IPsec篇(7.0) 05. 如何阻止IPsec安全隧道连接请求 ❀ 飞塔 (Fortinet) 防火墙

Posted 2022-04-08 meigang2012

　　【简介】在FortiGate设备上默认开放UDP 500端口，允许IPsec隧道连接。但是可能会导致安全漏洞和ISAKMP DOS攻击。ISAKMP DOS攻击会破坏预共享密钥(如果VPN采用激进模式配置)，多个请求会导致CPU过载，最终填满所需的缓冲区空间。

---

 日志的作用

　　知道IPsec安全隧道的连接状态，我们可以查看日志。

　　① 选择菜单【日志&报表】-【事件】，选择【VPN事件】。

　　② 这里显示的是，当我们在总部601E删除了与分公司连接的IPsec隧道后，分公司的IPsec隧道仍然存在，仍然会向总部发起IPsec隧道连接，日志显示报错信息。那么分公司80E会一直发送IPsec请求吗？实际上并不会，持续的时间约为3分钟。如果仍然没有得到响应，就不再发起IPsec请求了。

　　③ 但是，如果发起IPsec隧道请求是恶意的呢？如果远端有多台设备连续发送恶意请求，多个请求会导致CPU过载，最终填满所需的缓冲区空间。那有办法避免这种情况发生吗？

  本地策略

　　我们了解FortiGate防火墙上有IPv4策略，很少有人知道本地策略。我们可以使用本地策略允许或阻止某些IP访问防火墙的公网IP。

 　　① 本地策略默认是隐藏的，选择菜单【系统管理】-【可见功能】，启用【本地策略】。

　　② 菜单上出现【本地入向策略】菜单，可以显示各个接口开放的端口。我们看到所有的接口都有开放UDP 500和UDP 4500给IPsec使用。

  配置本地策略

　　在本地入向策略里，没有新建按钮。只能用命令配置本地策略。

　　① 首先用命令新建两个地址对象，一个是允许访问的IP地址，一个是防火墙Wan口地址。

　　② 命令创建的地址对象，和在浏览器里创建的地址对象是一样的。

 　　③ 用命令创建服务对象，端口是UDP 500。

　　④ 命令创建的服务对象，和在浏览器里创建的服务对象是一样的。

　　⑤ 本地策略只能在命令下建立。这里创建的是允许IP访问宽带IP的策略。

　　⑤ 为了理解上面代码的意义，我们用浏览器下的防火墙策略作对比。本地策略与防火墙策略最大的不同是，本地策略只有一个接口，而防火墙策略有两个接口。

　　⑥ 再用命令创建一条策略，源地址为所有，动作为拒绝，也就是拒绝所有对宽带IP UDP 500端口的访问，这样就可以拒绝非指定IP的IPsec了。

　　⑦ 用Show命令查看本地策略，只有我们用命令创建的两条本地策略。

  效果验证

　　下面我们来验证一下，这两条本地策略是否有效。

　　① 总部宽带IP地址是183.14.25.233。

　　② 对比一下本地策略里的目标IP地址对象，是一样的。

　　③ 再查看一下分公司80E的宽带IP，是113.90.173.71。

　　④ 对比一下本地策略里的源IP地址对象，也是一样的。

　　⑤ 从分公司80E到总部601E的IPsec是正常可以连接的。

　　⑥ 我们可以感觉到似乎本地策略的允许通过在起作用，但是拒绝策略有没有起作用象好并不明显。我们用另一种方式再次验证一下。总部宽带接口协议启用了Ping，是可以远程Ping通的。

　　⑦ 我们再次利用现有的地址对象，创建一条本地策略，不允许指定的IP去Ping总部宽带公网IP。

　　⑧ 仔细对比可以看到，本地策略默认的动作是拒绝。

 　　⑨ 相同的环境下再次Ping总部宽带IP，Ping不通了，原因是已经被本地策略阻断了。

 　　通过上面的示例，我们想想是不是还能再做些什么？比如建立一个黑名单IP地址组，禁止访问我们的宽带接口。

---