fortigate 200f ver 7.4.5
目前有個需求,主機只能連特定fqdn , 其餘不能連
以下舉例:
測試 policy 只允許 特定主機, destination 設定yahoo.com 可以連線,
測試可以通,
若將yahoo.com fqdn 改為 *.yahoo.com 測試如tw.yahoo.com , tw.stock.yahoo.com
都不能連線, 若再加一個webfilter wildcard ,url為 *.yahoo.com/* 設為allow
也不行,
因為網址很多,一筆一筆開太沒效率, 想請教該如何設定才能 讓*.fqdn 的設定能夠生效?
已邀請的邦友 {{ invite_list.length }}/5
我的作法如下,給您參考。
感謝回覆, 因為這是Production 的設備,
上面已經很多條policy , 若用這個方法,容易會影響其它主機連線,
而第一條policy 因為若不使用*.fqdn , 那要開的網址就很多了, 而且還要測試, 而且也不能直接開any , 所以這個作法恐怕是不適合的
可以試著在DNS過濾器中新增*.yahoo.com,並設定為允許通過。
並在policy上開啟DNS過濾,並選擇這條DNS過濾的名稱(在我的範例中為TEST1)。
試試看這樣呢?
依您的建議測試過了,但如果client沒有把dns指向跟firewall 上的一致,是沒有作用的, 不管有沒有設dns filter 都一樣
目前 依bluegrass的建議有生效,但還需處理dns的問題
改用DNS Filter全鎖
在靜態域名過濾器設萬用字元允許
在policy拿掉Web Filter,改掛DNS Filter
如果是用物件的fqdn,那就不能用萬用字元
首先, 你要確保你FORTIGATE的DNS, 跟你用戶的DNS要一致
如果用戶跟防火牆的DNS不一樣, 你也是白費功夫
再來, 直接兩條POLICY放頂端
Policy 1: SOURRCE:特定主機, DESTINATION 改用 *.yahoo.com , ACTION ALLOW
Policy 2: SOURRCE:特定主機, DESTINATION 改用 ANY, ACTION DENY 不就可以了?
經測試, 如您所說,
真的要把DNS指向 Fortigate 預設的dns才可以,
而destination 可以直接用 *.google.com 不需要使用web filter , dns filter,
但因為一般公司都會讓client 指向公司自己內部的dns
所以如果把fortigate 預設的dns指向公司內部與client 相同的dns
也會生效嗎?
另外有沒有什麼要額外注意的地方? 因為若全公司網路突然不能連就檻尬了, 最好是一秒都不要發生
把fortigate預設的dns指向公司內部與client 相同的dns [反正你就是AD是吧!?]
會生效的
也是很正常的方案
旦前提是: AD不能用FORTIGATE作為DNS FORWARDER
DNS FORWARDER建議用1.1.1.2 , 1.0.0.2
安全又快.
這題引起在下的興趣,有做LAB花點時間測試
原廠手冊有寫在防火牆策略中使用萬用字元FQDN地址的方法
首先,萬用字元FQDN物件內容為空白,不能包含任何地址。
當客戶端嘗試解析FQDN地址時,FortiGate將分析DNS響應。
DNS響應的答案部分中包含的IP地址將添加到相應的通配符FQDN對像中。
因此,有必要在 config system session-helper 設置。
(由於FortiGate必須分析DNS響應,因此它不適用於HTTPS上的DNS)
因此確實可以在防火牆策略中使用萬用字元FQDN地址。
IPv4,IPv6,ACL,NAT64,NAT46和NGFW策略類型都支持萬用字元FQDN地址。
做LAB測試時發現
其實不需要Client與FGT的DNS一致
也不是版主說有擋一條google的就可以
應該另外還有其他一些細項必須注意
因為不了解樓主確實環境
建議找供貨的SI來解決問題
如果SI不行,下次記得慎選技術有能力地SI
https://tw.yahoo.com
現在的網頁連結
FQDN 沒那麼單純
不可能只有一個 *.yahoo.com
這麼簡單
FYI
防火牆限制只開放可以連上 財政部電子發票整合服務平台 的網站
https://ithelp.ithome.com.tw/articles/10318599
F12 觀察 Firefox Chrome 網頁 DNS 查詢哪些 Domain
https://ithelp.ithome.com.tw/articles/10285074
iThome鐵人賽
看影片追技術