본문 바로가기

FortiGate681

여러 웹 사이트가 동일한 하나의 IP를 사용하는 경우 Web filter 동작 여러 웹사이트가 동일한 IP 주소를 공유할 때 경우에 따라  웹사이트에 대한 연결이 차단되거나 허용될 수 있다.이는 Web filter Cache 때문에 발생한다. 새로운 사이트에 액세스할 때마다 해당 사이트의 IP 주소가 캐시에 아직 없는 경우 카테고리와 함께 웹 필터링 캐시에 추가 된다. 웹필터링은 캐시에서 사이트 IP와 연결된 카테고리를 이용하여 차단 여부를 결정하게 된다. 해당 웹사이트 IP 주소에 대해 웹 필터 캐시에 없는 경우에만 FortiGuard에 query 하게 된다. 하나의 IP에 여러 URL이 연결된 경우 웹 캐시로 인해 설정과 다르게 동작할 수 있는 것이다. 예를 들어 동일한 IP에 abc.com 과 xyz.com 이 모두 사용하는 상황에서 abc.com은 차단으로 설정하고 xyz... 2025. 3. 19.
차단되었지만 차단 log가 남지 않는 경우 FortiGate 정책에서 허용 정책은 "All Session" 로그를 남기도록 설정되었고, 차단 정책은 "Log violation traffic"이 설정 되어 차단 로그를 남기도록 설정되어 있다.그런데  FortiGate에서 차단되었지만 로그가 발생하지 않는 경우가 있다. 예를 들어 목적지에 대한 라우팅 정보가 없는 경우가 그 경우이다.packet이 FortiGate에 도착하면 여러단계를 거쳐서 라우팅을 확인하고 그에 맞는 방화벽 정책을 매칭하게 된다.하지만 목적지에 대한 라우팅 정보가 없는 경우 FortiGate는 해당 packet을 바로 삭제하게된다. (디버그에도 차단 메시지는 없다.)그냥 삭제되면서 더이상 policy lookup을 진행하지 않기 때문에 허용 또는 차단 로그가 생성되지 않는다. 2025. 3. 18.
Automation Script를 이용하여 backup 파일명에 시간을 넣는 경우 Automation Script를 이용하여 주기적으로 FTP 서버로 config를 자동 backup 할때 날짜와 시간을 넣는경우 에러가 발생하고 파일이 저장되지 않는다.# exe backup config ftp ebtFW-%%log.date%%_%%log.time%%.conf  위와 같이 "ebtFW-2025-03-18_03:25:04.conf" 형식으로 backup받은 날짜와 시간으로 파일명을 하려는 경우 Windows서버에서는 에러가 발생하면서 저장되지 않는다.이는 Winodws가 파일명에 콜론(:)을 허용하지 않기 때문이다. Linux서버에서는 잘 동작한다. 만약 하루에 여러번 backup 받아서 파일명을 구분해야 한다면 아래와 같이 "%%log.eventtime%%"이용하여 구분할 수 있다.파.. 2025. 3. 18.
v7.4.6으로 업그레이드 후 Local-in-policy가 동작하지 않는 경우 SD-WAN이 설정된 장비에서 v7.4.6으로 업그레이드 후 Local-in-policy가 동작하지 않는 경우가 있다.이는 FortiOS v7.4.6의 신규 기능 때문이다. 이전 펌웨어에서는  local-in policy에서 SD-WAN 멤버인 인터페이스를 개별적으로 직접 선택 할 수 있다.  하지만 FortiOS v7.4.6에서는 local-in policy에서 SD-WAN zone을 선택할 수 있고, 멤버인 인터페이스를 개별적으로 직접 선택 할 수 없게 되었다. 따라서 이전버전에서 개별 멤버를 사용하던 local-in policy 정책은 업그레이드 이후 동작을 하지 않게 된다.'diagnose debug config-error-log read' 명령어로 아래의 에러를 확인 할 수 있다. 2025. 3. 14.
SD-WAN에서 Load-Balancing 최대 멤버수가 8 → 16으로 늘어남 FortiOS v7.2.10, v7.4.7, v7.6.2 이하의 펌웨어 버전에서는 8개 이상의 SD-WAN 멤버가 있는 SD-WAN rule에서 로드 밸런싱 모드가 활성화된 경우 트래픽 분산은 8개의 멤버로만 제한되었다. FortiOS v7.2.11, v7.4.8(2025년 4월 출시 예정), v7.6.3(2025년 3월 출시 예정) 이상의 펌웨어 버전부터  로드 밸런싱 모드에서 최대 16개의 SD-WAN 멤버에 트래픽을 로드 밸런싱 가능하다. 2025. 3. 14.

티스토리툴바