fortigate 200f ver 7.4.5目前有个需求,主机只能连特定fqdn , 其余不能连以下举例:测试 policy 只允许 特定主机, destination 设定yahoo.com 可以连线,测试可以通,

若将yahoo.com fqdn 改为 *.yahoo.com 测试如tw.yahoo.com , tw.stock.yahoo.com
都不能连线, 若再加一个webfilter wildcard ,url为 *.yahoo.com/* 设为allow
也不行,
因为网址很多,一笔一笔开太没效率, 想请教该如何设定才能 让*.fqdn 的设定能够生效?

5 个回答

  • 旧至新
  • 新至旧
  • 最高Like数

0

allenlai

iT邦新手 5 级 ‧ 2024-10-04 09:13:33

我的作法如下,给您参考。

  1. 第一条policy先允许可以连到的网址。 来源主机-> 可以连线的全部fqdn allow
  2. 第二条policy再Deny all。 来源主机-> all deny


  • 3

Kailis

iT邦研究生 1 级 ‧
2024-10-04 10:29:00

感谢回覆, 因为这是Production 的设备,
上面已经很多条policy , 若用这个方法,容易会影响其它主机连线,
而第一条policy 因为若不使用*.fqdn , 那要开的网址就很多了, 而且还要测试, 而且也不能直接开any , 所以这个作法恐怕是不适合的

修改

allenlai

iT邦新手 5 级 ‧
2024-10-04 11:16:06

可以试着在DNS过滤器中新增*.yahoo.com,并设定为允许通过。
并在policy上开启DNS过滤,并选择这条DNS过滤的名称(在我的範例中为TEST1)。
试试看这样呢?

修改

Kailis

iT邦研究生 1 级 ‧
2024-10-04 17:41:29

依您的建议测试过了,但如果client没有把dns指向跟firewall 上的一致,是没有作用的, 不管有没有设dns filter 都一样
目前 依bluegrass的建议有生效,但还需处理dns的问题

修改

0

mathewkl

iT邦高手 1 级 ‧ 2024-10-04 11:22:21

改用DNS Filter全锁
在静态域名过滤器设万用字元允许
在policy拿掉Web Filter,改挂DNS Filter

如果是用物件的fqdn,那就不能用万用字元


  • 1

Kailis

iT邦研究生 1 级 ‧
2024-10-04 17:43:36

感谢回覆,但经测试物件 (address)的*.fqdn是可以用万用字元的
但会需要跟楼下的建议一样, client dns 和fortigate 上的dns 要一致

修改

0

bluegrass

iT邦高手 1 级 ‧ 2024-10-04 12:15:20

首先, 你要确保你FORTIGATE的DNS, 跟你用户的DNS要一致

如果用户跟防火墙的DNS不一样, 你也是白费功夫

再来, 直接两条POLICY放顶端

Policy 1: SOURRCE:特定主机, DESTINATION 改用 *.yahoo.com , ACTION ALLOW
Policy 2: SOURRCE:特定主机, DESTINATION 改用 ANY, ACTION DENY 不就可以了?


  • 5

看更多先前的...收起先前的...

Kailis

iT邦研究生 1 级 ‧
2024-10-04 17:29:01

经测试, 如您所说,
真的要把DNS指向 Fortigate 预设的dns才可以,
而destination 可以直接用 *.google.com 不需要使用web filter , dns filter,
但因为一般公司都会让client 指向公司自己内部的dns
所以如果把fortigate 预设的dns指向公司内部与client 相同的dns
也会生效吗?

另外有没有什么要额外注意的地方? 因为若全公司网路突然不能连就槛尬了, 最好是一秒都不要发生

修改

bluegrass

iT邦高手 1 级 ‧
2024-10-05 11:02:46

把fortigate预设的dns指向公司内部与client 相同的dns [反正你就是AD是吧!?]

会生效的
也是很正常的方案

旦前提是: AD不能用FORTIGATE作为DNS FORWARDER

DNS FORWARDER建议用1.1.1.2 , 1.0.0.2
安全又快.

修改

bluegrass

iT邦高手 1 级 ‧
2024-10-07 11:48:54

如果成功了记得选我最佳喔 A_A

修改

Kailis

iT邦研究生 1 级 ‧
2024-10-08 12:13:45

好的,如果有成功的话,
再请教一下, 因为我们有透过switch 当dhcp 配送ip , 其中部份vlan 是将dns 指向 fortigate ,而且不与内网互通, 若把fortigate 的dns 指向ad , 理论上,应该也是可以透过firewall 查询dns 吧? 毕竟要先check 好, 避免过程出错

修改

bluegrass

iT邦高手 1 级 ‧
2024-10-09 09:29:15

反正都不想内通, 就把那些VLAN改成用1.1.1.3,1.0.0.3做DNS吧.

这两个DNS自带 防MALWARE+色情 功能

修改

1

mytiny

iT邦超人 1 级 ‧ 2024-10-04 22:06:13

这题引起在下的兴趣,有做LAB花点时间测试
原厂手册有写在防火墙策略中使用万用字元FQDN地址的方法

首先,万用字元FQDN物件内容为空白,不能包含任何地址。
当客户端尝试解析FQDN地址时,FortiGate将分析DNS响应。
DNS响应的答案部分中包含的IP地址将添加到相应的通配符FQDN对像中。
因此,有必要在 config system session-helper 设置。
(由于FortiGate必须分析DNS响应,因此它不适用于HTTPS上的DNS)

因此确实可以在防火墙策略中使用万用字元FQDN地址。
IPv4,IPv6,ACL,NAT64,NAT46和NGFW策略类型都支持万用字元FQDN地址。

注意:为了使通配符FQDN地址起作用,FortiGate应先允许DNS流量通过

 
做LAB测试时发现
其实不需要Client与FGT的DNS一致
也不是版主说有挡一条google的就可以
应该另外还有其他一些细项必须注意
因为不了解楼主确实环境
建议找供货的SI来解决问题
如果SI不行,下次记得慎选技术有能力地SI


  • 2

Kailis

iT邦研究生 1 级 ‧
2024-10-08 12:19:57

是的, 当时测试有加上允许外部dns 的address流量通过
因为ad dns 查询外部如果是透过8.8.8.8 , 就算firewall dns 与client dns 不一致, 只是允许8.8.8.8 dns 流量, 是否也能生效?

补充: 其实一开始我问公司负责维护的si, 但他说他要查一下, 然后就没有下文了,追问一次也是没回覆, 看起来技术能力真的不太好,
但厂商暂时没办法改, 只能靠自己了

修改

mytiny

iT邦超人 1 级 ‧
2024-10-09 20:25:21

记得把DNS服务放前面先通过就好
FortiGuard指的DNS与在下测试时PC不同一样可达成效果
至于SI,只能说卖的多熟的少,下次购买MA前多比较

修改

0

林门神JanusLin

iT邦超人 1 级 ‧ 2024-10-06 18:39:34

https://tw.yahoo.com
现在的网页连结
FQDN 没那么单纯
不可能只有一个 *.yahoo.com
这么简单

FYI
防火墙限制只开放可以连上 财政部电子发票整合服务平台 的网站
https://ithelp.ithome.com.tw/articles/10318599

F12 观察 Firefox Chrome 网页 DNS 查询哪些 Domain
https://ithelp.ithome.com.tw/articles/10285074