Geography IP database는 IP address 마다 등록된 위치와 물리적 위치 2가지를 가지고 있다.
그런데 한 IP에 대해 등록된 위치와 물리적 위치가 서로 다를수 있다.
아래의 예처럼 220.243.219.10의 등록된 위치는 중국(CN)이고 물리적 위치는 캐나다(CA)로 다르게 등록 되어 있다.
이런 경우의 아래의 방화벽 정책에서 Canada GeoIP를 차단 했지만, 등록된 위치를 인지하느냐 물리적 위치를 인지하느냐에 따라 다르게 동작한다.
policy_id =12 정책에서 Canada IP를 차단 했지만, 실제로는 policy_id=1을 이용하여 통신이 허용 되었다.
이는 방화벽 정책에서 옵션에 따라 물리적 위치(physical-location) 를 인식하느냐 등록된 위치( registered-location)를 인식하느냐 의 차이이다.
policy 12의 경우 등록된 위치로 인식하도록 했기 때문에 220.243.219.10를 중국(CN)으로 인식하고 다음 정책으로 허용된 상황이다.
방화벽 정책에서 옵션을 physical-location으로 변경 하면 차단가능하다.
config firewall policy
edit <policy-id>
set geoip-match physical-location
next
end
GeoIP 설정이 오동작 할 경우 물리적 위치(physical-location) 와 등록된 위치(registered-location)를 확인 할 필요 있다.
'FortiGate > Firewall' 카테고리의 다른 글
| 사용하지 않는 정책 확인 (0) | 2025.04.21 |
|---|---|
| SSL/SSH profile에서 QUIC 트래픽 제어 방법 (0) | 2025.04.09 |
| DNS 트래픽이 암호화된 경우 Wildcard FQDN 사용 방법 (0) | 2025.03.27 |
| 차단되었지만 차단 log가 남지 않는 경우 (0) | 2025.03.18 |
| Custom ISDB를 방화벽 정책의 source로 사용할때 "Invalid Entries" Error 발생하는 경우 (0) | 2025.03.13 |
댓글