Anti-Spoofing¶
攻擊者常偽造來源 IP(spoofing)冒充內網主機。Anti-Spoofing 是 Check Point 的第一道防線:檢查「封包的來源 IP,是不是真的該從這個介面進來」。
原理¶
每個介面都有一個「後方有哪些網段」的拓樸定義。Anti-Spoofing 就用它來驗證:
- 外部介面收到一個來源是內網 IP 的封包 → 不合理 → 視為偽冒,擋掉。
- 內部介面收到一個來源屬於它後方網段的封包 → 合理 → 放行。
graph LR
A[外部介面收到封包<br/>來源 = 10.0.0.5 內網IP] --> B{10.0.0.5 屬於<br/>這個介面後方嗎?}
B -->|否| C[判定偽冒 → Drop]介面拓樸(Leads To)¶
在 Gateway 物件的每個介面設定「這個介面通往哪裡」:
- External(Internet):外部 / 網際網路。
- This Network(Internal),子選項:
- Network defined by routes(R80.10+ 推薦):Gateway 依路由表自動算出介面後方拓樸,最省維護。
- Network defined by interface IP and Net Mask:用介面 IP/遮罩推算。
- Specific:自訂 Network / Host / Range / Group。
- Interface leads to DMZ。
用『Network defined by routes』最省事
路由變動時拓樸自動跟著更新,不用每次手動改介面後方網段,最不容易漏。
Action 與 Tracking¶
| 設定 | 說明 |
|---|---|
| Prevent | 丟棄偽冒封包(正式防護) |
| Detect | 放行但記錄(上線初期建議先用,學習拓樸、避免誤擋合法流量) |
| Spoof Tracking | Log(預設)/ Alert / None |
上線節奏
新環境或剛改拓樸時,先設 Detect 跑一段時間,從 Log 看有沒有合法流量被判偽冒(通常是拓樸 / 路由沒設對),確認乾淨後再切 Prevent。直接 Prevent 容易把非對稱路由的正常流量擋掉。
例外¶
介面設定有 Don't check packets from,可指定一個代表「合法但拓樸算不到」的網段物件,排除其 Anti-Spoofing 檢查(例如某些特殊路由來源)。
與 NAT 的互動¶
Anti-Spoofing 是依封包實際的來源 IP 判斷。當有 NAT 時,要注意檢查發生在 NAT 的哪一側、拓樸是否涵蓋了轉換後的位址,否則可能誤擋。設定複雜 NAT 時,搭配 fw monitor 確認封包在哪一點被丟。
小結¶
- Anti-Spoofing 檢查「來源 IP 是否該從這個介面進來」,擋偽造來源。
- 介面拓樸用 Network defined by routes 最省維護。
- 先 Detect 觀察、調好拓樸,再切 Prevent。
- 被誤擋多半是拓樸 / 路由沒設對,用 Log + fw monitor 排查。