FortiGate/Firewall64 ISDB가 Source에 포함 되는 경우 ISDB는 잘 알려진 Internet Servcie에 대해 IP와 port 포함된 DB이다. 아래와 같이 Apple-LDAP 서비스에대해 다양한 IP와 해당 IP가 사용하는 Port가 포함되어 있다. ISDB를 방화벽 정책에서 Destination으로 설정하게 되면, IP list가 Destination Address가 되고 Port list는 Destination port가 된다. ISDB가 방화벽 정책의 Source에 포함될 경우, IP list는 Source Address가 되지만 port list는 Source에 적용 할 수가 없다. 따라서 port는 all("0")로 설정되어 정책에서는 Source Address에 대해서만 매칭하게 된다.. 2024. 1. 11. 방화벽 정책의 첫 사용 날짜와 마지막 사용된 날짜 확인 FortiGate의 각각의 정책이 사용된 첫번째 날짜와 마지막 날짜를 확인하는 방법니다. GUI에서 "Policy & Objects > Firewall Policy" 아래와 같이 'First Used' 와 'Last Used' 컬럼 보기를 추가한다. (펌웨어 버전에 따라 'Last Matched' 컬럼일수도 있음) 이와 같이 선택하면 GUI에서 각 정책별 사용된 첫번째 날짜와 마지막 날짜를 표시한다. CLI를 이용해서 확인하는 방법은 다음과 같다. https://ebt-forti.tistory.com/495 2023. 9. 4. 방화벽 Object naming 규칙 FortiGate의 address 같은 object의 이름을 지정할때 적용되는 규칙이다. 1. 대부분의 방화벽 object의 최대 길이는 35자 이다. 2. 이름에 지원되는 문자는 다음과 같다. ◼ 숫자 : 0 ~ 9 ◼ 문자 : 대문자 / 소문자 모두 가능 ◼ 특수 문자 : - (hyphen) _ (underscore) ◼ 공백(space) 문자 : 사용 가능하지만 CLI 명령어나 Debug 시 문제가 발생 할 수 있어 권장하지 않음 3. 사용 할 수 없는 문자 : password에서는 사용 가능 ( ) # ' " 2023. 8. 2. v7.2.4 : VIP 관련 'match-vip' 설정 기본적으로 enable VIP 관련하여 일반적인 address object와 VIP object를 분리하여 매칭하기 때문에 아래의 설정 경우, 15번 정책으로 "VIP_eBT_FAZ"로의 트래픽을 차단하지 못한다. 이럴 경우 15번 정책에 "set match-vip enable" 설정을 하여, 15번 정책에서도 VIP를 매칭 하도록 설정 해야 했다. 펌웨어 v7.2.4 부터 "set match-vip enable" 설정이 기본적으로 enable 되어 있기 때문에, 별도의 설정 없이 15번 설정으로 차단 가능하다. 2023. 7. 31. FQDN(Regular/Wildcard) 주소 객체에 저장할 수 있는 IP 수 FortiGate FQDN 객체에 저장할 수 있는 IP 수 v7.0.3 까지는 1,000개의 IP 주소 저장 v7.0.4 이상 부터는 3,000개의 IP 주소 저장 한도를 초과하면 오래된 항목부터 삭제 Public FQDN이 1,000 또는 3,000개가 넘어갈 경우는 ISDB(Internet Service Database)를 사용하는것이 좋다. 2023. 6. 29. 이전 1 2 3 4 5 6 7 8 ··· 13 다음
