使用 AbuseIPDB 与 FortiGate 打造全自动威胁情报拦截系统

通过FortiGate 的“外部连接器(External Connectors)”功能,实时联动 AbuseIPDB 威胁情报库。通过构造动态 API 请求,防火墙可自动获取并更新全球恶意 IP 黑名单,实现对攻击源的毫秒级自动封禁,有效提升企业边界安全。

准备工作

  • 注册一个AbuseIPDB账户
  • 在My API 栏目生成一个 API Key
  • 设置 API 请求链接

构造如下格式的 URL:

https://api.abuseipdb.com/api/v2/blacklist?plaintext=true&confidenceMinimum=75&limit=131072&key=[YOUR API KEY HERE]

confidenceMinimum:黑名单中包含的最低滥用置信度分数(25-100),建议 ≥75,避免误报。

FortiGate 配置步骤

1. 创建外部连接器 (Threat Feed)

  • 登录 FortiGate,进入 Security Fabric > External Connectors
  • 点击 Create New,在 Threat Feeds 类别下选择 IP Address。
  • 参数配置
    • Name: AbuseIPDB_IP_Blacklist
    • URL: 粘贴你在第一阶段构造好的 URL
    • Refresh Rate: 设置为 60 分钟(避免请求过于频繁导致 API 超限)

2. 验证连接

保存后,观察连接器图标:

  • 绿色箭头:连接成功,已获取数据
  • 红色/感叹号:检查 URL 是否正确,或防火墙是否有权限访问互联网
  • 点击 View Entries:确认列表内已填充大量恶意 IP

3. 应用安全策略

获取到数据后,必须通过策略才能生效:

  • 进入 Policy & Objects > Firewall Policy
  • 创建拦截策略:
    • Incoming Interface: WAN (或外部接口)。
    • Source: 选择刚才创建的对象 AbuseIPDB_IP_Blacklist
    • Destination: All
    • Action: DENY
  • 排序:将该策略 移至顶端(Top),确保流量在匹配放行策略前先经过黑名单过滤。

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注