Finns det ett sätt att konfigurera en fortinet-brandvägg (t.ex. , fortigate600 som kör FortiOS 5 eller FortiOS 4) så att det inte genererar loggposter för pingar som är riktade till brandväggens egna gränssnitt men ändå genererar loggposter för implicit nekad trafik?
I båda fallen, loggposterna specificerar policyn med id ”0” som policy som genererar loggmeddelandet.
Vid framgångsrika pingar är ”status” inställt på ”accept” i loggen och VDOM-namnet är ställa in som ”dstintf”.
Jag har försökt skapa brandväggsregler som matchar pingtrafiken som riktas till lokala brandväggsgränssnitt, med avsikten att uttryckligen inaktivera loggning, men jag lyckades inte komma med en regel som lyckas matcha trafiken. Det finns också möjlighet att inaktivera loggning för implicit regel 0 (den implicita ”neka” -regeln längst ner på policyn) men det inaktiverar också loggning av nekad trafik, vilket inte är vad jag vill.
Pinging-brandväggsgränssnitt (för att fastställa att brandväggsgränssnittet är tillgängligt) är beroende av i vissa situationer och kan inte alltid utformas bort. (Exempelvis är några inställningar som använder belastningsbalanserare). Att kunna konfigurera nätverksutrustning för att undvika att oönskade loggningsmeddelanden genereras är alltid önskvärt, för att hålla nere mängden ”brus” som skickas till externa loggningsservrar (Splunk etc), och i vårt fall loggar om dessa ” hjärtslag-pingar ”anses bara vara buller.
Svar
För Fortigate-brandväggar som kör FortiOS 5.0 eller senare är det möjligt att använda CLI för att specifikt inaktivera loggar för accepterad trafik riktad till själva brandväggen:
Logga in på brandväggen med SSH, kör sedan följande kommandon (förutsatt att brandväggen har en VDOM med namnet ”root”)
config vdom edit root config log settings set local-in-allow disable Detta måste göras per VDOM-basis.
När detta är gjort fortsätter brandväggen att logga all nekad trafik, utan att logga accepterade pings, SNMP-övervakningsfrågor etc.
Fortinet har mer informationg här: http://docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
För Fortigate-brandväggar som kör FortiOS äldre än 5 .0 Jag antar att det bästa rådet är att uppgradera till 5.0 eller nyare och sedan använda inställningen som föreslås ovan. Det verkar som om funktionen ”ställa in inaktivera lokalt” inte är tillgänglig före FortiOS 5.0.
Svar
En policy tillåter endast ping från specifika adresser efter en policy som nekar ping från vilken källa som helst. har inte testat det, men om det faller på en policy bör det inte komma till den implicita regeln.
Ett annat alternativ är att begränsa admininloggning från specifik värd. Du kan begränsa administratörsinloggningen till alla adresser som du behöver ping från och adresser som behöver åtkomst till de starka. om någon annan försöker pinga, kommer den att blockeras innan den kommer till policyerna.
Kommentarer
- Anta ett nät 192.168.1.0/24 med en ping-värd 192.168.1.10 och ett brandväggsgränssnitt som heter FOOINT med IP 192.168.1.1. I så fall, hur skulle du föreslå att destinationsgränssnittet + IP ska anges i en regel som matchar ICMP-pingar från den pingande värden till IP-adressen till FOOINT? Jag har testat alla möjliga sätt att ange källgränssnitt + adress och destinationsgränssnitt + adress. Oavsett hur de ser ut, så snart FW-gränssnittets IP i sig är pingat, resulterar pingen i en loggpost som hänvisar till implicit regel 0 som om alla brandväggsregler helt enkelt kringgicks.
- Jag tror att jag gjorde rusa med mitt svar 🙂
- Jag kunde återskapa detta med 5.2.1, de nekade pingorna finns i lokal trafik eftersom det är trafik till / från systemet (VDOM). Jag kunde bara filtrera bort dem med servicefliken, filtrerade ping och markerade rutan ' inte '. Jag har försökt hitta något genom CLI men ingen tur där. Jag tror inte att det är möjligt att inte skapa dessa loggar alls, men kanske prova chatten med fortinet och se om de har en idé.
- Ja, jag kommer att fråga fortinet om de vet hur man gör det.