iT邦幫忙

0

Fortigate 30E 封鎖外部IP

in fortios 5.6

今日檢查LOG,發現有一筆入侵資料,防火牆有擋下。
我有嘗試封鎖該外部IP
但依然無法阻擋該外部IP嘗試連線。
請問有無更好的方法呢

leezo2488 iT邦新手 5 級 ‧ 2019-04-19 15:21:21 檢舉
Attack destination is intranet?
對阿 公司裡面的設備
1
leezo2488
iT邦新手 5 級 ‧ 2019-04-19 15:52:04
最佳解答

阻擋來源IP.

  1. 建立地址(來源IP): policy&objects -> Addresses -> Creata adresses
  2. 建立地址群組(你要阻擋的IP群組,以後若要阻擋多組IP比較方便):
    policy&objects -> Addresses -> Creata addresses group
  3. 建立阻擋政策: policy&objects -> IPv4 policy -> create new

上方 細項部分 若不清楚可再詢問

還可以依照mytiny的方法來處理:
設定intrusion prevention
security -> intrusion prevention -> 選擇你的IPS Sensor -> 新增IPS signatures -> 上方搜尋NAME (輸入你收到的訊息的入侵名稱) -> 點選他 -> 點選 Ues selected signatures -> 設定Action -> 設定Packet logging -> 點選畫面下方APPLY

以上

哦謝謝 我用第2種方法 成功了

0
mytiny
iT邦大師 1 級 ‧ 2019-04-19 15:18:29

要阻擋IPS的入侵攻擊
如果只是採用系統既定的封鎖
這樣那個來源IP還是會再繼續來
然後,入侵防禦再把他擋掉,周而復始,很累
有人會說,把那個IP設防火牆政策擋掉
擋了一個,來一萬個,累死自己

請在IPS運用profile的內容中選用該攻擊特徵
點右鍵,選隔離,設看要隔離多久
來犯者一律抓去監牢關起來
關多久看你高興(一般一周後就不來了)
不用一直設防火牆政策,輕鬆解決困擾
這樣是不是很簡單

對阿 已經有隔離攻擊特徵 也成功阻擋入侵

而你說 一般一周後就不來了
是指他之後還是會來嗎

mytiny iT邦大師 1 級 ‧ 2019-04-19 15:33:55 檢舉

不管來源IP是內網還是外網
隔離後IP就無法跟Fortigate連session
因此,外部的IP不到一周發覺不能成功就會放棄
或者是因為病毒的原因,全球這麼多防毒系統很快就會把它消滅
如果是內網IP,MIS會接到電話,有人網路不通
User自己找上門來,MIS會比較省力

0
Sergeyau
iT邦研究生 3 級 ‧ 2019-04-20 10:32:41

阻擋的同時,最好也看看為什麼外部IP會一直嘗試連線公司裡面的特定設備。也許該伺服器本身設定錯誤門戶大開,有心入侵的人會換不同IP或攻擊手法入侵。

謝謝 被入侵的這台電腦是監視器主機 有開了2個埠號供保全公司連線使用

Sergeyau iT邦研究生 3 級 ‧ 2019-04-23 13:12:23 檢舉

依照需要應該盡量減少外部能進來的流量?

Allow 來自保全公司的特定IP
Deny All

我要發表回答

立即登入回答