FortiGate 80C 如何一次設定大量阻擋IP位址?

防火牆 fortigate fortinet policies

jt920201 2019-02-16 07:39:11 ‧ 7526 瀏覽

分享至

請問一下各位大大我的手上有一台FortiGate 80C，原本有設定一條policies是禁止使用者連去一些某些IP，但現在我想要在那一條policies的目的位置群組IP裡再新增約三百多組IP，請問各位先進有什麼方法可以比較快速設定，目前我是一筆一筆新增但感覺效率太低

補覺鳴詩 iT邦高手 1 級 ‧ 2019-02-16 07:42:37 檢舉

用 excel 拼貼出command 用 SSH 輸入指令

mathewkl iT邦高手 1 級 ‧ 2019-02-17 14:55:53 檢舉

擋地區會不會比較快?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mytiny

iT邦超人 1 級 ‧ 2019-02-16 22:42:13

最佳解答

如果要快，就是用excel表列清單
然後轉成符合命令格式的txt檔
直接整批匯入(Fortigate會檢核是否成功)

其實這個要問樓主這幾百個IP是怎麼來的
如果有相關的規律可依循
或許用不到搞這種很勞力的工作
更何況IP這種東西很不可靠
常常會有改變的情況
Fortigate有一些授權服務
可以過濾DNS或網頁，何不試試

回應 2
分享
檢舉

jt920201 iT邦新手 3 級 ‧ 2019-02-20 19:06:41 檢舉

這些IP皆為防止使用者不小心連去惡意網站所建立的黑名單IP，並無規則可循

mytiny iT邦超人 1 級 ‧ 2019-02-20 20:10:57 檢舉

首先請啟用網頁過濾服務
可以使用DNS過濾功能，在違反安全類別下，
有惡意網站可以進行阻擋
同時再開啟網頁過濾，做同樣的設定
完成後，放入防火牆政策中
相信就不用設這麼多IP

其次，可以使用介面內容中的選項
針對聯外介面可以做Botnet的封鎖

忘了說，FG-80C要OS5.4以上才有這些資安功能
請樓主經銷商教您如何使用資安防護的進階功能

登入發表回應

WilliamHuang

iT邦研究生 1 級 ‧ 2019-02-16 09:56:22

全擋開放允許的
會不會比較少

回應
分享
檢舉

登入發表回應

eric_hsu58

iT邦新手 3 級 ‧ 2020-12-23 10:18:27

直接用 CLI 指令，將那些要阻擋的 IP 列為一個 Address Group，
再把這個 Address Group 放到 Policy 。我通常先排序一下，把接近的 IP ，
直接阻擋，例如 : 1.237.122.3 , 1.237.143.232 直接就設置 1.237.0.0/16

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22045 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙