【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙

这篇具有很好参考价值的文章主要介绍了【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】公司有两条宽带用来上网,一条电信,一条IPLS国际专线,由于IPLS仅有2M,且价格昂贵,领导要求,访问国内IP走电信,国际IP走IPLS,那么应该怎么做?


 国内IP地址组

  我们已经知道可以创建地址对象和地址组,然后利用路由进行分流。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ① 浏览器打开网站 https://ispip.clang.cn ,可以看到国内所有IP地址有5452条。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ② 选择并复制所有5452条数据。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ③ 新建Execl,将所有数据粘贴到Excel,上一篇文章我们知道每个地址组最多只能是600条数据,为了方便计算和留有空间,我们只将每个地址组包含500条数据。有了Excel最左边的序号,选择500条数据就方便多了。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ④ 打开批处理工具NimbleText(可在 https://nimbletext.com 下载),取消钩选【Output \n after each row】,复制Excel上第1-500行共500条数据粘贴到NimbleText数据区。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

   ⑤ 在模板区输入上图中的命令,第一大段是配置防火墙地址对象,第二大段是配置防火墙地址组。地址组名在第二个500条数据时需要手动修改。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑥ 在结果区点击【Calculate】或钩选【auto】,可以最终在防火墙上执行的命令行。第一大段生成配置防火墙地址对象命令,将在防火墙上生成500条地址对象。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑦ 第二大段命令,将500条自动生成的地址对象,加入地址组China_GRP01。注意这里地址对象都是连接在一起的,中间空格隔开。如果每个地址对象都是独立的一行,后面执行时会报错。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑧ 在NimbleText上选择菜单【File】-【Save result as...】。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑨ 保存类型选择【Text files (*.txt)】,输入文件名,点击【保存】。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑩ 这样就生成了可以在防火墙上执行的脚本文件。文件编码为UTF-8。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑪ 登录FortiGate防火墙,点击右上角管理员旁下拉图标,弹出菜单选择【配置】-【脚本】。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑫ 点击【运行脚本】。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑬ 选择刚才创建的脚本文件,点击【确认】。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑭ 如果显示【脚本运行成功】,那么恭喜你。报红色错误提示,就要排查脚本内容是否不正确了。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑮ 选择菜单【策略&对象】-【地址】,点击【Address Group】,可以看到新创建的地址组China_GRP01,由500条地址对象组成。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑯ 在NimbleText上复制第二个500条数据,修改地址组名,然后保存脚本文件。然后再重复操作,直到所有5452条数据生成共11个脚本文件。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑰ 在防火墙上运行剩余的10个脚本文件,这里都成功了。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑱ 由于创建了11个地址组,引用起来很不方便,因次将11个地址组加入China_GRP这一个地址组,这样就很方便了。如果需要在静态路由中引用,启用【静态路由配置】。

  通过路由分流

  当我们得到国内IP地址组后,就可以通过路由来进行分流了。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ① 可以创建静态路由,当访问国内IP地址组内的IP时,走电信宽带。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ② 当访问非国内IP时,不匹配刚创建的静态路由,而是匹配两条宽带的默认路由,只有IPLS宽带的优先级数值最小,才会走IPLS宽出去。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ③ 所以更推荐使用策略路由,因为策略路由优先于静态路由。创建新的策略路,指定内网接口访问国内IP时走电信宽带上网。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ④ 再创建一条策略路由,内网接口访问所有内容是走IPLC国际专线。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑤ 策略路由是从上往下匹配,当我们访问百度时,匹配第一条策略路由,走wan1口接口上网。当访问8.8.8.8时,由于不是国内IP,不匹配第一条策略路由,而会匹配第二条策略路由,走wan2接口上网。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ⑥ 选择菜单【仪表板】-【FortiView】,双击电脑IP,选择【目标地址】,可以看到流量分别走不同宽带接口出去。国内走wan1,其它走wan2。如果看到不目标接口栏,可以在菜单栏鼠标点右键弹出菜单钩选【目标接口】。

  地理地址对象

  除了自己创建国内IP地址对象和地址组外,也可以利用防火墙自带的地理地址对象。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ① 创建地址对象时,类型选择【地理】,国家/地区选择【China】。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ② 地理地址对象和其它地址对象、地址组一样,可以在策略和路由中引用。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ③ 地理地址对象从IP地理位置数据库中获得数据。

【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙,# 分流,访问,国内,网站,分流,地理

  ④ 那数据量和准确性怎么样呢?可以看到最新版本IP地理位置数据库是关于中国的IP地址网段数据有5359条。和我们前面看到的5452条数据差相不大。IP地理位置数据库的更新和防火墙的服务有关,只有在服务期内才能进行更新。

  【总结】批量将IP地址网段在防火墙上创建地址对象和地址组,然后通过路由对访问进行分流,这种操作可控性较强。防火墙新的固件版本可以通过IP地理位置数据库实现对不同国家的访问分流,操作也非常简单。文章来源地址https://www.toymoban.com/news/detail-800507.html


到了这里,关于【控制篇 / 分流】(7.4) ❀ 03. 对国内和国际IP网段访问进行分流 ❀ FortiGate 防火墙的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • H3C交换机ACL已经配置一个A网段拒绝访问另外一个B网段, 怎么允许A网段访问B网段中一个ip

    H3C S6520-26Q-SI 软件版本:7.1.070 Release 6326 H3C交换机ACL已经配置一个A网段拒绝访问另外一个B网段, 怎么允许A网段访问B网段中一个ip,已写一条规则20,一直没有起作用 1.删除rule 20,重新写个rule 0,排在拒绝规则之前,即可 2.全部配置参考 删除配置 3.案例2 拒绝源192.168.25.2地址数据包

    2024年02月13日
    浏览(48)
  • 思科模拟器 | 访问控制列表ACL实现网段精准隔绝

    ACL (Access Control List)是一种网络安全技术,用于控制网络通信和访问权限。它使用规则列表以限制哪些计算机或网络服务可以与另一个计算机或网络服务进行通信,从而为网络提供了一个基本安全机制。 下面是一组有关TCP的会话,很好地体现了ACL的面对外来请求访问的严谨

    2024年02月04日
    浏览(40)
  • docker内部ip与内网其它ip网段冲突导致无法访问的解决方法

    宿主机和docker内部能互相访问非常正常,但docker内部访问外部网络内网其中一个网段172.18.0.x则无法访问。 由于docker是精简过的系统,需另外安装网络相关命令 首先更新apt-get,否则在apt-get install 命令时会报E: Unable to locate package xx错误 安装网络工具 安装ping和telnet 查看本机

    2024年02月08日
    浏览(50)
  • 【控制篇 / 策略】(7.4) ❀ 04. 修改IP地理位置数据库 ❀ FortiGate 防火墙

    【简介】虽然通过FortiGuard服务可以更新IP地理位置数据库,但是实际使用环境中,总会有部分IP地址不符合我们的愿景,这种情况下,可以通过修改IP地理位置数据库来达到我们的目标。   更新IP地理位置数据库 更新IP地理位置数据库是FortiGuard服务的一部分,必须是在服务期

    2024年02月02日
    浏览(40)
  • 电脑如何设置不同网段的IP地址,实现访问不同IP的PLC或HMI设备?

    电脑如何设置不同网段的IP地址,实现访问不同IP的PLC或HMI设备? 这里以win10系统为例进行说明: 如下图所示,打开右下角的“网络和Internet设置”, 如下图所示,点击进入“更改适配器选项”, 如下图所示,找到当前使用的网卡,右击选择属性, 如下图所示,找到“Inter

    2024年02月05日
    浏览(44)
  • 【控制篇 / 策略】(7.4) ❀ 01. IP地理位置数据库和地理地址对象 ❀ FortiGate 防火墙

    【简介】在很多使用环境下,我们需要对指定国家的IP地址进行允许或禁止访问操作,例如只允许访问国内IP。以前只能手动添加IP地址对象到地址组,繁杂且效率低下,Fortinet提供了基于地理位置的IP库,就可以解决这个问题。   IP地理位置数据库 FortiGuard IP地理位置数据库被

    2024年01月23日
    浏览(41)
  • ubuntu22.04配置双网卡双静态ip不通网段访问服务器的相同服务

    ubuntu22.04配置双网卡双静态ip不通网段访问服务器的相同服务 技术博客 http://idea.coderyj.com/ 1.需求 南方电网网段(假如)是 192.168.3.1的网段 机器人服务器在隧道ip是 172.16.1.1网段 要求这2个网段都能访问到服务器上的服务 2.解决方案 服务器上配置双网卡 双ip 以ubuntu22.04为例 vim /e

    2024年02月12日
    浏览(67)
  • 【IMX6ULL驱动开发学习】03.设置IMX6ULL开发板与虚拟机在同一网段(设置开发板静态IP)

    为什么要设置IMX6ULL与虚拟机通信? 因为要把在虚拟机下编译的文件传到IMX6ULL开发板上运行 设置好同一网段,可以互ping后,可以参考这篇博客,实现开发板与虚拟机的文件互传 IMX6ULL开发板与虚拟机互传文件 一、设置windows有线网卡 二、配置虚拟机双网卡(原本有一个NAT网卡

    2024年02月07日
    浏览(52)
  • 【Windows防火墙配置Windows Server服务器只允许国内IP访问】

    由于是 Windows Server 不像宝塔直接带有防火墙功能,只能自己想办法 明明轻而易举能做到事, 就是不做为! 使用Windows自带防火墙,配置规则达到目标 这个网络上比较多,却存在ip地址量的不同 有6000条+的国内ip, 也有8000条+的, 最终选择了8000+的版本 网站: https://www.ipdeny.com 下载IP地址

    2024年02月04日
    浏览(70)
  • IP访问控制列表配置

    学习路由器的访问控制列表配置。 IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。主要分为标准IP访问列表和扩展IP访问列表两种。其中,标准IP访问列表可以根据数据包的源IP地址定义规

    2024年02月11日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包