Fortigate防火墻混合接入方案

1、 上海共和新路1346號(hào)通用大廈1504BFortigate防火墻“混合接入”方案上海賽葵特信息技術(shù)有限公司目錄一、 功能特點(diǎn)二、 應(yīng)用案例分析1 功能特點(diǎn)持多種接入模式，分別為：透明、路由和混合。透明工作模式：防火墻工作在透明模式下不影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置，用戶不需要對保護(hù)網(wǎng)絡(luò)主機(jī)屬性進(jìn)行重新設(shè)置，方便了用戶的使用。路由工作模式：防火墻相當(dāng)于靜態(tài)路由器，提供靜態(tài)路由功能?；旌瞎ぷ髂Ｊ剑夯旌瞎ぷ髂Ｊ剑悍阑饓υ谕该髂Ｊ胶吐酚赡Ｊ酵瑫r(shí)工作，極大提高網(wǎng)絡(luò)應(yīng)用的靈活性。2 應(yīng)用案例分析下圖為企業(yè)的典型應(yīng)用，需要防火墻支持混合工作模式，而許多防火墻不支持這種接入模式，給企業(yè)的應(yīng)用帶來不便。例如：某企業(yè)內(nèi)

2、網(wǎng)的地址為保留地址/24，企業(yè)的對外WWW服務(wù)器、MAIL服務(wù)器、DNS服務(wù)器的地址分別為;路由器的內(nèi)端口地址為。 為了保證內(nèi)部網(wǎng)絡(luò)以及服務(wù)器的安全，需要加入防火墻路由器和交換機(jī)之間加入防火墻，防火墻如果不支持混合接入，那么在接入到網(wǎng)絡(luò)的時(shí)候一般為路由模式，這時(shí)需要把DMZ區(qū)的服務(wù)器地址修改為其他的地址，而其真實(shí)的IP地址綁到防火墻的外接口上，通過地址映射訪問這些服務(wù)器。這時(shí)，Internet上的用戶訪問這些服務(wù)器沒有問題，但是內(nèi)部用戶通過域名無法訪問到這些服務(wù)器（因?yàn)榈刂酚成鋵W(wǎng)地址而言的，而內(nèi)部用戶訪問這些地址為通過路由方式的）。這樣做的結(jié)果為內(nèi)部用戶只能通過IP地址訪問DMZ區(qū)的服務(wù)器，不能通過域名方式訪問。 Fortigate防火墻支持混合模式，使用Fortigate防火墻的時(shí)候， 防火墻內(nèi)端口使用地址為/24網(wǎng)段的；外部端口和DMZ端口的地址為合法的公用地址。這樣防火墻內(nèi)端口與外端口、DMZ區(qū)工作路由模式、而防火墻外端口和DMZ區(qū)工作為透明模式，這時(shí)防火墻總的工作模式為混合模式。這時(shí)候公網(wǎng)用戶通過透明模式（對防火墻而言）訪問DMZ區(qū)服務(wù)器，內(nèi)部用戶通過路由訪問DMZ區(qū)的服務(wù)器。因?yàn)闆]有用