192
美国飞塔有限公司
配置加密策略 IPSec VPN
4 输入互联网上的一个 VPN 客户端或是远程 VPN 网关后边的一个网络的地址名,IP 地址
和网络掩码。
5 单击确定以保存目的地址。
添加一个加密策略
1 进入 防火墙 > 策略。
2 使用策略网格选择要添加策略的策略列表。
例如,端口 1-> 端口 2 或端口 3-> 端口 2。
3 单击 新建 以添加新的策略。
4 把 源地址 设为源地址。
5 把 目的地址 设置为目的地址。
6 设置服务以控制允许 VPN 连接的服务。
您可以选择 任意 以允许所有支持的类型的服务通过 VPN 连接,或者选择一个特定的
服务或服务组,以限制允许通过这个 VPN 连接的服务。
7 将动作设置为接受。
8 配置加密的参数。
关于配置策略有关设置的详细信息请见
FortiGate 安装和配置指南。
9 单击确定以保存加密策略。
排列加密策略在策略列表中的位置,使它在其他具有同样源和目的地址以及服务的
策略之上,以确保加密策略能匹配 VPN 连接。
VPN 通道 为这个加密策略选择一个自动密钥通道。
允许向内 选择 允许向内 可以允许向内连接的用户连接到源地址上。
允许向外 选择 允许向外 可以允许向外连接的用户连接到目的地址上。
向内 NAT FortiGate 可以把接收到的向内的数据包的源地址转换为连接到源地址网络
上的 FortiGate 内部网络接口的 IP 地址。通常这是 FORTIGate 设备的一个
内部接口。
向内 NAT 使得本地主机无法看到远程主机 ( 在远程 VPN 网关后面的网络中的
主机 ) 的 IP 地址。
向外 NAT FortiGate 可以把向外发送的数据包的源地址转换为连接到目的地址网络上
的 FortiGate 的网络接口的 IP 地址。通常情况下这是 FortiGate 设备的一
个外部接口。
向外 NAT 使得远程主机无法看到本地主机(位于本地 VPN 网关后边的网络中
的主机)的 IP 地址。
如果实现了向外 NAT,它受到以下限制:
只能在通道的一端配置向外 NAT。
没有实现向外 NAT 的那一端需要有一个内部 -> 外部的策略以将另一端的外
部接口指定为目的地 (这将是一个公共 IP 地址)。
通道和通道中的通讯只能由配置了向外 NAT 的那一端初始化。