Policies
01 | Local-in policy
Met de functie Local in Policy op een FortiGate apparaat kun je de toegang tot de administratieve interfaces van de firewall beheren. Deze policy maakt het mogelijk om specifieke toegangspaden voor beheerders te configureren, zodat je kunt bepalen welke IP-adressen of netwerken wel of niet toegang krijgen tot de beheermogelijkheden van het apparaat. Dit is een belangrijk hulpmiddel voor het versterken van de beveiliging, aangezien het het risico op ongeautoriseerde toegang tot de device instellingen vermindert.
config firewall local-in-policy
edit 1
set intf "<WAN interface>"
set srcaddr "<Firewall address>"
set dstaddr "all"
set action accept
set service "ALL_ICMP" "SNMP"
set schedule "always"
next
edit 2
set intf "<WAN interface>"
set srcaddr "all"
set dstaddr "all"
set service "ALL"
set schedule "always"
next
endDeze regels zorgen ervoor dat alleen verkeer voor ICMP (ping) en SNMP (voor netwerkbeheer) wordt toegestaan naar de firewall via de opgegeven WAN-interface, terwijl al het andere verkeer wordt geblokkeerd. De eerste regel staat specifiek ICMP en SNMP toe vanaf een bepaald IP-adres, terwijl de tweede regel alle andere diensten voor elke bron blokkeert.
02 | Negate Policy
Negate kun je gebruiken als omgekeerd policy object.
Geef je bijvoorbeeld aan dat je RFC1918 als destination Negate, dan word alles toegestaan behalve RFC1918.
Deze functie gebruik je bijvoorbeeld als je al het internet verkeer wil toestaan behalve bepaalde URL's, hiermee heb je dan maar 1 policy in plaats van 2.
In het voorbeeld hieronder kun je naar alle internet adressen toe, behalve 1.1.1.1
config firewall policy
edit 0
set srcintf "VLAN2001"
set dstintf "wan1"
set action accept
set srcaddr "N-10.20.1.0/24"
set dstaddr "H-1.1.1.1"
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
set dstaddr-negate enable
next
end