發佈於 作者: blackjack

跟小編一起學-FortiGate防火牆-設定「網路位址」物件(web設定方式)

今天小編要介紹的單元是設定FortiGate防火牆的「網路位址」物件,「網路位址」被使用在防火牆規則與VPN的設定過程,趕快跟著小編一起來了解吧。

介紹的內容為
透過web管理畫面:
(1)、建立IP型態的網路位址物件
(2)、建立FQDN型態的網路位址物件
(3)、建立IP範圍區段的網路位址物件
(4)、建立國家地區型態的網路位址物件
(5)、建立網路位址群組

[web管理畫面]
(1)、登入系統

(2)、切換至網路位址物件設定畫面
點選「Policy & Objects」→「Addresses」

(2)、新增網路位址物件
點選「Create New」→「Address」

(3)、網路位址設定畫面功能介紹
Name:定義「網路位址」物件的名稱,方便日後引用的識別性。
Color:設定「網路位址」物件的顯示顏色。

Type:定義「網路位址」物件的型態,共有下列5種類型。
(a)、FQDN:Domain Name的定義方式(例如:tw.yahoo.com)。

(b)、Geography:國家地區(例如:Taiwan)。

(c)、IP Range:IP範圍區段(例如:192.168.1.1-192.168.1.254)。

(d)、Subnet:單一IP(例如:192.168.1.1/32)或是網段(例如:192.168.1.0/24)。

(e)、Fabric Connector Address:SDN(Software-Defined Networking,軟體定義網路),支援下列廠商。
●Application Centric Infrastructure (ACI)
●Amazon Web Services (AWS)
●Microsoft Azure
●VMware NSX
●Nuage Virtualized Services Platform
●Oracle Cloud Infrastructure (OCI)
●OpenStack (Horizon)
●Google Cloud Platform (GCP)

Interface:定義「網路位址」物件所屬介面,當「網路位址」定義在某個介面上,在其他介面就看不到該「網路位址」,通常會用來區分內部網路及外部網路「網路位址,避免再設定防火牆規則時誤選「網路位址」,預設有下列6種介面。
(a)、Internal:內部網路介面。
(b)、SSL-VPN:SSL VPN介面。
(c)、dmz:非軍事區域介面。
(d)、wan1:外部網路介面1
(e)、wan2:外部網路介面2
(f)、any:不限制綁定在任何介面。

Show in Address List:是否顯示在「網路位址」清單,有些情境會透過該設定來隱藏「網路位址」不顯示在候選設定清單內,避免干擾設定、增加選取「網路位址」的複雜度,但通常都還是採用預設的顯示設定狀態。

Static Route Configuration:顯示在靜態路由的「網路位址」候選清單。

Comments:定義「網路位址」物件的注釋說明,用途跟「Name」有異曲同工之處,但這個欄位可以輸入的字元較無限制,可以更清楚的紀錄該「網路位址」的用途。

Tag:定義「網路位址」物件的標籤,當設定值很多時,可以透過標籤的屬性來快速區分,但在實務上小編還沒遇過這樣複雜的狀況,需要透過標籤來分類。

(4)、建立IP型態的「網路位址」物件
Name:輸入「TW-Yahoo-IP」方便在選取「網路位址」時快速辨別。
Type:選擇「Subnet」
Subnet / IP Range:輸入IP或網段位址,本範例輸入「180.222.102.201」。
Interface:選擇「wan1」
Comments:輸入注解說明,本範例輸入「台灣Yahoo網頁IP」。

(5)、建立FQDN型態的網路位址
Name:輸入「TW-Yahoo-FQDN」方便在選取「網路位址」時快速辨別。
Type:選擇「FQDN」
FQDN:本範例輸入「tw.yahoo.com」。
Interface:選擇「wan1」
Comments:輸入注解說明,本範例輸入「台灣Yahoo網頁Doamin Name」。

(6)、建立IP範圍區段的網路位址
Name:輸入「Home-1F-Range」方便在選取「網路位址」時快速辨別。
Type:選擇「 IP Range」
Subnet / IP Range:本範例輸入「192.168.1.1-192.168.1.30」。
Interface:選擇「Internal」
Comments:輸入注解說明,本範例輸入「家裡1樓所使用IP範圍」。

(7)、建立國家地區型態的網路位址
Name:輸入「Taiwan」方便在選取「網路位址」時快速辨別。
Type:選擇「 Geography」
Country/Region:本範例輸入「Taiwan」。
Interface:選擇「wan1」
Comments:輸入注解說明,本範例輸入「台灣來源IP」。

(8)、建立網路位址群組物件
點選「Create New」→「Address Group」

Group Name:輸入「Yahoo-WEB」方便在選取「網路位址群組」時快速辨別。
Members:選取想要綁定在一起的「網路位址」,本範例選取了「TW-Yahoo-FQDN」、「TW-Yahoo-IP」。
Comments:輸入注解說明,本範例輸入「台灣YAHOO網頁」。