iT邦幫忙

2

Fortigate 設定*.fqdn 問題

fortigate firewall
Kailis 2024-10-03 17:43:36254 瀏覽

  • 分享至 

  • xImage

fortigate 200f ver 7.4.5
目前有個需求,主機只能連特定fqdn , 其餘不能連
以下舉例:
測試 policy 只允許 特定主機, destination 設定yahoo.com 可以連線,
測試可以通,

若將yahoo.com fqdn 改為 *.yahoo.com  測試如tw.yahoo.com , tw.stock.yahoo.com
都不能連線, 若再加一個webfilter wildcard ,url為 *.yahoo.com/* 設為allow 
也不行,  
因為網址很多,一筆一筆開太沒效率, 想請教該如何設定才能 讓*.fqdn 的設定能夠生效?
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

0
allenlai
iT邦新手 5 級 ‧ 2024-10-04 09:13:33

我的作法如下,給您參考。

  1. 第一條policy先允許可以連到的網址。 來源主機-> 可以連線的全部fqdn allow
  2. 第二條policy再Deny all。 來源主機-> all deny
Kailis iT邦研究生 1 級 ‧ 2024-10-04 10:29:00 檢舉

感謝回覆, 因為這是Production 的設備,
上面已經很多條policy , 若用這個方法,容易會影響其它主機連線,
而第一條policy 因為若不使用*.fqdn , 那要開的網址就很多了, 而且還要測試, 而且也不能直接開any , 所以這個作法恐怕是不適合的

allenlai iT邦新手 5 級 ‧ 2024-10-04 11:16:06 檢舉

可以試著在DNS過濾器中新增*.yahoo.com,並設定為允許通過。
並在policy上開啟DNS過濾,並選擇這條DNS過濾的名稱(在我的範例中為TEST1)。
試試看這樣呢?

https://ithelp.ithome.com.tw/upload/images/20241004/20169904fpcL09s2mE.png

https://ithelp.ithome.com.tw/upload/images/20241004/20169904hItgc4RqnL.png

登入發表回應
0
mathewkl
iT邦高手 1 級 ‧ 2024-10-04 11:22:21

改用DNS Filter全鎖
在靜態域名過濾器設萬用字元允許
在policy拿掉Web Filter,改掛DNS Filter

如果是用物件的fqdn,那就不能用萬用字元

登入發表回應
0
bluegrass
iT邦高手 1 級 ‧ 2024-10-04 12:15:20

首先, 你要確保你FORTIGATE的DNS, 跟你用戶的DNS要一致

https://ithelp.ithome.com.tw/upload/images/20241004/20102031HlCiMqgO1O.png

https://ithelp.ithome.com.tw/upload/images/20241004/20102031LKen72esNU.png

如果用戶跟防火牆的DNS不一樣, 你也是白費功夫

再來, 直接兩條POLICY放頂端

Policy 1: SOURRCE:特定主機, DESTINATION 改用 *.yahoo.com , ACTION ALLOW
Policy 2: SOURRCE:特定主機, DESTINATION 改用 ANY, ACTION DENY 不就可以了?

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1050
團體組數
40
累計文章數
16921
最後報名日
9/15
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 16th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react 資訊安全
熱門問題
熱門回答
熱門文章
IT邦幫忙