[新手求助] FortiGate已設置內網到外網防火牆政策, 那還需要反向設置嗎?

fortigate 60f firewall policy

lasthero 2023-01-13 17:34:41 ‧ 1656 瀏覽

分享至

各位先進,
小弟購買了一台二手FortiGate 60F,
且依照Fortinet官方Youtube教學設置家中網路,
但小弟有個問題,
以下是小弟設置完成的防火牆政策:

從上面的圖可以知道目前的政策設定都是從內網到外網,
這是依照官方Youtube的教學設置的,
但我有疑問是這種設定方式是否只針對內網到外網的封包做處理,
而外網到內網的部分就不會經過防火牆的處理?
如果是的話那我是否要再設置反向的防火牆政策?
但我曾經設置了一條wan1到60F internal port的防火牆政策,
並把這條政策拉到最上方優先處理,
然後嘗試透過speedtest.net做測試,
結果該條政策後面的'Bytes'流量卻始終都是0B,
看似沒有發揮作用,
所以我不確定它是只要設定一個方向就好,
然後自動雙向的封包只要經過防火牆都會做處理,
還是其實我還是要設定反向政策,
但為什麼我設置了卻沒有流量統計(看似沒有作用)?
是我哪邊還要設定嗎?
謝謝.

對了,
目前我透過eicar去下載測試病毒檔,
https://www.eicar.org/download-anti-malware-testfile/
但60F都沒有反應,
反而是PC的防毒軟體偵測到,
這表示病毒檔被passthrough到後端電腦了,
這也是讓我懷疑是否也是因為我防火牆策略只設定內網到外網的關係.

ks1217 iT邦研究生 1 級 ‧ 2023-01-14 08:56:21 檢舉

外對內主要是開Port讓外網連進內部電腦用的（例如FTP等服務），你要上網只需要設定內對外即可。

lasthero iT邦新手 5 級 ‧ 2023-01-14 09:56:41 檢舉

了解, 像我沒有建置對外服務伺服器例如FTP, HTTP等等, 那照這樣說的話我應該不需要特別去設定外對內開port? 還是我需要外對內預設deny, 然後再針對需要開的port設定政策就好?

ks1217 iT邦研究生 1 級 ‧ 2023-01-16 09:23:26 檢舉

其實政策裡面最後一條就是預設的Deny (隱性),
表示沒有套用到政策裡的都是套用Deny.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

唬爛

iT邦好手 1 級 ‧ 2023-01-13 18:35:06

內對外一般都是any any allow，也有例外，看公司/單位資安控管機制
外對內針對特定的port/IP Forward至對應的主機，最後一條any any deny
規則由上至下，只要有符合規則(即立即生效)！即使下面還有符合的規則，也會直接pass(忽視)！這次大多數人的盲點

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

lasthero iT邦新手 5 級 ‧ 2023-01-13 19:28:57 檢舉

了解所以最後一條deny沒有生效因為前面內對外政策的關係嗎？但如果我沒設置外對內政策為什麼我還是可以上網？

唬爛 iT邦好手 1 級 ‧ 2023-01-14 13:54:17 檢舉

前面的規則已經allow！自然不會執行最後一個deny...
外對內主要是針對「特定」port/IP Forward！內對外建立連線時(NAT、三方交握、...)，會自動建立一個/多個特定的port(隨機產生)來連線(防火牆不會，也不需要建立該規則)，我的解釋可能不是很恰當(不太會教人)，此部份算是網路基礎中的基礎...，請參看CCNA教材

https://24h.m.pchome.com.tw/prod/DJAA1X-1900AVSYS-000

唬爛 iT邦好手 1 級 ‧ 2023-01-14 14:02:04 檢舉

另防火牆的病毒防護功能，看看就好！只能說，聊勝於無...
有專門針對病毒的防毒牆、UTM、L7 Firewall，如果防火牆的病毒防護功能夠力！那上述產品根本就不可能存在！+防毒軟體也不用賣了！

lasthero iT邦新手 5 級 ‧ 2023-01-14 14:14:38 檢舉

感謝唬爛兄的伺教! 那其實我目前的內對外設定應該就足夠了, 不然就是直接內對外先預設都deny, 再透過log看有哪些port實際上會用到再分別開啟, 不知道這樣說是否正確?

唬爛 iT邦好手 1 級 ‧ 2023-01-15 06:19:44 檢舉

大多數的一般內部網路(Lan to Lan、Lan to Wan、Lan to DMZ...之類)防火牆沒在設定規則！
感覺你的網路概念似乎不是很熟悉(瞭解)？什麼是「三方交握」？看一下下列連結，如果可以瞭解原理，應該可以糾正你的一些觀念！
https://www.google.com/search?q=%E4%B8%89%E6%96%B9%E4%BA%A4%E6%8F%A1&oq=%E4%B8%89%E6%96%B9%E4%BA%A4%E6%8F%A1&aqs=chrome..69i57.5603j1j7&client=ms-android-oppo-rvo3&sourceid=chrome-mobile&ie=UTF-8

登入發表回應

rb1102

iT邦研究生 5 級 ‧ 2023-01-13 19:08:57

政策應該是看你建立session的來源跟目的
Speedtest 是從內部連線到外部政策應該只會套用LAN to WAN
WAN to LAN你沒設防火牆都會有最後一條deny all
政策有開啟紀錄全部session嗎
另外下載測試病毒碼如果是https 你沒開SSL inspetion
只開AV的話防火牆沒辦法當中間人解密裡面的內容
所以也不會偵測到

回應 3
分享
檢舉

lasthero iT邦新手 5 級 ‧ 2023-01-13 19:27:27 檢舉

但wan to lan沒設置我仍然可以上網唷，另外我有開SSL deep inspection，防火牆也有套用，就不知道為什麼仍然沒有擋掉。

sd3388 iT邦好手 1 級 ‧ 2023-01-13 20:35:35 檢舉

開SSL deep inspection需要嵌入憑證
你憑證嵌了嗎? 嵌在哪?

lasthero iT邦新手 5 級 ‧ 2023-01-13 21:50:40 檢舉

有喔，這部分也是依照官方YouTube教學影片操作，沒有弄的話無法瀏覽網頁。

登入發表回應

sd3388

iT邦好手 1 級 ‧ 2023-01-13 20:00:04

必須說你沒有介面的觀念，
這對Fortigate設定來說是不樂觀
同時你採用的模式也不一般(很少人用NGFW policy-base模式)
所以你看的youtube跟實作會有差異
勸你改一改

有些人只會簡單設定，他們的回答就不說了
通常防火牆政策要越嚴謹越好
只要能確定的時候就不要用all或any
因為沒有正確用到 介面to介面 的顯示
你防火牆政策從上至下的規則就不容易看出結果
現在得去log看落在哪一條政策

第一條政策就大謬
不該開NAT，居然還那麼多G的流量
當心被打掛還不知道為什麼
建議去讀一下SNAT與DNAT是怎麼運作的
你在那一篇FortiGate 60F AV功能沒有運作
已經有人跟你說為什麼防毒攔不到
看來你是沒有看懂
或許也找不到設定的地方
再說一下，是因為你用NGFW policy-base模式的緣故

真的不建議初學者買二手的機器
因為有太多基礎要詢問
不能發揮功能的防火牆，省錢再多也沒用