External Threat Feed 기능을 이용하여 malicious IP address를 사용하는 경우의 예이다.
내부의 사용자가 특정 IP로 세션을 연결하여 사용하는 중에, External Threat Feed에서 해당 IP를 malicious IP로 업데이트 하는 경우이다.
기존에 연결된 세션의 IP가 Threat Feed 기능을 통해 malicious IP로 업데이트 되면, 해당 트래픽이 차단 될 것으로 기대하지만 기본동작은 해당 세션의 트래픽은 차단되지 않고 여전히 동작하도록 되어 있다.
기존에 연결된 세션의 경우 아래의 명령어로 세션의 상태 flag를 "dirty"로 변경 해야지만, 기존 세션을 다시 평가해서 차단 할 수 있다.
위 명령어는 External Threat Feed 기능에 대한 기존 세션을 제어 하는 방법이다.
방화벽 정책 변경, 라우팅 변경에 따른 방법은 다음과 같다.
https://ebt-forti.tistory.com/109
https://ebt-forti.tistory.com/158
https://ebt-forti.tistory.com/203
'FortiGate > ETC...' 카테고리의 다른 글
| REST API : HTTP methods (0) | 2024.04.15 |
|---|---|
| Session Table의 상태 flag의 의미 (0) | 2024.03.29 |
| Device(Assets) widget에서 'Offline' 상태 표시 (0) | 2024.03.20 |
| 'print tablesize' 명령어 (0) | 2024.02.27 |
| 'diag debug' 명령어의 디버그 시간 설정 (0) | 2024.02.19 |
댓글