只在此墙中，云深不知处 -2

上篇提到了虚拟防火墙在云中部署的几种use case，这篇则以第一种use case - 边缘防火墙 - 为例，看一看具体的配置。

假设已经在AWS中配置好了如下规划的网络：

我们的目标是用FortiGate-VM取代其中的Internet Gateway，当private subnet中的云主机与Internet之间想互访时，由FortiGate-VM作NAT。同时，还想让这种互访受到保护，如果有恶意流量则应当被剔除。为了达到这个目标，我们需要三步：

1. 在public subnet中launch FortiGate-VM的instance。为了能够方便的管理FortiGate-VM，还应该为它绑定EIP。

2. 修改private subnet的路由表，使其流量经由private subnet - FortiGate-VM - Internet Gateway的路径。

3. 在FortiGate-VM上配置各种安全功能。

步骤一

在EC2中launch instance时，从AWS Marketplace中找到FortiGate-VM：

该实例要launch在VPC的public subnet里。另外，应为它配置两个interface，eth0在public subnet（IP设为10.0.0.5），eth1在private subnet（IP设为10.0.1.5）：

最后，把security group设为permit all：

FortiGate-VM instance启动好后，为它的eth0绑定EIP：

别忘了在EC2网络接口中disable eth1的source/destination check：

步骤二

修改private subnet的default route指向FortiGate-VM的eth1：

步骤三

此时用https://应该就可以访问FortiGate-VM的Web管理界面了。注意两点：

1. 初次登录的用户名/密码是admin/。

2. 登入后配置outside interface为10.0.0.5/24，inside interface为10.0.1.5/24。

FortiGate-VM安全功能的配置就不再一一赘述，配好之后可以在private subnet中launch一个Windows/Linux VM来验证FortiGate-VM的配置是否正确。

最后我们的网络实际上变成了：