נוכחות 2025 לאחר כנס אבטחת המידע,אני מרגיש שלמדיניות ההגנה של הגבלת מקור ה-IP יש עדיין השפעה מסוימת,לכן, אנו בוחנים הוספת הגדרות רלוונטיות ל-FortiGate VPN הקיים。ראשית, אושר כי FortiGate יכולה להגדיר אובייקטי כתובת עם כתובת מדינה/גיאוגרפית כזיהוי,לכן, המעקב נותר עם הגדרה ויישום של מדיניות רלוונטית。
במקור, AI הציעה שתוכל להגדיר את ה-WAN →-IPSec במדיניות חומת האש לסינון,אבל המבחן עצמו לא עמד בדרך,כנראה שזה בגלל שכאשר VPN IPSec בנוי,FortiGate תספק הצהרה במדיניות התעבורה המקומית הנכנסת (מקומי)כדי להוסיף מדיניות,מתן אפשרות לכל כתובת IP להתחבר באמצעות IPSec מבטל את מדיניות חומת האש,לכן, אם ברצונך לחסום אותו,הגיע הזמן להתחיל עם מדיניות מקומית זו。
גרסת הקושחה שלי היא 7.4.7,בממשק הגרפי,ניתן לצפות במדיניות מקומית בלבד.,לא ניתן להזיז אותו,לכן, לאחר קביעת מושא הכתובת של המדינה הרלוונטית,השלב הבא הוא לעבור למסוף CLI,בצע שינויים במדיניות מקומית לפי פקודה。
(על פי ההנחיות הרשמיות,7.6.0 לאחר מכן ניתן להגדיר אותו באמצעות ממשק המשתמש הגרפי。)
【סביבת FortiGate】
- גרסת קושחה:7.4.7
- שיטת חיבור VPN:IPSec
- הגדר מטרה:רק כתובות IP של מדינות מסוימות מורשות להתחבר ל-IPSec VPN。
קונסולת CLI
נתחיל בזה,מבחינת עדיפות,לעתים קרובות, אתה יכול לקבוע את הכללים המאפשרים לך תחילה,לאחר מכן הגדר לדחות הכל,אלא בגלל שאני רוצה לוודא של-Deny All יש קודם כל תוקף,אז אני אקבע את הכללים ל-Deny קודם,המתן עד שהכל יוגדר ולאחר מכן השתמש ב- move כדי להתאים את סדר פריטי המדיניות。
1. כל חיבורי ה-IP נדחים ל-IPSec VPN
config firewall local-in-policy edit 1 set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱 set srcaddr "all" set dstaddr "all" set action deny set service "IKE" "ESP" set schedule "always" next end
2. מתן אפשרות לכתובות IP של מדינות ספציפיות להתחבר ל-IPSec VPN
config firewall local-in-policy edit 2 set intf "virtual-wan-link" set srcaddr "Country-Allow" set dstaddr "all" set action accept set service "IKE" "ESP" set schedule "always" next end
3. התאמת הסדר המקומי במדיניות
config firewall local-in-policy move 2 before 1 end
4. בדיקת התוצאות של ההגדרות האחרונות
show firewall local-in-policy
【פאן וואי פיאן】
בתהליך הבדיקה,אם ברצונך לבחון את מצב התנועה,ניתן לעשות זאת על ידי ביצוע ההוראות。
1. צפה בכל כניסה עם רחרחן 500, 4500 נמל
diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單 // 按 CTRL + C 結束
2. התבונן במקור עם מצב ניפוי באגים 123.123.123.123 לפני 100 תעבורת עט
diag debug reset diag debug flow filter addr 123.123.123.123 diag debug flow trace start 100 diag debug enable diag debug disable diag debug reset
3. צפה בתעבורת IKE במצב ניפוי באגים
diag debug reset diag debug console timestamp enable diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細 diag debug enable diag debug disable diag debug reset
"קישורים קשורים"
- מבוא וקביעת מדיניות FortiGate-Local-in – אתר האינטרנט של אנדי לשיתוף טכנולוגיות IT
- כיצד להעביר את הסדר מדיניות מקומית עבור… – קהילת פורטינט