FortiGate的Policy可以多個來源介面對一個目的介面嗎

fortigate

idlewu 2023-09-11 09:34:40 ‧ 1331 瀏覽

分享至

由於Policy的設定依不同客戶不同Port設定，因此如要新增Policy需要在每個介面都新增，但有時會漏掉某些介面的設定，同時Policy也會很多，例如

lan->wan1
客戶A port1
客戶B port2

無線->wan1
客戶A port1
客戶B port2

VPN->wan1
客戶A port1
客戶B port2

由於FortiGate是自學，所以不知道是否有此功能，讓多個來源介面->wan1，只需要建一條Policy，如有此功能，麻煩不吝告知從哪裡下手即可，謝謝

mathewkl iT邦高手 1 級 ‧ 2023-09-11 14:26:49 檢舉

可以但設了之後預設的介面to介面分類抽屜會全部消失，然後政策就混在一起了，並不建議這樣設置

idlewu iT邦新手 4 級 ‧ 2023-09-23 09:57:14 檢舉

7.4.1版的用這種方式仍會保留介面to介面的設定，但會發現ID是一樣的，但編輯時，又可以多介面一起編輯
之前版本不是這樣顯示?
ID
lan to wan1
1 .....
無線 to wan1
1 ......
其他 to wan1
1 ........

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

by2048

iT邦高手 1 級 ‧ 2023-09-11 09:39:27

怕漏東漏西,就將客戶A,客戶B設成一個群組,再往下設定

回應 2
分享
檢舉

idlewu iT邦新手 4 級 ‧ 2023-09-11 10:28:28 檢舉

這樣Port1與Port2也需要設成群組?

竹本立里 iT邦好手 1 級 ‧ 2023-09-11 11:13:24 檢舉

Port1與Port2也可以設成群組

登入發表回應

kuan909608

iT邦新手 5 級 ‧ 2023-09-11 11:20:13

試試看這個功能是不是你想要的
系統管理 -> 進階功能開關 -> 額外功能 -> 多重介面的政策

回應 2
分享
檢舉

idlewu iT邦新手 4 級 ‧ 2023-09-12 10:59:26 檢舉

感謝，這就是我需要的

kuan909608 iT邦新手 5 級 ‧ 2023-09-13 14:06:48 檢舉

不會^^

登入發表回應

sd3388

iT邦好手 1 級 ‧ 2023-09-11 12:09:12

可以多個來源介面對一個目的介面嗎?
當然可以的，但我誠心不建議這樣做
除非你Fortigate不想太深入，不然日後都會後悔

以你所舉例而言
客戶A分別在LAN,無線,VPN都會出現
但是所用的IP一定都在不同網段
不同網段到後來都會有不同的政策需求
這時再去拆就很麻煩了
防火牆政策是會變動的
而且要越細分越好

Fortigate自學並不難且很好上手
這樣也行那樣也行並不是好事
但是一些設定觀念要正確就不容易了，
且會影響日後資安運用程度
這時就要看能不能遇到好主管或是好的SI來指點了

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

idlewu iT邦新手 4 級 ‧ 2023-09-12 11:01:43 檢舉

這樣的政策主要會是用在對wan上，因為來源可能很多處，但目的都是wan，為了確保每個來源都有相同的設定才會出此下策，謝謝你

sd3388 iT邦好手 1 級 ‧ 2023-09-12 12:47:32 檢舉

不用謝
你只是想省事，我明白
但資安問題就是不能省事，您參考看看嘍

idlewu iT邦新手 4 級 ‧ 2023-09-13 09:34:39 檢舉

不是為了省事，而是為了管理方便
想想，如果公司有多個網段，無線，VPN，加上從分公司過來的網路，當這麼多不同來源，目的相同時，如果新增一個客戶特殊Port，就要新增好幾條Policy Rule，後續還要維護(又可能不需要使用了)，然後刪除，相對安全性，我覺得管理容易會更重要，尤其在中國，大部分客戶用的都是特殊Port，這種新增刪除的動作更頻繁，相對漏掉的機率更高
可能比較好的做法是用兩台Firewall，將這些統一交由外部Firewall來處理，會相對方便些