포티넷 방화벽을 구성하는 방법이 있습니까 (예 : , FortiOS 5 또는 FortiOS 4를 실행하는 fortigate600) 방화벽의 자체 인터페이스로 전달되는 ping에 대한 로그 항목을 생성하지 않지만 여전히 암시 적으로 거부 된 트래픽에 대한 로그 항목을 생성합니까?

두 경우 모두, 로그 항목은 로그 메시지를 생성하는 정책으로 ID가 “0”인 정책을 지정합니다.

핑이 성공한 경우 로그에서 “status”가 “accept”로 설정되고 VDOM 이름은 “dstintf”로 설정합니다.

로깅을 명시 적으로 비활성화하려는 의도로 로컬 방화벽 인터페이스로 향하는 ping 트래픽과 일치하는 방화벽 규칙을 만들려고했지만 다음과 같은 규칙을 만들지 못했습니다. 트래픽과 일치하도록 관리합니다. 또한 암시 적 규칙 0에 대한 로깅을 비활성화하는 옵션이 있습니다 (아래에있는 암시 적 “거부”규칙). 정책) 그러나 이는 또한 거부 된 트래픽의 로깅을 비활성화합니다. 이것은 제가 원하는 것이 아닙니다.

핑 방화벽 인터페이스 (방화벽 인터페이스를 사용할 수 있는지 확인하기 위해)는 특정 상황에서 의존하며 항상 그런 것은 아닙니다. 멀리 설계되었습니다. (예 :로드 밸런서를 사용하는 일부 설정). 또한 원하지 않는 로깅 메시지가 생성되는 것을 방지하고 외부 로깅 서버 (Splunk 등)로 전송되는 “노이즈”의 양을 줄이려면 항상 네트워크 장비를 구성하는 것이 바람직합니다. 하트 비트 핑 “은 소음으로 간주됩니다.

응답

FortiOS 5.0 이상을 실행하는 Fortigate 방화벽의 경우 다음을 사용할 수 있습니다. 방화벽 자체로 전달되는 허용 트래픽에 대한 로그를 특별히 비활성화하는 CLI :

SSH를 사용하여 방화벽에 로그온 한 후 다음 명령을 실행합니다 (방화벽에 “root”라는 VDOM이 있다고 가정).

config vdom edit root config log settings set local-in-allow disable 

이 작업은 VDOM별로 수행해야합니다.

이 작업이 완료되면 방화벽은 허용 된 핑을 기록하지 않고 거부 된 모든 트래픽을 계속 기록합니다. SNMP 모니터링 쿼리 등

Fortinet은 여기에 자세한 정보가 있습니다. http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html

5 이전의 FortiOS를 실행하는 Fortigate 방화벽의 경우 .0, 가장 좋은 조언은 5.0 이상으로 업그레이드 한 다음 위에서 제안한 설정을 적용하는 것입니다. FortiOS 5.0 이전에는 “set local-in-allow disable”기능을 사용할 수없는 것 같습니다.

답변

정책 모든 소스에서 ping을 거부하는 정책에 따라 특정 주소에서만 ping을 허용합니다. 테스트하지 않았지만 정책에 해당하는 경우 암시 적 규칙에 도달해서는 안됩니다.

또 다른 옵션은 특정 호스트에서 관리자 로그인을 제한하는 것입니다. 관리자 로그인을 핑이 필요한 모든 주소와 fortigate에 액세스해야하는 주소로 제한 할 수 있습니다. 다른 사람이 ping을 시도하면 정책에 도달하기 전에 차단됩니다.

댓글

  • 다음과 함께 net 192.168.1.0/24를 가정합니다. 핑 호스트 192.168.1.10 및 IP 192.168.1.1을 사용하는 FOOINT라는 방화벽 인터페이스. 이 경우 ping 호스트의 ICMP 핑을 FOOINT의 IP 주소와 일치시키는 규칙에 대상 인터페이스 + IP를 지정해야한다고 제안하는 방법은 무엇입니까? 소스 인터페이스 + 주소 및 대상 인터페이스 + 주소를 지정하는 모든 종류의 방법을 테스트했습니다. 모양이 어떻든간에 FW 인터페이스 IP 자체가 핑되 자마자 ping은 모든 방화벽 규칙이 단순히 우회 된 것처럼 암시 적 규칙 0을 참조하는 로그 항목을 생성합니다.
  • 그렇다고 생각합니다. 내 답장으로 서두르십시오 🙂
  • 5.2.1로 이것을 재현 할 수 있었는데, 거부 된 핑은 시스템 (VDOM)과의 트래픽이므로 로컬 트래픽에 있습니다. 서비스 탭으로 만 필터링하고 핑을 필터링하고 ' 확인란을 ' 선택하지 않았습니다. 나는 CLI를 통해 무언가를 찾으려고했지만 운이 없었다. 이 로그를 전혀 생성하지 못할 수 있다고 생각합니다.하지만 fortinet과 채팅을 시도해보고 아이디어가 있는지 확인해보세요.
  • 예,이 방법을 알고 있는지 fortinet에게 물어볼 것입니다.

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다