上篇提到了虛擬防火墻在云中部署的幾種use case，這篇則以第一種use case - 邊緣防火墻 - 為例，看一看具體的配置。

假設(shè)已經(jīng)在AWS中配置好了如下規(guī)劃的網(wǎng)絡：

我們的目標是用FortiGate-VM取代其中的Internet Gateway，當private subnet中的云主機與Internet之間想互訪時，由FortiGate-VM作NAT。同時，還想讓這種互訪受到保護，如果有惡意流量則應當被剔除。為了達到這個目標，我們需要三步：

1. 在public subnet中l(wèi)aunch FortiGate-VM的instance。為了能夠方便的管理FortiGate-VM，還應該為它綁定EIP。

2. 修改private subnet的路由表，使其流量經(jīng)由private subnet - FortiGate-VM - Internet Gateway的路徑。

3. 在FortiGate-VM上配置各種安全功能。

步驟一

在EC2中l(wèi)aunch instance時，從AWS Marketplace中找到FortiGate-VM：

該實例要launch在VPC的public subnet里。另外，應為它配置兩個interface，eth0在public subnet（IP設(shè)為10.0.0.5），eth1在private subnet（IP設(shè)為10.0.1.5）：

最后，把security group設(shè)為permit all：

FortiGate-VM instance啟動好后，為它的eth0綁定EIP：

別忘了在EC2網(wǎng)絡接口中disable eth1的source/destination check：

步驟二

修改private subnet的default route指向FortiGate-VM的eth1：

步驟三

此時用https://<EIP>應該就可以訪問FortiGate-VM的Web管理界面了。注意兩點：

1. 初次登錄的用戶名/密碼是admin/<FortiGate-VM Instance ID>。

2. 登入后配置outside interface為10.0.0.5/24，inside interface為10.0.1.5/24。

FortiGate-VM安全功能的配置就不再一一贅述，配好之后可以在private subnet中l(wèi)aunch一個Windows/Linux VM來驗證FortiGate-VM的配置是否正確。

最后我們的網(wǎng)絡實際上變成了：