基于地理位置的 ISDB

功能介绍

基于地理位置的 ISDB 允许用户定义国家/地区和城市。这些对象可以在防火墙策略、限速策略、SD-WAN 规则中使用，以便对 ISDB 的位置进行更精细的控制。

配置步骤

1. 进入“策略 & 对象 → Internet 服务数据库”，点击“新建”按钮，选择“基于国家和地区的 Internet”服务。

   

2. 按需配置主要的 Internet 服务，以及限定的国家/地区、区域和城市，下发配置。如下图所示为微软的更新服务 ISDB，限定 IP 的地理位置在中国广东省广州市。

   

   config firewall internet-service-name
       edit "Microsoft-Update_Guangzhou"
           set type location
           set internet-service-id 327793
           set country-id 156
           set region-id 628
           set city-id 9028
       next
   end

3. 编辑上步配置的基于地理位置的 ISDB，点击右侧的“View/Edit Entries”，可以查看该 ISDB 包含的 IP/端口库。

   

4. CLI 下使用调试命令查看该 ISDB 属于广州的 IP 条目。

   FortiGate # diagnose internet-service id 327793 | grep "country(156) region(628) city(9028)"
   58.254.180.65-58.254.180.65 country(156) region(628) city(9028) blocklist(0x0) reputation(5), popularity(5) domain(0) botnet(0) proto(6) port(80 443)

5. 新建防火墙安全策略，在目的中引用该 ISDB，禁止访问该 ISDB 所属资源的流量。

   

   config firewall policy
       edit 6
           set name "Deny_Microsft_Update_to_Guangzhou"
           set srcintf "lan"
           set dstintf "wan1"
           set srcaddr "lan"
           set internet-service enable
           set internet-service-name "Microsoft-Update_Guangzhou"
           set schedule "always"
           set logtraffic all
       next
   end