出席 2025 情報セキュリティカンファレンス終了後,IPの出所を制限するという保護政策は、まだ一定の効果があると感じています,そのため、既存のFortiGate VPNに適切な設定を追加することを評価しています。まず、FortiGateが国/地理的住所を認識としてアドレスオブジェクトを設定できることを確認しました,したがって、フォローアップは、関連するポリシーの設定と適用に任されます。
当初、AIは、ファイアウォールポリシーでWAN→IPSecをフィルタリングするように設定できることを提案していました,しかし、実際のテストは邪魔をしませんでした,IPSec VPNが構築されるときのせいだと思います,FortiGateは、着信ネイティブトラフィックポリシーでステートメントを提供します (ローカルイン)ポリシーを追加するには,任意の IP に IPSec 経由の接続を許可すると、ファイアウォール ポリシーが無効になります,したがって、ブロックしたい場合は、,このLocal Inポリシーから始める時が来ました。
私のファームウェアのバージョンは 7.4.7,グラフィカルインターフェースで,Local In Policyは表示のみ可能です,移動できません,したがって、当該国の住所対象を設定した後,次のステップは、CLIコンソールに移動することです,コマンドによるローカルインポリシーの変更の実行。
(公式の指示に従って,7.6.0 その後、GUIを使用してセットアップできます。)
【FortiGate環境】
- ファームウェアのバージョン:7.4.7
- VPN接続方法:IPSec
- 目的を設定する:IPSec VPNへの接続が許可されているのは、特定の国のIPだけです。
CLI コンソール
まず、そのことから始めましょう,優先順位の観点から,多くの場合、最初に許可するルールを設定することができます,次に、すべてを拒否するように設定します,しかし、最初に「すべて拒否」が有効であることを確認したいからです,そこで、最初に Deny のルールを設定します,すべてが設定されるまで待ってから、移動を使用してポリシーの順序を調整します。
1. IPSec VPN へのすべての IP 接続が拒否されます
config firewall local-in-policy edit 1 set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱 set srcaddr "all" set dstaddr "all" set action deny set service "IKE" "ESP" set schedule "always" next end
2. 特定の国のIPにIPSec VPNへの接続を許可する
config firewall local-in-policy edit 2 set intf "virtual-wan-link" set srcaddr "Country-Allow" set dstaddr "all" set action accept set service "IKE" "ESP" set schedule "always" next end
3. ポリシー内のローカルな順序を調整する
config firewall local-in-policy move 2 before 1 end
4. 最後の設定の結果を確認します
show firewall local-in-policy
【ファンワイピアン】
テストの過程で,トラフィックの状態を観察したい場合,これは、指示に従って行うことができます。
1. スニファーで任意のエントリを観察します 500, 4500 港
diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單 // 按 CTRL + C 結束
2. デバッグ・モードでソースを監視 123.123.123.123 以前は 100 ペンのトラフィック
diag debug reset diag debug flow filter addr 123.123.123.123 diag debug flow trace start 100 diag debug enable diag debug disable diag debug reset
3. デバッグ モードでの IKE トラフィックの監視
diag debug reset diag debug console timestamp enable diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細 diag debug enable diag debug disable diag debug reset
「関連リンク」
- FortiGate-Local-inポリシーの導入と設定 – Andy's IT テクノロジー共有サイト
- 注文をローカルインポリシーに移動する方法… – フォーティネットコミュニティ