【简介】我们已经知道了FortiManager可以注册互联网上的FortiGate防火墙设备,前提是需要有固定不变的外网IP,但是如果外网的FortiGate防火墙只有ADSL拨号,而且是那种最近才出现的100.64这种不能远程登录的IP,那有什么办法吗?
映射 FortiManager 设备到互联网
被动注册设备的前提就是飞塔设备要能访问FortiManager设备。但FortiManager一般都是在内网,外面是防火墙,这就需要将FortiManager设备映射到公网上。
① FortiManager使用了许多TCP和UDP端口。此表中列出了FortiManager使用的最常见的默认端口。
② 那如果FortiManager连接的外网防火墙也是拨号宽带,能不能做映射呢?可以的,这里需要用到FortiGate的DDNS功能,并且外网IP地址能够远程访问。
③ 选择菜单【策略&对象】-【虚拟IP】,点击【新建】-【Virtual IP】。
④ 输入虚拟IP的名称,建议加到端口号以区分。接口选择宽带口,外部IP由于是ADSL拨号,IP地址会变,这里为0.0.0.0,映射IP就是FortiManager设备的接口地址。启用端口转发,外部服务器端口就是从外网访问时输入的端口,映射到端口,就是FortiManager设备本身的端口,这里由于外网443端口已经被防火墙占用了,所以改成10443。
⑤ 建好一条虚拟IP后,我们可以用克隆的方法建立其它虚拟IP。
⑥ 根据FortiManager端口列表,建立多条虚拟IP。要注意区别TCP、UDP。点击【新建】-【Virtual IP Group】,新建一个虚拟IP组。
⑦ 把多个虚拟IP都加入这个虚拟IP组。
⑧ 后面我们可以直引用虚拟IP组。
⑨ 新建一条策略,允许从外网访问内网的虚拟IP组,由于FortiManager位于三层交换机的后面,IP地址和防火墙内网地址不在同一网段,所以这里需要启用NAT。
⑩ 从外网用域名加10443端口,可以登录FortiManager,说明FortiManager设备已经成功的映射到外网了。
FortiManager 增加设备
前面我们在被动内网注册设备的时候,就用命令启用了自动注册,这里就不再介绍这步操作了。
① 在【设备管理器】下点击【增加设备】。
② 这次是输入广州的防火墙的序列号,点击【下一步】。
③ 添加部分信息到FortiManager。
④ 新添加的设备名称是灰色的,说明还没有注册,是个空壳。
外网注册
FortiManager设备已经映射到外网,任何一台飞塔设备都可以访问它了。
① 在广州的防火墙上选择菜单【Security Fabric】,启用集中管理,输入映射FortiManager的域名,点击【应用】。
② 显示发送与接收信息,可以看到FortiManager设备的序号了,说明FortiGate可以访问FortiManager。
③ 在FortiManager上可以看到设备名称前面的图标变成了绿色向上箭头,配置状态和IP地址也有内容了,说明外网注册成功。
④ 再次登录广州防火墙。
⑤ 显示此FortiGate设备已经由FortiManager管理,但本地管理员仍可以修改配置,这里点击【以读写模式登录】。
⑥ 提示会不同步,点击【是】。
⑦ 选择菜单【Security Fabric】-【设置】,可以看到集中管理显示已经在FortiManager上注册了。