我正在尝试了解一些 Fortinet 防火墙日志,但我不确定我是否完全了解防火墙记录的方向(传入与传出)
例如:
srcip=7.7.7.7 dstip=192.168.10.50 srcport=45845 dstport=80 srcintf="port5" srcintfrole="wan" dstintf="port10" dstintfrole="lan" proto=6 direction="outgoing”
我不确定为什么这会被归类为传出而不是传入。由于流量似乎是从外部来源发起的。不会是传入流量吗?或者是因为它命中的最后一个接口是 LAN 接口并且它从那里“传出”?
Fortigate 防火墙将与发起方的每个连接记录为源,即。对于正常的 Internet 访问,LAN 客户端(启动器)始终是源。对于虚拟 IP/端口转发,WAN 客户端是源。通常,这并不能反映数据流的方向。
您的示例是从 WAN 客户端 ( srcintfrole) 到 LAN 服务器 ( dstintfrole)的虚拟 IP/转发端口。
我猜想“传出”表示日志项的实际数据流方向 - 奇怪的是,我在我们的 100D (v5.6.5) 上没有看到这一列......
启用 IPS 后,方向字段会告诉您检测到攻击的方向。
如果会话被发起并且发起者攻击目的地,则方向为传出。
如果启动会话并且源受到来自目标服务器的攻击,则方向为传入。
从外部网络发起的连接到达防火墙的出口接口并横向于防火墙的 LAN 接口.. 被视为传入流量或入站流量..
从内部网络发起的连接击中防火墙的入口接口并横向到 ISP 链路连接的出口接口.. 视为出站流量或出站流量..