FortiGate/Firewall64 GUI에서 방화벽 policy ID를 수동으로 설정하는 방법 GUI에서 firewall policy ID를 수동으로 설정하기 위해서는, System > Feature Visibility 메뉴에서 "Policy Advanced Options"을 enable 해야 한다. "Policy Advanced Options"을 enable 하면, GUI에서 방화벽 정책 생성시 아래와 같이 Policy ID를 적용할 수 있다.위 예와 같이 "0"을 설정하면 FortiOS가 자동으로 사용하지 않는 Policy ID를 할당하게 된다. 만약 ID를 중복되게 설정하면 아래와 같이 자동으로 에러가 표시된다. 2024. 10. 18. 특정 Service(목적지 port)에 대해 허용하는 source port 제한 특정 목적지 port에 대해 source port 범위를 제한하는 방법이다.예를 들어 RDP(TCP 3389) 서비스에 대해, source port 범위가 10000~20000 이면 허용하고 나머지 source port에 대해서는 차단하는 경우이다.이 설정은 service 객체를 생성해서 방화벽 정책에 적용하면 된다. 2024. 8. 26. fragmentation 패킷 캡쳐하는 방법 MTU 사이즈보다 큰 패킷을 처리하기 위한 packet fragmentation이 너무 많이 발생하는 경우에 FortiGate 성능에 영향을 주게 된다.packet fragmentation이 발생하는지 확인하는 명령어이다. diagnose sniffer packet any '((ip[6:2] > 0) and (not ip[6] = 64))' 4 0 a not ip[6] = 64 : IP header의 6번째 byte 값이 64 아님 (DF flag 가 아닌 경우).ip[6:2] > 0 : IP header의 6번째 byte에서 2byte 값이 0보단 큰 경우(7번째, 8번째 byte가 0보다 큰 경우, fragmentation이 발생) 2024. 7. 5. GUI Firewall Policy 메뉴에서 Current Bandwidth의 의미 아래와 같이 Policy & Objects > Firewall Policy 메뉴에서, "Current Bandwidth" 값의 설명이다. 위 statistics는 8초 마다 새로 갱신되는 값이며, "Current Bandwidth" 는 '마지막 새로 고침 이후 이 정책을 통해 전송된 바이트 양'을 의미한다. 2024. 6. 21. Source NAT port range Source NAT 할때 변환되는 port range는 5117 ~ 65532 까지 60,416 개 사용 가능하다. 예를 들어 방화벽 정책 에서 SNAT 설정을 "Use Outgoing Interface Address" 로 설정 하면, IP 1개를 사용하는 것이기 때문에 동시 세션이 60,416개를 넘어가면 port 부족으로 연결이 불가능하다. IP Pool을 사용하여 SNAT IP를 늘려야 한다. 2024. 6. 19. 이전 1 2 3 4 5 ··· 13 다음
