防火牆 FortiGate 200D 攻擊行為，請求各位大大協助

fortigate 200d 防火牆

阿忠 2019-12-20 09:35:51 ‧ 3290 瀏覽

分享至

我司是使用FortiGate 200d型號的防火牆，
這台主機是WebSrv，
但近期發現一直有攻擊行為(445port)
導致備份時會出現逾時(使用的是AIP備份軟體)，
都需要每天手動封鎖這些攻擊IP，備份軟體才能正常執行，

想請問各位大大，防火牆部分，不知是否能自動阻擋行為?
例如IP連續進入幾次後，自動封鎖之類的~
再麻煩協助小弟設定，謝謝

bluegrass iT邦高手 1 級 ‧ 2019-12-20 10:35:26 檢舉

快去啟用FORTIGATE的DOS POLICY,

TCP和UDP都先控制一下

觀察好CPU的%有沒有改善

slime iT邦大師 1 級 ‧ 2019-12-20 11:49:13 檢舉

445 開給 Internet ????
先確定一下開給 Internet 只有必要的服務 port .

阿忠 iT邦新手 5 級 ‧ 2020-01-06 15:07:45 檢舉

經過各位大大的協助幫忙
小弟我找到問題點了
我把政策部分只單獨指向我需要的Web主機
結果就可以擋掉445Port
但是如果是用 All
政策卻無法執行
還是會讓445Port進來!

提供給有需要人參考~
謝謝~

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mytiny

iT邦超人 1 級 ‧ 2019-12-20 10:32:39

建議樓主採用IPS防護(如果有買UTM授權的話)
其中就有自動封鎖IP的功能
還可限制封鎖多長時間

不過樓主的OS版本太舊，看起來似乎還停在5.2.X版
況且也未提供 Security Long紀錄
目前系統穩定本為 OS 6.0.8
內含一些WAF的防護功能
務必請貴公司的SI服務廠商做好應有的技術服務

如果沒有購買UTM Bundle的授權
或是當初未付費SI技術服務
現在正是好機會讓公司同意辦理

回應 2
分享
檢舉

竹本立里 iT邦好手 1 級 ‧ 2019-12-20 10:58:57 檢舉

如果沒有購買UTM Bundle的授權
或是當初未付費SI技術服務
現在正是好機會讓公司同意辦理 +1

如果有,可以直接諮詢SI公司

阿忠 iT邦新手 5 級 ‧ 2019-12-20 16:37:46 檢舉

感謝大大回應
因剛好維護合約也快到期，
已有規劃汰換機器或續簽，
會將大大建議納入此次規畫~~

登入發表回應

hsiang11

iT邦好手 1 級 ‧ 2019-12-20 14:22:58

提供以下看法
445 是網路芳鄰用的Port
一般公司都不會去開放這個port對外
你們公司會發生越南可以直連到445 代表防火牆策略設計錯誤了
策略一旦有錯
只是讓公司被打到翻掉而已

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

阿忠 iT邦新手 5 級 ‧ 2019-12-20 16:36:34 檢舉

這部分我們有設定禁止
但是不知為什麼還是可以進入

hsiang11 iT邦好手 1 級 ‧ 2019-12-20 17:48:29 檢舉

主機是Web 可以嘗試先將系統防火牆建立起來開放80,443其他deny
這樣就可以有效阻擋外部攻擊了
你的DMZ區很容易被攻擊這區的server還是要注意

mytiny iT邦超人 1 級 ‧ 2019-12-20 19:10:04 檢舉

幾個重要的觀念提供樓主

看來防火牆的系統連5.2.x都不到，未免太舊了，防火牆不是設了放在那裏就好
封鎖的政策要放在最前面
防火牆用sevice port封鎖做防護是上世紀二十世紀的事了，真的建議您多利用IPS及AV的防護作用，不然就算只有開80,443照樣會被打到趴

阿忠 iT邦新手 5 級 ‧ 2019-12-23 08:26:56 檢舉

謝謝H大及M大的回覆
小弟是剛入門的小白,還有很多地方學習增進中
謝謝兩位前輩的建議。

登入發表回應

nike520207

iT邦新手 5 級 ‧ 2019-12-22 09:47:18

這policy應該要設在前面才有阻絕到，我們是設定只能到web server指定IP:PORT,之前有一個BUG是設定deny的policy（blockList all always all) 竟然沒辦法發揮功用，詢問廠商確定有這個問題，才改成publicIP:port—>PrivateIP:port，最近升到6.0.8還沒試過原本的bug還在嗎