본문 바로가기

FortiGate/Firewall63

FortiGate SPAN Interface 관련 Product : FortiGate Detail : FortiGate에서 SPAN (Switch Port Analyzer) 에 대한 설명 및 설정 관련 (=Port Mirroring) 1. 설정 방법 2. 제한 사항 Solution : FortiGate에서 Switch 포트를 이용하여, SPAN(=port mirroring)을 구성할 수 있음. 특정 포트에서 받은 입력을 , 맴버로 묶인 다른 인터페이스로 전송. 방향은 Tx/ Rx/ Both 등으로 설정 가능. -1. 1-1) in CLI # config system switch-interface edit set vdom --> If no VDOMS are configured then it will be root set member “port no” “p.. 2021. 1. 12.
session timeout 무한대로 설정하기 FortiOS 6.4에서 설정 가능 자동 재연결 기능이 없는 레거시 어플리케이션이나 시스템에 영구적으로 연결할 수 있도록 session-ttl 설정을 무한대로 설정 할 수 있다. 설정 대상은 방화벽 서비스, policy, VDOM에 대해 적용 가능하다. 메모리 사용률을 고려하여, 꼭 필요한 서비스 또는 policy에만 적용 하도록 주의 해야 한다. Custom service에 세션을 무한대로 설정 하는 예. config firewall service custom edit "tcp_23" set tcp-portrange 23 set session-ttl never next end 방화벽 정책에 사용 하는 예 CLI에서 "?"를 이용하여 확인하면 never는 설명에 표시되지 않는다. 무시하고 "never" .. 2021. 1. 7.
FortiGate Loopback Interface 설정 관련 Product : FortiGate Detail : FortiGate를 통한 Loopback Interface의 구성 및 세팅 관련 1. 정의와 사용 예시 2. 설정 방법 Solution : -1. FortiGate Loopback interface는 'IPsec vpn터널 가상 인터페이스'처럼 논리적인 인터페이스로, 물리적 인터페이스와 별개로 동작함. Interface list에서 항상 up-link 상태로 보여지고, 라우팅 테이블에 올라와있음. 사용하기 위해서는 in/out 트래픽을 위한 방화벽 정책도 필요. FortiGate를 통한 Loopback의 사용에는 다음과 같음 =매니지먼트 엑세스 용도 =BGP (어드벤스 라우팅) peering 용도 =PIM RP (멀티캐스팅을 이용시 RP 등록) 용도 =.. 2021. 1. 6.
FortiGate를 통과하는 트래픽의 통신 장애 처리 FortiGate 를 통하여 통신하는 트래픽의 통신장애가 발생한 경우 이를 트러블 슈팅 하는 방법이다. 아래의 다이어그램에서 PC1 → PC2로의 통신 장애가 발생할 경우 여러 단계를 통해 장애 발생 원인을 파악하고, 장애를 제거한다. Step 1 : Routing Table 확인 FortiGate의 라우팅 설정과 port1, port2 인터페이스 IP 및 NetMask 설정이 올바르게 되었는지 확인한다. FGT# get router info routing-table all ARP 테이블을 확인하여, 다이렉트로 연결된 PC1의 IP에 대한 MAC address가 정확한지? port2의 Router에 대한 MAC address가 정확한지 확인한다. FGT# get sys arp Step 2 : 방화벽 정책.. 2021. 1. 5.
ISDB 객체의 서비스 port 변경 ISDB 객체는 다수의 IP address와 port 번호들로 구성되어 있다. 이중 port number를 변경하는 방법이다. 아래의 예는 "Microsoft-Azure" 객체의 TCP, UDP port가 any로 설정되어 있는데, TCP 에대해 443, 80으로 변경하도록 설정하는 예이다. 1. "Microsoft-Azure" 객체의 ID 확인 # diagnose internet-service id-summary | grep Azure id: 327786 name: "Microsoft-Azure" 2. 해당 ID의 현재 IP와 port 정보 확인 # diagnose internet-service id 327786 223.223.168.88-223.223.168.88 geo_id(25500) black .. 2021. 1. 4.

티스토리툴바