Fortinet GEOIP 查詢

SSL VPN 有鎖地區性IP,所以有可能同仁去其他國家可能會無法連線

會這樣設定的原因是,因為VPN帳號是整合AD且啟用MFA,只是還是有無聊人士會try帳號

當猜到的帳號是有效的帳號密碼錯誤,這樣就可能AD帳號會鎖定,所以盡量減少被try的範圍。

但是當同仁無法連線並提供當時IP給IT時可以再fortinet 上確定一個該IP地理位置

指令如下

diagnose geoip geoip-query 37.248.246.167

Fortinet-geoip-query

查到後可以在規則上設定允許,雖然比較麻煩但是還是降低try的範圍比較好



本篇瀏覽人數: 372
分類: Fortigate篇。這篇內容的永久連結

在〈Fortinet GEOIP 查詢〉中有 2 則留言

  1. BEYOND表示:

    榮哥,我們公司的MAIL SERVER有和AD整合,也是一樣會有無聊人士會try帳號,AD帳號就會鎖定,看了MAIL 的SYSLOG,發現那些try帳號的IP都不一樣,會一直換,也沒有什麼規律性,時間 次數 IP,try的方式也不一定是WEB MAIL,我們的MAIL SERVER只能針對同一個IP在一定時間內登入失敗就封鎖該IP,向您請教,除了限制國家外,您覺得還有什麼方式可以防範呢?

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *