Configurar fortigate Molidar o tráfego – 51 segurança

Esta postagem é para gravar notas relacionadas à modelagem de tráfego

Criando o modelador de tráfego para fins específicos

Crie uma entrada de modelador de trânsito em Políticas e objetos -> modelagem de tráfego -> Shapers de tráfego -> Crie novo.

Habilite o modelador de tráfego para determinada regra do firewall SSL-VPN

Basicamente, poderemos permitir a política de modelagem de tráfego em uma regra de política de firewall do SSL VPN, que pode nos fazer limitar a taxa de transferência de determinado usuário.

Por padrão, na política de firewall, a opção de modelagem de tráfego está emvisível. Esta opção só aparecerá após a aplicação do modelador de tráfego na política respeitada com os seguintes comandos da CLI:

Política de firewall de configuração

Editar

Defina o Shaper <> <- para upload.

Defina o Shaper-Reverso do Tráfego <> <- para download.

fim

Depois que as alterações acima forem concluídas da CLI, a opção de modelagem de tráfego estará disponível na GUI na mesma política.

NETSEC-FGT # config firewall policy 

NETSEC-FGT (policy) # edit 19

NETSEC-FGT (19) # show
config firewall policy
    edit 19
        set name "FortiClient-2-SJC"
        set uuid 1c0c50be-279c-51ef-edd3-5eedaae960c9
        set srcintf "ssl.root"
        set dstintf "NETSEC-2-ATT-SJC"
        set action accept
        set srcaddr "all"
        set dstaddr "NETSEC-2-ATT_remote"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set nat enable
        set ippool enable
        set poolname "sslvpn-pool"
        set groups "Remote Users"
        set traffic-shaper "low-priority"
        set traffic-shaper-reverse "low-priority"
    next
end

NETSEC-FGT (19) #

Após a política de modelador de tráfego ativado, a GUI da web ficará assim:

Verificando qual modelador de tráfego é usado

https://community.fortinet.com/t5/fortigate/technical-tip-how-to-configure-and-check-which-traffic-haper-is/ta-p/197885

Configuração

Política de modelagem de tráfego é usada:

#Config Firewall Shaping-Policy
Editar 1
Defina o serviço “tudo”
Defina o dstintf “Port1”
Definir o xele
Defina o tráfego-xadre
Defina Srcaddr “All”
definir dstaddr “tudo”
próximo
fim

Moldura de tráfego configurada em uma política IPv4:

Política de firewall #Config
Editar 3
Defina o nome “Permitir internet”
SET UUID 602779C8-DAD4-51E9-F897-36E313F6A3BC
Defina Srcintf “Port2”
Defina o dstintf “Port1”
Defina Srcaddr “All”
definir dstaddr “tudo”
Definir ação aceita
Defina o cronograma “sempre”
Defina o serviço “tudo”
Defina o LogTraffic All
Definir FSSO desativar
Definir o Estalar Tráfego “500 KBPs compartilhados”
Defina o Shaper-Share-Share-Share-Reverso “500 Kbps compartilhado”
Definir NAT Ativar
próximo
fim

Filtrar para verificar

Use o filtro a seguir para exibir sessões:

#Diagnose System Session Filter SRC 192.168.88.1
#diagnose System Session Filter Dport 443

Então, para exibir a sessão, use o seguinte comando:

#diagnose System Session List
Informações da sessão: proto = 6 proto_state = 01 duração = 79 Expire = 3596 Timeout = 3600 sinalizadores = 00000000 Sockflag = 00000000 sockport = 0 av_idx = 0 uso = 4
Origin-Shaper = Shared-1M-PIPE PRIO = 2 GARANTIA 0BPS MAX 131072BPS Tráfego 364bps Drops 520b
Responder-Shaper = Shared-1M-PIPE PRIO = 2 GARANTIA 0BPS MAX 131072BPS Tráfego 364bps Drops 198404b
per_ip_shaper =

Da saída, “compartilhado-1m-tuboShaper é usado. Isso significa que esta sessão será efetivamente moldada usando este modelador.
Em conclusão, as políticas de modelagem de tráfego têm precedência sobre os formadores de tráfego configurados em uma política de IPv4.

Relacionado

Solana Token Creator

Luis

Luis es un experto en Ciberseguridad, Computación en la Nube, Criptomonedas e Inteligencia Artificial. Con amplia experiencia en tecnología, su objetivo es compartir conocimientos prácticos para ayudar a los lectores a entender y aprovechar estas áreas digitales clave.