FortiGate 특정 Source IP SSLVPN 연결 차단

FortiGate는 SSLVPN 기능이 무료로 제공되기에, 많은 곳에서 SSLVPN 기능을 활용한다.

( Software 7.6.X 버전부터는 유료.... 라이선스가 필요하다. )

 

이 게시글은 FortiGate SSLVPN 기능에서 특정 Source IP는 차단하고 나머지는 허용하는 방법에 대한 내용이다.

방법은 아래와 같다.

 

차단할 IP에 대해 객체 또는 그룹 생성 후

// IP 객체 생성
config firewall address
    edit "192.168.12.226/32"
        set subnet 192.168.12.226 255.255.255.255
    next
end


// 그룹 객체 생성
config firewall addrgrp 
    edit "SSLVPN_Deny_Group"
       	set member "192.168.12.226/32"
    next
end

 

SSLVPN의 source-address-negate 기능을 활성화시켜 생성한 객체를 지정해 주면 끝난다.

source-address-negate은 CLI를 통해서만 설정할 수 있다.

config vpn ssl settings 
     set source-address-negate enable 
     set source-address SSLVPN_Deny_Group 
end

 

결과는 아래와 같다.

 

지정한 192.168.12.226 IP는 연결 차단, 나머지 IP는 허용

Source 192.168.12.226 IP 차단

나머지 Source IP 허용

 

참고 문서 :

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-block-SSL-VPN-Connection-from-a-certain/ta-p/206883