לאוסן צ'אנג טאן עזרה IT

נוכחות 2025 לאחר כנס אבטחת המידע，אני מרגיש שלמדיניות ההגנה של הגבלת מקור ה-IP יש עדיין השפעה מסוימת，לכן, אנו בוחנים הוספת הגדרות רלוונטיות ל-FortiGate VPN הקיים。ראשית, אושר כי FortiGate יכולה להגדיר אובייקטי כתובת עם כתובת מדינה/גיאוגרפית כזיהוי，לכן, המעקב נותר עם הגדרה ויישום של מדיניות רלוונטית。

במקור, AI הציעה שתוכל להגדיר את ה-WAN →-IPSec במדיניות חומת האש לסינון，אבל המבחן עצמו לא עמד בדרך，כנראה שזה בגלל שכאשר VPN IPSec בנוי，FortiGate תספק הצהרה במדיניות התעבורה המקומית הנכנסת (מקומי)כדי להוסיף מדיניות，מתן אפשרות לכל כתובת IP להתחבר באמצעות IPSec מבטל את מדיניות חומת האש，לכן, אם ברצונך לחסום אותו，הגיע הזמן להתחיל עם מדיניות מקומית זו。

גרסת הקושחה שלי היא 7.4.7，בממשק הגרפי，ניתן לצפות במדיניות מקומית בלבד.，לא ניתן להזיז אותו，לכן, לאחר קביעת מושא הכתובת של המדינה הרלוונטית，השלב הבא הוא לעבור למסוף CLI，בצע שינויים במדיניות מקומית לפי פקודה。
(על פי ההנחיות הרשמיות，7.6.0 לאחר מכן ניתן להגדיר אותו באמצעות ממשק המשתמש הגרפי。)

【סביבת FortiGate】

• גרסת קושחה：7.4.7
• שיטת חיבור VPN：IPSec
• הגדר מטרה：רק כתובות IP של מדינות מסוימות מורשות להתחבר ל-IPSec VPN。

קונסולת CLI
נתחיל בזה，מבחינת עדיפות，לעתים קרובות, אתה יכול לקבוע את הכללים המאפשרים לך תחילה，לאחר מכן הגדר לדחות הכל，אלא בגלל שאני רוצה לוודא של-Deny All יש קודם כל תוקף，אז אני אקבע את הכללים ל-Deny קודם，המתן עד שהכל יוגדר ולאחר מכן השתמש ב- move כדי להתאים את סדר פריטי המדיניות。

1. כל חיבורי ה-IP נדחים ל-IPSec VPN

config firewall local-in-policy
    edit 1
        set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "IKE" "ESP"
        set schedule "always"
    next
end

2. מתן אפשרות לכתובות IP של מדינות ספציפיות להתחבר ל-IPSec VPN

config firewall local-in-policy
    edit 2
        set intf "virtual-wan-link"
        set srcaddr "Country-Allow"
        set dstaddr "all"
        set action accept
        set service "IKE" "ESP"
        set schedule "always"
    next
end

3. התאמת הסדר המקומי במדיניות

config firewall local-in-policy
move 2 before 1
end

4. בדיקת התוצאות של ההגדרות האחרונות

show firewall local-in-policy

【פאן וואי פיאן】
בתהליך הבדיקה，אם ברצונך לבחון את מצב התנועה，ניתן לעשות זאת על ידי ביצוע ההוראות。

1. צפה בכל כניסה עם רחרחן 500, 4500 נמל

diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細，1 最簡單

// 按 CTRL + C 結束

2. התבונן במקור עם מצב ניפוי באגים 123.123.123.123 לפני 100 תעבורת עט

diag debug reset
diag debug flow filter addr 123.123.123.123
diag debug flow trace start 100
diag debug enable

diag debug disable
diag debug reset

3. צפה בתעבורת IKE במצב ניפוי באגים

diag debug reset
diag debug console timestamp enable
diag debug application ike -1 # 等級從 1 ~ 15，-1 代表最詳細
diag debug enable

diag debug disable
diag debug reset

"קישורים קשורים"

• מבוא וקביעת מדיניות FortiGate-Local-in – אתר האינטרנט של אנדי לשיתוף טכנולוגיות IT
• כיצד להעביר את הסדר מדיניות מקומית עבור… – קהילת פורטינט