162
美国飞塔有限公司
IP/MAC 绑定 防火墙配置
图 11: 添加一个 IP 池
使用固定端口的防火墙策略的 IP 池
如果一个 NAT 防火墙策略转换连接所使用的数据报的源端口,有些网络配置就无法
正常工作。NAT 通过转换源端口来跟踪特定服务的连接。您可以为 NAT 策略选择固定的
端口以防止源端口转换。然而,选择固定端口意味着这个服务只有一个连接可以通过
防火墙。为了支持多个连接,您可以为目的接口添加一个 IP 池,然后在这个策略中选
择动态 IP 池。防火墙将从 IP 池中随机选择 IP 地址并将它们分配给每个连接。在这种
情况下防火墙能够支持的连接的数量仅仅受这个 IP 池中 IP 地址数量的限制。
IP 池和动态 NAT
您可以在动态 NAT 中使用 IP 池。例如,您所在的机构可能购买了某个地址范围内
的 IP 地址,但是您可能只有一个到互联网的连接:您的 FortiGate 设备的外部接口。
您可以为您的 FortiGate 设备的外部接口指定一 个您所在的机构购买的互联网 IP
地址。如果您的 FortiGate 设备运行在 NAT/ 路由模式,所有从您的网络到互联网的连
接看起来都来自于这个地址。
如果您希望这些连接来自于您所有的互联网 IP 地址,可以将这个 IP 地址范围设置
成一个 IP 地址池添加到外部接口。然后可以为所有以外部接口作为目的接口的策略设
置动态 IP 池。防火墙对于每个连接动态地从 IP 池中选择一个 IP 地址作为连接的源地
址。结果是到互联网的那些连接看起来似乎来源于这个 IP 池中的全部地址。
IP/MAC 绑定
IP/MAC 绑定可以保护 FortiGate 和您的网络不受 IP 欺骗的攻击。IP 欺骗攻击是
一台主机企图使用另一台受信任的主机的 IP 地址连接到 FortiGate 或者通过
FortiGate。这个电脑的 IP 地址可以轻易地改变为受信任的地址,但是 MAC 地址是由
生产厂家添加到以太网卡上的,不能轻易地改变。
您可以在静态 IP/MAC 地址表中输入可信的电脑的静态 IP 地址和对应的 MAC 地址。