Fortigate policy順序觀念

fortigate

gongc9433 2021-07-31 15:19:07 ‧ 3704 瀏覽

分享至

各位前輩好，以下有三條政策，但我不清楚順序如何擺放

1.來源 192.168.1.1/32 目的 192.168.2.1 ACCEPT
2.來源 192.168.1.1/24 目的 192.168.2.1 ACCEPT
3.來源 192.168.3.1/32 目的 192.168.2.1 deny

請問正確的擺放順序?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

souda

iT邦高手 1 級 ‧ 2021-07-31 16:31:23

Deny 規則放最後即可.

回應 2
分享
檢舉

gongc9433 iT邦新手 2 級 ‧ 2021-07-31 17:16:51 檢舉

意思是DENY規則統一放到ACCEPT後面嗎?

souda iT邦高手 1 級 ‧ 2021-07-31 19:40:50 檢舉

Fortinet 正向表示預設是Deny

登入發表回應

LICHANGM

iT邦新手 5 級 ‧ 2021-07-31 19:48:45

FortiGate Policy

循序的比對清單的每一列，由上開始往下比對條件，一但符合，就不再往下比對。
最後都隱含一列 Deny All

所以建議越精準的條件擺上面
第三條不用放也是 deny.

回應
分享
檢舉

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2021-07-31 22:50:32

3 (只LOG 192.168.3.1的)
1 (只LOG 192.168.1.1的)
2 (只LOG 192.168.1.1以外的)
0 (你不搞好就什麼都沒LOG, DENY掉也不知道的)

自己習慣, 先封殺, 再放行

回應 2
分享
檢舉

gongc9433 iT邦新手 2 級 ‧ 2021-08-01 11:35:23 檢舉

所以意思是DENY先放前，後面再放行?

bluegrass iT邦高手 1 級 ‧ 2021-08-02 09:33:06 檢舉

恩, 一般情況下都是正解

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2021-08-02 15:00:18

既然樓主講到的是觀念
在下會覺得樓主缺少了Fortigate的interface觀念
所以policy的順序並沒有正確與否的答案

很多設過其他品牌的防火牆policy的工程師
都會習慣於object的設定方式
但是F牌的建置，最好要有結構化設定的概念
要先有interface to interface的層面
然後才是進入object的policy設定
當然，有人喜歡直接搞成一大面policy然後一直用搜尋
在下也是祝福她一路平安，等到6.4.x版以後，GUI會慢到一個不行

樓主不管.1或.2或.3網段都應該不同
所以都應該會先有介面
不同介面之間，沒有順序問題，沒有開policy也不會通
因此命題1跟2是同樣的事
而命題3根本不用開

建議樓主，買設備記得要把知識跟技術買進來
不管是SI還是User，技術都是日新月異的
提供給大家參考