我有一个场景,其中 Fortigate 防火墙用于将内部网络与 Internet 分开(FortiOS 版本 4.0 MR3 补丁 11)。现在有一个连接到防火墙的 Internet 连接,并且使用默认静态路由让所有 Internet 流量通过它。我想将第二个 Internet 连接附加到防火墙,然后仅路由某些流量通过它,例如 Web 浏览流量。
对于此设置,我保留通过第一个链接的当前静态默认路由,然后配置策略路由选项,以便通过第二个 Internet 链接路由具有目标端口 TCP/80 和 TCP/443 的流量。正如预期的那样,在路由表之前评估策略路由,并将所有发往 TCP/80 和 TCP/443 的流量发送到第二条链路,包括直接连接到 Fortigate 的子网之间的流量,这些流量会中断它们之间的通信。
在 Cisco 环境中,我会调整用于匹配策略路由流量的 ACL,在 ACL 的开头拒绝内部网络之间的流量,并在末尾添加“permit any”语句。但是,我找不到指示 Fortigate 以类似方式工作的方法。
你知道如何让这个场景与 Fortigate 一起工作吗?
来自网络实验室博客:
“对于 Fortinet 防火墙,其策略路由:
CLI 版本:config router policy edit 1 set input-device "port4" set src 172.18.0.0 255.255.0.0 set dst 192.168.3.0 255.255.255.0 set protocol 6 set start-port 443 set end-port 443 set gateway 1.1.1.1 set output-device "port3" next end
对于 GUI 版本,请查看上面的博客。在我获得 10 个代表点之前无法发布图片。:-/
由于策略路由是自上而下评估的,您可以通过放置一个更具体的条目匹配从内部子网 A 到内部子网 B 的流量来解决此限制。
但是,如果您的内部接口连接了许多不同的网络,这应该不太舒服。
在这种情况下,我会向您推荐一个我曾经使用过的技巧:由于 Fortigate 设备忽略 QoS 标记,您应该使用特定的 TOS 在 Cisco 交换机的面向防火墙的端口上签署您的“互联网”数据包,然后在您的政策路线。
是的!您可以根据您的要求进行设置 我了解您想要的网络浏览流量,即 tcp-80 和 tcp-443 出站流量想要从二级互联网链接流出。并且主要 Internet 链接将使用除 web 流量之外的剩余流量来配置此要求。
为两个 isps 的互联网访问创建两个出站安全策略
认为
Port11 - 第一个互联网链接
Port8 - 第二个互联网链接
Port5 -Lan 接口
为二级互联网链接创建策略
Source interface : Lan Destination interface :port8 Source address : Any Destination :address :any Service : http &https Action : allowed Security profiles : on
为主链接创建策略
Source interface :Lan Destination interface : port 11 Source address :any Destination address :any Services : any Action allowed Security profiles :on
将二级互联网链接策略放在首位 现在创建基于策略的路由
Às source as : Lan subnet Destination :any Interface : Port 8 Action :allow
然后将默认路由配置为
Ip route 0.0.0.0 0.0.0.0 pointing towards first isp gateway
ip route 0.0.0.0 0.0.0.0 pointing towards second isp gateway
让我们看看现在的交通流量
任何从 LAN 访问 Internet 的用户将首先检查基于策略的路由,如果 ip 匹配,则数据包将根据策略发送到辅助链接的策略,如果流量为 80 并且允许 443,其他流量在第二个策略(即第一个 Internet 链接策略)上次之。 . 在此您可以配置您的要求,所有 80 和 443 流量将从辅助链接流出,其余流量将从第一个 Internet 链接流出不需要的流量将在底部的隐式拒绝策略中被拒绝...同样,您可以配置您的要求..
