FortiGate632 FortiGate에서 어떤 정책을 타는지 궁금할 때 Product : FortiGate Detail : FortiGate를 통하여, 들어오고 나가는 트래픽이 어느 정책을 타는지 모르겠을때 1. ICMP Protocol 을 이용한 테스트 Solution : 다수의 정책이 들어간 방화벽을 관리시, 정책의 설정에 아래와 같은 확인사항이 필요할 수 있음. "이 트래픽은 FortiGate의 어떠한 정책을 타서 허용/차단되는지?" 이러한 상황이 발생했을때, 사용할 수 있는 매뉴가 'Policy Lookup' 기능. Policy & Object > IPv4/v6 Policy 의 위치로 가면, 아래와 같은 매뉴를 확인가능. 'Policy Lookup' 버튼을 이용하여, 각 트래픽이 FortiGate 내부의 어떠한 정책을 타는지 확인 가능. Protocol로 사용가능한 .. 2021. 1. 28. policy ID 0인 Local 트래픽 로그 일반적으로 policy ID 0는 방화벽 정책 맨 아래에 있는 "Implicit Deny" 정책 ID 이다. 로그 상에 'policy ID 0'이지만 'implicit deny' 정책이 아닌 경우도 있다. Forward traffic 로그는 FortiGate를 통과하는 모든 수신 발신 트래픽에 관련된 로그이다. 반면 Local traffic은 FortiGate에서 출발 또는 도착하는 트래픽이다. 예를 들어 FortiGuard와의 트래픽, 관리자 접근 트래픽, VPN 통신등이 해당된다. 이런 Local traffic에 대한 로그 설정은 아래 명령어로 설정한다. Local 트래픽은 FortiGate를 통과하는 정책과 매칭되지 않기 때문에 "local-in-policy" 설정하지 않는다면 해당하는 policy.. 2021. 1. 27. FortiGate upgrade path 확인 FortiGate upgrade path 확인하는 방법 Fortinet Support site 접속 후(로그인 필요함) > Download > Firmware Images > Upgrade Path Current Product에 Fortigate Model을 선택하고 Current FortiOS Version에 현재 버전 그리고 Upgrade To FortiOS Version에 올릴 버전을 선택하면 된다. - Fortigate upgrade path를 확인해야 하는 이유 Ex) Fortigate-100E OS 5.6.7 > 6.2.5로 가기 위해서는 Firmware 4단계를 거쳐야 한다. Firmware가 바뀌면서 CLI 명령어가 변경되는 부분이 있어 Upgrade Path에 맞춰 올려야 명령어도 변경된.. 2021. 1. 27. 'Dirty' session 의미 다음과 같이 세션의 정보를 확인해보면, 상태정보에 'dirty' 'may_dirty' 등 여러 상태 정보들을 표시한다. 이 포스팅에서는 'dirty' 세션이 무언인지? 세션의 상태정보가 'dirty'로 설정되는 이유는 무엇인지? 알아본다. FortiGate는 세션의 첫번째 패킷(예: SYN)을 수신하면, 방화벽 정책에 따라 트래픽을 허용할것인지 차단할것인지 CPU에서 판단하게 된다. 이 판단은 방화벽 정책이 변경되지 않는한 세션의 첫번째 패킷에 대해서만 수행한다. 방화벽 정책에서 트래픽을 허용할 경우 FortiGate는 세션을 생성하고, 세션의 상태정보를 'may_dirty'로 설정한다. 'may_dirty'로 설정된 세션은 방화벽 정책의 변경이나 네트워크 변경등이 없을 경우 CPU의 재 평가 없이 기존.. 2021. 1. 27. 테스트 및 데모에서 강제로 HA Failover 하는 방법 테스트, 트러블슈팅 및 데모기간 중에 수동으로 HA Failover 하는 방법이다. 실제로 동작중인 장비에는 사용하지 않도록 해야한다. HA Primary 장비에서 아래 명령어를 이용하여 failover를 강제 실행 할 수 있다. # execute ha failover set 장비는 다른 HA failover 조건에 상관없이 failover 상태를 유지한다. failover 상태를 해제하기 위해서는 아래의 명령어로만 해제할 수 있다. # execute ha failover unset cluster_id는 일반적인 상태에서는 1이며, 만약 virtual cluster mode일 경우 1또는 2가 될 수 있다. 강제로 HA failover 발생 예 HA Failover 상태 확인 강제로 HA failover.. 2021. 1. 26. 이전 1 ··· 109 110 111 112 113 114 115 ··· 127 다음
