# Policies



# 01 | Local-in policy

Met de functie *Local in Policy* op een FortiGate apparaat kun je de toegang tot de administratieve interfaces van de firewall beheren. Deze policy maakt het mogelijk om specifieke toegangspaden voor beheerders te configureren, zodat je kunt bepalen welke IP-adressen of netwerken wel of niet toegang krijgen tot de beheermogelijkheden van het apparaat. Dit is een belangrijk hulpmiddel voor het versterken van de beveiliging, aangezien het het risico op ongeautoriseerde toegang tot de device instellingen vermindert.

```
config firewall local-in-policy
    edit 1
        set intf "<WAN interface>"
        set srcaddr "<Firewall address>"
        set dstaddr "all"
        set action accept
        set service "ALL_ICMP" "SNMP"
        set schedule "always"
    next
    edit 2
        set intf "<WAN interface>"
        set srcaddr "all"
        set dstaddr "all"
        set service "ALL"
        set schedule "always"
    next
end
```

<div class="flex-1 overflow-hidden @container/thread" id="bkmrk-deze-regels-zorgen-e"><div class="h-full"><div class="react-scroll-to-bottom--css-xfgzw-79elbk h-full"><div class="react-scroll-to-bottom--css-xfgzw-1n7m0yu"><div class="flex flex-col text-sm md:pb-9"><article class="w-full scroll-mb-[var(--thread-trailing-height,150px)] text-token-text-primary focus-visible:outline-2 focus-visible:outline-offset-[-4px]" data-scroll-anchor="true" data-testid="conversation-turn-7" dir="auto">Deze regels zorgen ervoor dat alleen verkeer voor ICMP (ping) en SNMP (voor netwerkbeheer) wordt toegestaan naar de firewall via de opgegeven WAN-interface, terwijl al het andere verkeer wordt geblokkeerd. De eerste regel staat specifiek ICMP en SNMP toe vanaf een bepaald IP-adres, terwijl de tweede regel alle andere diensten voor elke bron blokkeert.

</article></div></div></div></div></div>

# 02 | Negate Policy

Negate kun je gebruiken als omgekeerd policy object.  
Geef je bijvoorbeeld aan dat je RFC1918 als destination Negate, dan word alles toegestaan behalve RFC1918.  
  
Deze functie gebruik je bijvoorbeeld als je al het internet verkeer wil toestaan behalve bepaalde URL's, hiermee heb je dan maar 1 policy in plaats van 2.

In het voorbeeld hieronder kun je naar alle internet adressen toe, behalve 1.1.1.1

```
config firewall policy
    edit 0
        set srcintf "VLAN2001"
        set dstintf "wan1"
        set action accept
        set srcaddr "N-10.20.1.0/24"
        set dstaddr "H-1.1.1.1"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set nat enable
        set dstaddr-negate enable
    next
end
```