FortiGate-300 安装和配置指南 2.50 版
FortiGate-300 安装和配置指南
137
防火墙配置防火墙策略控制着所有通过FortiGate 设备的通讯。防火墙策略是FortiGate 设备
用来决定如何处理一个连接请求的一系列指令。当防火墙收到一个数据包内的连接请
求时,它提取出这个数据包的源地址、目的地址和服务 (端口号)进行分析。
对于要通过FortiGate 设备传输的数据包,必须在FortiGate设备上添加一个与该
数据包源地址、目的地址和服务相匹配的防火墙策略。这个策略指导防火墙如何处理
这个数据包。处理方式可以是允许连接、拒绝连接、在连接前要求认证,或将数据包
作为 IPSec VPN 包处理。您还可以在策略中添加任务计划使得防火墙可以在每天不同
时间、一周、月或年中的不同日子用不同的方式处理连接。
每个策略都可以单独地配置为路由连接或应用网络地址转换(NAT)以转换源地
址、目的地址和端口。您可以添加 IP 池使防火墙转换源地址的时候使用动态NAT。您
可以使用策略配置通过FortiGate 的端口地址转换(PAT)。
您可以在策略中添加内容配置文件,从而获得对网页、文件传输和电子邮件服务的
防病毒保护、网页过滤和电子邮件过滤。您可以创建由下面动作之一或任意组合的功
能的内容配置文件:
·在HTTP, FTP, SMTP, IMAP, 或POP3 服务中应用防病毒保护。
·隔离已经被病毒感染或可能被病毒感染了的文件。
·对 HTTP 服务应用网页过滤。
·对 IMAP 和POP3 服务应用电子邮件过滤。
您也可以对防火墙策略添加日志记录,从而使FortiGate 设备记录所有使用此策略
的连接。
本章描述了以下内容:
·默认防火墙配置
·添加防火墙策略
·配置策略列表
·地址
·服务
·任务计划
·虚拟 IP
·IP 池
·IP/MAC 绑定
·内容配置文件