手把手教你用FortiGate本地入向策略精准防御海外IP扫描攻击
当FortiGate防火墙暴露在公网时,管理端口往往成为黑客的"重点关照对象"。我曾在一次安全审计中发现,某企业防火墙的WAN口每天要承受超过2万次来自特定国家的扫描尝试——其中大部分是寻找HTTPS和SSH弱密码的暴力破解。这种持续骚扰不仅消耗设备资源,更可能成为真正攻击的前奏。
传统安全策略通常聚焦于保护内网服务器,却忽视了防火墙自身接口的防护。本文将揭示如何利用FortiGate鲜为人知的**本地入向策略(Local-In Policy)**功能,配合地理地址对象(Geo-IP)构建第一道防线。与常规的虚拟服务器防护策略不同,这种方法直接在网络层阻断恶意流量,无需消耗会话表资源。
1. 为什么需要本地入向策略?
防火墙管理接口暴露在公网时,你会从日志中频繁看到这类记录:
id=20085 trace_id=12 func=check_ippool_type msg="Denied by IP pool policy" src=192.0.2.1 dst=203.0.113.1 proto=6 sport=54132 dport=443这些扫描尝试通常具有三个特征:
- 源IP集中:70%以上来自少数几个国家的数据中心
- 行为模式固定:针对443/tcp(HTTPS)、22/tcp(SSH)等管理端口
- 时间分布规律:往往集中在UTC时间凌晨时段
1.1 常规防护的局限性
多数管理员会采用两种传统防御方式:
| 防御方式 | 优点 | 缺点 |
|---|---|---|
| 虚拟IP映射策略 | 可细化到具体服务 | 需建立完整会话,消耗资源 |
| 全局黑名单 | 简单直接 | 难以应对IP轮换攻击 |
而本地入向策略工作在包过滤层,具有独特优势:
- 前置拦截:在建立会话前丢弃数据包
- 低开销:不占用会话表条目
- 精确控制:可针对特定接口和协议
1.2 地理地址对象的实战价值
FortiGuard维护的IP地理位置数据库包含超过40亿个IP的精准定位。通过创建USA等地理地址对象,我们可以实现:
config firewall address edit "Geo_USA" set type geography set country "US" next end注意:地理定位精度取决于IP分配机构的注册信息,对部分云服务IP可能存在误差
2. 实战配置:四步构建防护体系
2.1 启用隐藏功能模块
本地入向策略默认不显示在GUI中,需先激活:
config system global set gui-local-in-policy enable end刷新Web界面后,在策略与对象 > 本地入向策略中可见新菜单。
2.2 创建地理地址对象组
建议创建复合型地址组提升灵活性:
config firewall addrgrp edit "HighRisk_Countries" set member "Geo_USA" "Geo_Russia" "Geo_NK" next end2.3 CLI精准配置策略
通过SSH登录防火墙执行:
config firewall local-in-policy edit 1 set intf "wan1" set srcaddr "HighRisk_Countries" set dstaddr "all" set service "HTTPS" "SSH" "PING" set schedule "always" next end关键参数说明:
intf:指定外部接口(如wan1)service:支持协议/端口组合action:默认为deny无需显式设置
2.4 验证策略有效性
使用多地域代理服务器测试:
# 国内节点测试(应通过) curl -vk https://your.firewall.ip # 海外节点测试(应被拦截) curl -vk https://your.firewall.ip同时检查本地日志:
diagnose debug flow filter addr 192.0.2.1 diagnose debug flow trace start 1003. 高级调优技巧
3.1 策略优先级管理
本地策略遵循自上而下的匹配顺序,可通过move命令调整:
config firewall local-in-policy move 1 before 2 end3.2 精细化服务控制
如需放行特定IP的管理访问:
config firewall local-in-policy edit 2 set intf "wan1" set srcaddr "Trusted_Admin_IPs" set dstaddr "all" set service "HTTPS" "SSH" set action accept next end3.3 日志与监控配置
启用详细日志记录:
config firewall local-in-policy edit 1 set logtraffic enable next end通过日志分析攻击趋势:
execute log filter category 3 execute log filter field srcaddr HighRisk_Countries execute log display4. 防御效果评估与优化
部署一周后,通过以下命令统计拦截效果:
diagnose firewall iprope list | grep local-in典型优化方向包括:
- 误报处理:对云服务IP添加例外
- 性能调优:限制每秒匹配次数
- 规则精简:合并相似策略条目
在某个客户案例中,这套方案将防火墙CPU利用率从平均45%降至18%,且完全阻断了暴力破解尝试。关键在于持续监控和迭代——我建议每月审查一次地理地址组的成员列表,因为IP分配情况会动态变化。
