防火墙配置 虚拟 IP
FortiGate-300 安装和配置指南
155
虚拟 IPNAT 模式的安全策略可以对较不安全的网络隐藏较安全的网络中的地址。要允许从
一个较不安全的网络连接到一个较安全的网络中的某个地址上,您必须创建一个从较
不安全的网络中的地址到较安全的网络中的地址的映射。这个映射称为虚拟 IP。
例如,如果在您的 DMZ 网络中有一台提供Web 服务的电脑,它可以使用一个诸如
10.10.10.3 的私有IP。为了让互联网内的数据包能够达到网页服务器,您必须为网页
服务器提供一个互联网上的外部地址。然后需要添加一个虚拟 IP 地址把 Web 服务器的
外部地址映射到位于DMZ 网络中的 Web 服务器的真实地址上。为了允许从互联网到网
页服务器的连接,必须添加一个外部 ->DMZ 的防火墙策略并把目的地址设置为这个虚
拟IP。
您可以创建两种类型的虚拟 IP:
本节讨论了以下内容:
·添加静态 NAT 虚拟 IP
·添加端口转发虚拟 IP
·添加使用虚拟 IP 的策略
添加静态 NAT 虚拟 IP
1进入 防火墙 > 虚拟 IP。
2单击 新建 以添加一个虚拟 IP。
3输入虚拟 IP 的名称。
这个名字可以包含数字(0-9), 大写或者小写字母(A-Z,a-z),以及特殊字符-和
_。不允许使用其它特殊字符和空格符。
4选择这个虚拟 IP 的外部网络接口。
外部接口是安全程度较低的区域中的网络接口。它接收数据包,并转发到安全程度较
高的区域中。
5确保类型被设置为 静态 NAT。
6在 外部 IP 地址 一栏,输入影射到网络中的地址的那个外部 IP 地址。
例如,如果虚拟 IP 提供了从互联网到 DMZ 网络或者内部网络上的一台Web 服务器的访
问,那么外部 IP 地址应当是从您的 ISP 那里获得的一个为Web 服务器准备的静态 IP
地址。这个地址必须是唯一的,不能被其它主机使用,也不能跟步骤 4中选择的外部
网络接口的地址相同。而且,这个地址必须是可以在这个网络接口中路由的。
如果在步骤 4中选择的外部接口的 IP 地址被设置为使用 PPPoE 或DHCP,您可以在外部
IP 地址中输入0.0.0.0。FortiGate 设备使用 PPPoE或DHCP 替换这个接口的 IP 地址 设
置。
7在 映射到IP 栏,输入在目的网络中的真实IP。例如,您的内部网络中的 Web 服务器
的IP 地址。
静态 NAT 用于把源网络中的地址转换成目的网络中的隐藏的地址。静态NAT 把返回的
数据包的源地址转换为源网络中的地址。
端口转发把一个源网络中的地址和端口号转换成一个目的网络中的隐藏的地址,并且
可以选择是否使用不同的端口号。使用端口转发功能,您还可以路由发往特
定端口和目的地址上的,与接收数据包的网络接口相匹配的数据包。这个技
术叫做端口转发或者端口地址转换(PAT)。也可以使用端口转发功能改变被
转发的数据包的目的端口。