Fortigateのポリシールーティング構成

Fortigateファイアウォールを使用して内部ネットワークをインターネットから分離するシナリオがあります（FortiOSバージョン4.0 MR3パッチ11）。現在、単一のインターネット接続がファイアウォールに接続されており、デフォルトの静的ルートを使用して、すべてのインターネットトラフィックがファイアウォールを通過します。2番目のインターネット接続をファイアウォールに接続して、Web閲覧トラフィックなど、特定のトラフィックのみをルーティングします。

このセットアップでは、最初のリンクを介して現在の静的なデフォルトルートを維持し、2番目のインターネットリンクを介して宛先ポートTCP / 80およびTCP / 443でトラフィックをルーティングするために、ポリシールーティングオプションを構成します。予想通り、ポリシールーティングはルーティングテーブルの前に評価され、TCP / 80およびTCP / 443宛てのすべてのトラフィックは、Fortigateに直接接続されているサブネット間のトラフィックを含め、2番目のリンクに送信され、それらの間の通信が中断されます。

シスコ環境では、ポリシールーティングのトラフィックを照合するために使用されるACLを調整し、ACLの先頭で内部ネットワーク間のトラフィックを拒否し、末尾に「permit any」ステートメントを追加します。ただし、Fortigateに同様の方法で動作するように指示する方法が見つかりません。

このシナリオをFortigateで機能させる方法を知っていますか？

ポリシールートはトップダウンで評価されるため、内部サブネットAから内部サブネットBへのトラフィックに一致するより具体的なエントリを配置することにより、この制限を回避できます。

ただし、内部インターフェースに多くの異なるネットワークが接続されている場合、これは快適ではありません。

この場合、私が一度使用したトリックをお勧めします。FortigateデバイスはQoSマークを無視するため、Ciscoスイッチのファイアウォールに面したポートで「インターネット」パケットに特定のTOSで署名し、そのマークをポリシールート。

Network Labsブログから：

「フォーティネットファイアウォールの場合、そのポリシールート：
CLIバージョン：

config router policy
    edit 1
        set input-device "port4"
        set src 172.18.0.0 255.255.0.0
        set dst 192.168.3.0 255.255.255.0
        set protocol 6
        set start-port 443
        set end-port 443
        set gateway 1.1.1.1
        set output-device "port3"
    next
end

GUIバージョンについては、上記のブログを確認してください。10 repポイントを取得するまで画像を投稿できません。：-/