FortiGate IPSec VPN restringe las conexiones IP de países específicos

Asistencia 2025 Después de la Conferencia de Seguridad de la Información,Creo que la política de protección de restringir el origen de la propiedad intelectual sigue teniendo cierto efecto,Por lo tanto, estamos evaluando agregar configuraciones relevantes a la VPN FortiGate existente。En primer lugar, se ha confirmado que FortiGate puede configurar objetos de dirección con dirección de país/geográfica como reconocimiento,Por lo tanto, el seguimiento queda con el establecimiento y la aplicación de las políticas pertinentes。

Originalmente, AI sugirió que se podía configurar la WAN → IPSec en la política de firewall para filtrar,Pero la prueba real no se interpuso en el camino,Supongo que es porque cuando se construye una VPN IPSec,FortiGate proporcionará una declaración en la Política de Tráfico Nativo Entrante (Entrada local)Para agregar una política,Permitir que cualquier IP se conecte a través de IPSec invalida la política de firewall,Por lo tanto, si quieres bloquearlo,Es hora de comenzar con esta política de entrada local。

Mi versión de firmware es 7.4.7,en la interfaz gráfica,La política de entrada local solo se puede ver,No se puede mover,Por lo tanto, después de establecer la dirección objeto del país correspondiente,El siguiente paso es ir a la consola CLI,Realizar cambios en la política de entrada local por comando。
(De acuerdo con las instrucciones oficiales,7.6.0 A continuación, se puede configurar a través de la interfaz gráfica de usuario。)

【Entorno FortiGate】

  • Versión de firmware:7.4.7
  • Método de conexión VPN:IPSec
  • Establece un propósito:Solo las IP de ciertos países pueden conectarse a IPSec VPN。

Consola CLI
Empecemos por eso,En términos de prioridad,A menudo, es posible que establezca las reglas que le permitan primero,A continuación, se establece para rechazar todo,Pero porque primero quiero asegurarme de que Denegar todo tenga una validez,Así que primero estableceré las reglas para Denegar,Espere hasta que todo esté configurado y, a continuación, use mover para ajustar el orden de las políticas。

1. Todas las conexiones IP se deniegan a IPSec VPN

config firewall local-in-policy
    edit 1
        set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "IKE" "ESP"
        set schedule "always"
    next
end

2. Permitir que las direcciones IP de un país específico se conecten a la VPN IPSec

config firewall local-in-policy
    edit 2
        set intf "virtual-wan-link"
        set srcaddr "Country-Allow"
        set dstaddr "all"
        set action accept
        set service "IKE" "ESP"
        set schedule "always"
    next
end

3. Ajustar el orden de la configuración local en la política

config firewall local-in-policy
move 2 before 1
end

4. Compruebe los resultados de los últimos ajustes

show firewall local-in-policy

 

【Fan Wai Pian】
en el proceso de prueba,Si desea observar el estado del tráfico,Esto se puede hacer siguiendo las instrucciones。

1. Observe cualquier entrada con un rastreador 500, 4500 puerto

diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單

// 按 CTRL + C 結束

2. Observar el código fuente con el modo de depuración 123.123.123.123 antes 100 Tráfico de lápiz

diag debug reset
diag debug flow filter addr 123.123.123.123
diag debug flow trace start 100
diag debug enable

diag debug disable
diag debug reset

3. Observar el tráfico de IKE en modo de depuración

diag debug reset
diag debug console timestamp enable
diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細
diag debug enable

diag debug disable
diag debug reset

 

"Enlaces relacionados"

Deja tu comentario

Por favor, tenga en cuenta: La moderación de comentarios está habilitada y puede retrasar su comentario. No hay necesidad de volver a enviar su comentario.