출석 2025 정보 보안 컨퍼런스 이후,IP의 출처를 제한하는 보호 정책은 여전히 일정한 효과가 있다고 생각합니다,따라서 기존 FortiGate VPN에 관련 설정을 추가하는 것을 검토하고 있습니다。먼저, FortiGate가 국가/지리적 주소를 인식으로 주소 객체를 설정할 수 있는 것으로 확인되었습니다,따라서 후속 조치는 관련 정책의 설정 및 적용과 함께 남아 있습니다。
원래 AI는 방화벽 정책에서 WAN → IPSec을 필터링하도록 설정할 수 있다고 제안했습니다,그러나 실제 실험은 방해가 되지 않았다,IPSec VPN이 구축될 때 때문인 것 같습니다.,FortiGate는 들어오는 네이티브 트래픽 정책에 문을 제공합니다. (로컬 입력)정책을 추가하려면,IPSec을 통해 모든 IP에 연결할 수 있도록 허용하면 방화벽 정책이 무효화됩니다,따라서 차단하려는 경우,이 로컬 인 정책으로 시작할 때입니다.。
내 펌웨어 버전은 다음과 같습니다. 7.4.7,그래픽 인터페이스에서,로컬 입력 정책은 볼 수만 있습니다.,이동할 수 없습니다,따라서, 해당 국가의 주소 대상을 설정한 후,다음 단계는 CLI 콘솔로 이동하는 것입니다,명령으로 로컬 In 정책 변경 수행。
(공식 지침에 따르면,7.6.0 그런 다음 GUI를 통해 설정할 수 있습니다。)
【FortiGate 환경】
- 펌웨어 버전:7.4.7
- VPN 연결 방법:IPSec
- 목적 설정:특정 국가 IP만 IPSec VPN에 연결할 수 있습니다.。
CLI 콘솔
그것부터 시작하겠습니다,우선 순위 측면에서,종종, 당신은 먼저 허용하는 규칙을 설정할 수 있습니다,그런 다음 모두 거부로 설정합니다.,하지만 Deny All이 먼저 유효한지 확인하고 싶기 때문입니다,따라서 먼저 Deny에 대한 규칙을 설정하겠습니다,모든 것이 설정될 때까지 기다린 다음 이동을 사용하여 정책 순서를 조정합니다。
1. IPSec VPN에 대한 모든 IP 연결이 거부됩니다.
config firewall local-in-policy
edit 1
set intf "virtual-wan-link" # virtual-wan-link 為 Interface 的名稱
set srcaddr "all"
set dstaddr "all"
set action deny
set service "IKE" "ESP"
set schedule "always"
next
end
2. 특정 국가 IP가 IPSec VPN에 연결하도록 허용
config firewall local-in-policy
edit 2
set intf "virtual-wan-link"
set srcaddr "Country-Allow"
set dstaddr "all"
set action accept
set service "IKE" "ESP"
set schedule "always"
next
end
3. local-in-policy 순서 조정
config firewall local-in-policy move 2 before 1 end
4. 마지막 설정 결과 확인
show firewall local-in-policy
【팬 와이 피안】
테스트 과정에서,교통 상황을 관찰하고 싶은 경우,이 작업은 다음 지침에 따라 수행할 수 있습니다。
1. 스니퍼로 모든 항목을 관찰합니다. 500, 4500 항구
diag sniffer packet any 'port 500 or port 4500' 4 # 4 最詳細,1 最簡單 // 按 CTRL + C 結束
2. 디버그 모드로 소스 관찰 123.123.123.123 전에 100 펜 트래픽
diag debug reset diag debug flow filter addr 123.123.123.123 diag debug flow trace start 100 diag debug enable diag debug disable diag debug reset
3. 디버그 모드에서 IKE 트래픽 관찰
diag debug reset diag debug console timestamp enable diag debug application ike -1 # 等級從 1 ~ 15,-1 代表最詳細 diag debug enable diag debug disable diag debug reset
"관련 링크"
- FortiGate-Local-in 정책 소개 및 설정 – Andy의 IT 기술 공유 웹 사이트
- 주문 로컬 입력 정책을 이동하는 방법… – 포티넷 커뮤니티
