Filter
Top Products
防火墙配置 IP 池
FortiGate-300 安装和配置指南
159
2 选择要添加 IP 池的 网络接口 。
3 单击 新建 以将新的 IP 池添加到选中的网络接口。
4 输入这个 IP 池的地址范围的 起点 IP 地址 和 终点 IP 地址 。
这个起点 IP 和终点 IP 须用来定义 IP 池的 IP 地址范围的起止点地址。其中,起点 IP
地址必须小于终点 IP 地址。起点 IP 地址和终点 IP 地址必须有相同的子网地址,并且
都 IP 地址池添加到的那个网络接口所在的子网内。
如果您已经将外部接口配置为使用 PPPoE 或者 DHCP,您只能将起点 IP 地址和终点 IP
地址设置为外部接口当前的 IP 地址。
5 单击 确定 以保存这个 IP 池。
图 14: 添加一个 IP 池
使用固定端口的防火墙策略的 IP 池
如果一个 NAT 防火墙策略转换连接所使用的数据报的源端口,有些网络配置就无法
正常工作。NAT 通过转换源端口来跟踪特定服务的连接。您可以为 NAT 策略选择固定的
端口以防止源端口转换。然而,选择固定端口意味着这个服务只有一个连接可以通过
防火墙。为了支持多个连接,您可以为目的接口添加一个 IP 池,然后在这个策略中选
择动态 IP 池。防火墙将从 IP 池中随机选择 IP 地址并将它们分配给每个连接。在这种
情况下防火墙能够支持的连接的数量仅仅受这个 IP 池中 IP 地址数量的限制。
IP 池和动态 NAT
您可以在动态 NAT 中使用 IP 池。例如,您所在的机构可能购买了某个地址范围内
的 IP 地址,但是您可能只有一个到互联网的连接:您的 FortiGate 设备的外部接口。
您可以为您的 FortiGate 设备的外部接口指定一 个您所在的机构购买的互联网 IP
地址。如果您的 FortiGate 设备运行在 NAT/ 路由模式,所有从您的网络到互联网的连
接看起来都来自于这个地址。
如果您希望这些连接来自于您所有的互联网 IP 地址,可以将这个 IP 地址范围设置
成一个 IP 地址池添加到外部接口。然后可以为所有以外部接口作为目的接口的策略设
置动态 IP 池。防火墙对于每个连接动态地从 IP 池中选择一个 IP 地址作为连接的源地
址。结果是到互联网的那些连接看起来似乎来源于这个 IP 池中的全部地址。