【调试飞塔FortiGate-80F防火墙的几点心得】

一、网络-接口"管理访问"下勾选HTTPS、PING、SSH服务立即生效，无须再通过安全策略放行。也就是说接口访问策略优先安全策略，这点跟华子的防火墙完全一样，也许华子本身就借鉴了飞塔，毕竟珠玉在前。

二、公网接口下无法直接填写网关IP地址，也就是说需要在网络-静态路由页面手动新建一条8个0的默认路由，下一跳填公网IP地址的网关，否则无法访问外网。

三、SNAT（源网络地址转换，用于内网私有IP地址访问公网时自动转换成公网IP地址的技术）配置，只需要在策略&对象-防火墙策略下新建1条LAN→WAN策略，启用NAT，简单方便。

四、DNAT（目的网络地址转换，又称端口映射，用于公网用户访问内网时将目的IP地址自动转换成私有IP的技术）配置：

1、首先在策略&对象-虚拟IP页面配置外部IP、内部IP、外部端口和内部端口，如果端口为非知名端口（如TCP85），再去策略&对象-服务页面手动新建85端口；

2、策略&对象-防火墙策略新建1条WAN→LAN策略，目标地址选上一步创建的虚拟IP，服务也是选上一步创建的TCP85。