飞塔防火墙(FortiGate)的命令行界面(CLI)是网络管理员进行设备配置、故障排查和安全策略管理的重要工具,相较于图形化界面(GUI),CLI提供了更精细的控制权限和更高效的批量操作能力,掌握其核心命令与操作逻辑,是提升防火墙管理效率的关键。
CLI基础访问与导航
飞塔防火墙的CLI可通过多种方式访问,包括本地Console口、SSH(默认端口22)或Web界面中的“CLI” widget,首次登录需使用管理员账户(默认admin,密码为安装时设置),成功进入后默认位于配置模式的根目录(提示符),CLI采用分层结构,通过config命令进入配置子模块,如config system interface用于进入系统接口配置,end或exit可逐层返回根目录,使用可查看当前节点下的可用命令,<command> ?则显示该命令的具体参数说明,例如show ?会列出full、settings等查看选项。
核心配置命令详解
系统基础配置
系统管理相关的配置是设备运行的基础,常见操作包括主机名、DNS及管理员账户设置,修改防火墙主机名可通过以下命令实现:
config system global
set hostname "FortiGate-60F"
end配置DNS服务器则需进入system dns节点:
config system dns
set primary 8.8.8.8
set secondary 114.114.114.114
end管理员账户管理需通过config user local创建或修改用户,例如新增一个只读权限账户:
config user local
edit "readonly_user"
set password "StrongPassword123!"
set accprofile "read_only"
next
end网络接口与路由配置
接口配置是防火墙连接网络的核心,需指定IP地址、工作模式(如DHCP客户端、静态IP)及所属安全区域,将端口1配置为内网接口并分配静态IP:
config system interface
edit "port1"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh
set role lan
next
end静态路由配置通过router static实现,例如添加一条默认路由指向网关:
config router static
edit 0
set gateway 192.168.1.254
set device "port1"
next
end安全策略与NAT规则
安全策略控制流量跨接口的访问权限,NAT规则则实现地址转换,配置一条允许内网访问外网的策略:
config firewall policy
edit 0
set name "LAN_to_WAN"
set srcintf "port1"
set dstintf "port2"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end若需配置端口映射(如将外网8080端口映射至内网服务器192.168.1.100的80端口),需创建虚拟IP(VIP)并引用:
config firewall vip
edit "Web_Server_VIP"
set extip 203.0.113.10
set extintf "port2"
set mappedip 192.168.1.100
set portforward enable
set extport 8080
set mappedport 80
next
end监控与故障排查命令
CLI提供丰富的实时监控命令,用于快速定位问题,常用命令如下表所示:
| 命令 | 功能说明 | 示例 |
|---|---|---|
get system status |
查看设备系统状态(型号、版本、运行时间等) | get system status |
get hardware nic |
显示网络接口状态(速率、丢包、错误包等) | get hardware nic port1 |
diagnose sys session list |
查看当前会话表(源/目的IP、端口、协议等) | diagnose sys session list | grep 192.168.1.100 |
diagnose log filter |
过滤并查看日志(如威胁日志、流量日志) | diagnose log filter category 4(威胁日志) |
execute ping |
测试网络连通性 | execute ping 8.8.8.8 |
execute traceroute |
跟踪网络路径 | execute traceroute www.example.com |
配置备份与恢复
为避免配置丢失,需定期备份配置文件,通过CLI备份的命令如下:
execute backup config flash "config_backup_$(date +%Y%m%d).conf"恢复配置则使用:
execute restore config flash "config_backup_20231027.conf"备份文件也可通过TFTP/FTP服务器传输,
execute backup config tftp <tftp_server_ip> <filename>高级技巧与注意事项
- 脚本批量配置:CLI支持通过脚本文件批量执行命令,可预先编写
.conf文件,通过execute script config <filename>加载。 - 配置对比:使用
show | compare可查看当前配置与上次保存版本的差异,便于变更审计。 - 命令缩写:部分命令支持缩写(如
config可缩写为conf,edit缩写为ed),但需避免歧义。 - 权限控制:通过
config system accprofile可自定义管理员权限级别,限制敏感命令的访问。
相关问答FAQs
Q1: 如何通过CLI快速查看飞塔防火墙当前CPU和内存使用率?
A1: 使用get system performance status命令可实时查看CPU、内存、磁盘使用率及当前会话数,若需持续监控,可结合diagnose sys top命令(类似Linux的top命令),按“M”可按内存排序,“C”按CPU排序,按“q”退出。
Q2: 忘记飞塔防火墙CLI管理员密码,如何通过Console口恢复?
A2: 需通过物理Console口连接设备,重启过程中在看到“Press any key to display configuration menu”时按任意键进入维护模式,选择“Reset Factory Settings”恢复出厂设置(会清空所有配置),或选择“Reset Admin Password”仅重置管理员密码(保留配置),操作完成后需重启设备,使用默认密码登录并重新配置。
