FortiGate에서 아래와 같이 외부(all)에서 내부(all)로의 정책(ID 15)을 차단으로 설정했지만, VIP 정책(ID 14)은 차단되지 않고 허용된다.
FortiOS에서는 VIP 객체와 Firewall Address 객체는 완전히 다른 객체로 판단하다. 즉 Firewall Address 객체인 "all" 과 VIP 객체인 "VIP_eBT_FAZ" 객체는 서로 다른 별개의 영역으로 판단하게된다. 따라서 "VIP_eBT_FAZ"접속하는 트래픽은 "all"에 매칭되지 않고, ID 15 정책에 의해 허용된다.
차단하려면 VIP 객체에 대한 차단 정책을 생성해야 한다.
또는 ID 15 정책에 아래와 같은 옵션을 추가하여, VIP 객체에 대해서도 매칭되도록 설정 할 수 있다.
'FortiGate > Firewall' 카테고리의 다른 글
| 방화벽 정책의 첫번째 Hit 시간, 마지막 Hit 시간 확인 (0) | 2022.07.28 |
|---|---|
| VIP에서 Service 설정 (Virtual IP with services) (0) | 2022.02.25 |
| 특정 IP Address가 포함된 FQDN Object 확인하는 방법 (0) | 2022.02.14 |
| FortiOS v7.0.2 : 방화벽 정책을 CSV 또는 JSON 파일로 추출 가능 (0) | 2021.10.27 |
| 정책에서 허용하지 않는 Source Address가 트래픽로그에 허용으로 찍히는 경우 (0) | 2021.10.20 |
댓글