FortiSASE On-net 네트워크 환경 설정

FortiSASE는 사내 사용자와 원격 사용자에게 동일한 보안 정책을 적용할 수 있도록 지원합니다.

 

On-net Rules를 이용하면, FortiSASE가 엔드 포인트를 신뢰할 수 있는 on-net에 속한 상태로 판단할지 여부를 결정하며,

일정 수준의 온프레미스 보안을 갖춘 기업 네트워크 내부에 있다고 판단되는 경우, FortiSASE 터널에 자동으로 연결할 필요가 없이 사내 보안장비를 통해 인터넷이 되도록 설정 가능합니다.

이로 인해, FortiSASE 대역폭 사용을 최적화하는 데에도 도움이 됩니다.

 

On-net Rules 설정을 확인해 보면, 아래 그림과 같이 Detection type(탐지 유형)이 있습니다.

 

온프레미스 보안을 갖춘 사무실에서 알려진 공인 IP 주소 연결 시도할 경우 Tag 기반으로 FortiClient에서도 해당 PC가 On-Net 환경에 있다는 것을 확인할 수 있습니다.

 

On-net 환경에 있는지 확인 하기 위해 TAG를 생성 합니다.

 

On-net Rele을 생성했다면, Endpoint Profiles에서 FortiSASE Cloud Security tunnel settings 및 On/Off-net Settings 통해 접속을 허용할 것인지 차단할 것인지를 정해야 합니다.

 

위 그림과 같이 FortiSASE Cloud Security tunnel 설정에서 FortiSASE tunnel 연결 전에 특정 Tag를 가진 사용자에 대해 Security tunnel 연결을 설정 여부를 결정합니다.

해당 Tag가 있는 Client에서는 연결을 차단하며, 연결이 거부될 때 해당 Client에서 표시될 메시지를 사용자가 설정할 수 있습니다.

 

위 그림과 같이 On/off-net Settings을 통해 사전 정의한 On-net rule set을 선택하고,

해당 [Endpoint가 on-net 상태일 때 로컬 LAN 접근을 허용합니다.] 활성화합니다.

 

사용자가 사내에서 인터넷이 연결이 되어지면, FortiClient에서 상태 체크를 한 후에 On-net 환경에 속해 있으면 정의된 Tag가 설정되는 것을 확인할 수 있습니다.

 

해당 Tag설정된 상태에서 FortiSASE Secure Internet Access 접속을 시도하게 되면, 알림 창이 나타나면서 Secure Internet Access이 차단되는 것을 확인하실 수 있습니다.