IPSec VPN 配置加密策略
FortiGate-400 安装和配置指南
191
尽管加密策略同时控制进入和发 出的连接,它必须被配置成为一个向外的策略。一
个向外的策略具有一个内部网络的源地址和一个外部网络上的目的地址。源地址标识
VPN 在内部网络中的部分。目的地址标识了 VPN 在远程网络中的部分。典型的向外策略
包括内部到外部的策略和 DMZ 到外部的策略。
除了用定义 VPN 成员的地址之外,您可以配置加密策略的服务,例如 DNS、FTP 和
POP3,以及根据预定义的时间表 (根据一天当中的时间或者一周、月或年当中的日
期)来接受连接。您还可以配置加密策略的以下内容:
·向内 NAT 可以转换进入的数据包的源地址。
·向外 NAT 可以转换向外发出的数据包的源地址。
·流量控制 可以控制 VPN 可用的带宽和 VPN 的优先级。
·内容配置文件 可以对 VPN 中的网页、文件传输和电子邮件服务应用防病毒保护、网
页过滤和电子邮件过滤。
·日记记录 可以使 FortiGate 设备对所有使用 VPN 的连接记录日志。
策略必须包含您所创建的用来和远程 FortiGateVPN 网关通讯的 VPN 通道。当您的
内部网络中的用户试图连接到远程 VPN 网关后面的网络中的时候,加密策略截获这个
连接企图并发起一个添加到这个策略的 VPN 通道。这个通道使用添加到它的配置中的
远程网关来连接到连接到远程 VPN 网关。当远程 VPN 网关接收到连接请求时,它检查
自己的策略,网关和通道配置。如果配置允许,将在这两个 VPN 端点之间协商一个
IPSec VPN 通道。
·添加源地址
·添加目的地址
·添加一个加密策略
添加源地址
源地址是本地 VPN 端点所在的网络中的地址。它可以是一个单独的电脑的地址或是
一个网络的地址。
1 进入 防火墙 > 地址。
2 选择一个内部接口。(根据 FortiGate 型号的不同,方法稍有差别。)
3 单击新建以添加一个地址。
4 输入本地 VPN 端点的内部接口上的单独电脑或是整个子网的地址名,IP 地址和网络掩
码。
5 单击确定以保存源地址。
添加目的地址
目的地址可以是互联网上的一个 VPN 客户端或是远程 VPN 网关后边的一个网络的地
址。
1 进入 防火墙 > 地址。
2 选择一个外部接口。(根据 FortiGate 型号的不同,方法稍有差别。)
3 单击新建以添加一个地址。
注意:目的地址可以是互联网上的一个 VPN 客户端地址或是一个远程 VPN 网关后边的一个网络中
的地址。