Er det en måte å konfigurere en fortinet-brannmur (f.eks. , fortigate600 som kjører FortiOS 5 eller FortiOS 4) slik at den ikke genererer loggoppføringer for pinger som er rettet mot brannmurens egne grensesnitt, men likevel genererer loggoppføringer for implisitt nektet trafikk?
I begge tilfeller, loggoppføringene spesifiserer policyen med id «0» som policyen som genererer loggmeldingen.
I tilfelle vellykkede pinger, er «status» satt til «accept» i loggen og VDOM-navnet er satt som «dstintf».
Jeg har prøvd å lage brannmurregler som samsvarer med pingtrafikken som er rettet mot lokale brannmurgrensesnitt, med den hensikt å eksplisitt deaktivere logging, men jeg klarte ikke å komme med en regel som klarer å matche trafikken. Det er også muligheten til å deaktivere loggingen for implisitt regel 0 (den implisitte «nekte» -regelen nederst i policyen), men som også deaktiverer loggføring av nektet trafikk, som ikke er det jeg vil ha.
Pinging brannmurgrensesnitt (for å bestemme at brannmurgrensesnittet er tilgjengelig) er avhengig av i visse situasjoner og kan ikke alltid være designet vekk. (F.eks. Er noen oppsett som bruker belastningsbalansere). Å være i stand til å konfigurere nettverksutstyr for å unngå at uønskede loggmeldinger genereres er alltid ønskelig, for å holde nede mengden «støy» som sendes til eksterne loggservere (Splunk osv.), Og i vårt tilfelle logger om de » hjerterytme pinger «betraktes bare som støy.
Svar
For Fortigate-brannmurer som kjører FortiOS 5.0 eller nyere, er det mulig å bruke CLI for spesifikt å deaktivere logger for akseptert trafikk rettet mot selve brannmuren:
Logg deg på brannmuren ved hjelp av SSH, og kjør deretter følgende kommandoer (forutsatt at brannmuren har en VDOM med navnet «root»)
config vdom edit root config log settings set local-in-allow disable Dette må gjøres på hver VDOM-basis.
Når dette er gjort, fortsetter brannmuren å logge all nektet trafikk, uten å logge aksepterte pinger, SNMP-overvåkingsspørsmål osv.
Fortinet har mer informasjon her: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
For Fortigate-brannmurer som kjører FortiOS eldre enn 5 .0 Jeg antar at det beste rådet er å oppgradere til 5.0 eller nyere og deretter bruke innstillingen som er foreslått ovenfor. Det virker som om funksjonen «set local-in-allow disable» ikke er tilgjengelig før FortiOS 5.0.
Svar
En policy tillater bare ping fra bestemte adresser etter en policy som nekter ping fra hvilken som helst kilde. har ikke testet det, men hvis det faller på en policy, bør det ikke komme til den implisitte regelen.
Et annet alternativ er å begrense administratorinnlogging fra spesifikk vert. Du kan begrense admin-påloggingen til alle adressene du trenger ping fra, og adresser som trenger tilgang til de fattige. hvis noen andre prøver å pinge, blir den blokkert før den kommer til policyene.
Kommentarer
- Anta netto 192.168.1.0/24 med en pinging-vert 192.168.1.10 og et brannmurgrensesnitt kalt FOOINT med IP 192.168.1.1. I så fall, hvordan vil du foreslå at destinasjonsgrensesnittet + IP skal spesifiseres i en regel som vil matche ICMP-pinger fra den pingende verten til IP-adressen til FOOINT? Jeg har testet alle slags måter å spesifisere kildegrensesnitt + adresse og destinasjonsgrensesnitt + adresse. Uansett hvordan de ser ut, så snart FW-grensesnittets IP i seg selv er pinget, resulterer pingen i en loggoppføring som refererer til implisitt regel 0 som om alle brannmurregler bare ble omgått.
- Jeg tror jeg gjorde rush med mitt svar 🙂
- Jeg klarte å gjenskape dette med 5.2.1, de nektet pingene er i lokal trafikk ettersom det er trafikk til / fra systemet (VDOM). Jeg kunne bare filtrere dem ut med tjenestefanen, filtrert ping og merket av for ' ikke '. Jeg har prøvd å finne noe gjennom CLI, men ikke hell der. Jeg tror ikke det er mulig å ikke generere disse loggene i det hele tatt, men kanskje prøve chatten med fortinet og se om de har en idé.
- Ja, jeg vil spørre fortinet om de vet hvordan de kan gjøre dette.