基于地理位置的ISDB

功能介绍

基于地理位置的ISDB允许用户定义国家/地区和城市。这些对象可以在防火墙策略、限速策略、SD-WAN规则中使用,以便对ISDB的位置进行更精细的控制。

配置步骤

  1. 进入“策略&对象→Internet服务数据库”,点击“新建”按钮,选择“基于国家和地区的Internet”服务。

    image-20230523154655366

  2. 按需配置主要的Internet服务,以及限定的国家/地区、区域和城市,下发配置。如下图所示为微软的更新服务ISDB,限定IP的地理位置在中国广东省广州市。

    image-20230523160052725

    config firewall internet-service-name
        edit "Microsoft-Update_Guangzhou"
            set type location
            set internet-service-id 327793
            set country-id 156
            set region-id 628
            set city-id 9028
        next
    end
    
  3. 编辑上步配置的基于地理位置的ISDB,点击右侧的“View/Edit Entries”,可以查看该ISDB包含的IP/端口库。

    image-20230523160406424

    image-20230523160526141

  4. CLI下使用调试命令查看该ISDB属于广州的IP条目。

    FortiGate # diagnose internet-service id 327793 | grep "country(156) region(628) city(9028)"
    58.254.180.65-58.254.180.65 country(156) region(628) city(9028) blocklist(0x0) reputation(5), popularity(5) domain(0) botnet(0) proto(6) port(80 443)
    
  5. 新建防火墙安全策略,在目的中引用该ISDB,禁止访问该ISDB所属资源的流量。

    image-20230523162649715

    config firewall policy
        edit 6
            set name "Deny_Microsft_Update_to_Guangzhou"
            set srcintf "lan"
            set dstintf "wan1"
            set srcaddr "lan"
            set internet-service enable
            set internet-service-name "Microsoft-Update_Guangzhou"
            set schedule "always"
            set logtraffic all
        next
    end
    

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""