본문 바로가기

전체 글971

GeoIP 매칭 방법 Geography IP database는 IP address 마다 등록된 위치와 물리적 위치 2가지를 가지고 있다.그런데 한 IP에 대해 등록된 위치와 물리적 위치가 서로 다를수 있다.아래의 예처럼 220.243.219.10의 등록된 위치는 중국(CN)이고 물리적 위치는 캐나다(CA)로 다르게 등록 되어 있다. 이런 경우의 아래의 방화벽 정책에서 Canada GeoIP를 차단 했지만, 등록된 위치를 인지하느냐 물리적 위치를 인지하느냐에 따라 다르게 동작한다.policy_id =12 정책에서 Canada IP를 차단 했지만, 실제로는 policy_id=1을 이용하여 통신이 허용 되었다. 이는 방화벽 정책에서 옵션에 따라 물리적 위치(physical-location) 를 인식하느냐 등록된 위치( regist.. 2025. 4. 30.
v7.2.7 : Syslog 서버로 로그를 전송하지 못하는 문제 v7.2.7 build1577 에서 종종 syslogd 데몬이 crash가 발생하여, FortiGate가 Syslog 서버로 Syslog를 제대로 전송할 수 없는 문제가 일어날 수 있다.이 문제는 v7.2.9, v7.4.4, v7.6.0 이상으로 업그레이드해야 해결 가능하다. 2025. 4. 30.
Local Admin 계정 이름에 .(period) 사용 제한 FortiGate Local 관리자 계정 이름에 .(점)이 들어 가능경우, 펌웨어 버전에 따라 동작이 달라진다.FortiOS v7.4.0 ~ v7.4.4 와 v7.6.0 ~ v7.6.1의 버전에서는 관리자 계정 이름에 .(점)이 들어가는 것을 허용 하지 않는다. 그 외의 버전에서는 .(점)이 들어가는 것을 허용한다. 하지만 .(점)이 admin 계정 이름의 맨 처음에 오는것은 허용하지 않는다. 허용 하는 문자는 a-z, A-Z, 0-9, _, -, . 이다. 2025. 4. 29.
사용하지 않는 정책 확인 FortiGate에서 사용하지 않는 정책을 확인하는 방법이다.지난 90일동안 한번도 사용되지 않는 정책과 생성후 한번도 사용되지 않은 정책등을 표시한다.(v7.6 에서는 메뉴명과 사용하지 않은 정책의 기간이 다르다. )"Policy & Object -> Firewall Policy" 아래에 "Security Rating Issues"을 선택한다.'Unused Policies' 를 선택하면 해당 정책이 강조 표시되며, 마지막으로 사용한 시간을 표시한다.오른쪽 및 왼쪽 버튼을 사용하여 이동 가능하다. v7.6에서는 "Policy & Object -> Firewall Policy" 아래에 "Security Rating Insights"을 선택한다.'Not Recently UsedPolicies' 를 선택하면.. 2025. 4. 21.
admin 계정에 Schedule 설정 FortiGate admin 계정에도 Schedule 설정이 가능하다.Schedule Object를 생성하여 아래와 같이 CLI 명령어로 설정 가능하다. 해당 admin 계정으로 schedulw 외 시간에 로그인하면 아래와 같이 "Authentication failure" 에러가 발생한다.Log에서도 schedule 때문에 로그인 실패를 확인 할 수 있다. 2025. 4. 21.
v7.6.3 : 2GB RAM을 가진 FortiGate의 Memory 최적화 2GB RAM을 가진 FortiGate모델에서 일부 GUI 기능에서 사용되는 메모리를 최적화하여 성능과 안정성을 높혔다.(V7.6.3 New Feature) ■ CLI 명령어 삭제config system global 설정의 gui-rest-api-cache 명령어를 삭제했다.이 명령은 FortiGate에서 REST API 결과 캐싱을 enable/disable 하는 명령어이다. ■ Security Fabric GUI 메뉴 간소화Physical Topology, Logical Topology, Security Rating 메뉴가 삭제 되었다. 2GB RAM의 FortiGate가 Security Fabric Topology를 지원하지 않게 되면서, 업스트림 장치가 2GB 이상을 가진 장치더라도 다운스트림의.. 2025. 4. 18.
FortiOS 7.6.3부터 SSL VPN 터널 모드 지원 안됨 FortiOS 7.6.3부터 SSL VPN 터널 모드가 더 이상 지원되지 않는다.관련 방화벽 정책을 포함한 SSL VPN 터널 모드와 관련된 모든 설정은 이전 버전에서 FortiOS 7.6.3으로 업그레이드되지 않게된다.따라서, FortiOS 7.6.3으로 업그레이드하는 경우 SSL VPN 터널 모드 설정을 IPsec VPN으로 마이그레이션해야 한다. SSL VPN 웹 모드를 사용하는 경우 업그레이드 후에도 Agentless VPN이란 이름으로 설정이 유지된다. FortiGate를 SSLVPN Client로 사용하는 구성도 터널모드이기 때문에 FortiOS 7.6.3으로 업그레이드시 지원되지 않는다.IPsec VPN DialUp으로 변경하여 업그레이드 해야 한다. 2025. 4. 18.