iT邦幫忙

0

關於Fortigate200B防火牆,static routes與log的問題

公司有兩個廠,廠與廠之間有透過遠傳的VPN線路連結。
防火牆上有設定路由,如果從一廠要到二廠的IP就丟給遠傳的router。
static route ip:10.6.0.0/16 gateway:10.4.5.253
請問封包實際上是不是不會經過防火牆這一段?
因為在log紀錄上都沒有看到相關的紀錄,想確認是不是哪裡沒設定好。

另外還想請問若想阻止一廠連到二廠的特定IP,該怎麼做才對?
會因為設定了丟給遠傳的router,導致防火牆上禁止不到嗎?

一廠網段:10.4.0.0/16
二廠網段:10.6.0.0/16
遠傳router ip:10.4.5.253
200B防火牆 ip位置:10.4.9.254
static route ip:10.6.0.0/16 gateway:10.4.5.253
若有其他需要補充,請再告知,感謝。

vit5015 iT邦新手 3 級 ‧ 2017-01-05 17:41:17 檢舉
補充 遠傳的router跟200B防火牆,是透過switch連接的
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
zyman2008
iT邦大師 6 級 ‧ 2017-01-05 19:09:14
最佳解答

這架構有triangle route的狀況.
確切封包會怎麼走, 和200B的行為與來源端的行為有關.
所以要先確認:

  1. 200B會不會發icmp redirect給來源端.
  2. 來源端收不收icmp redirect並follow 做redirect動作.

如果200B會發redirect,來源端也follow.就會有你懷疑的問題

會因為設定了丟給遠傳的router,導致防火牆上禁止不到嗎

vit5015 iT邦新手 3 級 ‧ 2017-01-06 14:29:40 檢舉

感謝回應,很像是這個情況。

2
做工仔人!
iT邦大師 1 級 ‧ 2017-01-06 09:54:40

建議做法:

  1. 因為樓主所規劃的網段為CLASS B , 所以先調設備規劃:將不可連到二廠的設備"集中"到某個CLASS C 的網段.(設備過多可以開二個或多個連續的CLASS C 的網段)
  2. 在一廠的L3 SWITCH (CORE SWITCH) 上加STATIC ROUTING 將不去二廠的網段直接DENY 掉.

基本上這樣就可以達到目的.但是防火牆上也是不會有LOG .

如果想在防火牆上有LOG 的話.就要變成:
將L3 SWITCH 上的STATIC ROUTING 全部停掉,只留0.0.0.0/0 指到防火牆.
再由防火牆上設定STATIC ROUTING 指到各備設.
單簡講:就是將 L3上的STATIC ROUTING 移到防火牆上.
但是不建議用這種做法.因為容易造成內部的網路瓶頸 (在防火牆與L3之間)

L3 SWITCH(CORE SWITCH)就是"遠傳的router跟200B防火牆,是透過switch連接的" 的這台 SWITCH.
上面應該會有一些 STATIC ROUTING .
要從這台下手 !!

vit5015 iT邦新手 3 級 ‧ 2017-01-06 14:31:01 檢舉

謝謝你回應,短期內要禁止就會先放棄LOG了,至少有先達成禁止的部分。

0
mytiny
iT邦超人 1 級 ‧ 2017-01-06 10:27:01

按版大的補充說明,遠傳的Router並未直接接在防火牆上
這種舊架構很常見,主要都是為了配合VPN的運作
但是這樣問題就會很多
除上述提到的狀況,外點回傳的資安問題也很多
簡單點說,就是封包未經過防火牆
所以難以實施資安管控

根本解決辦法,就是將路由器接到防火牆上
相關的路由或網段請VPN廠商提供協助設定
其後再自行設定相關防火牆政策

vit5015 iT邦新手 3 級 ‧ 2017-01-06 14:32:54 檢舉

感謝你回應,是的如你所說,封包沒經過防火牆管控方面就沒辦法實行。

0
mwp
iT邦新手 4 級 ‧ 2017-01-11 03:24:28

如果可以請vpn廠商改成另一個網段, 然後把該段從 forti 放另一個 interface 是否就能走 policy 去管控了

我要發表回答

立即登入回答