138
美国飞塔有限公司
默认防火墙配置 防火墙配置
默认防火墙配置防火墙策略控制接口之间的连接。默认情况下,您内部网络中的用户可以通过
FortiGate 设备连接到互联网。防火墙阻塞其他所有的连接。防火墙被配置为用一条默
认策略匹配从内部网络上收到的所有的连接请求。这条策略指示防火墙将这些连接转
发到互联网上。
图4: 默认防火墙策略
•地址
·服务
·任务计划
·内容配置文件
地址
添加策略可以控制 FortiGate 接口之间的连接和到这些接口的网络之间的连接。要
添加接口之间的策略,这个接口必须包含地址。默认情况下FortiGate 设备配置了以
下防火墙地址:
·内部 _全部,添加到内部接口,这个地址匹配于内部网络上的全部地址。
·外部 _全部,添加到外部接口,这个地址与外部网络中的全部地址匹配。
·DMZ_ 全部,添加到DMZ 接口。这个地址匹配于 DMZ 网络中的全部地址。
防火墙使用这些地址匹配防火墙接收到的数据包的源地址和目的地址。默认的策略
匹配从内部网络来的全部连接,因为它包含了内部 _全部 地址。默认策略也匹配到外
部网络的全部连接,因为它包含了 外部 _全部 地址。
您可以在每个接口上添加更多的地址以增强对通过防火墙的连接的控制能力。关于
防火墙地址的详细信息,请见 第 145 页 “ 地址” 。
如果 DMZ/HA 接口配置为HA 模式,您不能为DMZ/HA 接口添加地址或为这个接口配
置防火墙策略。
您也可以添加提供网络地址转换(NAT)功能的防火墙策略。要使用 NAT 转换目的
地址,必须添加虚拟 IP。虚拟 IP 将一个网络中的地址映射到另一个网络中的被转换的
地址上。关于虚拟 IP 的详细信息请见 第 155 页 “ 虚拟 IP” 。
服务
防火墙策略也可以根据数据包的服务或目的端口来控制连接。默认的策略接受使用
任何服务或目的端口的连接。防火墙配置中包含了40 多个预定义的服务。您可以将这
些服务添加到策略中以提高对使用这些服务通过防火墙的连接的控制能力。您也可以
添加用户自定义的服务。关于服务的详细信息,请见 第 148 页 “ 服务” 。
任务计划
策略也可以根据防火墙收到的连接在一天当中的时间或一周中的日子来控制连接。
默认的策略可以在任何时间接受连接。防火墙配置中包括了一个在任何时间接受连接
的任务计划。您可以添加更多的任务计划以控制策略生效的时间。关于任务计划的详
细信息,请见 第 152 页 “ 任务计划” 。