전체 글963 SSLVPN 로그인 실패 에러가 다수 발생하면서, sslvpnd의 CPU 점유율이 높은 경우 SSLVPN 데몬의 CPU 점유율이 높으면서, 'SSL user failed to log in' 로그가 다수 발생하는 경우가 있다.이는 공격자가 Brute force 공격으로 SSLVPN에 로그인 시도를 지속적으로 시도하는 경우이다. 다음의 방법으로 로그인 시도를 줄일수 있다.,SSLVPN Web Mode 접속을 차단 [참조 Link]SSLVPN 접속을 특정 국가로 제한 [참조 Link]Automation Stitch를 이용하여 로그인 시도 실패한 IP를 차단 [참조 Link]로그인 시도 횟수 제한 및 차단 기간 설정 [참조 Link]위와 같은 조치를 취했는데도 지속적으로 해당 문제가 발생한다면, SSLVPN을 dial-up IPsec VPN으로 변경하는 방법도 고려해 볼수 있다. 2025. 2. 13. High-Availability (HA) SKU에 대한 설명 HA(A-P only) SKU는 HA 배포를 간소화하고 할인을 제공하기 위해 도입 되었다. 새로운 HA SKU를 사용하면 고객이 두 대의 FortiGate 기기와 하나의 FortiGuard 번들 라이선스를 사용하여 HA 쌍 배포를 할 수 있다. 적용 가능한 모델은 다음과 같다. 현재 G 시리즈는 제공하지 않지만, 향후 FortiOS의 업그레이드를 통해 제공될 예정이다.(현재의 G시리즈 지원 펌웨어가 HA SKU를 지원하지 않음) 현재는 100 시리즈 이하의 모델에서만 지원하며, Mid-range, High-range에서 도입될 계획은 없다. FG-xxF-HA SKU는 FG-xxF 시리즈를 사용하는 기존 고객에게는 사용할 수 없다. 새로운 FG-xx-HA SKU만 vSN(virtual SN)으로 Forti.. 2025. 2. 11. FortiOS V7.6.1 Feature/Platform Matrix FortiOS V7.6.1에서 각 FortiGate의 모델별 기능 여부 표이다.작은 모델에서 SSLVPN, ZTNA를 포함하는 Proxy 기능 지원 여부를 확인 할 수 있다. 2025. 2. 3. FortiGate에서 FortiAnalyzer 연결이 안되고, 'No devices are available for approval.' 에러 발생 FortiGate에서 FortiAnalyzer 연결시 Authorize 단계에서, 'No devices are available for approval.' 에러가 발생하는 경우가 있다.IPsec VPN 터널을 통해서 FortiAnalyzer에 연결하는 경우라면 MTU size 문제일 수 있다.이런 경우, 아래와 같이 IPsec VPN 터널 인터페이스의 MTU[를 조정해주면 연결 할 수 있다.config system interface edit set mtu-override enable set mtu 1350 endend 2025. 1. 31. AWS에서 FortiGate의 GUI 일부가 표시되지 않는 경우 AWS time zone과 FortiGate time zone이 서로 다를 경우, 아래와 같이 FortiGate GUI의 일부가 표시되지 않는 경우가 있다. FortiGate time zone을 AWS time zine과 동일하게 변경하면 해결 될 수 있다. 2025. 1. 24. 서로 다른 FortiGate에 동일한 API Token을 사용하는 방법 "A" FortiGate에서 생성한 API token을 다른 장비인 "B" FortiGate에서 사용하는 방법이다.FortiGate API 토큰은 생성 시 한 번만 표시되며 GUI 또는 CLI를 통해 수정할 수 없다. 방법은 "A" FortiGate에서 config를 백업 받아 API user 부분( config system api-user )을 복사해서, "B" FortiGate의 config에 해당 부분을 붙혀 넣고 config를 복원(restore)하면 동일한 API key를 사용할 수 있다."B" 장비에 "config system api-user" 가 존재하면 edit 이하 부분만 붙혀넣기 하고, 없다면 config 맨 마지막에 전체를 붙혀넣기 하면 된다."B" 장비에도 동일한 accprofile.. 2025. 1. 23. Local-out 트래픽의 Source IP 결정 방법 Local-out 트래픽은 FortiGate에서 발생한 트래픽(자체 발생 트래픽)으로 외부의 목적지로 향한다.예를들어, Syslog, FortiAnalyzer 로깅, FortiGuard 서비스, 원격 인증, FortiGate에서 발생한 ping 또는 traceroute등의 트래픽이다. 이러한 트래픽은 FortiGate는 라우팅 테이블( get routing info routing-table all )을 기반으로 보내는 인터페이스를 결정하고, 일반적으로 해당 인터페이스의 IP를 Source IP로 결정한다. 하지만 IPsec Tunnel 인터페이스처럼 인터페이스 IP가 설정되지 않은 경우에는 인덱스가 가장 낮은 인터페이스의 IP를 소스 IP로 선택한다.인터페이스의 인덱스는 다음 명령어로 확인 가능하다.di.. 2025. 1. 22. 이전 1 ··· 4 5 6 7 8 9 10 ··· 138 다음
