猜想樓主是根據log來判定
如果防火牆模式採用proxy-base(十個有九個開flow-base)
請開啟以下三種資安進階功能
其次,如果開啟這些功能之後的Log還是無法辨識內容到底為何
此時請在服務中設定物件,
將服務物件目的埠號範圍予以定義(必要時來源也做)
設定防火牆時,將服務選用該服務物件,政策選用拒絕(Deny)
其實如果就針對目的IP做禁止政策也可以
說實話,在下深深以為上述都不是重點
到底為何公司內部的電腦要去連一個不知名的IP還用不知名的通訊
建議樓主仔細查核探討,是不是電腦有異常的狀況(比如說挖礦)
禁用或阻擋在防火牆做政策是容易(不要以為解決了)
但是探究背後的狀況卻是MIS更重要的議題(在下又雞婆了)
只是現在大家都不以為意,封掉就算了
等到真發生重大資安事件就會後悔了
UDP/17788 是 愛奇藝的"其中一個"應用程式
員工有用電腦安裝愛奇藝的應用程式下載影片
"未知應用程式" 是指Fortigate不知道的未知應用程式
但其實我是知道的
若Fortigate是知道這是哪個應用程式,可以輕鬆封鎖連線,幾個鍵就可以了。
但現在是指UDP/17788 對於Fortigate而言,是未知應用程式,想尋求封鎖的方式。
UDP/17788 這個PORT,同時有無數個"目的IP"連線著,無法直接禁止目的IP。(愛奇藝是使用P2P連線)
我不了解你指的LOG是哪一部份的,我目前可以取得所有已連線資料。
感謝指導
目前Fortigate 30E裡面沒有此PORT的設定,有執行下列動作以定義相關埠號。
Policy&Objects - Services - Create New Service
接著 建立Policy,Service選擇UDP/17788
Policy&Objects - IPv4 Policy - Create New Policy
請問這流程有無錯誤?
感謝指導 謝謝謝謝
在下大致覺得設定是正確的
樓主觀念比較偏向網路Layer3-4
其實Fortigate在資安管理方面更有能力的是內容層
在OS5.4上線後,更加強了許多功能(至今已有三五年)
很可惜大多用戶並不熟悉,也沒有善加利用
稍晚在下再建議一些內容層的資安管理設定吧
提醒樓主要記得把設定的防火牆策略放最前面
另一個建議的Security內容表中開啟以下三個功能
1.應用程式控制:監控所有
2.DNS過濾:監控所有
3.網頁過濾:監控所有
然後在Lan to Wan的防火牆政策中啟用1-3,並將政策放最前
觀察日誌與報表 > 轉發流量
觀察記錄,看如果應用程式不能識別愛奇藝,看看類別為何
同時,觀察流量前往的網頁類別,及DNS類別
辨識出來之後,重新回到1-3項,將該三項相關類別封鎖
重新觀察流量是否被阻攔
其實查到愛奇藝的Domain Name為qiyi.com及iQIYI.COM
利用DNS過濾功能,直接用Domain過濾器做封鎖
也非常有可能可以阻斷愛奇藝運作
這些都是Fortigate內容層的功能
既然有花錢購買了資安授權服務
DNS過濾器功能是5.4後推出,可以多用用
好的 謝謝
謝謝指導
1.應用程式控制:監控所有
2.DNS過濾:監控所有
3.網頁過濾:監控所有
以上很早就有開啟了 一直都使用中
前天有利用Application Sensor 來阻擋qiyi.com和iQIYI.COM
但就是發現UDP/17788還是有流量,因為UDP/17788是未知應用程式,無法用Application Sensor 阻擋。
qiyi.com以及iQIYI.COM ,有測試過,皆以無任何流量。
剩下的UDP/17788有流量,用了上面封鎖UDP/17788政策,
依然有流量。
想請你幫忙
非常感謝指導
你好
如何不利用Application Sensor來封鎖未知應用程式,此問題已解決。
剛剛再次測試後,已完全阻擋流量。
但該應用程式的Session數量依然存在。
把中國地區連出連入封死
請來原電腦重開機重新建立對外連線,應該就不會有中國的連線了
重點還是要查來源電腦是什麼回事來治本
Mathewkl
?
利用Application Sensor來阻擋qiyi.com和iQIYI.COM
這兩個是網址,應用程式控制怎麼阻擋?? 不懂?
單單用應用程式控制一定無法全面阻絕的,
用未知應用程式全擋不是好辦法,會擋到其他的應用
既然1-3都有開啟了
請問紀錄中仍會通過的DNS及WEB的類別為何?
在樓主貼的紀錄上為何都看不到
嘗試用類別整項阻絕不行嗎?
如果網路通訊連結存在,下防火牆政策在TTL結束前是不會生效
請在CLI下 diag sys session clear
可以清掉所有session讓它重來,這樣政策就會產生作用
愛奇藝是使用P2P連線
直接封鎖所有P2P就好 fortigate可以輕鬆封鎖你要的類型
我一開始封了P2P之後 也發現愛奇藝無法連線
初期覺得是愛奇藝網站有狀況 後來也判定他們是走p2p