SSL VPN 有鎖地區性IP,所以有可能同仁去其他國家可能會無法連線
會這樣設定的原因是,因為VPN帳號是整合AD且啟用MFA,只是還是有無聊人士會try帳號
當猜到的帳號是有效的帳號密碼錯誤,這樣就可能AD帳號會鎖定,所以盡量減少被try的範圍。
但是當同仁無法連線並提供當時IP給IT時可以再fortinet 上確定一個該IP地理位置
指令如下
diagnose geoip geoip-query 37.248.246.167
查到後可以在規則上設定允許,雖然比較麻煩但是還是降低try的範圍比較好

榮哥,我們公司的MAIL SERVER有和AD整合,也是一樣會有無聊人士會try帳號,AD帳號就會鎖定,看了MAIL 的SYSLOG,發現那些try帳號的IP都不一樣,會一直換,也沒有什麼規律性,時間 次數 IP,try的方式也不一定是WEB MAIL,我們的MAIL SERVER只能針對同一個IP在一定時間內登入失敗就封鎖該IP,向您請教,除了限制國家外,您覺得還有什麼方式可以防範呢?
您好
我也差不多是這樣處理,或許再搭配firewall IPS 等功能在強化一些