iT邦幫忙

0

Fortigate policy順序觀念

各位前輩好,以下有三條政策,但我不清楚順序如何擺放

1.來源 192.168.1.1/32 目的 192.168.2.1 ACCEPT
2.來源 192.168.1.1/24 目的 192.168.2.1 ACCEPT
3.來源 192.168.3.1/32 目的 192.168.2.1 deny

請問正確的擺放順序?

1
souda
iT邦研究生 1 級 ‧ 2021-07-31 16:31:23

Deny 規則放最後即可.

gongc9433 iT邦新手 5 級 ‧ 2021-07-31 17:16:51 檢舉

意思是DENY規則統一放到ACCEPT後面嗎?

souda iT邦研究生 1 級 ‧ 2021-07-31 19:40:50 檢舉

Fortinet 正向表示 預設是Deny

0
LICHANGM
iT邦新手 5 級 ‧ 2021-07-31 19:48:45

FortiGate Policy

  1. 循序的比對清單的每一列,由上開始往下比對條件,一但符合,就不再往下比對。
  2. 最後都隱含一列 Deny All

所以建議越精準的條件擺上面
第三條不用放也是 deny.

0
bluegrass
iT邦高手 1 級 ‧ 2021-07-31 22:50:32

3 (只LOG 192.168.3.1的)
1 (只LOG 192.168.1.1的)
2 (只LOG 192.168.1.1以外的)
0 (你不搞好就什麼都沒LOG, DENY掉也不知道的)

自己習慣, 先封殺, 再放行

gongc9433 iT邦新手 5 級 ‧ 2021-08-01 11:35:23 檢舉

所以意思是DENY先放前,後面再放行?

bluegrass iT邦高手 1 級 ‧ 2021-08-02 09:33:06 檢舉

恩, 一般情況下都是正解

0
mytiny
iT邦大師 1 級 ‧ 2021-08-02 15:00:18

既然樓主講到的是觀念
在下會覺得樓主缺少了Fortigate的interface觀念
所以policy的順序並沒有正確與否的答案

很多設過其他品牌的防火牆policy的工程師
都會習慣於object的設定方式
但是F牌的建置,最好要有結構化設定的概念
要先有interface to interface的層面
然後才是進入object的policy設定
當然,有人喜歡直接搞成一大面policy然後一直用搜尋
在下也是祝福她一路平安,等到6.4.x版以後,GUI會慢到一個不行

樓主不管.1或.2或.3網段都應該不同
所以都應該會先有介面
不同介面之間,沒有順序問題,沒有開policy也不會通
因此命題1跟2是同樣的事
而命題3根本不用開

建議樓主,買設備記得要把知識跟技術買進來
不管是SI還是User,技術都是日新月異的
提供給大家參考

我要發表回答

立即登入回答