如何用防火牆鎖IP

fortigate ip mis 防火牆

神威 2016-09-30 15:26:36 ‧ 13403 瀏覽

各位大大好，我是新手MIS
想請問一下，如何用防火牆鎖IP讓公司的某些人只能使用內網，不能用外網
我們上司說單純鎖IP就好，不需綁MAC，有誰能拜託告訴我要如何做嗎?

設備:fortigate 60D (基本設定前人已完成)
拜託了，感激不盡

資訊研究院 iT邦新手 5 級 ‧ 2021-12-20 15:52:40 檢舉

另外請教，如果發現內部有一個ip被不知名設備使用，要把它黑掉，該怎麼設訂！！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

做工仔人!

iT邦大師 1 級 ‧ 2016-09-30 15:57:40

最佳解答

先在"防火牆物件"->"位址" ->"位址"中建立要封鎖的IP .
在"防火牆物件"->"位址" ->"位址群組"中,先建立一個群組後並將要封鎖的IP 加到這個群組中.
在"規則"->"防火牆策略"中增加一條規則"入接口"就是LAN , 來源位址名稱:選用2.新增的群組. 出接口就是WAN ,最重要的是"採取行動" 要選 "DENY"

基本上這樣就可以限制USER 上網. 以後要增減封鎖的IP ,就只要調整群組中的設定即可,
以上是解樓主提的問題.

請注意: 但是如果USER 會自己改IP 的話, 就會鎖不到.

回應 25
分享
檢舉

看更多先前的回應...收起先前的回應...

神威 iT邦研究生 4 級 ‧ 2016-09-30 16:11:32 檢舉

沒有LAN選項怎麼辦

做工仔人! iT邦大師 1 級 ‧ 2016-09-30 16:16:53 檢舉

可能是INTERNAL , 可以從"系統管理"->"網路"->"介面" 中確認:那一項是LAN 端.

神威 iT邦研究生 4 級 ‧ 2016-09-30 16:19:57 檢舉

我輸入這樣，但是他會出現錯誤耶

做工仔人! iT邦大師 1 級 ‧ 2016-09-30 16:22:11 檢舉

目的位址名稱設錯: 應該是要0.0.0.0/0.0.0.0 或是 all

神威 iT邦研究生 4 級 ‧ 2016-09-30 16:25:48 檢舉

是這樣吧?但還是能上網耶?是不是不能自己鎖自己阿?

做工仔人! iT邦大師 1 級 ‧ 2016-09-30 16:29:24 檢舉

要封鎖的ip ,要放在xx的群組中. 至於會不會鎖到自己 : 就看你電腦的IP 有沒有在 xx 的群組中.

神威 iT邦研究生 4 級 ‧ 2016-09-30 16:33:00 檢舉

這樣我的IP也設定在裡面了阿?

做工仔人! iT邦大師 1 級 ‧ 2016-09-30 16:35:19 檢舉

可以先將自己的ip 放進去. 驗證:規是否生效?
防火牆的規則是由上而下"比對"的方式在運作. 最好是將這條規則放在這一區的第一條.確保優先生效.(可以在規則按右鍵選"插入政策" =>"往上移"

做工仔人! iT邦大師 1 級 ‧ 2016-09-30 16:37:38 檢舉

你老闆不准你上網了啊 !
看你自己要不要偷偷的拿掉?

神威 iT邦研究生 4 級 ‧ 2016-09-30 16:38:58 檢舉

可是沒這選項耶??

神威 iT邦研究生 4 級 ‧ 2016-09-30 16:40:08 檢舉

不是啦，我只是先拿自己的來試驗而已，之後是要去鎖別人的

做工仔人! iT邦大師 1 級 ‧ 2016-09-30 16:42:51 檢舉

改用"區域檢視"(在畫面的右上角) 會比較好看,也比較好調整.　

做工仔人! iT邦大師 1 級 ‧ 2016-09-30 16:44:35 檢舉

看internal 那區, wan1 及wan2 都要設.才會鎖得完全.

神威 iT邦研究生 4 級 ‧ 2016-09-30 16:47:00 檢舉

耶?OK了耶開心
謝謝大頭! 大大~

神威 iT邦研究生 4 級 ‧ 2016-10-13 08:54:36 檢舉

大頭!，能再問個問題嗎?
那如果要綁MAC須再追加甚麼設定 ?

做工仔人! iT邦大師 1 級 ‧ 2016-10-13 09:06:59 檢舉

剛才看了一下我家的FortiGate110C :沒有發現可以綁 USER MAC的地方.也沒發現可以設定DHCP SERVER的地方.
建議改用另一種方式:
從 DHCP SERVER 上來綁 MAC所對映的IP(一般DHCP SERVER都會有這個功能) .
Forti就設定 IP 的規則.
這種作法的"隱憂"就是USER手動設定IP.