防火墙配置 IP 池
FortiGate-1000 安装和配置指南
163
4单击 确定 以保存这个策略。
IP 池一个 IP 池(也称做动态IP 池)是一个添加到防火墙网络接口的 IP 地址 范围。如
果您为一个接口添加了 IP 池,当配置一个其目的地址设为此接口的策略时可以选择动
态IP 池。如果您希望添加一个 NAT 模式的策略,以将源地址转换为从IP 池中随机选
择的地址,而不仅仅是使用目的接口的地址,您也可以添加一个 IP 池。
IP 池中的地址必须和此网络接口的 IP 地址在同一子网内。例如,如果一个
FortiGate 网络接口是192.168.1.99,那么一个有效的IP池可以是从192.168.1.10
到192.168.1.20 的IP 地址。这个IP 池可以为防火墙提供11 个可选的 IP 地址,供防
火墙在转换源地址时候使用。
IP 池地址范围中的地址不能和所添加到的那个网络接口位于同一网络中的其它地
址冲突。
您可以在任何接口上添加多个 IP 池,但是只有IP 池被防火墙使用。
本节描述了以下内容:
·添加 IP 池
·使用固定端口的防火墙策略的IP 池
·IP 池和动态NAT
添加 IP 池
以下操作用于添加 IP 池:
1进入 防火墙 > IP 池。
2选择要添加 IP 池的 网络接口 。
您可以选择一个防火墙接口或一个 VLAN 子网络接口。
3单击 新建 以将新的 IP 池添加到选中的网络接口。
4输入这个IP 池的地址范围的 起点IP 地址 和 终点IP 地址 。
这个起点IP 和终点IP 须用来定义IP 池的 IP 地址范围的起止点地址。其中,起点IP
地址必须小于终点IP 地址。起点IP 地址和终点IP 地址必须有相同的子网地址,并且
都IP 地址池添加到的那个网络接口所在的子网内。
5单击 确定 以保存这个IP 池。
动作将 动作 设置为 接受以接受到内部网络服务器的连接。也可以选择拒
绝以拒绝对服务器的访问。
NAT 如果防火墙对于源地址网络隐藏了目的网络上的私有地址,则选择
NAT。
认证 可选项。选择认证并选择一个用户组可以要求用户在使用端口转发访
问服务器的时候先取得防火墙的认证。
记录流通日志
病毒防护与Web 过滤器
可以选中此项启用对端口转发的数据流记录日志,并启用对数据流应
用防病毒保护、Web 内容过滤功能。