配置场景:
本文主要讲解如何使用Local-In Policy策略来关闭FortiGate上不需要的开放端口,从而避免被外部第三方进行端口扫描。
配置步骤:
下面的样例中,我们使用的是TCP的8000端口
1、创建一个自定义的服务
在防火墙下的策略与对象中,找到Services选项并点击“Create New”
Name: Port-8000
Protocol Type: TCP/UDP/STCP
Protocol: TCP
Destination Port: 8000
其他保持默认,然后点击“OK”进行保存
2、创建一条Local-In Policy,具体配置命令如下:
config firewall local-in-policy
edit 1
set intf "wan1" //外部接口
set srcaddr "all" //外部扫描源
set dstaddr "all" //目的地址
set action deny //动作
set service "Port-8000" //在第一步自定义的服务
set schedule "always"
set status enable
end
通过以下命令查看相关配置:
config firewall local-in-policy
show full
注意:
1. 该策略只能通过CLI命令操作,无法在界面上直接操作配置;
2. 如果对应的端口是通过Session Helper(比如SIP或SCCP)调用的话,则local-in-policy无法拒绝这些端口,后续会有其他文档详细说明。
