Fortinet FortiGate 300, Инструкция по установке и настройке

Страница: 55 / 282

NAT/ 路由 模式安装 配置 举 例：到 互联 网的多 重 连接
FortiGate-300 安装和配置指南
41
只 有您 已 经定 义了 类似 于在 前面 章 节 中描 述 的目的路由之 后 ，在 这些 例子中描 述 的
策略 路由 才 能 正常 工 作 。
· 将 通讯 从内部子网路由到不 同 的外部网络
· 路由到外部网络的服务
关于 策略 路由的 详 细 信息，请 见 第 115 页 “ 策略 路由 ” 。
将 通讯 从内部子网路由到不 同 的外部网络
如果 FortiGate 提 供了 从多个内部子网到 互联 网的访问，您可以使用 策略 路由 控制
从各个内部子网到 互联 网的 通讯 的路由。例如，如果内部网络包含 了 192.168.10.0 子
网和 192.168.20.0 子网，您可以 输 入如 下策略 路由：
1 输 入以 下 命令路由从 192.168.10.0 子网到外部网络 100.100.100.0 的 通讯 ：
set system route policy 1 src 192.168.10.0 255.255.255.0 dst
100.100.100.0 255.255.255.0 gw 1.1.1.1
2 输 入以 下 命令路由从 192.168.20.0 子网到外部网络 200.200.200.0 的 通讯 ：
set system route policy
2
src 192.168.20.0 255.255.255.0 dst
200.200.200.0 255.255.255.0 gw 2.2.2.1
路由到外部网络的服务
您可以使用以 下策略 路由将所有 HTTP 通讯 （使用 80 端 口）定 向 到一个外部网络，
而 将其他的全部 通讯 定 向 到 另 一个外部网络。
1 输 入以 下 命令将使用 80 端 口的全部 HTTP 通讯 路由到 IP 地址为 1.1.1.1 的网关。
set system route policy 1 src 0.0.0.0 0.0.0.0 dst 0.0.0.0
0.0.0.0 protocol 6 port 1 1000 gw 1.1.1.1
2 输 入以 下 命令将其他的全部 通讯 路由到 IP 地址为 2.2.2.1 的网关。
Set system route policy 2 src 0.0.0.0 0.0.0.0 dst 0.0.0.0
0.0.0.0 gw 2.2.2.1
防火墙 策略举 例
防火墙 策略控制 着 通 过 FortiGate 设备的 通讯流 。一 旦 配置 了 到 互联 网的多 重 连接
的路由，您 需 要创建对应 的防火墙 策略 ， 控制 允 许 通 过 FortiGate 设备的 通讯 ，以及
允 许 通讯 使用的接口。
为了 使从内部网络发出的 通讯 能 够 通 过 两 个 互联 网连接 线 路连接到 互联 网，您 必 须
添加 从内部接口到 每 个 带 有 互联 网连接的接口的 冗余策略 。 添加完策略 之 后 ，路由配
置可以 控制 使用 哪 个到 互联 网的连接。
添加冗余 的默认 策略
第 37 页 图 8 显示了 FortiGate 设备使用外部和 DMZ 接口连接到 互联 网的例子。
默认的 策略 允 许全部的 通讯 从内部网络 通 过外部接口连接到 互联 网。如果您 添加了 一
个 类似 的从内部网络到 DMZ 的 策略 列表， 这 一 策略 将 允 许所有 通讯 从内部网络 通 过 DMZ
接口连接到 互联 网。在防火墙配置中 添加了 这两 个 策略 之 后 ，路由配置可以 决 定从内
部网络到 互联 网的连接 实 际 使用 哪 条 到 互联 网的 线 路。关于默认 策略 的 详 细 信息，请
见 第 138 页 “ 默认防火墙配置 ” 。