【管理篇 / 配置】❀ 03. 指定 IP 访问防火墙 ❀ FortiGate 防火墙

        【简介】原则上只要接口开了HTTPS访问，那么这个接口下的所有电脑都可以登录防火墙。这就会给管理防火墙带来隐患，虽然有帐号和密码，但密码泄露或破解也不是没有可能。为了防火墙的安全，我们可以指定哪些IP地址允许访问防火墙。

---

  信任主机

        允许哪些IP可以访问防火墙，通常是管理员的工作。

        ① 选择菜单【系统管理】-【管理员】，可以看到有个默认的管理员帐号admin，双击 admin 帐号或单击 admin 帐号选择【编辑】，进入帐号编辑状态。

        ② 启动【限制信任主机登录】，默认可以输入三个信任主机IP，可以是单个地址，也可以是一个网段，如果三个不够，点最后的加号可以添加。如果不用，则保持默认的0.0.0.0/0。点击【确认】保存并退出。

        ③ 返回管理员列表，可以看到可信主机发生变化，第三个0.0.0.0/0被忽略，没有加入。

        ④ 退出管理界面后再次登录防火墙，由于本地IP地址并不在上述两个IP地址范围，因此虽然物理结构没有动，访问地址还是一样的，但是无法登录防火墙了。

  修改信任主机

        经常会因为长时间没有使用，而忘记了信任主机IP地址，使得无法Web登录防火墙，解决办法只能是通过连接配置线到防火墙的控制口，用命令的方法登录并修改信任主机IP了。连接方法查看：

         连接篇(5.2) 03. 配置线连接 ❀ 飞塔 (Fortinet) 防火墙 

        ① 命令方式式登录防火墙后，用 show system admin 命令查看管理员设置。可以看到有两条信任主机（trusthost）设置，只有这些指定的IP可以通过Web浏览器访问防火墙。

        ② 用 config system admin 命令进入管理员配置，用 edit admin 命令编辑管理员帐号，用 set trusthost 命令，将信息主机都改变默认IP，最后用 end 命令保存退出。再次用 show system admin 命令查看管理员配置，可以看到 set trusthost 命令行不见了，因为默认值，所以不显示。

        ③ “还是原来的配方，还是熟悉的味道”，在没有任何环境改变下，因为没有了信任主机的限制，又可以访问防火墙了。技术-老梅子   QQ：57389522

---