iT邦幫忙

0

Fortigate區網/外網流量限定&封鎖

各位好

我公司是用FortiGate 60E
最近有封包流量異常的困撓
覺得是被攻擊了,一直在上傳東西
先前我也有發文問過如何查詢這些流量的流向

我現在想作的是
內網的流量不限制
外網的流量當超過一定程度時,就視作威脅,加入黑名單,停止傳輸
不知道FortiGate 60E是否能作到這種程度呢?
若是可以,可以指點一下要在哪裡作設定嗎?

若是不可以,退而求其次
希望能知道在哪裡、如何設定黑名單

還請各位專家不吝指教一下,謝謝

0
ahfuyeuem
iT邦新手 4 級 ‧ 2021-07-27 15:04:28

超過流量自動封鎖我不清楚
如果只是想要封鎖IP有以下三個方法

  1. 在FortiView對著那個外部IP按右鍵直接Ban IP
  2. DNS過濾器 > 外部的 IP 阻擋清單
  3. 物件新增那個可疑IP,在IPv4政策Lan to WAN加一條All to IP,行動設deny(順序拉到最高)。
看更多先前的回應...收起先前的回應...
breakgod iT邦新手 5 級 ‧ 2021-07-27 15:41:12 檢舉
  1. 右鍵沒有ban ip的選項0.0
    https://ithelp.ithome.com.tw/upload/images/20210727/20137870zpAW9jhrv1.png
breakgod iT邦新手 5 級 ‧ 2021-07-27 15:46:11 檢舉
  1. dns過濾器似乎還沒有啟用?這個啟用了是否有要再設定其他什麼的?怕會突然公司沒有網路就屎定了…
    另外,外部ip清單該如何新增?不像政策中的那些規則可以直接在右側就可以進行新增的說
    https://ithelp.ithome.com.tw/upload/images/20210727/20137870g6Of9lVTpJ.png
    https://ithelp.ithome.com.tw/upload/images/20210727/20137870WfhClAXiAT.png
ahfuyeuem iT邦新手 4 級 ‧ 2021-07-27 16:30:46 檢舉
  1. 可以在介面選擇

https://upload.cc/i1/2021/07/27/dbmRxw.png

ahfuyeuem iT邦新手 4 級 ‧ 2021-07-27 16:34:08 檢舉
breakgod iT邦新手 5 級 ‧ 2021-07-28 09:27:42 檢舉

目前發現有這麼一組ip一直在作怪
但我又不能直接從介面中的來源去禁止ip
不然會禁止到我公司內網的ip

我也有試著從window主機去設定防火牆
把來源與輸出的5554port給封鎖,但仍沒有效果

還請指教該如何阻檔住這組ip呢?謝謝

https://ithelp.ithome.com.tw/upload/images/20210728/20137870H5mvWOg32p.png

ahfuyeuem iT邦新手 4 級 ‧ 2021-07-29 09:10:05 檢舉

你在介面可以從外部網路的介面進行查詢,找到該IP就可以禁止,用Internal一定就只能禁內部IP。

ahfuyeuem iT邦新手 4 級 ‧ 2021-07-29 09:11:39 檢舉

或是把這可疑IP新增一個物件位址,然後在IPv4政策加一條Internal to 45.32.248.125 all deny。

breakgod iT邦新手 5 級 ‧ 2021-08-02 14:08:05 檢舉

目前我已經用政策的方式,把有發現的ip加入禁止連線名單,但這方法治標不治本,換個ip來連線我就又要再加一次了,十分不便
https://ithelp.ithome.com.tw/upload/images/20210802/20137870vhmCHbZY5T.png

目前我有在網路上看到一個方法,用ipv4 dos政策,來設定L3、L4的門檻值,目前我設定這樣的數值,但好像沒有什麼效益?是否有可以改進的空間呢?或該如何設定才會盡可能的準確呢?

還有勞協助解惑了,感恩
https://ithelp.ithome.com.tw/upload/images/20210802/201378705cG0Sfpezs.png
https://ithelp.ithome.com.tw/upload/images/20210802/20137870t4rU3nxGWF.png

ahfuyeuem iT邦新手 4 級 ‧ 2021-08-02 15:26:55 檢舉

依你敘述的情況是內部一直有流量到外部,但你圖中DoS政策是針對外部進到內部的流量,所以這樣設不會達成你的目的。

並且依你紅框標示的兩個IP,那個流量也不會達到你設定的門檻值,如果門檻值設太低的話反而會讓你內網無法瀏覽網頁,所以DoS政策沒辦法達到你的目的。

然後你現在使用的政策方式設錯了,要把第29條政策移到最上方才會生效,你上面已經All to All了,下面再拒絕All to 5554portBan沒有用。

breakgod iT邦新手 5 級 ‧ 2021-08-02 16:10:45 檢舉

依你敘述的情況是內部一直有流量到外部,但你圖中DoS政策是針對外部進到內部的流量,所以這樣設不會達成你的目的。

並且依你紅框標示的兩個IP,那個流量也不會達到你設定的門檻值,如果門檻值設太低的話反而會讓你內網無法瀏覽網頁,所以DoS政策沒辦法達到你的目的。

我是想說把這些ip的tcp請求,視作是攻擊
因為會有大量的連線,所以才設定dos政策

我也會擔心設太低會有害的原有服務無法運行
我大概算過有時會有30-40的連線數
少的時後約會有15-20的連線數
故這裡我才先抓20這個數字
而主要都是在用80port的tcp
所以才我才會設定是tcp_port_scan
這個想法應該是對的吧?

breakgod iT邦新手 5 級 ‧ 2021-08-03 08:40:58 檢舉

昨日我設定dos政策的門檻值,看似有抓到一些異常
異常的系統處理是clear_session
這處理似乎沒有將這ip給列入黑名單
後續還是可以讓他來作訪問請求的喔?

我想說系統都可以偵測到這一步了
那後續是否能自動將這些ip給封鎖呢?

還請指點一下,萬分感謝
https://ithelp.ithome.com.tw/upload/images/20210803/20137870UPRAi2oZXc.png

0
mytiny
iT邦大師 1 級 ‧ 2021-07-27 17:24:32

樓主似乎發現Fortigate好用的地方了
但到能解決困擾似乎還有一段距離
建議下次購買時記得要挑一下有技術服務的廠商

話說回來,樓主說的功能叫"總量管制"
自從FortiOS進化到4.2.x以後就再也沒有這種功能哦
原因不得而知
樓主想要解決的是"可能被攻擊?"
這個是很不精準的描述
如果公司有購買FortiGuard的服務授權(含DNS過濾)
那麼應該先開啟IPS/AV的功能
替環境流量先把把脈,很多惡意的就可以擋掉
而且IPS功能還可以自動幫忙封鎖IP

至於FortiView,可以幫忙排序流量
但如果想知道是哪個應用程式用走了流量
要在政策裏開啟 "應用程式控制"
appliction control很多人以為是在FortiGuard的服務
其實不是的,只要有買硬體保固就好
這樣很多P2P,跳板程式、翻牆程式就會被封鎖
甚至配合流量限制,影音媒體也可以限制頻寬流量

Forigate在下真心覺得比以往複雜多了
如果還停留在網路只是通不通
用這個設備就有點可惜
可以參考一下在下的文章
Fortigate免費又好用的功能

0
bluegrass
iT邦高手 1 級 ‧ 2021-07-28 16:28:38

有DOS POLICY可以試試能不能先過

我要發表回答

立即登入回答