跳至主要內容

预定义 ISDB

2025/10/29大约 1 分钟

预定义 ISDB

本文主要介绍如何将预定义的 ISDB 条目应用到防火墙策略中。

配置步骤

重要

ISDB 是一系列 IP、协议、端口号的集合,所以配置后进行测试时,请使用 ISDB 中包含的协议、端口号进行测试,并不是只匹配到目标 IP 就会匹配到相关的 ISDB。

  1. 通过 Web 方式访问防火墙的管理页面,进入“策略 & 对象 → 防火墙策略”页面,新建防火墙策略。

  2. 配置流入接口和源地址,在“目标地址”选项中选择“Internet 服务”,搜索“baidu”,选择“Baidu-Web”到目标地址中(该 ISDB 包含了所有百度的 Web 页面资源),动作选择“拒绝”,开启“记录拒绝流量”。

    image-20230419162200429image-20230419164756204
    config firewall policy
    edit 8
        set name "Deny_Baidu_Web"
        set srcintf "lan"
        set dstintf "wan1"
        set srcaddr "all"
        set internet-service enable
        set internet-service-name "Baidu-Web"
        set schedule "always"
        set logtraffic all
    next
end

  3. 将该条策略移动至上网策略之前。

    image-20230419162429747

  4. 使用“diagnose internet-service id 65646”可以看到该 ISDB 的详细信息,“diagnose internet-service id-summary 65646”可以看到该 ISDB 的简要信息。

    diagnose internet-service id 65646
diagnose internet-service id-summary 65646

结果验证

  1. 使用内网 PC 经过 FortiGate 访问网页 https://www.baidu.com ,无法打开页面。

    image-20230419165112821

  2. 查看防火墙的流量日志,可以看到客户端访问 https://www.baidu.com 的流量被阻断,目标 ISDB 识别正确。

    image-20230419163943228

  3. 由于策略中引用的 ISDB Baidu-Web 不包含 ICMP 服务,所以客户端仍然可以 Ping 通 www.baidu.com

    image-20230419164119984
最近更新:
统计数据加载中…
Copyright © 2025 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.