IPsec篇(7.0) 05. 如何阻止IPsec安全隧道连接请求 ❀ 飞塔 (Fortinet) 防火墙

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IPsec篇(7.0) 05. 如何阻止IPsec安全隧道连接请求 ❀ 飞塔 (Fortinet) 防火墙相关的知识,希望对你有一定的参考价值。

  【简介】在FortiGate设备上默认开放UDP 500端口,允许IPsec隧道连接。但是可能会导致安全漏洞和ISAKMP DOS攻击。ISAKMP DOS攻击会破坏预共享密钥(如果VPN采用激进模式配置),多个请求会导致CPU过载,最终填满所需的缓冲区空间。


 日志的作用

  知道IPsec安全隧道的连接状态,我们可以查看日志。

  ① 选择菜单【日志&报表】-【事件】,选择【VPN事件】。

  ② 这里显示的是,当我们在总部601E删除了与分公司连接的IPsec隧道后,分公司的IPsec隧道仍然存在,仍然会向总部发起IPsec隧道连接,日志显示报错信息。那么分公司80E会一直发送IPsec请求吗?实际上并不会,持续的时间约为3分钟。如果仍然没有得到响应,就不再发起IPsec请求了。

  ③ 但是,如果发起IPsec隧道请求是恶意的呢?如果远端有多台设备连续发送恶意请求,多个请求会导致CPU过载,最终填满所需的缓冲区空间。那有办法避免这种情况发生吗?

  本地策略

  我们了解FortiGate防火墙上有IPv4策略,很少有人知道本地策略。我们可以使用本地策略允许或阻止某些IP访问防火墙的公网IP。

   ① 本地策略默认是隐藏的,选择菜单【系统管理】-【可见功能】,启用【本地策略】。

  ② 菜单上出现【本地入向策略】菜单,可以显示各个接口开放的端口。我们看到所有的接口都有开放UDP 500和UDP 4500给IPsec使用。

  配置本地策略

  在本地入向策略里,没有新建按钮。只能用命令配置本地策略。

  ① 首先用命令新建两个地址对象,一个是允许访问的IP地址,一个是防火墙Wan口地址。

  ② 命令创建的地址对象,和在浏览器里创建的地址对象是一样的。

   ③ 用命令创建服务对象,端口是UDP 500。

  ④ 命令创建的服务对象,和在浏览器里创建的服务对象是一样的。

  ⑤ 本地策略只能在命令下建立。这里创建的是允许IP访问宽带IP的策略。

  ⑤ 为了理解上面代码的意义,我们用浏览器下的防火墙策略作对比。本地策略与防火墙策略最大的不同是,本地策略只有一个接口,而防火墙策略有两个接口。

  ⑥ 再用命令创建一条策略,源地址为所有,动作为拒绝,也就是拒绝所有对宽带IP UDP 500端口的访问,这样就可以拒绝非指定IP的IPsec了。

  ⑦ 用Show命令查看本地策略,只有我们用命令创建的两条本地策略。

  效果验证

  下面我们来验证一下,这两条本地策略是否有效。

  ① 总部宽带IP地址是183.14.25.233。

  ② 对比一下本地策略里的目标IP地址对象,是一样的。

  ③ 再查看一下分公司80E的宽带IP,是113.90.173.71。

  ④ 对比一下本地策略里的源IP地址对象,也是一样的。

  ⑤ 从分公司80E到总部601E的IPsec是正常可以连接的。

  ⑥ 我们可以感觉到似乎本地策略的允许通过在起作用,但是拒绝策略有没有起作用象好并不明显。我们用另一种方式再次验证一下。总部宽带接口协议启用了Ping,是可以远程Ping通的。

  ⑦ 我们再次利用现有的地址对象,创建一条本地策略,不允许指定的IP去Ping总部宽带公网IP。

  ⑧ 仔细对比可以看到,本地策略默认的动作是拒绝。

   ⑨ 相同的环境下再次Ping总部宽带IP,Ping不通了,原因是已经被本地策略阻断了。

   通过上面的示例,我们想想是不是还能再做些什么?比如建立一个黑名单IP地址组,禁止访问我们的宽带接口。


以上是关于IPsec篇(7.0) 05. 如何阻止IPsec安全隧道连接请求 ❀ 飞塔 (Fortinet) 防火墙的主要内容,如果未能解决你的问题,请参考以下文章

IPsec篇(7.0) 04. 如何快速删除IPsec安全隧道 ❀ 飞塔 (Fortinet) 防火墙

IPsec入门篇讲解(第一篇)

IPsec入门篇讲解(第二篇)

IPsec入门篇讲解(第四篇)

HUAWEI-防火墙USG6000 与 Windows2008 R2配置IPSec(防火墙篇)

山石网科如何利用GRE+IPSEC+BFD进行高可用组网-经验分享篇