Назад | Перейти на главную страницу

подержанный fortigate 40c: syslogd (также память) тоже регистрирует «трафик разрешен»: это нормально?

Прежде чем я перейду к приобретению настоящего нового устройства, у меня есть старый fortinet 40c, который я изо всех сил пытался настроить. Все, что мне нужно для этого сегмента, - это базовый брандмауэр, поэтому я создал необходимые правила, которые разрешают исходящий трафик только в определенные сети и порты, с последующим правилом «запретить все». Теперь мне нужны мгновенные уведомления, если что-то попадает в правило «запретить все» с включенным «журналом нарушения правил трафика», поэтому я решил использовать «config log syslogd» для мгновенного получения этих пакетов с нарушением (если таковые имеются). Однако, возясь со всеми опциями, которые я нашел там в руководстве, он по-прежнему рассылает мне спам буквально на каждый разрешенный пакет с сообщением «трафик разрешен».

Я подумал, может быть, я смогу обновить прошивку и посмотреть, поможет ли это, но служба поддержки Fortigate не хотела об этом слышать (предыдущий клиент все еще владеет учетной записью с этим серийным номером).

Я безрезультатно просматривал веб- и cli-интерфейсы. Он по-прежнему спамит меня, а также регистрирует все разрешенные пакеты в журнале памяти вместе с запрещенными, для которых я также создал специальное правило, перед основным «запретить все», с нарушением журнала трафика ВЫКЛЮЧЕНА, он все еще регистрирует это тоже!

Это как должно работать? Это кажется неправильным, почему он все еще регистрирует все, включая трафик, попадающий в правило запрета, с отключенным журналированием? Я хочу, чтобы он запускал сообщение системного журнала только при обнаружении любого пакета, который попадает в правила с включенным «нарушением журнала трафика», чтобы я мог немедленно исследовать.

Да, я выполнил перезагрузку несколько раз после изменения настроек «config log setting», но ничто особенно не помогло сузить количество регистрируемых событий до тех, которые явно отмечены для регистрации. Все еще хочет все записывать.

Да, также верно, что сообщения «запретить» имеют серьезность 4 (предупреждение), а не 5 (уведомление) для сообщений «разрешен трафик», но эти «разрешенные» по-прежнему бесполезны, и я бы хотел предотвратить их регистрацию. Я дважды проверил в CLI, что в правилах «разрешить» есть «установить logtraffic * disable». Понятия не имею, почему он все еще зарегистрирован.

Может быть, кто-нибудь также будет любезен предоставить мне прошивку именно для этой коробки?

Любая помощь приветствуется!