[已解決] Fortiage 如何用指令把 IP 加到 Quarantine？ - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

[已解決] Fortiage 如何用指令把 IP 加到 Quarantine？

fortigate

vicentli 2023-06-06 09:39:53 ‧ 1731 瀏覽

分享至

目前針對封鎖 IP 作法是，當有新 IP 要封鎖就新增一個 Address，
再把該 Address 加到 Group，封鎖整個 Group 裡的清單
但累積下來 Address 就會有大量 IP 清單
查看透過 IPS 隔離的會在 Quarantine Monitor 裡看到
想問有無辦法用指令把 IP 丟進 Quarantine Monitor 就好？
不需新增一堆 Address，謝謝

mathewkl iT邦高手 1 級 ‧ 2023-06-06 10:26:51 檢舉

可以用外部連接器把一些資安網站公開的惡意IP定期更新
然後在連線政策設定全部封鎖
應該可以減少一些需要手動放隔離區的IP數量

vicentli iT邦研究生 4 級 ‧ 2023-06-06 10:32:15 檢舉

https://blog.lone.tw/2022/09/external-block-list-threat-feed.html
是像這個嗎？？加進去了，感謝！

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

1

bluegrass

iT邦高手 1 級 ‧ 2023-06-06 09:58:56

最佳解答

diagnose user quarantine add src4 7.7.7.7 60 admin

7.7.7.7 是要干掉的IP
60是秒數單位

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-ban-or-quarantine-an-IP-with-FortiView-in/ta-p/191475

回應 2
分享
檢舉

bluegrass iT邦高手 1 級 ‧ 2023-06-06 10:04:10 檢舉

如果你想永遠地把那IP干掉, 就再一句

config firewall global
set banned-ip-persistency all
end

vicentli iT邦研究生 4 級 ‧ 2023-06-06 10:13:52 檢舉

太感謝了，生效惹！！
不過這句config firewall global 的 global 在 6.2.14 似乎沒用，我的是 50E。查了一下新版 7.x 支援

登入發表回應

0

sd3388

iT邦好手 1 級 ‧ 2023-06-06 13:11:15

上面bluegrass大大給的指令超讚
已經特別筆記下來

插花一下
在新版OS可以開啟fortiview的隔離監視器
在圖形介面下可以做得更多哦

回應 1
分享
檢舉

vicentli iT邦研究生 4 級 ‧ 2023-06-06 17:47:24 檢舉

謝謝分享

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22203 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙