FortiGate652 v7.4.0 : IP/MAC Based Access Control 에서 tag에 대한 AND 조건 추가 IP/MAC Based Access Control에서 여러개의 ZTNA Tag를 AND/OR 조건으로 적용하는 기능이 v7.4.0에서 추가 되었다. Tag는 Primary 와 Secondary 로 구분되며, 서로 AND 조건으로 적용된다. 아래 예의 경우 (win_10 OR win_11) AND Windows_AV 이다. 클라이언트가 win_10 또는 win_11 중 하나의 Tag와 함께 Windows_AV Tag를 가지고 있으면 아래 정책이 적용된다. 2023. 5. 17. v7.4.0 : MAC address threat feed 이전에는 외부의 웹서버에서 IP address, URL, Malware hash 등의 목록을 가져와서 방화벽 정책이나 Seacurity Profile에 사용 했다. v7.4.0에서 외부의 웹서버에서 MAC address 리스트를 주기적으로 동기화해서 방화벽 정책, ZTNA Rule, proxy 정책등에 source address로 사용 할 수 있다. 만약 TP 모드나 Wire pair 구성이라면 source와 destination 모두 사용 가능하다. Mac address 형식은 아래와 같이 하나의 MAC address, MAC range, MAC OUI(제조회사 : Organizationally Unique Identifier)형식으로 설정 가능하다. 단, 구분자로 "-" 를 사용할 수 없다. 2023. 5. 17. ZTNA : 인증 순서 ZTNA를 접속할 때 여러단계의 인증을 거치게 된다. 순서는 다음과 같다. 1. 디바이스 인증 FortiClient가 EMS에 Telemetry로 연결되면, EMS로 부터 인증서를 발급 반게 된다. 발급 받은 인증서 정보는 FortiGate와 공유된다. ZTNA 접속시 제일 먼저 디바이스 인증서를 검증하게 된다. 이 인증서는 FortiClient가 EMS와 연결이 끊어지거나, Clent 등록이 해지되면 EMS에서 발급된 인증서는 삭제된다. FortiClient가 뜬에 다시 연결되면 새로운 인증서를 다시 발급 받게되고 변경된 정보는 FortiGate와 공유하게 된다. 2. 사용자 인증 Authetication Rule과 ZTNA Rule에서 사용자 인증을 사용하게 되면, 디바이스인증을 통과한 연결에 대해 .. 2023. 5. 15. Chat GPT 차단 방법 Chat GPT를 Application Control과 Web filter를 이용하여 차단 할 수 있다. 현재 Application Control의 경우 SSL Certificate Inspection으로 탐지 가능하다. 2023. 5. 4. Policy-based IPsec에서 양쪽이 동일한 subnet 인 경우 Route-Based IPsec에서 동일한 네트워크의 경우는 https://ebt-forti.tistory.com/581 참조.. Policy-based IPsec VPN 구성에서 아래와 같이 양쪽 Network가 동일한 경우 설정하는 방법이다. Route-Based 와는 달리 VIP 를 설정하지 않지만, 10.10.10.0/24와 20.20.20.0/24 이용하여 통신하도록 구성한다. Seoul 장비 설정 1. VPN 터널 설정에서 Phase2 설정에 Local Address는 "10.10.10.0/24"를 Remote Address는 "20.20.20.0/24"를 설정한다. 2. Phase 2 설정에 "set use-natip disable"을 추가 설정한다. 3. 방화벽 정책을 설정한다. Sourc.. 2023. 5. 4. 이전 1 ··· 44 45 46 47 48 49 50 ··· 131 다음
