SSL Inspection에서 FQDN을 이용하여 예외처리 할 수 있다.
이 예외처리가 Flow-based Inspection과 Proxy-Based Inspection에 따라 조금 다르게 동작한다.
- Flow-based Inspection
- SSL 예외처리는 도메인 기반이다.
- SNI가 FQDN object에 설정된 도메인과 일치하는 경우에만 예외처리 된다.
- SNI를 사용할 수 없는 경우 서버 인증서의 CN이 사용 된다.
- Proxy-Based Inspection
- SSL 예외처리는 IP 기반이다.
- FQDN 및 wildcard FQDN 주소는 IP 주소로 처리된다.
- 동일한 IP로 여러 Domain이 연결된 경우, 다른 도메인도 예외 처리 될 수 있다.
예를 들어 "ebt1.etevers.com" 과 "ebt2.etevers.com"가 동일한 IP를 사용할 경우, 오직 "ebt1.etevers.com"만 예외처리 하려한다.
Proxy-based에서는 다음의 방법으로 가능하다.
"ebt1.etevers.com"를 category override로 정의 하고, 해당 category 예외처리하는 방법이다.
'FortiGate > Security Profile' 카테고리의 다른 글
| 여러 웹 사이트가 동일한 하나의 IP를 사용하는 경우 Web filter 동작 (0) | 2025.03.19 |
|---|---|
| Threat feed 제약사항(최대 라인, 파일 사이즈등) 변경 (0) | 2025.01.06 |
| DNS translation 기능 (0) | 2024.12.09 |
| FortiGuard Web Filter 장애 (0) | 2024.11.25 |
| Security Profile 처리 순서 (0) | 2024.11.21 |
댓글