FortiGate652 v7.2.4 : policy 설정 화면에서 flow/proxy inspection 설정 없음 v7.2.4이상의 Lower-end 모델(40F, 60E, 61E, 60F, 61F, 80E, 81E)등 모델에서는 메모리 문제(2 GB 이하)로 Proxy를 포함한 일부 기능을 default로 disable 해 놓았다. 이전 버전에서는 Policy 설정 화면에서 Flow inspection과 Proxy Inspection을 선택할 수 있었지만, v7.2.4에서는 아래와 같이 설정 화면이 사라졌다. 다시 보이게 할려면 아래의 CLI 명령을 입력한 후, 관리자가 GUI를 재접속하면 표시된다. 2023. 2. 28. SSLVPN Web-mode를 통해 서버 접근시 HTTP 401 Error SSLVPN Web-mode를 통해 서버 접근시 HTTP 401 Error가 뜨는 경우가 있다. HTTP 401 Error는 클라이언트 인증 관련 에러이다. SSLVPN Web-Mode는 Proxy 방식으로 동작하여, FortiGate가 Proxy 역할을 하고 Source IP는 FortiGate의 Outgoing 인터페이스 IP로 변경되어 서버로 연결된다. SSLVPN은 HTTP/HTTPS 연결의 경우, 웹 서버에 FortiGate의 Outgoing 인터페이스 IP가 아니라 클라이언트의 실제 IP를 알려주기 위해 default로 X-forwarded-for를 사용한다. 웹 서버에서 IP Header의 IP(FortiGate의 Outgoing 인터페이스 IP)와 HTTP header에 포함된 X-forw.. 2023. 2. 27. SSL Deep inspection에서 인증서 변경 SSL Deep inspection에서 default 인증서(Fortinet_CA_SSL) 인증서를 사용하게 되면, 내부 사용자에게 인증서 경고창이 표시되게 된다. 이를 피하기위해 내부사용자 PC에 "Fortinet_CA_SSL" 인증서를 "신뢰할 수 있는 루트 인증기관"에 설치하여 이를 피할수 있다. 다른방법으로는 공인된 인증기관으로 부터 인증서를 발급 받아 사용하면, 내부사용자에 인증서 설치 단계 없이 경고창을 피할 수 있다.이 때 해당 인증서는 새로 암호화를 수행해야 하기 때문에, 그 때마다 인증서를 새로 발급해야 한다.따라서 CA 역할을 할 수 있는 인증서로 "cA=True, keyUsage=keyCertSign" 항목이 필요하다. 본 포스팅은 공인된 인증기관이 아닌, 사설 인증기관(FortiAu.. 2023. 2. 21. 라이선스 등록 후 GUI License Widget에 반영이 안되는 경우 일반적으로 라이선스를 등록하면 서버와 장비간의 동기화 시간이 필요하다. 일반적으로 등록후 4시간에서 24시간 정도 소요된다. 만약 충분한 시간이 지났는데도 GUI License Widget에 반영이 되지 않으면 debug를 해야 한다. debug에서 아래와 "Error allocating memory for rx buffer" 에러가 표시 될 수 있다. 이 에러는 updare 프로세스가 메모리 버퍼 할당에 문제가 있다는 뜻이다. 아래의 명령어로 update 프로세스를 다시 시작하면, 메모리가 확보되어 문제가 해결된다. # fnsysctl killall updated 2023. 2. 20. v.7.2.4 : WAD process 메모리 점유율에 따른 자동 restart 기능 Proxy 기능을 사용할때 동작하는 WAD process의 높은 메모리 점유율로 인하여 Conserve mode가 발생 할 수 있다. v.7.2.4 이상에서는 WAD의 memory 점유율 기반으로 WAD를 restart하여 메모리 점유율을 낮추는 기능이 추가 되었다. 이 옵션이 있는 경우 WAD는 잠재적인 메모리 누수를 감지하게 되면, 자동으로 WAD 작업자를 다시 시작한다. 이 외에도 매일 지정된 시간에 restart 하도록 시간을 정할 수도 있다. 또한, v 7.2.1 부터는 RAM이 2GB 이하인 FortiGate 모델에서 사용하지 않는 WAD 프록시 프로세스는 메모리 사용량을 줄이기 위해 기본적으로 시작되지 않는다. 명시적 프록시, 투명 프록시 또는 ZTNA와 같은 관련 프록시 기능이 설정된 경우.. 2023. 2. 15. 이전 1 ··· 50 51 52 53 54 55 56 ··· 131 다음
