防火墙配置 添加防火墙策略
FortiGate-300 安装和配置指南
141任务计划选择任务计划可以控制策略生效和用于匹配连接的时间,见 第 152 页 “ 任务
计划” 。
服务选择一个服务与数据包的服务 (端口)相对应。您可以从大量的预定义服务中选
择,或者添加自己定制的服务类型和服务组。 见 第 148 页 “ 服务” 。
动作选择当策略与连接尝试相匹配时防火墙的响应方式。
NAT配置策略的NAT 选项。NAT 把策略接收到的数据包的源地址和源端口进行转换。如
果您选择了 NAT,您还可以选择一个动态IP 池和一个固定的端口。NAT 在透明模式下
不可用。
VPN 通道为加密策略选择VPN 通道。可以选择一个自动密钥交换的 VPN 通道或者手工密钥交
换的 VPN 通道。VPN 通道在透明模式下不可用。
接受接受连接。如果您选择接受,可以配置这个策略的NAT 和认证选项。
拒绝 拒绝连接。在这种情况下您唯一能配置的其他选项就是记录日志。记录日志
选项 将此策略拒绝的连接记录到日志中。
加密 把这个策略设置为IPSec VPN 策略。如果选择了 加密,可以为这个策略选择
一个自动密钥交换的 VPN 通道或者一个手工密钥的VPN 通道,并配置其它
IPSec 设置。您不能为加密策略设置认证。并且加密在透明模式下不可用。请
见 第 188 页 “ 配置加密策略” 。
动态IP 池如果外部接口被配置为使用 DHCP 或PPPoE,您不能为内部 -> 外部或 DMZ-> 外
部型的策略选择动态IP 池。
选择动态IP 池可以将源地址转换为从此策略添加到目的接口的 IP 池中随机
选择的一个地址。要添加 IP 池,请见 第 158 页 “ IP 池” 。
固定端口选择固定端口可以防止NAT 转换源端口。如果源端口改变了,有些应用程序
将无法工作。如果选择了固定端口,必须也选择动态IP 池并为策略的目的网
络接口上添加一个动态IP 池的地址范围。如果没有选择动态IP 池,使用固
定端口的策略一次只允许一个连接使用某个端口的服务。
允许向内选择允许向内 可以使远程VPN网关后面的用户能够连接到策略的源地址
上。
允许向外选择允许向外 可以使用户能够连接到远程VPN网关后面的目的地址上。
向内NAT 选择向内NAT 可以把向内传输的数据包的源地址转换为FortiGate 的内部
IP 地址。
向外NAT 选择向外NAT 可以把向外发送的数据包的源地址转换为FortiGate 的外部
IP 地址。