FortiGate/Firewall61 ISDB Group과 Direction의 관계 Internet Service Database의 항목에는 Direction(Source, Destination, Both)이 정해져 있다. ISDB 여러개를 그룹으로 설정하는 경우도 Direction 설정이 필요하며, Direction 에 따라 그룹 멤버설정에 제약이 따른다.Group의 direction을 'Source'로 설정 한 경우 : 'Source' 또는 'Both'로 설정된 개체를 멤버로 설정 가능Group의 direction을 'Destination'로 설정 한 경우 : 'Destination' 또는 'Both'로 설정된 개체를 멤버로 설정 가능Group의 direction을 'Both'로 설정 한 경우 : 'Both'로 설정된 개체만 멤버로 설정 가능 v7.6에서는 위와 같이 GUI에서 IS.. 2024. 10. 30. VIP 실행 순서 (vs Firewall Policy) VIP 설정과 Firewall Policy에 대한 실행 순서 설명이다. 위와 같이 외부 IP와 Port는 동일하지만 내부 서버가 다르게 설정한 경우이다.주의할 사항은 위에서 부터 VIP_FW1, VIP_FW2 순서이다. 방화벽 정책의 순서는 VIP_FW2,VIP_FW1 순서이다. 이렇게 했을때 실제로 외부에서 VIP를 이용하여 접속하면 방화벽 정책 순서가 아닌 VIP 설정 순서에 따라 적용된다.방화벽 정책은 VIP_FW2가 먼저이지만, 실제로 적용된 것은 VIP 설정 순서에 따라 VIP_FW2 이다. 이는 FortiOS가 들어오는 Packet에 대해 처리하는 순서 때문이다. 아래와 같이 VIP를 먼저 처리하고, 방화벽 정책 매칭을 하기 때문이다. VIP 순서를 바꾸려면 CLI에서 처리 가능하다. 2024. 10. 18. GUI에서 방화벽 policy ID를 수동으로 설정하는 방법 GUI에서 firewall policy ID를 수동으로 설정하기 위해서는, System > Feature Visibility 메뉴에서 "Policy Advanced Options"을 enable 해야 한다. "Policy Advanced Options"을 enable 하면, GUI에서 방화벽 정책 생성시 아래와 같이 Policy ID를 적용할 수 있다.위 예와 같이 "0"을 설정하면 FortiOS가 자동으로 사용하지 않는 Policy ID를 할당하게 된다. 만약 ID를 중복되게 설정하면 아래와 같이 자동으로 에러가 표시된다. 2024. 10. 18. 특정 Service(목적지 port)에 대해 허용하는 source port 제한 특정 목적지 port에 대해 source port 범위를 제한하는 방법이다.예를 들어 RDP(TCP 3389) 서비스에 대해, source port 범위가 10000~20000 이면 허용하고 나머지 source port에 대해서는 차단하는 경우이다.이 설정은 service 객체를 생성해서 방화벽 정책에 적용하면 된다. 2024. 8. 26. fragmentation 패킷 캡쳐하는 방법 MTU 사이즈보다 큰 패킷을 처리하기 위한 packet fragmentation이 너무 많이 발생하는 경우에 FortiGate 성능에 영향을 주게 된다.packet fragmentation이 발생하는지 확인하는 명령어이다. diagnose sniffer packet any '((ip[6:2] > 0) and (not ip[6] = 64))' 4 0 a not ip[6] = 64 : IP header의 6번째 byte 값이 64 아님 (DF flag 가 아닌 경우).ip[6:2] > 0 : IP header의 6번째 byte에서 2byte 값이 0보단 큰 경우(7번째, 8번째 byte가 0보다 큰 경우, fragmentation이 발생) 2024. 7. 5. 이전 1 2 3 4 ··· 13 다음
