iT邦幫忙

0

FortiGate的Policy可以多個來源介面對一個目的介面嗎

  • 分享至 

  • xImage

由於Policy的設定依不同客戶不同Port設定,因此如要新增Policy需要在每個介面都新增,但有時會漏掉某些介面的設定,同時Policy也會很多,例如

lan->wan1
客戶A port1
客戶B port2

無線->wan1
客戶A port1
客戶B port2

VPN->wan1
客戶A port1
客戶B port2

由於FortiGate是自學,所以不知道是否有此功能,讓多個來源介面->wan1,只需要建一條Policy,如有此功能,麻煩不吝告知從哪裡下手即可,謝謝

mathewkl iT邦高手 1 級 ‧ 2023-09-11 14:26:49 檢舉
可以但設了之後預設的介面to介面分類抽屜會全部消失,然後政策就混在一起了,並不建議這樣設置
idlewu iT邦新手 4 級 ‧ 2023-09-23 09:57:14 檢舉
7.4.1版的用這種方式仍會保留介面to介面的設定,但會發現ID是一樣的,但編輯時,又可以多介面一起編輯
之前版本不是這樣顯示?
ID
lan to wan1
1 .....
無線 to wan1
1 ......
其他 to wan1
1 ........
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
by2048
iT邦高手 1 級 ‧ 2023-09-11 09:39:27

怕漏東漏西,就將客戶A,客戶B設成一個群組,再往下設定

idlewu iT邦新手 4 級 ‧ 2023-09-11 10:28:28 檢舉

這樣Port1與Port2也需要設成群組?

Port1與Port2也可以設成群組

0
kuan909608
iT邦新手 5 級 ‧ 2023-09-11 11:20:13

試試看這個功能是不是你想要的
系統管理 -> 進階功能開關 -> 額外功能 -> 多重介面的政策

idlewu iT邦新手 4 級 ‧ 2023-09-12 10:59:26 檢舉

感謝,這就是我需要的

不會^^

0
sd3388
iT邦好手 1 級 ‧ 2023-09-11 12:09:12

可以多個來源介面對一個目的介面嗎?
當然可以的,但我誠心不建議這樣做
除非你Fortigate不想太深入,不然日後都會後悔

以你所舉例而言
客戶A分別在LAN,無線,VPN都會出現
但是所用的IP一定都在不同網段
不同網段到後來都會有不同的政策需求
這時再去拆就很麻煩了
防火牆政策是會變動的
而且要越細分越好

Fortigate自學並不難且很好上手
這樣也行那樣也行並不是好事
但是一些設定觀念要正確就不容易了,
且會影響日後資安運用程度
這時就要看能不能遇到好主管或是好的SI來指點了

看更多先前的回應...收起先前的回應...
idlewu iT邦新手 4 級 ‧ 2023-09-12 11:01:43 檢舉

這樣的政策主要會是用在對wan上,因為來源可能很多處,但目的都是wan,為了確保每個來源都有相同的設定才會出此下策,謝謝你

sd3388 iT邦好手 1 級 ‧ 2023-09-12 12:47:32 檢舉

不用謝
你只是想省事,我明白
但資安問題就是不能省事,您參考看看嘍

idlewu iT邦新手 4 級 ‧ 2023-09-13 09:34:39 檢舉

不是為了省事,而是為了管理方便
想想,如果公司有多個網段,無線,VPN,加上從分公司過來的網路,當這麼多不同來源,目的相同時,如果新增一個客戶特殊Port,就要新增好幾條Policy Rule,後續還要維護(又可能不需要使用了),然後刪除,相對安全性,我覺得管理容易會更重要,尤其在中國,大部分客戶用的都是特殊Port,這種新增刪除的動作更頻繁,相對漏掉的機率更高
可能比較好的做法是用兩台Firewall,將這些統一交由外部Firewall來處理,會相對方便些

sd3388 iT邦好手 1 級 ‧ 2023-09-13 12:17:51 檢舉

防火牆不是交換器、路由器
設定不是一成不變,而是時時變動
我只能說日後就會看到影響了

我要發表回答

立即登入回答