Fortigate 100D策略问题

设备:Fortigate 100D
版本:v5.2.4,build688 版本,
 
出厂系统默认已经带了很多常用地址。
例如自带的: apple  地址类型为FQDN  地址为: *.apple.com

BaiduShurufa_2015-11-11_12-35-54.jpg

我做了一条策略

BaiduShurufa_2015-11-11_12-36-20.jpg

 
但用户还是打不开任何关于apple.com的网站。
 
已邀请:

kmliu - Fortinet-TAC

赞同来自: zhoucan

已做实验,结果和你那边是一样的。于是查看了KB网站上,发现有文档说明(包含handbook):"Wildcard FQDN firewall address should not be used in a firewall policy".
请参考:
http://kb.fortinet.com/kb/docu ... Id%3D
http://kb.fortinet.com/kb/micr ... 48757

解决办法:需要将FQDN的*.apple.com 修改成www.apple.com,策略调用即可生效。

zhoucan - 一个老IT男

赞同来自:

有人知道吗?

kmliu - Fortinet-TAC

赞同来自:

用户本地可以解析出apple.com的网站吗?  
另外在明细的策略中放通HTTP的同时应该也需要将DNS放开。

zhoucan - 一个老IT男

赞同来自:

我局域网里面有很多台DNS服务器。 都可以正常解析的。 没有用公网的DNS。
 

kmliu - Fortinet-TAC

赞同来自:

ALL---> apple  的策略有做NAT吗?

zhoucan - 一个老IT男

赞同来自:

有打开NAT

zhoucan - 一个老IT男

赞同来自:

我如果把目的地改成:www.apple.com 就打得开。
如果用内置的*.apple.com就打不开任何关于apple的网站

要回复问题请先登录注册