158
美国飞塔有限公司
IP 池 防火墙配置
2选择要添加的策略的 类型 :
·源接口必须匹配于外部接口列表中选中的接口。
·目的区域必须匹配于映射到的 IP 地址所在网络相连接的接口。
3使用以下信息配置策略。
4单击 确定 以保存这个策略。
IP 池一个 IP 池(也称做动态IP 池)是一个添加到防火墙网络接口 的 IP 地址范围。如
果您为一个接口添加了 IP 池,当配置一个其目的地址设为此接口的策略时可以选择动
态IP 池。如果您希望添加一个 NAT 模式的策略,以将源地址转换为从IP 池中随机选
择的地址,而不仅仅是使用目的接口的地址,您也可以添加一个 IP 池。
例如,如果您将一个 IP 池添加到了内部接口,您可以为外部 -> 内部和 DMZ-> 内部
策略选择动态IP 池。
IP 池中的地址必须和此网络接口的 IP 地址在同一子网内。例如,如果一个
FortiGate 网络接口是192.168.1.99,那么一个有效的IP池可以是从192.168.1.10
到192.168.1.20 的IP 地址。这个IP 池可以为防火墙提供11 个可选的 IP 地址,供防
火墙在转换源地址时候使用。
IP 池地址范围中的地址不能和所添加到的那个网络接口位于同一网络中的其它地
址冲突。
您可以在任何接口上添加多个 IP 池,但是只有IP 池被防火墙使用。
本节描述了以下内容:
·添加 IP 池
·使用固定端口的防火墙策略的IP 池
·IP 池和动态NAT
添加 IP 池
以下操作用于添加 IP 池:
1进入 防火墙 > IP 池。
源地址 选择用户可以用来访问服务器的源地址。
目的地址 选择虚拟 IP。
任务计划根据需要选择任务计划。
服务 选择的服务应当对应于您选择的端口转发虚拟 IP 所映射到的服务。
动作将 动作 设置为 接受以接受到内部网络服务器的连接。也可以选择拒
绝以拒绝对服务器的访问。
NAT 如果防火墙对于源地址网络隐藏了目的网络上的私有地址,则选择
NAT。
认证 可选项。选择认证并选择一个用户组可以要求用户在使用端口转发访
问服务器的时候先取得防火墙的认证。
记录流通日志
病毒防护与Web 过滤器
可以选中此项启用对端口转发的数据流记录日志,并启用对数据流应
用防病毒保护、Web 内容过滤功能。