• 基于地理位置的ISDB
  • 功能介绍
  • 配置步骤

基于地理位置的ISDB

功能介绍

基于地理位置的ISDB允许用户定义国家/地区和城市。这些对象可以在防火墙策略、限速策略、SD-WAN规则中使用，以便对ISDB的位置进行更精细的控制。

配置步骤

1. 进入“策略&对象→Internet服务数据库”，点击“新建”按钮，选择“基于国家和地区的Internet”服务。

   

2. 按需配置主要的Internet服务，以及限定的国家/地区、区域和城市，下发配置。如下图所示为微软的更新服务ISDB，限定IP的地理位置在中国广东省广州市。

   

   config firewall internet-service-name
       edit "Microsoft-Update_Guangzhou"
           set type location
           set internet-service-id 327793
           set country-id 156
           set region-id 628
           set city-id 9028
       next
   end
   

3. 编辑上步配置的基于地理位置的ISDB，点击右侧的“View/Edit Entries”，可以查看该ISDB包含的IP/端口库。

   

   

4. CLI下使用调试命令查看该ISDB属于广州的IP条目。

   FortiGate # diagnose internet-service id 327793 | grep "country(156) region(628) city(9028)"
   58.254.180.65-58.254.180.65 country(156) region(628) city(9028) blocklist(0x0) reputation(5), popularity(5) domain(0) botnet(0) proto(6) port(80 443)
   

5. 新建防火墙安全策略，在目的中引用该ISDB，禁止访问该ISDB所属资源的流量。

   

   config firewall policy
       edit 6
           set name "Deny_Microsft_Update_to_Guangzhou"
           set srcintf "lan"
           set dstintf "wan1"
           set srcaddr "lan"
           set internet-service enable
           set internet-service-name "Microsoft-Update_Guangzhou"
           set schedule "always"
           set logtraffic all
       next
   end