vxr wrote:
是的..他是需要登入...(恕刪)
看了FortiGate 60D的相片,居然找不到Console Port,莫非新機種已經取消了RS232的Console接入方式?
bl1688 wrote:
請問這台FortiG...(恕刪)
請問這台FortiGate 60C可否對正在連線的Sessions作出即時限制?
我不敢確定他是否能這樣做..
也許要查cli命令..
但是在預設的情況下似乎是不能..
如網絡裡有一條ftp session已連到了IP地址1.2.3.4的Port 21以及正在下載檔案, 若此時才在FortiGate 60C內建立一條新的防火牆規則來限制用戶不能使用Port 21或Block了IP地址1.2.3.4, 請問這條新建的防火牆規則能否對已建立的Session作出即時限制, 正在下載的檔案會即時被中止? 亦或要等待現時的Session結束後才能阻擋新連線的建立?
一種方式是限制session的ttl..
官方對small box機型的產品(ex:50B, 60B and 60C)的建議是300秒..
因為ttl過高將佔用過多的系統記憶體資源..
或著當建立好一條建置的規則後..
使用下列的命令立即將現有的session全部銷毀..
diag sys session clear
這樣便會重新在建立(如果client使用一般方式下載或傳輸檔案, 之前的操作將會被中斷, 除非有提供續傳自動創建連線..).....
我個人通常是這樣做..
為了方便操作..
可以透過dashboard拉出一個CLI的widget物件...
快速立即操作..
有時候..
管理者也許會有如下設計的情況..
這代表做endpoint control並非近端設備..
這會有一個問題存在..
因為endpoint control是一個MAC-based的device control...
可以從圖中看到由FGT80C進行控制...
一般情況下, 80C只能取得對向的FGT200B的MAC address..
他無法存取到client的MAC address...
如果想要識別client的MAC address..
這將會需要透過註冊的方式帶入client資訊取得..
可惜的是, 這樣做只能識別註冊過的client device..
對於其他未註冊或著非相容的設備..
將無法被識別..
內文搜尋
從 APP 打開
X