通过FortiGate 的“外部连接器(External Connectors)”功能,实时联动 AbuseIPDB 威胁情报库。通过构造动态 API 请求,防火墙可自动获取并更新全球恶意 IP 黑名单,实现对攻击源的毫秒级自动封禁,有效提升企业边界安全。
准备工作
- 注册一个AbuseIPDB账户
- 在My API 栏目生成一个 API Key
- 设置 API 请求链接
构造如下格式的 URL:
https://api.abuseipdb.com/api/v2/blacklist?plaintext=true&confidenceMinimum=75&limit=131072&key=[YOUR API KEY HERE]
confidenceMinimum:黑名单中包含的最低滥用置信度分数(25-100),建议 ≥75,避免误报。
FortiGate 配置步骤
1. 创建外部连接器 (Threat Feed)
- 登录 FortiGate,进入 Security Fabric > External Connectors
- 点击 Create New,在 Threat Feeds 类别下选择 IP Address。
- 参数配置
- Name: AbuseIPDB_IP_Blacklist
- URL: 粘贴你在第一阶段构造好的 URL
- Refresh Rate: 设置为 60 分钟(避免请求过于频繁导致 API 超限)
2. 验证连接
保存后,观察连接器图标:
- 绿色箭头:连接成功,已获取数据
- 红色/感叹号:检查 URL 是否正确,或防火墙是否有权限访问互联网
- 点击 View Entries:确认列表内已填充大量恶意 IP
3. 应用安全策略
获取到数据后,必须通过策略才能生效:
- 进入 Policy & Objects > Firewall Policy
- 创建拦截策略:
- Incoming Interface: WAN (或外部接口)。
- Source: 选择刚才创建的对象 AbuseIPDB_IP_Blacklist
- Destination: All
- Action: DENY
- 排序:将该策略 移至顶端(Top),确保流量在匹配放行策略前先经过黑名单过滤。
发表回复