여러 웹 사이트가 동일한 하나의 IP를 사용하는 경우 Web filter 동작

여러 웹사이트가 동일한 IP 주소를 공유할 때 경우에 따라  웹사이트에 대한 연결이 차단되거나 허용될 수 있다.

이는 Web filter Cache 때문에 발생한다.

 

새로운 사이트에 액세스할 때마다 해당 사이트의 IP 주소가 캐시에 아직 없는 경우 카테고리와 함께 웹 필터링 캐시에 추가 된다. 

웹필터링은 캐시에서 사이트 IP와 연결된 카테고리를 이용하여 차단 여부를 결정하게 된다. 해당 웹사이트 IP 주소에 대해 웹 필터 캐시에 없는 경우에만 FortiGuard에 query 하게 된다.

 

하나의 IP에 여러 URL이 연결된 경우 웹 캐시로 인해 설정과 다르게 동작할 수 있는 것이다.

 

예를 들어 동일한 IP에 abc.com 과 xyz.com 이 모두 사용하는 상황에서 abc.com은 차단으로 설정하고 xyz.com은 허용으로 설정한 경우이다. 사용자가 abc.com 에 접속해서 차단되고 해당 IP가 캐시에 등록 된다. 이 때 xyz.com 의 요청이 오면 동일한 IP 이기 때문에 캐시에서 확인하여 허용되지 않고 차단되는 경우가 발생한다.

 

아래와 같이 flow-base, proxy-base와 Certificate Inspection, Deep Inspection에 따라 다르게 동작한다.

●  Flow-Based Policy + Certificate Inspection

 IPS 엔진은 웹사이트의 IP 주소를 사용하여 웹 필터링 캐시를 조회하고 이전 평가에 따라 트래픽을 허용할지 차단할지 여부를 결정

 

●  Flow-Based Policy + Deep Inspection

클라이언트 Hello의 SNI 정보를 사용하여 웹 필터링 캐시와 관계없이 트래픽을 허용할지 차단할지 여부를 결정. SNI를 사용할 수 없는 경우 서버 인증서의 Common Name이 사용

 

●  Flow-Based Policy + Certificate Inspection

FortiGate의 WAD 데몬은 먼저 웹 필터링 캐시에서 웹사이트의 IP 주소를 확인하여 이전 평가에 따라 트래픽을 허용할지 차단할지 여부를 결정

 

●  Flow-Based Policy + Certificate Inspection

새로운 평가 요청의 경우 FortiGate의 WAD 데몬은 먼저 웹 필터링 캐시에서 웹사이트의 IP 주소를 확인하여 이전 평가에 따라 트래픽을 허용할지 차단할지 여부를 결정