iT邦幫忙

0

FortiGate 80C 如何一次設定大量阻擋IP位址?

請問一下各位大大我的手上有一台FortiGate 80C,原本有設定一條policies是禁止使用者連去一些某些IP,但現在我想要在那一條policies的目的位置群組IP裡再新增約三百多組IP,請問各位先進有什麼方法可以比較快速設定,目前我是一筆一筆新增但感覺效率太低/images/emoticon/emoticon02.gif

用 excel 拼貼出command 用 SSH 輸入指令
mathewkl iT邦高手 1 級 ‧ 2019-02-17 14:55:53 檢舉
擋地區會不會比較快?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
mytiny
iT邦超人 1 級 ‧ 2019-02-16 22:42:13
最佳解答

如果要快,就是用excel表列清單
然後轉成符合命令格式的txt檔
直接整批匯入(Fortigate會檢核是否成功)

其實這個要問樓主這幾百個IP是怎麼來的
如果有相關的規律可依循
或許用不到搞這種很勞力的工作
更何況IP這種東西很不可靠
常常會有改變的情況
Fortigate有一些授權服務
可以過濾DNS或網頁,何不試試

jt920201 iT邦新手 4 級 ‧ 2019-02-20 19:06:41 檢舉

這些IP皆為防止使用者不小心連去惡意網站所建立的黑名單IP,並無規則可循

mytiny iT邦超人 1 級 ‧ 2019-02-20 20:10:57 檢舉

首先請啟用網頁過濾服務
可以使用DNS過濾功能,在違反安全類別下,
有惡意網站可以進行阻擋
同時再開啟網頁過濾,做同樣的設定
完成後,放入防火牆政策中
相信就不用設這麼多IP

其次,可以使用介面內容中的選項
針對聯外介面可以做Botnet的封鎖

忘了說,FG-80C要OS5.4以上才有這些資安功能
請樓主經銷商教您如何使用資安防護的進階功能

0
WilliamHuang
iT邦研究生 1 級 ‧ 2019-02-16 09:56:22

全擋 開放允許的
會不會比較少

0
eric_hsu58
iT邦新手 3 級 ‧ 2020-12-23 10:18:27

直接用 CLI 指令,將那些要阻擋的 IP 列為一個 Address Group,
再把這個 Address Group 放到 Policy 。我通常先排序一下,把接近的 IP ,
直接阻擋,例如 : 1.237.122.3 , 1.237.143.232 直接就設置 1.237.0.0/16

我要發表回答

立即登入回答