面临的问题
你完成了基于的飞塔防火墙设备透明模式配置部署,但是没有流量通过防火墙设备。
解决方法
通过以下步骤查找州鹰复用户不能通过飞塔UTM网关防火墙设备连接网络的问题.使用以下步骤查找并修复内网用户不能访问互联网的问题。
1.查看内网与飞塔UTM网关防火墙设备的物理连接,以及飞塔UTM网关防火墙设备与互联网的物理连接性.设备运行面板工具会显飞塔UTM网关防火墙设备网口的连接性。
2.查看下IS P提供的网口或连接设备是否能够正常工作。
3.确认你可以通过飞塔UTM网关防火墙设备的管理IP地址连接到内部网络接口.
从内网网络Ping管理IPftfb止。如果你连接不到内部接口,查看下PC的IP配置,并确认下所有的网络设备,例如交换机设备,都已经通电并在运行状态。你能够连接到内部接口后,参考下一步骤.
4.确认飞塔UTM网关防火墙设备到互联网的连接是通的,你可以访问飞塔UTM网关防火墙设备的命令,行 Cu,使用execute ping命令,访问互联网中常见的域名。你也可以使用executetraceroute测试连接性的问题。
5.查看飞塔UTM网关防火墙设备与内网中PC的DNS配置.你通过Ping轨raceroute命令,校验是否DNS错误。如果FortiGate设备的名称不能被解析或者内网PC连接不到一个DNS服务器,你应该确认DNS服务器的IP地址是否显示月正确。例如:
ping www.fortinet.com
ping: cannot resolve www.fre.com: Unknown host
6.查看安全策略配置.
进入Policy>策略>策略,并校马氢从内音吩妾口到want的安全策略已经添加.查看计数栏目确认策略正在处理流量.查看策略的配置以确定与以下配置相同:
7.进入系统管理>网络>路由列表,确认默认列表中显示的默认路由是正确的.
8.不启动web过滤选项。
如果你在安全策略中启动了web过滤选项可能会导致对你正在试图访问的网页连接的阻断。发生的这种现象的原因很多。如果不启动web过滤。你可以通过浏览器访问互联网,策略中启动web过滤选项可能会阻断你正在访问的网站。发现这样的阻断情况,可能是你要访问的网页是在默认的web过滤列表中.也可能是FortiGuard web过滤对网站的过滤发生了分类错误.网页分类错误发生的原因也很多,其中不育合方问FortiGuard web过滤评级也是原因之一.进入UTM Profiles> Web过滤器>Profile中,在默认设置中选中高级过滤请启动‘’分类错误发生时允许网站访问’‘的选项,可以修复这个问题.
9.校验下你可以连接到网关(IS P提供的)从内网中的PC中Ping一下默认网关的IP地址。
10.确认飞塔UTM网关防火墙设备可以连接到FortiGuard网络。
产品注册激活服务后,飞塔UTM网关防火墙设备可以从FortiGuard网络获取反病毒、应用控制与其他的服务更新。飞塔UTM网关防火墙设备必须通过其管理IP地址连接到网络.如果以下的测试提供了错误的结果,请确认FortiGate设备的默认路由是正确的.查看你的互联网防火墙,确认从飞塔UTM网关防火墙设备管理IP到互联网的连接。首先从服务信息面板工具中确认所有的FortiGuard服务是否与你所购买的服务项目一致.FortiGate设备是通过与FortiGuard网络的连接确定服务信息的。
进入系统管理>配置>FortiGuard。开启网页过滤与邮件选项并选中‘’连接可用性测试“.约一分钟左右,基于web的管理器界面将显示连接成功信息.
11.查看FortiGate设备的桥接表。
桥接表是与飞塔UTM网关防火墙设备处于相同网络的设备的MAC地址列表,以及每台设备中的与FortiGate设备连接的接口.FortiGate设备依赖该列表转发数据包.如果一台具体设备的MAC地址被获取添加到了桥接表中,那么到达该MAC坦功上的数据包将被阻断。这表示数据包去向该MAC地址,但是没有回复的流量产生.这种情况下,查看桥接表确定桥接表中添加的是正确的MAC地址.通过以下Cu命令查看与根VDOM联动的桥接表。
如果你的设备的MAC没在桥接列表中,FortiGate设备就是没有在网络中发现你的设备.也就是说该设备没有连接或没有启动.请查看设备的连接是否正常。
本文由:飞塔UTM于(2013-05-13)发表了关于飞塔UTM网关防火墙在透明模式安装的故障诊断与排除的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
