본문 바로가기

FortiGate631

Heartbeat 인터페이스의 IP 할당 방법 HA 클러스터내에서는 heartbeat 인터페이스에 대해 '169.254.0.1' 같은 가상의 IP를 자동으로 할당하게 된다. 이런 가상의 IP는 FortiGate의 Serial Number에 의해 결정된다. 169.254.0.1 : HA 클러스터 내에서 시리얼 번호가 가장 높은 FortiGate에 할당 169.254.0.2 : 2번째 높은 FortiGate에 할당 169.254.0.3 : 3번째 높은 FortiGate에 할당 (이런식으로 계속 할당 됨) 이 가상 IP는 HA의 멤버를 구분하는 구분자로, HA 멤버끼리 config sync등에 사용된다. Primary → secondary 또는 Secondary → Primary으로 역할이 변경되더라도 IP는 변경되지 않고 유지된다. 단, 클러스터내에 새.. 2021. 1. 25.
FortiGate에서 로그 쌓는 레벨 조정 Product : FortiGate Detail : FortiGate의 로그 적재 레벨 조정이란? 1. FortiGate의 로그 적재 설정 2. FortiGate가 보내는 로그에 대한 설정 Solution : FortiGate에서는 '트래픽 로그' 및 '여러가지 이벤트 로그'들을 쌓고 있음. 이러한 로그들은 물리적인 하드디스크 or 메모리 등에 저장되며, 다음과 같은 차이가 존재. -Memory: 보통 물리적인 Disk가 없는 모델에서의 옵션. 로그를 메모리상에 적재하고. reboot 시, 삭제됨. -Disk: 물리적인 Disk가 있는 모델의 옵션. 로그를 Disk에 저장하며, reboot시에도 삭제되지 않음. 이러한 로그는 FortiGate의 I/O를 차지하게 되고, 과도한 로그의 발생으로 인한 성능 .. 2021. 1. 25.
Fortigate GeoIP database GeoIP는 국가별 IP Database Fortigate에 Address 객체로 만들어져 있으며 정책에 적용시켜 국가별 차단 및 허용 정책 설정 GeoIP Database는 AV, IPS처럼 FortiGuard에서 Database를 받음 최신 Database를 받으려면 Fortigate 기본 License인 Care가 있어야 한다. GeoIP database update 방법 및 트러블슈팅 방법은 아래 링크 참조 kb.fortinet.com/kb/documentLink.do?externalID=FD40662 kb.fortinet.com/kb/documentLink.do?externalID=FD40832 2021. 1. 22.
정책은 모두 허용인데 'Deny: policy violation' 로그 방화벽 정책은 아래처럼 모두 허용인데 로그에 'Deny: policy violation' 로그가 표시되는경우가 있다. 방화벽 정책은 허용이지만 해당 IP가 격리(Quarantine)된 경우에 위 로그가 발생한다. 6.2 이하에서는 "Monitor > Quarantine Monitor" 에서 확인하고, 6.4 이상에서는 "Dashboard > Users & Devices"의 "Quarantine " 위젯에서 확인한다. 2021. 1. 21.
SSLVPN 최대 접속자 수 현황 확인 SSLVPN은 최대 동시 접속자 수는 FortiGate 모델마다 다르며 각 모델별 Datasheet에서 확인가능하다. 각 장비별 메모리 사이즈에 따라 동시 접속자 수는 달라진다. 아래는 FortiGate-100F에 대한 Datasheet 확인 내용이다. # diag vpn ssl statistics 명령어로 장비가 리부팅된 후의 SSLVPN 접속 현황 확인이 가능하다. Max number는 리부팅된 후 최대 동시 접속 수를 표시하고, Current number는 현재 접속 상황을 표시한다. Max number user : 최대 접속자 수 Max number of tunnel : 최대 SSLVPN 터널 수 Max number connections : 최대 SSLVPN 세션 수 (SSLVPN을 통한 트래픽 .. 2021. 1. 21.