扩展 ISDB

2025/10/29大约 4 分钟

扩展 ISDB

功能介绍

扩展 ISDB 允许您对现有的预定义 ISDB 中配置的 IP 和端口范围进行增加，实际上是编辑预定义类型的 ISDB 条目，并向其添加 IP 地址和端口范围。

扩展 ISDB 必须在 CLI 下配置，创建扩展的 ISDB 时，必须包含以下参数：

IP 地址或 IP 地址范围
协议号
端口号或端口号范围（如果是没有端口号的协议，则不需要填写，如 ESP）

删除时必须从 GUI 的预定义 ISDB 中删除相关条目。

配置示例

config firewall internet-service-extension
    edit <ID #>
        set comment <comment>
        config entry
            edit <ID #>
                set protocol <number #>
                set dst <object_name>
                config port-range
                    edit <ID #>
                         set start-port <number #>
                         set end-port <number #>
                    next
                end
            next
        end
    end
end

网络需求

用户想禁止内网访问阿里云相关资源的流量，配置了安全策略阻断去往预定义 ISDB“Alibaba-Alibaba.Cloud”的流量。
但由于阿里云域名对应的 IP 一直在变化，预定义的 ISDB 还未来得及更新最新的 IP 地址和端口号，导致阿里云的个别资源仍然可以正常访问（如 www.aliyun.com ）。
通过域名解析，找到仍然可以访问的资源为 42.59.1.232、42.59.1.234、42.59.1.231、42.59.1.233、42.59.1.229、42.59.1.236、42.59.1.230、42.59.1.235 的 443 端口。

查看解析到的 IP 所属的预定义 ISDB，可以看到没有属于任何一个预定义的 ISDB。

FortiGate # diagnose internet-service info root 6 443 42.59.1.235
Can not find Internet Service ID and name. ret=-1

解决方法是通过在预定义的 ISDB 上使用扩展 ISDB，以扩充预定义的 ISDB。

配置步骤

配置需要在预定义的 ISDB 上扩展的 IP 资源的地址和地址组对象。

config firewall address
    edit "AliCloud_1"
        set subnet 42.59.1.232 255.255.255.255
    next
    edit "AliCloud_2"
        set subnet 42.59.1.234 255.255.255.255
    next
    edit "AliCloud_3"
        set subnet 42.59.1.231 255.255.255.255
    next
    edit "AliCloud_4"
        set subnet 42.59.1.233 255.255.255.255
    next
    edit "AliCloud_5"
        set subnet 42.59.1.229 255.255.255.255
    next
    edit "AliCloud_6"
        set subnet 42.59.1.236 255.255.255.255
    next
    edit "AliCloud_7"
        set subnet 42.59.1.230 255.255.255.255
    next
    edit "AliCloud_8"
        set subnet 42.59.1.235 255.255.255.255
    next
end
config firewall addrgrp
    edit "AliCloud_extension"
        set member "AliCloud_1" "AliCloud_2" "AliCloud_3" "AliCloud_4" "AliCloud_5" "AliCloud_6" "AliCloud_7" "AliCloud_8"
    next
end

配置一条扩展的 ISDB，edit 的 ID 填写预定义的 ISDB“Alibaba-Alibaba.Cloud”的 ID 号（该 ID 号可以在 GUI 中查询），引用上步配置的地址组，协议为 TCP，端口号为 443 端口。

config firewall internet-service-extension
    edit 6881402
        set comment ''
        config entry
            edit 1
                set protocol 6
                config port-range
                    edit 1
                        set start-port 443
                        set end-port 443
                    next
                end
                set dst "AliCloud_extension"
            next
        end
    next
end

防火墙策略中配置流入接口和源地址，在“目标地址”选项中选择“Internet 服务”，在“INTERNET 服务”分类中，选择预定义的 ISDB“Alibaba-Alibaba.Cloud”，动作选择“拒绝”，开启“记录拒绝流量”。

config firewall policy
    edit 9
        set name "Deny_Extension_ISDB"
        set srcintf "lan"
        set dstintf "wan1"
        set srcaddr "all"
        set internet-service enable
        set internet-service-name "Alibaba-Alibaba.Cloud"
        set schedule "always"
        set logtraffic all
    next
end

将该条策略移动至上网策略之前。

结果验证

查询手动扩展的 IP 和端口所属的 ISDB，可以看到已被归类到预定义的 ISDB“Alibaba-Alibaba.Cloud”中。

FortiGate # diagnose internet-service info root 6 443 42.59.1.235
Internet Service: 6881402(Alibaba-Alibaba.Cloud) country(0 Any) region(0 Any) city(0 Any)

使用内网 PC 经过 FortiGate 访问 www.aliyun.com ，被阻断。
查看防火墙的流量日志，可以看到客户端访问 10.10.12.1 的 HTTPS 流量被阻断，目标 ISDB 识别正确。

禁用预定义 ISDB 中的 IP/端口

首先查询某个属于预定义 ISDB“Alibaba-Alibaba.Cloud”的 IP/端口。

FortiGate # diagnose internet-service info root 6 443 223.109.11.27
Internet Service: 6881402(Alibaba-Alibaba.Cloud) country(156 China) region(801 Jiangsu) city(26800 Wuxi)

进入“策略 & 对象 → Internet 服务数据库”，编辑要删除内容的预定义 ISDB，这里以“Alibaba-Alibaba.Cloud”为例，双击或邮件选择“编辑”。
点击页面右侧的“View/Edit Entries”，
右键禁用 IP/端口所属的条目。

再次查询该 IP 地址/端口所属的 ISDB，可以看到没有属于任何 ISDB。

FortiGate # diagnose internet-service info root 6 443 223.109.11.27
Can not find Internet Service ID and name. ret=-1