原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
. 多对一的源地址转换是通过转换源端口来实现的。理论上上,最多一个公网地址可以支持64500个会话。 如果选择”保持端口号“,则无法实现多对一的地址映射。 The IP Pool function on a FortiGate is simply to control the source IP of traffic subject to a NAT.? Referring to the first point above, if you had an IP Pool that contained “192.133.168.[80-82]” traffic from the inside subject to that policy would have the source IP changed to the first IP address in the pool (0).? Round robin would be used to dictate the source IP of subsequent egress traffic assuming more than one IP address present in the pool.? The IP Pool option doesn’t apply to, and is unavailable unless the NAT checkbox is selected, and an IP Pool exists that is associated with the egress interface. This technology is useful when a host must masquerade as an IP other than its own for outgoing sessions. This particular technology is stateful, but is not however bi-directional. This technology will allow a larger amount of concurrent sessions to be subject to NAT in the firewall policy due to the additional IP and port associations created by PAT. 创建防火墙策略的原则 策略是按照进出流量的接口部署的 流量如果没有匹配的防火墙策略的话,是不能穿过设备的 正确理解状态监测,防火墙的策略应以数据流的发起方来判断建立的方向 也就是说,当需要内部网访问外部网时,只需要建立一个从Internal到wan1的允许策略即可 防火墙策略 接口 服务 NAT / Route 保护内容表 如何创建防火墙策略 – 接口与IP地址 两种类型的地址: IP / IP Range FQDN——域名的方式 定义IP范围的多种方式: 9 / /24 9-05 192.168.1.[99-105] FQDN域名方式 防火墙本身的DNS用来解析FQDN地址对象的 FQDN解析的缓存时间是由DNS服务器决定的 如何创建防火墙策略 – 选择与定制服务 FortiGate本身内置了六十多个预定义的服务 用户也可以自行定义服务,以下协议可以定制: TCP/UDP ICMP IP 也可以通过组的方式将多个服务组合在一起 如何创建防火墙策略 – 定制时间表 防火墙的基于时间的控制 如何创建防火墙策略 – 选择动作 数据包是根据接口、地址、协议、时间四项进行匹配的,一旦匹配成功后,就根据“Action”来决定操作,不再向下匹配。 在建立防火墙策略是,应尽可能范围小的放在前面,范围大的放在后面。 在 NAT/Route模式下,防火墙策略还需要判断是否对数据流进行NAT。 有以下类型的动作: Accept Deny SSL——ssl vpn的策略 IPSec——Ipsec vpn的策略 防火墙策略使用“Any”接口 源或目的接口都可以设置为“any” 如果任何一条防火墙策略使用了“any”接口,则只能使用防火墙策略全局视图 “any”接口不能用于VIP或IP-pool 实验一 10.0.x.1只能够访问,而不能访问其他的网站 提示: 注意以下DNS的问题 没有匹配策略成功的话,那么是拒绝的。 地址转换 如何设置源地址转换 缺省情况下,端口地址翻译为外部接口IP地址 如何设置源地址转换——不使用接口地址 地址翻译成指定范围的IP地址 防火墙虚拟IP IP池 如何来验证 Diagnose
文档评论(0)