配置加密策略

IPSec VPN

 

 

4 输入互联网上的一个 VPN 客户端或是远程 VPN 网关后边的一个网络的地址名,IP 地址 和网络码。

5 单击确定以保存目的地址。

添加一个加密策略

1 进入 防火墙 > 策略

2 使用策略网格选择要添加策略的策略列表。

例如,内部 -> 端口 2 或端口 3-> 端口 2。

3 单击 以添加新的策略。

4 源地址 设为源地址。

5 目的地址 设置为目的地址。

6 设置服务以控制允许 VPN 连接的服务。

您可以选择 任意 以允许所有支持的类型的服务通过 VPN 连接,或者选择一个特定的 服务或服务组,以限制允许通过这个 VPN 连接的服务。

7 将动作设置为接受。

8 配置加密的参数。

VPN 通道 为这个加密策略选择一个自动密钥通道。

选择 可以允许向内连接的用户连接到源地址上。 选择 可以允许向外连接的用户连接到目的地址上。

内 NAT FortiGate 可以把接收到的向内的数据包的源地址转换为连接到源地址网络 上的 FortiGate 内部网络接口的 IP 地址。通常这是 FORTIGate 设备的一个 内部接口。

向内 NAT 使得本地主机无法看到远程主机 ( 在远程 VPN 网关后面的网络中的 主机 ) 的 IP 地址。

外 NAT FortiGate 可以把向外发送的数据包的源地址转换为连接到目的地址网络上 的 FortiGate 的网络接口的 IP 地址。通常情况下这是 FortiGate 设备的一 个外部接口。

向外 NAT 使得远程主机无法看到本地主机 (位于本地 VPN 网关后边的网络中 的主机)的 IP 地址。

如果实现了向外 NAT,它受到以下限制: 只能在通道的一端配置向外 NAT。

没有实现向外 NAT 的那一端需要有一个内部 -> 外部的策略以将另一端的外 部接口指定为目的地 (这将是一个公共 IP 地址)。

通道和通道中的通讯只能由配置了向外 NAT 的那一端初始化。

关于配置策略有关设置的详细信息请见 FortiGate 安装和配置指南。

9 单击确定以保存加密策略。

排列加密策略在策略列表中的位置,使它在其他具有同样源和目的地址以及服务的 策略之上,以确保加密策略能匹配 VPN 连接。

194

美国飞塔有限公司

Page 207 Page 209
Page 208
Image 208
Fortinet 1000 manual 添加一个加密策略, 194
Page 207 Page 209
Top Page Image Contents