iT邦幫忙

4

Fortigate 防火牆政策設定問題

fortigate
yomojak811 2024-10-14 15:33:592572 瀏覽

  • 分享至 

  • xImage

先講一下我的網路架構
型號是Fortigate 40F
https://ithelp.ithome.com.tw/upload/images/20241014/20170080DMib4JheYS.jpg

我有設定VDOM 我把端口1設定成NAT 用作管理端口連網更新使用
端口2和端口3 是ISP的外部網路 端口2我會接入ISP網路來源 端口3接入交換器
端口2和端口3 已經設定透明模式
都設定好了 可是防火牆政策不起作用

https://ithelp.ithome.com.tw/upload/images/20241014/20170080E5JwE5qfZk.png

https://ithelp.ithome.com.tw/upload/images/20241014/20170080otyVof2x9q.png

https://ithelp.ithome.com.tw/upload/images/20241014/2017008078Nm351tTM.png

就算我把lan介面設定阻擋所有連線 也都沒有阻擋 然後也沒有記錄任何流量數據

看更多先前的討論...收起先前的討論...
mathewkl iT邦高手 1 級 ‧ 2024-10-14 17:08:08 檢舉
你說除了端口1當內部Gateway,其他接ISP,結果端口3又接交換器?
yomojak811 iT邦新手 5 級 ‧ 2024-10-14 17:24:34 檢舉
其他端口接ISP意思就是 這些端口都是用ISP流量的 端口2接ISP網路來源 然後端口3是接交換器 伺服器是接在交換器上面的
mathewkl iT邦高手 1 級 ‧ 2024-10-14 17:30:13 檢舉
看到問題了,同介面lan to lan不會過防火牆,所以會是0
yomojak811 iT邦新手 5 級 ‧ 2024-10-14 17:34:50 檢舉
那我應該怎麼做
yomojak811 iT邦新手 5 級 ‧ 2024-10-14 19:49:28 檢舉
我知道怎弄了 不要用硬體交換器 然後直接設定防火牆政策就可以通了
sam0407 iT邦大師 1 級 ‧ 2024-10-15 09:38:22 檢舉
透明模式我沒用過,但有找到這篇大陸Forti官網的文件,您可以參考一下文件中的設定 :
https://handbook.fortinet.com.cn/%E7%BD%91%E7%BB%9C%E7%AE%A1%E7%90%86/%E9%80%8F%E6%98%8E%E6%A8%A1%E5%BC%8F/%E4%BC%A0%E7%BB%9F%E9%80%8F%E6%98%8E%E6%A8%A1%E5%BC%8F/%E5%BC%80%E5%90%AF%E9%80%8F%E6%98%8E%E6%A8%A1%E5%BC%8F%E9%98%B2%E7%81%AB%E5%A2%99%E5%B9%B6%E4%BF%9D%E6%8A%A4%E4%B8%8A%E7%BD%91%E6%B5%81%E9%87%8F.html
sd3388 iT邦好手 1 級 ‧ 2024-10-15 12:00:12 檢舉
1.真的不需要用"透通"模式
2.大陸的資訊真的有點舊,特別是在版本推薦部分,但是再怎麼樣也比台灣的原廠好,從沒有提供過官方的完整繁體建置中文手冊,倒是漲價從來沒停過
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

2
mytiny
iT邦超人 1 級 ‧ 2024-10-14 17:27:34

看這題要點功力
首先模式採用錯誤,除非想搞成跟PA一樣
再來,不需要切VDOM
都這麼小台了,很耗資源
同時看不出切VDOM的意義何在
最後介面是switch模式
LAN到LAN不會進到Policy
設什麼都沒用

學防火牆功夫
設定沒什麼難處
看看YT或原廠文件就會了
尤其Fortigate,會答的人一堆
但是應該先想清楚網路架構
再思索要達成什麼資安效果
回頭來配置設定就簡單多了

鼓勵新手多學多看
歡迎提問
但自己要有花時間讀文件的心理準備

看更多先前的回應...收起先前的回應...
yomojak811 iT邦新手 5 級 ‧ 2024-10-14 17:33:09 檢舉

因為我不要更改網路架構 所以使用透明模式 那請問你認為應該怎麼做?

yomojak811 iT邦新手 5 級 ‧ 2024-10-14 17:39:47 檢舉

我試過不切VDOM會導致全部都在同一個廣播區

mytiny iT邦超人 1 級 ‧ 2024-10-15 11:32:54 檢舉

系統模式採用基於配置設定
透通可以用virtual wire pair不需要用VDOM
不同網段就不會有廣播區,可善用interface與VLAN,不需要用到VDOM

bluegrass iT邦高手 1 級 ‧ 2024-10-15 12:02:00 檢舉

正解, 不需用VDOM,
本來的ROOT VODM用virtual wire即可.

隨便找兩個INTERFACES加入到同一個virtual wire就可以了

登入發表回應
pigstepsunflower
iT邦新手 5 級 ‧ 2024-10-15 13:44:54
【**此則訊息已被站方移除**】
0
rb1102
iT邦研究生 3 級 ‧ 2024-10-16 23:12:37

善用virtual wire pair

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22200
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙