Asistencia 2025 Después de la Conferencia de Seguridad de la Información,Creo que la política de protección de restringir el origen de la propiedad intelectual sigue teniendo cierto efecto,Por lo tanto, estamos evaluando agregar configuraciones relevantes a la VPN FortiGate existente。En primer lugar, se ha confirmado que FortiGate puede configurar objetos de dirección con dirección de país/geográfica como reconocimiento,Por lo tanto, el seguimiento queda con el establecimiento y la aplicación de las políticas pertinentes。
Originalmente, AI sugirió que se podía configurar la WAN → IPSec en la política de firewall para filtrar,Pero la prueba real no se interpuso en el camino,Supongo que es porque cuando se construye una VPN IPSec,FortiGate proporcionará una declaración en la Política de Tráfico Nativo Entrante (Entrada local)Para agregar una política,Permitir que cualquier IP se conecte a través de IPSec invalida la política de firewall,Por lo tanto, si quieres bloquearlo,Es hora de comenzar con esta política de entrada local。
Mi versión de firmware es 7.4.7,en la interfaz gráfica,La política de entrada local solo se puede ver,No se puede mover,Por lo tanto, después de establecer la dirección objeto del país correspondiente,El siguiente paso es ir a la consola CLI,Realizar cambios en la política de entrada local por comando。
(De acuerdo con las instrucciones oficiales,7.6.0 A continuación, se puede configurar a través de la interfaz gráfica de usuario。)
【Entorno FortiGate】
- Versión de firmware:7.4.7
- Método de conexión VPN:IPSec
- Establece un propósito:Solo las IP de ciertos países pueden conectarse a IPSec VPN。
Consola CLI
Empecemos por eso,En términos de prioridad,A menudo, es posible que establezca las reglas que le permitan primero,A continuación, se establece para rechazar todo,Pero porque primero quiero asegurarme de que Denegar todo tenga una validez,Así que primero estableceré las reglas para Denegar,Espere hasta que todo esté configurado y, a continuación, use mover para ajustar el orden de las políticas。
1. Todas las conexiones IP se deniegan a IPSec VPN
config firewall local-in-policy
edit 1
set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱
set srcaddr "all"
set dstaddr "all"
set action deny
set service "IKE" "ESP"
set schedule "always"
next
end
2. Permitir que las direcciones IP de un país específico se conecten a la VPN IPSec
config firewall local-in-policy
edit 2
set intf "virtual-wan-link"
set srcaddr "Country-Allow"
set dstaddr "all"
set action accept
set service "IKE" "ESP"
set schedule "always"
next
end
3. Ajustar el orden de la configuración local en la política
config firewall local-in-policy move 2 before 1 end
4. Compruebe los resultados de los últimos ajustes
show firewall local-in-policy
【Fan Wai Pian】
en el proceso de prueba,Si desea observar el estado del tráfico,Esto se puede hacer siguiendo las instrucciones。
1. Observe cualquier entrada con un rastreador 500, 4500 puerto
diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單 // 按 CTRL + C 結束
2. Observar el código fuente con el modo de depuración 123.123.123.123 antes 100 Tráfico de lápiz
diag debug reset diag debug flow filter addr 123.123.123.123 diag debug flow trace start 100 diag debug enable diag debug disable diag debug reset
3. Observar el tráfico de IKE en modo de depuración
diag debug reset diag debug console timestamp enable diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細 diag debug enable diag debug disable diag debug reset
"Enlaces relacionados"
- Introducción y configuración de la política FortiGate-Local-in – Sitio web de intercambio de tecnología de TI de Andy
- Cómo mover la política de entrada local de pedidos para… – Comunidad Fortinet
