IP 正在通过防火墙,尽管它在禁止列表中

网络工程 防火墙 加强 财富网
2022-02-24 14:00:36

我正面临着疲惫的场景。我们在 DMZ 中有一个 SIP 网关,昨天我观察到恶意流量从 212.xx209 IP 到达 SIP 网关。我立即在防火墙中禁止了这个 IP,这样防火墙本身就拒绝了流量,但它在中间被通过了。

恶意流量来自所有被禁止的 IP,但我不明白为什么中间会被允许?

此问题与 SIP 流量有关。我们正在使用固件 v5.6.4 的 Fortigate 100D

PFA封禁IP列表和日志,让你看清楚场景。

禁止IP列表

防火墙日志

请帮助我理解这一点。

1个回答

您需要检查为接受的连接应用了哪个策略的转发流量日志。如果您没有看到策略列,则需要将其添加到显示中。

策略按严格顺序应用,首先应用从上到下的匹配。很可能,您需要重新制定您的政策或完善之前过于宽泛的ACCEPT政策。

对于 SIP 网关连接,我只接受它所在的单个定义的 IP 地址或子网。

其它你可能感兴趣的问题
上一篇为什么 SPAN 会话中不显示多播帧?(在 Catalyst 2960 上) 下一篇SNMP 在特定端口上返回奇怪的“发送/接收比特”值,为什么?