FortiGate 配置阻挡非法ISAKMP 密钥交换.PDF

FortiGate 配置阻挡非法ISAKMP 密钥交换 版本 1.1 时间 2015 年9 月 作者 陈敏俊 (mjchen@) 测试版本 FortiOS v5.2 MR0 状态 草稿 目 录 目的3 设备配置3 FortiGate 配置步骤3 测试结果4 目的 在建立IPSEC VPN 时会使用到ISAKMP （udp 500 or 4500 ），在公网上暴露可能有 安全风险，如ISAKMP DOS 攻击。 通过FortiGate 的local policy 可以阻挡非授权的isakmp 设备配置 FortiGate 配置步骤 通过命令行配置local-in-policy 新建防火墙对象 config firewall address edit allowIP 客户端IP 地址 set subnet x.x.x.x 55 next edit waninterfaceip 互联网接口IP 地址 set subnet y.y.y.y 55 end 新建ISAKMP 服务（udp 500 ） config firewall service custom edit isakmp set tcp-portrange 0 set udp-portrange 500 end 配置local-in-policy 允许可信IP 使用ISAKMP config firewall local-in-policy edit 1 set intf WAN1 set srcaddr allowIP set dstaddr waninterfaceip set action accept set service isakmp set schedule always set status enable next edit 2 set intf WAN1 set srcaddr all set dstaddr waninterfaceip set action deny set service isakmp set schedule always set status enable next end PS：local-in-policy 不能阻止已经配置过的IPSEC 对端地址 测试结果 FGT90D3 # id=20085 trace_id=25 func=print_pkt_detail line=4373 msg=vd-root received a packet(proto=17, 6:500-3:500) from wan1. id=20085 trace_id=25 func=init_ip_session_common line=4522 msg=allocate a new session-001cd10f id=20085 trace_id=25 func=fw_local_in_handler line=382 msg=iprope_in_check() check failed on policy 2, drop id=20085 trace_id=26 func=print_pkt_detail line=4373 msg=vd-root received a packet(proto=17, 6:500-3:500) from wan1. id=20085 trace_id=26 func=init_ip_session_common line=4522 msg=allocate a new session-001cd11d id=20085 trace_id=26 func=fw_local_in_handler line=382 msg=iprope_in_check() check failed on policy 2, drop