从授权信息面板中或进入系统管理>配置>FortiGuard,可以查看FortiGuard服务的状态.授权信息面板中显示的信息应与你登录Fortinet服务支持网站显示的信息一致.如果不一致说明飞塔UTM防火墙设备与FortiGuard网络之间的通信存在问题。你也可以进入系统管理>配置>FortiGuard查看连接状态.
3.校验确认飞塔UTM防火墙设备可以与互联网之间通信.如果与互联网之间的通信没有问题,那么飞塔UTM防火墙设备即可与FortiGuard网络通信.
4.进入路由>当前路由>路由监控衷NAT/路由模式下卜或进入系统管理>网络> 路由表,查看是否有默认的路由且配置正确。
5.进入系统管理>网络>DNS,并确认IS P所提供的主次DNS服务器是正确的.
飞塔UTM防火墙设备是使用域名,而不是IP地址与FortiGuard网络连接的.如果防火墙接口通过DHCP获取IP地址连接到互联网,那么你需要确认”改变内部DNS'’选项是启动的,这样飞塔UTM防火墙设备才能够通过DHCP直接获取其DNS服务器IP地址。
6.执行 execute ping命令确认飞塔UTM防火墙设备可以连接到DNS服务器。
7.你也可以通过飞塔UTM防火墙设备CLI接口,用CLI命令测试FortiGate设备与互联网的连接,例如:
execute traceroute www.fortiguard.com
如果执行以上命令后,依然找不到www.fortiguard.com的IP地址,说明飞塔UTM防火墙设备连接不到配置的DNS服务器。
8.确认至少一条安全策略中包合了反病毒.
如果没有一项安全策略中设置了反病毒,那么反病毒数据库可能不能被更新.
9.校验FortiGate设备能够与FortiGuard网络通信.
进入系统管理>配置>FortiGuard>反病毒与IPS选项。你可以点击更新,立 即更新反病毒与IPS数据库。几分钟后,你可以校验更新是否成功
10.进入系统管理>配置> FortiGuard>网页过滤与邮件过滤选项点击可用性测试, 测试网页过滤与邮件过滤查询服务的可用性。
如果测试不可用,试着更改网页过滤与邮件过滤查询使用的端口.飞塔UTM网关防火墙使用端口53或8888与FortiGuard网络通信,一些IS P可能设置屏蔽了这样的端口.
11.判断下是否有任何可能来自网络蜘SP网络中的上游的流量可能阻断了FortiGuard流量。一些防火墙在默认的情况是阻断所有端口的,且ISP经常会屏蔽较低的端口(例如端口53)FortiGuard默认的情况是使用端口53,一旦该端口被阻断,你需要开启端口,或更改FortiGate设备使用的端口。
12.更改FortiGuard的源端口.
有可能之前用于与飞塔UTM网关防火墙网络通信的端口,在到达FortiGuard之前,或到达后通信返回到FortiGate设备之前,端口被更改了.对于此种情况可能的解决方案是在NAT防火墙上设置固定的端口以保证端口的 同一性.飞塔UTM网关防火墙设备通过特有的源端口1027或1031与目标端口53或8888发送UDP数据包与FortiGuard网络建立通信.FDN回复具有目标端口为1027或1031的数据包.
