Die „Internet Service Database“ ist häufig nützlich, um Datenverkehr zu größeren Anbietern (z. B. Microsoft Office 365) oder Diensten herauszufiltern, ohne viele Subnetze in die Adressliste der Firewall zu importieren.
Für eher lokale Dienste wie Xing in der DACH-Region gibt es keine Einträge in der Datenbank, da Fortinet sich anscheinend auf den US-amerikanischen und asiatischen Markt konzentriert. Da man solche Dienste manuell hinzufügen kann, besteht das einzige Problem darin, diese Dienste auf dem neuesten Stand zu halten, aber das ist eine andere Geschichte.
Ein manueller Eintrag in der Internetdienstdatenbank für Xing könnte folgendermaßen aussehen. Die Adressen „HOST-www.xing.com“ und „HOST-xing.com“ wurden zuvor zur Adressliste der Firewall hinzugefügt. In diesem Beispiel stehen sie nur als Platzhalter, da Xing viele Server betreibt und ich die öffentlichen Subnetze, in denen sie sich befinden, nicht in Erfahrung bringen konnte (vielen Dank Xing-Support …).
config firewall internet-service-custom
edit "Xing"
set comment "xing.com"
config entry
edit 1
set protocol 6
config port-range
edit 1
set start-port 80
set end-port 80
next
edit 2
set start-port 443
set end-port 443
next
end
set dst "HOST-www.xing.com" "HOST-xing.com"
next
end
next
endDie Hilfe von Fortinet zu diesen Feature sieht so aus:
config firewall internet-service-custom
edit {name}
# Configure custom Internet Services.
set name {string} Internet Service name. size[63]
set master-service-id {integer} Internet Service ID in the Internet Service database. range[0-4294967295] - datasource(s): firewall.internet-service.id
set comment {string} Comment. size[255]
config entry
edit {id}
# Entries added to the Internet Service database and custom database.
set id {integer} Entry ID(1-255). range[0-255]
set protocol {integer} Integer value for the protocol type as defined by IANA (0 - 255). range[0-255]
config port-range
edit {id}
# Port ranges in the custom entry.
set id {integer} Custom entry port range ID. range[0-4294967295]
set start-port {integer} Integer value for starting TCP/UDP/SCTP destination port in range (1 to 65535). range[1-65535]
set end-port {integer} Integer value for ending TCP/UDP/SCTP destination port in range (1 to 65535). range[1-65535]
next
config dst
edit {name}
# Destination address or address group name.
set name {string} Select the destination address or address group object from available options. size[64] - datasource(s): firewall.address.name,firewall.addrgrp.name
next
next
config disable-entry
edit {id}
# Disable entries in the Internet Service database.
set id {integer} Disable entry ID. range[0-4294967295]
set protocol {integer} Integer value for the protocol type as defined by IANA (0 - 255). range[0-255]
set port {integer} Integer value for the TCP/IP port (0 - 65535). range[0-65535]
config ip-range
edit {id}
# IP ranges in the disable entry.
set id {integer} Disable entry range ID. range[0-4294967295]
set start-ip {ipv4 address any} Start IP address.
set end-ip {ipv4 address any} End IP address.
next
next
next
end
