Existuje způsob konfigurace firewallu Fortinet (např. , fortigate600 se systémem FortiOS 5 nebo FortiOS 4), takže negeneruje položky protokolu pro pingy, které jsou směrovány na vlastní rozhraní brány firewall, ale stále generuje položky protokolu pro implicitně odepřený provoz?
V obou případech položky protokolu specifikují zásadu s ID „0“ jako zásadu generující zprávu protokolu.
V případě úspěšného pingu je „status“ v protokolu nastaven na „přijmout“ a název VDOM je nastaveno jako „dstintf“.
Pokusil jsem se vytvořit pravidla brány firewall, která odpovídají provozu ping směrovaného na místní rozhraní brány firewall, s úmyslem výslovně zakázat protokolování, ale nepodařilo se mi přijít s pravidlem, které spravovat shodu provozu. Také existuje možnost zakázat protokolování implicitního pravidla 0 (implicitní pravidlo „odmítnout“ v dolní části zásada), ale to také zakáže protokolování odepřeného provozu, což není to, co chci.
V určitých situacích se spoléhá na pingovací rozhraní brány firewall (pro zjištění, zda je rozhraní brány firewall k dispozici) a ne vždy být navržen pryč. (Např. Některá nastavení využívající nástroje pro vyrovnávání zatížení). Rovněž je vždy žádoucí mít možnost konfigurovat síťová zařízení, aby se zabránilo generování nežádoucích zpráv o protokolování, aby se snížilo množství „šumu“, který je odesílán na externí protokolovací servery (Splunk atd.), A v našem případě o nich protokoly “ ping prezenčního signálu „se považuje pouze za šum.
Odpověď
U firewallů Fortigate se systémem FortiOS 5.0 nebo novějším je možné použít CLI pro konkrétní zakázání protokolů pro přijatý provoz směrovaný na samotnou bránu firewall:
Přihlaste se k bráně firewall pomocí SSH a poté spusťte následující příkazy (za předpokladu, že brána firewall má VDOM s názvem „root“)
config vdom edit root config log settings set local-in-allow disable To je třeba provést na základě jednotlivých VDOM.
Jakmile je hotovo, brána firewall pokračuje v protokolování veškerého odepřeného provozu, aniž by protokolovala přijaté pingy, Monitorovací dotazy SNMP atd.
Fortinet má více informací zde: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Pro brány Fortigate se systémem FortiOS starším než 5 .0, předpokládám, že nejlepší radou je upgradovat na 5.0 nebo novější a poté použít nastavení navržené výše. Zdá se, že funkce „set local-in-allow disable“ není k dispozici před FortiOS 5.0.
Odpovědět
Zásady povolení ping pouze z konkrétních adres následovaných zásadou, která ping z jakéhokoli zdroje popírá. havent to otestoval, ale pokud spadá do zásady, neměl by se dostat k implicitnímu pravidlu.
Další možností je omezit přihlášení administrátora od konkrétního hostitele. můžete omezit přihlášení administrátora na všechny adresy, ze kterých potřebujete ping, a adresy, které vyžadují přístup k Fortigate. pokud se někdo pokusí ping, bude blokován, než se dostane k zásadám.
Komentáře
- Předpokládejme síť 192.168.1.0/24 s ping hostitele 192.168.1.10 a rozhraní brány firewall s názvem FOOINT s IP 192.168.1.1. V takovém případě, jak byste navrhli, aby bylo určeno cílové rozhraní + IP v pravidle, které bude odpovídat pingům ICMP z pingového hostitele na IP adresu FOOINT? Testoval jsem všechny druhy způsobů, jak určit zdrojové rozhraní + adresu a cílové rozhraní + adresu. Bez ohledu na to, jak vypadají, jakmile je pingováno samotné FW rozhraní IP, výsledkem pingu bude záznam protokolu odkazující na implicitní pravidlo 0, jako by byla všechna pravidla brány firewall jednoduše obejita.
- Myslím, že jsem to udělal spěch s mojí odpovědí 🙂
- Byl jsem schopen to znovu vytvořit s 5.2.1, odepřené pingy jsou v místním provozu, protože jde o provoz do / ze systému (VDOM). Mohl jsem je odfiltrovat pouze pomocí karty služeb, filtrovat ping a zkontrolovat pole ' not '. Snažil jsem se něco najít přes CLI, ale tam nebylo štěstí. Nemyslím si, že je možné tyto protokoly negenerovat vůbec, ale možná zkusím chat s Fortinetem a uvidíme, jestli mají nějaký nápad.
- Ano, zeptám se Fortinetu, jestli vědí, jak na to.