【控制篇 / 策略】(7.4) ? 04. 修改IP地理位置数据库 ? FortiGate 防火墙

发布时间:2024年01月12日

  【简介】虽然通过FortiGuard服务可以更新IP地理位置数据库,但是实际使用环境中,总会有部分IP地址不符合我们的愿景,这种情况下,可以通过修改IP地理位置数据库来达到我们的目标。


?更新IP地理位置数据库

  更新IP地理位置数据库是FortiGuard服务的一部分,必须是在服务期内,才可以更新。

  ① 在CLI下用命令 diagnose autoupdate versions | grep -A 6 "IP Geography DB" 查看IP地理位置数据库当前版本。

  ② 命令 execute update-geo-ip 执行IP地理位置数据库更新。

??自定义国家

  可以将特定的IP地址范围分配给自定义的国家ID。

  ① 使用上面命令创建一个自定义国家,并配置IP地址范围。

  ② 使用命令 get system geoip-country ? , 查看IP地理位置数据库中的国家代码,可以看到多出了一个A0。

  ③ 使用命令 get system geoip-country A0, 注意A要大写。可以看到国家代码A0就是我们刚刚建立的自定义国家。

  ④ 使用命令 diagnose geoip iprange MyCustomCountry 可以查看到自定义国家里的IP地址范围。

  ⑤?如果创建了多个自定义国家,也可以用命令 show full sys geoip-override 查看所有自定义的国家名称、国家ID、IP范围。

  ⑥?自定义国家同样也可以在地理地址对象中被配置。就象前面文章中我们配置CHINA一样。然后我们可以将新的地理地址对象同样就用于策略和路由中。这里用8.8.8.8举例,可以将所有DNS解析都配置到一条速度最快的宽带,不管DNS IP原本是属于美国还是中国。

  ⑦?有很多人可能象我一样很好奇,原本属于US的8.8.8.8,加入自定义国家后会最终属于哪个国家。用 diagnose geoip ip2country 8.8.8.8 命令,可以看到现在8.8.8.8是属于自定义国家。也就是自定义优先于默认国家配置。

  ⑧?那要如何删除自定义的国家呢?在 config system geoip-override 命令执行后输入号回车得到查询帮助,可以看到有delete命令。

  ⑨?使用 delete ? 命令可以查看到允许删除的自定义国家名称,当有多个自定义国家时会很有帮助。

  ⑩?删除自定义国家必须有个前提,就是这个自定义国家没有被地理地址对象引用。如果有引用,需先删除。end保存配置。

  ??再次在IP地理位置数据库中查询8.8.8.8所属国家,得到的结果是美国。

??变更国家

  某些情况下,需要将一个国家的IP地址在IP地理位置数据库中变更为另一个国家,这也可以实现。

  ① 先用命令 diagnose geoip iprange China 查询IP地理位置数据库中China的IP范围。

?  ②?得到5359条记录。

  ③ 配置地理IP覆盖,编辑国家并创建IP范围,和自定义国家命令相同,不同的是国家名称为已经存在的,也不是自定义的。

  ④ 再次查询IP地址位置数据库中国家为China的地址范围。

  ⑤?这次得到的记录数为5360,增加了一条记录。

  ⑥?在IP地理位置数据库中查询8.8.8.8,得到的国家为China。

  【总结】在已经存在的国家中配置IP所属国家,最大的好处就是可以减少许多操作,例如无需再创建地理地址对象,以及在策略和路由中引用新的地理地址对象等。而自定义国家,则可针对常用的少数IP地址进行操作,各有各的方便之处。


文章来源:https://blog.csdn.net/meigang2012/article/details/135544635
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。