iT邦幫忙

0

Fortigate 80c data leak阻擋問題?

最近一到中午12點 開網頁就會出現下列訊息 大概五分鐘後又正常了

看LOG檔 顯示是被policyid=2 這條規則阻擋 可是這個網段沒有設UTM 如下圖 請問各位有遇過類似情況嗎?

2015-05-07 11:59:45 Local7.Warning 10.1.3.254 date=2015-05-07 time=11:59:45 devname=FGT80C3912621973 device_id=FGT80C3912621973 log_id=0038000007 type=traffic subtype=other pri=warning vd=root src=10.2.3.18 src_port=1813 src_int="internal" dst=220.130.119.131 dst_port=80 dst_int="wan1" SN=48197690 status=deny policyid=2 dst_country="Taiwan" src_country="Reserved" service=HTTP proto=6 duration=3437631 sent=0 rcvd=0 msg="replay packet(allow_err), drop"

2 個回答

4
mytiny
iT邦大師 1 級 ‧ 2015-05-07 21:14:37
最佳解答

首先建議你應該找維護的廠商來看看
如果沒簽維護,那當然就GG

另外沒看你說明OS版本,提醒您5.0.6以前版本不建議使用
按照你的Policy圖,你沒有紀錄Log
這樣訊息不夠,你要判斷也不易
還遇過一種狀況,就是你現在看到的是政策的序號而非ID
因此圖面顯現出來的Policy根本不是正確的PolicyID 2
請在防火牆政策上去顯示一下ID的欄位確認一下

等你記錄了Log之後,你就可以按照時間點去看Log紀錄
會有比較完整的訊息顯示來判斷原因了

vit5015 iT邦新手 4 級 ‧ 2015-05-08 08:53:56 檢舉

Firmware Version v4.0,build0672,130904 (MR3 Patch 15)
這樣版本是4.0.3嗎?
ID的部分我有去開欄位看 應該是對的 感謝你的建議我試著做看看

mytiny iT邦大師 1 級 ‧ 2015-05-08 19:45:53 檢舉

版大目前的版本是4.3.15,次一版4.3.16官方說明
244552 Resolved an issue with how schedules are determined that would rarely cause some traffic to be matched with the wrong firewall policy.

看來昇級版本會比較好(在具有原廠保固合約下)
特別解釋說明如下:
4.3.XX僅支援不能升級到5.x的硬體設備,如FG-100A,到2017.3.19
5.0.xx有效支援時間為2015.11.1,沒有看錯,就是今年11月就不再支援了
5.2.3是目前最新版本,5.4.x還在beta版

版大如果在合約保固內,請趕緊找維護廠商進行升級
因為升到最新版大約要三到四次手續
一個不留神Fortigate就 GG 嘍

汗

vit5015 iT邦新手 4 級 ‧ 2015-05-11 13:38:53 檢舉

感覺上很像是官方說明的那個情況..
把政策上的紀錄LOG流量勾起來後 就沒出現禁止的訊息了
不知道是否有相關性 補充給大家參考一下
近期內計劃昇級版本
感謝mytiny大提供的寶貴意見

2
阿偉Eric
iT邦新手 3 級 ‧ 2015-05-08 09:21:33

從樓主提供的policy id和log資訊來參考,設定畫面資訊確實與log不符。
建議試著使用別的瀏覽器再設定看看,或是刪除既有的policy id後重建試看看呢?

我要發表回答

立即登入回答