166
美国飞塔有限公司
IP/MAC 绑定 防火墙配置
图14: 添加一个 IP 池
使用固定端口的防火墙策略的IP 池
如果一个 NAT 防火墙策略转换连接所使用的数据报的源端口,有些网络配置就无法
正常工作。NAT 通过转换源端口来跟踪特定服务的连接。您可以为NAT 策略选择固定的
端口以防止源端口转换。然而,选择固定端口意味着这个服务只有一个连接可以通过
防火墙。为了支持多个连接,您可以为目的接口添加一个 IP 池,然后在这个策略中选
择动态IP 池。防火墙将从 IP 池中随机选择IP 地址并将它们分配给每个连接。在这种
情况下防火墙能够支持的连接的数量仅仅受这个IP 池中 IP 地址数量的限制。
IP 池和动态NAT
您可以在动态NAT 中使用 IP 池。例如,您所在的机构可能购买了某个地址范围内
的IP 地址,但是您可能只有一个到互联网的连接:您的 FortiGate 设备的外部接口。
您可以为您的 FortiGate 设备的外部接口指定一个您所在的机构购买的互联网IP
地址。如果您的 FortiGate 设备运行在 NAT/ 路由模式,所有从您的网络到互联网的连
接看起来都来自于这个地址。
如果您希望这些连接来自于您所有的互联网IP 地址,可以将这个IP 地址范围设置
成一个 IP 地址池添加到外部接口。然后可以为所有以外部接口作为目的接口的策略设
置动态IP 池。防火墙对于每个连接动态地从IP 池中选择一个 IP 地址作为连接的源地
址。结果是到互联网的那些连接看起来似乎来源于这个IP 池中的全部地址。
IP/MAC 绑定IP/MAC 绑定可以保护 FortiGate和您 的网络不受IP欺骗的攻击。IP 欺骗攻击是
一台主机企图使用另一台受信任的主机的 IP 地址连接到 FortiGate 或者通过
FortiGate。这个电脑的IP 地址可以轻易地改变为受信任的地址,但是MAC地址是由
生产厂家添加到以太网卡上的,不能轻易地改变。
您可以在静态 IP/MAC 地址表中输入可信的电脑的静态 IP 地址和对应的MAC 地址。