방화벽 정책을 변경하게 되면 연결된 기존 세션에 영향을 줄 수도 있기 때문에, default로는 정책이 변경되면 기존 active session에 대해 모두 방화벽 정책을 다시 검사한다. 허용되던 기존 세션이 차단 될 수 도 있기 때문이다.
만약 동시 세션이 굉장히 많은 장비일 경우, 방화벽 정책이 변경되면 모든 세션에 대해 재평가를 해야하기 때문에 CPU 사용률이 증가하게 된다.
다음 명령어를 이용하여 옵션을 변경할 수 있다.
config system settings
set firewall-session-dirty { check-all | check-new | check-policy-option }
end
- check-all : 모든 세션을 비우고, CPU가 다시 재 평가한다.(default)
- check-new : 기존 세션은 그대로 유지하고 새로운 세션에 대해서만 확인. CPU 부하를 줄일수 있음
- check-policy-option : 각 policy에 설정된 firewall-session-dirty 설정을 따른다.
'FortiGate > Firewall' 카테고리의 다른 글
| 네트워크(subnet) 단위로 패킷 sniffer 하는 방법 (0) | 2021.02.16 |
|---|---|
| Firewall Policy의 "Negate" 옵션 사용법 (0) | 2021.02.04 |
| FortiGate에서 어떤 정책을 타는지 궁금할 때 (0) | 2021.01.28 |
| 'Dirty' session 의미 (0) | 2021.01.27 |
| QUIC 프로토콜 차단 (0) | 2021.01.13 |
댓글