Fortinet 1000 manual 规划您的 FortiGate 设备的配置, Nat/ 路由模式网络配置的例子

规划您的 FortiGate 设备的配置

在开始配置 FortiGate 之前，您需要计划一下如何将它集成到您的网络中去。首 先，您需要决定这个设备在网络中是否可见，要提供哪些防火墙功能，以及如何控制 网络接口之间的数据流。

您所选择的操作模式决定了 FortiGate 的配置方式。FortiGate 有两种配置方式： NAT/ 路由模式 （默认），或者透明模式。

NAT/ 路由模式

在 NAT/ 模式，FortiGate 在网络中是可见的。此时它类似于路由器，所有的网络 接口连接到不同的子网中。在 NAT/ 路由模式下有以下接口可用：

·外部 是默认的连接到外部网络 （通常是互联网）的接口，

·内部 是连接到内部网络的接口，

·接口 1 和 3 可以连接到任何网络上。

·接口 2 可以连接到 DMZ 网络或其他任何网络上。

·接口 4/HA 可以连接到其它网络上。如果您建立了 HA 簇，接口 4/HA 也可以连接到 其他 FortiGate-2000 上。

无论 FortiGate-1000 工作在 NAT 模式或是路由模式，您都可以添加安全策略以控 制通过 FortiGate-1000 的通讯连接。安全策略根据每个数据包的源地址、目的地址和 服务控制数据流。在 NAT 模式下，FortiGate 在将数据包发送到目的网络之前进行网络 地址转换。在路由模式下，不进行转换。

默认情况下，FortiGate 只有一个 NAT 模式的策略，它使内部网络中的用户可以安 全地从外部网络下载内容。如果您没有配置其他安全策略，其他的数据流都将被阻塞。

FortiGate-1000 的 NAT/ 路由模式的一个比较典型的应用是作为私有网络和公共网 络之间的网关。在这种配置中，您可以创建 NAT 模式的策略以控制内部的私有网络和 外部的公共网络 （通常是互联网）之间的数据流通。

如果您安装了多个内部网络，例如除了内部私有网络之外还有 DMZ 网络，您也可以 添加从 DMZ 网络到内部或外部网络之间的路由模式策略。

图 4: NAT/ 路由模式网络配置的例子