防火墙配置 IP 池
FortiGate-300 安装和配置指南
1592选择要添加 IP 池的 网络接口 。
3单击 新建 以将新的 IP 池添加到选中的网络接口。
4输入这个IP 池的地址范围的 起点IP 地址 和 终点IP 地址 。
这个起点IP 和终点IP 须用来定义IP 池的 IP 地址范围的起止点地址。其中,起点IP
地址必须小于终点IP 地址。起点IP 地址和终点IP 地址必须有相同的子网地址,并且
都IP 地址池添加到的那个网络接口所在的子网内。
如果您已经将外部接口配置为使用 PPPoE 或者 DHCP,您只能将起点IP 地址和终点IP
地址设置为外部接口当前的IP 地址。
5单击 确定 以保存这个IP 池。
图14: 添加一个 IP 池
使用固定端口的防火墙策略的IP 池如果一个 NAT 防火墙策略转换连接所使用的数据报的源端口,有些网络配置就无法
正常工作。NAT 通过转换源端口来跟踪特定服务的连接。您可以为NAT 策略选择固定的
端口以防止源端口转换。然而,选择固定端口意味着这个服务只有一个连接可以通过
防火墙。为了支持多个连接,您可以为目的接口添加一个 IP 池,然后在这个策略中选
择动态IP 池。防火墙将从 IP 池中随机选择IP 地址并将它们分配给每个连接。在这种
情况下防火墙能够支持的连接的数量仅仅受这个IP 池中 IP 地址数量的限制。
IP 池和动态NAT您可以在动态NAT 中使用 IP 池。例如,您所在的机构可能购买了某个地址范围内
的IP 地址,但是您可能只有一个到互联网的连接:您的 FortiGate 设备的外部接口。
您可以为您的 FortiGate 设备的外部接口指定一个您所在的机构购买的互联网IP
地址。如果您的 FortiGate 设备运行在 NAT/ 路由模式,所有从您的网络到互联网的连
接看起来都来自于这个地址。
如果您希望这些连接来自于您所有的互联网IP 地址,可以将这个IP 地址范围设置
成一个 IP 地址池添加到外部接口。然后可以为所有以外部接口作为目的接口的策略设
置动态IP 池。防火墙对于每个连接动态地从IP 池中选择一个 IP 地址作为连接的源地
址。结果是到互联网的那些连接看起来似乎来源于这个IP 池中的全部地址。