自定义ISDB

功能介绍

当预定义的ISDB中无法找到自己需要的ISDB时,可以使用自定义的ISDB(只能在CLI下配置),并应用在防火墙策略、限速策略、SD-WAN策略的目标中。

创建自定义的ISDB时,必须包含以下参数:

  • IP地址或IP地址范围
  • 协议号
  • 端口号或端口号范围(如果是没有端口号的协议,则不需要填写,如ESP)
  • 声誉级别(默认为3)

配置示例

config firewall internet-service-custom
    edit <name>
       set comment <comment>
       set reputation {1 | 2 | 3 | 4 | 5}
       config entry
           edit <ID>
               set protocol <protocol #>
               set dst <object_name>
               config port-range
                   edit <ID>
                       set start-port <port #>
                       set end-port <port #>
                   next
               end
           next
       end
    end
end

配置步骤

  1. 配置目标的地址对象,并配置一条自定义的ISDB引用它们,协议为TCP的22端口和TCP的443端口。

    config firewall address
        edit "10.10.12.1/32"
            set subnet 10.10.12.1 255.255.255.255
        next
    end
    
    config firewall internet-service-custom
       edit "10.10.12.1_SSH_HTTPS"
           config entry
              edit 1
                  set protocol 6
                  config port-range
                      edit 1
                          set start-port 22
                          set end-port 22
                      next
                  end
                  set dst "10.10.12.1/32"
              next
              edit 2
                  set protocol 6
                  config port-range
                      edit 1
                          set start-port 443
                          set end-port 443
                      next
                  end
                  set dst "10.10.12.1/32"
              next
           end
       next
    end
    
  2. 配置流入接口和源地址,在“目标地址”选项中选择“Internet服务”,在“自定义INTERNET服务”分类中,选择上步创建的自定义ISDB到目标地址中,动作选择“拒绝”,开启“记录拒绝流量”。

    image-20230419172500024

    config firewall policy
        edit 9
            set name "Deny_Custome_ISDB"
            set srcintf "lan"
            set dstintf "wan1"
            set srcaddr "all"
            set internet-service enable
            set internet-service-custom "10.10.12.1_SSH_HTTPS"
            set schedule "always"
            set logtraffic all
        next
    end
    
  3. 将该条策略移动至上网策略之前。

    image-20230419172531588

结果验证

  1. 使用内网PC经过FortiGate访问10.10.12.1的SSH(TCP port22)服务,无法访问。

    image-20230419173453909

  2. 查看防火墙的流量日志,可以看到客户端访问10.10.12.1的SSH流量被阻断,目标ISDB识别正确。

    image-20230419173831806

  3. 使用内网PC经过FortiGate访问10.10.12.1的HTTPS(TCP port 443)服务,被阻断。

    image-20230419173630622

  4. 查看防火墙的流量日志,可以看到客户端访问10.10.12.1的HTTPS流量被阻断,目标ISDB识别正确。

    image-20230419173905289

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""