Fortigate: Local-In Policy & Firewall Policy

fortigate policy

tlc2018 2023-11-22 11:24:57 ‧ 1478 瀏覽

分享至

請問在Fortigate防火牆設定中, Local-In Policy 與 Firewall Policy 有甚麼分別和差異?

假設兩種分別設定一條相同功能的Policy (例如: deny 外網 > 內網某IP port:80), 那種會優先執行?

Ryan iT邦新手 1 級 ‧ 2023-11-24 13:11:21 檢舉

1.原則上你的需求用Firewall Policy已足夠。
2.Local-In Policy比較像是更底層的，譬如你開了SSL VPN，這個時候要做限制，只能透過Local-In Policy限制，Firewall Policy無法處理這件事。
3.由外到內，我覺得是 Firewall Policy > Local-In Policy。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

mathewkl

iT邦高手 1 級 ‧ 2023-11-22 14:53:51

最佳解答

Local-in Policy只能透過CLI指令添加，也就是廠商不太想要一般使用者去動它
真的有需求再去編輯，Firewall Policy已經足夠用了

封包流程在kenel第3點找符合哪個Firewall Policy，從哪來到哪去
最後第8點看Local Policy是否允許通過

圖源：Parallel Path Processing(Life of a Packet)
https://docs.fortinet.com/document/fortigate/6.4.0/parallel-path-processing-life-of-a-packet/86811/packet-flow-ingress-and-egress-fortigates-without-network-processor-offloading

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

sd3388 iT邦好手 1 級 ‧ 2023-11-22 17:53:57 檢舉

這個答案沒有答到問題上

答案只顯示了進入fortigate防火牆的session process flow
應該要回答什麼是Local-in policy
還有Local-in policy能作什麼?
為什麼要做！
跟防火牆policy有什麼不同
這些都不是查查DOC能有答案的

mathewkl iT邦高手 1 級 ‧ 2023-11-22 19:42:51 檢舉

你行你上，我又沒收錢，你也不是我長官，訓斥一頓又不講答案= =

bluegrass iT邦高手 1 級 ‧ 2023-11-24 14:34:36 檢舉

我來上吧. 我也沒收錢, 更沒能是最佳解答

Local-in policy影響有關於防火牆自身而產生的TRAFFIC
Firewall Policy影響流經防火牆的TRAFFIC

比如你不想防火牆都收到怪怪的IKE IPSEC VPN請求
就可以搞兩個LOCAL IN POLICY 像這樣:

config firewall local-in-policy
edit 1
set intf "wan"
set srcaddr "VPN-Wan-Group"
set dstaddr "all"
set action accept
set service "IKE"
set schedule "always"
next
edit 2
set intf "wan"
set srcaddr "all"
set dstaddr "all"
set service "IKE"
set schedule "always"
next
end

以後你把接受的VPN WAN IP 放到 VPN-Wan-Group , 就可以保護防火牆自身了, 同樣效果你用Firewall Policy就處理不了, 那怕你有個POLICY 且 ALLOW ONLY VPN-Wan-Group 到你的WAN INTERFACE.

再來, 如果你不想某用戶可以PING到 gmail.com, 你就該用FIREWALL POLICY, 因為這是用戶流經防火牆要到GMAIL, 而不是防火牆自身要到GMAIL, 用了LOCAL POLICY也沒能封鎖用戶可以PING到 gmail.com