网络配置 配置网络接口
FortiGate-500 安装和配置指南
115
配置对一个连接到互联网的接口的管理访问方式将允许从互联网中的任何地方对这个
FortiGate 设备进行远程管理。允许来自互联网的对您的 FortiGate 设备的远程管理可
能会危及您的设备的安全性。您应当禁止对连接到互联网的网络接口的管理访问的许
可,除非这是必须的。要提高允许从互联网访问的 FortiGate 设备的安全性,需要为
有管理权限的用户设置安全的密码,定期更换这些密码,并且只启用 HTTPS 或 SSH 的
安全管理访问。
4 单击确定以保存您所做的修改。
为接口的连接配置通讯日志
1 进入 系统 > 网络 > 通讯。
2 在要配置日志的接口上单击修改 。
3 单击日志以将这个接口设置为某个防火墙策略接收连接时记录日志消息。
4 单击确定以保存您所做的修改。
修改外部网络接口的 MTU 大小以提高网络性能
为了提高互联网连接的性能,可以调整 FortiGate 单元在外部网络接口上传输数
据时数据包的最大传输单元 (MTU)的尺寸。理想情况下,FortiGate 单元的外部网络
接口上的 MTU 的尺寸应该等于从 FortiGate 单元到互联网所经过的所有网络中最小的
MTU 的尺寸。如果 FortiGate 单元发送的 MTU 大于这一尺寸, 数据包在传输过程中将
被分割成碎片,这将减慢传输速度。
只有一种方法能够找出最优的 MTU 尺寸,那就是反复实验。但是也有一些指导方
法能对我们提供帮助。例如,多数点对点协议 (PPP)连接的 MTU 是 576,所以如果您
是通过 PPP 或者 PPPoE 连接到互联网的,您可以试试将 MTU 的尺寸设为 576。DSL 调制
解调器使用很小的 MTU 尺寸。大多数以太网使用的 MTU 是 1500。
以下操作将改变从外部网络接口发出的数据包的 MTU 尺寸:
1 进入 系统 > 网络 > 接口。
2 对外部网络接口,单击 修改 。
3 选择 大于 MTU 的发出数据包 。
HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序。
PING 如果您希望网络接口对 PING 作出响应,选中此项。用于验证您的安装和测试。
HTTP 允许 HTTP 连接通过此接口连接到 基于 Web 的管理程序。 HTTP 连接是不安全的,
可能被第三方所截获。
SSH 允许安全 SSH 连接通过此接口连接到 CLI。
SNMP 允许远程 SNMP 管理者连接到这个接口请求 SNMP 信息。见 第 137 页 “ 配置
SNMP” 。
TELNET 允许通过这个接口使用 CLI 的 Telnet 连接。Telnet 连接是不安全的,可能被第三
方所截获。
注意:如果您的 ISP 使用 DHCP 为外部网络接口分配 IP 地址,则不能把 MTU 设置得小于 576。因
为这是 DHCP 通信的最小值。
注意:如果外部网络接口使用的是 PPPoE,您无法设置 MTU 的大小,因为 PPPoE 协议将配置最优
的 MTU 大小,并覆盖您的设置。