FortiGate에서는 " *.etevers.com " 처럼 wildcard FQDN을 이용하여 방화벽 정책이나, SSL inspection의 예외처리등에 사용 할 수 있다.
일반적인 FQDN(예 : www.eteversebt.com)과 wildcard FQDN의 IP를 DNS query를 통해 확인하게 되는데, 그 방식이 서로 다르다.
일반적인 FQDN의 경우 FortiGate에 설정된 DNS를 이용하여 FortiGate에서 출발하는 DNS query방식이고, wildcard FQDN의 경우 FortiGate를 통과하는 트래픽에서 IP를 획득한다. 즉 사용자 트래픽의 DNS query에서 IP를 획득하는 방식이다.
내부에서 외부로의 허용되는 방화벽 정책이 disable 된 예이다.
이 상황에서 일반적인 FQDN은 FortiGate가 스스로 IP를 resolve 하지만, FortiGate를 통과하는 트래픽이 없는 상태라서 wildcard FQDN은 IP를 획득하지 못한다.
외부로의 트래픽을 허용하고, 내부에서 wildcard FQDN에 대해서 DNS query가 발생하면 할수록 IP를 계속해서 획득하게 된다.
위에서와 같이 Wildcard FQDN은 FortiGate를 통과하는 DNS query에 대해 session helper를 처리하면서 IP를 획득하게 된다.
따라서 DNS에 대해 Session Helper가 삭제 되어 있다면 Wildcard FQDN은 IP를 얻지 못한다.
'FortiGate > Firewall' 카테고리의 다른 글
| v7.2.4 : VIP 관련 'match-vip' 설정 기본적으로 enable (0) | 2023.07.31 |
|---|---|
| FQDN(Regular/Wildcard) 주소 객체에 저장할 수 있는 IP 수 (0) | 2023.06.29 |
| v7.2.4 : policy 설정 화면에서 flow/proxy inspection 설정 없음 (0) | 2023.02.28 |
| v7.2.4 : ISDB의 on-demand 기능 추가 (0) | 2023.02.13 |
| v7.2.1 : Ban IP에 대해 장비가 리부팅 되더라도 유지하는 방법 (0) | 2022.08.25 |
댓글