본문 바로가기

FortiGate631

Fortigate secondary IP 간 통신 제어 Fortigate Interface에 secondary IP를 설정하여 IP대역을 확장할 수 있다.Fortigate GUI > Network > Interface 선택 > Secondary IP address 활성화 > IP 대역 추가 Fortigate Interface 당 secondary IP를 최대 256개 설정할 수 있습니다. FortiOS 7.2.4 이상 버전부터는 256개 설정이 가능하고 7.2.3 이하 버전에서는 32개 설정이 가능합니다.Fortigate Secondary IP간 통신192.168.1.0/24대역과 192.168.2.0/24대역 간 통신할 때 정책 필요 여부Fortigate OS 7.0.14, 7.2.5, 7.4.0 이상버전에서는 서로 통신하는데 방화벽 정책이 필요하지 않습니.. 2024. 5. 23.
v7.4.4 : FortiGate 2 GB RAM 모델에서 proxy 관련 기능 지원 안됨 2GB RAM 이하의 FortiGate 모델에서 성능을 향상하고 메모리 사용을 최적화하기 위한 개선의 일환으로 버전 7.4.4부터 FortiOS는 더 이상 프록시 관련 기능을 지원하지 않는다.FortiGate/FortiWiFi 40F, 60E, 60F, 80E, 90E 시리즈 장치 및 FortiGate-Rugged 60F(2GB 버전만 해당)에 해당한다. 다음의 Proxy 기능이 지원 되지 않는다.Zero Trust Network Access (ZTNA)UTM profile with proxy-based inspection modeFirewall policy with proxy-based inspection modeExplicit and transparent proxiesVirtual server loa.. 2024. 5. 23.
v7.4.4 : Web Filter Flow 모드 기능 및 CDR 기능 향상 FortiOS v7.4.4에서 Web Filter Flow 모드에서 다음의 기능이 추가 되었다.Safe searchRestrict YouTube accessVimeo access이전 버전에서는 Proxy mode에서 동작 가능한 기능었다.  CDR은 기존에 Microsoft Office 파일과 PDF 파일만 가능했지만, FortiOS v7.4.4에서 OpenOffice 파일, RTF(Rich Text Format), XLSB (Excel Binary Workbook) 파일을 추가적으로 지원한다.단, CDR은  Proxy mode에서 동작 한다. 2024. 5. 23.
v7.4.4 : 타 벤더와 TCP를 이용한 IPsec VPN 가능 FortiOS v7.4.2에서 Fortinet 자체 솔루션으로 TCP를 이용하여 ESP packet을 encapsulate 가능했지만, v7.4.4에서는 RFC 8229 지원하게 되었다.즉, RFC 8229를 지원하는 타벤더와 TCP를 이용한 IPSec VPN 연결이 가능하다.주의할 점은 IKEv2에서만 사용가능하며, ADVPN에서는 사용 할 수 없다. Encapsulate 할 TCP port는 system setting에서 설정하며 default 값은 4500이다. Phase 1 설정에서 TCP 사용을 enable한다.주의할 점은 타 벤더와의 통신이기에 fortinet-esp를 disable 한다.( default disable) 2024. 5. 23.
v7.2.1 : https GUI 접속시 경고창 없애는 방법 FortiOS v7.2.1부터 별도의 공인인증서나 let's encrypt 를 사용하지 않고,  자체 인증서(Fortinet_GUI_Server)를 이용하여 인증서 경고를 없앨 수 있다.(v7.0.2 이상 : https://docs.fortinet.com/document/fortigate/7.0.0/new-features/165397/local-certificate-wizard-7-0-2) FortiGate가 자체 CA 인증서(Fortinet_CA_SSL)이용하여 " Fortinet_GUI_Server"를 만드는 방식이다.FortiGate의 HTTPS가 활성화된 모든 물리적 및 논리적(VLAN, 루프백 등) 인터페이스의 IP 주소를 인증서의 SAN((Subject Alternative Name, 주체 대.. 2024. 5. 22.