FortiGate/Firewall74 SSL/SSH profile에서 QUIC 트래픽 제어 방법 SSL/SSH inspection profile에서 QUIC(HTTP/3) 트래픽을 허용하거나 검사하도록 설정하는 방법이다.config firewall ssl-ssh-profile edit config https set quic [inspect|bypass|block] endendinspect : QUIC(HTTP/3) 트래픽을 검사bypass : QUIC(HTTP/3) 트래픽을 검사없이 허용block :QUIC(HTTP/3) 트래픽 차단 2025. 4. 9. DNS 트래픽이 암호화된 경우 Wildcard FQDN 사용 방법 DNS 트래픽이 암호화된 DoT(DNS over TLS)를 사용하는 경우 Wildcard FQDN의 IP를 획득하는 방법에 대한 설명이다.FortiOS는 방화벽 policy, Static route, SD-WAN rule 등에 Wildcard FQDN Object를 사용할 수 있다. Wildcard FQDN Object의 IP는 FortiGate를 통과하는 DNS query에 대한 응답으로 학습된다. 하지만 DNS 트래픽이 암호화된 경우 FortiGate가 IP를 확인 할 수 없게된다. DoT(DNS over TLS) 트래픽에 대해 아래와 같이 SSL Deep Inspection을 사용할 경우, DNS 트래픽을 해독하여 Wildcard FQDN의 IP를 획득 할 수 있다. SSL Deep Ins.. 2025. 3. 27. 차단되었지만 차단 log가 남지 않는 경우 FortiGate 정책에서 허용 정책은 "All Session" 로그를 남기도록 설정되었고, 차단 정책은 "Log violation traffic"이 설정 되어 차단 로그를 남기도록 설정되어 있다.그런데 FortiGate에서 차단되었지만 로그가 발생하지 않는 경우가 있다. 예를 들어 목적지에 대한 라우팅 정보가 없는 경우가 그 경우이다.packet이 FortiGate에 도착하면 여러단계를 거쳐서 라우팅을 확인하고 그에 맞는 방화벽 정책을 매칭하게 된다.하지만 목적지에 대한 라우팅 정보가 없는 경우 FortiGate는 해당 packet을 바로 삭제하게된다. (디버그에도 차단 메시지는 없다.)그냥 삭제되면서 더이상 policy lookup을 진행하지 않기 때문에 허용 또는 차단 로그가 생성되지 않는다. 2025. 3. 18. Custom ISDB를 방화벽 정책의 source로 사용할때 "Invalid Entries" Error 발생하는 경우 FortiGate v7.4+, v7.6+의 GUI에서 사용자가 생성한 Custom ISDB를 방화벽 정책의 source로 사용할때 "Invalid Entries" Error 발생하는 경우가 있다.이런 경우는 CLI 명령어로 입력하면 추가 가능하다.config firewall policy edit set internet-service-src enable set internet-service-src-name "custom-isdb" nextend 이 이슈(1099749)는 v7.4.8 및 v7.6.3에서 수정될 예정이다 2025. 3. 13. 차단된 트래픽에 대해 TCP RST 보내는 방법 일반적으로 FortiGate 정책에 의해 차단된 경우 아래와 같이 "ERR_CONNECTION_TIMED_OUT" 연결시간이 초과 되어 차단된다. (사용자가 차단 메시지 확인에 시간이 오래 걸림)차단하는 방화벽 정책에서 'set send-deny-packet enable' 설정을 하게되면, TCP RST를 보내 즉시 차단하게 된다.config firewall policy edit set send-deny-packet enable nextend 주의) 하지만 set send-deny-packet enable' 설정을 하더라도, system setting에서 아래와 같이 'set deny-tcp-with-icmp enable' 설정이 되어 있으면 TCP RST을 보내지 않는다. (T.. 2025. 3. 10. 이전 1 2 3 4 ··· 15 다음
