로깅 방지 : 암시 적으로 거부 된 트래픽에 대한 로그를 가져 오는 동안 방화벽 인터페이스에 대한 ping이 로깅되는 것을 방지하는 방법

FortiOS 5.0 이상을 실행하는 Fortigate 방화벽의 경우 다음을 사용할 수 있습니다. 방화벽 자체로 전달되는 허용 트래픽에 대한 로그를 특별히 비활성화하는 CLI :

SSH를 사용하여 방화벽에 로그온 한 후 다음 명령을 실행합니다 (방화벽에 “root”라는 VDOM이 있다고 가정).

config vdom edit root config log settings set local-in-allow disable 

이 작업은 VDOM별로 수행해야합니다.

이 작업이 완료되면 방화벽은 허용 된 핑을 기록하지 않고 거부 된 모든 트래픽을 계속 기록합니다. SNMP 모니터링 쿼리 등

Fortinet은 여기에 자세한 정보가 있습니다. http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html

5 이전의 FortiOS를 실행하는 Fortigate 방화벽의 경우 .0, 가장 좋은 조언은 5.0 이상으로 업그레이드 한 다음 위에서 제안한 설정을 적용하는 것입니다. FortiOS 5.0 이전에는 “set local-in-allow disable”기능을 사용할 수없는 것 같습니다.

정책 모든 소스에서 ping을 거부하는 정책에 따라 특정 주소에서만 ping을 허용합니다. 테스트하지 않았지만 정책에 해당하는 경우 암시 적 규칙에 도달해서는 안됩니다.

또 다른 옵션은 특정 호스트에서 관리자 로그인을 제한하는 것입니다. 관리자 로그인을 핑이 필요한 모든 주소와 fortigate에 액세스해야하는 주소로 제한 할 수 있습니다. 다른 사람이 ping을 시도하면 정책에 도달하기 전에 차단됩니다.

댓글

• 다음과 함께 net 192.168.1.0/24를 가정합니다. 핑 호스트 192.168.1.10 및 IP 192.168.1.1을 사용하는 FOOINT라는 방화벽 인터페이스. 이 경우 ping 호스트의 ICMP 핑을 FOOINT의 IP 주소와 일치시키는 규칙에 대상 인터페이스 + IP를 지정해야한다고 제안하는 방법은 무엇입니까? 소스 인터페이스 + 주소 및 대상 인터페이스 + 주소를 지정하는 모든 종류의 방법을 테스트했습니다. 모양이 어떻든간에 FW 인터페이스 IP 자체가 핑되 자마자 ping은 모든 방화벽 규칙이 단순히 우회 된 것처럼 암시 적 규칙 0을 참조하는 로그 항목을 생성합니다.
• 그렇다고 생각합니다. 내 답장으로 서두르십시오 🙂
• 5.2.1로 이것을 재현 할 수 있었는데, 거부 된 핑은 시스템 (VDOM)과의 트래픽이므로 로컬 트래픽에 있습니다. 서비스 탭으로 만 필터링하고 핑을 필터링하고 ' 확인란을 ' 선택하지 않았습니다. 나는 CLI를 통해 무언가를 찾으려고했지만 운이 없었다. 이 로그를 전혀 생성하지 못할 수 있다고 생각합니다.하지만 fortinet과 채팅을 시도해보고 아이디어가 있는지 확인해보세요.
• 예,이 방법을 알고 있는지 fortinet에게 물어볼 것입니다.