FortiGate에서 방확벽을 거쳐 SNAT을 할때, Source port를 변경하는 기준에는 여러가지 방법이 있다.
■ 방화벽 정책에 'set port-preserve enable' 설정 : default
원래의 Source port와 동일한 port를 사용하는 것이 우선이다. 만약 다른세션에서 이미 사용중이라면 순차적으로 비어있는 port가 적용된다.
config firewall policy
edit 1
set port-preserve enable
next
end
■ 방화벽 정책에 'set port-preserve disable' 설정
원래의 Source port와는 상관없이 순차적으로 적용된다.
config firewall policy
edit 1
set port-preserve disable
next
end
■ FortiOS v7.6.1부터 방화벽 정책에 'set port-random enable' 설정이 추가
port-preserve가 disable되고 port-random이 enable된 경우 새 SNAT 포트가 랜덤하게 선택된다. 랜덤하게 할당함으로써 예측 불가능해서 보안이 강화ㄷ힌다.
이 기능은 'set port-preserve'가 disable화된 경우 사용할 수 있다.
config firewall policy
edit 1
set port-preserve disable
set port-random {enable | disable}
next
end
참고 Link :
'FortiGate > Firewall' 카테고리의 다른 글
| Custom ISDB를 방화벽 정책의 source로 사용할때 "Invalid Entries" Error 발생하는 경우 (0) | 2025.03.13 |
|---|---|
| 차단된 트래픽에 대해 TCP RST 보내는 방법 (0) | 2025.03.10 |
| Debug의 iPrope check에서 'is not active' 에러 메세지 (0) | 2025.03.06 |
| FortiOS v7.4.2 : Address 객체를 CSV 또는 JSON 파일로 추출하는 방법 (0) | 2025.02.26 |
| GUI에서 방화벽 정책을 policy ID를 이용하여 이동하는 방법 (0) | 2025.01.17 |
댓글