8008/8010/8015/8020 端口

问题现象

• 当在防火墙策略中应用 UTM Profiles（例如 Web Filter、AntiVirus、Application Control）后，在进行端口扫描或 PCI 合规检测（如外部安全审计）时，可能会发现 FortiGate 意外开放了一些非业务端口（8008/8010/8015/8020）。
• 即使目标网络内并不存在对应目的 IP，只要探测报文（TCP SYN）能够匹配到带 UTM 的策略，FortiGate 可能会对 8008/8010/8015/8020 端口返回 SYN ACK，使扫描结果显示这些端口为开启状态。
• 即使这些端口并未在防火墙策略中显式放行，扫描工具仍可能检测到端口状态异常，从而导致合规检测失败。

相关信息

该现象主要体现在端口探测时 FortiGate 的响应行为，导致合规扫描工具/安全基线检查看到“端口开放”。即便扫描结果显示端口为开启状态，流量并不会通过策略在这些端口“泄露/放通”，不会存在安全问题。

问题原因

当防火墙策略启用了 Web Filter/AV 等 UTM 配置文件后，FortiGate 可能会为以下功能开启临时监听内部端口，用于认证信息交互和替换页面内容传输，这些端口并非用于业务流量转发，而是 FortiGate 内部机制所需。

• Authentication Override（当 UTM 动作为“认证”时的认证跳转页面）
• Web Filter Replacement Message（阻断提示页面）

解决方法

如果出于安全合规要求，这些端口不能呈现开启状态，可通过以下配置让 FortiGate 关闭相关端口响应：

VDOM关闭状态下的命令：
config webfilter fortiguard
    set close-ports enable
end

VDOM开启状态下的命令：
config global
    config webfilter fortiguard
        set close-ports enable
    end
end

启用close-ports的影响

受影响的功能：

• Web Filter 中 FortiGuard 分类的“警告（warning）”和“认证（authenticate）”动作将无法生效。
• 手动“临时放行/覆盖（override）被阻止的分类”功能将失效。
• Web 过滤触发的 替换页面（阻断页面）将不显示 Fortinet 的 Logo。

不受影响的功能：

• Web Filter 中 FortiGuard 分类的“屏蔽（block）”动作仍然有效。
• 本地 URL Filter（白名单/黑名单） 仍然生效。

配置建议

• 对于对合规性（PCI/安全扫描）要求高的生产环境，建议开启。
• 如果依赖用户认证覆盖或警告页面功能，请谨慎评估。