FortiGate653 vdom에서 sudo 명령어 vdom 환경에 CLI 명령어는 해당 vdom이나 global에 진입하여 CLI 명령어를 입력해야 한다. sudo 명령어를 이용하면 어디에서나 global 또는 각 VDOM에 대한 CLI 명령어를 입력할 수 있다. 2023. 8. 1. FortiOS에서 최대 Dynamic routing count FortiOS 에서 동적으로 라우팅 경로를 학습할 수 있는 최대 라우팅 수는 정해진 제한이 없다. 사용할 수 있는 시스템 메모리의 용량에 따라 달라진다. 정해진 최대 동적 라우팅 수의 제한이 없기 때문에 메모리에 비해 너무 많은 라우팅을 동적으로 학습하는 경우 Conserve mode에 빠질 수 있다. 관리자는 conserve mode를 피하기위해 라우팅 경로에 필터링하고 최적화하는 적절한 동적 라우팅 설정을 해야한다. 2023. 8. 1. Administrator 계정의 timeout을 없이 지속적으로 로그인하는 방법 일반적으로 admin 졔정의 timeout은 System > Setting 메뉴에서 Idle timeout 설정으로 1~480 분 설정이 가능하다. 그러나, 일부 debug를 위해서 timeout이 없이 지속적으로 로그인 해야 할 필요도 있다. 이런 경우 'Admin Profile' 메뉴에서 새로운 Profile을 만들때 아래와 같이 "Never Timeout"을 enable 한다. 새로운 admin 계정을 하나 만들고, 해당 admin의 profile을 위에서 "Never Timeout"을 설정한 profile을 지정한다, 위와 같이 설정한 경우 "debug_admin"의 경우 로그인하게 되면 timeout없이 FortiGate에 대해 지속적으로 엑세스가 가능하다. 2023. 7. 31. v7.2.4 : VIP 관련 'match-vip' 설정 기본적으로 enable VIP 관련하여 일반적인 address object와 VIP object를 분리하여 매칭하기 때문에 아래의 설정 경우, 15번 정책으로 "VIP_eBT_FAZ"로의 트래픽을 차단하지 못한다. 이럴 경우 15번 정책에 "set match-vip enable" 설정을 하여, 15번 정책에서도 VIP를 매칭 하도록 설정 해야 했다. 펌웨어 v7.2.4 부터 "set match-vip enable" 설정이 기본적으로 enable 되어 있기 때문에, 별도의 설정 없이 15번 설정으로 차단 가능하다. 2023. 7. 31. Policy Route 우선 순위 FortiGate의 Policy Route는 Cache된 라우팅 정보보다 우선 처리된다. FortiGate가 Policy Route로 처리하는 항목은 3가지가 있다. 첫째, FortiGate의 Policy Route 메뉴에서 직접 설정한 일반적인 Policy route이다. 둘째, Static Route에서 ISDB를 이용하여 설정한 라우팅 정보는 Policy Route로 처리된다. 셋째, SD-WAN Rule 또한 Policy Route로 처리된다. Policy Route의 처리 순서는 위 순서와 동일하다. 직접 설정한 Policy route → ISDB → SD-WAN rule 순이다. CLI에서 "diagnose firewall proute list " 명령어도 설정 순서와 상관없이 우선순위에 맞춰.. 2023. 7. 28. 이전 1 ··· 39 40 41 42 43 44 45 ··· 131 다음
