对于此设置,我通过第一个链接保留当前的静态默认路由,然后配置策略路由选项,以便通过第二个Internet链接路由具有目标端口TCP / 80和TCP / 443的通信。不出所料,策略路由将在路由表之前进行评估,所有发往TCP / 80和TCP / 443的流量都将发送到第二个链路,包括直接连接到Fortigate的子网之间的流量,这将中断它们之间的通信。
在思科环境中,我将调整用于匹配流量以进行策略路由的ACL,在ACL的开头拒绝内部网络之间的流量,并在结尾添加“ permit any”语句。但是,我找不到指示Fortigate以类似方式工作的方法。
您知道如何使此方案与Fortigate一起使用吗?
#1 楼
由于策略路由是从上到下评估的,因此可以通过放置更具体的条目来匹配从内部子网A到内部子网B的流量来解决此限制。但是,如果您这样做会不太舒服内部接口上连接了许多不同的网络。在这种情况下,我将向您推荐我曾经使用的一个技巧:
由于Fortigate设备忽略QoS标记,因此您应该对“互联网”进行签名带有特定TOS的思科交换机的防火墙端口上的数据包,然后在策略路由中使用该标记。
#2 楼
来自Network Labs博客:“对于Fortinet防火墙,其策略路由:CLI版本:
config router policy
edit 1
set input-device "port4"
set src 172.18.0.0 255.255.0.0
set dst 192.168.3.0 255.255.255.0
set protocol 6
set start-port 443
set end-port 443
set gateway 1.1.1.1
set output-device "port3"
next
end
对于GUI版本,请查看上面的博客。在获得10个代表点之前不能发布图像:-/
#3 楼
是!您可以按照您的要求进行操作,我了解您需要网络浏览流量,即tcp-80和tcp-443出站流量希望从辅助Internet链接中流出。并且主要的互联网链接将使用其余的流量,而不是Web流量来配置此要求。策略-路由将具有优先级,然后是我们所知的默认路由。.
创建两个用于两个isps的Internet访问的出站安全策略
假设
Port11-第一个Internet链接
Port8-第二个Internet链接
Port5-Lan接口
创建用于辅助Internet链接的策略
Source interface : Lan Destination interface :port8 Source address : Any Destination :address :any Service : http &https Action : allowed Security profiles : on 为主链接创建策略
Source interface :Lan Destination interface : port 11 Source address :any Destination address :any Services : any Action allowed Security profiles :on 在顶部保留辅助Internet链接策略
现在创建基于策略的路由
Às source as : Lan subnet Destination :any Interface : Port 8 Action :allow 然后将默认路线配置为如果流量为80和443,则按策略链接à其他流量第二个策略第二个,第二个策略是第一个Internet链接策略..在此,您可以配置确保您的需求所有80和443流量都将从辅助链路流出,而其余流量将从第一个Internet链路流出,不需要的流量将在底部的隐式拒绝策略中被拒绝...同样,您可以配置您的需求。.
评论
此示例的匹配条件之一是源地址属于172.18.0.0/16,目标地址属于192.168.3.0/24。我想知道如何配置“源地址属于172.18.0.0/16,目标地址属于除192.168.3.0/24之外的任何子网”
–丹尼尔·尤斯特·阿罗卡(Daniel Yuste Aroca)
13年5月16日在18:26
创建一个拒绝172.18.0.0/16源到192.168.3.0/24目标的ACL。然后,以上语句将更改您想要443到达的目的地。
– sigwo
13年5月17日在3:01
AFAIK,ACL在进行PBR之前先进行评估。因此,ACL将拒绝该流量,然后PBR将负责将443流量路由到您所需的接口/路由。
– sigwo
13年5月17日在3:03