FortiClientGate 路由配置
防火墙策略(Firewall Policy)和路由(Routing)是网络通信中两个核心但功能不同的机制,主要区别如下:
1. 核心功能
| 维度 | 防火墙策略 | 路由 |
|---|---|---|
| 主要目的 | 控制流量是否允许通过(安全过滤) | 决定流量如何转发(路径选择) |
| 工作层级 | 主要基于 传输层(L4)和应用层(L7)(如协议、端口、应用类型) | 基于 网络层(L3)(如目标IP、子网) |
| 决策依据 | 源/目的IP、端口、协议、用户身份、应用类型、时间等 | 目标IP、子网掩码、路由协议(如OSPF、BGP)、下一跳网关、度量值(Metric) |
| 动作类型 | 允许/拒绝(可能记录日志) | 转发到某接口/网关(无权限控制) |
2. 应用场景对比
| 场景 | 防火墙策略 | 路由 |
|---|---|---|
| 阻止外部攻击 | 拒绝来自恶意IP的访问 | 不涉及(路由无法过滤流量) |
| VPN流量分流 | 允许特定用户通过VPN访问内网 | 将VPN流量导向隧道接口 |
| 限制员工上网行为 | 禁止访问社交媒体 | 确保访问互联网的流量走默认网关 |
| 服务器保护 | 仅开放80/443端口 | 将服务器流量路由到DMZ区域 |
3. 技术特性对比
| 特性 | 防火墙策略 | 路由 |
|---|---|---|
| 状态感知 | 支持(可跟踪连接状态,如TCP握手) | 无状态(仅根据IP转发) |
| NAT支持 | 通常集成(如源NAT、目的NAT) | 不直接支持(需依赖防火墙或路由器附加功能) |
| 策略优先级 | 按顺序匹配(首条匹配生效) | 最长前缀匹配(最精确的子网优先) |
| 配置位置 | 防火墙设备(如FortiGate)、终端防护软件(如FortiClient) | 路由器、三层交换机、主机路由表 |
4. 协作关系
虽然功能不同,但两者协同工作:
- 路由先生效:决定流量去向(如发送到防火墙或直接转发)。
- 防火墙后生效:对到达的流量进行安全过滤。
示例:
- 流量访问
10.1.1.1→ 路由表将其导向防火墙 → 防火墙策略检查是否放行。
5. 常见误区
- 误区1:“路由可以替代防火墙”
→ 路由仅决定路径,无法阻止攻击或过滤恶意流量。 - 误区2:“防火墙策略能修改下一跳”
→ 防火墙只能允许/拒绝流量,路径修改需通过策略路由(Policy Routing)实现。
总结
- 防火墙策略是“交通警察”(检查是否放行),路由是“导航系统”(选择最佳路径)。
- 实际网络中,两者需配合使用:路由确保流量到达正确设备,防火墙确保流量安全合规。
问题?
为什么防火墙策略可能不会生效?
即使你配置了防火墙策略,可能流量还是走不通,原因可能包括:
没有正确的静态路由(最常见的情况)
- 防火墙策略允许访问,但如果 FortiGate 没有路由到目标网络,流量无法转发。
- 检查静态路由(Network > Static Routes),确保 FortiGate 知道如何到达目标网络。
策略路由的优先级问题
- 如果已有静态路由能正确转发流量,就不需要策略路由。
- 但如果你有多条出口,想要特定流量走特定路径,就需要策略路由。
NAT 相关问题(如果涉及公网访问)
- 如果是内网访问公网,通常需要在防火墙策略里启用 NAT,否则数据包可能不会被转换正确的源 IP。
回程流量问题
- 如果你的防火墙策略只允许单向流量,而没有放行回程流量,可能会导致连接失败。
如何排查?
- 检查路由表:
get router info routing-table all - 测试路由可达性:
execute ping <目标 IP> - 查看防火墙日志:确定流量是否被策略拦截
结论
✔ 如果 FortiGate 通过静态路由或默认路由能找到正确的路径,不需要策略路由。
✔ 如果有多条出口,或默认路由无法满足需求,就需要策略路由。
✔ 防火墙策略负责流量允许与否,但路由决定流量去向,两者要结合配置!
如果你遇到具体的流量问题,可以提供详细的拓扑和需求,我可以帮你分析要不要配置策略路由!
