静态路由和动态公网 IP 地址

Question 1

我的理解是，问题在于 Fortigate 200E 上的防火墙接受来自办公室 2 的该端口的连接，但由于办公室 2 没有固定的 IP 地址，因此无法轻易创建防火墙规则。

在我看来，你的选择是：

向全世界开放该端口（不推荐！）。
为办公室 2 获取一个静态 IP，可在 Fortigate 路由器上的防火墙规则中使用。
基于此功能要求从 2014 年开始，Fortigate 路由器似乎不再支持端口敲门，这是一种可以将动态 IP 列入防火墙白名单以用于指定端口的机制，但这种情况自 2014 年以来可能已发生变化。（有关更多解释，请参阅 portknocking.org.) 检查两边的路由器是否存在这种可能性。

从现实角度来说，对于您的情况来说，选项 2 似乎最有可能奏效。

Answer

我的理解是，问题在于 Fortigate 200E 上的防火墙接受来自办公室 2 的该端口的连接，但由于办公室 2 没有固定的 IP 地址，因此无法轻易创建防火墙规则。

在我看来，你的选择是：

向全世界开放该端口（不推荐！）。
为办公室 2 获取一个静态 IP，可在 Fortigate 路由器上的防火墙规则中使用。
基于此功能要求从 2014 年开始，Fortigate 路由器似乎不再支持端口敲门，这是一种可以将动态 IP 列入防火墙白名单以用于指定端口的机制，但这种情况自 2014 年以来可能已发生变化。（有关更多解释，请参阅 portknocking.org.) 检查两边的路由器是否存在这种可能性。

从现实角度来说，对于您的情况来说，选项 2 似乎最有可能奏效。

Question 2

常见的最佳实践告诉我们，站点到站点 VPN 是可行的方法。但如果这不可行，FortiOS 中的一项功能可能会有所帮助。
您可以在接受特定端口流量的策略上放置一个强制门户。当然，如果您需要非交互式访问，这不是一个选项。
但仅仅开放一个没有身份验证的端口不应该是一个选项。

Answer

常见的最佳实践告诉我们，站点到站点 VPN 是可行的方法。但如果这不可行，FortiOS 中的一项功能可能会有所帮助。
您可以在接受特定端口流量的策略上放置一个强制门户。当然，如果您需要非交互式访问，这不是一个选项。
但仅仅开放一个没有身份验证的端口不应该是一个选项。

相关内容