【简介】在FortiGate设备上默认开放UDP 500端口,允许IPsec隧道连接。但是可能会导致安全漏洞和ISAKMP DOS攻击。ISAKMP DOS攻击会破坏预共享密钥(如果VPN采用激进模式配置),多个请求会导致CPU过载,最终填满所需的缓冲区空间。
知道IPsec安全隧道的连接状态,我们可以查看日志。
① 选择菜单【日志&报表】-【事件】,选择【VPN事件】。
②?这里显示的是,当我们在总部601E删除了与分公司连接的IPsec隧道后,分公司的IPsec隧道仍然存在,仍然会向总部发起IPsec隧道连接,日志显示报错信息。那么分公司80E会一直发送IPsec请求吗?实际上并不会,持续的时间约为3分钟。如果仍然没有得到响应,就不再发起IPsec请求了。
③?但是,如果发起IPsec隧道请求是恶意的呢?如果远端有多台设备连续发送恶意请求,多个请求会导致CPU过载,最终填满所需的缓冲区空间。那有办法避免这种情况发生吗?
?
我们了解FortiGate防火墙上有IPv4策略,很少有人知道本地策略。我们可以使用本地策略允许或阻止某些IP访问防火墙的公网IP。
? ①?本地策略默认是隐藏的,选择菜单【系统管理】-【可见功能】,启用【本地策略】。
②?菜单上出现【本地入向策略】菜单,可以显示各个接口开放的端口。我们看到所有的接口都有开放UDP 500和UDP 4500给IPsec使用。
?
在本地入向策略里,没有新建按钮。只能用命令配置本地策略。
①?首先用命令新建两个地址对象,一个是允许访问的IP地址,一个是防火墙Wan口地址。
②?命令创建的地址对象,和在浏览器里创建的地址对象是一样的。
? ③?用命令创建服务对象,端口是UDP 500。
④ 命令创建的服务对象,和在浏览器里创建的服务对象是一样的。
⑤?本地策略只能在命令下建立。这里创建的是允许IP访问宽带IP的策略。
⑤?为了理解上面代码的意义,我们用浏览器下的防火墙策略作对比。本地策略与防火墙策略最大的不同是,本地策略只有一个接口,而防火墙策略有两个接口。
⑥?再用命令创建一条策略,源地址为所有,动作为拒绝,也就是拒绝所有对宽带IP?UDP 500端口的访问,这样就可以拒绝非指定IP的IPsec了。
⑦?用Show命令查看本地策略,只有我们用命令创建的两条本地策略。
?
下面我们来验证一下,这两条本地策略是否有效。
①?总部宽带IP地址是183.14.25.233。
②?对比一下本地策略里的目标IP地址对象,是一样的。
③?再查看一下分公司80E的宽带IP,是113.90.173.71。
④ 对比一下本地策略里的源IP地址对象,也是一样的。
⑤?从分公司80E到总部601E的IPsec是正常可以连接的。
⑥?我们可以感觉到似乎本地策略的允许通过在起作用,但是拒绝策略有没有起作用象好并不明显。我们用另一种方式再次验证一下。总部宽带接口协议启用了Ping,是可以远程Ping通的。
⑦?我们再次利用现有的地址对象,创建一条本地策略,不允许指定的IP去Ping总部宽带公网IP。
⑧?仔细对比可以看到,本地策略默认的动作是拒绝。
? ⑨?相同的环境下再次Ping总部宽带IP,Ping不通了,原因是已经被本地策略阻断了。
? 通过上面的示例,我们想想是不是还能再做些什么?比如建立一个黑名单IP地址组,禁止访问我们的宽带接口。
