由於Policy的設定依不同客戶不同Port設定,因此如要新增Policy需要在每個介面都新增,但有時會漏掉某些介面的設定,同時Policy也會很多,例如
lan->wan1
客戶A port1
客戶B port2
無線->wan1
客戶A port1
客戶B port2
VPN->wan1
客戶A port1
客戶B port2
由於FortiGate是自學,所以不知道是否有此功能,讓多個來源介面->wan1,只需要建一條Policy,如有此功能,麻煩不吝告知從哪裡下手即可,謝謝
怕漏東漏西,就將客戶A,客戶B設成一個群組,再往下設定
試試看這個功能是不是你想要的
系統管理 -> 進階功能開關 -> 額外功能 -> 多重介面的政策
可以多個來源介面對一個目的介面嗎?
當然可以的,但我誠心不建議這樣做
除非你Fortigate不想太深入,不然日後都會後悔
以你所舉例而言
客戶A分別在LAN,無線,VPN都會出現
但是所用的IP一定都在不同網段
不同網段到後來都會有不同的政策需求
這時再去拆就很麻煩了
防火牆政策是會變動的
而且要越細分越好
Fortigate自學並不難且很好上手
這樣也行那樣也行並不是好事
但是一些設定觀念要正確就不容易了,
且會影響日後資安運用程度
這時就要看能不能遇到好主管或是好的SI來指點了
不用謝
你只是想省事,我明白
但資安問題就是不能省事,您參考看看嘍
不是為了省事,而是為了管理方便
想想,如果公司有多個網段,無線,VPN,加上從分公司過來的網路,當這麼多不同來源,目的相同時,如果新增一個客戶特殊Port,就要新增好幾條Policy Rule,後續還要維護(又可能不需要使用了),然後刪除,相對安全性,我覺得管理容易會更重要,尤其在中國,大部分客戶用的都是特殊Port,這種新增刪除的動作更頻繁,相對漏掉的機率更高
可能比較好的做法是用兩台Firewall,將這些統一交由外部Firewall來處理,會相對方便些
防火牆不是交換器、路由器
設定不是一成不變,而是時時變動
我只能說日後就會看到影響了