FortiGate652 v7.0 : SSL profile에 Server 보호 목적으로 다수의 인증서 사용 가능 FortiOS v7.0부터 'Protecting SSL Server' 모드에서 서버의 인증서를 여러개 사용 가능하다. 이를 통해 여러 서버를 동일한 보호 IP 주소에 배포하고 인증서의 SNI 일치를 기반으로 검사할 수 있다. FortiGate는 클라이언트 및 서버 Hello 메시지를 수신하면 SNI 및 CN을 SSL 프로필의 인증서 목록과 비교하고 일치하는 인증서를 대체 인증서로 사용한다. 목록에 일치하는 서버 인증서가 없으면 목록의 첫 번째 서버 인증서가 대체 인증서로 사용된다. 위와 같은 구성에서 아래와 같이 SSL Profile을 'bbb.com', 'aaa.com' 서버에 대한 인증서를 2개 순서대로 설정 한 경우... 클라이언트가 'bbb.com', 'aaa.com' 으로 접속하는 경우 해당 서.. 2022. 8. 5. Custom DNS 설정에서 "Unreachable" 에러 FortiOS v7.0이상에 Custom DNS을 설정하면 "Unreachable" 에러 또는 Latency가 오래 걸리는 경우가 있다. TLS를 기본적으로 사용함으로써 발생하는 문제로, Server hostname을 삭제 하거나, DNS(UDP/53)을 사용하면 해결 할 수 있다. 2022. 8. 4. SSLVPN Host check : OS 최신 버전 패치 적용 SSLVPN Hostcheck 중에 OS 체크도 가능하지만, 해당 OS 버전의 최신 버전 패치 여부를 확인하는 방법도 있다. SSLVPN portal 설정에서 'Restrict to Specific OS Version' 메뉴에서 설정 가능하다. Tolerance 는 허용 오차값이다. 위 예는 최신버전 19044에서 3개가 낮은 버전(19041)까지는 허용된다. Windows에서 Build 버전 확인 하는 방법은 "내 컴퓨터" 오른쪽 마우스해서 "속성" 에서 확인 가능하다. OS가 허용되지 않을 경우 클라이언트에서는 아래의 에러 메세지를 표시하며, 로그인 할 수 없다. 2022. 8. 2. FortiGuard DNS의 latency가 높을 경우 펌웨어 v7.0 부터 기본적으로 DNS에서 사용하는 프로토콜을 'DNS over TLS'를 사용하게 된다. 이 방식 때문에 일부 고객사에서는 Latency가 높아 질수 있다. 이를 변경하려 하지만 GUI에서는 회색으로 변경 할 수 없는 상태이다. 아래의 CLI 명령어를 이용하여 DNS Protocol을 변경 할 수 있다. Protocol 방식을 바꾸면 latency가 짧아 진다. 2022. 8. 2. CLI 명령어를 통해 매칭되는 방화벽 정책 검색 방법 IP address와 port 및 프로토콜을 기반으로 매칭되는 방화벽 정책을 CLI 명령어를 통해 검색하는 방법니다. 명령어 형식은 다음과 같다. #diag firewall iprope lookup + GUI에서 검색 : https://ebt-forti.tistory.com/103 2022. 7. 29. 이전 1 ··· 64 65 66 67 68 69 70 ··· 131 다음
