FortiGate/Firewall63 Firewall Policy의 "Negate" 옵션 사용법 방화벽 정책 설정에 "Negate" 옵션이 있다. 이 옵션은 Source, Destination, Service에 적용 가능하다. 예를 들어 Source에 "192.168.1.0/24"를 negate 옵션으로 설정하면, 해당 정책은 Source에서 설정한 "192.168.1.0/24"을 제외한 나머지 IP에 매칭 된다. GUI상에서 "Negate" 옵션을 사용하려면 System > Feature Visibility 에서 "Policy Advanced Option"을 enable 해야한다. "Policy Advanced Option"을 enable 하면, 방화벽 정책 설정에서 아래처럼 Source와 Destination에 대해 'Negate" 옵션 설정 가능하다. CLI에서는 아래와 같이 사용 가능하다. .. 2021. 2. 4. policy 설정 변경에 따른 기존 session 영향 방화벽 정책을 변경하게 되면 연결된 기존 세션에 영향을 줄 수도 있기 때문에, default로는 정책이 변경되면 기존 active session에 대해 모두 방화벽 정책을 다시 검사한다. 허용되던 기존 세션이 차단 될 수 도 있기 때문이다. 만약 동시 세션이 굉장히 많은 장비일 경우, 방화벽 정책이 변경되면 모든 세션에 대해 재평가를 해야하기 때문에 CPU 사용률이 증가하게 된다. 다음 명령어를 이용하여 옵션을 변경할 수 있다. config system settings set firewall-session-dirty { check-all | check-new | check-policy-option } end check-all : 모든 세션을 비우고, CPU가 다시 재 평가한다.(default) check.. 2021. 2. 1. FortiGate에서 어떤 정책을 타는지 궁금할 때 Product : FortiGate Detail : FortiGate를 통하여, 들어오고 나가는 트래픽이 어느 정책을 타는지 모르겠을때 1. ICMP Protocol 을 이용한 테스트 Solution : 다수의 정책이 들어간 방화벽을 관리시, 정책의 설정에 아래와 같은 확인사항이 필요할 수 있음. "이 트래픽은 FortiGate의 어떠한 정책을 타서 허용/차단되는지?" 이러한 상황이 발생했을때, 사용할 수 있는 매뉴가 'Policy Lookup' 기능. Policy & Object > IPv4/v6 Policy 의 위치로 가면, 아래와 같은 매뉴를 확인가능. 'Policy Lookup' 버튼을 이용하여, 각 트래픽이 FortiGate 내부의 어떠한 정책을 타는지 확인 가능. Protocol로 사용가능한 .. 2021. 1. 28. 'Dirty' session 의미 다음과 같이 세션의 정보를 확인해보면, 상태정보에 'dirty' 'may_dirty' 등 여러 상태 정보들을 표시한다. 이 포스팅에서는 'dirty' 세션이 무언인지? 세션의 상태정보가 'dirty'로 설정되는 이유는 무엇인지? 알아본다. FortiGate는 세션의 첫번째 패킷(예: SYN)을 수신하면, 방화벽 정책에 따라 트래픽을 허용할것인지 차단할것인지 CPU에서 판단하게 된다. 이 판단은 방화벽 정책이 변경되지 않는한 세션의 첫번째 패킷에 대해서만 수행한다. 방화벽 정책에서 트래픽을 허용할 경우 FortiGate는 세션을 생성하고, 세션의 상태정보를 'may_dirty'로 설정한다. 'may_dirty'로 설정된 세션은 방화벽 정책의 변경이나 네트워크 변경등이 없을 경우 CPU의 재 평가 없이 기존.. 2021. 1. 27. QUIC 프로토콜 차단 QUIC (Quick UDP Internet Connections)는 Google에서 개발한 Transport Layer 프로토콜이다. Google이나 Youtube등에서 QUIC를 지원하며, 크롬 브라우저에서 기본적으로 지원한다. QUIC는 UDP 80, UDP 443 port를 이용하며 transparent proxy를 우회하도록 하여, 웹 필터 기능이 크롬에서 제대로 동작 안 할 수있다. QUIC를 차단하는 방법 3가지 1. 크롬 브라우저에서 QUIC disable 2. FortiGate Application Control에서 QUIC 차단 3. 방화벽 정책에서 UDP 80, UDP 443 차단 2021. 1. 13. 이전 1 ··· 8 9 10 11 12 13 다음
