FortiGate638 SSL Deep(Full) Inspection에서 Untrusted SSL certificates 설정 FortiGate의 SSL Deep(Full) Inspection에서 Untrusted SSL certificates(신뢰받지 않은 인증서) 설정에 대한 설명이다. 아래와 같이 "Multiple Clients Connecting to Multiple Servers" 가 선택되고, Full SSL insepction인 경우 신뢰받지 못한 인증서에 대한 제어(Allow/Block/Ignore) 설정이 가능하다. 신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우 접속시 브라우저에 인증서 경고창이 표시된다. ◼ Block 신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우 FortiGate에서 차단 된다. ◼ Allow 신뢰받지 않은 인증서(Untruste.. 2022. 3. 2. VIP에서 Service 설정 (Virtual IP with services) VIP 설정에서 "Optional Filter"에 "Service" 설정이 있다. 위와 같이 설정한 경우, 외부에서 [192.168.170.55:8000], [192.168.170.55:8008], [192.168.170.55:8080]으로 접속하면 내부의 [192.168.11.110:80]으로 전달한다. 만약 아래 처럼 "Port Forwarding" 설정이 없다면 다음과 같이 전달된다. (단. 방화벽 정책에 해당 port에 대한 허용 정책은 필요하다) [192.168.170.55:8000] → [192.168.11.110:8000] [192.168.170.55:8008] → [192.168.11.110:8008] [192.168.170.55:8080] → [192.168.11.110:8080] 단, .. 2022. 2. 25. VIP 차단 정책이 동작하지 않는 경우 FortiGate에서 아래와 같이 외부(all)에서 내부(all)로의 정책(ID 15)을 차단으로 설정했지만, VIP 정책(ID 14)은 차단되지 않고 허용된다. FortiOS에서는 VIP 객체와 Firewall Address 객체는 완전히 다른 객체로 판단하다. 즉 Firewall Address 객체인 "all" 과 VIP 객체인 "VIP_eBT_FAZ" 객체는 서로 다른 별개의 영역으로 판단하게된다. 따라서 "VIP_eBT_FAZ"접속하는 트래픽은 "all"에 매칭되지 않고, ID 15 정책에 의해 허용된다. 차단하려면 VIP 객체에 대한 차단 정책을 생성해야 한다. 또는 ID 15 정책에 아래와 같은 옵션을 추가하여, VIP 객체에 대해서도 매칭되도록 설정 할 수 있다. 2022. 2. 25. v5.x 에서의 Conserve mode 발생 문제 해결책 FortiGate의 메모리가 임계치 이상으로 높아지면 발생하는 Conserve mode가 최근 들어 v5.X.X 버전에서 자주 발생하고 있다. 해당 이슈는 오래된 FortiOS v5.6.8 이전 버전에서 발생하는 문제로, Auto update가 실패할 경우 memory사용량이 급격히 증가하는 이슈 이다. [원인분석] 1) FortiGuard로 부터 AV Signature를 업데이트 받는 도중 업데이트가 실패할 경우 update process가 종료되지 않고 memory에 계속 상주하게 되는 문제. 2) 최근 2월 부터 AV signature (89.009xx) update가 지속적으로 실패 (FortiGuard issue로 추정)하게 되어, 다량의 update daemon이 시작되고 정상종료가 되지 않게.. 2022. 2. 25. 여러개의 NTP 서버 설정 방법 FortiGate의 NTP 서버를 custom 하게 여러개 설정하려면 CLI에서 설정해야 한다. 여러개의 NTP 서버에 동시에 쿼리하고, 응답을 받는다. 응답을 받은 NTP 서버중 어떤 서버의 시간을 선택했는지는 다음에서 알 수 있다. 2022. 2. 24. 이전 1 ··· 75 76 77 78 79 80 81 ··· 128 다음
