본문 바로가기
FortiGate/ZTNA

ZTNA : TCP Forwarding access proxy 설정 예

by 에티버스이비티 2022. 7. 4.

ZTNA를 이용해서 사용자는 내부에서 사용과 동일하게 외부 원격지에서 내부 사설 IP 서버를 목적지 192.168.1.111로 접속하는 TCP Forwading access proxy 설정 예이다.

[ 예제 시나리오 ]

   ◾ 사용자는 내 외부 상관없이 웹서버에 접속시 목적지를 192.168.1.111로 접속한다.

   ◾ 외부에서 접속하는 경우 사용자(192.168.100.158)-FortiGate(192.168.160.198:8443) 통신에서는 proxy로 https 터널링 형성  

   ◾ 실제 목적지인(192.168.1.111:443) 트래픽은  HTTPS를 통해 클라이언트와 액세스 프록시 간에 터널링

   ◾ FortiGate와 WebServer 사이에서는 source IP가 192.168.1.99되어 Web Server와 통신

   ◾ 사용자가 바이러스에  감염(예에서는 'D:\virus.txt' 파일이 존재)된 경우 Web Server 접속 차단

 

① FortiEMS에서 'D:\virus.txt' 파일 여부를 확인하는 Zero Trust Tagging Rule 설정

② FortiGate에서 ZTNA Server 설정에서 사용할 Web Server의 실제 IP 객체를 생성한다.

FortiGate에서 ZTNA Server를 설정한다. Proxy VIP 를 설정하고, Mapping할  실제 Web Server를 Port Number와 함께 설정한다.

FortiGate에서 ZTNA Rule을 설정한다, 바이러스 파일(D:\virus.txt)이 있으면 차단하고, 없으면 허용하는 정책이다.

⑤ 사용자의 FortiClient에서 '192.168.1.111:443' 접속해도, '192.168.160.198:8443' Proxy로 동작하도록  설정한다.

 

바이러스 파일이 없는 사용자가 목적지를 "192.168.1.111"로 접속하면, 아래와 같이 사용자는 proxy 통신을 하는 지 모르고 직접 Web Server에 접속하는 것 처럼 보인다. (인증서 문제로 경고창 발생. 실제로 접속 성공)

 

 

바이러스 파일이 있는 사용자의 경우 아래의 로그를 발생시키면서 접속이 차단 된다.

date=2022-07-04 time=14:31:05 eventtime=1656912665508480580 tz="+0900" logid="0005000024" type="traffic" subtype="ztna" level="notice" vd="root" srcip=192.168.100.158 srcport=65036 srcintf="wan1" srcintfrole="wan" dstcountry="Reserved" srccountry="Reserved" dstip=192.168.160.198 dstport=8443 dstintf="root" dstintfrole="undefined" sessionid=1344567 service="tcp/8443" proto=6 action="deny" policyid=1 policytype="proxy-policy" poluuid="80b05e1a-f914-51ec-f87f-1ca8558a5212" policyname="block" duration=0 vip="Web" accessproxy="Web" clientdeviceid="B87CA33DB8F54951BBF95E5B4ACF53AC" clientdevicetags="on-line/MAC_FCTEMS0000112855_Malicious-File-Detected/MAC_FCTEMS0000112855_all_registered_clients/FCTEMS0000112855_Low" msg="Denied: proxy-policy action is deny" wanin=0 rcvdbyte=0 wanout=0 lanin=1713 sentbyte=1713 lanout=6654 fctuid="B87CA33DB8F54951BBF95E5B4ACF53AC" appcat="unscanned" crscore=30 craction=131072 crlevel="high"

저작자표시 비영리 변경금지

'FortiGate > ZTNA' 카테고리의 다른 글

'Denied: cert auth failed,....cert-status:untrusted fail-reason:(null)' 로그와 함께 ZTNA 사용자가 차단되는 경우  (0) 2023.09.06
v7.4.0 : IP/MAC Based Access Control 에서 tag에 대한 AND 조건 추가  (0) 2023.05.17
ZTNA : 인증 순서  (0) 2023.05.15
ZTNA 디바이스 인증서 확인  (0) 2022.07.07
[동영상] ZTNA 소개 및 데모 시연  (0) 2022.06.20

관련글

댓글

티스토리툴바