Fortinet FortiBridge 1000, Configuration

Page: 17 / 286

简介 防火墙
FortiGate-1000 安装和配置指南
3
防火墙
ICSA 认证的 FortiGate 防火墙可以在 互联 网 这 个 充满敌 意的 环境 中保护您的电 脑
网络。 ISCA 已 对 FortiGate 防火墙 4.0 版本 授予 了 证 书 ， 确 保 了 FortiGates 可以 成功
保护 企业 网络不 受来 自公 共 或其它非信任网络的各 种威胁 。
在 完成 FortiGate 的基本安装 后 ，防火墙可设置 为 允 许用户从 受 保护内部网络访问
Internet ， 并同 时 封锁 从 Internet 到内部网的访问。您可 对 防火墙 进 行设置，使其 对
从内部网到 Internet 的访问，和从 Internet 到内部 往 的访问 加 以 控制 。
您可以使用以 下 选项 灵活 地 配置 FortiGate 安全 策略 :
·控制 所有 进 入和 输 出的网络 流通 ，
·控制加密 的 VPN 流通 ，
·应 用防病毒保护和 WEB 内容过滤，
·阻塞 或 允 许 对 全部 策略 选项的访问，
· 根据 单 个 策略进 行 控制 ，
· 接 受 或 拒绝 出入 单 个 地址 的 流通 ，
·单独 或 成组地控制 标 准 的和用户定 义 的网络服务，
·要 求 用户在获取访问之 前进 行用户认证，
· 包含 了流通控制 用以设置 每 条策略 的访问 优 先 权和 带宽 保证或 带宽 限 制 ，
· 包含日志用以 逐 个 追 记 某 策略下 的网络连接，
· 包含网络 地址转 换 ／ 路由 （ NAT/ 路由）模式 策略 ，
· 包含 混 合 NAT 和路由模式 策略 。
FortiGate 防火墙支持网络 地址转 换 / 路由模式或透明模式。
NAT/ 路由模式
在 NAT/ 路由模式 下 , 您可 创建 NAT 模式和路由模式 策略 。
· NAT 模式 策略通 过网络 地址转 换 对 较 不安全 区域 中的用户 隐藏较 安全 区域 中的 地址 。
· 路由模式 策略 在不 执 行 地址转 换 下 接 受 或 拒绝 区域间 的连接。
透明模式
透明模式提 供了与 NAT 模式 相 同 的基本防火墙保护。从 FortiGate 中接 收 到的 数 据
包根据防火墙 策略 可 被 智 能 地转 发或 阻塞 掉 。 FortiGate 可插入到网络的任何一点 而 不
需 要对 此 网络或其它 相 关 组 件 做 任何的 改 变 。 然 而 ， VPN 、 VLAN 、多 区域功 能及一 些 高
级 防火墙 功 能 只 能在 NAT/ 路由模式 下 使用。
虚拟专用网 （ VLAN ）
FortiGate 防病毒防火墙支持服从 IEEE802.1Q 标 准 的虚拟 局域 网 （ VLAN ）标 签 。
用 VLAN 技术， FortiGate 可以多个安全 域 提 供 安全服务和连接 控制 ，根据 添加 到 VLAN
数 据包的 VLAN ID 来识别这些 安全 域 。 FortiGate 可以 识别 VLAN ID 并对 安全网络和 每
个安全 域间 的 IPSec VPN 数 据 流应 用安全 策略 。它 还 可以 为 VLAN 标 识 的网络和 VPN 数
据 流 提 供 认证、内容过滤和防病毒保护 功 能。