FortiSASE를 통하여 모든 트래픽을 처리하는 가운데, ZTNA를 이용하여 안전히 보장된 트래픽은 FortiSASE를 통하지 않고 직접 연결하는 방법이다.
그러기 위해서는 먼저 ZTNA Proxy 역할을 할 FortiGate를 FortiSASE와 연동하여야 한다.
디바이스의 상태를 체크하는 ZTNA tag를 설정한다.
ZTNA tag를 설정하면 FortiClient에서 자신에게 해당하는 tag를 확인 할 수 있다.
FortiGate에서 ZTNA 설정을 해준다.
예제는 내부의 192.168.1.55:443 서버를 ZTNA proxy 192.168.160.29:9443 으로 연결하는 예이다.
클라이언트는 내부에서 사용하듯 192.168.1.55:443으로 접속하지만, 자신도 모르게 192.168.160.29:9443 통해 연결되는 ZTAN의 TCP Forwarding 방식을 사용한다.
Policy & Objects > ZTNA 의 ZTNA Servers에서 Proxy 서버인 192.168.160.29:9443와 실제 서버인 192.168.1.55:443를 설정한다.
위 설정 한 서버를 이용하여 ZTNA rule을 설정한다.
FortiSASE에서 ZTNA에 관련된 설정을 한다.
Configuration > Profile 메뉴의 ZTNA 탭에서 FortiClient에 내려주는 ZTNA rule을 설정한다.
위 설정을 저장한 후 FortiClient가 FortiSASE와 동기화 하면, 위 ZTNA rule을 확인 할 수 있다.
마지막으로 Client는 모든 트래픽을 FortiSASE로 보내도록 SIA 연결이 되어 있으므로, ZTNA Proxy인 192.168.160.29에 대해 Split 하도록 설정해야 한다.
위와 같이 설정하면 클라이언트의 모든 트래픽은 FortiSASE로 보내고, ZTNA 접속에 대해서만 직접 연결하게된다.
'FortiSASE' 카테고리의 다른 글
FortiSASE Firewall Policy의 'Force Certificate Inspection' (0) | 2024.03.11 |
---|---|
FortiClient가 Invitation Code를 통해 FortiSASE에 연결할 수 없는 경우 (0) | 2023.12.26 |
FortiSASE : FortiGate와 연동시 인증서 문제 (0) | 2023.06.28 |
SIA 에서 Split 터널링 기능 (0) | 2023.06.27 |
FortiSASE 와 FortiClient의 호환성 체크 (0) | 2023.06.20 |
댓글