FortiGate-500 安装和配置指南 2.50 版
FortiGate-500 安装和配置指南
143
防火墙配置
防火墙策略控制着所有通过 FortiGate 设备的通讯。防火墙策略是 FortiGate 设备
用来决定如何处理一个连接请求的一系列指令。当防火墙收到一个数据包内的连接请
求时,它提取出这个数据包的源地址、目的地址和服务 (端口号)进行分析。
对于要通过 FortiGate 设备传输的数据包,必须在 FortiGate 设备上添加一个与该
数据包源地址、目的地址和服务相匹配的防火墙策略。这个策略指导防火墙如何处理
这个数据包。处理方式可以是允许连接、拒绝连接、在连接前要求认证,或将数据包
作为 IPSec VPN 包处理。您还可以在策略中添加任务计划使得防火墙可以在每天不同
时间、一周、月或年中的不同日子用不同的方式处理连接。
每个策略都可以单独地配置为路由连接或应用网络地址转换(NAT)以转换源地
址、目的地址和端口。您可以添加 IP 池使防火墙转换源地址的时候使用动态 NAT。您
可以使用策略配置通过 FortiGate 的端口地址转换(PAT)。
您可以在策略中添加内容配置文件,从而获得对网页、文件传输和电子邮件服务的
防病毒保护、网页过滤和电子邮件过滤。您可以创建由下面动作之一或任意组合的功
能的内容配置文件:
·在 HTTP, FTP, SMTP, IMAP, 或 POP3 服务 中应用防病毒保护。
·隔离已经被病毒感染或可能被病毒感染了的文件。
·对 HTTP 服务应用网页过滤。
·对 IMAP 和 POP3 服务应用电子邮件过滤。
您也可以对防火墙策略添加日志记录,从而使 FortiGate 设备记录所有使用此策略
的连接。
本章描述了以下内容:
·默认防火墙配置
·添加防火墙策略
·配置策略列表
·地址
·服务
·任务计划
·虚拟 IP
·IP 池
·IP/MAC 绑定
·内容配置文件