26
美国飞塔有限公司
规划您的 FortiGate 设备的配置 开始
您所选择的操作模式决定了FortiGate 的配置方式。FortiGate有两种配置方式:
NAT/ 路由模式 (默认),或者透明模式。
NAT/ 路由模式在NAT/ 模式,FortiGate在网络中是可见的。此时它类似于路由器,所 有的网络
接口连接到不同的子网中。在 NAT/ 路由模式下有以下接口可用:
·外部 是默认的连接到外部网络 (通常是互联网)的接口,
·内部 是连接到内部网络的接口,
·DMZ 是连接到 DMZ 网络的接口。
·如果您建立了 HA簇,HA 是用于连接其他 FortiGate-500的接口。
·接口 1 到 8 可以连接到其他网络上。
无论FortiGate-500 工作在NAT模式或是路由模式,您都可以 添加安全策略以控制
通过FortiGate-500 的通讯连接。安全策略根据每个数据包的源地址、目的地址和服
务控制数据流。在 NAT 模式下,FortiGate 在将数据包发送到目的网络之前进行网络地
址转换。在路由模式下,不进行转换。
默认情况下,FortiGate只有一个 NA T 模式的策略,它使内部网络中的用户可以安
全地从外部网络下载内容。如果您没有配置其他安全策略,其他的数据流都将被阻塞。
FortiGate-500的NAT/ 路由模式的一 个比较典型的应用是作为私有网络和公共网
络之间的网关。在这种配置中,您可以创建 NAT 模式的策略以控制内部的私有网络和
外部的公共网络 (通常是互联网)之间的数据流通。
如果您安装了多个内部网络,例如除了内部私有网络之外还有DMZ 网络,您也可以
添加从DMZ 网络到内部或外部网络之间的路由模式策略。
图4: NAT/ 路由模式网络配置的例子
具有多个外部网络连接的 NAT/ 路由模式在NAT/ 路由模式下,您可以为FortiGate 设备配置到外部网络 (通常是互联网)
的多重冗余连接。例如,您可以创建以下配置:
·外部接口作为到外部网络 (通常是互联网)的默认接口。
·接口 1是到外部网络的冗余接口。
·内部接口作为到内部网络的接口。
·DMZ 接口作为到DMZ 网络的接口。