Fortigate SSL VPN自动屏蔽攻击IP

最佳实践 0 159 佚名 收藏

作者:东西南北

前言

日常我们开启SSL VPN后,常有大量IP尝试暴力破解用户名密码,这给我们网络安全带来了大量的

安全隐患,同时也带给防火墙增加了负担。

注意事项

这种方法会导致特定的来源 IP 地址被永久封禁,除非管理员手动干预。建议调整 SSL VPN 的锁

定设置,以避免正常用户因误操作被永久封禁(例如,增加登录尝试次数限制,使其在触发封禁前需要更多的失败尝试), 这个设置的默认值是2

To do this in the CLI:

为被封锁的源 IP 地址创建地址组

web 图形界面操作:策略&对象-->地址--> 新建-->地址组

To do this in the CLI:

创建自动化

Security Fabric-->自动化-->工作流-->新建 name SSL_VPN_Login_Failed

添加触发器-->新建条目-->触发条件-->FortiOS事件日志

名称:Failed_IP

事件:条目ID39426SSL VPN login fail

添加动作

新建自动化动作-->CLI 脚本名称: Ban_IP 脚本:

管理员配置:super_admin

创建一个本地拒绝(Deny Local-In)策略,并在源地址字段中使用地址组

To do this in the CLI:

结果

该操作会在尝试时将远程 IP 添加到被封锁的地址组中。之后,地址对象将被添加到最初创建的地

址组中,并且该地址组将被检查以阻止传入的连接。如果该连接是合法的,可能需要手动将其从

地址组中移除,以便用户能够重新连接。

提醒

地址组条目限制是600条,如果满了,请新建一个地址组用于屏蔽操作。

结束语

愿天下网管都用不上。

相关推荐:

网友留言:

您需要 登录账户 后才能发表评论

我要评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码