防火墙配置 默认防火墙配置
FortiGate-500 安装和配置指南
145要在区域中添加策略,您必须使用以下步骤将区域添加到防火墙网格:
1将区域添加到FortiGate 配置。
请见 第 111 页 “ 添加区域” 。
2将接口和 VLAN 子网络接口添加到这个区域。
请见 第 112 页 “ 在区域中添加接口” 和 第 112 页 “ 在区域中添加 VLAN 子
接口” 。
3为这个区域添加防火墙地址。
��见 第 152 页 “ 添加地址” 。
地址要添加接口、VLAN 子接口和区域之间的策略,防火墙的配置中必须包含每个接口、
VLAN 子接口和区域的地址。默认情况下FortiGate设备配 置中包含的地址在表5中列
出。
防火墙使用这些地址匹配防火墙接收到的数据包的源地址和目的地址。默认的策略
匹配从内部网络来的全部连接,因为它包含了内部 _全部 地址。默认策略也匹配到外
部网络的全部连接,因为它包含了 外部 _全部 地址。
您可以在每个接口上添加更多的地址以增强您对通过防火墙的连接的控制能力。关
于防火墙地址的详细信息,请见 第 152 页 “ 地址” 。
您也可以添加提供网络地址转换(NAT)功能的防火墙策略。要使用 NAT 转换目的
地址,必须添加虚拟 IP。虚拟 IP 将一个网络中的地址映射到另一个网络中的被转换的
地址上。关于虚拟 IP 的详细信息请见 第 162 页 “ 虚拟 IP” 。
服务防火墙策略也可以根据数据包的服务或目的端口来控制连接。默认的策略接受使用
任何服务或目的端口的连接。防火墙配置中包含了40 多个预定义的服务。您可以将这
些服务添加到策略中以提高对使用这些服务通过防火墙的连接的控制能力。您也可以
添加用户自定义的服务。关于服务的详细信息,请见 第 155 页 “ 服务” 。
任务计划策略也可以根据防火墙收到的连接在一天当中的时间或一周中的日子来控制连接。
默认的策略可以在任何时间接受连接。防火墙配置中包括了一个在任何时间接受连接
的任务计划。您可以添加更多的任务计划以控制策略生效的时间。关于任务计划的详
细信息,请见 第 159 页 “ 任务计划” 。
表5: 默认地址
接口 地址 描述
内部 内部 _全部 这个地址匹配于内部网络的全部地址。
外部 外部 _全部 这个地址匹配于外部网络的全部地址。
DMZ DMZ _ 全部 这个地址匹配于DMZ 网络的全部地址。