본문 바로가기

FortiGate/ZTNA13

NGFW Policy-based mode에서는 ZTNA 지원 안됨 NGFW Policy-based mode에서 ZTNA기능이 완벽하게 지원되지 않는다.아래와 같이 NGFW 모드의 설저에 따라 ZTNA 설정 메뉴가 사라진다. 아래와 같이 System > Feature Visibility 메뉴에서 "Zero Trust Network Access"를 enable 하더라도 위 결과는 변함 없다. Feature Visibility에서  "Zero Trust Network Access"를 enable 하게되면, "Policy & Objects > SSL Inspection & Authentication" 에서 "Security posture tag"를 이용한 IP/MAC filtering 기능을 이용할 수 있게 된다. NGFW Policy-based mode에서 ZTNA기능이 완.. 2025. 2. 24.
ZTNA tag 정보가 변경되었는데도 기존 연결된 세션이 유지되는 경우 ZTNA tag 정보에 따라 허용된 세션이 ZTNA tag 정보가 변경되어 차단되어야 하는데도, 기존 연결된 세션이 유지되는 경우가 있다. ZTNA Tag상태에 따라 허용된 클라이언트가 EMS와 연결이 끊어지면, 해당 Tag에서는 클라이언트 정보가 사라지고 FortiGate에도 동기화 된다.FortiGate는 Tag 정보에서 사라진 클라이언트에 대해 접속을 차단해야 하지만 그대로 유지하는 경우가 있다. v7.2.0 이상에서는 아래 명령어를 통해 정상적으로 차단되도록 할 수 있다.위 옵션이 활성화 되면 해당 세션은 'dirty'로 바뀌게 되고 약 10초 후 'block'으로 변경 된다. 2024. 12. 9.
Security Tag Group 동작 방식 Security Posture Tag Group의 동작 방식에 대한 예이다.위 그림에서 정책에서는 "All" 을 선택하여 설정된 tag들을 "AND" 조건으로 동작하게 한다. 하지만 Security Posture Tag Group으로 설정된 경우, Tag Group 내에서는 "OR"로 동작하게 된다."Ios17 and (ios_bio or IOS_not_jail)" 모든 Tag를 and 조건으로 하려면 그룹에서 분리해서 각각 설정하거나, FortiClient EMS에서 Tag를 설정 할 때 논리적 연산자를 사용하는 방법이 있다. 2024. 8. 28.
v7.4 : Full ZTNA Rule 소개 (vs. Simple ZTNA Rule) 이전버전에서는 ZTNA rule을 "Policy & Objects > ZTNA > ZTNA Rules" tab 메뉴에서 설정했지만, v7.4에서는 이 메뉴가 사라지고 Firewall policy 메뉴와 "Policy & Objects > Proxy Policy" 메뉴에서 설정 하도록 변경 되었다. Simple ZTNA Rule위 설정의 경우 실제로 접속하는 Real Server는 2개이지만 각 서버별로 사용자 인증이나 'Security posture tag' 를 다르게 설정 할 수 없다.Firewall policy 설정에서 2개의 묶음인 ZTNA server에 대해 정책을 설정하기 때문이다.각 Real Server별로 정책을 다르게 설정하는 방법이 Full ZTNA이다. Full ZTNA RuleFull.. 2024. 8. 21.
ZTNA Replacement message 유형 V7.4.1에서 ZTNA Replacement message에 대해 4개의 새로운 카케고리와 14개의 sub type이 추가 되었다.특정 오류에 대한 추가 정보가 표시되고 최종 사용자에게 발생한 오류에 대한 자세한 정보를 제공한다.Invalid ZTNA Certificate001: the ZTNA certificate is invalid002: the ZTNA certificate is empty003: the device is manageable but with an empty ZTNA certificateZTNA Application Not Found021: no API gateway was matched022: the real server in the API gateway cannot be foun.. 2024. 6. 25.

티스토리툴바