Van-e mód egy fortinet tűzfal konfigurálására (pl. , fortigate600 fut FortiOS 5 vagy FortiOS 4), tehát nem generál naplóbejegyzéseket a pingek számára, amelyek a tűzfal saját felületeire irányulnak, de naplóbejegyzéseket generálnak hallgatólagosan megtagadott forgalomhoz?
Mindkét esetben a naplóbejegyzések a “0” azonosítójú házirendet határozzák meg a naplóüzenetet létrehozó házirendként.
Sikeres pingek esetén az “állapot” értéke “elfogad” a naplóban, és a VDOM név “dstintf” néven állítva.
Megpróbáltam tűzfalszabályokat létrehozni, amelyek megfelelnek a helyi tűzfal interfészekre irányított ping forgalomnak, azzal a szándékkal, hogy kifejezetten letiltsam a naplózást, de nem sikerült olyan szabályt kidolgozni, amely Ezenkívül lehetőség van letiltani a naplózást az implicit 0 szabályhoz (az implicit “deny” szabály a a házirend), de ez letiltja a megtagadott forgalom naplózását is, nem erre vágyom.
A tűzfal interfészek pingelésére (annak megállapítására, hogy a tűzfal interfész elérhető-e) bizonyos helyzetekben támaszkodunk, és ez nem mindig lehetséges. el kell tervezni. (Például néhány beállítás a terheléselosztók használatával). Ezenkívül mindig kívánatos konfigurálni a hálózati berendezéseket a nem kívánt naplózási üzenetek létrehozásának elkerülése érdekében, a külső naplózókiszolgálókra (Splunk stb.) Küldött “zaj” és esetünkben az ezekről szóló naplók csökkentése érdekében ” a szívverés ping “csak zajnak számít.
Válasz
A FortiOS 5.0 vagy újabb verziót futtató Fortigate tűzfalak esetén a CLI a naplók kifejezetten letiltásához a magához a tűzfalhoz irányított elfogadott forgalomhoz:
Jelentkezzen be a tűzfalba az SSH használatával, majd futtassa a következő parancsokat (feltételezve, hogy a tűzfalnak van egy “root” nevű VDOM-je)
config vdom edit root config log settings set local-in-allow disable
Ezt VDOM-alaponként kell megtenni.
Miután ez megtörtént, a tűzfal az összes megtagadott forgalmat naplózza, az elfogadott pingek naplózása nélkül, SNMP-lekérdezési lekérdezések stb.
A Fortinet további információt itt talál: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
Fortigate tűzfalak esetén, amelyek 5-nél régebbi FortiOS-t futtatnak .0, azt hiszem, a legjobb tanács az, hogy frissítsen 5.0-ra vagy újabbra, majd alkalmazza a fent javasolt beállítást. Úgy tűnik, hogy a „set local-in-allow disable” funkció a FortiOS 5.0 előtt nem érhető el.
Válasz
Irányelv Csak meghatározott címekről engedélyez pinget olyan házirendet követve, amely tagadja a pinget bármilyen forrásból. még nem tesztelte, de ha egy irányelvre esik, akkor nem szabad eljutnia az implicit szabályhoz.
Egy másik lehetőség az adminisztrátori bejelentkezés korlátozása egy adott gazdagépről. korlátozhatja az adminisztrátori bejelentkezést minden olyan címre, amelyről pinget kell tennie, és azokra a címekre, amelyekhez hozzáférés szükséges a fortigate-hez. ha bárki más megpróbál pingelni, akkor azt letiltják, mielőtt az irányelvekhez jutna.
Hozzászólások
- Tegyünk fel egy netet 192.168.1.0/24 egy pingelő állomás 192.168.1.10 és egy FOOINT nevű tűzfal interfész az IP 192.168.1.1 IP-vel. Ebben az esetben hogyan javasolná, hogy a célinterfészt + IP-t meg kell adni egy olyan szabályban, amely meg fogja egyezni az ICMP pingeket a pingelő állomástól a FOOINT IP címéig? Mindenféle módszert kipróbáltam a forrás interfész + cím és a cél interfész + cím megadására. Nem számít, hogy néznek ki, amint maga az FW interfész IP-je pingálódik, a ping naplóbejegyzést eredményez, amely az implicit 0. szabályra hivatkozik, mintha minden tűzfalszabályt egyszerűen megkerülnének.
- Azt hiszem, hogy megtettem rohanj a válaszommal 🙂
- Ezt sikerült létrehoznom az 5.2.1-vel, az elutasított pingek a helyi forgalomban vannak, mivel ez a rendszer / a rendszer (a VDOM) felé irányuló forgalom. Csak a service fülön tudtam kiszűrni őket, szűrni a pinget és bejelöltem a ' not ' négyzetet. Próbáltam valamit találni a CLI-n keresztül, de nem volt ott szerencsém. Nem hinném, hogy egyáltalán nem lehet generálni ezeket a naplókat, de talán megpróbálhatjuk a fortinettel folytatott csevegést, és megnézhetjük, van-e ötletük.
- Igen, megkérdezem a fortinetet, hogy tudják-e ezt megtenni.