FortiGate/Security Profile75 FQDN 기반 SSL 예외처리 동작 방식 SSL Inspection에서 FQDN을 이용하여 예외처리 할 수 있다.이 예외처리가 Flow-based Inspection과 Proxy-Based Inspection에 따라 조금 다르게 동작한다. Flow-based InspectionSSL 예외처리는 도메인 기반이다.SNI가 FQDN object에 설정된 도메인과 일치하는 경우에만 예외처리 된다.SNI를 사용할 수 없는 경우 서버 인증서의 CN이 사용 된다.Proxy-Based InspectionSSL 예외처리는 IP 기반이다.FQDN 및 wildcard FQDN 주소는 IP 주소로 처리된다.동일한 IP로 여러 Domain이 연결된 경우, 다른 도메인도 예외 처리 될 수 있다.예를 들어 "ebt1.etevers.com" 과 "ebt2.etevers.c.. 2025. 4. 15. 여러 웹 사이트가 동일한 하나의 IP를 사용하는 경우 Web filter 동작 여러 웹사이트가 동일한 IP 주소를 공유할 때 경우에 따라 웹사이트에 대한 연결이 차단되거나 허용될 수 있다.이는 Web filter Cache 때문에 발생한다. 새로운 사이트에 액세스할 때마다 해당 사이트의 IP 주소가 캐시에 아직 없는 경우 카테고리와 함께 웹 필터링 캐시에 추가 된다. 웹필터링은 캐시에서 사이트 IP와 연결된 카테고리를 이용하여 차단 여부를 결정하게 된다. 해당 웹사이트 IP 주소에 대해 웹 필터 캐시에 없는 경우에만 FortiGuard에 query 하게 된다. 하나의 IP에 여러 URL이 연결된 경우 웹 캐시로 인해 설정과 다르게 동작할 수 있는 것이다. 예를 들어 동일한 IP에 abc.com 과 xyz.com 이 모두 사용하는 상황에서 abc.com은 차단으로 설정하고 xyz... 2025. 3. 19. Threat feed 제약사항(최대 라인, 파일 사이즈등) 변경 FortiOS v7.4.3 이하에서 Threat feed는 최대 10MB 파일 크기와 131,072(128✕1,024) 항목수의 제약이 있었다. FortiOS v7.4.4 이상에서 이 제약은 변경 되었다. High-End (Data Center) Mid-Range (Campus) Entry-Level (Branch) Category2 000 000300 000150 000IP address300 000300 000300 000Domain5 000 0003 000 0001 000 000MAC1 000 0001 000 0001 000 000File size limit (MB)1286432 VDOM이 활성화된 경우, Global이 먼저 계산되고 VDOM의 경우 알파벳순으로 적용된다. 예를 들어 601E(.. 2025. 1. 6. DNS translation 기능 FortoGate를 통과하는 DNS query에 대해 DNS profile을 이용하여 정책별로 다른 IP address로 변환 할 수 있다. 예를 들어 내부 웹 서버의 Domain Name은 공인 IP로 매핑되어 있을 경우, 내부 사용자가 웹서버의 Domain Name으로 접속하는 경우 외부 공인 IP를 통해 접속하게 된다. DNS translation 기능을 이용하여 내부 사용자가 웹서버에 접속하기 위해 DNS query를 하는 경우, 응답을 외부 공인 IP가 아닌 내부 사설 IP로 응답하여 직접 통신하도록 할 수 있다. 테스트 예)www.example.com 의 경우 PC에서 아래와 같이 IP 93.184.215.14로 매핑 되어 있다. DNS profile에서 DNS translation 기능을 .. 2024. 12. 9. FortiGuard Web Filter 장애 WebFilter 라이선스도 정상적으로 등록되어 있고, "service.fortiguard.net" 가 정상적으로 연결되는데도 Web-filter Service가 disable 되어, FortiGuard로 부터 정상적인 rating을 얻지 못하는 경우가 있다.모든 URL이 "Unrated"로 접속이 되지 않는다."dia debug rating" 결과에도 Web Filter가 disable 되어 있다. 강제로 Web FIlter가 disable 되어 있을수 있다. 아래 명령어로 enable 하면 정상적으로 FortiGuard로 부터 응답을 얻을수 있다. 2024. 11. 25. 이전 1 2 3 4 ··· 15 다음
