External Threat Feed를 이용한 URL Filter

외부의 서버에 저장된 URL 리스트를 FortiGate의 WebFilter에 적용 하는 방법이다.

사용자가 직접입력하는 Static URL을 사용할 수도 있겠지만, 많은 수의 URL을 등록할 경우 GUI가 늦어지는 경향도 있으며 중복된 URL에 대한 관리가 어렵다.

External Threat Feed의 경우 URL 리스트를 작성하는 프로그램(notepad 등)의 기능을 이용하여 중복 URL을 관리하기 쉽다.

 

URL 리스트 파일의 제약 사항은 다음과 같다.

• 파일사이즈 10MB이하, 최대 128 X 1024(131072)줄이 한계이다. 먼저 도달하는 사항이 적용된다. 
• 외부 서버의 파일과 FortiGate의 동기화 주기를 지정할 수 있다.
• 주석은 줄 맨 앞에 "#"을 입력한다.
• 'http://', 'https://'는 입력가능하지만, 실제 적용시 제외되고 FQDN만 적용된다.
• URL의 맨앞 또는 맨끝에 와일드카드 "*" 적용 가능하다.
• IP 주소도 가능하다.
• FQDN만 설정 가능하다. "example.com/directory/" 경우 동작 안됨.

1. 웹 서버에 적용할 URL 리스트를 txt 파일로 작성한다.

2. Security Fabric -> External Connectors 에서 "FortiGuard Category" 로 설정한다.

3. 웹서버의 URL list 주소를 입력하고, 동기화 주기를 설정한다.

 

4. 시간이 지나 동기화가 되면 아래와 같이 업데이트된 상태를 확인 할 수 있다.

5. 웹 서버에는 실제로 5개의 URL이 있지만, 주석(#) 으로 설정된 URL은 적용되지 않는다. 

6. Web FIlter 프로파일의 Category Filter에서 원하는 Action(Allow, Monitor, Block, Warning, Aupthenticate)를 적용한다.

7. 설정한 프로파일을 원하는 방화벽 정책에 적용한다.

 

위에서 "http://ebt-forti.tistory.com" 으로 지정했지만, FQDN만 인식하여 적용되기 때문에 아래처럼 "https://ebt-forti.tistory.com"에 대해서도 동작한다.

단, "https://kosis.kr/easyViewStatis/" 처럼 FQDN이외의 URL이 표함된 경우 동작하지 않는다.