196美国飞塔有限公司
配置加密策略 IPSec VPN
4输入互联网上的一个 VPN 客户端或是远程VPN 网关后边的一个网络的地址名,IP 地址
和网络掩码。
5单击确定以保存目的地址。
添加一个加密策略1进入 防火墙 >策略。
2使用策略网格选择要添加策略的策略列表。
例如,内部 -> 外部或 DMZ-> 外部。
3单击 新建 以添加新的策略。
4把 源地址 设为源地址。
5把 目的地址 设置为目的地址。
6设置服务以控制允许VPN 连接的服务。
您可以选择 任意 以允许所有支持的类型的服务通过VPN 连接,或者选择一个特定的
服务或服务组,以限制允许通过这个VPN 连接的服务。
7将动作设置为接受。
8配置加密的参数。
关于配置策略有关设置的详细信息请见
FortiGate 安装和配置指南。
9单击确定以保存加密策略。
排列加密策略在策略列表中的位置,使它在其他具有同样源和目的地址以及服务的
策略之上,以确保加密策略能匹配VPN 连接。
VPN 通道 为这个加密策略选择一个自动密钥通道。
允许向内选择 允许向内 可以允许向内连接的用户连接到源地址上。
允许向外选择 允许向外 可以允许向外连接的用户连接到目的地址上。
向内 NAT FortiGate 可以把接收到的向内的数据包的源地址转换为连接到源地址网络
上的FortiGate内部网络接口的 IP 地址。通常这是FORTIG ate 设备的一个
内部接口。
向内NAT 使得本地主机无法看到远程主机(在远程VPN网关后面的网络中的
主机)的IP 地址。
向外 NAT FortiGate 可以把向外发送的数据包的源地址转换为连接到目的地址网络上
的FortiGate 的网络接口的 IP 地址。通常情况下这是FortiGate 设备的一
个外部接口。
向外NAT 使得远程主机无法看到本地主机(位于本地VP N 网关后边的网络中
的主机)的 IP 地址。
如果实现了向外NAT,它受到以下限制:
只能在通道的一端配置向外NAT。
没有实现向外NAT 的那一端需要有一个内部 -> 外部的策略以将另一端的外
部接口指定为目的地(这将是一个公共IP 地址)。
通道和通道中的通讯只能由配置了向外NAT的那一端初始化。