fortigate 200f ver 7.4.5
目前有個需求,主機只能連特定fqdn , 其餘不能連
以下舉例:
測試 policy 只允許 特定主機, destination 設定yahoo.com 可以連線,
測試可以通,
若將yahoo.com fqdn 改為 *.yahoo.com 測試如tw.yahoo.com , tw.stock.yahoo.com
都不能連線, 若再加一個webfilter wildcard ,url為 *.yahoo.com/* 設為allow
也不行,
因為網址很多,一筆一筆開太沒效率, 想請教該如何設定才能 讓*.fqdn 的設定能夠生效?
我的作法如下,給您參考。
改用DNS Filter全鎖
在靜態域名過濾器設萬用字元允許
在policy拿掉Web Filter,改掛DNS Filter
如果是用物件的fqdn,那就不能用萬用字元
首先, 你要確保你FORTIGATE的DNS, 跟你用戶的DNS要一致
如果用戶跟防火牆的DNS不一樣, 你也是白費功夫
再來, 直接兩條POLICY放頂端
Policy 1: SOURRCE:特定主機, DESTINATION 改用 *.yahoo.com , ACTION ALLOW
Policy 2: SOURRCE:特定主機, DESTINATION 改用 ANY, ACTION DENY 不就可以了?