教程篇(7.4) 02. 防火墙策略与NAT & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4

 在本课中，你将了解防火墙策略以及如何应用它们来允许和拒绝通过FortiGate的流量。从本质上讲，FortiGate是一个防火墙，因此它对你的流量所做的几乎所有事情都与你的防火墙策略相关联。

　　在本课中，你还将学习如何配置网络地址转换（NAT），并用它来为通过FortiGate的流量实现源NAT（SNAT）和目标NAT（DNAT）。

 完成本节后，你应该能够实现上图显示的目标。

　　通过展示识别防火墙策略不同组件的能力，并识别FortiGate如何将流量与防火墙策略匹配并采取适当行动，你将更好地了解防火墙策略如何与网络流量交互。

 首先，你将了解什么是防火墙策略。

　　任何通过FortiGate的流量都必须与防火墙策略相关联。策略是一组指令，用于控制通过FortiGate的流量。这些说明决定了流量的去向，如何处理，以及是否允许它通过FortiGate。总之，防火墙策略是一组规则，指定通过FortiGate允许哪些流量，以及当流量与策略匹配时FortiGate应该做什么。

　　应该允许流量吗？FortiGate基于简单的标准做出这一决定。FortiGate分析流量来源、目标IP地址和服务。如果策略没有阻止流量，FortiGate将开始进行计算成本更高的安全配置文件检查（通常称为统一威胁管理（UTM）），例如反病毒、应用控制和Web过滤，如果你在策略中选择了它。如果存在安全风险，例如，如果流量包含病毒，这些检查会阻止流量。否则，流量是允许的。

　　会应用网络地址转换（NAT）吗？需要身份验证吗？防火墙策略也决定了这些问题的答案。处理完成后，FortiGate将数据包转发到其目的地。

　　FortiGate从上到下查找匹配的防火墙策略，如果找到匹配，则根据防火墙策略处理流量。如果没有找到匹配项，流量将被默认的隐式拒绝防火墙策略丢弃。

  每个策略都通过引用你定义的对象（如地址和配置文件）来匹配流量并应用安全性。

　　常见的策略类型有：

　　● 防火墙策略：防火墙策略由一组规则组成，这些规则控制通过FortiGate的流量。

　　● 防火墙虚拟链路对策略：虚拟链路对策略用于控制虚拟链路对中接口之间的流量。

　　● 组播策略：组播策略允许组播数据包从一个接口传到另一个接口。

　　● 本地入向策略：本地入向策略控制到FortiGate接口的流量，并可用于限制管理访问。

　　● DoS策略：拒绝服务（DoS）策略检查到达FortiGate接口的网络流量是否存在异常模式。

　　默认情况下，只有防火墙策略在策略&对象下可见。其他策略基于通过系统设置>可见功能界面启用。

　　在本课中，你将了解IPv4防火墙策略，因为它们是最常用的策略。

 当你在GUl上配置新的防火墙策略时，你必须为防火墙策略指定一个唯一的名称，因为它默认启用，而它在CLI上是可选的。这有助于管理员快速识别他们正在寻找的策略。

　　你也可以在GUI上的可见功能页面，启用允许未命名策略功能选项。

　　请注意，如果在CLl上配置的策略没有策略名称，并且你修改了GUl上的现有策略，则必须指定一个唯一的名称。FortiGate平面GUI视图允许你通过单击或拖放右侧填充的列表来选择接口和其他对象。

　　可以选择互联网服务作为源。互联网服务是一个或多个地址和一个或多个与互联网上找到的服务相关的服务的组合，例如软件的更新服务。

　　你可以在防火墙策略中配置许多其他选项，例如防火墙和网络选项、安全配置文件、日志记录选项以及启用或禁用策略。

　　在创建防火墙对象或策略时，会添加一个通用唯一标识符（UUID）属性，以便日志可以记录这些UUID，并在与FortiManager或FortiAnalyzer集成时改进功能。

　　在创建防火墙策略时，请记住FortiGate是一个有状态的防火墙。因此，你只需要创建一个与启动会话的流量方向相匹配的防火墙策略。FortiGate将自动记住源-目标对并允许回复。

 当数据包到达时，FortiGate如何找到匹配的策略？

　　每个策略都有匹配标准，你可以使用以下对象进行定义：

　　● 流入接口

　　● 流出接口

　　● 源：IP地址、用户、互联网服务

　　● 目标：IP地址或互联网服务

　　● 时间表：适用策略的具体时间

　　● 服务：IP协议和端口号

　　如果流量与防火墙策略匹配，FortiGate将应用防火墙策略中配置的操作：

　　● 如果动作设置为拒绝, FortiGate将丢弃会话。

　　● 如果动作配置为接受，则FortiGate允许该会话，并将其他配置应用于数据包处理，如用户认证、源NAT、反病毒扫描、web过滤等。

　　当FortiGate接收流量时，它会评估数据包的源IP地址、目标IP地址和请求的服务（协议和端口号）。它还检查流入接口和需要使用的流出接口。根据这些信息，FortiGate识别防火墙策略并评估流量。如果流量与策略匹配，则FortiGate应用策略中定义的操作（接受或拒绝）。

　　例如，要阻止传入的FTP流量到除少数FTP服务器外的所有FTP服务器，请将FTP服务器的地址定义为目标，并选择FTP作为服务。你可能不会指定来源（通常允许在互联网上的任何位置）或时间表（FTP服务器通常白天或晚上都可用）。最后，设置动作为接受。

 默认情况下，你只能选择单个接口作为流入接口，单个接口作为流出接口。这是因为在GUI上禁用了在防火墙策略中选择多个接口或任何接口的选项。

　　你也可以在可见功能页面上启用多接口策略选项，以禁用单个接口限制。

　　如果你在CLl上配置防火墙策略，你也可以指定多个接口，或使用any选项，无论默认的GUI设置如何。

　　值得一提的是，当你选择any接口选项时，你无法为该接口选择多个接口。在上图显示的示例中，由于any接口都被选为流出接口，因此你无法添加any额外的接口，因为any接口意味着所有接口都已被选中。

 FortiGate考虑的下一个匹配标准是数据包的源。

　　在每个防火墙策略中，你必须选择一个源地址对象。或者，你还可以通过选择用户或用户组来细化源地址的定义，这提供了更精细的匹配，以提高安全性。你还可以在防火墙策略中选择ISDB对象作为源，你将在本课的后面了解到这一点。

　　当选择完全限定域名（FQDN）作为源地址时，必须由DNS解析并在FortiGate中缓存。确保FortiGate为DNS设置正确配置。如果FortiGate无法解析FQDN地址，它将显示一条警告消息，并且配置有该FQDN的防火墙策略可能无法正常工作。

　　具有有效FortiCare支持合同的FortiGate设备会收到使用ISDB和地理数据库的最新信息，并将其用作防火墙对象。

 在上图显示的示例中，源选择器识别特定的子网和用户组。请记住，用户是一个可选对象。这里使用用户对象来使策略更加具体。如果你希望策略匹配更多流量，你可以不定义用户对象。

　　你还可以在防火墙策略中使用ISDB对象作为源。在防火墙策略中，ISDB对象和源地址对象之间存在或关系。这意味着你可以选择源地址或互联网服务，但不能同时选择。

 与数据包的源代码一样，FortiGate也会检查目标地址是否匹配。

　　你可以在防火墙策略中使用地址对象或ISDB对象作为目标。地址对象可以是主机名、IP子网或范围。如果你输入FQDN作为地址对象，请确保你已将FortiGate设备配置为DNS服务器。FortiGate使用DNS将这些FQDN主机名解析为IP地址，这些地址出现在IP头中。

　　你还可以选择地理地址，这是分配给一个国家的地址组或范围。FortiGuard用于更新这些对象。 

　　为什么没有选择用户的选项？用户身份在流入接口确定，仅在用户成功身份验证后将数据包转发到流出接口。

 防火墙策略可以应用的最重要功能之一是安全配置文件，如IPS和反病毒。安全配置文件检查流量中的每个数据包，其中会话已被防火墙策略有条件接受。

　　在检查流量时，FortiGate可以使用两种方法之一：基于流的检查或基于代理的检查。每种检查类型都支持不同的安全功能。

　　请注意，默认情况下，视频过滤器、VOIP和Web应用防火墙安全配置文件选项在GUI上的策略页面上不可见。你需要在可见功能页面上启用它们。

  了解防火墙策略如何运作的一个重要概念是顺序优先，或者，如果你更喜欢更可识别的术语，先到先得。

　　策略ID是标识符。你可以使用Configure Table设置图标添加或删除策略ID列。

　　当你在GUI上创建新的防火墙策略时，FortiGate会自动分配策略ID。策略ID永远不会改变，即使你在顺序中将规则移得更高或更低。

　　如果你启用策略高级选项，那么你可以在创建新策略时手动分配策略ID。如果发现重复的条目，系统将产生错误，因此你可以分配不同的可用策略ID号。

　　默认情况下，策略高级选项在GUI上不可用，你必须在可见功能页面上启用它。

  防火墙策略出现在一个有组织的列表中。该列表组织为接口对视图、顺序分组视图或通过顺序之一。

　　默认情况下，策略列表显示在接口对视图中。每个部分都包含策略，按照评估匹配流量的顺序，并按流入-流出接口对排列。或者，你可以通过选择页面顶部的顺序分组视图或通过顺序来将你的策略查看为单个、全面的列表。在这两个视图中，策略也按照评估流量匹配的顺序列出——它们在顺序分组视图布局中被分组为未分类。你可以根据需要创建新的标签来对防火墙策略进行分组，以按照顺序组织防火墙策略。

　　为了帮助你记住每个接口的使用情况，你可以通过编辑网络页面上的接口来添加别名。例如，你可以叫port1为ISP1。这有助于使你的策略列表更容易理解。

 还记得你了解到只有第一个匹配策略适用吗？将你的策略安排在正确的位置很重要。它会影响哪些流量被阻止或允许。在适用的接口对部分中，FortiGate从顶部开始寻找匹配的策略。因此，你应该将更具体的策略放在首位；否则，更一般的策略将首先与流量相匹配，并且永远不会应用更精细的策略。

　　在上图显示的示例中，你将仅匹配FTP流量的Block_FTP策略（ID 2）移动到更通用的Full_Access（从任何地方接受一切）策略上方的位置。否则，FortiGate将始终在适用的接口对（Full_Access）中应用第一个匹配策略，并且永远不会到达Block_FTP策略。

　　在策略列表中移动策略时，策略ID保持不变。

　　请注意，在创建策略时，FortiGate会分配下一个最高的可用ID号。

 为了优化和整合防火墙策略，请始终检查所有配置的设置。在上图显示的示例中，两个防火墙策略在服务、安全配置文件和日志设置方面存在差异。你可以通过合并服务和选择适当的日志设置来合并这两个防火墙策略。

　　如果你为日志设置选择安全事件（UTM），则不会为ALL_ICMP流量生成流量日志。

　　请注意，ALL_ICMP服务不受网络过滤器和反病毒扫描的约束，这意味着将这些安全配置文件应用于ICMP流量将导致流量未经检查而通过。

  在生产网络中实施配置更改之前，始终计划一个维护窗口，并为一些IP地址和用户创建一个测试用例。使用GUl或CLI进行的任何配置更改都会立即生效，并可能中断服务。

　　作为最佳实践，尝试尽可能具体地配置防火墙策略。这有助于限制仅访问这些资源。例如，在配置地址对象时使用正确的子网。

　　另一个值得一提的设置是安全配置文件。安全配置文件有助于为你的网络提供适当的安全性。适当的日志记录配置还可以帮助你分析、诊断和解决常见的网络问题。

  在FortiGate上启用安全配置文件会影响防火墙资源和吞吐量。数据包被发送到内核或主CPU以强制过滤。FortiOS支持在防火墙策略和安全配置文件中进行基于流和基于代理的检查。

　　根据你的要求，你可以选择检查模式，但了解一些差异以及它如何影响防火墙性能是有用的。基于流的检查实时识别和阻止威胁，因为FortiOS识别威胁通常比基于代理的检查需要更低的处理资源。建议将基于流的检查应用于优先考虑流量吞吐量的策略。

　　基于代理的检查涉及缓冲流量，并在确定行动之前作为一个整体进行检查。拥有所有数据进行分析，可以检查比基于流的检查更多的数据点。基于代理的检查也支持一些高级功能，如使用配额、安全搜索和Web配置文件覆盖。

  默认情况下，内存为2GB或更少的低端FortiGate平台不会在GUl上显示防火墙策略和安全配置文件的基于代理的设置。这是为了减少这些平台上的内存使用，因为内存的设计是为了满足低端FortiGate的目的，并且还可以通过FortiGate使用基于流的安全检查来最大限度地提高安全性。

　　通过CLI命令config system settings，可以配置防火墙策略和安全配置文件的代理检测方式。

  如果你在策略中启用了日志记录，FortiGate会在防火墙策略关闭IP会话后生成流量日志。

　　默认情况下，日志记录允许流量被启用并设置为安全事件，并仅为防火墙策略中应用的安全配置文件生成日志。但是，你可以将设置更改为全部会话，这会生成所有会话的日志。

　　如果你启用会话开始时生成日志，FortiGate会在会话开始时创建流量日志。FortiGate还在关闭时为同一会话生成第二个日志。但请记住，增加日志记录会降低性能，因此仅在必要时使用它。

　　在会话过程中，如果安全配置文件检测到违规行为，FortiGate会立即记录攻击日志。为了减少生成的日志消息数量并提高性能，可以启用会话表项来记录丢弃的流量。这将在会话表中创建被拒绝的会话，如果会话被拒绝，该会话的所有数据包也将被拒绝。这确保FortiGate不必为每个匹配被拒绝会话的新数据包执行策略查找，从而减少CPU使用和日志生成。

　　CLI命令是ses-denied-traffic。你还可以设置阻断会话的持续时间。这通过在CLI中设置block-session-timer来决定会话在会话表中保留多长时间。默认情况下，它设置为30秒。

　　如果没有显示会话开始时生成日志选项，这意味着你的FortiGate设备没有内部存储。无论内部存储如何，CLI命令都set logtraffic-start enable。

  登录FortiGate，记录通过FortiGate的流量，从FortiGate开始的流量和结束的流量。记录流量扫描过程中的动作。FortiGate支持将所有日志类型发送到多个日志设备，包括其本地存储，这取决于不同FortiGate型号上可用的磁盘。

　　你可以在日志&报告>转发流量中查看流量日志。应用显示日志所需的过滤器，然后在过滤器字段中输入策略UUID，以显示与防火墙策略匹配的记录。选择日志的来源并指定历史时间框架，以减少不相关的日志条目。

　　你还可以通过右键单击防火墙策略，然后单击显示匹配日志来查看日志。

  基于地理的ISDB对象允许用户定义国家、地区和城市。这些对象可以在防火墙策略中使用，以更精细地控制父ISDB对象的位置。 

　　ISDB对象在策略中按名称而不是ID引用。

  答案：A

  答案：A

  答案：B

  现在，你将了解关于防火墙策略的NAT。

　　完成这一节后，你应该能够实现上图所显示的目标。

　　通过展示这些领域的能力，你将能够配置防火墙策略并应用适当的SNAT和DNAT，并了解它如何应用于通过FortiGate穿越的流量。

  NAT是一种使防火墙或路由器等NAT设备能够将数据包中的IP地址转换（或映射）到另一个IP地址的方法，通常用于连接目的。如果数据包中的端口信息也被翻译，那么翻译方法称为PAT。NAT提供以下好处：

　　● 安全：设备的真实地址对外网隐藏。

　　● 防止公共地址耗尽：数百台计算机可以共享相同的公共IPv4地址。

　　● 私有地址的灵活性：即使ISP发生变化，地址也可以保持不变。你可以在多个网络中重用私有地址。

　　NAT有两种类型：SNAT和DNAT。在SNAT中，NAT设备将源IP地址和源端口转换为数据包。在DNAT中，NAT设备转换目标IP地址和目标端口。你可以将FortiGate配置为执行SNAT和DNAT，如下所示：

　　● 对于SNAT，需要在匹配的防火墙策略上启用NAT转换。

　　● 对于DNAT，你配置虚拟IP（VIP），然后在匹配的防火墙策略上引用它们。

　　上图的示例显示了NAT最常见的用例：SNAT。FortiGate作为NAT设备，将分配给PC的专用IP地址转换为ISP分配的公共地址。PC访问互联网web服务器时，需要进行私网到公网的源地址转换。

  要配置防火墙策略，你可以在防火墙和网络选项部分启用SNAT。

　　有两个选项可以选择和选择SNAT的工作方式：

　　1. 使用出接口IP地址：匹配防火墙策略的数据包将数据包中的IP地址转换为另一个IP地址，通常是出于连通性的目的。

　　2. 使用动态IP池：这是动态SNAT，允许FortiGate将私有IP地址从地址池映射到第一个可用的公共地址。

  当你在匹配的防火墙策略上选择使用流出接口的接口地址时，FortiGate使用流出接口地址作为执行SNAT的NAT IP。

　　如果FortiGate背后有多个设备，FortiGate会执行多对一NAT。这也称为PAT。FortiGate为每个共享流出接口的连接分配一个来自可用端口池的端口号。端口的分配使FortiGate能够识别与连接关联的数据包，然后执行相应的翻译。这与overload IP池类型的行为相同，你还将了解该类型。

　　或者，你可以选择一个固定端口，在这种情况下，源端口翻译将被禁用。使用固定端口，如果两个或多个连接需要单个IP地址的相同源端口，则只建立一个连接。

　　上图的示例显示了FortiGate后面的两台PC，他们共享相同的公共IP地址（70.70.70.70）来访问互联网web服务器80.80.80.80。由于在防火墙策略上启用了使用流出接口的接口地址（在CLI上set nat enable），因此PC的源IP地址被转换为流口接口地址。然而，源端口并不总是被翻译。这取决于可用的端口和连接5元组。在上图显示的示例中，FortiGate仅从PC2转换连接的源端口。否则，两个连接将具有相同的值应答通信流的会话表信息，这将导致会话冲突。

  IP池允许离开FortiGate防火墙的会话使用NAT。IP池定义了单个IP地址或IP地址范围，用作会话期间的源地址。使用这些分配的地址，而不是分配给该FortiGate接口的IP地址。

　　IP池通常配置在与接口IP地址相同的范围内。

　　当你配置将用于NAT的IP池时，你必须考虑一个限制。如果IP池中的IP地址与分配给接口的IP地址不同，如果路由配置不当，基于这些IP地址的通信可能会失败。例如，如果分配给接口的IP地址是172.16.100.1/24，除非你配置适当的路由，否则你无法为IP池选择10.10.10.1至10.10.10.50。

　　你可以在FortiGate防火墙上配置四种类型的IP池：

　　● overload

　　● 一对一

　　● 固定端口范围

　　● 端口块分配

　　固定端口范围和端口块分配类型常见于运营商级NAT（CGN）部署。

 在一对一池类型中，FortiGate以先到先得的方式将IP池地址分配给内部主机。

　　内部地址与外部地址有单个映射。也就是说，IP池地址不与任何其他内部主机共享，因此名称是一对一的。如果IP池中没有更多可用的地址，FortiGate会从未服务的主机中丢弃数据包。

　　上图的示例显示了三台访问互联网的内部主机。PC1和PC2数据包首先由FortiGate接收，因此分别提供地址为70.70.70.71和70.70.72。然而，FortiGate丢弃了来自PC3的数据包，因为它们是最后到达的，也就是IP池中没有更多可用地址可供选择的时候。

  如果你使用IP池，源地址将转换为该池的地址，而不是流出接口地址。池中的地址数量越多，池可以支持的连接数量就越多。

　　默认的IP池类型是overload。在overload IP池类型中，使用多对一或多对几的关系和端口转换。

　　在上图显示的示例中，源IP 10.0.1.10转换为地址70.70.70.71，这是IP池中定义的地址之一（70.70.70.71 - 70.70.70.75）。

  VIP是DNAT对象。对于匹配VIP的会话，目标地址被翻译；通常公共互联网地址被翻译为服务器的专用网络地址。在防火墙策略目标地址字段中选择VIP。

　　默认的VIP类型是静态NAT。这是一个一对一的映射。这意味着：

　　1. FortiGate对指向VIP中定义的外部IP地址的入口流量执行DNAT，无论连接的协议和端口如何，前提是匹配的防火墙策略将VIP作为目的地。

　　2. FortiGate对来自VIP映射地址的所有出口流量进行SNAT时，如果对应的防火墙策略开启了NAT转换，则使用VIP中定义的外部IP地址作为NAT IP。也就是说，FortiGate不使用出接口地址作为NAT IP。

　　请注意，你可以使用IP池覆盖步骤2中描述的行为。你也可以选择FQDN作为类型。当你选择FQDN时，你可以将FQDN地址对象配置为外部和内部IP地址。这使得FortiGate可以在FQDN解析地址发生变化时自动更新VIP使用的外部和内部IP地址。

　　或者，你可以在VIP上启用端口转发，以指示FortiGate将与VIP中的外部地址和端口匹配的流量重定向到映射的内部地址和端口。当你启用端口转发时，FortiGate不再执行一对一映射。这意味着你可以重用相同的外部地址，并将其映射到不同的内部地址和端口，前提是外部端口是唯一的。例如，你可以配置一个VIP，以便连接到端口8080上的外部IP 70.70.70.70映射到端口80上的内部IP 192.168.0.70。然后，你可以配置另一个VIP，以便连接到端口8081上的外部IP 70.70.70.70映射到端口80上的内部IP 192.168.0.71。

  在上图显示的示例中，互联网主机在TCP端口443上启动到70.70.70.71的连接。在FortiGate上，流量与防火墙策略ID 1匹配，该策略ID1引用了WebServer-Ext VIP作为目标。由于VIP配置为静态NAT，并且禁用了端口转发，因此FortiGate将数据包的目标地址从70.70.70.71转换为172.16.1.10。请注意，由于端口转发被禁用，目标端口不会改变。

　　另请注意，外部接口地址与VIP中配置的外部地址不同。只要上游网络的路由设置正确，这就不是问题。你还可以在VPN上启用ARP回复（默认启用），以促进上游网络上的路由。在本课中，你将了解有关ARP回复的更多信息。

  现在，假设内部网络服务器（172.16.1.10）启动与互联网DNS服务器（4.2.2.2）的DNS连接。在FortiGate上，流量与防火墙策略ID 2匹配，该策略ID已启用nat。由于源地址与VIP的内部地址匹配，并且由于VIP被配置为禁用端口转发的静态NAT，FortiGate将数据包的源地址从172.16.1.10转换为70.70.7.71。请注意，FortiGate不必执行PAT，因为静态NAT VIP等于一对一映射。也就是说，外部IP仅被网络服务器用于SNAT。

　　另请注意，如果在流入的防火墙策略中引用了VIP，FortiGate将VIP外部地址用于SNAT。也就是说，如果你没有配置上一张图片中显示的防火墙策略ID 1，或者如果你禁用防火墙策略，那么FortiGate不会自动使用外部IP来翻译Web服务器的源地址。相反，FortiGate使用流出接口地址（70.70.70.70）。

 上图的示例展示了FortiGate如何处理到同一外部地址但在不同端口上的两个流入连接。FortiGate根据VIP映射设置将每个连接转发到不同的内部主机。这是可能的，因为在VIP上启用了端口转发，这使得FortiGate能够将外部流量重定向到相应的内部地址和端口，同时使用相同的外部地址。

　　两个连接都与防火墙策略ID匹配，该ID引用两个VIP作为目的地。HTTPS连接匹配WebServer-Ext VIP，SSH连接匹配SSHServer-Ext VIP。请注意，对于SSH连接，FortiGate还将目标端口从222转换为22。

　　虽然上图没有显示，但来自Web和SSH服务器的流出连接将导致FortiGate使用SNAT的出口接口地址作为NAT IP，前提是有一个启用了nat的匹配防火墙策略。

  在FortiOS中，VIP和防火墙地址对象完全不同。它们单独存储，没有重叠。这意味着，默认情况下，防火墙地址对象与VIP不匹配。

　　在上图显示的示例中，第一个防火墙策略的目标设置为全部。尽管这意味着所有目标地址（0.0.0.0/0），但默认情况下，这不包括VIP上定义的外部地址。结果是，指向Web_Server VIP上定义的外部地址的流量跳过了第一个策略，而是匹配了第二个策略。

　　但是，如果你希望第一个策略阻止所有流入所有目的地的流量，包括运往任何VIP的流量呢？如果你的网络受到攻击，并且你想暂时阻止所有流入的外部流量，这很有用。你可以通过在第一个防火墙策略上启用match-vip来做到这一点。启用match-vip指示FortiGate在策略评估期间也检查VIP。请注意，仅当防火墙策略操作设置为DENY时，match-vip设置才可用。

　　如果你只想阻止指向一个或多个VIP的流量，你可以在拒绝防火墙策略中将VIP作为目标地址。

  当你配置VIP或IP池时，默认情况下会启用ARP回复。启用ARP回复后，FortiGate会回复VIP和IP池中配置的外部地址的传入ARP请求。

　　在大多数网络中，通常不需要启用ARP回复，因为相邻设备上的路由表包含正确的下跳信息，因此网络是可以访问的。然而，有时路由配置不完全正确，启用ARP回复可以为你解决问题。出于这个原因，保持ARP回复启用是最佳做法。

　　考虑上图显示的示例，它显示了FortiGate和ISP路由器之间的互联网连接。该示例还显示了ISP路由器路由表和ARP表的简化版本。

　　ISP为FortiGate管理员分配公共子网80.80.80.0/24，以部署面向互联网的服务。管理员配置了上图显示的VIP，以允许互联网用户访问公司网络服务器。在测试时，管理员确认互联网用户可以在80.80.80.1访问网络服务器。

　　然而，管理员可能不知道启用ARP回复是成功连接的关键。原因是ISP路由器的路由表中没有通过70.70.70.2网关访问80.80.80.0/24子网的路由。相反，路由表包含通过端口1的子网的连接路由。结果是，ISP路由器从端口1生成ARP请求，以解析80.80.80.0/24子网中任何地址的MAC地址。尽管如此，由于FortiGate响应VIP中外部地址的ARP请求，ISP路由器能够成功解析MAC地址。

  在实施NAT时，请使用以下最佳实践：

　　1. 避免错误配置IP池范围：

　　● 请仔细检查每个IP池的起始IP地址和结束IP地址。

　　● 确保IP池地址范围不与分配给FortiGate接口或直接连接网络上任何主机的地址重叠。

　　● 如果你有内部和外部用户访问相同的服务器，请配置你的DNS服务，以便内部用户确定使用目标内部地址，而不是VIP中定义的外部地址。

　　2. 除非应用程序需要，否则不要为入站流量配置NAT规则。

　　● 例如，如果入站SMTP流量有匹配的NAT规则，SMTP服务器可能会充当开放中继。

　　3. 在更改NAT模式配置时，你必须安排维护窗口，因为进行更改可能会造成网络中断。

  答案：B

  答案：A

  上图显示了你在本课中涵盖的目标。

　　通过掌握本课中涵盖的目标，你学会了如何在FortiGate上配置、使用和管理防火墙策略和NAT。

---