FortiGate/Firewall75 'Dirty' session 의미 다음과 같이 세션의 정보를 확인해보면, 상태정보에 'dirty' 'may_dirty' 등 여러 상태 정보들을 표시한다. 이 포스팅에서는 'dirty' 세션이 무언인지? 세션의 상태정보가 'dirty'로 설정되는 이유는 무엇인지? 알아본다. FortiGate는 세션의 첫번째 패킷(예: SYN)을 수신하면, 방화벽 정책에 따라 트래픽을 허용할것인지 차단할것인지 CPU에서 판단하게 된다. 이 판단은 방화벽 정책이 변경되지 않는한 세션의 첫번째 패킷에 대해서만 수행한다. 방화벽 정책에서 트래픽을 허용할 경우 FortiGate는 세션을 생성하고, 세션의 상태정보를 'may_dirty'로 설정한다. 'may_dirty'로 설정된 세션은 방화벽 정책의 변경이나 네트워크 변경등이 없을 경우 CPU의 재 평가 없이 기존.. 2021. 1. 27. QUIC 프로토콜 차단 QUIC (Quick UDP Internet Connections)는 Google에서 개발한 Transport Layer 프로토콜이다. Google이나 Youtube등에서 QUIC를 지원하며, 크롬 브라우저에서 기본적으로 지원한다. QUIC는 UDP 80, UDP 443 port를 이용하며 transparent proxy를 우회하도록 하여, 웹 필터 기능이 크롬에서 제대로 동작 안 할 수있다. QUIC를 차단하는 방법 3가지 1. 크롬 브라우저에서 QUIC disable 2. FortiGate Application Control에서 QUIC 차단 3. 방화벽 정책에서 UDP 80, UDP 443 차단 2021. 1. 13. FortiGate SPAN Interface 관련 Product : FortiGate Detail : FortiGate에서 SPAN (Switch Port Analyzer) 에 대한 설명 및 설정 관련 (=Port Mirroring) 1. 설정 방법 2. 제한 사항 Solution : FortiGate에서 Switch 포트를 이용하여, SPAN(=port mirroring)을 구성할 수 있음. 특정 포트에서 받은 입력을 , 맴버로 묶인 다른 인터페이스로 전송. 방향은 Tx/ Rx/ Both 등으로 설정 가능. -1. 1-1) in CLI # config system switch-interface edit set vdom --> If no VDOMS are configured then it will be root set member “port no” “p.. 2021. 1. 12. session timeout 무한대로 설정하기 FortiOS 6.4에서 설정 가능 자동 재연결 기능이 없는 레거시 어플리케이션이나 시스템에 영구적으로 연결할 수 있도록 session-ttl 설정을 무한대로 설정 할 수 있다. 설정 대상은 방화벽 서비스, policy, VDOM에 대해 적용 가능하다. 메모리 사용률을 고려하여, 꼭 필요한 서비스 또는 policy에만 적용 하도록 주의 해야 한다. Custom service에 세션을 무한대로 설정 하는 예. config firewall service custom edit "tcp_23" set tcp-portrange 23 set session-ttl never next end 방화벽 정책에 사용 하는 예 CLI에서 "?"를 이용하여 확인하면 never는 설명에 표시되지 않는다. 무시하고 "never" .. 2021. 1. 7. FortiGate Loopback Interface 설정 관련 Product : FortiGate Detail : FortiGate를 통한 Loopback Interface의 구성 및 세팅 관련 1. 정의와 사용 예시 2. 설정 방법 Solution : -1. FortiGate Loopback interface는 'IPsec vpn터널 가상 인터페이스'처럼 논리적인 인터페이스로, 물리적 인터페이스와 별개로 동작함. Interface list에서 항상 up-link 상태로 보여지고, 라우팅 테이블에 올라와있음. 사용하기 위해서는 in/out 트래픽을 위한 방화벽 정책도 필요. FortiGate를 통한 Loopback의 사용에는 다음과 같음 =매니지먼트 엑세스 용도 =BGP (어드벤스 라우팅) peering 용도 =PIM RP (멀티캐스팅을 이용시 RP 등록) 용도 =.. 2021. 1. 6. 이전 1 ··· 11 12 13 14 15 다음
