設定Fortient External connectors 整合外部情資惡意IP清單
目前我在使用的有兩個來源
1. https://www.abuseipdb.com/ (AbuseIPDB)
2. https://opendbl.net/lists/tor-exit.list
目前使用的fortinet 版本v7.0.17
必要條件:
1.AbuseIPDB API 帳號 (可以免費申請)
申請後登入,API 部分 建立一組Key後續會使用到
2. Fortinet 版本至少要6.2.0 以後的版本
設定
點選External Connectors => Create New
點選 Threat Feeds => IP Address
設定方式如下圖
Name : AbuseIPDB_IP_Blacklist (自行定義)
URI of external resource : 輸入如下連線字串key=自己的key
https://api.abuseipdb.com/api/v2/blacklist?plaintext=true&key=XXXXXXXXX
取消HTTP basic authentication
Refresh Rat 設定 360
AbuseIPDB 黑名單每小時更新一次,但是免費帳號有限制每天5次查詢
所以建議設定360分鐘 (每6小時一次)
在7.4.X 介面可能有不一樣,不過沒有關係
另一個情資來源設定方式相同可參考下圖
https://opendbl.net/lists/tor-exit.list
參考:
https://www.abuseipdb.com/fortinet
https://www.hksilicon.com/articles/2353706
本篇瀏覽人數: 148
