面临的问题:
如何在不更改网络配置的情况下,部署连接飞塔防火墙设备,提供对私有网络的安全防御。私有网络是通过执行NAT功能的路由连接到互联网的。这样的部署方式在不取代路由器的同时增加网络安全防御,飞塔防火墙UTM设备应该阻断从互联网到私有网络的访问,但允许私有网络的用户连接访问互联网。飞塔防火墙设备同时也应该监控应用的使用情况并发现以及移除病毒。
解决方法:
参见视频:http://docs.forti net.com/cb/instl.html
在内网与路由器之间部署飞塔防火墙UTM网关设备运行于透明模式。在飞塔防火墙设备中添加一条安全策略允许内网中的用户访问互联网,并对该安全策略启动病毒扫描与应用控制功能.不需要做任何的网络更改,除了提供到FortiGate设备的管理IP地址。切换到透明模式后,NAT/路由模式下所作的配置更改,大部分者倒守被册!除.如果你想保留NAT/路由模式下配置,需要使用系统信息页面的面板工具对配置进行备份.
1.将内网中的一台PC与飞塔防火墙设备的内部接口连接。
2.启动PC与飞塔防火墙设备.
3.连接到飞塔防火墙UTM网关设备基于Web的管理器,你可以配置PC使用DHCP获取其IP地址,然后访问https://192.168.1.99.你也可协尔寸PC设置一个属于192.168.1.0/255.255.255.0子网地址段的静态IP,登录名是admin,不需要密码。
4.进入系统管理>面板>状态>系统信息,在操作模式选项配置以下内容:
5.点击OK确认切换到透明模式.
6.访问https://10.31.101.40,登录到基于web管理器界面.
你需要将PC的IP地址更改为10.31.101.0/255.255.255.0子网。
7.进入系统管理>网络>DNS,添加主与次DNS服务器。
8.进入Policy>策略>策略,点击新建,添加以下安全策略,允许私有网络中的用户访问互联网.
9.点击UTM,选中启动反病毒与启动应用控制选项
10点击OK保存安全策略的配置。
11.关闭飞塔防火墙设备。
12.将飞塔防火墙设备部署在网络与路由器之间. 将飞塔防火墙设备的wanl接口与路由器的内音吩妾口连接.将内部网络连接到FortiGate设备(例如FortiGate一60C)的配置接口。如果内网网络只有五台设备组成,那么这些设备都可以内部接口连接.
13.启动飞塔防火墙UTM网关设备。
结果:
从内网中一台PC 上打开Web浏览器并访问任同的互联网网站。你也应该可以使用FTP或任同其他协议或连接都可以访问互联网。
本文由:飞塔UTM于(2013-05-13)发表了关于飞塔防火墙透明模式的配置操作的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
