有没有办法配置 fortinet 防火墙(例如,运行 FortiOS 5 或 FortiOS 4 的 fortigate600),以便它不会为定向到防火墙自己的接口的 ping 生成日志条目,但仍然为隐式拒绝的流量生成日志条目?
在这两种情况下,日志条目都将 id 为“0”的策略指定为生成日志消息的策略。
在 ping 成功的情况下,日志中的“status”设置为“accept”,VDOM 名称设置为“dstintf”。
我试图创建防火墙规则来匹配定向到本地防火墙接口的 ping 流量,目的是显式禁用日志记录,但我未能提出能够匹配流量的规则。此外,还有一个选项可以禁用隐式规则 0(策略底部的隐式“拒绝”规则)的日志记录,但这也会禁用被拒绝流量的日志记录,这不是我想要的。
Ping 防火墙接口(用于确定防火墙接口可用)在某些情况下是依赖的,并且不能总是被设计掉。(例如,一些使用负载平衡器的设置)。此外,能够配置网络设备以避免生成不需要的日志消息总是可取的,以减少发送到外部日志服务器(Splunk 等)的“噪音”量,在我们的例子中,记录关于这些 '心跳 ping' 只是被认为是噪音。
对于运行 FortiOS 5.0 或更高版本的 Fortigate 防火墙,可以使用 CLI 专门禁用定向到防火墙本身的已接受流量的日志:
使用 SSH 登录防火墙,然后运行以下命令(假设防火墙有一个名为“root”的 VDOM)
config vdom
edit root
config log settings
set local-in-allow disable
这必须在每个 VDOM 的基础上完成。
完成此操作后,防火墙会继续记录所有被拒绝的流量,而不记录已接受的 ping、SNMP 监控查询等。
Fortinet 在这里有更多信息:http : //docs-legacy.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_log.17.13.html
对于运行早于 5.0 的 FortiOS 的 Fortigate 防火墙,我想最好的建议是升级到 5.0 或更新版本,然后应用上面建议的设置。在 FortiOS 5.0 之前,似乎没有“设置本地允许禁用”功能。
仅允许从特定地址 ping 的策略,然后是拒绝来自任何来源的 ping 的策略。尚未对其进行测试,但如果它属于策略,则不应达到隐式规则。
另一种选择是限制特定主机的管理员登录。您可以将管理员登录限制为需要 ping 的所有地址和需要访问 fortigate 的地址。如果其他人尝试 ping,它将在到达策略之前被阻止。