FortiGate IPSec VPN schränkt IP-Verbindungen aus bestimmten Ländern ein

Anwesenheit 2025 Nach der Informationssicherheitskonferenz,Ich habe das Gefühl, dass die Schutzpolitik, die Quelle von geistigem Eigentum einzuschränken, immer noch eine gewisse Wirkung hat,Aus diesem Grund prüfen wir, ob wir dem bestehenden FortiGate VPN relevante Einstellungen hinzufügen können。Zunächst wurde bestätigt, dass FortiGate Adressobjekte mit Country/Geographic Address als Erkennung einrichten kann,Daher bleibt es bei der Weiterverfolgung bei der Festlegung und Anwendung der einschlägigen Maßnahmen。

Ursprünglich schlug AI vor, dass Sie den WAN-→ IPSec in der Firewall-Richtlinie so einstellen könnten, dass gefiltert wird,Doch der eigentliche Test stand dem nicht im Weg,Vermutlich liegt es daran, dass beim Aufbau eines IPSec-VPN,FortiGate wird eine Erklärung in der Incoming Native Traffic Policy abgeben (Lokaler Eingang)So fügen Sie eine Richtlinie hinzu,Wenn Sie zulassen, dass eine IP-Adresse eine Verbindung über IPSec herstellt, wird die Firewall-Richtlinie ungültig,Wenn Sie es also blockieren möchten,Es ist an der Zeit, mit dieser Local In Policy zu beginnen。

Meine Firmware-Version ist 7.4.7,in der grafischen Oberfläche,Lokale In-Richtlinie kann nur angezeigt werden,Es kann nicht verschoben werden,Nach Feststellung des Adressobjekts des betreffenden Landes,Der nächste Schritt besteht darin, zur CLI-Konsole zu wechseln,Lokale Änderungen in der Richtlinie per Befehl durchführen。
(Gemäß den offiziellen Anweisungen,7.6.0 Es kann dann über die GUI eingerichtet werden。)

【FortiGate-Umgebung】

  • Firmware-Version:7.4.7
  • VPN-Verbindungsmethode:IPSec
  • Legen Sie einen Zweck fest:Nur bestimmte Länder-IPs dürfen sich mit IPSec-VPN verbinden。

CLI-Konsole
Fangen wir damit an,In Bezug auf die Priorität,Oft legen Sie die Regeln fest, die es Ihnen ermöglichen, zuerst,Legen Sie dann fest, dass alle abgelehnt werden,Aber weil ich sicherstellen möchte, dass Deny All zuerst eine Gültigkeit hat,Also lege ich zuerst die Regeln für Verweigern fest,Warten Sie, bis alles eingerichtet ist, und verwenden Sie dann Verschieben, um die Reihenfolge der Richtlinien anzupassen。

1. Alle IP-Verbindungen werden für IPSec-VPN verweigert

config firewall local-in-policy
    edit 1
        set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "IKE" "ESP"
        set schedule "always"
    next
end

2. Zulassen, dass bestimmte Länder-IPs eine Verbindung zu IPSec-VPN herstellen

config firewall local-in-policy
    edit 2
        set intf "virtual-wan-link"
        set srcaddr "Country-Allow"
        set dstaddr "all"
        set action accept
        set service "IKE" "ESP"
        set schedule "always"
    next
end

3. Anpassen der lokalen Reihenfolge in der Richtlinie

config firewall local-in-policy
move 2 before 1
end

4. Überprüfen Sie die Ergebnisse der letzten Einstellungen

show firewall local-in-policy

 

【Fan Wai Pian】
im Prozess der Erprobung,Wenn Sie den Verkehrsstatus beobachten möchten,Dies kann durch Befolgen der Anweisungen erfolgen。

1. Beobachten Sie jeden Eintrag mit einem Sniffer 500, 4500 Hafen

diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單

// 按 CTRL + C 結束

2. Beobachten der Quelle im Debug-Modus 123.123.123.123 vor 100 Verkehr mit Kugelschreibern

diag debug reset
diag debug flow filter addr 123.123.123.123
diag debug flow trace start 100
diag debug enable

diag debug disable
diag debug reset

3. Beobachten des IKE-Datenverkehrs im Debug-Modus

diag debug reset
diag debug console timestamp enable
diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細
diag debug enable

diag debug disable
diag debug reset

 

"Verwandte Links"

Leave a Comment

Bitte beachten Sie,: Kommentar Moderation ist aktiviert und kann Ihren Kommentar verzögern. Es besteht keine Notwendigkeit zur Stellungnahme reichen Sie.