Forti如何設定同網段內設備禁止互通

forti

ACE 2024-01-23 15:46:18 ‧ 2034 瀏覽

分享至

目前公司有一組class A的網段
裡面IP包含大約三百台PC與兩百隻手機
主要怕手機中毒然後橫向感染到電腦上

因為都是使用WIFI
若重新切VLAN的話
全部都要重新連線到不同的WIFI SSID，這個設備數量有點多...
或者是有辦法讓同個WIFI SSID 可以依據IP或MAC去改變VLAN呢?

有試過禁止10.X.X.X-10.X.X.X的IP範圍不過沒有用，還是能直接互通
想請問再forti 101F上怎麼設定同網段間禁止互相訪問呢?

看更多先前的討論...收起先前的討論...

mathewkl iT邦高手 1 級 ‧ 2024-01-23 17:11:52 檢舉

如果網路架構有串fortiswitch的話，有阻擋功能可以用
https://docs.fortinet.com/document/fortiswitch/7.4.2/fortilink-guide/801169/blocking-intra-vlan-traffic

竹本立里 iT邦好手 1 級 ‧ 2024-01-24 09:34:53 檢舉

你的 WIFI廠牌型??，你的WIFI 加密型式?
有考慮把 10.AA.BB.CC的網路設定成/24網段然後靠BB去做VLAN 規劃嗎?

　

窮嘶發發發 iT邦高手 1 級 ‧ 2024-01-24 10:02:31 檢舉

防止手機存取內部網路，所有的AP 都集中同一個VLAN ，這各VLAN 都接到AP 的 WAN PORT，AP的 LAN 不要接任何裝置，AP 開 DHCP，IP網段與內部網段不同，建議使用MAC綁定，或是綁RADIUS認證，VLAN 可以跟內部隔離，只能上網，還有AP要開用戶端隔離，這樣可以避免WIFI用戶端之間的干擾

ACE iT邦新手 5 級 ‧ 2024-01-24 10:17:44 檢舉

AP有接上switch，再由switch接回fortigate，不過switch是HP不是forti的

ACE iT邦新手 5 級 ‧ 2024-01-24 10:21:53 檢舉

AP用的是阿魯巴，不太懂將10.AA.BB.CC改成/24的用意，user連到的都是同個SSID的WIFI，我這邊有每個設備的IP與MAC，但切出不同VLAN後要怎麼將user分類呢?

ACE iT邦新手 5 級 ‧ 2024-01-24 10:30:22 檢舉

窮大你好，AP有開DHCP且LAN沒有接到任何裝置，這個VLAN有跟其他內網隔離了，但是這個VLAN上還有其他NB，我怕手機連橫向感染到NB上...
AP開用戶端隔離這部分，我研究看看我司的AP能不能做到

竹本立里 iT邦好手 1 級 ‧ 2024-01-24 15:13:10 檢舉

沒事.看到了, PC與手機因為都是使用WIFI
所以感覺調正過程中總會有陣痛期 , 很難無痛變更

竹本立里 iT邦好手 1 級 ‧ 2024-01-24 15:14:39 檢舉

突然想到一個協定 802.1X

vole iT邦新手 4 級 ‧ 2024-01-25 09:29:43 檢舉

你的問題有點奇怪使用同一個WIFI SSID就會在同一個網段上。如果你能保證每個每次裝置進入的都是固定IP，這樣你可以使用防火牆端設定禁止一段ip source不能destination到另一段IP。如果不能請乖乖地設定不同的WIFI SSID。

ACE iT邦新手 5 級 ‧ 2024-01-25 15:53:46 檢舉

請問下同個WIFI的SSID是可以設定成不同VLAN嗎?
另外每個裝置要上網我都有在防火牆綁定MAC做紀錄，所以是誰MAC跟IP多少我都能掌握。

ACE iT邦新手 5 級 ‧ 2024-01-25 15:55:04 檢舉

防火牆這裡我有試過禁止這些手機ip不能訪問到另一段NB端的IP了，不過沒有用，看起來是同個網段根本不會經過防火牆，我用tracert測試也是直接就訪問到了。

ACE iT邦新手 5 級 ‧ 2024-01-25 15:56:33 檢舉

至於設定另一段WIFI SSID是簡單，不過因為WIFI密碼有管制，只能我幫user輸入，舊要把上百位user的手機都逐個重新設定WIFI....

gundam1999 iT邦新手 5 級 ‧ 2024-04-02 17:32:50 檢舉

如果用的是forti的AP, 那可以啟動 Block intra-SSID traffic, 就可以不互連了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

7 個回答

Ray

iT邦大神 1 級 ‧ 2024-01-23 16:09:07

這是網路架構的問題, 不是防火牆的問題: 同網段通訊不需要經過 Gateway 或防火牆, 它們用 Layer 2 廣播就可以互通, 所以防火牆攔不到同網段的通訊.

只依賴防火牆的防禦是部署深度不足, 因為防火牆只能處理 Layer 3 以上的通訊, 像你這樣: 同網段內的通訊, 都會只走 Layer 2 而已, 完全忽視防火牆的存在.

你需要多一層部署在更靠近設備的地方, 例如: 電腦本身的防毒軟體, 又或者: 在每一台電腦的網卡前面, 都部署一台穿透式防火牆.

某手機大廠曾經導入零信任架構: 每一台設備連網, 都必須啟動 VPN 才能連接 (包含內網電腦), 這樣可以確保他們全部都通過防火牆的檢查和防禦. 但前提是: 你的防火牆必須夠強大, 因為原本不會通過防火牆的 Layer 2 通訊, 現在通通都會走過去, 檢查的流量暴增.

回應
分享
檢舉

登入發表回應

sd3388

iT邦好手 1 級 ‧ 2024-01-23 18:23:36

首先我必須說raytracy大大說的沒錯，
這是網路架構的問題
但這已經是比較陳舊的觀念
防火牆很早就可以處理Layer2的流量
其中Fortigate的virtual wire pair就是其中一種功能
不然有些型號有那麼多埠實在也就浪費了

最完整的解決方案在Fortinet資安鐵三角
特別是ACE大大希望無線或有線每個IP都避免橫向
還需要有的IP通有的IP不通的話
真的需要特別設計一下方案
同時我知道有些功能還限定型號限定版本
並不是光有Fortiswitch設intra-vlan block就好

整體資安鐵三的建置並不需要做到零信任就有很好的效果
尤其是新款F或G系列的晶片有效能輔助
在不需要額外網管系統、SIEM、或SNMP軟體等費用情況下
唯一就是要購買實體看的見的設備
稍晚我私訊一下有建置經驗的SI
是否願意分享傳統網路架構與Forti同時並存的經驗
或是其他先進有建置經驗的也感謝分享

回應
分享
檢舉

登入發表回應

jack91836

iT邦新手 5 級 ‧ 2024-01-24 10:31:49

AP是甚麼廠牌呢?如果是像cisco或是aruba這些企業級的AP可以透過MAC認證去分配不同的網段給使用者，或是給予不同的角色來限制訪問的權限

回應 2
分享
檢舉

ACE iT邦新手 5 級 ‧ 2024-01-24 14:56:21 檢舉

AP是aruba的，我研究看看有無這些功能好了

jack91836 iT邦新手 5 級 ‧ 2024-01-24 17:20:50 檢舉

aruba的AP你需要先了解是不是有透過controller或是mobility conductor控管，再去看對應的SSID的profile做了那些認證、拿到甚麼角色跟網段、角色的政策是甚麼

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2024-01-25 09:47:08

樓主如果只是想做到每個網段之間的控制
其實很簡單，
只要網段的gatway都設在Fortigate介面上即可
但如果是想控制到每個IP之間
照目前既有架構想要不增添預算則應該做不到

如果編列預算去做這樣微分割(Micro-Segmentation)的方案有那些呢
當然raytracy大推薦目前流行的零信任架構也不錯
但是需要盤點所有終端並定義後
再予以每個端點計算相關費用
恐怕不只是費用驚人而已
其過程與做法也不是很簡易

目前在下所知能快速識別終端設備並予以資安控管的有兩種解決方案
一是CISCO的Cisco Meraki
另一就是Fortinet的Security Facbric裡的Security Access
俗稱Fortinet 資安鐵三角
但此二種方案都需要同廠牌的防火牆+交換器+基地台
而總成本及建置方法都會較零信任方案來的容易

以在下建置過傳統架構與security access架構並存的經驗
其實建置方式非常簡單而快速
但是需要成熟的經驗以調教相關需求細節
intra-vlan block與Proxy Arp各有不同背景要求
初期建置若無建置經驗則PM與工程師不可不慎

由於樓主已採用HPE Aruba相關設備
除非單獨處理這一組class A的網段
也就是所謂傳統架構與微分割(Micro-Segmentation)架構並治
請容在下與樓主及諸位先進另行討論
目前先提供大致概述供各路大神參考