EVE-NG ： FortiGate 防火牆跨網段連線設定

# EVE-NG：FortiGate 防火牆跨網段連線設定 ## 1.0 緒論：實現安全的網路互聯在現代企業網路架構中，基於資安強化與管理效率的考量，將網路環境劃分為多個獨立網段，已成為標準且必要的設計原則。透過區隔不同功能或安全等級的網路區域，例如使用者端與核心伺服器端，可有效降低單一資安事件的橫向擴散風險。在此種分層與分區的網路架構中，FortiGate 防火牆扮演關鍵角色。它不僅負責外部邊界防護，同時也是內部各網段之間的安全流量調度中樞，負責路由轉發、連線控管與安全政策執行。 > 本技術白皮書的目的，在於提供一份清楚、可實作的設定指南，說明如何透過 FortiGate 防火牆，使兩個獨立 IP 網段（100.0.1.0/24 與 192.168.1.0/24）在安全政策控管下實現跨網段通訊。 --- [TOC] --- ## 2.0 網路情境架構與規劃在任何防火牆設定開始之前，明確定義網路拓撲、IP 位址配置與設備角色，是確保後續設定正確性的必要前提。良好的前期規劃可大幅降低設定錯誤與後續排錯成本。 ![螢幕擷取畫面 2026-01-21 095242](https://hackmd.io/_uploads/B1vRn36Hbg.png) ### 2.1 網路設備與位址規劃 | 設備 / 介面 | IP 位址 | 子網路遮罩 | 預設閘道 | |------------|--------|-----------|---------| | Ubuntu 用戶端 | 100.0.1.1 | 255.255.255.0 | 100.0.1.254 | | Metasploitable 伺服器 | 100.0.1.2 | 255.255.255.0 | 100.0.1.254 | | FortiGate 管理介面（port1） | 192.168.1.200 | 255.255.255.0 | 無 | > 說明： > 在本範例中，FortiGate 的 port1 介面不需設定預設閘道，因其本身即為該網段的第三層路由節點，而非需透過其他設備轉送流量的終端裝置。 ### 2.2 架構說明 - 100.0.1.0/24 與 192.168.1.0/24 為兩個獨立的廣播域 - 兩個網段之間無法在第二層直接通訊 - FortiGate 防火牆負責： - 三層路由轉發 - 流量檢查 - 安全政策控管 --- ## 3.0 前期準備：端點靜態 IP 設定在企業或實驗室環境中，對關鍵主機與伺服器設定靜態 IP 位址，是常見且必要的管理作業。相較於動態 IP，靜態配置可確保位址穩定性，有利於防火牆政策、路由設定與後續維運管理。 ### 3.1 端點設定資訊 Ubuntu 主機： - IP 位址：100.0.1.1 - 子網路遮罩：255.255.255.0 - 預設閘道：100.0.1.254 Metasploitable 主機： - IP 位址：100.0.1.2 - 子網路遮罩：255.255.255.0 - 預設閘道：100.0.1.254 ### 3.2 同網段連線驗證完成設定後，應先於同一網段內進行基本連線測試，例如由 Ubuntu 主機對 Metasploitable 主機進行 ICMP 測試。此步驟的目的在於確認： - 端點主機的網路設定正確 - 本地網段的二層通訊正常運作確認此基準條件成立後，後續若出現跨網段通訊問題，排錯範圍即可集中於防火牆設定本身。 --- ## 4.0 FortiGate 防火牆核心設定流程本章節為整體設定流程的核心，說明如何讓 FortiGate 防火牆正確理解網路拓撲並依安全政策轉發流量。 ### 4.1 初始連線與基本設定（CLI）透過 Console Port 進行初始設定，可確保在 GUI 尚未可用前，仍能取得設備管理權限。主要設定內容包含： - 設定設備主機名稱 - 指派管理介面 IP 位址 - 開放必要的管理存取服務（Ping、HTTPS、SSH）此階段完成後，管理人員即可透過瀏覽器，以 HTTPS 方式連線至防火牆管理介面。 ![螢幕擷取畫面 2026-01-21 080304](https://hackmd.io/_uploads/SkKWpnaSZx.png) ![螢幕擷取畫面 2026-01-21 080615](https://hackmd.io/_uploads/SJ2zp2TrZx.png) ### 4.2 圖形化介面（GUI）設定重點 #### 介面設定 - port1 作為管理網段（192.168.91.0/24）的連接介面 - port2 設定為 100.0.1.0/24 網段的閘道，IP 位址為 100.0.1.254 ![螢幕擷取畫面 2026-01-21 081312](https://hackmd.io/_uploads/HydzChTHWl.png) #### 路由設定說明（Static Route）在本實作架構中，雖然兩個網段分別連接至 FortiGate 防火牆的不同實體介面，但基於實務操作與路由行為可視性的考量，本案例仍明確設定靜態路由，以確保流量轉送邏輯清楚可控，並利於後續擴充與除錯。透過靜態路由設定，可明確告知 FortiGate 防火牆： - 前往 100.0.1.0/24 網段的流量，應由對應的內部介面轉送 - 前往 192.168.91.0/24 網段的流量，應由管理介面進行處理此作法的優點在於： - 明確化路由決策流程，避免依賴隱含的直接連接行為 - 提升設定可讀性，便於交接與文件化管理 - 為未來多層路由、上游路由器或 VPN 架構預留擴充空間在企業實務環境中，即使為直接連接網段，仍常透過靜態路由進行顯式定義，以確保在架構調整或設備異動時，路由行為仍可被精準掌控。因此，本案例採用靜態路由設定，作為一種具可預測性與可維運性的設計選擇。 ![螢幕擷取畫面 2026-01-21 083455](https://hackmd.io/_uploads/BycP03Trbe.png) #### DNS 設定（建議）建議設定至少一組外部 DNS 伺服器，例如： - 8.8.8.8 - 8.8.4.4 此設定可確保 FortiGate 能正常解析網域名稱，以支援系統更新與安全服務。 #### 防火牆政策設定 FortiGate 採用預設全部拒絕的安全模型，任何跨介面流量，皆需明確政策授權。政策設定需明確定義： - 來源介面（Incoming Interface） - 目的介面（Outgoing Interface） - 來源位址 - 目的位址 - 允許的服務類型 - 動作（允許或拒絕）由於防火牆為狀態檢測型，回應流量會自動被允許；但若需雙向主動發起連線，則需建立反向政策。 ![螢幕擷取畫面 2026-01-21 083627](https://hackmd.io/_uploads/rJsBA3pBZl.png) --- ## 5.0 設定驗證與連線測試完成所有設定後，應進行端對端連線測試，以驗證整體設定是否正確。 ### 5.1 驗證方向 - 由管理網段（192.168.91.0/24）測試至伺服器網段（100.0.1.0/24） - 由伺服器網段反向測試至管理網段 ### 5.2 驗證結果說明若雙向測試皆成功，代表： - 防火牆介面設定正確 - 路由判斷正常 - 防火牆政策生效 - 流量可被正確轉發與回應 --- ## 6.0 結論本技術白皮書完整說明了使用 FortiGate 防火牆實現跨網段安全通訊的實作流程。成功的關鍵在於三項核心原則： 1. 為每個網段定義清楚且正確的介面 2. 確保防火牆具備正確的路由判斷能力 3. 透過精確的防火牆政策控管流量掌握上述原則後，即可進一步延伸至 NAT、VPN、IPS 等進階網路安全架構，為企業或實驗環境建立穩固且可擴充的資安基礎。