Hướng dẫn chặn IP theo Quốc Gia/Khu Vực địa lý

Bài viết này hướng dẫn bạn cấu hình Geo IP trên thiết bị tường lửa FortiGate để bảo vệ máy chủ khỏi các cuộc tấn công từ các quốc gia mà doanh nghiệp của bạn không có chi nhánh cơ sở tại đó.

THỰC HIỆN CẤU HÌNH
Bước 1: Tạo một Address Object mới:
- Trên GUI, vào Policy & Object > Addresses, sau đó chọn 'Create' và 'New Address'

​

1. Name: đặt tên cho Address này
2. Type: chọn 'Geography'
3. Country: chọn quốc gia mà bạn muốn chặn​

- Thực hiện lại các bước trên cho tất cả các quốc gia mà bạn muốn chặn. Sau đó, tạo một nhóm các quốc gia cần bị chặn.

Bước 2: Chọn 'Create' và 'New Address Group'

​

Bước 3: Cuối cùng là tạo một Policy cho yêu cầu này.
- Vào trang Policy & Object > IPv4 Policy

1. Tạo policy để chặn traffic từ các quốc gia này tới các nguồn tài nguyên của bạn (như các server trong DMZ) mà bạn cần bảo vệ.​

2. Khi rule được tạo, traffic từ các quốc gia này sẽ bị chặn (việc này chỉ để bảo vệ server, nhưng không chặn internet)​

​

- Nếu dường như chỉ có 1 VIP Policy trên FortiGate khi đó policy nãy sẽ không hoạt động dự đoán. Để hoạt động được đảm bảo trong chính policy này, hãy thêm một lệnh command để ánh xạ nó tới VIP hoặc thêm Destination là tất cả các VIP bạn có vào thay vì 'all'.


Phương án 1: Kích hoạt match-vip trong Policy chặn Geo IP ở trên

config firewall policy

edit <policy-id> //Ở đây policy ID có thể là "Block Geoloction Traffic" như đã thấy trong hình trên.

set match-vip enable​

end​

Phương án 2: Thêm tất các các VIP mà bạn đã sử dụng trong firewall FortiGate:

​