iT邦幫忙

0

防火牆 FortiGate 200D 攻擊行為,請求各位大大協助

我司是使用FortiGate 200d型號的防火牆,
這台主機是WebSrv,
但近期發現一直有攻擊行為(445port)
導致備份時會出現逾時(使用的是AIP備份軟體),
都需要每天手動封鎖這些攻擊IP,備份軟體才能正常執行,

想請問各位大大,防火牆部分,不知是否能自動阻擋行為?
例如IP連續進入幾次後,自動封鎖之類的~
再麻煩協助小弟設定,謝謝

https://ithelp.ithome.com.tw/upload/images/20191220/20117421VcvD4lvHWo.jpg

bluegrass iT邦高手 1 級 ‧ 2019-12-20 10:35:26 檢舉
快去啟用FORTIGATE的DOS POLICY,

TCP和UDP都先控制一下

觀察好CPU的%有沒有改善
slime iT邦大師 1 級 ‧ 2019-12-20 11:49:13 檢舉
445 開給 Internet ????
先確定一下開給 Internet 只有必要的服務 port .
阿忠 iT邦新手 5 級 ‧ 2020-01-06 15:07:45 檢舉
經過各位大大的協助幫忙
小弟我找到問題點了
我把政策部分只單獨指向我需要的Web主機
結果就可以擋掉445Port
但是如果是用 All
政策卻無法執行
還是會讓445Port進來!

提供給有需要人參考~
謝謝~
3
mytiny
iT邦大師 1 級 ‧ 2019-12-20 10:32:39

建議樓主採用IPS防護(如果有買UTM授權的話)
其中就有自動封鎖IP的功能
還可限制封鎖多長時間

不過樓主的OS版本太舊,看起來似乎還停在5.2.X版
況且也未提供 Security Long紀錄
目前系統穩定本為 OS 6.0.8
內含一些WAF的防護功能
務必請貴公司的SI服務廠商做好應有的技術服務

如果沒有購買UTM Bundle的授權
或是當初未付費SI技術服務
現在正是好機會讓公司同意辦理

竹本立里 iT邦研究生 1 級 ‧ 2019-12-20 10:58:57 檢舉

如果沒有購買UTM Bundle的授權
或是當初未付費SI技術服務
現在正是好機會讓公司同意辦理 +1

如果有,可以直接諮詢SI公司

阿忠 iT邦新手 5 級 ‧ 2019-12-20 16:37:46 檢舉

感謝大大回應
因剛好維護合約也快到期,
已有規劃汰換機器或續簽,
會將大大建議納入此次規畫~~

0
hsiang11
iT邦好手 1 級 ‧ 2019-12-20 14:22:58

提供以下看法
445 是網路芳鄰用的Port
一般公司都不會去開放這個port對外
你們公司會發生越南可以直連到445 代表防火牆策略設計錯誤了
策略一旦有錯
只是讓公司被打到翻掉而已

看更多先前的回應...收起先前的回應...
阿忠 iT邦新手 5 級 ‧ 2019-12-20 16:36:34 檢舉

這部分我們有設定禁止
但是不知為什麼還是可以進入
https://ithelp.ithome.com.tw/upload/images/20191220/201174217i6j64GcJe.jpghttps://ithelp.ithome.com.tw/upload/images/20191220/201174219yaAcG4vhZ.jpg

hsiang11 iT邦好手 1 級 ‧ 2019-12-20 17:48:29 檢舉

主機是Web 可以嘗試先將系統防火牆建立起來 開放80,443其他deny
這樣就可以有效阻擋外部攻擊了
你的DMZ區很容易被攻擊 這區的server還是要注意

mytiny iT邦大師 1 級 ‧ 2019-12-20 19:10:04 檢舉

幾個重要的觀念提供樓主

  1. 看來防火牆的系統連5.2.x都不到,未免太舊了,防火牆不是設了放在那裏就好
  2. 封鎖的政策要放在最前面
  3. 防火牆用sevice port封鎖做防護是上世紀二十世紀的事了,真的建議您多利用IPS及AV的防護作用,不然就算只有開80,443照樣會被打到趴
阿忠 iT邦新手 5 級 ‧ 2019-12-23 08:26:56 檢舉

謝謝H大及M大的回覆
小弟是剛入門的小白,還有很多地方學習增進中
謝謝兩位前輩的建議。

0
nike520207
iT邦新手 5 級 ‧ 2019-12-22 09:47:18

這policy應該要設在前面才有阻絕到,我們是設定只能到web server指定IP:PORT,之前有一個BUG是設定deny的policy(blockList all always all) 竟然沒辦法發揮功用,詢問廠商確定有這個問題,才改成publicIP:port—>PrivateIP:port,最近升到6.0.8還沒試過原本的bug還在嗎

mytiny iT邦大師 1 級 ‧ 2019-12-22 15:58:54 檢舉

有一個BUG是設定deny的policy(blockList all always all) 竟然沒辦法發揮功用

很懷疑所謂的BUG是誰說的
原廠所有的BUG都是有編號(需開ticket立案)
同時在releasd notes裡都會有詳盡的說明(無論修正前修正後)
倒是遇過不少人,甚至SI的工程師
為了便宜解釋,或是設定錯誤,開口就推說有bug
這一點就不符合原廠實事求是的處理原則

blockList all always all如果沒有作用
看看所有OS版本政策的最後一條是什麼
如果沒有作用大概防火牆早就通通失效了

我要發表回答

立即登入回答