iT邦幫忙

0

*已自行解決*Fortigate 30E in FortiOS v5.6.7 要封鎖特定Port號的網路流量 (不分使用者)

https://ithelp.ithome.com.tw/upload/images/20190220/20115224OP5Q7j8JLf.png
目前有個未知的應用程式,有連線會話,且佔用網路。
目的: 49.7.30.72
應用程式名稱: UDP/17788
目的埠: 17788 (TCP.UDP / 17778-17999)

請問能不能封鎖此 未知應用程式 和 Port號 ?

1 個回答

2
mytiny
iT邦大師 1 級 ‧ 2019-02-20 20:30:42

猜想樓主是根據log來判定
如果防火牆模式採用proxy-base(十個有九個開flow-base)
請開啟以下三種資安進階功能

  1. 應用程式控制:監控所有
  2. DNS過濾:監控所有
  3. 網頁過濾:監控所有
    這樣樓主的log記錄才會全面

其次,如果開啟這些功能之後的Log還是無法辨識內容到底為何
此時請在服務中設定物件,
將服務物件目的埠號範圍予以定義(必要時來源也做)
設定防火牆時,將服務選用該服務物件,政策選用拒絕(Deny)
其實如果就針對目的IP做禁止政策也可以

說實話,在下深深以為上述都不是重點
到底為何公司內部的電腦要去連一個不知名的IP還用不知名的通訊
建議樓主仔細查核探討,是不是電腦有異常的狀況(比如說挖礦)
禁用或阻擋在防火牆做政策是容易(不要以為解決了)
但是探究背後的狀況卻是MIS更重要的議題(在下又雞婆了)
只是現在大家都不以為意,封掉就算了
等到真發生重大資安事件就會後悔了

看更多先前的回應...收起先前的回應...
HAHZOZO iT邦新手 5 級 ‧ 2019-02-20 21:27:04 檢舉

UDP/17788 是 愛奇藝的"其中一個"應用程式
員工有用電腦安裝愛奇藝的應用程式下載影片

"未知應用程式" 是指Fortigate不知道的未知應用程式
但其實我是知道的

若Fortigate是知道這是哪個應用程式,可以輕鬆封鎖連線,幾個鍵就可以了。
但現在是指UDP/17788 對於Fortigate而言,是未知應用程式,想尋求封鎖的方式。

UDP/17788 這個PORT,同時有無數個"目的IP"連線著,無法直接禁止目的IP。(愛奇藝是使用P2P連線)

我不了解你指的LOG是哪一部份的,我目前可以取得所有已連線資料。

感謝指導

HAHZOZO iT邦新手 5 級 ‧ 2019-02-20 21:55:02 檢舉

目前Fortigate 30E裡面沒有此PORT的設定,有執行下列動作以定義相關埠號。
Policy&Objects - Services - Create New Service
https://ithelp.ithome.com.tw/upload/images/20190220/20115224hbBqeEhwK0.png
接著 建立Policy,Service選擇UDP/17788
Policy&Objects - IPv4 Policy - Create New Policy
https://ithelp.ithome.com.tw/upload/images/20190220/201152241cgumDbG2F.png

請問這流程有無錯誤?
感謝指導 謝謝謝謝

mytiny iT邦大師 1 級 ‧ 2019-02-21 09:20:44 檢舉

在下大致覺得設定是正確的
樓主觀念比較偏向網路Layer3-4
其實Fortigate在資安管理方面更有能力的是內容層
在OS5.4上線後,更加強了許多功能(至今已有三五年)
很可惜大多用戶並不熟悉,也沒有善加利用
稍晚在下再建議一些內容層的資安管理設定吧

mytiny iT邦大師 1 級 ‧ 2019-02-21 13:11:10 檢舉

提醒樓主要記得把設定的防火牆策略放最前面

另一個建議的Security內容表中開啟以下三個功能
1.應用程式控制:監控所有
2.DNS過濾:監控所有
3.網頁過濾:監控所有
然後在Lan to Wan的防火牆政策中啟用1-3,並將政策放最前

觀察日誌與報表 > 轉發流量
觀察記錄,看如果應用程式不能識別愛奇藝,看看類別為何
同時,觀察流量前往的網頁類別,及DNS類別
辨識出來之後,重新回到1-3項,將該三項相關類別封鎖
重新觀察流量是否被阻攔

其實查到愛奇藝的Domain Name為qiyi.com及iQIYI.COM
利用DNS過濾功能,直接用Domain過濾器做封鎖
也非常有可能可以阻斷愛奇藝運作
這些都是Fortigate內容層的功能
既然有花錢購買了資安授權服務
DNS過濾器功能是5.4後推出,可以多用用

HAHZOZO iT邦新手 5 級 ‧ 2019-02-21 13:38:38 檢舉

好的 謝謝
謝謝指導

HAHZOZO iT邦新手 5 級 ‧ 2019-02-21 14:17:32 檢舉

1.應用程式控制:監控所有
2.DNS過濾:監控所有
3.網頁過濾:監控所有
以上很早就有開啟了 一直都使用中

前天有利用Application Sensor 來阻擋qiyi.com和iQIYI.COM
但就是發現UDP/17788還是有流量,因為UDP/17788是未知應用程式,無法用Application Sensor 阻擋。

qiyi.com以及iQIYI.COM ,有測試過,皆以無任何流量。

剩下的UDP/17788有流量,用了上面封鎖UDP/17788政策,
依然有流量。
想請你幫忙
非常感謝指導

HAHZOZO iT邦新手 5 級 ‧ 2019-02-21 14:28:23 檢舉

你好
如何不利用Application Sensor來封鎖未知應用程式,此問題已解決。
剛剛再次測試後,已完全阻擋流量。
但該應用程式的Session數量依然存在。

mathewkl iT邦新手 4 級 ‧ 2019-02-21 16:08:19 檢舉

把中國地區連出連入封死
請來原電腦重開機重新建立對外連線,應該就不會有中國的連線了
重點還是要查來源電腦是什麼回事來治本

HAHZOZO iT邦新手 5 級 ‧ 2019-02-21 16:33:44 檢舉

Mathewkl
?

mytiny iT邦大師 1 級 ‧ 2019-02-21 23:42:51 檢舉

利用Application Sensor來阻擋qiyi.com和iQIYI.COM
這兩個是網址,應用程式控制怎麼阻擋?? 不懂?
單單用應用程式控制一定無法全面阻絕的,
用未知應用程式全擋不是好辦法,會擋到其他的應用
既然1-3都有開啟了
請問紀錄中仍會通過的DNS及WEB的類別為何?
在樓主貼的紀錄上為何都看不到
嘗試用類別整項阻絕不行嗎?

如果網路通訊連結存在,下防火牆政策在TTL結束前是不會生效
請在CLI下 diag sys session clear
可以清掉所有session讓它重來,這樣政策就會產生作用

hsiang11 iT邦研究生 3 級 ‧ 2019-02-22 10:32:16 檢舉

愛奇藝是使用P2P連線
直接封鎖所有P2P就好 fortigate可以輕鬆封鎖你要的類型
我一開始封了P2P之後 也發現愛奇藝無法連線
初期覺得是愛奇藝網站有狀況 後來也判定他們是走p2p

我要發表回答

立即登入回答