IPSec VPN
配置
加密策略
FortiGate-500
安装和配置指南
195
尽
管
加密策略同
时
控制进
入和发出的连接,它
必
须
被
配置
成为
一个
向
外的
策略
。一
个
向
外的
策略
具有一个内部网络的
源地址
和一个外部网络
上
的目的
地址
。
源地址
标
识
VPN
在内部网络中的部
分
。目的
地址
标
识
了
VPN
在
远
程网络中的部
分
。
典
型的
向
外
策略
包
括
内部到外部的
策略
和
DMZ
到外部的
策略
。
除了
用定
义
VPN
成员
的
地址
之外,您可以配置
加密策略
的服务,例如
DNS
、
FTP
和
POP3
,以及根据
预
定
义
的时
间
表 (根据一
天
当
中的时
间
或者一
周
、月或年
当
中的日
期
)
来
接
受
连接。您
还
可以配置
加密策略
的以
下
内容:
·向
内
NAT
可以
转
换
进
入的
数
据包的
源地址
。
·向
外
NAT
可以
转
换
向
外发出的
数
据包的
源地址
。
·流量控制
可以
控制
VPN
可用的
带宽
和
VPN
的
优
先级
。
·
内容配置文件
可以
对
VPN
中的网页、文件传
输
和电子邮件服务
应
用防病毒保护、网
页过滤和电子邮件过滤。
·
日
记记
录
可以使
FortiGate
设备
对
所有使用
VPN
的连接
记
录日志。
策略
必
须
包含您所
创建
的用
来
和
远
程
FortiGateVPN
网关
通讯
的
VPN
通道
。
当
您的
内部网络中的用户
试
图连接到
远
程
VPN
网关
后面
的网络中的时
候
,
加密策略
截
获
这
个
连接
企
图
并
发
起
一个
添加
到
这
个
策略
的
VPN
通道
。
这
个
通道
使用
添加
到它的配置中的
远
程网关
来
连接到连接到
远
程
VPN
网关。
当远
程
VPN
网关接
收
到连接请
求
时,它检
查
自
己
的
策略
,网关和
通道
配置。如果配置
允
许,将在
这两
个
VPN
端
点之
间
协
商一个
IPSec VPN
通道
。
·
添加源地址
·
添加
目的
地址
·
添加
一个
加密策略
添加源地址
源地址是
本
地
VPN
端
点所在的网络中的
地址
。它可以
是
一个
单独
的电
脑
的
地址
或
是
一个网络的
地址
。
1
进
入
防火墙
>
地址
。
2
选
择
一个内部接口。(根据
FortiGate
型号的不
同
,
方
法
稍
有
差
别
。)
3
单击
新
建
以
添加
一个
地址
。
4
输
入本
地
VPN
端
点的内部接口
上
的
单独
电
脑
或
是整
个子网的
地址名
,
IP
地址
和网络
掩
码
。
5
单击
确
定以保
存源地址
。
添加
目的
地址
目的
地址
可以
是互联
网
上
的一个
VPN
客户
端
或
是远
程
VPN
网关
后边
的一个网络的
地
址
。
1
进
入
防火墙
>
地址
。
2
选
择
一个外部接口。(根据
FortiGate
型号的不
同
,
方
法
稍
有
差
别
。)
3
单击
新
建
以
添加
一个
地址
。
注意:目的
地址
可以
是互联
网
上
的一个
VPN
客户
端地址
或
是
一个
远
程
VPN
网关
后边
的一个网络中
的
地址
。
Summary of Contents for FortiGate 500
Page 26: ...14 美国飞塔有限公司 客户服务和技术支持 简介 ...
Page 42: ...30 美国飞塔有限公司 下一步 开始 ...
Page 58: ...46 美国飞塔有限公司 配置举例 到互联网的多重连接 NAT 路由 模式安装 ...
Page 136: ...124 美国飞塔有限公司 在您的内部网络中提供 DHCP 服务 网络配置 ...
Page 144: ...132 美国飞塔有限公司 添加 RIP 过滤器 RIP 配置 ...
Page 192: ...180 美国飞塔有限公司 配置用户组 用户与认证 ...
Page 216: ...204 美国飞塔有限公司 VPN 监视和问题解答 IPSec VPN ...
Page 230: ...218 美国飞塔有限公司 L2TP VPN 配置 PPTP 和 L2TP VPN ...
Page 248: ...236 美国飞塔有限公司 URL 排除列表 网页内容过滤 ...
Page 276: ...264 美国飞塔有限公司 索引 ...