본문 바로가기

FortiGate/Firewall63

방화벽 정책의 첫번째 Hit 시간, 마지막 Hit 시간 확인 CLI 명령어를 이용하여 방화벽 정책에 대한 Hit Count, First hit 시간, last hit 시간 및 연결된 세션수 확인하는 방법니다. # diagnose firewall iprope show : FortiGate에 설정되어 있는 값으로 IPv4 방화벽 정책은 "00100004" 이다. 예를 들어 '100000' 은 vitual IP(Destination NAT)이고, '100015' 는 Traffic shaper 이다. : 방화벽 정책의 ID이다. GUI의 'Seq#' 가 아니다. CLI와 GUI를 통해확인 가능하다. Policy ID 1번에 대한 hit count 및 hit 시간 확인 예. 여러개의 정책을 동시에 확인할 수도 있다. 예를 들어 Policy ID 1,3,5에 대해 동시에 확.. 2022. 7. 28.
VIP에서 Service 설정 (Virtual IP with services) VIP 설정에서 "Optional Filter"에 "Service" 설정이 있다. 위와 같이 설정한 경우, 외부에서 [192.168.170.55:8000], [192.168.170.55:8008], [192.168.170.55:8080]으로 접속하면 내부의 [192.168.11.110:80]으로 전달한다. 만약 아래 처럼 "Port Forwarding" 설정이 없다면 다음과 같이 전달된다. (단. 방화벽 정책에 해당 port에 대한 허용 정책은 필요하다) [192.168.170.55:8000] → [192.168.11.110:8000] [192.168.170.55:8008] → [192.168.11.110:8008] [192.168.170.55:8080] → [192.168.11.110:8080] 단, .. 2022. 2. 25.
VIP 차단 정책이 동작하지 않는 경우 FortiGate에서 아래와 같이 외부(all)에서 내부(all)로의 정책(ID 15)을 차단으로 설정했지만, VIP 정책(ID 14)은 차단되지 않고 허용된다. FortiOS에서는 VIP 객체와 Firewall Address 객체는 완전히 다른 객체로 판단하다. 즉 Firewall Address 객체인 "all" 과 VIP 객체인 "VIP_eBT_FAZ" 객체는 서로 다른 별개의 영역으로 판단하게된다. 따라서 "VIP_eBT_FAZ"접속하는 트래픽은 "all"에 매칭되지 않고, ID 15 정책에 의해 허용된다. 차단하려면 VIP 객체에 대한 차단 정책을 생성해야 한다. 또는 ID 15 정책에 아래와 같은 옵션을 추가하여, VIP 객체에 대해서도 매칭되도록 설정 할 수 있다. 2022. 2. 25.
특정 IP Address가 포함된 FQDN Object 확인하는 방법 특정 IP Address가 포함된 FQDN address Object 확인하는 방법은 GUI와 CLI로 가능하다. GUI의 경우 Addresses 메뉴에서 FQDN Object에 마우스를 올려 확인가능하다. 특정 IP address를 찾기 위해서는 FQDN 하나하나 확인하는 번거로운 과정이 필요하다. CLI 명령어를 이용하면 특정 IP Address가 포함된 FQDN Object를 바로 확인 할 수 있다. 2022. 2. 14.
FortiOS v7.0.2 : 방화벽 정책을 CSV 또는 JSON 파일로 추출 가능 FortiOS v7.0.2 신규기능으로 방화벽 정책을 CSV 또는 JSON 파일로 추출 가능하게 되었다. 이전 펌웨어 버전에서는 파이선을 이용하여 변경하는 방법이 있다. https://ebt-forti.tistory.com/299 2021. 10. 27.