开始 规划您的 FortiGate 设备的配置
FortiGate-1000 安装和配置指南
25
规划您的 FortiGate 设备的配置在开始配置 FortiGate 之前,您需要计划一下如何将它集成到您的网络中去。首
先,您需要决定这个设备在网络中是否可见,要提供哪些防火墙功能,以及如何控制
网络接口之间的数据流。
您所选择的操作模式决定了FortiGate 的配置方式。FortiGate有两种配置方式:
NAT/ 路由模式 (默认),或者透明模式。
NAT/ 路由模式
在NAT/ 模式,FortiGate在网络中是可见的。此时它类似于路由器,所 有的网络
接口连接到不同的子网中。在 NAT/ 路由模式下有以下接口可用:
·外部 是默认的连接到外部网络 (��常是互联网)的接口,
·内部 是连接到内部网络的接口,
·接口 1 和3可以连接到任何网络上。
·接口 2可以连接到 DMZ 网络或其他任何网络上。
·接口 4/HA 可以连接到其它网络上。如果您建立了 HA 簇,接口 4/HA 也可以连接到
其他 FortiGate-2000上。
无论FortiGate-1000工作在NAT 模式或是路由 模式,您都可以添加安全策略以控
制通过FortiGate-1000的通讯 连接。安全策略根据每个数据包的源地址、目的地址和
服务控制数据流。在 NAT 模式下,FortiGate在将数据包发送到目的 网络之前进行网络
地址转换。在路由模式下,不进行转换。
默认情况下,FortiGate只有一个 NA T 模式的策略,它使内部网络中的用户可以安
全地从外部网络下载内容。如果您没有配置其他安全策略,其他的数据流都将被阻塞。
FortiGate-1000的NAT/ 路由模式 的一个比较典型的应用是作为私有网络和公共网
络之间的网关。在这种配置中,您可以创建 NAT 模式的策略以控制内部的私有网络和
外部的公共网络 (通常是互联网)之间的数据流通。
如果您安装了多个内部网络,例如除了内部私有网络之外还有DMZ 网络,您也可以
添加从DMZ 网络到内部或外部网络之间的路由模式策略。
图4: NAT/ 路由模式网络配置的例子