FortiGate IPSec VPNは、特定の国からのIP接続を制限します

出席 2025 情報セキュリティカンファレンス終了後,IPの出所を制限するという保護政策は、まだ一定の効果があると感じています,そのため、既存のFortiGate VPNに適切な設定を追加することを評価しています。まず、FortiGateが国/地理的住所を認識としてアドレスオブジェクトを設定できることを確認しました,したがって、フォローアップは、関連するポリシーの設定と適用に任されます。

当初、AIは、ファイアウォールポリシーでWAN→IPSecをフィルタリングするように設定できることを提案していました,しかし、実際のテストは邪魔をしませんでした,IPSec VPNが構築されるときのせいだと思います,FortiGateは、着信ネイティブトラフィックポリシーでステートメントを提供します (ローカルイン)ポリシーを追加するには,任意の IP に IPSec 経由の接続を許可すると、ファイアウォール ポリシーが無効になります,したがって、ブロックしたい場合は、,このLocal Inポリシーから始める時が来ました。

私のファームウェアのバージョンは 7.4.7,グラフィカルインターフェースで,Local In Policyは表示のみ可能です,移動できません,したがって、当該国の住所対象を設定した後,次のステップは、CLIコンソールに移動することです,コマンドによるローカルインポリシーの変更の実行。
(公式の指示に従って,7.6.0 その後、GUIを使用してセットアップできます。)

【FortiGate環境】

  • ファームウェアのバージョン:7.4.7
  • VPN接続方法:IPSec
  • 目的を設定する:IPSec VPNへの接続が許可されているのは、特定の国のIPだけです。

CLI コンソール
まず、そのことから始めましょう,優先順位の観点から,多くの場合、最初に許可するルールを設定することができます,次に、すべてを拒否するように設定します,しかし、最初に「すべて拒否」が有効であることを確認したいからです,そこで、最初に Deny のルールを設定します,すべてが設定されるまで待ってから、移動を使用してポリシーの順序を調整します。

1. IPSec VPN へのすべての IP 接続が拒否されます

config firewall local-in-policy
    edit 1
        set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "IKE" "ESP"
        set schedule "always"
    next
end

2. 特定の国のIPにIPSec VPNへの接続を許可する

config firewall local-in-policy
    edit 2
        set intf "virtual-wan-link"
        set srcaddr "Country-Allow"
        set dstaddr "all"
        set action accept
        set service "IKE" "ESP"
        set schedule "always"
    next
end

3. ポリシー内のローカルな順序を調整する

config firewall local-in-policy
move 2 before 1
end

4. 最後の設定の結果を確認します

show firewall local-in-policy

 

【ファンワイピアン】
テストの過程で,トラフィックの状態を観察したい場合,これは、指示に従って行うことができます。

1. スニファーで任意のエントリを観察します 500, 4500 港

diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單

// 按 CTRL + C 結束

2. デバッグ・モードでソースを監視 123.123.123.123 以前は 100 ペンのトラフィック

diag debug reset
diag debug flow filter addr 123.123.123.123
diag debug flow trace start 100
diag debug enable

diag debug disable
diag debug reset

3. デバッグ モードでの IKE トラフィックの監視

diag debug reset
diag debug console timestamp enable
diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細
diag debug enable

diag debug disable
diag debug reset

 

「関連リンク」

コメントを残す

注意してください: コメントモデレーションが有効になって、あなたのコメントを遅らせる可能性があります. コメントを再送信する必要はありません.