手把手教你用FortiGate本地入向策略精准防御海外IP扫描攻击当FortiGate防火墙暴露在公网时管理端口往往成为黑客的重点关照对象。我曾在一次安全审计中发现某企业防火墙的WAN口每天要承受超过2万次来自特定国家的扫描尝试——其中大部分是寻找HTTPS和SSH弱密码的暴力破解。这种持续骚扰不仅消耗设备资源更可能成为真正攻击的前奏。传统安全策略通常聚焦于保护内网服务器却忽视了防火墙自身接口的防护。本文将揭示如何利用FortiGate鲜为人知的**本地入向策略(Local-In Policy)**功能配合地理地址对象(Geo-IP)构建第一道防线。与常规的虚拟服务器防护策略不同这种方法直接在网络层阻断恶意流量无需消耗会话表资源。1. 为什么需要本地入向策略防火墙管理接口暴露在公网时你会从日志中频繁看到这类记录id20085 trace_id12 funccheck_ippool_type msgDenied by IP pool policy src192.0.2.1 dst203.0.113.1 proto6 sport54132 dport443这些扫描尝试通常具有三个特征源IP集中70%以上来自少数几个国家的数据中心行为模式固定针对443/tcp(HTTPS)、22/tcp(SSH)等管理端口时间分布规律往往集中在UTC时间凌晨时段1.1 常规防护的局限性多数管理员会采用两种传统防御方式防御方式优点缺点虚拟IP映射策略可细化到具体服务需建立完整会话消耗资源全局黑名单简单直接难以应对IP轮换攻击而本地入向策略工作在包过滤层具有独特优势前置拦截在建立会话前丢弃数据包低开销不占用会话表条目精确控制可针对特定接口和协议1.2 地理地址对象的实战价值FortiGuard维护的IP地理位置数据库包含超过40亿个IP的精准定位。通过创建USA等地理地址对象我们可以实现config firewall address edit Geo_USA set type geography set country US next end注意地理定位精度取决于IP分配机构的注册信息对部分云服务IP可能存在误差2. 实战配置四步构建防护体系2.1 启用隐藏功能模块本地入向策略默认不显示在GUI中需先激活config system global set gui-local-in-policy enable end刷新Web界面后在策略与对象 本地入向策略中可见新菜单。2.2 创建地理地址对象组建议创建复合型地址组提升灵活性config firewall addrgrp edit HighRisk_Countries set member Geo_USA Geo_Russia Geo_NK next end2.3 CLI精准配置策略通过SSH登录防火墙执行config firewall local-in-policy edit 1 set intf wan1 set srcaddr HighRisk_Countries set dstaddr all set service HTTPS SSH PING set schedule always next end关键参数说明intf指定外部接口(如wan1)service支持协议/端口组合action默认为deny无需显式设置2.4 验证策略有效性使用多地域代理服务器测试# 国内节点测试应通过 curl -vk https://your.firewall.ip # 海外节点测试应被拦截 curl -vk https://your.firewall.ip同时检查本地日志diagnose debug flow filter addr 192.0.2.1 diagnose debug flow trace start 1003. 高级调优技巧3.1 策略优先级管理本地策略遵循自上而下的匹配顺序可通过move命令调整config firewall local-in-policy move 1 before 2 end3.2 精细化服务控制如需放行特定IP的管理访问config firewall local-in-policy edit 2 set intf wan1 set srcaddr Trusted_Admin_IPs set dstaddr all set service HTTPS SSH set action accept next end3.3 日志与监控配置启用详细日志记录config firewall local-in-policy edit 1 set logtraffic enable next end通过日志分析攻击趋势execute log filter category 3 execute log filter field srcaddr HighRisk_Countries execute log display4. 防御效果评估与优化部署一周后通过以下命令统计拦截效果diagnose firewall iprope list | grep local-in典型优化方向包括误报处理对云服务IP添加例外性能调优限制每秒匹配次数规则精简合并相似策略条目在某个客户案例中这套方案将防火墙CPU利用率从平均45%降至18%且完全阻断了暴力破解尝试。关键在于持续监控和迭代——我建议每月审查一次地理地址组的成员列表因为IP分配情况会动态变化。