NAT 与地址转换#

FortiGate 把 NAT 拆成了”目的 NAT 用 VIP，源 NAT 用 IP Pool”两条线，这点和 Cisco 把 NAT 当成一组 statements 的风格不太一样。

• VIP (Virtual IP) —— 就是 Destination NAT / Static NAT。Cisco 叫 Static NAT，pfSense 叫 Port Forward，iptables 是 DNAT，MikroTik 是 dst-nat。
• IP Pool —— SNAT Pool / NAT Pool。Cisco 叫 NAT Pool，Juniper 叫 Source NAT Pool。FortiGate 的 IP Pool 又分 Overload（PAT）、One-to-One、Fixed Port Range、Port Block Allocation 几种类型，对应不同 SNAT 行为。
• Central NAT —— 把 NAT 规则从 Firewall Policy 里拆出来集中维护的模式。对应 Cisco 的独立 NAT statements、Juniper 的独立 NAT rule-set。
• fixedport / nat fixed-port —— SNAT 时不改写源端口，让 (内网 IP, port) → (外网 IP, port) 的映射保持稳定。效果上接近 RFC 4787 的 Endpoint-Independent Mapping，但严格意义上的 Full Cone NAT 还需要 Endpoint-Independent Filtering（不限制谁能反向连过来），这是两件事，别混为一谈。
• VIP Group / IP Pool Group —— 就是对象组，没什么特别。

接口与寻址#

• Addressing mode —— 接口拿地址的方式。下面的 PPPoE / DHCP / Auto-configuration / Delegated / Manual 全是标准协议（IPCP、DHCP、SLAAC、DHCPv6-PD、静态），UI 把它们做成单选项而已。
• Administrative Access —— 限制谁能 ping/ssh/https 到设备本身。对应 Cisco 的 control-plane policing + management ACL，Juniper 是 lo0 filter。
• Dedicated Management Port —— 带外管理口，行业通用。
• Soft Switch / Hardware Switch —— 把多个物理口绑成一个二层域。Cisco 上是 SVI + access port，OpenWrt 是 bridge。

安全策略#

这块是最容易被术语绕晕的地方。关键是分清四种策略的”作用对象”。

几个要点：

• Security Profile 是 UTM 功能集合（AV、IPS、Web Filter、App Control 等）。Palo Alto 也叫 Security Profile（巧合同名），Cisco Firepower 叫 Access Policy + Intrusion Policy。
• Profile Group 把多个 Security Profile 打包给策略引用，避免每条策略都要勾一遍。
• Local-In Policy 控制的是”到设备本身”的流量，不是过路的。新手最容易把它和普通 Firewall Policy 搞混——结果就是 SSL VPN 端口暴露在公网怎么也关不掉。
• Implicit Deny 末尾隐式拒绝，所有防火墙都有，只是 Fortinet 在 GUI 里显式列了一行。

对象与定义#

Address Object / Address Group / Service Object / Schedule 都是行业通用，每家防火墙都有。真正属于 Fortinet 特色的是 ISDB：

• ISDB (Internet Service Database) —— 内置的”已知互联网服务 IP 段数据库”，可以直接在策略里写”允许访问 GitHub""禁止访问 TikTok”，不用手动维护 IP 列表。Palo Alto 的 EDL（External Dynamic List）+ App-ID 有部分重叠。这个封装在国内日常运维里挺好用，自维护 IP 列表才是噩梦。

路由与多 WAN#

• SD-WAN —— 行业热词，每家定义略有不同。Fortinet 的 SD-WAN 本质是策略路由 + 链路质量探测 + 自动切换，对应 Cisco 传统的 PBR + IP SLA 组合，或新一代的 SD-WAN 产品线。
• SD-WAN Zone / Member —— Fortinet 的逻辑分组封装。
• Performance SLA —— 链路质量探测。Cisco 叫 IP SLA，Juniper 叫 RPM。
• Link Health Monitor —— 简化版的链路探测，用来触发静态路由失效切换。
• Policy Route —— 就是 Policy-Based Routing (PBR)，每家都有。

VPN#

• IPsec 的 Phase 1 / Phase 2 —— 标准就是 IKE SA / IPsec SA，Fortinet 沿用行业叫法，没自创。
• Dialup VPN —— Fortinet 的叫法，指”对端 IP 不固定的 IPsec VPN”，对应 Cisco 的 Dynamic Crypto Map、Juniper 的 dynamic VPN。
• SSL VPN：Tunnel Mode / Web Mode —— Tunnel Mode 是标准 SSL VPN 客户端（类似 OpenVPN），Web Mode 是 reverse proxy 形式的应用代理（类似 F5 Access Gateway 的 web access）。
• ADVPN (Auto-Discovery VPN) —— 对应 Cisco 的 DMVPN、华为的 Auto-VPN。本质是 hub-spoke 拓扑下让 spoke 之间动态建立 shortcut 隧道，避免所有流量绕 hub。

HA 与集群#

• FGCP (FortiGate Clustering Protocol) —— Fortinet 自己的 HA 协议。对应 Cisco ASA failover、Juniper chassis cluster、Palo Alto 的 HA1/HA2/HA3。协议是专有，概念（active-passive / active-active）是通用的。
• Heartbeat Interface —— HA 心跳口，行业通用。
• Virtual Cluster —— 在一对设备上跑多个 HA 实例做负载分担。

多租户与虚拟化#

• VDOM (Virtual Domain) —— 设备内部的虚拟化分区。对应 Cisco 的 context（ASA）+ VRF、Palo Alto 的 vsys、Juniper 的 logical-systems。
• Global / Root VDOM —— VDOM 体系下的特殊实例。Global 用来配置全局参数，Root 是默认 VDOM。
• Inter-VDOM Link —— VDOM 之间的虚拟连线，对应 VRF 之间的 route leak。

用户与认证#

• FSSO (Fortinet Single Sign-On) —— 从 AD/LDAP 拉取登录事件，把 IP 和用户名绑定起来用于策略。对应 Palo Alto 的 User-ID。
• User Group —— 标准概念。
• Guest Management —— 访客认证流程，每家都有自己的实现。

日志与监控#

• FortiView —— GUI 上的可视化仪表板模块名，纯产品包装。
• FortiAnalyzer / FortiManager —— 配套产品名，不是协议概念。
• Log & Report —— 标准日志子系统。

真正属于 Fortinet 自家的东西#

剥掉外壳后，真正算 Fortinet 自己发明、没有直接 RFC 对应的并不多：

• FGCP（HA 协议）
• VDOM（设备内虚拟化的具体实现）
• FSSO（SSO 集成方案）
• ISDB（互联网服务数据库）
• Security Fabric（Fortinet 全家桶联动框架）
• 各种 FortiXXX 产品名

剩下那些 GUI 上看着陌生的术语，几乎都能翻译回某个 RFC 或行业通用概念。