encapsulation vxlan
set encapsulation-address ipv4
set encap-local-gw4 192.192.205.1
set encap-remote-gw4 192.192.209.1
set remote-gw 192.192.209.1
set psksecret 0800080080
next
end

config vpn ipsec phase2-interface
edit VXLAN_ph2
set phase1name VXLAN
set proposal aes256-sha1
set auto-negotiate enable
next
end

(4)、DR端的Fortigate建立VXLAN VPN
指令：
config vpn ipsec phase1-interface
edit VXLAN
set interface wan1
set peertype any
set proposal aes256-sha1
set encapsulation vxlan
set encapsulation-address ipv4
set encap-local-gw4 192.192.209.1
set encap-remote-gw4 192.192.205.1
set remote-gw 192.192.205.1
set psksecret 0800080080
next
end

config vpn ipsec phase2-interface
edit VXLAN_ph2
set phase1name VXLAN
set proposal aes256-sha1
set auto-negotiate enable
next
end

(5)、在IDC及DR兩端的Fortigate設定VPN介面採用L2傳遞模式
指令：
config system interface
edit VXLAN
set l2forward enable
set mtu-override enable
next
end

(6)、在IDC及DR兩端的Fortigate建立虛擬Switch
指令：
config system switch-interface
edit VXLAN-SWITCH
set vdom root
set member internal1 VXLAN
next
end

備註說明：建立完畢虛擬SWITCH後的網頁畫面

(7)、在IDC及DR兩端的Fortigate設定
config system global
set honor-df disable
end
備註說明：
FortiOS does not send back an ICMP “destination unreachable, fragmentation needed and DF set” to the source when an IP packet with the DF bit set and a size greater than the tunnel MTU cannot be forwarded inside the VxLAN-IPsec tunne

三、實測
(1)、在IDC端Fortigate防火牆的internal1接上一台電腦，並把IP設定為192.168.100.1/24。

(2)、在DR端Fortigate防火牆的internal1接上一台電腦，並把IP設定為192.168.100.2/24。

(3)、透過這兩台電腦進行IP互ping的動作(記得關閉電腦上的防火牆限制)，如果可以通那就完成所有設定了。

四、輔助說明
設定過程中需要設定
set l2forward enable
及
set honor-df disable
的參考說明：
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Global-setting-honor-df-explained/ta-p/197002?externalID=FD51964

考慮到在企業使用盡量不增加授權的成本，本篇小編會介紹以Linux環境安裝的方式。

Firewall Analyzer官方網頁介紹：
https://www.manageengine.com/products/firewall/

01、安裝好Linux
安裝步驟可以參考下列文章：
https://ailog.tw/lifelog/2021/05/15/ubuntu-20-install/

02、下載Firewall Analyzer軟體(30天免費授權)
Linux 32位元下載網址：
https://www.manageengine.com/products/firewall/61794333/ManageEngine_FirewallAnalyzer.bin

Linux 64位元下載網址：
https://download.manageengine.com/products/firewall/61794333/ManageEngine_FirewallAnalyzer_64bit.bin

[直接在Linux系統下載檔案]
指令：
sudo wget https://download.manageengine.com/products/firewall/61794333/ManageEngine_FirewallAnalyzer_64bit.bin

03、設定安裝檔成可執行的檔案
sudo chmod 755 ManageEngine_FirewallAnalyzer_64bit.bin

04、安裝Firewall Analyzer軟體
sudo ./ManageEngine_FirewallAnalyzer_64bit.bin

05、同意軟體授權
按下鍵盤「enter」進入同意相關授權步驟

過程持續按鍵盤「enter」

最後按下「Y」接受授權

06、是否註冊技術支援服務
本範例選：N

07、軟體安裝路徑
採用預設安裝路徑，按下Enter即可

08、設定web連線服務Port
本範例採用預設值：8060

09、確認安裝資訊
按下「ENTER」繼續安裝

10、安裝完成畫面

11、將Firewall Analyzer安裝成Service型態
cd /opt/ManageEngine/OpManager/bin
sudo sh linkAsService.sh

12、啟動Firewall Analyzer軟體
sudo systemctl start OpManager.service

13、檢查服務Port是否有啟動
ss -an | grep 8060

14、登入Fortigate防火牆設定log server
透過SSH或Console登入，輸入下令指令：
(1)、啟動syslog並指定傳送到Firewall Analyzer主機上，範例中的192.168.5.243為小編的Firewall Analyzer Server IP，請自行更改為自己相對應的IP。
config log syslogd setting
set status enable
set server 192.168.5.243
set port 1514
end

(2)、設定要傳送什麼loh內容
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set anomaly enable

15、透過瀏覽器登入系統
預設帳號：admin
預設密碼：admin

16、點選「Dashboard」→「VPN」即可看到防火牆的VPN相關的狀態

17、查看VPN歷史報表
點選「Reports」 → 「VPN Reports」即可觀看VPN的歷史紀錄

18、變更系統介面語系
(1)、點選右上角齒輪圖示

(2)、選擇左邊的「Language Selector」，接著選擇右邊的「Chinese(Traditional)繁体中文」

(3)、網頁會自動重新整理，接著就可以看到中文網頁了

韌體下載網頁：
https://support.fortinet.com/SSO/login.ashx

韌體更新順序查詢：
記得先查閱一下官方的更新順序建議，避免更新過程導致設定異常
https://ailog.tw/lifelog/2020/01/06/fortinet-upgrade-tool/

官方線上手冊：
https://docs.fortinet.com/product/fortigate/7.0

新版重點功能：
零信任存取(Zero Trust Access)
管理遠端存取與應用程式的零信任網路存取

安全驅動型網路(Security-Driven Networking)
以SASE達成不受地域限制的一致化網路安全
全新自動修復SD-WAN
利用5G來擴大LTE邊緣

自適應雲端安全(Adaptive Cloud Security)
優化多雲部署的效能與安全性

網路營運中心(NOC)與安全營運中心(SOC)
提高網路營運中心(NOC)和安全營運中心(SOC)的效率
優化遠距工作的網頁安全

支援FortiOS 7.0的硬體共有69個型號：
FGR_60F_3G4G
FGR_60F
FGT_1000D
FGT_100EF
FGT_100E
FGT_100F
FGT_101E
FGT_101F
FGT_1100E
FGT_1101E
FGT_1200D
FGT_140E_POE
FGT_140E
FGT_1500DT
FGT_1500D
FGT_2000E
FGT_200E
FGT_201E
FGT_2200E
FGT_2201E
FGT_2500E
FGT_3000D
FGT_300E
FGT_301E
FGT_3100D
FGT_3200D
FGT_3300E
FGT_3301E
FGT_3400E
FGT_3401E
FGT_3600E
FGT_3601E
FGT_3700D
FGT_3800D
FGT_3960E
FGT_3980E
FGT_400E
FGT_401E
FGT_40F_3G4G
FGT_40F
FGT_5001E1
FGT_5001E
FGT_500E
FGT_501E
FGT_600E
FGT_601E
FGT_60E_DSLJ
FGT_60E_DSL
FGT_60E_POE
FGT_60E
FGT_60F
FGT_61E
FGT_61F
FGT_800D
FGT_80E_POE
FGT_80E
FGT_81E_POE
FGT_81E
FGT_900D
FGT_90E
FGT_91E
FWF_40F_3G4G
FWF_40F
FWF_60E_DSLJ
FWF_60E_DSL
FWF_60E
FWF_60F
FWF_61E
FWF_61F

[建立服務類別]
(1)、登入系統

注解說明：輸入帳號及密碼登入防火牆

(2)、切換至「網路服務類別」物件設定模式
指令如下：
config firewall service category

注解說明：開始網路服務類別設定

(3)、新增「網路服務類別」
指令如下：
edit “ailog.tw”

注解說明：本範例新增了一個名稱為「ailog.tw」的類別

(4)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(5)、離開「網路服務類別」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的類別物件則輸入「next」，要結束類別設定則輸入「end」。

[建立網路服務物件](一)
(1)、切換至「網路服務」物件設定模式
指令如下：
config firewall service custom

注解說明：開始網路服務物件設定

(2)、新增「網路服務」物件
指令如下：
edit “Synology-Drive”
set category “ailog.tw”
set tcp-portrange 5000-5001

注解說明：本範例新增了一個名稱為「Synology-Drive」的網路服務，並將類別設定為「ailog.tw」，並定義採用「TCP」協定，服務埠(Port)則為5000與5001兩個。

(3)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(4)、離開「網路服務」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的網路服務物件則輸入「next」，要結束類別設定則輸入「end」。

[建立網路服務物件](二)
(1)、切換至「網路服務」物件設定模式
指令如下：
config firewall service custom

注解說明：開始網路服務物件設定

(2)、新增「網路服務」物件
指令如下：
edit “tomcat”
set category “ailog.tw”
set tcp-portrange 8080

注解說明：本範例新增了一個名稱為「tomcat」的網路服務，並將類別設定為「ailog.tw」，並定義採用「TCP」協定，服務埠(Port)則為8080。

(3)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(4)、離開「網路服務」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的網路服務物件則輸入「next」，要結束類別設定則輸入「end」。

[建立網路服務群組物件]
(1)、切換至「網路服務群組」物件設定模式
指令如下：
config firewall service group

注解說明：開始網路服務群組物件設定

(2)、設定「網路服務群組」物件
指令如下：
edit “Ailog.tw-Service”
set member “Synology-Drive” “tomcat”

注解說明：本範例新增了一個名稱為「Ailog.tw-Service」的網路服務群組，並定義群組內包含了「Synology-Drive」、「tomcat」這兩個服務。

(3)、查看設定
指令如下：
show

注解說明：查看設定是否正確，有無遺漏項目

(4)、離開「網路服務群組」物件設定模式
指令如下：
end

注解說明：如果要繼續新增其他的網路服務群組物件則輸入「next」，要結束類別設定則輸入「end」。

介紹的內容為
透過web管理畫面：
(1)、建立服務類別
(2)、建立網路服務物件
(3)、建立網路服務群組物件

[建立服務類別]
(1)、登入系統

(2)、切換至「網路服務」物件設定畫面
點選「Policy & Objects」→「Services」

(3)、新增「網路服務」類別
點選「Create New」→「Category」

(4)、設定「網路服務」類別
Name：輸入自訂的類別名稱，本範例輸入「ailog.tw」做為新增的類別名稱，接著點選「OK」完成設定步驟。

Comments：輸入類別名稱的注解，方便識別類別用途。

(5)、查看設定狀態
返回類別列表畫面可以看見剛剛新增的「ailog.tw」在列表中，代表已順利新增「網路服務」類別。

[建立網路服務物件]
(1)、新增「網路服務」物件
點選「Create New」→「Service」

(2)、設定「網路服務」物件
Name：輸入自訂的服務物件名稱，建議採用有識別性的名稱，方便日後操作識別用，本範例輸入Synology-Drive。

Show in Service List：是否顯示在「網路服務」清單，有些情境會透過該設定來隱藏「網路服務」不顯示在設定的候選清單內，避免干擾設定、增加選取「網路服務」的複雜度，但通常都還是採用預設的顯示設定狀態。

Category：類別選取前一步驟所新增的「ailog.tw」
※ailog.tw為本範例的類別名稱，請網友們輸入適當的名稱。

Destination Port：挑選協定類型「TCP」、「UDP」、「SCTP」，並輸入要定義的服務埠，本範例採用TCP協定的5000~5001兩個服務埠。

輸入以上資訊後接著點選「OK」完成新增「網路服務」物件新增的步驟。

(3)、確認「網路服務」物件狀態
在網路服務列表中可以看見剛剛新增的物件。

(4)、下圖是新增第二個網路服務物件範例。
該範例中名稱定義為「tomcat」，「顯示」在網路服務物件的候選清單內，類別定義在「ailog.tw」，採用TCP協定的8080埠。

[建立網路服務群組物件]
(1)、建立「網路服務群組」物件
點選「Create New」→「Service Group」

(2)、設定「網路服務群組」物件
Group Name：輸入自訂的服務群組物件名稱，建議採用有識別性的名稱，方便日後操作識別用，本範例輸入Ailog.tw-Service。

Comments：輸入類別名稱的注解，方便識別類別用途。

Color：設定「服務群組」物件的顯示顏色。

Members：設定要綑綁在一起的服務。

(3)、選取要綑綁在一起的服務
在網路服務物件列表清單中，選取要綑綁的服務物件項目。

(4)、選取服務完成畫面
本範例選取了「Synology-Drive」及「tomcat」

(5)、完成「網路服務群組」物件
點選「OK」完成「網路服務群組」物件新增步驟

(6)、確認「網路服務群組」物件狀態
在網路服務列表中可以看見剛剛新增的「網路服務」及「網路服務群組」物件。