在定义强化防火墙的策略时不使用接口有什么影响?
IE
政策将是
edit 1
set srcintf "any"
set dstintf "any"
set srcaddr "ip-192.168.1.10"
set dstaddr "ip-172.16.1.254
set status enable
set schedule "always"
set service "TCP-8080"
set logtraffic disable
next
指定接口有什么好处吗?
我的理解是,当流量进入防火墙时,fortigate 防火墙会对流量应用 RPF 检查。
例如,如果来自 192.168.1.0/24 的数据包通过 port1,它会期望路由表中存在该前缀的路由,否则 RPF 会阻止它。
我们正在研究自动化我们如何填充防火墙规则并删除接口逻辑将使实现更简单。
任何想法或经验都会很好。
该接口是策略的一部分。当您使用 时any,该规则适用于所有接口,即。对于要应用的策略,数据包从何处进入或必须从防火墙退出并不重要。
FG 应用 RPF - 为了接受接口上的源地址,必须有一条适当的路由离开该接口。因此,本质上您不需要始终在策略中使用接口。
可以通过打开非对称路由 ( config system setting, set asymmetric enable) 禁用RPF ,在途中禁用状态检查。更好的方法可能是设置一条永远不会被使用的高指标的路由。
几乎没有一个好的或强制性的理由不在策略中指定接口。为了方便总是要付出代价的:在维护和调试时失去控制和时间。
尝试确定流量通过例如 80 个防火墙策略,其中大多数使用“任意”接口。哪一个在“影响”其他,并且明确的政策是否受到打击,如果没有,为什么?这几乎是不可能的。当然,您可以嗅探,但这是实时的。防火墙在很大程度上是关于计划和预见的。
换句话说:策略以您计划和预见的方式反映数据流(及其保护)。建立防火墙是为了防止偏离该计划。例如,这就是为什么 FortiOS 中的每个接口对都有隐式拒绝策略的原因。您确实有关于每个接口后面存在(或路由到)哪个网络的信息。如果不使用此信息,您将阻止防火墙发挥其全部潜力。
RPF 的损失恕我直言只是“任何”接口的副作用。通常,如果受保护的网络连接到 Internet,则您需要默认路由。如果您使用“任何”接口,则一直使用此路由,即使是对于来源不明的流量。这实际上消除了 RPF。