Application Control 기능으로 특정 Application을 차단했지만, 로그상에서 주고 받는 packet/byte가 표시되고 세션이 생성된다.
이유는 Application의 인식은 IPS engine에 의해 수행되고, Layer 7 데이터를 분석하여 Application을 인식하고 차단하게 된다. 예를 들어 "BitTorrent"를 차단하게 되면, TCP hanshake하여 세션이 생성되고, 이후 주고 받는 packet을 layer7 분석하여 "BitTorrent"를 인식하고 차단하게 된다.
그렇기 때문에 특정 Application을 차단하더라도, Application을 인식하기 전에 주고 받는 데이터와 세션이 생성되게 된다.
하지만 ICMP, DNS, NTP Protocol의 경우 IPS Engine이 아니라 Kernel에서 인식 가능하다. IP Header의 Protocol Number 또는 port number를 이용하여 Kernel에서 인식하게 된다.
이런 경우 바로 차단하기 때문에 주고 받는 packet은 없다.
'FortiGate > Security Profile' 카테고리의 다른 글
| IPS, AV, Application Control database가 업데이트 되지 않는 경우 (0) | 2022.06.02 |
|---|---|
| ipshelper 데몬의 역할 (0) | 2022.05.18 |
| 특정 Application에 대한 SSL Deep Inspection 여부 확인 방법 (0) | 2022.05.10 |
| Botnet Domain Database의 버전이 "0.00000" 이거나 update 되지 않을 경우 (0) | 2022.05.09 |
| Static URL Filter를 사용하여 Youtube 차단 (0) | 2022.04.12 |
댓글