フォーティネットファイアウォールを構成する方法はありますか(例: 、Fortigate600がFortiOS5またはFortiOS4)を実行しているため、ファイアウォール自体のインターフェイスに送信されるpingのログエントリは生成されませんが、暗黙的に拒否されたトラフィックのログエントリは生成されますか?
どちらの場合も、ログエントリは、ログメッセージを生成するポリシーとしてID「0」のポリシーを指定します。
pingが成功した場合、ログで「status」が「accept」に設定され、VDOM名は「dstintf」として設定します。
ログを明示的に無効にする目的で、ローカルファイアウォールインターフェイスに送信されるpingトラフィックに一致するファイアウォールルールを作成しようとしましたが、次のようなルールを思い付くことができませんでした。また、暗黙のルール0(の下部にある暗黙の「拒否」ルール)のロギングを無効にするオプションがあります。ポリシー)が、拒否されたトラフィックのログ記録も無効にします。これは私が望んでいることではありません。
ファイアウォールインターフェイスのping(ファイアウォールインターフェイスが使用可能かどうかを判断するため)は、特定の状況で依存され、常にではありません。離れて設計されます。 (たとえば、ロードバランサーを使用したいくつかのセットアップです)。また、不要なロギングメッセージが生成されないようにネットワーク機器を構成できることは、外部ロギングサーバー(Splunkなど)に送信される「ノイズ」の量を抑え、この場合はそれらに関するログを記録するために常に望ましいことです。ハートビートping」はノイズと見なされます。
回答
FortiOS 5.0以降を実行しているFortigateファイアウォールの場合、 CLIを使用して、ファイアウォール自体に向けられた受け入れ済みトラフィックのログを明確に無効にします。
SSHを使用してファイアウォールにログオンし、次のコマンドを実行します(ファイアウォールに「root」という名前のVDOMがあると想定)
config vdom edit root config log settings set local-in-allow disable
これはVDOMごとに実行する必要があります。
これが実行されると、ファイアウォールは、受け入れられたpingをログに記録せずに、拒否されたすべてのトラフィックをログに記録し続けます。 SNMP監視クエリなど。
フォーティネットの詳細情報は次のとおりです: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
5より古いFortiOSを実行しているFortigateファイアウォールの場合.0、最善のアドバイスは、5.0以降にアップグレードしてから、上記の設定を適用することだと思います。 FortiOS5.0より前の機能「setlocal-in-allowdisable」は利用できないようです。
回答
ポリシー特定のアドレスからのpingのみを許可し、その後に任意のソースからのpingを拒否するポリシーを適用します。まだテストしていませんが、ポリシーに該当する場合は、暗黙のルールに到達するべきではありません。
別のオプションは、特定のホストからの管理者ログインを制限することです。管理者ログインを、pingを実行する必要のあるすべてのアドレスと、Fortigateへのアクセスを必要とするアドレスに制限できます。他の誰かがpingを実行しようとすると、ポリシーに到達する前にブロックされます。
コメント
- ネット192.168.1.0/24をpingホスト192.168.1.10と、IP192.168.1.1のFOOINTと呼ばれるファイアウォールインターフェイス。その場合、pingホストからFOOINTのIPアドレスへのICMP pingに一致するルールで、宛先インターフェイス+ IPを指定することをどのように提案しますか?送信元インターフェイス+アドレスと宛先インターフェイス+アドレスを指定するためのさまざまな方法をテストしました。それらがどのように見えるかに関係なく、FWインターフェイスIP自体がpingされるとすぐに、pingは、すべてのファイアウォールルールが単にバイパスされたかのように暗黙のルール0を参照するログエントリになります。
- 私はそうしたと思います返信で急いでください:)
- 5.2.1でこれを再現できました。拒否されたpingは、システム(VDOM)との間のトラフィックであるため、ローカルトラフィックに含まれています。それらをフィルターで除外するには、サービスタブを使用し、pingをフィルター処理して、'ボックスをチェックしませんでした。 CLIで何かを見つけようとしましたが、うまくいきませんでした。これらのログをまったく生成しないことは不可能だと思いますが、フォーティネットとチャットして、アイデアがあるかどうかを確認してください。
- はい、フォーティネットにその方法を知っているかどうか尋ねます。